SEGURIDAD DE LA

INFORMACIN Y
COMUNICACIONES

Objetivos
SEGURIDAD DE LA INFORMACIN
Incentivar

al personal de G4S a incrementar su cultura de seguridad de la

informacin.
Mostrar

a los usuarios lo vulnerable de la informacin y que ellos son

responsables de la misma.

Introduccin
La seguridad informtica consiste en asegurar que los recursos informticos
(hardware y software) de una organizacin sean utilizados correctamente
cumpliendo los objetivos para los cuales fueron planificados, y que el acceso
a la informacin all contenida, as como su modificacin, este permitido slo
a las personas que se encuentren acreditadas y dentro de los lmites de su
autorizacin
Trminos relacionados
Activo
Amenaza (Causa potencial de un incidente no deseado )
Impacto (Dao econmico que se produce cuando una se
materializa una determinada amenaza en un activo de informacin )

Riesgo (Probabilidad de que se materialice una amenaza )

Vulnerabilidad (Son debilidades asociadas a un activo que en si
mismas no causan dao. El dao se produce cuando una amenaza
explota una vulnerabilidad)

Ingeniera Social
Son aquellas conductas y tcnicas
utilizadas para conseguir informacin de las
personas. Es una disciplina que consiste
bsicamente en sacarle informacin a otra
persona sin que esta se de cuenta de que
est revelando "informacin sensible" y que
normalmente no lo hara.

Ingeniera Social
Cada vez que pensamos en problemas de
seguridad se considera como parte de un
plan integral al menos tres grandes esferas:
La tecnolgica
Las polticas
La humana video

ingeniera social

Ingeniera Social

MTODOS DE INGENIERA SOCIAL

1. Acercamiento. para ganarse la confianza del usuario
2. Alerta. para desestabilizar al usuario y observar la velocidad de su
respuesta
3. Distraccin. una frase o una situacin que tranquiliza al usuario y evita
que se concentre en el alerta

Ingeniera Social
La ingeniera social puede llevarse a cabo a travs de una serie de
medios:
Por telfono

Por correo electrnico

Ingeniera Social
La ingeniera social puede llevarse a cabo a travs de una serie de
medios:
Por mensajera instantnea

Por correo tradicional

Ingeniera Social
La ingeniera social puede llevarse a cabo a travs de una serie de
medios:
Va Internet
(redes sociales, paginas de juegos, msica, videos, pornografa )

Mediante dispositivos de almacenamiento

Ingeniera Social
Cmo puede protegerse?

Ante este tipo de ataques todos estamos expuestos y la mejor

forma de contrarrestarlo es conociendo los mtodos de ingeniera
que aplicarn en nuestra contra, esto en TI lo llamamos Ingeniera
Inversa.

Ingeniera Social
Ingeniera inversa
La mejor manera de protegerse contra las tcnicas de ingeniera social es
utilizando el sentido comn y no divulgando informacin que podra poner en
peligro la seguridad de la compaa.
Sin importar el tipo de informacin solicitada, se aconseja que:
Averige

la identidad de la otra persona al solicitar informacin precisa

(apellido, nombre, compaa, nmero telefnico)
Si

es posible, verifique la informacin proporcionada

Pregntese

qu importancia tiene la informacin requerida

Ingeniera Social
Es necesario capacitar a los usuarios para que tomen conciencia acerca
de los problemas de seguridad.
Exigir

a los nuevos empleados pasar por una orientacin de seguridad

informtica con el departamento de sistemas.
Capacitar

sobre el manejo de la informacin (ya sea en el computador o en

papel) y cmo protegerla.
Mantener

un contacto amigable y permanente de los empleados de oficina con

el departamento de seguridad informtica de la empresa.
Generar

campaas en donde se genere conciencia de los peligros de la

ingeniera social

Ingeniera Social
Es necesario capacitar a los usuarios para que tomen conciencia acerca
de los problemas de seguridad.
Animar

a seguir las polticas de seguridad de la empresa y a realizar todos los

procedimientos de forma adecuada (Tips).
Definir

accesos por prioridades y trabajos, lo que significa que no todos los

empleados pueden tener acceso a determinados sectores del ambiente
conectado.
Conocer

los procesos de ingeniera social, sus principios, sus tcnicas, la

manipulacin y la explotacin de los sentimientos y emociones de las personas.
De esta forma podr anticiparse a los riesgos de los ataques.
No

basta con poner candados, la persona que tiene la llave debe saber cundo
y cmo usarla.

Ingeniera Social

Tips para el Personal de la empresa

1. - Antes de abrir los correos analizarlos con un antivirus
2. - Nunca ejecutar un programa de procedencia desconocida
3. - Los usuarios no necesitan tener acceso a todo tipo de archivos

Ingeniera Social
Tips para el Personal de la empresa
4. - Nunca informe telefnicamente de las caractersticas tcnicas de la red.
5.- Controlar los accesos fsicos
6.- Nunca tirar documentacin tcnica a la basura, sino destruirla.
7.- Verificar previamente la veracidad de la fuente que solicite cualquier
informacin.

Ingeniera Social
EJEMPLO DE INGENIERIA SOCIAL
Ejemplo 1: usted recibe un mensaje de e-mail, diciendo que su ordenador est
infectado por un virus. El mensaje sugiere que instale una herramienta
disponible en un sitio web de Internet para eliminar el virus de su ordenador.
La funcin real de esta herramienta no es eliminar un virus, pero s permitir
que alguien tenga acceso a su computador y a todos los datos en l
almacenados.
Ejemplo 2: barras de acceso directo para navegadores, son utilizadas para
captura de informacin
Ejemplo 3: Los formularios que un usuario tiene que completar al momento de
crear una nueva cuenta de correo, con valiosa informacin tales como
ingresos anuales promedio, gustos y hobby, edad y otros datos personales
con los que fcilmente luego pueden hacerles ofertas a medida.

Ingeniera Social
Conclusiones:
Las usuarios son la amenaza ms alta (90%)
Podemos tener la mejor tecnologa, firewalls, sistemas de deteccin de ataques,
dispositivos biomtricos, etc. Lo nico que se necesita es un llamado a un
empleado desprevenido e ingresar sin ms.
La gente quiere ser agradable y no pretende armar un escndalo, pero es
importante ensearles a decir no.

Pishing
Se define Phishing como la capacidad de duplicar una pgina web para hacer
creer al visitante que se encuentra en el sitio web original, en lugar del falso.
El phishing consiste en el envo de correos electrnicos que, aparentando
provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener
datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser
pulsado, lleva a pginas web falsificadas. De esta manera, el usuario, creyendo
estar en un sitio de toda confianza, introduce la informacin solicitada que, en
realidad, va a parar a manos del estafador.

Pishing
Banco Pichincha

Pishing
Produbanco

Pishing
Tips para usuario
Observar si la direccin comienza con https: en lugar de solo http:
Compruebe que la navegacin es segura y el sitio web bancario transmite su
informacin encriptada por medio del protocolo de seguridad SSL (Secure
Sockets Layer) que garantiza la comunicacin entre el servidor y el cliente
Una

prueba rpida para comprobar la veracidad de la web de nuestro banco

y no ser engaados por algunas web creadas para robar datos, es dar un
"doble click" sobre el candado amarillo, una vez realizado nos saldr el
certificado de autenticidad que asegura la identidad de nuestro Banco.

Pishing
Tips para usuario

El Banco NUNCA le solicitar que informe de sus claves o datos a travs del
correo electrnico.
Guarde sus claves de acceso en secreto. Nunca las revele a nadie ni las anote
en lugares visibles o de fcil acceso, como la pantalla, teclados, ni hacer un
documento que ponga "claves-bancarias.txt".
Cuando est accediendo a la Banca por Internet no desatienda sus operaciones
distrayndose con otras cosas, es mejor bloquear el ordenador o apagarlo.
Cierre la sesin cuando termine de operar con su oficina virtual.

Robo de Identidad

El robo de identidad es tcnicamente un nombre que agrupa ciertas

modalidades en donde una persona suplanta a otra su identidad. La sustitucin
de la misma puede ser: real o fsica; y digital o virtual. El robo o usurpacin de
identidad se configura cuando una persona obtiene o realiza alguna actividad en
nombre de nosotros, utilizando documentacin robada, perdida, adquirida a
travs de programas maliciosos de Internet o de la ingeniera social

Robo de Identidad
Las tcnicas ms utilizadas son:
Phishing,

tanto en e-mails como en sitios web fraudulentos.

Ingeniera
Troyanos
Intrusin

social.

y keyloggers. ejemplo-programa

en equipos en forma directa.

Robo de Identidad
Tips para el usuario:
Proteccin con contrasea. Elija siempre contraseas potentes para proteger las
cuentas.
Cree contraseas nicas para cada una de sus cuentas.
Ejecute el software antivirus para verificar los correos electrnicos y actualice
con frecuencia las definiciones de virus.
Precaucin al abrir y leer tus mensajes electrnicos: Estafadores podran tratar
de usurpar tus datos con pginas que lucen genuinas y causar el robo de
identidad.

Fraude Informtico

Se podra definir el delito informtico como toda accin (accin u omisin)

culpable realizada por un ser humano, que cause un perjuicio a personas sin
que necesariamente se beneficie el autor o que, por el contrario, produzca
un beneficio ilcito a su autor aunque no perjudique de forma directa o
indirecta a la vctima, tipificado por La Ley, que se realiza en el entorno
informtico y est sancionado con una pena.

Fraude Informtico

Sabotaje informtico

Conductas dirigidas a causar daos fsicos crear video

Conductas dirigidas a causar daos lgicos video empleado resentido

Ataques a Contraseas

Los ataques a contraseas son diversas tcnicas que incluyen cualquier accin
dirigida a romper, descifrar o borrar contraseas o cualquier mecanismo de
seguridad.
Este tipo de ataques puede ser efectuado
Por Diccionario
Por fuerza bruta

Ataques a Contraseas
Qu podra alguien hacer si tuviera su contrasea?
Acceder

informacin en su computadora, y alterar sus archivos, robar, o alterar

informacin.
Abrir

cuentas nuevas y comprar, comprar, y comprar

Cambiar

su direccin de correo electrnico y hacer que cosas que compraron (y

facturado) les sean enviadas
Retirar

dinero de su banco

Solicitar

prestamos

Pretender

ser usted en salas de Chat en lnea o en otras actividades en lnea,

como subastas.

Ataques a Contraseas
Asegrese de crear una contrasea que:
Tenga varios caracteres, y mientras ms larga, mejor.
Incluya letras maysculas y minsculas, nmeros y smbolos
Se vea como una secuencia al azar de letras y nmeros
Asegrese de:
No utilizar ninguna parte de su nombre de usuario
No utilizar ninguna parte de su vieja contrasea
No usar letras o nmeros consecutivos como abcde o 12345
No utilizar teclas adyacentes en su teclado como qwert

Ataques a Contraseas
Manejo de contrasea:
No

la escriba

No

compartirla con nadie

No

seleccionar la caracterstica Recordar mi contrasea

Crear

diferentes contraseas para informacin muy segura

Cambiar

su contrasea con frecuencia

Ataques a Contraseas
Manejo de contrasea:
Si existe una razn para decirle a alguien su contrasea o sospecha que esta
comprometida, cambiarla en la primera oportunidad.
En

caso robo de contrasea notificar de inmediato al departamento de sistemas

"Mi

primera bicicleta fue una BMX negra = MpbfuBMXn

Establecer

un nmero mximo de tentativas

video contrasea segura

Spam
Se llama SPAM, correo basura o sms basura a los mensajes no solicitados,
habitualmente de tipo publicitario, enviados en grandes cantidades (incluso
masivas) que perjudican de alguna o varias maneras al receptor.
Aunque se puede hacer por distintas vas, la ms utilizada entre el pblico en
general es la basada en el correo electrnico.
El Spam asume actualmente la mayor parte de los mensajes electrnicos
intercambiados en internet, siendo utilizado para anunciar productos y servicios
de dudosa calidad
Rolex, eBay o Viagra son los asuntos de los mensajes que compiten por el
primer lugar en las clasificaciones de Spam

Spam
Como consiguen nuestras direcciones?
Pginas web de suscripcin (mira quien te ha borrado de messenger).
Listas de correo. spam
Compra de bases de datos.
Entrada ilegal en servidores.
Por ensayo y error.

Spam
Medidas para evitar SPAM
A pesar que no existen tcnicas infalibles para protegerse del spam, se
recomienda:
No utilizar tu cuenta corporativa G4S en suscripciones de pginas de noticias,
chistes, consejos, promociones, juegos, descargas, programas.
Agregar al antivirus o cuenta de correo tu lista de correos no deseados.
No enviar cadenas de mensajes de ningn motivo.
Notificar al departamento de sistemas sobre correos repetitivos, propagandas o
correos de anuncios.

Spoofing y Exploits
Spoofing, en trminos de seguridad de redes hace referencia al uso de tcnicas
de suplantacin de identidad generalmente con usos maliciosos o de
investigacin.
Existen diferentes tipos dependiendo de la tecnologa a la que nos refiramos
como el IP spoofing (quizs el ms conocido), DNS spoofing, Web spoofing o email spoofing, aunque en general se puede englobar dentro de spoofing
cualquier tecnologa de red susceptible de sufrir suplantaciones de identidad

Spoofing y Exploits
Un Exploit es un programa o tcnica que aprovecha una vulnerabilidad para
causar daos en nuestros sistemas. (video flooding)
Los exploits dependen de:
Sistemas operativos y sus configuraciones
Configuraciones de los programas que se estn ejecutando en un ordenador
Red de datos
Pero qu es una vulnerabilidad?
Una vulnerabilidad es un hueco o fallo en un sistema informtico que evitar que
se pueda usar correctamente, o que permitir que lo controlen personas no
autorizadas