SEGURIDAD EN INTERNET

SEGURIDAD EN INTERNET

Autenticación de usuarios y verificación de la identidad

Dos tipos de autenticación:

La autenticación primaria, que ocurre cuando los usuarios escriben sus nombres de
usuario, contraseñas y, opcionalmente, nombre de dominio al iniciar la sesión . El
subsistema de seguridad de Windows existente es responsable de administrar la
autenticación en la red.
La autenticación secundaria, para que envíe credenciales con las que los usuarios
acceden a recursos habilitados con inicio de sesión único protegido. Entre dichos
recursos se pueden contar aplicaciones empresariales, aplicaciones Web, campos
protegidos de aplicaciones, direcciones IP, URL, etc.

Situaciones en las que los usuarios deben confirmar su

identidad
Cada vez que un usuario inicie sesión en el entorno, deberá confirmar su identidad
indicando su nombre de usuario y contraseña.
No obstante, cuando se producen ciertos sucesos, es necesario un segundo nivel de
autenticación para comprobar que el usuario que solicita el cambio es el autorizado para
hacerlo.

Suceso Descripción
Un administrador cambia la contraseña Cuando los administradores modifican las
primaria de un usuario contraseñas principales de los usuarios, éstos
reciben un mensaje de aviso en el que se les pide
que confirmen su identidad. De este modo, se
garantiza que el usuario que ha iniciado sesión es
el usuario autorizado.
Los usuarios restablecen su contraseña Cuando los usuarios restablecen su contraseña
primaria con el autoservicio de principal mediante la opción Autoservicio de
contraseñas. cuentas, se les pide que confirmen su identidad.
No use la opción de autenticación Pedirle al
usuario que entre su contraseña anterior si
habilitará las funciones de autoservicio.
Los usuarios desbloquean sus cuentas Cuando los usuarios desbloquean sus cuentas
 SEGURIDAD EN INTERNET

Suceso Descripción
de dominio con el autoservicio de mediante las funciones del autoservicio, se les
contraseñas. pide que confirmen su identidad.
Los usuarios cambian sus tipos de Por ejemplo, cuando los usuarios cambian de
autenticación. método de autenticación , se les pide que
confirmen su identidad.

CONOCER EL USO CORRECTO DE LA

CONTRASEÑA:
Si otra persona dispone de nuestra clave puede afirmar ser quien no es, lo que comúnmente
se conoce como suplantación de identidad y da lugar a cualquier tipo de ataque a cualquier
sistema que utilice sólo contraseñas como medio de autenticación.

A continuación se dan algunos consejos que nos sirvirán a para crear una contraseña y
luego protegerla. Para muchos las recomendaciones parecerán triviales, pero las estadísticas
demuestran que muy pocas personas seguimos estas recomendaciones para proteger nuestra
seguridad, ya que es muy común encontrar contraseñas como:
- contraseña = Nombre de usuario
- Contraseñas triviales como datos personales, mascotas, fechas, parientes, patentes, etc.

Creación de una clave:

 SEGURIDAD EN INTERNET

Se debe tener en cuenta los siguientes consejos para crear una contraseña segura:

No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del
usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares,
u otro relacionado).
No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I.,
fecha de nacimiento, patente del automóvil, etc.).
Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y
numéricos.
Deben ser largas, de 8 caracteres o más.
Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña
base y ciertas variaciones lógicas de la misma para distintas máquinas.
Deben ser difíciles de descifrar y fáciles de recordar para no verse obligado a escribirlas.
No es práctico crear una contraseña del tipo "D:5fjslUT(/4Ño" porque es imposible de
recordar y nos veríamos obligados a anotarla por lo que se logra el efecto contrario al
deseado.

Protección una clave

La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el
usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema.

Algunos consejos a seguir:

No deben existir ninguna cuenta sin contraseña. Si se es administrador del sistema,
repasar este hecho periódicamente.
No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas
de Administrador, Root, System, Test, Demo, Guest, etc.
Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y
no debe identificarse al propietario en el mismo lugar.
No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no
mirar el teclado mientras alguien teclea su contraseña.
No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se
debe mencionar no hacerlo explícitamente diciendo: “mi clave es...”.
No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una
lista de contraseñas que puedan usarse cíclicamente (por lo menos 5).
Los sistemas actuales disponen de medidas de gestión y protección de las contraseñas y
sería conveniente utilizarlas.

Actualmente es prácticamente imposible no manejar gran cantidad de claves para realizar

distintas tareas por lo que si no confiamos en nuestra frágil memoria, es recomendable
utilizar aplicaciones cuyo fin es administrar contraseñas.
 SEGURIDAD EN INTERNET

SEGURIDAD DE DATOS

Seguridad de la Información
El objetivo de la protección son los datos mismos y trata de evitar su perdida y
modificación no-autorizado. La protección debe garantizar en primer lugar la
confidencialidad, integridad y disponibilidad de los datos, sin embargo existen más
requisitos como por ejemplo la autenticidad entre otros.
El motivo o el motor para implementar medidas de protección, que responden a la
Seguridad de la Información, es el propio interés de la institución o persona que maneja los
datos, porque la perdida o modificación de los datos, le puede causar un daño (material o
inmaterial)
 SEGURIDAD EN INTERNET

Protección de Datos
El objetivo de la protección no son los datos en si mismo, sino el contenido de la
información sobre personas, para evitar el abuso de esta.
Esta vez, el motivo o el motor para la implementación de medidas de protección, por parte
de la institución o persona que maneja los datos, es la obligación jurídica o la simple ética
personal, de evitar consecuencias negativas para las personas de las cuales se trata la
información.
En muchos Estados existen normas jurídicas que regulan el tratamiento de los datos
personales, como por ejemplo en España, donde existe la “Ley Orgánica de Protección de
Datos de Carácter Personal” que tiene por objetivo garantizar y proteger, en lo que
concierne al tratamiento de los datos personales, las libertades públicas y los derechos
fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad
personal y familiar . Sin embargo el gran problema aparece cuando no existen leyes y
normas jurídicas que evitan el abuso o mal uso de los datos personales o si no están
aplicadas adecuadamente o arbitrariamente.

METODO DE PROTECCION, EL CORTAFUEGOS

Un cortafuegos o firewall es un sistema que previene el uso y el acceso desautorizados a tu
ordenador.
Los cortafuegos pueden ser software, hardware, o una combinación de ambos. Se utilizan
con frecuencia para evitar que los usuarios desautorizados de Internet tengan acceso a las
redes privadas conectadas con Internet, especialmente intranets.
Todos los mensajes que entran o salen de la Intranet pasan a través del cortafuegos, que
examina cada mensaje y bloquea los que no cumplen los criterios de seguridad
especificados.
 SEGURIDAD EN INTERNET

Es importante recordar que un cortafuegos no elimina problemas de virus del

ordenador, sino que cuando se utiliza conjuntamente con actualizaciones regulares del
sistema operativo y un buen software antivirus, añadirá cierta seguridad y protección
adicionales para tu ordenador o red.

Cortafuegos de hardware
Los cortafuegos de hardware proporcionan una fuerte protección contra la mayoría de las
formas de ataque que vienen del mundo exterior y se pueden comprar como producto
independiente o en routers de banda ancha.
Desafortunadamente, luchando contra virus, gusanos y Troyanos, un cortafuegos de
hardware puede ser menos eficaz que un cortafuegos de software, pues podría no detectar
gusanos en emails.

Cortafuegos de software
Para usuarios particulares, el cortafuegos más utilizado es un cortafuego de software. Un
buen cortafuegos de software protegerá tu ordenador contra intentos de controlar o acceder
a tu ordenador desde el exterior, y generalmente proporciona protección adicional contra
los troyanos o gusanos de E-mail más comunes.
La desventaja de los cortafuegos de software es que protegen solamente al ordenador en el
que están instalados y no protegen una red.

Hay varios tipos de técnicas cortafuegos

Packet filter: mira cada paquete que entra o sale de la red y lo acepta o rechaza
basándose en reglas definidas por el usario. La filtración del paquete es bastante
eficaz y transparente a los usuarios, pero es difícil de configurar. Además, es
susceptible al IP spoofing.
Application gateway: Aplica mecanismos de seguridad a ciertas aplicaciones, tales
como servidores ftp y servidores telnet. Esto es muy eficaz, pero puede producir
una disminución de las prestaciones.
Circuit-level gateway: Aplica mecanismos de seguridad cuando se establece una
conexión TCP o UDP. Una vez que se haya hecho la conexión, los paquetes
pueden fluir entre los anfitriones sin más comprobaciones.
Proxy server: Intercepta todos los mensajes que entran y salen de la red. El
servidor proxy oculta con eficacia las direcciones de red verdaderas.

En la práctica, muchos cortafuegos utilizan dos o más de estas técnicas a la vez.

Un cortafuegos se considera la primera línea de defensa en la protección de la información
privada. Para mayor seguridad, los datos pueden ser cifrados
 SEGURIDAD EN INTERNET

CONOCER FORMAS DE PREVENIR EL ROBO DE

DATOS
Un ataque Phishing es un tipo de estafa que se da en la red. El estafador utiliza
sendos medios para enmascarar direcciones falsas ante una interfaz de confianza.
Un ejemplo de ello son algunos ataques phishing que toman la apariencia de
páginas de bancos para pedir contraseñas y nombres de usuario.
Consejo 1.- Elección de Contraseñas

Cuando vayas a crear una contraseña. Elige siempre cadenas compuestas de al

menos 8 caracteres, utilizando combinaciones de números y letras.

Otra de las cosas que no debes hacer, es utilizar como contraseña el nombre de un
pariente cercano, pues muchos de los ataques phishing o suplantaciones de
identidad que se producen en el día a día, provienen de personas del entorno de los
estafados, así que es mejor no facilitarles las cosas.

Consejo 2.- Cambio de contraseña

Si por algún motivo has sido víctima de un robo de datos o ataque Phishing, lo
más idóneo es que cambies la contraseña de aquel registro hackeado. Este paso
también es aplicable a aquellos que aún no han sufrido un ataque Phishing, pues de
esta forma estaremos seguros al bloquear la posibilidad de que alguien esté usando
o interviniendo nuestras conversaciones, correos, etc.

Otro de los consejos que os doy, es que intentéis usar diferentes contraseñas para
distintos registros. De esta forma, si llegasen a hackearos alguna de las
contraseñas, el resto de datos y registros importantes estarán libres de cualquier
intento de Phishing.

Consejo 3.- Correo Electrónico

El correo electrónico es quizás, uno

de los métodos más utilizados por
tácticas Phishing. Al recibir un correo
electrónico, conviene fijarse en la
dirección exacta del remitente,
independientemente del nombre que
salga, ya que los Phisher suelen
aprovecharse de la lectura superficial de
los usuarios para crear un boceto virtual
de las páginas que solemos visitar.
 SEGURIDAD EN INTERNET

Consejo 4.- Utilizar Programas de Seguridad

Al navegar por la red y hacer uso de tecnología de compras online o banca online,
es importantísimo tener instalados programas de seguridad especializados como
Antivirus, Anti-Phishing o Anti-Keyloggers.

Muchos de los Phisher utilizan programas que se instalan en el ordenador para

registrar las teclas que pulsamos y donde lo hacemos (Keyloggers). Por ello, es
imprescindible de utilizar este tipo de programas, junto a Firewall o algún filtro
antispam, que bloqueará el 90% de los correos Phishing.

Consejo 5.- Ordenadores Públicos

Este último consejo es quizás, el más importante de todos. Los ordenadores

públicos situados en oficinas, cafeterías, bibliotecas, etc. se han convertido en uno
de los principales objetivos de los usurpadores de datos.

A través de troyanos y Keyloggers, los Phisher captan en estos equipos todo tipo de
información, ya que al estar abiertos en uso a multitud de personas, nadie controla
efectivamente la seguridad de los equipos.

Cuando accedas a tu correo, cuenta bancaria, etc. en un ordenador público, lo ideal es que
navegues desde un navegador portable, instalado en un pendrive propio. En caso de no
tenerlo, asegúrate de no guardar los datos de usuario y contraseña en el navegador, y
cuando acabes de utilizarlo, borra los archivos temporales y cookies.
 SEGURIDAD EN INTERNET

Consejo 6.- Favoritos

Los ataques Phishing en la red, suelen usar redirecciones a páginas con dominios falsos,
pero que presentan copias idénticas de páginas originales. Un consejo muy útil para no caer
en el descuido de no comprobar la dirección URL, es guardar en favoritos las páginas de
acceso a nuestro banco, correo electrónico o a gestores de pago online como Paypal.

Aún así, es conveniente que si has realizado pagos por Internet o consultado tus cuentas,
recomiendo que observéis el estado de éstas y reviséis los extractos bancarios, con el fin de
localizar algún posible caso de Phishing o estafa.

LOS VIRUS INFORMÀTICOS

Los Virus Informáticos son sencillamente programas
maliciosos (malwares) que “infectan” a otros archivos
del sistema con la intención de modificarlo o dañarlo.
Dicha infección consiste en incrustar su código malicioso
en el interior del archivo “víctima” (normalmente un
ejecutable) de forma que a partir de ese momento dicho
ejecutable pasa a ser portador del virus y por tanto, una
nueva fuente de infección.
Su nombre lo adoptan de la similitud que tienen con los
virus biológicos que afectan a los humanos, donde los
antibióticos en este caso serían los programas Antivirus.
Los virus informáticos tienen, básicamente, la función
de propagarse a través de un software, no se replican a sí mismos porque no tienen esa
facultad como los del tipo Gusano informático (Worm), son muy nocivos y algunos
contienen además una carga dañina (payload) con distintos objetivos, desde una simple
broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas
generando tráfico inútil.
.
¿Cuál es el funcionamiento básico de un virus?
Se ejecuta un programa que está infectado, en la mayoría de las ocasiones, por
desconocimiento del usuario.
El código del virus queda residente (alojado) en la memoria RAM de la computadora,
aun cuando el programa que lo contenía haya terminado de ejecutarse.
El virus toma entonces el control de los servicios básicos del sistema operativo,
infectando, de manera posterior, archivos ejecutables (.exe., .com, .scr, etc) que sean
llamados para su ejecución.
Finalmente se añade el código del virus al programa infectado y se graba en el disco,
con lo cual el proceso de replicado se completa.
 SEGURIDAD EN INTERNET

.
Las principales vías de infección son:
Redes Sociales.
Sitios webs fraudulentos.
Redes P2P (descargas con regalo)
Dispositivos USB/CDs/DVDs infectados.
Sitios webs legítimos pero infectados.
Adjuntos en Correos no solicitados (Spam

Saberse proteger contra los virus:

Instale en su computador un software Antivirus confiable (ver lista de opciones en la
siguiente sección).
Actualice con frecuencia su software Antivirus (mínimo dos veces al mes).
Analice con un software Antivirus actualizado, cualquier correo electrónico antes de
abrirlo, así conozca usted al remitente.
Analice siempre con un software Antivirus los archivos en disquete o Cd-Rom antes de
abrirlos o copiarlos a su computador.