UTILIZACIÓN SEGURA DE MEDIOS ELECTRÓNICOS

Transcripción

1 UTILIZACIÓN SEGURA DE MEDIOS ELECTRÓNICOS 1

2 2

3 Utilización segura de medios electrónicos Autores: Rafael Muruaga Ugarte María Vega Prado David Morán Ferrera 3

4 Impresión. Depósito Legal. Diseño. 4

5 PRESENTACIÓN DEL MANUAL EAP 5

6 PRÓLOGO A lo largo de este manual, se van a presentar cuáles son los riesgos a los que los usuarios se enfrentan cuando recurren a Internet como herramienta de intercambio de información, fuente de información, medio de comunicación, etc. La elección de las herramientas que se recogen en el manual, responde al uso más amplio que se está registrando en Internet. En este curso se inicia con un enfoque global de las comunicaciones en su origen ( Cuándo se inició todo? El origen de Internet). Una vez que se recoge de forma breve el nacimiento de la red de redes, no es el fin de este curso el ahondar en cuestiones técnicas de comunicaciones; se recoge un resumen global y breve sobre cuestiones generales de seguridad en un equipo informático. El equipo informático es el origen de las comunicaciones y en muchos casos es el destino de muchas de las amenazas que se registran cuando se navega a través de la red. Por eso se dan unas pequeñas recomendaciones generales para mantener un equipo protegido. Después, ya se enfocan cuestiones más ligadas a la navegación, se comienza con una serie de recomendaciones generales sobre la navegación, para después ir especificando qué riesgos y qué recomendaciones se pueden hacer para cada herramienta abordada. Las herramientas que se recogen son el correo electrónico, las redes sociales, las redes P2P, el almacenamiento en línea. Por último, ya que este documento pretende ser una guía útil para el usuario, se aborda también los riesgos que entrañan los smartphone y tablets para los usuarios, así como recomendaciones y configuraciones que pueden ayudar a un usuario a mantener sus dispositivos e información más segura. Se introduce este tema ya que en la actualidad se ha disparado el uso de estos dispositivos tanto en la vida privada como la profesional. En todas las unidades se introducirán cuáles son los principales riesgos que presenta cada sistema, para después exponer qué recomendaciones de seguridad se deben seguir. La finalidad de este manual es que el usuario disponga de nociones básicas de seguridad para su uso, pero además se va a pretender que sea un curso participativo para los usuarios. 6

7 Utilización segura de medios electrónicos. Utilización segura de medios electrónicos. Unidad 1: Introducción. Unidad 2: Recomendaciones generales de seguridad. Unidad 3: Fraude en Internet. Unidad 4: Buenas prácticas de uso de Internet Unidad 5: Correo electrónico. Recomendaciones de uso de correo electrónico. Configuración de correo electrónico. Firma electrónica. Unidad 6: Redes sociales. Riesgos de las redes sociales. Recomendaciones de seguridad Configuración segura de Facebook. Unidad 7: Redes P2P. Riesgos de las redes P2P. Recomendaciones de seguridad Unidad 8: Almacenamiento externalizado. Riesgos del almacenamiento en línea. Recomendaciones de seguridad Unidad 9: Smartphones, tablets. Asegurar smartphone y tablets. 7

8 Introducción del Módulo y Objetivos ó Expectativas de aprendizaje. En este módulo se va a dotar al usuario de una serie de recursos que le permitan realizar un uso más seguro de los medios electrónicos que tiene a su disposición. El manual se distribuye en 9 unidades a través de las cuales se abordarán los riesgos y recomendaciones de seguridad de los sistemas informáticos más utilizados actualmente. Los sistemas que se recogen en el manual por entender que son ahora las plataformas más utilizadas son el correo electrónico, las redes sociales, las redes P2P y el almacenamiento externalizado. Por último también se recoge qué problemas puede presentar un smartphone o tablet para el usuario y algunas configuraciones que van a ayudar a que el dispositivo disponga de un terminal más seguro. El curso se va a desarrollar de tal forma que el usuario participe en las sesiones para que además de los temas que se abordan en el manual, se puedan resolver otras dudas que se puedan plantear, de ahí que se plantee un curso participativo para el usuario. 8

9 Contenido 1. Introducción Recomendaciones generales de seguridad sobre equipos informáticos El fraude en Internet Elementos utilizados en el fraude en Internet Tipos de fraude más difundidos Falsas Páginas Web Malware bancario Otros timos Cómo reconocer un mensaje fraudulento Cómo reconocer una página Web fraudulenta Buenas prácticas para un uso seguro de Internet Correo electrónico Recomendaciones de uso de correo electrónico Configuración de cliente Outlook Firma electrónica Redes sociales Riesgos de las redes sociales Recomendaciones de seguridad en el uso de las redes sociales Configurar Facebook para navegación segura Redes p2p Riesgos en las redes P2P Recomendaciones de seguridad sobre redes P2P Almacenamiento externalizado Riesgos del almacenamiento en la nube Recomendaciones de seguridad sobre almacenamiento en línea Smartphones, tablets, dispositivos móviles

10 9.1 Asegurar smartphone o tablet Control del uso del dispositivo por terceros Controlar quién accede a la información que hay almacenada en el dispositivo Cuenta de correo asociada al dispositivo Protección contra virus Hacer copias de seguridad del dispositivo Conclusiones Anexo I Anexo II Mapa conceptual Referencias

11 1. Introducción. En el desarrollo de Internet, hay que destacar dos hitos importantes. Por una parte, el origen de Internet se remonta a los años 60 en los que se inició el desarrollo de la red de computadoras ARPANET (Advanced Research Projects Agency Network), para el Departamento de Defensa de los Estados Unidos. Este fue el primer paso para desarrollar una red que uniera equipos que se encontraban en distintas ubicaciones y hacer posible la transmisión de información entre los dispositivos. El desarrollo de la red, se basó en las teorías de conmutación de paquetes que se habían empezado a publicar y debatir alrededor de Otro paso importante en el desarrollo de Internet, fue el desarrollo del modelo TCP/IP. El modelo TCP/IP es un conjunto de protocolos para la comunicación de datos que se comenzó a implementar en el ámbito militar en la década de los 80. Durante las últimas décadas de expansión vertiginosa de Internet, se ha mantenido el uso del protocolo TCP/IP, algunas de las razones que ha hecho posible el rápido desarrollo de Internet sin dejar a un lado el protocolo TCP/IP, se debe principalmente a las siguientes características del protocolo TCP/IP: Los estándares del protocolo TCP/IP son abiertos y ampliamente soportados por todo tipo de sistemas, es decir, se puede disponer libremente de ellos y son desarrollados independientemente del hardware de los ordenadores o de los sistemas operativos. TCP/IP funciona prácticamente sobre cualquier tipo de medio, no importa si es una red Ethernet, una conexión ADSL o una fibra óptica. La situación actual es totalmente diferente a la situación que tenía lugar hasta la década de los 90 en la que el acceso a las redes de conmutaciones de datos estaba reservado para ámbitos militares o gubernamentales y que por lo tanto no estaba al alcance de un usuario final. Actualmente la amplia mayoría de ciudadanos tiene acceso a Internet en el hogar, en los centros educativos, en el ámbito laboral, etc. Esta revolución de las comunicaciones que está teniendo lugar, hace posible que la red cada día ofrezca más servicios al usuario con el fin de facilitar la realización de trámites que únicamente se podían realizar de forma presencial. Son ejemplos de estos cambios la oferta de tramitación de trámites con la administración pública a través de la red, la posibilidad de realizar compras, realizar acciones bancarias, etc. Además de posibilitar la realización de trámites, Internet ha dado lugar a nuevas formas de comunicación e intercambio entre usuarios, facilitando una multitud de herramientas de interacción entre usuarios como son las redes sociales, chats, blogs, almacenamiento en línea, correo electrónico, etc. La problemática que se encuentra con Internet es que a pesar de posibilitar diversas formas de comunicación y facilitar la realización de gestiones, en muchas ocasiones presenta riesgos para el usuario que está haciendo uso de las herramientas, si éste no sigue una serie de pasos para comprobar y garantizar que las acciones que se están llevando a cabo se están desarrollando de forma segura. En este módulo de Utilización segura de medios electrónicos, se van a presentar cuáles son una serie de buenas prácticas que se deben considerar cuando se accede a la red no sólo para consular información sino para realizar trámites, intercambiar información, etc. Se contemplarán recomendaciones generales de seguridad y también se particularizarán qué riesgos y qué precauciones se deben tomar en casos como las redes sociales, correo, P2P, etc. El módulo se estructura de tal forma que se comienza con recomendaciones generales de seguridad a nivel de equipo, para después ir introduciendo buenas prácticas para la navegación, redes sociales, correo, etc, los riesgos qué plantean y qué acciones y precauciones se deben tomar para evitar los riesgos que se derivan de su uso. 11

12 2. Recomendaciones generales de seguridad sobre equipos informáticos. La herramienta a través de la cual se accede a la red es el equipo informático y por lo tanto es necesario que el estado del mismo sea adecuado para que ofrezca la seguridad que el usuario necesita. Los aspectos que se deben tener en cuenta son: Antivirus. Es imprescindible que en el equipo informático se disponga de un software antivirus. El antivirus es el programa encargado de escanear el ordenador para detectar virus y en el caso de encontrarlos, eliminarlos. Además de realizar análisis del sistema en busca de amenazas para eliminarlas, el antivirus es el encargado de evitar que las amenazas puedan acceder al equipo bloqueando su ejecución en el mismo. Como cada día aparecen nuevos virus, es sumamente importante mantener actualizados los antivirus Actualización del equipo. Por un lado es importante que se mantenga el sistema operativo del equipo correctamente actualizado, ya que cuando se detecta alguna brecha de seguridad en los sistemas operativos se publica una actualización que tiene que ser instalada en los equipos, para eliminar las vulnerabilidades que presentan. Además de actualizar el sistema operativo es importante actualizar las aplicaciones que están instaladas en el PC para evitar también que posibles atacantes puedan utilizar las vulnerabilidades que una aplicación puede tener y para la cual se presenta una actualización que la soluciona. Utiliza software legal. La utilización de software legal ofrece más garantías de seguridad así como la disponibilidad de soporte y acceso a las actualizaciones correspondientes. Actualmente existe una gran cantidad de herramientas de software libre que se pueden utilizar sin necesidad de pagar licencias con todas las garantías de seguridad. Crear distintos usuarios. No todas las personas que acceden a un equipo informático van a realizar las mismas acciones y por lo tanto no es necesario que todos tengan los mismos privilegios o permisos en el equipo. Es una buena práctica crear diferentes usuarios en los equipos con los permisos mínimos necesarios para realizar las acciones que el usuario tiene que llevar a cabo. Además es importante que las contraseñas que se establezcan para los usuarios sean seguras para evitar problemas de suplantación de identidad. Bloquear el equipo. El control de lo que sucede en un equipo informático está limitado a la presencia del usuario en el mismo, por lo tanto, es muy importante que cuando un usuario no va a estar ante el equipo informático, se bloquee de tal forma que tan sólo se pueda acceder introduciendo de nuevo la contraseña del usuario que ha bloqueado el equipo. Esta recomendación es especialmente importante cuando el equipo se encuentra en lugares públicos o en los lugares de trabajo en los que se encuentran muchos usuarios. Cifrado de la información. Existe la posibilidad de cifrar la información contenida en un equipo informático. De esta forma se da una mayor seguridad a los datos contenidos ya que aún en el caso que se acceda al equipo de manera deshonesta, la información no será legible para el intruso ya que se encuentra codificada bajo una norma que el usuario haya determinado. Con estas sencillas recomendaciones que se acaban de enumerar, se reducen los riesgos de infección, intrusión, robo, etc a un equipo informático 12

13 3. El fraude en Internet. Antes de pasar a especificar qué recomendaciones de seguridad debe seguir un usuario cuando navega a través de la red, se van a tratar primero las cuestiones más importantes sobre el fraude en Internet. 3.1 Elementos utilizados en el fraude en Internet La ingeniería social es la herramienta más utilizada para llevar a cabo toda clase de estafas, fraudes y timos sobre los usuarios a través del engaño. Estas técnicas consisten en utilizar un reclamo para atraer la atención del usuario y conseguir que actúe de la forma deseada, por ejemplo convenciéndole de la necesidad de que reenvíe un correo a su lista de direcciones, que abra un archivo que acaba de recibir que contiene un código malicioso, o que proporcione sus códigos y claves bancarias en una determinada página web. Esta última forma de actuación es la que se conoce como phishing. En el phishing el usuario es dirigido a una página web que aparentemente es igual que la página oficial para que introduzca todos los datos posibles, de esta forma el timador obtiene todos los datos del usuario. El correo masivo y no deseado, conocido como spam, constituye el mejor y más barato mecanismo de difusión de cualquier información y, por lo tanto, de cualquier intento de fraude. El malware, virus, gusanos, troyanos, keyloggers, capturadores de pantalla, etc, diseñados específicamente para realizar tareas fraudulentas, interceptan los datos que el usuario intercambia con una determinada entidad o las pulsaciones de su teclado para hacer un uso ilegítimo de las mismas. Todos los datos que un usuario introduce en el equipo son capturados y almacenados para posteriormente ser utilizados. 3.2 Tipos de fraude más difundidos El fraude electrónico utiliza diferentes medios, de forma resumida, se pueden hablar de tres tipos de fraudes: Falsas Páginas Web Malware bancario Otros Timos A continuación se recogen cuáles son las características principales de cada uno de los tres principales tipos de fraude. Falsas Páginas Web. Las páginas web falsas tienen las siguientes finalidades: Ofrecer servicios inexistentes. En este caso los usuarios realizan un pago a través de una página web y después de esto el usuario no recibirá el servicio o producto que se le ha ofrecido. Ejemplos de este tipo son tiendas de comercio electrónico que no proporcionan los productos que los usuarios compran o que desaparecen una vez que el usuario ha realizado el pago correspondiente. Suplantación de páginas oficiales que imitan el contenido de ciertas páginas web pertenecientes a sitios web oficiales de entidades bancarias, comercio o administraciones públicas, con el objetivo de robar la información que el usuario intercambia habitualmente con dicha entidad. La suplantación de identidad es el tipo de fraude más habitual y el que mayor incidencia tiene actualmente, ya que aprovecha la familiaridad o despreocupación con la que se navega a través 13

14 de las distintas páginas web, sin prestar atención a la información que proporciona el navegador acerca del sitio web visitado. El timador intenta que el usuario visite la página web falsa para conseguir la finalidad por la que fue creada a través de diversos medios. Según el medio utilizado se establecen los siguientes conceptos: Phishing: El defraudador intenta engañar al usuario a través de un correo electrónico que envía de forma masiva con el fin de aumentar sus probabilidades de éxito. Este correo electrónico aparenta haber sido enviado por la entidad suplantada para lo que utiliza imágenes de marca originales o direcciones de sitios web similares al oficial. El Pharming modifica los mecanismos de resolución de nombres sobre los que el usuario accede a las diferentes páginas web tecleando la dirección en su navegador. Esta modificación provoca que cuando el usuario introduce en el navegador la dirección del sitio web legítimo, automáticamente es dirigido hacia una página web fraudulenta. El Scam utiliza también el correo electrónico para la divulgación de la página web falsa, pero el contenido del mensaje no intenta suplantar a ningún tercero sino que ofrece cantidades de dinero a conseguir fácilmente después de proporcionar cierta información personal y/o bancaria. SMiShing: En este caso es un mensaje SMS el gancho utilizado para el engaño y su funcionamiento es similar al del Phishing. Aprovecha las funcionalidades de navegación web de los terminales de telefonía móvil para que el usuario acceda de manera inmediata a la página web falsa y proporcione allí sus datos. Ante este tipo de fraude, el usuario debe utilizar el sentido común, tener en cuenta el riesgo que implica el uso de Internet y desconfiar de todas las ofertas milagro que aparecen a través de la red ofreciendo siempre beneficios muy superiores a los que se obtiene a través de los cauces habituales. Malware bancario. Cada día está más extendido el uso de código malicioso o malware que se instala en el equipo informático del usuario que va a ser víctima del timo para capturar los datos que el usuario introduce en el equipo. Se distinguen dos estrategias principales: Keyloggers: Toman este nombre aquellos códigos maliciosos que recogen las pulsaciones del teclado del usuario o incluso capturas de lo visualizado en pantalla cuando el usuario pulsa el botón izquierdo del ratón. Pueden utilizarse para capturar usuarios y contraseñas o claves de acceso a diversos sitios web, incluidos los servicios de banca online, comercio electrónico o administración. Esta captura puede estar limitada, activándose sólo cuando el usuario visita ciertos sitios web. Troyano bancario: Este código malicioso se especializa en determinadas entidades bancarias modificando el aspecto de su página web legítima. El efecto habitual de un troyano es la superposición de una ventana, que no se muestra como tal, cuando el usuario accede al servicio online de la entidad afectada. La ventana superpuesta simula, en parte o en su totalidad, a la página web legítima con el fin de que el usuario introduzca la información en ella bajo la creencia de que lo está haciendo en la auténtica. 14

15 Para estar protegidos ante este tipo de fraude, es importante contar con un software antivirus correctamente actualizado que detecte el código malicioso y lo elimine del ordenador. Otros timos. En este apartado se identifican otros métodos para intentar defraudar al usuario utilizando diferentes medios electrónicos para contactar con él y conseguir engañarle bajo diferentes argumentos. Según la forma que toma este fraude se distinguen los siguientes casos: Cartas Nigerianas: El usuario recibe un correo electrónico donde le ofrecen el acceso a una gran suma de dinero, previo pago de un anticipo que el timador justifica bajo la necesidad de liberar una fortuna en alguna divisa extranjera o país en conflicto, y ofrece una pequeña parte de la misma una vez haya sido liberada. Estafa Piramidal: Normalmente llega a través de un correo electrónico que ofrece un trabajo basado en la promoción de productos y en la captación de nuevos empleados. Al contactar con la presunta empresa, indican que los nuevos miembros deben abonar una tasa de iniciación. Una vez incluidos en la organización, se descubre que los beneficios obtenidos no vienen tanto por la venta o promoción de los productos sino por la captación de nuevos miembros. Mulas: Un correo electrónico ofrece al usuario la posibilidad de quedarse con un porcentaje de una transacción electrónica por el simple hecho de realizar otra transferencia del importe recibido, menos la comisión acordada, a otra cuenta que se le indica. Este caso no sólo se corresponde con un fraude, sino que además la persona se convierte en colaborador de un delito de blanqueo de dinero. HOAX: Con este nombre se designan aquellos mensajes electrónicos que contienen el típico bulo o noticia falsa y se utilizan para sensibilizar al usuario con el fin de que realice aportaciones económicas. Vishing: El usuario recibe un correo electrónico o mensaje SMS en el que se le indica que deberá llamar a un determinado número telefónico. Al llamar a dicho número se accede a un servicio que utiliza telefonía IP en el que se le solicita información personal como números de tarjetas, números de cuentas bancarias o usuarios/contraseñas de acceso. Todos estos timos son fácilmente evitados utilizando el sentido común del usuario. No se debe confiar en correos electrónicos u otros mensajes electrónicos que se reciban solicitando aportaciones de dinero o información personal. Por supuesto se debe desconfiar de cualquier oferta que proporcione acceso fácil a cantidades importantes de dinero. 3.3 Cómo reconocer un mensaje fraudulento. A continuación se van a recoger algunas características que pueden ayudar al usuario a reconocer un mensaje fraudulento. Hacer hincapié en que estas son sólo algunas características, pero el fraude evoluciona diariamente y el usuario puede recibir mensajes con otras características que también se tratan de un mensaje fraudulento. Lo más adecuado es que ante la menor duda que plantee un mensaje que se recibe sin haber solicitado, se elimine sin seguir las indicaciones del mismo. Aunque es imprescindible prestar atención especial a los mensajes recibidos que pueden perseguir un fin fraudulento, es importante aclarar que por el simple hecho de recibir un mensaje de este tipo, el equipo informático no está infectado ni ninguno de los datos del usuario se ha visto comprometido. Las entidades financieras, establecimientos de comercio electrónico y una administración pública, NUNCA se dirigen al usuario solicitando sus datos de acceso o de pago por medio de un correo electrónico, hay que desconfiar siempre de este tipo de mensajes. No se debe responder a este tipo de 15

16 mensajes si no se tiene la máxima garantía de que proviene de la fuente correcta. Si se cree que una compañía, con la que se mantiene una cuenta o a la que se le hace pedidos de compra, o cualquier administración pública, puede necesitar este tipo de información, es preferible ponerse directamente en contacto con ella Se puede utilizar para este contacto una vía alternativa al origen de la solicitud sobre la que se tenga certeza de su fiabilidad. Estos mensajes utilizan todo tipo de ingeniosos argumentos relacionados con la seguridad de la entidad o el adelanto de algún trámite administrativo para justificar la necesidad de facilitar sus datos personales. Algunas excusas frecuentes son: Problemas de carácter técnico. Recientes detecciones de fraude y urgente incremento del nivel de seguridad. Nuevas recomendaciones de seguridad para prevención del fraude. Cambios en la política de seguridad de la entidad. Promoción de nuevos productos. Premios, regalos o ingresos económicos inesperados. También está bastante extendido el envío de mensajes para informar de la necesidad de acceder a una url que se incluye en el cuerpo del mensaje para evitar que la cuenta de correo en la que se recibe el correo sea deshabilitada. En otros casos se pide que se responda a una cuenta de correo electrónico para mantener la cuenta activa o porque se ha superado la capacidad del buzón. Además, un correo fraudulento tratará de forzar al usuario a tomar una decisión de forma casi inmediata advirtiendo de consecuencias negativas como puede ser la denegación de acceso al servicio correspondiente. Aunque los timadores perfeccionan sus técnicas continuamente, los mensajes fraudulentos generalmente se generan a través de herramientas automáticas de traducción por lo que suelen presentar faltas ortográficas y errores gramaticales. En muchos casos incluso contienen palabras que no se han traducido de forma correcta. Como ya se ha indicado anteriormente, éstas son algunas de las características de estos correos, pero puede pasar que tengan otras características. 3.4 Cómo reconocer una página Web fraudulenta Es posible evitar posibles fraudes asegurándose que efectivamente el usuario se encuentra en la página que realmente cree. Para verificar la legitimidad de una página es necesario comprobar su certificado digital, elemento de seguridad por el que un tercero de confianza garantiza que la página es realmente de la entidad que dice ser. Para que este proceso sea más intuitivo las últimas versiones de los navegadores interpretan los certificados mediante códigos de colores, de manera que por el simple color de la barra de navegación se pueda comprobar la legitimidad de la página. En función de este código de colores, hay dos niveles de confianza, que se describen a continuación. Página confiable. 16

17 Si la barra de direcciones es de color verde, se puede estar seguro de que la página es de la entidad que dice ser. Internet Explorer Fondo de la barra de direcciones en color verde Aparece el nombre de la entidad al lado del candado, también en fondo verde. Mozilla Firefox En el icono de la página aparece el nombre de la entidad y todo ello con fondo verde. Safari Aparece el nombre de la entidad, con fondo verde cuando se pasa el cursor por encima Chrome Aparece el candado cerrado y verde en la línea de direcciones Página confiable si... Si la página sigue manteniendo "https", pero la barra de direcciones no se pone de color verde, se debe tener alguna consideración adicional. En este caso, el tipo de certificado que usa la página no proporciona información de identidad, es decir, no se ha llegado a verificar que la dirección pertenece realmente a la entidad. Por este motivo para poder utilizar la página con unas mínimas garantías, se debe estar seguro de que la dirección de la página que se va a visitar pertenece a la entidad y la dirección en la barra de navegación está bien escrita. En ocasiones los estafadores intentan suplantar las páginas utilizando direcciones similares y creando páginas prácticamente idénticas. 17

18 4. Buenas prácticas para un uso seguro de Internet. Cuando un usuario se va a conectar a Internet además de las consideraciones generales que se apuntaron anteriormente, se debe prestar atención a otros aspectos concretos que están directamente relacionados con la navegación a través de la red. Aunque algunas recomendaciones que se van a recoger a continuación se incluyeron de forma general en el primer punto del módulo, es importante concretarlas y hacer hincapié en las mismas para que el usuario tome conciencia de su importancia. NO descargar o ejecutar ficheros de sitios sospechosos. Las descargas se pueden convertir en una fuente de malware o virus para el pc si no se realizan de forma controlada o si se realizan desde sitios sospechosos. Las descargas de programas se deben realizar desde los sitios oficiales para evitar que lo que se está descargando sea software malicioso que se va a instalar en el equipo informático para obtener información del usuario de forma fraudulenta. Analizar con el antivirus todas las descargas. Cuando se realizan descargas, es necesario realizar un análisis con el antivirus del archivo descargado antes de abrirlo en el equipo. Para que el análisis que se realiza sea efectivo, es necesario que el antivirus esté correctamente actualizado ya que cada día aparecen nuevas definiciones de virus y el software tiene que estar preparado para detectarlo y eliminarlo. Actualizar el navegador. Los navegadores son los programas que permiten acceder a la información en Internet. Los navegadores influyen directamente en la experiencia de navegación del usuario (velocidad de navegación) y en el consumo de recursos del equipo informático. Pero la razón más importante que nos ocupa es la parte relacionada con la seguridad del equipo, de los datos que se intercambian a través del navegador, etc. En este sentido, si se utiliza un navegador anticuado, éste es bien conocido por los hackers por lo que se les está dejando el camino más fácil para que el usuario sea atacado. El motivo por el que aparecen tantas actualizaciones para los navegadores y con tanta frecuencia, es porque en cuanto se descubre una brecha de seguridad, se publica la actualización que elimina esta vulnerabilidad. Configurar el nivel de seguridad del navegador. En este punto, cada usuario debe realizar esta configuración de acuerdo a sus preferencias. Si las configuraciones de seguridad son demasiado altas, puede influir en una experiencia de navegación lenta, por lo tanto es importante encontrar un compromiso medio de seguridad de tal forma que esté suficientemente protegido pero a la vez no se ralentice la experiencia de navegación. En el siguiente en lace se puede encontrar una completa guía de configuración del navegador. Configurar un cortafuegos. Un cortafuegos es un sistema que protege a un ordenador o a una red de ordenadores contra intrusiones provenientes de redes de terceros (generalmente desde internet). Un sistema de firewall filtra paquetes de datos que se intercambian a través de internet. Por lo tanto, se trata de una pasarela de filtrado y su utilización va a hacer posible impedir accesos no deseados a/desde Internet. En algunas ocasiones las corporaciones eliminan la utilización del firewall en el pc ya que son incompatibles con distribuciones que establecen pero lo habitual en estas organizaciones es que se cuente con firewall a nivel de infraestructura de red que ya aplica las reglas de filtrado de acuerdo a las políticas de seguridad de la organización. No aceptar la ejecución de programas cuya descarga se active sin que nos lo solicite. La ejecución de un programa puede traer como consecuencia la instalación de código malicioso en 18

19 el equipo, por lo tanto es muy importante que todas las instalaciones que se realizan en un equipo sean únicamente las que han sido iniciadas por el usuario y que por lo tanto se cancelen todas las ejecuciones que el usuario no ha lanzado. Es posible utilizar programas anti pop-up para eliminar la aparición de las ventanas emergentes que aparecen cuando un usuario está navegando. No es necesario utilizar un programa específico si no se desea, los navegadores permiten realizar configuraciones para evitar la aparición de estas ventanas. Aunque estas ventanas no tienen que implicar un problema de seguridad para el usuario, dan lugar a que se abran un gran número de navegadores, lo que puede acarrear como consecuencia un aumento en el consumo de recursos del equipo informático. Utilizar un usuario sin permisos de Administrador para navegar por Internet. Un usuario administrador es el que tiene permisos absolutos sobre el pc para realizar cualquier acción. Si se navega con un usuario que NO tiene permisos de administrador, se impide la instalación de programas y cambios en los valores del sistema, ya que este tipo de acciones sólo pueden ser ejecutadas por usuarios con permisos de administrador del sistema. No dejar desatendidos los ordenadores mientras están conectados, es necesario bloquear el equipo siempre que no se vaya a tener control visual sobre el mismo de tal forma que la única forma de desbloqueo sea reintroduciendo la contraseña del usuario. Esta recomendación es especialmente importante cuando se está accediendo a equipos en lugares públicos o en el ámbito laboral. Un equipo sin vigilancia no bloqueado puede ser utilizado por cualquier usuario y como consecuencia provocar fuga de información, usurpación de identidad, filtrado de datos personales, etc. Borra las cookies, los ficheros temporales y el historial. Esta es una práctica que se recomienda hacer en los equipos de uso personal, pero que es obligatorio cuando se utilizan equipos públicos o de otras personas. Cookies: Las cookies son pequeños archivos que algunos sitios web guardan en el ordenador. Las cookies almacenan información sobre el usuario, como nombre de usuario, información de registro o preferencias de usuario. La opción de borrado está disponible en los navegadores. En Internet Explorer esta acción se realiza desde la opción Opciones de Internet que se encuentra en la pestaña Herramientas. Los archivos temporales que se generan durante la navegación así como el historial que es el registro de páginas web que un usuario ha visitado, también se pueden eliminar desde Opciones de Internet accesible desde Herramientas del navegador. 19

20 Nunca se debe recordar la contraseña de acceso a ningún sitio web en el navegador. Si se recuerda la contraseña de acceso en el navegador, cualquier persona que tenga acceso al ordenador podrá acceder al sitio web suplantando la identidad y realizar todas las acciones que desee suplantando la identidad. Cuando el navegador pregunte sobre la posibilidad de recordar la contraseña, seleccionar la opción NO. Cuando el acceso se realiza en lugares públicos hay que prestar especial atención a este respecto. Cerrar siempre las sesiones que se inician cuando se finalizan las gestiones. Introducir datos financieros sólo en sitios web seguros (en concreto, el uso de PIN bancarios debe restringirse únicamente a la página del banco o caja que ha originado el PIN). Nunca se debe introducir el pin de una tarjeta bancaria en otra página que no sea la de la propia entidad bancaria. Teclear las direcciones completas, desechar la opción de autocompletar de los navegadores, ya que cada vez se está extendiendo más que los sitios web malintencionados tienen nombres prácticamente iguales a los de confianza, por lo tanto si se utiliza la opción de autocompletar, puede introducirse una url que no se corresponde con la real y por lo tanto ser redireccionado a un sitio web falso. A la hora de realizar transacciones en Internet es conveniente comprobar que el proceso se realiza en un servidor seguro, prestando atención a varios detalles, como que la dirección que aparece en el navegador comienza por Además, en el navegador figura un icono que representa un candado o una llave. En el caso de que el candado esté cerrado, o la llave no se encuentre partida por la mitad, sabremos que ese servidor es seguro. Utilizar contraseñas robustas. Cuando se accede a algún sistema en el que hay que introducir un usuario y contraseña para identificarse, es importante que la contraseña que se utiliza sea lo más compleja posible. Cuanto más alto sea el nivel de complejidad de la contraseña, más difícil será para los posibles atacantes descifrarla. A continuación, se recogen algunas pautas que se pueden tener en cuenta a la hora de elegir una contraseña que ofrezca un alto grado de seguridad, así como cuáles no son buenas prácticas a la hora de elegir una contraseña robusta. 20

21 Tener números, letras mayúsculas y minúsculas e incluir símbolos &, #, etc.) Longitud no inferior a ocho caracteres. A mayor longitud más difícil de adivinar. No debe formarse con números y/o letras que estén adyacentes en el teclado. La contraseña no debe contener información que sea fácil de averiguar, por ejemplo, nombre de usuario de la cuenta, información personal (cumpleaños, nombres de hijos, etc.) No debe contener palabras existentes en algún idioma. Los ataques de diccionario prueban cada una de las palabras que figuran en el diccionario y/o palabras de uso común. No usar la misma contraseña para diferentes cuentas. Sobre todo si son de alto riesgo, como las de los servicios bancarios o comerciales. La contraseña es algo privado, no se debe almacenar de forma escrita, y mucho menos al lado del ordenador. Cambiar las contraseñas que traen por defecto los dispositivos y servicios en línea. Una vez que se ha generado la contraseña, hay herramientas que calculan el nivel de seguridad de la contraseña que se ha generado. A continuación se recoge un enlace en el que se puede comprobar la robustez de la contraseña que se ha creado. A continuación se propone un método que se puede seguir para conseguir una contraseña robusta y que a la vez sea fácil de recordar. Se parte de una frase que se pueda recordar, de esa frase se utilizan las iniciales de cada palabra y otras letras que se consideren. Mi perro se llama Boby MpslBy La contraseña que se ha generado no es lo suficientemente segura, ahora es necesario aplicar alguna modificación que sea fácil de recordar, por ejemplo, se puede intercambiar la l por un uno. Mps1By Ahora se podría cambiar alguna de las letras por un símbolo fácil de recordar, por ejemplo cambiar la letra s por el símbolo $ Mp$1By Por último se puede añadir un símbolo punto., coma,, etc al principio o final de la contraseña Mp$1By; La contraseña que se acaba de generar a modo de ejemplo no sería lo suficientemente segura, sería necesario utilizar una frase de partida más larga para obtener una contraseña más larga y por lo tanto más robusta. Actividad: Se propone que se genere una contraseña a partir de una frase que seleccione el usuario de tal forma que le sea fácil de recordar y se le aplique las normas que se acaban de enumerar. Se pueden hacer tantas modificaciones como se desee. Para cada cambio que se realice sobre la contraseña, comprobar la complejidad de la misma a través de la url: 21

22 5. Correo electrónico. El correo electrónico es una de las herramientas más utilizadas para el intercambio de información a través de la red. El uso del correo electrónico puede suponer un problema de seguridad, ya que es uno de los mecanismos más utilizados para provocar infecciones en los equipos, phising, spam, etc. A menudo se utilizan términos como spam, phising, etc cuando se habla del uso del correo electrónico, a continuación se recoge la definición de estos términos para posteriormente poder entender de forma clara y concisa a qué se refiere cada uno de los riesgos y cuáles son las buenas prácticas. Spam: El Spam es el correo electrónico no solicitado, normalmente con contenido publicitario, que se envía de forma masiva. Las características comunes que presentan este tipo de mensajes de correo electrónico son: La dirección que aparece como remitente del mensaje no resulta conocida para el usuario, y es habitual que esté falseada. El mensaje no suele tener dirección Reply. Presentan un asunto llamativo. El contenido es publicitario: anuncios de sitios web, fórmulas para ganar dinero fácilmente, productos milagro, ofertas inmobiliarias, o simplemente listados de productos en venta en promoción. La mayor parte del spam está escrito en inglés y se origina en Estados Unidos o Asia, pero empieza a ser común el spam en español. Phishing: Se trata de un correo electrónico que también se envía de forma masiva. Este correo electrónico aparenta haber sido enviado por una entidad que en realidad está siendo suplantada. Para lo que utiliza imágenes de marca originales o direcciones de sitios web similares al oficial. Así si el usuario sigue las indicaciones que se dan en el correo o los enlaces, es víctima del engaño. Hoax: Un Hoax es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario o crean cadenas de la suerte como las que existen por correo postal. Malware: Acrónimo, en inglés, de las palabras "malicious" y "software", es decir software malicioso. Dentro de este grupo se encuentran los virus clásicos (los que ya se conocen desde hace años) y otras nuevas amenazas, que surgieron y evolucionaron, desde el nacimiento de las amenazas informáticas. Como malware, se encuentran diferentes tipos de amenazas, cada una con características particulares. Incluso existe malware que combina diferentes características de cada amenaza. Se puede considerar como malware todo programa con algún fin dañino. Virus: Los Virus Informáticos son programas maliciosos (malwares) que infectan a otros archivos del sistema con la intención de modificarlo, dañarlo, afectar al rendimiento, etc. Dicha infección consiste en incrustar su código malicioso en el interior del archivo (normalmente un ejecutable) de forma que a partir de ese momento dicho ejecutable pasa a ser portador del virus y por tanto, una nueva fuente de infección. 22

23 Gusanos: En términos informáticos, los gusanos son en realidad un sub-conjunto de malware. Su principal diferencia con los virus radica en que no necesitan un archivo anfitrión para seguir vivos. Los gusanos pueden reproducirse utilizando diferentes medios de comunicación como las redes locales o el correo electrónico. El archivo malicioso puede, por ejemplo, copiarse de una carpeta a otra o enviarse a toda la lista de contactos del correo electrónico. La segunda diferencia con los virus tradicionales es que los gusanos no deben necesariamente provocar un daño al sistema. El principal objetivo de un gusano es copiarse en tantos equipos como sea posible. En algunos casos los gusanos transportan otros tipos de malware, como troyanos o rootkits; en otros, simplemente intentan agotar los recursos del sistema como memoria o ancho de banda mientras intenta distribuirse e infectar más ordenadores. Rootkit es una o más herramientas diseñadas para mantener de forma encubierta el control de una computadora. Estas pueden ser programas, archivos, procesos, puertos y cualquier componente lógico que permita al atacante mantener el acceso y el control del sistema. El rootkit no es un software maligno en sí mismo, sino que permite ocultar las acciones malignas que se desarrollen en el ordenador, tanto a través de un atacante como ocultando otros códigos maliciosos que estén trabajando en el sistema, como gusanos o troyanos. Algunas amenazas incorporan y se fusionan con técnicas de rootkit para disminuir la probabilidad de ser detectados. Los rootkits por lo general, se encargan de ocultar los procesos del sistema que sean malignos. También intentan deshabilitar cualquier tipo de software de seguridad. Troyanos: Son archivos que simulan ser normales e indefensos, como pueden ser juegos o programas, para que el usuario no dude en ejecutar el archivo. Así logran instalarse en los sistemas. Una vez ejecutados, parecen realizar tareas inofensivas pero paralelamente realizan otras tareas ocultas en el ordenador. Al igual que los gusanos, no siempre son malignos o dañinos. Sin embargo, a diferencia de los gusanos y los virus, estos no pueden replicarse por sí mismos. Los troyanos pueden ser utilizados para muchos propósitos, entre los que se encuentran, por ejemplo: Acceso remoto (o Puertas Traseras): permiten que el atacante pueda conectarse remotamente al equipo infectado. Registro de tipeo y robo de contraseñas. Robo de información del sistema. 5.1 Recomendaciones de uso de correo electrónico. De acuerdo con estos conceptos, cuando se hace uso del correo electrónico, es aconsejable seguir una serie de recomendaciones de seguridad para evitar ser víctima de cualquiera de las amenazas que se han recogido anteriormente. A lo largo de los siguientes puntos se recogen pautas que se deberían seguir para hacer un uso responsable del correo electrónico y cuál es el peligro que se evita al seguir las recomendaciones. 1. No enviar mensajes en cadena, tal y como se apuntó anteriormente, suelen ser Hoax, que al ser reenviados obtienen las direcciones de todos los destinatarios a los que se envía el mensaje. En el caso que se desee reenviar un mensaje a un número elevado de destinatarios, se recomienda poner los destinatarios en copia oculta (CCO), así se evita que se puedan robar las direcciones de correo electrónico de los destinatarios. 2. No se debe publicar la dirección de correo electrónica privada en sitios web de acceso público. Esta práctica de publicación de la dirección de correo electrónico, facilita la obtención de las direcciones a los spammers. Los spammers son personas que envían spam de forma masiva. 23

24 3. No responder nunca a mensajes clasificados como spam, ya que al contestar, se está confirmando la dirección de correo electrónico y se recibirá más correo spam. 4. Para realizar registros en sitios de baja confianza, es recomendable realizarlo con cuentas destinadas a este fin, estas cuentas sería adecuado que fueran cuentas temporales. 5. La contraseña que se utilice para acceder al correo electrónico, debe ser una contraseña tan compleja como sea posible ya que si se utilizan contraseñas sencillas, existen más posibilidades de que se robe la cuenta de correo electrónico y sea utilizada para fines fraudulentos. 6. Siempre que se acceda al correo electrónico desde un sitio público, se debe prestar especial atención a cerrar todas las sesiones, no memorizar las contraseñas. También es recomendable que se elimine la cache, archivos temporales y cookies cuando se termine. 7. Siempre que se reciba un correo electrónico con archivos adjuntos, hay que asegurarse que se dispone de un antivirus correctamente actualizado para analizar los archivos antes de descargarlos y así evitar infecciones en el equipo. 8. Cuando se reciban archivos adjuntos, es muy importante verificar las extensiones, cuando los archivos adjuntos tengan doble extensión, se debe desconfiar ya que se puede tratar de un gusano o troyano, los cuales utilizan este método para propagarse. 9. Las entidades bancarias y financieras, nunca solicitarán sus datos a través del correo electrónico, por lo que en el caso de recibir un correo de este tipo, puede estar siendo víctima de un engaño cuya finalidad es robarle sus datos. 10. Otra medida de seguridad que se puede aplicar cuando se consulta el correo electrónico, es bloquear las imágenes en los correos y descargarlas sólo cuando se haya confirmado que el mail no es dañino. 11. Es una buena práctica, tener más de una cuenta de correo electrónico, cada una con una finalidad diferente. Respecto a este aspecto, es muy importante que la cuenta que se utiliza para el ámbito laboral y que es facilitada por la organización para la que se desarrolla la actividad profesional, sea utilizada únicamente para fines laborales y que bajo ningún concepto sea utilizada para registrarse en redes sociales, compras online, etc. 5.2 Configuración de cliente Outlook. Los clientes de correo electrónico, permiten realizar una configuración de seguridad con el fin de evitar que los correos malintencionados lleguen a la bandeja de entrada sino que sean directamente enviados a la carpeta de elementos eliminados. Para ello, los clientes de correo permiten al usuario realizar una serie de configuraciones personalizadas de cara a evitar el correo no deseado. A continuación se muestra el ejemplo concreto para Outlook. A través de la ruta Herramientas Opciones Preferencias Correo electrónico no deseado. 24

25 Aparece el menú de configuración para el correo no deseado. Hay diferentes pestañas sobre las que se va a poder configurar diferentes parámetros. Pestaña opciones. En esta pestaña se puede seleccionar el nivel de filtrado para el correo electrónico no deseado. Cada usuario deberá establecer el nivel de protección que más se adecúe a sus conocimientos. Es recomendable seleccionar la opción Bajo o Alto. Existe la opción de Eliminar permanentemente el correo sospechoso de ser no deseado en lugar de moverlo a la carpeta de Correo electrónico no deseado. Si se selecciona esta opción, hay que tener en cuenta que se eliminarán todos los correos que se marcan como spam, por lo que se pueden eliminar correos que hayan sido etiquetados como correo no deseado erróneamente. Pestaña Remitentes seguros. Con esta opción se genera una especie de lista blanca con aquellos remitentes en los que se debe confiar. Cuando se utiliza esta opción se debe tener en cuenta que 25

26 se puede recibir correo no deseado desde remitentes contenidos en la lista blanca, ya que los correos fraudulentos pueden utilizar el correo electrónico de terceros para el envío de mensajes. Pestaña Destinatarios seguros. Permite la misma configuración que el apartado anterior pero para el correo saliente. Pestaña Remitentes bloqueados. Aquí se puede configurar una lista con aquellos remitentes para los que se desea que todos los correos que envíen sin distinciones sean categorizados como spam. Pestaña Internacional. Con esta opción se puede filtrar por el lenguaje en el que un correo está escrito o por dominios internacionales. Con la utilización de las posibilidades de configuración de seguridad que proporcionan las herramientas, se puede añadir un nivel más de protección para el usuario ante el correo fraudulento. Es interesante que se tengan en cuenta estas opciones y que sin utilizar aquellas que puedan dar lugar a la eliminación de correos de forma errónea, se utilicen en la medida de lo posible para evitar ser víctima de todos los correos con engaños que se reciben. 5.3 Firma electrónica. Hasta el momento se han recogido una serie de riesgos que presenta la utilización del correo electrónico, así como acciones que pueden ayudar a minimizar los riesgos. Aún está pendiente tratar otro problema que presenta que es garantizar que la fuente de un correo es quién realmente dice ser, es decir, en un intercambio a través de correo electrónico, es necesario garantizar la autenticidad del remitente y también la integridad de los datos que se intercambian. La herramienta de la que se dispone actualmente para solventar esta problemática, es la firma electrónica. Las principales funciones de la firma electrónica son: Identificación del firmante: la firma identifica al remitente de forma única igual que su firma manuscrita. Integridad del contenido firmado: es posible verificar que los documentos firmados no hayan sido alterados por terceras partes. No repudio del firmante: un documento firmado electrónicamente no puede repudiarse por parte del firmante. El fundamento de utilización de la firma electrónica está basado en algoritmos criptográficos asimétricos en lo que son necesarias dos claves, la clave pública y la clave privada. La clave privada sólo es conocida por el emisor mientras que la clave pública se distribuye entre todos los posibles destinatarios de mensajes firmados. Las claves públicas y privadas de cada usuario están relacionadas de tal forma que para cada clave privada existe únicamente una clave pública. Cuando el usuario emisor envía un correo electrónico firmado con su clave privada, los receptores podrán descifrar el correo únicamente con la clave pública del emisor. De esta forma se puede asegurar que el emisor es quién realmente se cree que es. Si además se quiere asegurar que el contenido del mensaje no ha sido alterado, se debe generar una función resumen del mismo y cifrarla con la clave privada. Cuando el receptor recibe el correo y descifra la función resumen, las tiene que comparar, si coinciden, se está asegurando la integridad de la información (no ha sido manipulado). 26