Introducción a la seguridad en los sistemas de información

1. Conceptos de seguridad en los sistemas

2. Clasificación de las medidas de seguridad

3. Requerimientos de seguridad en los sistemas de información

3.1Principales características

3.2. Confidencialidad

3.3. Integridad

3.4. Disponibilidad

3.5. Otras características

3.6. Tipos de ataques

La seguridad informática de las organizaciones es una pieza clave para la prevención de
ciberdelitos, también para hacer frente a incidentes de seguridad de una forma eficiente. Bien es
sabido que la información hoy en día representa el activo más importante de las entidades. De
ahí, la necesidad de salvaguardar la información con medidas preventivas y de intervención.

En esta unidad abordarás conceptos relacionados con la seguridad informática y de la

información, te adentrarás en el mundo de las y los hackers e identificarás alguna banda que
opera a nivel internacional. Este aprendizaje te ayudará a sentar las bases para una correcta
gestión de la seguridad informática, pudiendo aplicarla tanto en el ámbito laboral como en el
personal.
• Explicar los diferentes tipos de seguridad de los sistemas de información.

• Clasificar medidas básicas de protección de los sistemas de información.

• Describir los principios de la seguridad de la información.

Iconos

En este curso se incluyen recursos didácticos que refuerzan la explicación teórica y te ayudarán
a fijar conocimientos y asimilar conceptos. Con estos recursos categorizados, completarás tu
proceso de aprendizaje.
Conceptos de seguridad en los sistemas

¿Sabrías concretar en pocas palabras qué se entiende por seguridad de la información?

Efectivamente, la seguridad de la información viene a representar todas aquellas medidas
preventivas y de intervención, que sirven para proteger la información y su tránsito para
mantenerla a buen recaudo.

La seguridad es una característica que indica que un sistema de

información está libre de riesgos, pero esta atribución no es del
todo correcta, ya que resulta imposible garantizar la protección de
un sistema de información al 100 %. A pesar de ello, la seguridad
consigue que las probabilidades de ataques disminuyan,
consiguiendo que el sistema de información sea fiable. Un
incidente de seguridad es un suceso cuyo impacto puede afectar a
los principios de la seguridad de la información.

La seguridad informática es una disciplina que engloba un

conjunto de conocimientos, proyectos y propósitos en el área de la
informática, orientada a proteger la privacidad y la integridad de la
información que contiene un sistema de información.

En informática se entiende como sistema de información el conjunto de componentes cuya

tecnología sirve para gestionar la información. Esto engloba aspectos tan importantes como la
recolección, administración, recuperación, procesamiento, transmisión, distribución y
almacenaje de la información.
Al hablar de seguridad informática se deben tener en cuenta tres conceptos clave que
representan los principios de la seguridad de la información. Presta atención para descubrir
cuáles son y en qué consisten estos principios.

• Integridad: significa que la información transmitida y la almacenada en equipos y

dispositivos, no ha sufrido la manipulación de terceras personas de manera maliciosa.
Indica que las personas no autorizadas no han podido modificar la información.

• Confidencialidad: significa que la información solo deberá ser conocida por aquellas
personas que cuenten con la debida autorización. Esta privacidad trata de asegurar que la
información no será divulgada, ya sea de manera intencionada o ante una circunstancia
fortuita.

• Disponibilidad: indica que la información deberá estar siempre disponible para aquellas
personas que cuenten con autorización de acceso y tratamiento. Asimismo, la información
tendrá que ser recuperable frente a un incidente de seguridad cuya consecuencia
provoque la pérdida o manipulación de datos. La disponibilidad permite que las personas
autorizadas puedan disponer de la información cuando lo requieran.
La entidad en la que trabaja Marta ha sido víctima de un ciberataque.
El sistema de información de su organización está sirviendo de rehén
hasta que la dirección decida pagar un rescate por la liberación de
importantes ficheros que contienen información de valor. Este
incidente de seguridad ha provocado la paralización de la actividad
de la entidad, ya que es imposible continuar sin la posibilidad de
acceder a los activos de información. En base a ello, ¿podrías
establecer una relación de estos hechos con el principio de
disponibilidad de la información?

Solución

La disponibilidad es uno de los principios de la seguridad de la información. Esto significa que

los activos de información que posee la entidad en la que trabaja Marta, deben ser accesibles
para quienes, teniendo autorización, deban tener información para llevar a cabo actividades de
cada puesto. Si un ciberataque toma de rehén la información, significa que está imposibilitando
el acceso a las personas que sí están autorizadas y que necesitan de ella para realizar sus tareas
diarias.
Clasificación de las medidas de seguridad

¿Sabías que existen diferentes tipos de seguridad para mantener la información protegida?

Las personas usuarias son las que gestionan diariamente la información, utilizando las
infraestructuras tecnológicas, las diferentes áreas departamentales de las organizaciones y los
canales de comunicación, por lo que los sistemas de información han de estar protegidos.

Es importante entender que la información es el principal activo de

cualquier organización, por lo que necesita alojarse y gestionarse en
la infraestructura de la tecnología que se utiliza en la organización.

Hay que destacar que la seguridad informática aborda toda una

infraestructura computacional, es decir, todo lo que implique el
almacenamiento y la gestión de la información. Comprender esto es
imprescindible para el buen funcionamiento de cualquier
organización.

En relación con la seguridad informática pueden distinguirse distintos tipos de seguridad. Los
más importantes son: la seguridad de red, la seguridad de software y la seguridad de hardware.

• Seguridad de red: su principal función es la de proporcionar protección a cualquier

información accesible a través de Internet.

• Seguridad de software: se centra en proporcionar protección a los programas

informáticos y aplicaciones de los riesgos asociados a la ciberdelincuencia.

• Seguridad de hardware: su función es la de proporcionar protección a los equipos

informáticos y dispositivos frente a las ciberamenazas o intromisiones.
La seguridad de un sistema de información abarca la seguridad de red, la de programas
informáticos y la propia de los dispositivos físicos.

Esta diferenciación hace que existan medidas básicas de protección para cada tipo de
seguridad. ¿Quieres conocer algunas de ellas?

• Seguridad de red: utilizar contraseñas robustas, no usar wifis públicas.

• Seguridad de software: actualizar los programas, control de acceso.

• Seguridad de hardware: candados de seguridad, lectores de huella digital.

Aunque las medidas que acabas de conocer son importantes, no son suficientes. Avanza al
siguiente epígrafe para conocer otros requerimientos de seguridad para proteger con mayor
eficacia los activos de información. ¿Sabes que significa el término activos de información?
Presta atención a la siguiente descripción.

Se considera activo de información a cualquier tipo de información o sistema de información

de gran valor para una organización que pueda ser susceptible de un incidente de seguridad.
Requerimientos de seguridad en los sistemas

¿Tienes claro que para contar con una protección integral de la información has de implementar
medidas distintas para cada tipo de seguridad?

Efectivamente, hay que hacer hincapié en tres aspectos fundamentales como requerimientos de
seguridad en los sistemas de información.

En función al objeto de protección (redes, sistemas y dispositivos), se pueden clasificar distintas

medidas básicas de seguridad, no obstante, todas estas medidas son importantes, necesarias
y complementarias.

Imagina un sistema operativo (software) que está infectado por un

malware. Este malware puede contagiar rápidamente una red
segura cuando el dispositivo infectado se conecta a la red.

A continuación, vas a conocer los mecanismos de protección más habituales que han de tenerse
en cuenta tanto para proteger la red, los sistemas, así como a los dispositivos.
Seguridad de red

Como ya sabes, el objetivo de la seguridad de red es proporcionar

protección a cualquier información accesible a través de Internet.
Esta información podría ser la contenida en una transacción
bancaria, en el acceso a documentos o imágenes, una factura, etc.
La seguridad de red persigue combatir las temidas amenazas que
ocurren en la red, con idea de frenar los ciberataques. De esta
manera se evita el acceso no autorizado a los datos y se evita sufrir
las consecuencias de los daños que ello ocasiona o se disminuye el
impacto.

Una diversidad de códigos maliciosos o malware son las amenazas

más habituales a las que debe enfrentar constantemente la
seguridad de red.

Un malware es un concepto genérico que se emplea para referirse a un programa malicioso

diseñado para infiltrarse ilícitamente en un dispositivo o equipo informático.

¿Sabrías identificar, en tu puesto de trabajo, alguna forma en la que un malware podría afectar a
la información de tu entidad? Quizás podría producirse la fuga o pérdida de información
confidencial como consecuencia de la infección del equipo informático debido al uso de las
redes sociales o del correo electrónico en la práctica diaria en tu puesto de trabajo.

Piensa que, aunque tu entidad cuente con medidas de protección

de la información en tu puesto de trabajo, el mejor recurso es
aplicar el sentido común. Ya que, aunque no tengas acceso a
determinada información confidencial, servirás de puerta de
entrada para que cualquier ciberdelincuente irrumpa en la red de
tu organización. Por ejemplo, mediante técnicas de ingeniería social
donde la persona atacante finge ser una autoridad o un contacto
de confianza. De esta manera es posible que llegue a entrar en la
entidad con idea de apoderarse de datos confidenciales de las
personas usuarias y de la propia entidad. Por lo tanto, es
fundamental que las personas trabajadoras sepan en todo
momento detectar esos peligrosos ciberataques.
¿Quieres conocer algunas de las formas de ingeniería social en las que un malware podría
infectar tu equipo? Presta atención:

• Quid pro quo: una de las técnicas más conocidas es la llamada quid pro quo. La mecánica
de este ataque es sencilla. El o la ciberdelincuente suplanta la identidad de un
compañero o compañera del servicio técnico para prestar asistencia. Una vez ganada la
confianza, le indica a su víctima que desactive el software antivirus para después indicarle
que descargue e instale un programa. Con ello la persona atacante consigue infectar el
equipo con un malware que le permitirá tener acceso y control.

• Phishing: esta práctica utiliza el correo electrónico como medio para obtener la
información. A través de él, la persona atacante envía un enlace a su víctima exponiéndola
a un código malicioso. Una vez se apropia de información de esta primera víctima, la
persona ciberdelincuente consigue más legitimidad para las próximas intervenciones
porque podrá personalizar el siguiente ataque con información que previamente sustrajo.
De esta manera, el personal que recibe un correo electrónico no duda en clicar en un
enlace (malicioso), cuando quien envía dicho correo, por ejemplo, es reconocida por el
sistema como una persona de su entidad.

Otra forma de phishing consiste en enviar un mail a un trabajador o trabajadora de la

entidad incorporando en el cuerpo del mensaje un enlace a través del cual se le pide que
modifique el usuario y la contraseña de acceso a la red privada virtual de su
organización. Este enlace desvía la conexión a un dominio falso donde la persona atacante
puede visualizar esas credenciales que le darán acceso a servicios de la entidad.

Ahora que ya conoces algunas de las formas más frecuentes de sufrir ataques a través de la red,
es hora de que descubras los mecanismos de protección más habituales para optimizar la
seguridad de la red.

• Antivirus: es un software que detecta y elimina virus informáticos en un archivo tanto en

equipos informáticos como en dispositivos.
 • Antispyware: este software protege al equipo contra un tipo de código malicioso que
espía equipos o dispositivos infectados con la idea de recopilar información.

• Cortafuegos: es un software que aporta una capa de seguridad añadida controlando

tanto el acceso de un equipo a la red como los elementos de la red a los equipos
informáticos o dispositivos.

• Redes Privadas Virtuales (VPN): es una red reconocible de equipos informáticos que
pueden utilizar recursos compartidos y que utilizan un espacio determinado de
direcciones IP. Al emplear este recurso, el dispositivo conectado a la VPN actuaría como si
estuviera dentro de la red local de la Red Privada Virtual, por lo que el tráfico de datos que
se produce en la red es enviado mediante esta conexión privada y segura.

• Intrusion Prevention System (IPS): es un software de sistema de prevención de

intrusiones para controlar el acceso a la red informática con la finalidad de asegurar los
sistemas informáticos de prácticas maliciosas.

La dirección IP es un protocolo de comunicación que sirve para

identificar dispositivos dentro de una red. Se llama IP pública a la
dirección que asigna el operador para ser identificado dentro de
Internet y se denomina IP privada a la dirección IP que tiene asignado
cada dispositivo encontrado dentro de una red doméstica o privada.
Podría equipararse a la matrícula de un coche que circula por una red
de carreteras, cada coche tiene su propia matrícula que sirve para
identificar el vehículo.
Seguridad de software

Como acabas de aprender, la seguridad de red se apoya principalmente en recursos específicos

de software para hacer frente a su cometido. Esto quiere decir que, la seguridad de software
tiene un papel importante en la seguridad de red, ya que se encarga del mantenimiento y
actualización de los mecanismos de protección para que el acceso a Internet sea seguro.

Cuando por diversas causas la seguridad software se ve

comprometida, pueden ocurrir incidentes como el que
sufrió el 9 de marzo de 2021 el Servicio Público de Empleo
Estatal, conocido como SEPE. Este organismo fue víctima de
un ciberataque por un peligroso código malicioso conocido
como Ransomware Ryuk. Debido a este ataque, el sistema
quedó colapsado, afectando a numerosos servicios que
habitualmente ofrece esta organización. Con todo ello,
millones de personas usuarias temieron por la seguridad
de sus datos y el cobro de las prestaciones. Este no fue el
único ataque que recibió, ya que la seguridad de esta
organización se puso de nuevo en entredicho al ser
víctimas de nuevos ciberataques.

Los antivirus son diferentes tipos de software (programas informáticos) que una vez instalados
en el dispositivo se ejecutan automáticamente en segundo plano para proporcionar una
protección frente a virus.

Un software antivirus está diseñado para detectar y bloquear virus, pero también este programa
informático es capaz de encontrar nuevos y sofisticados virus que van apareciendo. Esto último,
es posible debido a que el archivo que contiene este programa amplía su repositorio de virus
mediante las actualizaciones. En consecuencia, si el antivirus no se mantiene actualizado, no
podrá detectar ni bloquear esas nuevas amenazas.

Lo mismo ocurre con cualquier tipo de software o programa. El o la cibertatacante aprovechan

cualquier agujero o fallo de seguridad del programa para causar daño. Con las actualizaciones se
consigue parchear esos puntos de entrada.
Seguridad de hardware

En cuanto a los equipos informáticos, terminales o cualquier tipo

de dispositivo tecnológico requieren de una protección específica
llamada seguridad de hardware. Un hardware se conforma de
componentes físicos que, junto con los software y reglas de
computación, hace posible que un dispositivo funcione. Estas
herramientas son recursos que se emplean en la vida diaria
(impresoras, escáneres, portátiles, routers, televisiones
inteligentes, cargadores, sistemas de almacenamiento, etc. No
protegerlas desde el momento en el que se fabrican implicaría una
gran carencia de seguridad.

Los mecanismos más comunes de protección son los cortafuegos (firewalls), y los servidores
proxy. Aunque hay otras medidas elementales como son los sistemas de autenticación en los
sistemas de información.

• Cortafuegos (firewalls): un cortafuegos corta la petición de comunicación de cualquier

elemento que intente acceder y que no provenga del sistema o de la propia red interna.
Con esta acción los agentes externos pueden ver únicamente la dirección IP del firewall y
no otros elementos como, por ejemplo, los ordenadores o impresoras que hay dentro de
esa red privada.

Hay que señalar que los cortafuegos están preparados para distinguir entre aquellos
contenidos confiables y aquellos que no lo son.

• Servidores proxy: son ordenadores que asumen el papel de intermediario para recibir
las peticiones y dar salida a las transmisiones desde su propia dirección IP. Son
empleados para que durante la navegación en Internet se puedan ocultar las direcciones
IP de los dispositivos.

Mantener oculta la dirección IP del dispositivo previene el rastreo de sitios visitados. Estos
suelen registrar los datos que pueden obtener a través de las direcciones IP como son los
datos de geolocalización.

• Sistemas de autenticación: se reconoce como autenticación un proceso informático con

el que se quiere asegurar que la persona usuaria que accede a un servicio o sitio es
quien dice ser. No hay que confundir este concepto con el de autorización. La
autorización determina si una persona o entidad, tiene acceso o no a un recurso, mientras
que la autenticación se emplea para demostrar que un usuario o usuaria es quien dice ser.

Son muchas las aplicaciones y accesos a sistemas que solicitan un mecanismo de autenticación
basados en datos biométricos de las personas. Como datos biométricos se entiende cualquier
característica física, de la personalidad y del comportamiento que pueda identificar a una
persona como única. La tecnología es capaz de reconocer esta característica especial cuando la
persona autorizada accede al sistema de información.

Presta atención y descubre en qué consiste cada uno de estos tipos de autenticación basada en
datos biométricos:
• Huella dactilar: reconocimiento de las huellas dactilares como identificador único, ya
que no existen dos personas en el mundo cuyas huellas dactilares sean idénticas.

• Reconocimiento facial: verificación del rostro de una persona para obtener el acceso a
sistemas, aplicaciones o servicios.

• Reconocimiento del iris o retina: escaneo de la retina para el acceso a un sistema de

información.

• Reconocimiento de firma: reconocimiento mediante características del

comportamiento que confirman rasgos conductuales de la persona a través de la
imprimación de la firma manuscrita para la concesión de permisos de acceso.

• Reconocimiento de voz: reconocimiento de aspectos físicos y del comportamiento del

sujeto basados en la voz y en sus características (timbre, intensidad, fonación, etc.).

• Reconocimiento vascular: identificación basada en las características físicas estáticas

de un mapa de venas, que constituyen un identificador inequívoco de la persona para
tener acceso a servicios, sistemas o aplicaciones.
Se considera que estos métodos de autenticación son más seguros que las fórmulas
tradicionales basadas en credenciales, puesto que para la identificación de la persona usuaria se
deben reconocer datos intransferibles y únicos. A pesar de ello, estos mecanismos de
autenticación también pueden presentar algunos problemas de seguridad. Imagina por un
momento, que la información de autenticación no es tratada correctamente y, por lo tanto, se
corre el riesgo de que alguien pueda filtrar ese material o incluso sustraerlo. Ante esta situación
es posible que un o una ciberdelincuente actúe antes de que se puedan cambiar las credenciales
de autenticación. Esto tendría fatales consecuencias, tanto para la entidad como, posiblemente,
para la vida personal de la persona a la que le han sustraído los datos de autenticación, ya que
es muy probable que utilicen alguna de estas formas de reconocimiento para acceder a
diferentes sistemas de información en su vida personal. Es decir, la persona ciberatacante roba
una llave que le permite abrir diferentes puertas.
Principales características
Es importante tener en cuenta que, tanto la seguridad de red como la de software y la de
hardware, debe caracterizarse, principalmente, por contemplar medidas tanto preventivas
como reactivas, que sirvan para proteger la confidencialidad, la integridad y la disponibilidad de
los datos y de la información.

Estas medidas deben ajustarse proporcionalmente a los diferentes

niveles críticos de datos manejados por la persona usuaria y los
recursos materiales que disponga, no obstante, existen
salvaguardas básicas que siempre deben contemplarse.

Cuando se habla de criticidad de los datos o de la información,

se hace referencia a criterios de identificación y de clasificación
partiendo del principio de confidencialidad, aunque esto incluye
también los restantes principios de la seguridad de la información
como son la disponibilidad e integridad.

No hay que olvidar que estos tres principios son de gran utilidad
para diseñar un buen plan de seguridad informática tanto para entornos organizacionales, a
nivel laboral, como a nivel de usuario.

La información confidencial es aquella información crítica y sensible que puede comprometer

a la organización, por ejemplo, la que contiene datos personales e identificativos de cualquier
tipo, tanto del personal empleado, como de colaboradoras y colaboradores externos y personas
usuarias.
Un sistema de protección de la información en un entorno organizativo debe al menos incluir
tres niveles de confidencialidad. Presta atención a la siguiente tabla.

CRITERIOS DE CLASIFICACIÓN DE LA INFORMACIÓN

Confidencialidad Integridad Disponibilidad

Información confidencial:
accesible para determinados
ALTA ALTA
puestos, principalmente
gerenciales

Información interna: accesible

solo para el personal de la MEDIA MEDIA
organización

Información pública: accesible

para cualquier persona fuera y BAJA BAJA
dentro de la organización

Según la normativa en materia de protección de datos, Ley Orgánica 3/2018, de 5 de diciembre,

de Protección de Datos Personales y garantía de los derechos digitales, un dato de carácter
personal es cualquier tipo de información concerniente a personas físicas identificadas o
identificables. Entre estos datos están: DNI, fotografías, datos físicos, etc.
Confidencialidad
La confidencialidad es una característica que determina que la información únicamente estará
disponible y solo será revelada a personas usuarias autorizadas. Esto significa que el principio
de confidencialidad consiste en mantener la información oculta y bien alejada de
personas que se oculten para fisgonear.

Para comprender mejor el significado de esta propiedad, presta atención a la siguiente situación.

Imagina que escribes una carta que está dirigida a una persona concreta y que quieres enviarla
por correo postal. Quieres que el contenido sea confidencial y para evitar que cualquiera pueda
acceder a él, decides proteger la información utilizando un sobre bien cerrado.

Aunque este ejemplo pueda parecerte absurdo, seguro que es

muy útil para reconocer una medida de protección del principio
de confidencialidad.

Otra salvaguarda de la confidencialidad, pero más apropiada a

estos tiempos presentes, es la utilización de contraseñas. Sin
embargo, para conseguir que el principio de confidencialidad
sea efectivo en el uso de contraseñas, necesitarás limitar en lo
que puedas el acceso a tu información.

Por ejemplo, para acceder a tu información bancaria a través de

la banca electrónica, necesitas hacer uso de tu contraseña
secreta. No obstante, seguro que algún miembro de tu familia,
quizá la persona más próxima a ti, conozca este dato por si
hiciera falta en un momento de necesidad. ¿Qué significa esto? La respuesta es bien sencilla, es
importante tener a buen recaudo datos tan críticos como una contraseña, aunque por motivos
personales decidas compartir esta información con la persona con la que convives, con ello
estás limitando el acceso a tus datos, de otra forma compartirías tus credenciales con el resto de
tus familiares.
Integridad
La integridad es una característica que determina que la información
está salvaguardada, es decir, que está «a salvo» en la exactitud y en su
totalidad. Dicho de otro modo, este principio de la seguridad viene a
determinar que la información tiene una propiedad que garantiza
que los datos no han sufrido alteraciones y son precisos.

La integridad de la información es realmente importante. Gracias a

ella se tiene la tranquilidad de que la información que viaja de un lado
al otro cuando, por ejemplo, cuando se envían o se reciben correos
electrónicos, no ha sido manipulada por nadie durante todo el
proceso de transmisión.

Puede ocurrir que, en ese intercambio de información un o una pirata informática atente contra
la seguridad de red e intervenga los paquetes de información que compartes vía email. Esta
intervención delictiva, permitiría al ciberdelincuente añadir un código malicioso a cualquier
archivo que compartas o que recibas. Por tanto, la información compartida no se ha mantenido
íntegra.
Disponibilidad
La disponibilidad es una característica que determina que una información sea utilizable y
accesible mediante una autorización, siempre y cuando esta sea requerida. En otras palabras, la
disponibilidad significa que la información sea accesible únicamente por quienes debieran
tener acceso a esos datos.

Este principio de la seguridad de la información obliga a estar en alerta y contar con una
preparación para actuar en el caso de que, por cualquier circunstancia, la información se
extraviara o los dispositivos tecnológicos empleados dejan de funcionar, saber en todo
momento cómo se ha de actuar.

Imagina ahora la siguiente situación, la puerta que da acceso a tu casa. Dentro de tu hogar
seguro que hay muchas cosas que debes de proteger. Abres la puerta y permites el acceso a tu
vivienda a personas confiables, pero ¿alguna vez, extraviaste las llaves de tu casa, se te olvidaron
en algún lado o simplemente te la robaron? Ante esa situación tu miedo es que cualquier
persona desconocida tenga acceso a tu propiedad ¿Supiste cómo actuar? Seguro que llamaste
rápidamente al servicio de cerrajería, ¿verdad?

No olvides que romper el principio de disponibilidad no solo significa perder cosas materiales. Si
dejas de tener acceso a activos de información, poder recuperarlos te implicará mucha pérdida
de tiempo y, en ocasiones, sin ninguna garantía de recuperación.

En conclusión, la mejor manera de diseñar un buen plan de seguridad es tener muy presentes
los tres principios de la seguridad informática y de la información. Para ello, puedes
imaginar por un momento una situación crítica que ponga en evidencia tu preparación. Solo así
podrás comenzar a crear una estrategia de seguridad que gire en torno a la confidencialidad,
integridad y disponibilidad.
Otras características
La seguridad informática y de la información comprende otras propiedades importantes como
son la autenticación y el no repudio.

La autenticación se entiende como la manera en que se verifica una identidad para que pueda
tener acceso o no a un recurso o activos de información. Se trata de un principio básico de
seguridad por el cual se identifica a la persona usuaria frente al acceso a un recurso,
servicio o a una comunicación.

La identificación es el mecanismo probatorio que tiene un sistema de información para

identificar a la persona usuaria de este.

El no repudio es otra característica de seguridad que se debe tener en cuenta. Se trata de la

medida que garantiza a la persona receptora de un mensaje, que la comunicación es
originada por una persona emisora y esta es quien dice ser.

Gracias a la propiedad no repudio, en una comunicación es posible demostrar o llevar a cabo

acciones probatorias de las partes implicadas. Este principio de seguridad informática se realiza
mediante la identificación y la autenticación.

Es muy importante garantizar el no repudio ante situaciones como:

Cuando se habla de partes (emisor/a y receptor/a) en el principio de no repudio se hace
referencia al no repudio en origen y no repudio en destino.

• No repudio en origen: con el no repudio en origen se consigue que la persona

remitente del mensaje no pueda negar en ningún momento que lo envió. La persona
destinataria contará con un mecanismo que le proporcionará pruebas de que esto
sucedió.
• No repudio en destino: con el no repudio en destino se consigue tener un mecanismo
probatorio que da fe de que alguien fue la o el destinatario de un mensaje. De esta
manera, se consigue evitar conflictos por parte de la persona destinataria en caso de que
esta persona ponga en duda la recepción del mensaje.

Uno de los mecanismos informáticos más conocidos que sirven para garantizar el no repudio es
la firma electrónica o firma digital, siempre y cuando esté vinculada inequívocamente a la
persona firmante y que cuente con requisitos técnicos para poder garantizar la propiedad de no
repudio. Es decir, que la clave de firma (clave pública) haya sido asignada a una persona física o
jurídica identificable y que la clave privada esté controlada exclusivamente la persona física o
jurídica que firma.

Existen otros procedimientos que garantizan el no repudio. Ejemplo de ello es el correo

electrónico. Este cuenta con elementos de seguimiento que sirven para garantizar que una
persona remitente no pueda en ningún momento negar que procedió a enviar un correo
electrónico. También tiene mecanismos para evitar que la persona destinataria de un correo
electrónico pueda negar que lo recibió.
Tipos de ataques

¿Sabías que la Unión Europa está tomando importantes medidas para afrontar los retos
presentes y futuros en ciberseguridad?

La Comisión Europea y el Servicio Europeo de Acción Exterior (SEAE) han colaborado para crear
una estrategia europea de ciberseguridad. Además, la Agencia de la Unión Europea para la
Cooperación Policial, más conocida como Europol, creó en el año 2013 el Centro Europeo de
Ciberdelincuencia (EC3), que trabaja constantemente en la lucha contra el crimen de la era
digital. (Europol, 2021).

La ciberdelincuencia se ha convertido en una peligrosa amenaza para las organizaciones y los

gobiernos, afectando también a las personas particulares. Entre los esfuerzos realizados por
estas organizaciones que luchan contra la ciberdelincuencia organizada en Europa están:
Según la revista IT Reseller Tech & Consulting (2022), España es el
tercer país que más ciberataques recibe. A este dato se le añade que
el 44 % de los negocios en España fueron víctimas de ciberataques.
Lo peor de todo es que ante esta circunstancia, tan solo el 17 % del
personal de una empresa víctima de un ataque fue consciente de lo
que estaba sucediendo.

Si bien cualquier hacker novato puede cometer muchas ciberfechorías con graves consecuencias
para sus víctimas, la mayoría de los ciberataques lo perpetran hackers bien organizados que
desean obtener un beneficio económico, un daño político reputacional u otros daños. Estos
ataques cada vez más sofisticados, son cometidos por personas que cuentan con altos
conocimientos de programación y grandes destrezas técnicas. Presta atención a los fraudes
más frecuentes realizados por cibercriminales. ¡Presta atención a la siguiente infografía!
 • De identidad: mediante el robo de datos de carácter personal para su venta o para la
suplantación de identidad.

• Bancarios: robo de datos bancarios como acceso a cuentas corrientes o tarjetas

bancarias o directamente el robo de criptomonedas.

• Robo de información corporativa: para coaccionar a la víctima con chantaje o

ciberespionaje.

• Chantajes: comprometen a la víctima para exigirle una contraprestación económica a

través de una ciberextorsión.

• Intromisión en datos gubernamentales: con este ciberataque se ponen en peligro la

seguridad de una nación.

• Sextorsión: se amenaza a la víctima con la revelación de imágenes o vídeos

comprometidos de carácter sexual para obtener un beneficio principalmente económico.

Se puede decir que la ciberdelincuencia realiza actividades delictivas empleando equipos

informáticos para cometer ciberdelitos, pero también existen actividades ciberdelictivas que
están dirigidas directamente a causar el daño directamente a los dispositivos (ya sean estos de
comunicación o dirigidos al Internet de las cosas), terminales o equipos informáticos.

El cibercrimen organizado obtiene cada año unos beneficios económicos con cifras
desorbitadas. Beneficios que se prevén sigan aumentado principalmente por dos componentes
clave: el primero es la tecnología, cuya implementación y uso (comercio electrónico, teletrabajo,
etc.) está cada vez más democratizado y el segundo, la falta de formación en esta materia.

Si quieres conocer la «Estrategia Nacional contra el crimen organizado y la delincuencia grave.

2019-2023» publicada por el Ministerio de la Presidencia, Relaciones con las Cortes e Igualdad,
(2019), haz clic en el siguiente enlace.
El Instituto Nacional de Ciberseguridad (INCIBE) ha publicado un breve vídeo sobre políticas de
seguridad en el que se muestra cómo una pequeña empresas u organización puede verse
afectada por un virus informático, cuáles pueden ser las consecuencias y cómo empezar a
solucionarlo. ¡Dale al play!
RECAPITULACIÓN

En esta unidad has aprendido que la función de la seguridad de la información es proteger los
activos de información. Estos vienen a representar un valor esencial para la actividad de
empresas, organizaciones y gobiernos, aunque también es muy importante para las personas.
Por ello, primero has conocido cuáles son los principios de la seguridad de la información para
después descubrir que la seguridad de un sistema de información abarca la protección tanto de
la red, como del software y de los dispositivos físicos. Por este motivo, se debe de considerar
implementar, al mismo tiempo, medidas básicas de protección para cada tipo de seguridad.

Finalmente has podido ver un breve vídeo del INCIBE en el que se explican algunas medidas
sobre ciberseguridad.
 BIBLIOGRAFÍA

• Europol (19 de noviembre de 2021). Centro Europeo de Delitos Cibernéticos – EC3. Europol
https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3

• Europol (7 de diciembre de 2021). Evaluación de la amenaza de la delincuencia organizada en

Internet (IOCTA) 2021. Europol.
https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-
threat-assessment-iocta-2021#downloads

• FireEye Isight Intelligence (2017). APT28: At the Center of Storm. FireEye.

https://www2.fireeye.com/rs/848-DID-242/images/APT28-Center-of-Storm-2017.pdf

• IT Reseller Tech & cConsulting. (3 de enero de 2022). España es el tercer país del mundo donde
más ciberataques se producen. IT Reseller Tech & Consulting.
https://www.itreseller.es/seguridad/2022/01/espana-es-el-tercer-pais-del-mundo-donde-mas-
ciberataques-se-producen

• López, Y. (2019). Gestión de la seguridad informática en la empresa. IFCT050PO. IC Editorial.

• López, Y. (2019). Implantación de la Ley de Protección de Datos y Garantía de los Derechos Digitales.
IC Editorial.
 DOCUMENTOS DESCARGABLES

• Europol (2021). Evaluación de la amenaza de la delincuencia organizada en Internet (IOCTA) 2021

Oficina de Publicaciones de la Unión Europea, Luxemburgo.
https://www.europol.europa.eu/publications-events/main-reports/internet-organised-crime-
threat-assessment-iocta-2021#downloads

• Estrategia nacional contra el crimen organizado y la delincuencia grave 2019-2023

• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los
derechos digitales. https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673
 ENLACES DE INTERÉS

• Centro Europeo de Ciberdelincuencia (Europol).

https://www.europol.europa.eu/about-europol/european-cybercrime-centre-ec3

• ENISA, Agencia de la Unión Europea para la Ciberseguridad.

https://www.enisa.europa.eu/

• Estrategia de Ciberseguridad de la UE (Comisión Europea).

https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-strategy

• Estrategia de Ciberseguridad de la UE (Servicio Europeo de Acción Exterior).

https://eeas.europa.eu/headquarters/headquarters-homepage/90623/towards-more-secure-
global-and-open-cyberspace-eu-presents-its-new-cybersecurity-strategy_en

• Propuesta de revisión de la Directiva sobre la seguridad de las redes y sistemas de

información (Comisión Europea).
https://digital-strategy.ec.europa.eu/en/library/proposal-directive-measures-high-common-level-
cybersecurity-across-union

• Reglamento de Ciberseguridad de la Unión Europea (Comisión Europea).

https://digital-strategy.ec.europa.eu/en/policies/cybersecurity-act

VÍDEOS

• Política de seguridad para la pyme

https://youtu.be/oado7fL4fz0
 PREGUNTAS FRECUENTES

• ¿Cómo puede romperse la confianza como principio de la seguridad de la información?

Las fórmulas son diversas, desde la ejecución de ataques diseñados para conseguir adentrarse
en un sistema de información, con el robo de credenciales que dan acceso al sistema de
información o incluso de manera voluntaria o accidental al descuidar medidas de seguridad
como no protegerse con contraseñas.

• ¿Para qué servirá a una persona usuaria de una página web, en la que introduce sus datos
personales, el principio de integridad?

Para confiar en que la información proporcionada es precisa y que no será alterada después de
incluirla en la web de la entidad.
 GLOSARIO

o Autenticación

Procedimiento por el cual es posible asegurar que un usuario autorizado es quien dice ser para
tener acceso a un sitio web o servicio.

o Backdoor

Funcionalidad que otorga un tipo de malware para entrar y salir o permanecer de forma ilícita
en un sistema de usuarios o sistema de información sin ser detectado.

o Keylogging

Técnica que se utiliza para registrar de manera secreta las pulsaciones en un teclado con el fin
de obtener las contraseñas de acceso a diferentes lugares como, por ejemplo, datos bancarios y
utilizarlas de manera fraudulenta.