Seguridad de la información

En esta página trataremos todo lo que tiene que ver o está relacionado con la seguridad de los datos personales.

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

La «seguridad» es la ausencia de peligro, mientras que la «información» es el conjunto de datos que forman mensajes, por lo que, cuando juntas estos dos términos te estas refiriendo al conjunto de medidas de prevención, detección y corrección orientadas a proteger la confidencialidad, la integridad y la disponibilidad de información de un sistema. Esta definición es la de la «seguridad de la información».

Para que este tipo de seguridad funcione existen muchas leyes y protocolos, como la ley COPPA (Children’s Online Privacy Protection Act o Ley de Protección de la Privacidad Online para Niños) o el artículo 14 de la directiva de comercio electrónico (“Los Estados miembros velarán por que los operadores de servicios esenciales tomen las medidas técnicas y de organización adecuadas y proporcionadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilizan en sus operaciones. Habida cuenta de la situación, dichas medidas garantizarán un nivel de seguridad de las redes y sistemas de información adecuado en relación con el riesgo planteado”), que intentan reducir los riesgos de la información y proteger el software, hardware y redes de ordenadores, sumando la información confidencial que tenga el riesgo de llegar a manos de otras personas (información privilegiada).

Vídeos sobre la ciberseguridad para las empresas, que pueden beneficiar a cualquier usuarios:

LOS PRINCIPIOS DE LA SEGURIDAD DE LA INFORMACIÓN

Esta tabla describe cuales son los tres principios:

Confidencialidad

Se pretende que solo un grupo selecto de personas autorizadas pueda adquirir la información, ya que si se llega a perder dicha confidencialidad, se podrían revelar secretos cruciales, como la información privada de empresas o usuarios.

Integridad

Permite que lo que se proteja no pueda ser alterado por usuarios no autorizados, ya que si así fuese, se podrían generar fraudes o provocar ciberataques.

Disponibilidad

Es la capacidad para que la información pueda ser accesible en todo momento por una persona autorizada. Para ello, el sistema debe de ser mantenido de manera eficiente y que sea capaz de restablecerse si llegase a ocurrir algún error. Si por alguna razón este punto fallara, podría generar grandes pérdidas, tanto económicas como físicas.

LO QUE HAY QUE PROTEGER

La seguridad informática existe con el propósito de proteger todo aquello que sea valioso para un usuario, siendo lo principal su privacidad, o para una empresa, como lo puede ser la información confidencial y proyectos secretos. Con tal de que todo esto sea protegido, se busca arreglar las posibles vulnerabilidades y mejorar los ya existentes sistemas de seguridad.

Un vídeo de conceptos básicos para protección de la información:

LA FIRMA ELECTRÓNICA

Similar a la firma manuscrita, se emplea para que la persona acepte un contenido en especifico de un mensaje electrónico mediante cualquier medio electrónico válido. Esto hace que, tras la firma, los documentos ya tengan una validez jurídica y no se puedan falsificar. De todos modos, el documento debe conservarse y contener un código seguro de verificación (CSV), sirviendo este último para contrastar la copia impresa con el original electrónico. En España, para regular este sistema, se emplea la ley 59/2003, del 19 de diciembre.

Dicha firma permite:

Identificar de manera precisa al firmante

Una clave privada única que solo conoce el propietario de la firma.

Asegurar la identidad del documento

Existe un sistema que es capaz de reconocer la firma original y que ninguna variante, por mínima que sea la diferencia, pueda sustituirla.

No existe ningún repudio

Demuestra que los datos firmados son únicos y exclusivos y que no puede negar que no son suyos.

Vídeo introductorio para un curso sobre la firma electrónica:

Otro vídeo en el que habla, en 4 minutos, sobre la firma electrónica:

FIRMA DE DOCUMENTOS ELECTRÓNICOS

La función hash permite que, cuando el usuario envía un documento, se creé un resumen que se pueda emplear como firma digital del mensaje. Esto genera la denominada «firma digital», la cual se cifrará con su clave privada y se adjuntará al mensaje original. El receptor podrá adquirir la información y comprobarla mediante una clave pública del firmante.

Si se quiere comprobar que no ha habido ninguna modificación, se emplea la función hash al documento mediante la comprobación del resultado obtenido con el resumen cifrado recibido. Si el resultado es correcto, el documento está verificado, pero si no es así, el documento es erróneo o se ha modificado.

¿CÓMO SE FIRMAN ESTOS DOCUMENTOS?

Para firmar se es necesario en primer lugar un certificado digital, como el que incluye el DNI electrónico. Una vez se tiene un certificado digital, se pueden escoger dos opciones:

Mediante una aplicación

Situadas en el equipo y que pueden ser descargadas. Algunas son de uso cotidiano, como Adobe Acrobat o Microsoft Office Word, y otras son ofrecidas por las Administraciones Públicas, como AutoFirma, eCoFirma o @firma.

Mediante Internet

Habitual en los formularios y documentos que deben ser firmados y están vinculados a las Administraciones Públicas. También existe la opción de firmar mediante el servicio que da VALIDe.

En este vídeo se muestra un tutorial de como ejecutar la firma de los documentos:

CERTIFICACIÓN DIGITAL

Se trata de un documento electrónico con una autoridad que se emplea para validar y certificar que una firma pertenece a su propietario.

Este seria un ejemplo de certificación digital:

En los documentos digitales se encuentra la información necesario para firmar de manera electrónica e identificar a su propietario con sus datos. Para lograr la identificación se emplean dos claves que se complementan, una que es pública y otra que es privada, pudiendo cifrar los datos que haya con una clave con la otra. La diferencia se encuentra en que la privada es del firmante y la pública es para ser repartidas entre varios usuarios.

Tutorial de cómo poder conseguir un certificado digital propio:

LA AUTORIDAD DE CERTIFICACIÓN

Son todas aquellas instituciones confiables y responsables que son capaces de emitir y revocar cualquier certificado digital que emplee la firma electrónica. Si de otro modo fuera, no tendrían garantías de seguridad con las que han sido diseñados. También firman en los documentos de los usuarios para cumplir su función. En España, las autoridades de certificación son el DNI electrónico y la Fábrica Nacional de Moneda y Timbre, Real Casa de la Moneda.

En este vídeo se muestra como crear una autoridad de certificación:

EL DNI ELECTRÓNICO

Este tipo de DNI incorpora un chip que contiene exactamente los mismos datos que aparecen impresos en la tarjeta junto con los certificados de autentificación y de firma electrónica.

El Español nos informa del porque el DNI electrónico no es seguro

LA NAVEGACIÓN SEGURA

Junto con el uso del correo electrónico, es uno de los servicios más utilizados. Sus ventajas y desventajas están empatadas debido al riesgo que corren los usuarios de que se les roben los datos y de su propia inexperiencia. Un elemento que nos muestra la seguridad de la navegación es el HTTPS, que aparece al inicio de un enlace con información privada.

COMO HACER UNA NAVEGACIÓN SEGURA

Algunos consejos para mantener una navegación segura son:

Configurar adecuadamente nuestro navegador

Nuestro navegador nos permite configurar nuestro nivel de seguridad, pudiendo, entre otras muchas opciones, filtrar la suplantación de identidad o activar el control parental. Pese a esto, se recomienda eliminar todo lo que se almacene en el historial y en la memoria caché. Algunas páginas nos demuestran cómo hacerlo, como la de Computer Hoy.

No acceder a sitios web y enlaces sospechosos

Una forma de saber si son sospechosos es observando las cantidades de ofertas y regalos que ofrecen con tal de timar y robar a los usuarios. DevMagazine nos informa sobre como lograr evitarlo.

Aceptar solo las cookies deseadas

Las cookies son archivos de textos que contienen megadatos de una visita (identificación, procedencia, duración, etc). DownloadSource nos habla de como eliminarlas de una web en nuestro navegador.

Proteger los datos personales

Como he mencionado anteriormente, el HTTPS está para proteger nuestra información privada, por lo que acceder a enlaces que no contengan este formato de HTTP podría ser peligroso para nuestra seguridad. Más tarde hablare sobre la privacidad de la información y sobre algunos consejos para lograrlo.

Descargar aplicaciones únicamente de sitios oficiales

Se debe desconfiar de los sitios no oficiales que permiten descargas, ya que eso podría generar que se infectase con algún virus el dispositivo. De todos modos, aunque las descargas sean en lugares seguros, se deben comprobar los enlaces con un antivirus.

Revisar usualmente el correo electrónico

Se debe sospechar de correos no esperados o revisar en la carpeta spam de mensajes importantes. La revista MuyInteresante creó un listado de claves para reconocer un correo peligroso.

Actualizar el sistema operativo y sus aplicaciones

Para que no suframos daños por culpa de vulnerabilidades de programas informáticos, debemos actualizar nuestro sistema operativo y configurar dichas actualizaciones. Genbeta nos da los pasos indicados para realizar la actualización.

Algunas empresas y páginas web dan otros consejos para realizar una navegación segura, como lo son Iberdrola, Panda y Abanca.

LA NAVEGACIÓN PRIVADA

Es una medida de privacidad para evitar el almacenamiento de datos en el navegador, como las cookies y las contraseñas, entre otros. Por este mismo motivo se aconseja que se emplee en espacios públicos. Pero tiene una excepción, y es que solo afecta al equipo, por lo que no oculta ni a la actividad del navegación, ni al servidor, ni al proveedor de servicios de Internet; todo esto hace que los atacantes expertos puedan robar la información cuando quieran.

Muchos ya conocerán su uso y donde se sitúa, pero para el que no, se encuentra en la «Personalización y control» del navegador como la opción «Nueva pestaña de incógnito» o similar.

Eldiario.es desmonta en un artículo el mito que hay alrededor de la pestaña de incógnito.

PROTEGER LA PRIVACIDAD DE LA RED CON UN PROXY

Los servidores proxy son los intermediarios entre los equipos de los usuarios y los sitios web visitados. Para emplearlo, el usuario únicamente debe acceder a él y navegar mediante su buscador. Esto hace que los datos del usuario estén protegidos por los datos del proxy. De todos modos, si se quisiera descargar ficheros o acceder a contenidos multimedia, los servidores proxy son lentos para cumplir dichas funcionalidades.

Hide.me, FilterBypass, Whoer.net, JustProxy y KProxy son algunos de los servidores proxy gratuitos más recomendados, aunque también se muestran otros en el siguiente vídeo:

LA NAVEGACIÓN ANÓNIMA

Se evita que los sitios web busquen nuestros datos y los consigan, manteniendo un anonimato con máxima privacidad. Estos software ocultan la dirección IP, asignando otra cualquiera y manteniendo la integridad y confidencialidad de la información; también hay otros software que modifican la IP visible del usuario por otra genérica.

Todo esto está formado para proteger la privacidad de los internautas frente a cualquier amenaza, lo que no quiere decir que los datos se queden en los servidores anónimos, pudiendo los operadores realizar cualquier llamada oculta; aun así, se puede acudir a la Policía cuando alguien cometa un delito.

Los mejores y más recomendados navegadores privados son Tor Browser, Epic Browser, SRWare Iron, Firefox Focus, Orfox, CM Browser, Ghostery Privacy Browser, Lightning Web Browser, Dolphin Zero y Yandex Browser. Y si se quisiera navegadores dirigidos más a móviles, en este vídeo se muestran otros dos nuevos, además de Firefox Focus, y como se descargan estos:

LA PRIVACIDAD DE LA INFORMACIÓN

La Ley Orgánica de Protección de Datos o LOPD es una ley que protege toda la información privada, o toda aquella información que, tanto usuarios como entidades multinacionales, no quiere darse a conocer. Siendo este tipo de información demasiado inmensa, es realmente difícil de proteger y, por lo tanto, existen posibles amenazas para la privacidad de los usuarios.

AMENAZAS A LA PRIVACIDAD

Las amenazas existentes son:

Sistemas operativos

Como los dispositivos que se conectan a Internet necesitan de los sistemas informativos, que recopilan los datos de los usuario, para funcionar, estos pueden suponer un riesgo para la privacidad a causa de las vulnerabilidades.

Contraseñas

Las contraseñas son uno de los principales problemas para proteger la información, ya que se emplea antes una fácil y muy conocida, como «12345» o «abcde», antes que escoger una muy difícil y privada, como «B93nMo7jIO5». Para más recomendaciones, Redes Zone nos da unos cuantos datos curiosos.

Registro de visitas web

Como las páginas web recopilan toda nuestra información cuando accedemos a ellas (sistema operativo, dirección IP, etc), existen posibilidades de que se emplee para actos fraudulentos.

Sesiones de navegador

Mientras con algunos navegadores puedes gestionar de manera eficiente el historial, con Google Chrome se mantiene abierta aunque se apague el dispositivo.

Cookies

Como las cookies son empleadas para obtener información de los usuarios para mejorar su experiencia, algunos malhechores las emplean para robar información. El periódico Expansión habla sobre como tal vez las cookies dejan de ejecutar su deber.

Formularios

La web 2.0, como requiere registrarse a través de un formulario para poder acceder a distintas funciones online, debe ser revisada por el usuario para ver que no le estafan, comprobando el dominio y el protocolo HTTPS.

Redes sociales

Para los ciberatacantes, las redes sociales son como un banquete de información del que poder robar y utilizar para manipular. Computerworld habla sobre un informe del Centro Criptológico Nacional, que habla sobre como las redes sociales son el vehículo perfecto para un ciberataque masivo.

Google

Google, como demuestra con sus múltiples aplicaciones ( You Tube, Maps, Chrome, Play Store, etc), puede controlar una gran cantidad de información sobre cada usuario, que puede ser protegida mediante el empleo de opciones de privacidad de los servicios de Google.

LOS ANTIESPÍAS

En Internet también existen diversos espías que buscan y obtienen información privada de varios lugares para luego poder extorsionar (algunos) al propietario de esa información, acto penado por la ley. Estos actos son ejecutados precisamente por programas espías o spyware, que se introducen como pequeñas aplicaciones para así poder recopilar información de los usuarios, enviándola luego a los ciberatacantes.

Para evitar estos actos, existen unos programas antiespías que son similares a los antivirus, comparando archivos analizados con una base de datos de software espía.

Algunos programas muy utilizados son CCleaner, Total AV, Ad-Aware, PC Protect, Windows Defender, McAfee, Malwarebytes, Bitdefender y Spybot. En este vídeo se habla más sobre algunos de ellos:

¿CÓMO BORRAR ARCHIVOS DE FORMA SEGURA?

Pese a que se elimine un archivo en el dispositivo, seguirá estando en la papelera por si se quiere recuperar más tarde mediante un buen software, aunque puede ser peligroso para la privacidad del usuario.

Algunos programas que se utilizan para la eliminación total de los archivos que haya en la papelera son CCleaner, Microsoft SDelete, Eraser y Hardwipe, entre otros. PC Actual nos habla más sobre estos tres últimos programas.

El canal de You Tube SP26 Studios nos muestra un tutorial para lograr de manera satisfactoria el borrar archivos de forma segura:

LA PROTECCIÓN DE LAS CONEXIONES EN RED

Como estas redes proporcionan servicios como acceso a Internet, el comercio electrónico o la conexión entre dispositivos, además de otros tantos, muestran muchísimas ventajas y desventajas, pudiendo llegar a ser bastante peligrosas estas últimas. Para que no ocurra ningún problema existen se crean ajustes al diseño de la red, asignan cortafuegos, limitaciones respecto al acceso de un router, una inmunidad contra virus para los equipos y constantes actualizaciones del software.

Aquí una breve explicación gráfica:

LOS CORTAFUEGOS

Conocidos también por su término original «firewall«, son dispositivos hardware o software que tienen como finalidad el poder controlar las comunicaciones entre un equipo y la red. Su nombre tiene como origen la referencia con la seguridad industrial, donde se utilizan paredes de un gran grosor con cámaras de aire en lugares con posibilidades de incendiarse para minimizar los daños. Tanto por el origen de su nombre como por su función es uno de los sistemas de seguridad más importantes contra los ataques informáticos y la pérdida de información.

Debido a que controlan absolutamente todo lo que viaje por las conexiones en red, examina todos los mensajes y bloquea aquellos que no cumplan los criterios de seguridad. Para ello, se es necesario configurar las reglas que se filtran en el tráfico de los puertos, aceptando o bloqueando todo aquel paquete inspeccionado. Para su instalación se emplea un router, aunque los sistemas operativos y antivirus ya llevan consigo uno.

Una demostración de como funcionan los cortafuegos

ZoneAlarm, TinyWall, Outpost, Sophos XG, Comodo, AVS Firewall y Avast Free Antivirus son algunos cortafuegos que nos recomiendan páginas como ADSLZone.

LAS REDES PRIVADAS VIRTUALES

Son conexiones entre dos puntos a través de una red privada o pública insegura, como Internet. Los usuarios emplean protocolos basados en TCP/IP, llamados «protocolos de túnel», para conexiones privadas; y, una vez autentificado el usuario por las redes privadas virtuales, se cifra la conexión.

Existen dos tipos de redes privadas virtuales (VPN):

VPN de acceso remoto

Se accede mediante un servidor de una red privada que tiene una infraestructura de una pública. Este caso es para las personas que trabajan o estudian a distancia y para conexiones seguras en lugares públicos.

VPN de sitio a sitio

Empleado por organizaciones, esta versión permite conectarse a Internet mediante comunicaciones públicas, como las conexiones entre oficinas y similares.

Existen VPN también para sistemas operativos, como VPNBook, en el que se pueden crear conexión a Internet entre países. De todos modos hay personas que piensan que no son seguras y ofrecen otras alternativas, como nos cuenta IJNet Red Internacional de Periodistas.

Un pequeño resumen de qué es una VPN:

LOS CERTIFICADOS SSL/TLS DEL SERVIDOR WEB Y HTTPS

El SSL o Secure Sockets Layer es un protocolo criptográfico que desarrollo Netscape hasta su versión 3.0, pasando a estandarizarse y llamarse TLS o Transport Layer Security.

La función de estos estándares es la de emitir certificados de sitios web, convirtiéndose en piezas fundamentales de la seguridad debido a que garantizan la integridad y la confidencialidad de las comunicaciones. Además, el uso del cifrado en SSL/TLS más el protocolo de navegación HTTP se crea un canal cifrado llamado «HTTPS», el cual utiliza una clave de 128 bits de longitud, conocida únicamente por el dispositivo conectado y por el servidor, lo que facilita la conexión, encriptando los datos y convirtiéndolo en un medio seguro para el comercio electrónico, el correo electrónico, etc.

Se sabe si están conectados los certificados SSL/TLS cuando se muestra un candado junto al enlace, que también va precedido por un HTTPS. Si el nombre llega a estar en verde, quiere decir que tienen una versión extendida, que es más estricta.

El canal Profesional Hosting nos resume la base de los certificados SSL:

Y el de Romuald Fons nos enseña a instalarlo en WordPress:

LA SEGURIDAD DE LAS COMUNICACIONES INALÁMBRICAS

Estas redes ofrecen soluciones en lo que respecta a compartir información sin cables, sino que mediante trasferencias de datos por el aire, pudiendo alcanzar a cualquier usuario. La seguridad de esta comunicación inalámbrica para dispositivos de lago alcance, como móviles 3G, 4G y LTE y de la transmisión WiMax (norma de transmisión de datos que utiliza las ondas de radio en las frecuencias de 2,5 a 5,8 GHz y puede tener una cobertura hasta de 70 km), está gestionada por operados, mientras que para redes más locales o de área personal, como Bluetooth y wifi, la seguridad depende más de los usuarios.

A continuación una explicación gráfica:

LA SEGURIDAD EN EL BLUETOOTH

Es una especificación industrial para redes inalámbricas de área personal creado por Bluetooth Special Interest Group, Inc. que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia en la banda ISM que alcanza los 10 metros, integrándose en equipos cotidianos de redes personales.

Los ciberatacantes emplean antenas para ampliar el radio de acción para robar información o cometer otros tipos de delitos, con ataques como:

Bluejacking

Es un envío de spam a través de un intercambio de una vCard, una nota o de un contacto conocido con el usuario.

Bluesnarfing

Se aprovecha de las vulnerabilidades de un protocolo para así poder robar información.

Bluebugging

Utiliza técnicas de ingeniería social para que la víctima acepte una conexión inicial que infecte al dispositivo con un malware de control remoto para así poder escuchar llamadas o acceder a su contenido, entre otros.

Pero para evitar estos problemas existen medidas de seguridad, que son:

Activar Bluetooth cuando sea realmente necesario.

Cambiar el nombre del dispositivo.

No emparejar ni aceptar conexiones de dispositivos desconocidos.

Verificar periódicamente la lista de dispositivos.

LA SEGURIDAD EN LAS REDES WI-FI

Las redes wifi emplean una tecnología inalámbrica que realiza la conexión entre dispositivos en un área pequeña, del tamaño de una oficina o una habitación. Cualquier atacante podría ampliar el alcance de 100 metros a muchos más mediante una antena alineada.

El router es el que funciona como candado y emisor del wifi, siendo el que debe encargarse casi al 100% de la seguridad. La configuración debe ser iniciada por una dirección IP en un navegador, para después mostrarse en una web donde se introducen el nombre de usuario del administrador y la clave de acceso.

Algunas medidas de seguridad básicas que se pueden configurar son:

Personalizar la contraseña de acceso

Deben ser complejas y modificadas, ya que en caso contrario son fácilmente vulnerables.

Cambiar el SSID

El nombre de la red (SSID) es el identificador que funciona como una etiqueta para la red inalámbrica, pudiendo ser localizada por el usuario.

Revisar el cifrado

La señal inalámbrica es más fácil de interceptar que una red cableada, por lo que es necesario utilizar estándares de cifrado como WPA2, el cual es un sistema que emplea diferentes versiones para identificar a los usuarios. Versiones anteriores, como WEP o WPA, no deben ser empleadas por la fragilidad de su seguridad.

Desactivar el acceso por WPS

Este estándar facilita la configuración de una red segura con WPA2 a sus usuarios. Aun así, como los ataques maliciosos se basan en WPS, es mejor desactivarlo.

Filtrar las MAC

Estas direcciones son establecidas por el fabricante y únicas para cada dispositivo de red.

Actualizar el firmware

Es un software que controla los circuitos electrónicos. Se suelen actualizar para corregir los errores existentes y no dejar ninguna vulnerabilidad.

Comprobar el historial de actividad

El router puede desvelar información sobre posibles intrusiones.

Utilizar software de auditoria

Existen herramientas diseñadas para evaluar la seguridad de una red y detectar posibles vulnerabilidades, como la aplicación Nmap.

Si ningún consejo funciona es mejor reiniciar el router de fábrica y volver a configurarlo.

WEBAUTHN

Es un estándar web publicado por el World Wide Web Consortium (W3C) y un componente central del Proyecto FIDO2 bajo la guía de la Alianza FIDO con el objetivo de estandarizar una interfaz para autenticar a los usuarios en aplicaciones y servicios basados en la web mediante criptografía de clave pública.

Desde el punto de vista del cliente, el soporte para WebAuthn se puede implementar de varias maneras. Las operaciones criptográficas subyacentes son realizadas por un autentificador, que es un modelo funcional abstracto principalmente agnóstico con respecto a cómo se gestiona el material clave. Esto hace posible el poder implementar el soporte para WebAuthn únicamente en software, haciendo uso del entorno de ejecución confiable de un procesador o un Módulo de Plataforma Confiable (TPM). Las operaciones criptográficas sensibles también se pueden descargar a un autentificador de hardware móvil al que se puede acceder a través de USB, Bluetooth de baja energía o comunicaciones de campo cercano (NFC). Un autentificador de hardware móvil se ajusta al Protocolo FIDO Client to Authenticator (CTAP), haciendo que WebAuthn sea efectivamente compatible con el estándar FIDO Universal 2nd Factor (U2F).

Similar a U2F (estándar abierto que fortalece y simplifica la autentificación de dos factores utilizando Universal Serial Bus especializado o dispositivos de comunicación de campo cercano basados en tecnología de seguridad similar que se encuentra en las tarjetas inteligentes.), la autentificación web es resistente a la suplantación de verificador, es decir, es resistente a ataques activos de intermediario, pero a diferencia de U2F, WebAuthn no requiere una contraseña tradicional. Además, el autentificador de hardware móvil es resistente al malware, ya que el material de la clave privada no está accesible en ningún momento para el software que se ejecuta en la máquina host.

El estándar de nivel 1 se publicó como el 4 de marzo de 2019. Actualmente se está desarrollando una especificación de nivel 2.

Si quieres saber un poco más sobre este estándar web mira este vídeo: