Seguridad Informática

Vista previa del material en texto

Seguridad 
En la actualidad la seguridad de nuestros datos e información juega un papel muy 
importante, ya sea en el ámbito profesional o privado. 
Por ejemplo: al realizar una compra en Internet, deseamos que la información que 
enviamos al vendedor sea confidencial. O en otros casos al recibir un mensaje, 
necesitamos autenticar la identidad del emisor. 
Valor de la información 
En el ámbito laboral la información tiene alto impacto en la toma de decisiones. Si bien 
no posee un valor absoluto, el mismo esta relacionado con quien la utiliza. 
 Beneficios Tangibles: ej: reducción en los nivels de inventario. 
 Beneficio Intangible: Ej: ampliar los horizontes de planeación. 
Conceptos básicos 
 Privacidad 
 Autenticación 
 Integridad 
 No rechazo 
La Tríada CID no tiene que ver con cantares escritos en castellano medieval ni con 
tebeos de Hernández Palacios, sino que es un concepto de ciberseguridad que hace 
referencia a tres principios que deben trabajar en conjunto para garantizar la 
seguridad de un sistema informático: Confidencialidad, Integridad y Disponibilidad. 
 Confidencialidad: Los datos deben estar solo al alcance de los usuarios 
autorizados. Deben establecerse unas políticas de control de acceso para evitar 
que la información clasificada caiga en manos, ya sea de forma intencional o 
no, de un usuario sin acceso. 
 Integridad: El concepto integridad hace referencia a la completitud de la 
información que tenemos almacenada. Debe poder garantizarse que no se 
realizan modificaciones de los datos no autorizadas, que no es posible la 
pérdida de datos y que los datos son consistentes, esto es que la información 
que tenemos almacenada es correcta respecto al mundo real exterior. 
 Disponibilidad: Finalmente, el concepto disponibilidad implica que la 
información tiene que ser accesible para los usuarios autorizados dentro de un 
tiempo razonable. Dicho de otra forma: la información debe estar siempre 
disponible para el usuario autorizado. 
 
 
 
 
https://donnierock.com/2017/04/22/cinco-comics-que-leer-o-regalar-para-este-dia-del-libro/
Privacidad 
Cuando se transmite un mensaje, solo el emisor y el receptor deben ser capaces de 
comprender el contenido del mismo. En pocas palabras deseamos confidencialidad. 
Autenticación 
La confidencialidad no es suficiente en una comunicación segura, también se necesita 
autenticar la identidad del emisor. 
Integridad 
Además de confidencialidad y autenticación necesitamos que la integridad de los datos 
se mantenga. Es decir, al enviar un mensaje, el emisor y el receptor deber ver lo 
mismo, sin ningún tipo de alteración. 
No Rechazo 
Aunque parezca obvio, una de las características es el no rechazo, es decir, la 
prevención del rechazo (negación) del emisor. 
Privacidad 
Cifrado/Descifrado 
Cifrado: procedimiento que utiliza un algoritmo con cierta clave, para transformar un 
mensaje, sin alterar su significado. 
Cifrado de llave secreta 
El emisor utiliza una clave y un algoritmo de cifrado para cifrar los datos. El receptor 
utiliza la misma llave y algoritmo de descifrado correspondiente. 
Los algoritmos de cifrado y descifrado son inversos entre si. 
Ventajas: es eficiente, toma menos tiempo cifrar o descifrar en comparación con otros 
algoritmos. 
Desventajas: la distribución de llaves entre ambas artes es compleja 
 
Cifrado de llave pública: en este método existen dos llaves, una publica y una privada. 
La llave privada es mantenida por el receptor, y la llave pública se anuncia al público. 
 Cuando un usuario A quiere enviar un mensaje a un usuario B, A utiliza la llave 
publica para cifrar el mensaje. Cuando B recibe el mensaje, utiliza su llave 
privada para descifrarlo. 
En este método, los algoritmos de cifrado y descifrado no son inversos entre si. 
Aunque un intruso tenga la llave publica y los algoritmos de cifrado y 
descifrado, no puede descifrar el mensaje sin la llave privada. 
 
 
Firma digital 
Los 3 aspectos restantes (integridad, autenticación y no rechazo) pueden lograrse con 
este concepto 
Existen 2 formas de hacer una firma digital: firmando todo el documento, o solo firmar 
el compendio. 
 
Firma completa 
En este tipo de firma se utiliza una variante del cifrado de llave pública. El emisor 
utiliza su llave pública o privada. Por otra parte, el receptor utiliza la llave pública del 
receptor 
 
Amenazas 
Nuestra información se encuentra en riesgo cuando 2 elementos confluyen: amenazas 
y vulnerabilidades. 
Vulnerabilidad: es una debilidad en la tecnología o en los procesos relacionados con la 
información. 
Amenazas: todo elemento o acción capaz de atentar contra la seguridad de la información. 
Tipos de amenazas 
Existen varios tipos de amenazas, las cuales podemos agruparlas en 4 grupos: 
Factores Humanos 
Fallas de sistemas 
Desastres Naturales 
Actos maliciosos o malintencionados 
Copias de seguridad ¿Qué resguardar? 
En la mayoría de os casos, solamente se deben efectuar copias de seguridad de todos 
los archivos de datos y documentos generados por aplicaciones. 
Es decir, solo debemos hacer un backups de los datos y no del software. 
Tipos de copias de seguridad 
 Completas 
 Incremental 
 Diferencial 
Completa: en este tipo de copias de seguridad se copian todos los datos e información 
que seleccionemos, en otro medio (cintas, DVD. CD, discos duros, nube, etc.) para su 
posterior recuperación. Una copia completa es muy sencilla y rápida de recuperar. 
Esta también conlleva dos problemas: el tamaña de las copias y el tiempo que nos 
toma realizarla. 
Incremental: este tipo de copia de seguridad solo realiza copia de los archivos que 
haya sido modificados (o cambiaron su fecha de modificación) o creados desde la 
ultima copia de seguridad, ya sea completa o incremental. 
La ventaja de este tipo de copia de seguridad es que el aumento de almacenamiento 
no será muy significativo, así como tampoco la rapidez con la que se realiza esta copia. 
Diferencial: es similar a una copia incremental, la diferencia es que compara el 
contenido de los archivos a la hora de determinar cuales se modificaron. 
Las ventajas son las mismas que el backup incremental, solo que estos requieren 
menos espacios. 
Tienen como desventaja que no todas las herramientas dan soporte a esta clase de 
copias de seguridad. 
 
Consideraciones 
El medio debe ser diferente al que estamos tomando los datos. 
No debe residir en el mismo lugar que el medio de origen. 
Debe guardarse en un lugar seguro. 
Se debe etiquetar de forma ordenada. 
Debemos verificar que los datos almacenados sean correctos. 
Antivirus 
Un antivirus es una aplicación que identifica y elimina programas malignos de las 
computadoras. 
Calcificaciones: 
o Preventores: Previenen la información, quedan residentes en la memora de la 
computadora todo el tiempo y monitorean algunas funciones del sistema. 
o Identificadores. Identifican programas malignos específicos que infectan al 
sistema. Exploran el sistema buscando cadenas (secuencia de bytes) de códigos 
particulares. 
o Descontaminadores: similares a los antivirus identificadores, con la diferencia 
que su principal función es descontaminar a un sistema que ha sido infectado, 
eliminando programas malignos. 
Rol del Usuario 
Ingeniaría Social 
La Ingeniaría Social omite el dominio de cuestiones técnicas y se basa 
directamente en el usuario 
Se trata de prácticas, técnicas especializadas o empíricas, acciones estudiadas, 
cuyo principal objetico es manipular a una persona. 
Es la habilidad de engañar para obtener información de una persona o un 
sistema. 
Las nuevas tecnologías han permitido que los usuarios puedan intercambiar 
información de manera rápida, fácil y sencilla. Esto conlleva a que un usuario 
confíe en lo que hay detrás, normalmente si ve una interfaz amigable, supondrá 
que el emisor es quien dice ser. 
 
Phishing 
Proceso fraudulento,cuyo objetivo es adquirir información sensible como 
nombre de usuario, contraseña o tarjetas a través de correos electrónicos o 
páginas web. El termino Phishing proviene de la palabra en ingles fishing 
(pesca) y hace alusión al acto de pescar usuarios mediante anzuelos o trampas. 
 
Shoulder Surfing 
Técnica usada para obtener información personal de la víctima así como sus 
contraseñas y otros datos confidenciales. 
 
Buenas Prácticas 
> Tratar con cuidado mensajes de remitentes desconocidos. 
 No brindar información confidencial por ningún medio. 
 Verificar que la dirección de página web realmente pertenezca a la entidad 
deseada. 
 Certificar la seguridad de las páginas web donde introducimos datos 
personales. 
 Las páginas visitadas deben utilizar certificado de seguridad y protocolo 
HTTPS