Seguridad en Equipos Informticos

Seguridad en Equipos Informticos

Seguridad para usuarios

Mdulo I - Introduccin a la seguridad

Mdulo II - Visibilidad / Huella digital
Mdulo III - Seguridad en ordenadores
Mdulo IV - Seguridad en Redes WIFI

Mdulo I Introduccin a la Seguridad

Contenidos:

Mitos vs. realidad

Principios

Dimensiones

Anlisis de Riesgos

Conceptos sobre Internet

Ingeniera social

Enlaces

Enlaces II

Contraseas I

Contraseas II

Certificados digitales

Cifrado

Navegacin http/https

Correo electrnico

Consejos

Ms Informacin

Mitos vs. Realidad

Ejercicio:Cul es un mito y cual es real?
1) Nadie sabe lo que hago en internet.
2) Si mi contrasea es segura no importa que la reutilice en sitios
distintos.
3) Si en vez de pinchar un enlace, escribo la direccin a mano, no es
posible que acabe en un sitio de phishing.
4) Si mi ordenador no est conectado a internet no puedo infectarme
con un virus.
5) Aunque navegue por https y use el modo incgnito de mi
navegador, mi proveedor de Internet puede saber a qu pgina me
estoy conectando.
6) Un correo electrnico es fcil de falsificar para que parezca que el
remitente es otra persona distinta.

Principios bsicos

Seguridad por defecto

Los sistemas deben disearse y configurarse de fbrica de forma
que garanticen un grado suficiente de seguridad.

Defensa en profundidad
Estrategia de seguridad usando distintas tcnicas para limitar los
daos en el caso de intrusin en la primera lnea de defensa.

Mnimo privilegio
Cada mdulo (como un proceso, un usuario o un programa) debe
ser capaz de acceder solo a la informacin y recursos que son
necesarios para su legitimo propsito.

Mnima superficie de exposicin

Estrategia que consiste en reducir los riesgos de seguridad,
mediante la desactivacin de servicios que no se estn utilizando
en ese momento.

Dimensiones

Autenticacin
Es la propiedad que permite identificar al generador de la informacin.
Por ejemplo al recibir un mensaje de alguien, estar seguro que es de
ese alguien el que lo ha mandado, y no una tercera persona
hacindose pasar por la otra (suplantacin de identidad).

Confidencialidad
Es la propiedad que impide la divulgacin de informacin a personas o
sistemas no autorizados.

Integridad
Es la propiedad que busca mantener los datos libres de modificaciones
no autorizadas.

Disponibilidad
La disponibilidad es la caracterstica, cualidad o condicin de la
informacin de encontrarse a disposicin de quienes deben acceder a
ella, ya sean personas, procesos o aplicaciones.

Anlisis de Riesgos

Amenaza
Todo elemento o accin capaz de atentar contra la seguridad de la
informacin.

Riesgo
Es una estimacin del efecto real que puede producir una amenaza.

Impacto
Magnitud del dao que puede producir una amenaza.

Mitigacin
Disminucin de la probabilidad de un riesgo.

Contingencia
Disminucin del impacto de un riesgo.

Frmulas
Riesgo = Impacto x Probabilidad
Reduccin = Contingencia x Mitigacin
Exposicin o Riesgo residual = Riesgo - Reduccin

Conceptos sobre Internet

Direccin

ip

pblica:

Direccin MAC: Etiqueta hexadecimal

Etiqueta
numrica que identifica a un ordenador
en internet. Por ejemplo: 120.44.211.7
que identifica a un ordenador en una
red local. No se transmite a travs de
internet. Por ejemplo: ca:fe:ba:be:33:dc

Dominio: Nombre identificable usado

para evitar utilizar direcciones ip a la
hora de acceder a sitios en internet. Por
ejemplo: google.es

Servidor
DNS:
Servidor
usado
habitualmente en internet que es usado
para traducir nombres de dominio en
direcciones ip. Por ejemplo : 8.8.8.8.

Ingeniera Social
Es la prctica de obtener informacin confidencial o de realizar acciones malintencionadas a
travs de la manipulacin de usuarios legtimos.

Phishing: Suplantacin de un sitio legtimo, mediante el uso de otro sitio aparentemente similar

de aspecto al original, para obtener informacin confidencial, como datos identificativos,

contraseas o nmeros de tarjetas de crdito, o para facilitar la descarga de programas
maliciosos.

Pharming: Manipulacin realizada en el ordenador de la vctima para asociar el nombre del

sitio legtimo con una ip maliciosa. Habitualmente es realizado por algn tipo de malware que
haya infectado el equipo.
Typosquatting: Se trata de registrar un nombre de dominio similar al sitio legtimo, pero
cambiando, quitando o aadiendo algunas letras de forma que la direccin sea
aparentemente similar al sitio legtimo, o fcilmente confundible con l. De modo que incluso a
veces si la vctima lo escribe directamente puede llegar al dominio malicioso si comete algn
error tipogrfico.
Estafas: En internet existen las mismas estafas que en la vida real. Las ms conocidas son el 419
o timo nigeriano, la novia rusa, la venta de productos falsos, el alquiler de pisos falsos, etc. Todos
ellos caracterizados por que hay que realizar algn pago por adelantado, habitualmente usando
un sistema de pago no rastreable como moneygram o western union.

Enlaces I

Url: El URL es un enlace formado por una cadena de caracteres con

la cual se asigna una direccin nica a cada uno de los recursos de
informacin disponibles en internet:
Subdominio

Dominio TLD

https://correo.juntadeandalucia.es/webmail/index.php?id=1

Protocolo o
Esquema

Servidor

Ruta

(Subdominio.Dominio.TLD)

Parmetro

Valor

Enlaces II

Acortadores: Permiten reducir un enlace a unos pocos caracteres. Por ejemplo:

https://goo.gl/gX7P2g . Este tipo de enlaces tiene el problema de que no se sabe nunca
dnde estn apuntando. Son muy usados en twitter debido a su limitacin de 140
caracteres.
Enlaces maliciosos: Uno de los modos ms habituales de ingeniera social es haciendo
pinchar a las vctimas sobre enlaces creados de forma malintencionada. Estos enlaces
habitualmente se envan mediante correo electrnico. Para ello suelen valerse de
diversos trucos, como el uso de acortadores, o hacer creer a la vctima que va a visitar
un sitio legtimo, poniendo en el nombre del enlace su url. Tambin se suele usar una
imagen con forma de ventana o dilogo, para que cundo la vctima pinche en la X para
cerrarla, o en alguno de sus botones, la redirija al sitio malicioso.
Ejemplo: https://google.es

Contraseas I

Deben tener una longitud como mnimo de 8

caracteres.
Es convenientes mezclar maysculas, minsculas
y nmeros.
No es recomendable una contrasea que sea
difcil de recordar, o acabar en un postit en el
monitor.
Nunca reutilizar la misma contrasea en sitios
distintos.
Idea: Usar la primera letra de cada palabra de una
frase fcil de recordar.
Idea: Usar tres palabras no relacionadas
separadas por espacios, guiones, comas, etc.
Idea: Usar gestores de contraseas (lastpass,
keepass, etc.).
Idea: Usar un segundo factor de autenticacin
(2FA).
La contrasea ms utilizada del mundo es:
123456.

Contraseas II

Gestores de contraseas: Pueden

estar instalados en un ordenador, o en
la nube. Se almacenan todas las
contraseas que se quiera. Slo hay
que recordar una contrasea maestra
para ver la lista. Por ejemplo (keepass
o lastpass).
Segundo factor de autenticacin (2FA):
Autenticacin basada en algo que se
sabe (contrasea) y algo que se tiene
(un
dispositivo,
una
tabla
de
coordenadas, etc.).
Por ejemplo google authenticator,
latch, o la recepcin de cdigos de
seguridad
mediante
SMS.
Se
recomienda activarlo siempre que
sea posible.

Certificados digitales

Asociados al protocolo https.

Existen de cliente (personas) y de servidor
(sitios en internet).
Sirven para asegurar que el propietario es
quin dice ser.
Deben estar firmados digitalmente por una
autoridad certificadora (AC) reconocida por
un navegador.
En caso de no estar bien configurados, o de
que la AC firmante no est reconocida por el
navegador se mostrar un error en la
pgina. Es el mismo error que se producira
ante una suplantacin de identidad de un
sitio web legtimo.
Existen los certificados de servidor de
validacin extendida. Los navegadores
muestran una zona de color verde en la
barra de direcciones.

Encriptado
Cifrado

Usado para conseguir confidencialidad e integridad en las comunicaciones. Usado

entre otros por https.
Cifrado simtrico: Se puede cifrar y descifrar con la misma contrasea, cualquiera
que tenga la contrasea puede hacerlo.

Cifrado por sustitucin: Se sustituye cada carcter o grupo de caracteres por

otro alternativo siguiendo un patrn. (Por ejemplo el cifrado Csar)
Cifrado por trasposicin: Se intercambian los caracteres del texto original de
una forma determinada que deben conocer el emisor y receptor del mensaje.

Cifrado asimtrico: Usado en general para el intercambio de contraseas de

cifrados simtricos. Se usan pares de claves pblicas y privadas.
Codificacin: Proceso de transformacin de un texto, que no necesita de
contrasea, ni de ningn elemento secreto para decodificarse.
Esteganografa: Proceso de ocultacin de informacin dentro de otra informacin
de manera que no sea distinguible, y no se sepa que existe esa informacin oculta
a priori. Por ejemplo mensajes ocultos en imgenes.

Navegacin http/https

La navegacin mediante http no usa ningn tipo de cifrado, por lo que no se puede garantizar la
integridad ni la confidencialidad de la informacin recibida ni transmitida. Nunca usar una conexin
http para transmitir datos personales, contraseas, datos bancarios etc.
Siempre que sea posible usar conexiones https, que s usa cifrado.
El https mantiene el cifrado desde el navegador hasta el sitio al que queremos acceder. Por tanto si
el sitio al que queremos acceder no es confiable, le estaremos entregando datos sensibles
igualmente, aunque estemos usando https.
Siempre que sea posible, es recomendable usar pasarelas de pago de los bancos, paypal, o
cualquier otro mtodo que impida que los datos de la tarjeta de crdito lleguen a la tienda dnde se
est realizando la compra.
Independientemente del mtodo usado, se transmite informacin de la ip de origen, la url de la
pgina que se quiere visitar, la versin del navegador, del sistema operativo, y de la pgina visitada
anteriormente, sin cifrar. Esta informacin pasa como mnimo por nuestra red, nuestro proveedor de
internet, el proveedor de internet del sitio y el sitio en s al que queremos conectarnos.
Grfico de datos http/https: https://www.eff.org/pages/tor-and-https
Navegacin y big data: Los navegadores cundo se conectan a una pgina, en realidad se conectan
a muchas ms. Algunas de ellas especializadas en recogida de datos. No es recomendable navegar
en internet estando logado en alguna pgina para no dar ms informacin todava:
Navegacin nica:
https://panopticlick.eff.org/
http://ip-check.info/?lang=en

Correo electrnico
En general no se usa cifrado, por lo que en muchas ocasiones es como si fueran
postales.

Los correos quedan almacenados e identificados en los servidores de correo del emisor y
del receptor.

Es relativamente sencillo falsificar correos electrnicos, de modo que parezca que

vengan de direcciones legtimas.

Es el medio ms habitual de contagio de malware, ya sea por los enlaces del correo o por
sus adjuntos. Es muy usado para enlazar a sitios de phishing.

Es importante saber mirar las cabeceras, para determinar si un correo es legtimo o no.

Es conveniente poner el ratn encima de un enlace sin pincharlo, para ver a dnde se
dirigira.

Ante la duda de un enlace o fichero adjunto, es recomendable mandarlo a

https://virustotal.com

Ejercicio: Ejemplo de un correo malicioso.

Consejos

No se deben reutilizar contraseas en sitios distintos.

Elige las contraseas de manera que sean de ms de 8 caracteres y
sean fciles de recordar, pero sin usar elementos que te identifiquen
como fechas o nombres. Utiliza un gestor de contraseas.
No navegues estando con la sesin iniciada. Siempre que termines de
usar un sitio cierra la sesin en l.
Siempre que sea posible usa https. Nunca transmitas datos sensibles
mediante http.

Tapa la webcam del porttil cundo no vayas a usarla.

Para proteger a los menores en la red: educacin + informacin

http://www.pantallasamigas.net/
http://www.alia2.org/index.php/es/

No abras correos de remitentes desconocidos o con aspecto extrao.

Ante las dudas de
https://virustotal.com

una

url

un

fichero,

analzalo

con

Ms informacin

Estafas y proteccin de menores en la red:

http://www.x1redmassegura.com/
Libro gratuto en edicin online: x1Red+Segura
http://elblogdeangelucho.com/elblogdeangelucho/el-libro/
Contraseas:
http://world.std.com/~reinhold/diceware.html
https://lastpass.com/
http://keepass.info/

2FA:
Google authenticator:
https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
Latch:
https://latch.elevenpaths.com/

Mdulo II - Visibilidad / Huella digital

Contenidos:

Mitos vs. Realidad

Debate

Identidad digital

Redes sociales

Metadatos

Robos de datos

Datos de navegacin

PNL

Contramedidas

Ms informacin

Mitos vs. Realidad

Ejercicio:Cul es un mito y cual es real?
1) Si yo no uso redes sociales, o no publico datos personales, no se
puede averiguar informacin sensible sobre m en Internet.
2) En una fotografa modificada nunca es posible ver cmo era la original.
3) Si hago una fotografa a mi gato y la subo a Internet no supone ningn
problema de privacidad.
4) Si en un documento no aparece el nombre del autor, no es posible
averiguar quin es.
5) Cualquiera puede saber, a qu redes wifi se ha conectado mi mvil, sin
necesidad de manipularlo fsicamente.
6) La informacin que ya hay sobre m en internet puede ser eliminada.

Debate

Hay gente que opina que preocuparse de su privacidad no

merece la pena, porque no tiene nada que ocultar. T opinas
igual?.

Identidad Digital
La identidad digital es lo que somos para otros en la Red o, mejor dicho, lo que la
Red dice que somos a los dems. Se va conformando con nuestra participacin,
directa o inferida, en las diferentes comunidades y servicios de Internet. Las
omisiones, al igual que las acciones, constituyen tambin parte de nuestra
identidad por lo que dejamos de hacer. Los datos, por supuesto, nos identifican.
Tambin las imgenes, su contexto y el lugar donde estn accesibles proporcionan
nuestro perfil online.

Cada vez ms empresas a la hora de contratar a un nuevo empleado intentan

averiguar toda la informacin posible (tanto positiva como negativa) a travs de su
identidad digital.
Los comentarios, informacin, fotos, etc. de cualquier tipo, asociados a nuestra
identidad digital permanecen para siempre en la red.
El derecho al olvido se puede definir como el derecho que tiene el titular de un
dato personal a borrar, bloquear o suprimir informacin personal que se considera
obsoleta o no relevante por el transcurso del tiempo o que de alguna manera afecta
el libre desarrollo de alguno de sus derechos fundamentales. Como cabe apreciar,
este derecho puede en ocasiones colisionar con la libertad de expresin.
En Europa, desde 2014 los buscadores como Google tienen la obligacin de
eliminar de sus listas de resultados aquellos enlaces que violen ciertos derechos de
un ciudadano, a peticin de ste, debido a una sentencia del Tribunal de Justicia de
la Unin Europea.

Redes Sociales
Cmo afectan las redes sociales a la privacidad?

Prdida del criterio de referencia: Si por cortesa o costumbre abro mi Red a cualquier amigo de un amigo, ya pierdo la
referencia de quin puede ver mi informacin. Si mi informacin es pblica, puede ser visible por toda la poblacin
mundial que usa internet, gracias a los buscadores. Actualmente se estima en ms de 3000 millones de internautas.
Exceso de funciones automticas: Por ejemplo si me doy de alta en la Red X y salvo que preste atencin para
impedirlo sern invitados de manera automtica a unirse a mi red todas las personas que tena anotadas en mi
agenda del servicio de webmail que haya usado para darme de alta.
Prdida de control de mi informacin: Por ejemplo si te etiquetan en una fotografa y tienes el perfil ms o menos
abierto, es como si la pusieras t mismo a la vista de mucha gente. Significa esto que alguien ha decidido por ti qu
hacer pblico y, adems, compartirlo.
Recopilacin de informacin muy precisa: Desde que entro en la Red pueden quedar registrados mis movimientos e
intereses de todo tipo ms all de la informacin del perfil que de forma voluntaria proporcion (dnde pincho, con
quin hablo, cunto tiempo dedico, qu pginas visito, etc.).
Presentacin de opciones interesadas: Al darme de alta me preguntan datos de lo ms variado sin los que no me
dejaran registrarme, tras lo cual podr empezar a utilizar la Red sin haber configurado de forma explcita con
quin y qu tipo de datos personales o de actividad quiero compartir.
Ejercicio: Exposicin a redes sociales.
@NeedAdebitCard
Pasaportes en flickr

Ejercicio: 15 minutos de fama.

Metadatos
Se trata de informacin relativa a ficheros digitales (documentos de
texto, pdf, fotografas, vdeos, canciones, etc.). Son usados para
realizar bsquedas locales de forma ms rpida y precisa.

Existen metadatos que indican el origen de la informacin: autor,

sistema operativo, software, posicin gps, marca de dispositivo, etc.
Por tanto, si se suben los ficheros a Internet sin limpiar los
metadatos se puede estar dando mucha informacin sin darnos
cuenta.
Estos metadatos por lo general se aaden de forma automtica al
crear y modificar los ficheros, y sin que el usuario se de cuenta de
ello.
Demo: Ejemplos famosos

Robos de datos
Se producen intrusiones en pginas web por parte de delincuentes
constantemente. En ocasiones slo le cambian el aspecto, en otras
suben malware para que sus visitantes se infecten, y en algunas
ocasiones vuelcan la informacin personal de sus usuarios.

Por este ltimo motivo, no es conveniente usar la misma contrasea

en sitios diferentes, aunque la contrasea sea complicada.
Ha habido casos muy famosos por el nmero de usuarios que han
visto sus datos publicados al usar pginas web que han sido
posteriormente comprometidas. Por ejemplo se publicaron datos de
ms de 150 millones de usuarios de Adobe, y de ms de 30
millones de usuarios de Ashley Madison.

Datos de Navegacin
Cada vez que visitamos una pgina somos rastreados por
empresas dedicadas a recoger informacin y analizarla
posteriormente. El objetivo final es ofrecernos publicidad
personalizada y que as compremos ms.

Ejemplo: La sorpresa del padre

Demo: Ejemplo con proxy.

No es conveniente navegar por otras pginas estando con la

sesin iniciada en algn sitio web.
Qu sabe google sobre m?. Se puede acceder al historial que
google tiene guardado sobre cada usuario, ver qu tipo de perfil se
nos ha asignado, y eliminarlo por completo.

PNL

La PNL es la lista de redes WIFI que se almacena en TODOS los dispositivos que se conectan
a una red mediante esa tecnologa.
La mayora de los dispositivos mviles, cundo tienen el servicio de WIFI activado, pero no
estn conectados a ninguna en ese momento, van buscando las redes conocidas que tienen
en la PNL constantemente para poder conectarse de nuevo.
Esta informacin se transmite sin ningn tipo de cifrado, por lo que cualquiera que est
suficientemente cerca puede verla. Esto implica que se podra hacer un perfil de las redes que
se han visitado, pudiendo averiguar establecimientos y lugares en los que esa persona ha
estado alguna vez, incluyendo su domicilio, su trabajo o sitios en los que esa persona ha
estado, pero no quiere que se sepa.
Adems pueden relacionarse personas porque se vea que sus dispositivos se conectan a las
mismas redes.
Si estas redes adems son abiertas, es decir, que no tienen ningn cifrado, existe un problema
de seguridad muy grande, ya que se podran interceptar sus comunicaciones fcilmente
creando una red abierta falsa con el mismo nombre que se sabe ya que est buscando un
dispositivo. Este dispositivo se conectara de forma automtica sin que lo supiera su
dueo.
Demo: PNLS de la clase.

Contramedidas

Piensa dos veces lo que va a publicar en Internet. Cmo puede afectarme en el futuro?. Lo que se publica
en Internet NO puede borrarse nunca por completo.
Revisa la configuracin de privacidad y seguridad de tus redes sociales. Puedes ayudarte de herramientas
como privacyfix. Con quin quieres realmente compartir tu informacin?. Conoces a todos tus amigos
virtuales?. Comprueba sus fotos de perfil con Google Images o TinEye
Borra los metadatos de los ficheros que subas a Internet. Por ejemplo con OOmetaextractor para ficheros
openoffice, o desde Propiedades->Detalles en Windows 7.
Desactiva la localizacin de tus fotos en el mvil.
http://cincodias.com/cincodias/2015/01/19/lifestyle/1421690796_712812.html
http://www.actualidadiphone.com/tutorial-como-eliminar-la-geolocalizacion-de-nuestras-fotos-en-el-iphone/

Nunca te des de alta en ningn sitio dando tu email del trabajo, y nunca reutilices tus contraseas.

Cierra siempre la sesin al terminar de visitar un sitio al que has accedido con credenciales.

Borra tu historial de google.

Utiliza extensiones del navegador para aumentar tu privacidad y seguridad, como por ejemplo Ghostery,
WOT, Adblock Plus, Disconnect, Blur, HTTPS Everywhere, NoScript, BetterPrivacy ,KeeFox, Bloody Vikings,
Clean Links, etc.
Siguiendo el principio de mnima superficie de exposicin, desactiva los servicios que no ests usando en tu
mvil, como por ejemplo el bluetooth o la WIFI cundo no sean necesarios.

Ms Informacin

Gua de seguridad para Facebook:

https://info.securityinabox.org/es/node/2839

Gua de seguridad de Twitter:

https://info.securityinabox.org/es/node/2877

Gua de seguridad de flickr:

https://info.securityinabox.org/es/node/2878

Gua de seguridad de youtube:

https://info.securityinabox.org/es/node/2905

Mdulo III Seguridad en ordenadores

Contenidos:

Mitos vs. realidad

Amenazas

Ficheros y extensiones

Contramedidas I

Contramedidas II

Mitos vs. Realidad

Ejercicio:Cul es un mito y cual es real?
1) Los virus en su mayora los hacen los fabricantes de antivirus.
2) Si tu ordenador se infecta con un virus es porque no tenas ningn
antivirus instalado, o ste estaba sin actualizar.
3) Actualmente no se recomienda el uso de ningn ordenador con
Windows XP por motivos de seguridad.
4) Si se configuran las actualizaciones de windows para que sean
automticas, se actualiza todo el software del ordenador sin
necesidad de hacer nada.
5) Si no se usa cifrado en el ordenador y un atacante tiene acceso
fsico a l, automticamente el ordenador est comprometido.
6) Un fichero no ejecutable, como puede ser un pdf, odt, doc etc. no
puede hacer que se infecte un ordenador.

Amenazas
Las amenazas a las que est expuesto un ordenador son muy
diversas, pero pueden clasificarse en 3 grupos principales:
1) Amenazas para el propio ordenador:
Este tipo de amenazas es menos comn, ya que lo que se
persigue es daar en lo posible el equipo y su informacin
en s, y no aprovechar informacin del usuario para obtener
algn beneficio. Por ejemplo el virus stuxnet que fue usado
para atacar ordenadores de centrales nucleares iranes.
Tambin estaran includas en este grupo las catstrofes
como inundaciones, terremotos, incendios, subidas de
tensin, etc.
2) Amenazas para el usuario:
Este tipo de amenazas buscan algn tipo de beneficio,
generalmente econmico, e intentan obtenerlo de diversas
maneras:
Mediante
malware
usando
chantaje
(ransomware), robo de informacin bancaria, robo de
credenciales, robo de informacin mediante acceso fsico
etc (https://cybermap.kaspersky.com/ ).
3) Amenazas para otros ordenadores:
En ocasiones el malware est programado para una vez
que infecte un equipo, usarlo para atacar de forma
conjunta y coordinada (DDOS) a otros ordenadores, sitios
web,
etc.
(http://hp.ipviking.com/
,
http://map.norsecorp.com/,
http://www.digitalattackmap.com/ )
Tambin puede ser usado como puerta de entrada para
acceder a otros sistemas conectados, o acceder a sitios
ms restringidos en una empresa, organizacin,
administracin, gobierno etc.

Ficheros y Extensiones

Los ficheros suelen tener una extensin que

indica el tipo de fichero del que se trata. Se
pueden clasificar en ejecutables y no
ejecutables. Los ejecutables no necesitan
tener ningn programa instalado para poder
funcionar (.exe, .com. .bat, etc.), mientras
que los no ejecutables necesitan de la
instalacin previa de un programa adicional
para poder funcionar (.pdf, .odt, .doc, .txt,
etc.).
Por defecto windows oculta la extensin de
un fichero. Esto no es bueno desde el punto
de vista de la seguridad, ya que puede
confundir al usuario sobre qu tipo de fichero
se trata. Adems si el fichero tiene dos
extensiones
como
por
ejemplo:
fichero.pdf.exe, el usuario por defecto slo
ver fichero.pdf por lo que puede pensar
que se trata de un documento pdf y pensar
que no ofrece peligro.
En windows 7, para cambiar este
comportamiento: Panel de Control
Opciones de Carpeta Desmarcar la
opcin: Ocultar las extensiones de archivo
para tipos de archivo conocidos.

Contramedidas I
Conviene siempre seguir el principio de defensa en profundidad, por lo que se indicarn diversas
defensas independientes aplicables en este tipo de amenazas:

No usar la cuenta de administrador: Hay que utilizar un usuario de windows que no tenga permisos
de administrador, y que tenga una contrasea. De este modo si nos infectamos no infectaremos al
resto del ordenador, slo a nuestros ficheros. La cuenta del administrador tambin debe tener
contrasea. El equipo debe bloquearse solo si no hay actividad.
Antivirus: No son 100% fiables, pero eliminarn el malware que no sea muy reciente. Conviene
tenerlos actualizados y configurados para que acten en tiempo real. Es conveniente adquirir alguno
de pago, ya que traen caractersticas extra, como proteccin de la navegacin y del correo
electrnico. Algunos gratutos: Microsoft Security Essentials , AVG Free, Avast Free, etc.
Actualizaciones automticas: Es necesario programar las actualizaciones del sistema operativo de
forma que stas sean automticas. Esto no quiere decir que se vaya a actualizar todo el software del
ordenador de forma automtica, slo el propio del sistema operativo. Los programas de terceras
partes que se hayan instalado posteriormente hay que actualizarlos tambin de forma manual o
usando un software especial como Secunia PSI.
Cortafuegos: Aunque hace aos era imprescindible para evitar problemas con el malware debido a
que los ordenadores se conectaban a internet con su propia ip pblica, actualmente aunque no sea
tan necesario es conveniente tenerlo activado. Windows trae uno por defecto que puede ser
configurado de muchas maneras distintas, y es conveniente activarlo si no lo est. No es necesario
instalar otro adicional en principio.

Contramedidas II

AntiRansomware: Es conveniente el uso de software especializado que detecte cundo se estn cifrando ficheros de nuestro
equipo sin que nosotros lo sepamos y pare el malware que lo est haciendo (Cryptomonitor, AntiRansom 2.0 ).
Cifrado: Si no se usa cifrado de la informacin y un atacante tiene acceso fsico al ordenador, automticamente el ordenador
est comprometido. Por ello es importante que nuestra informacin est cifrada para que no pueda ser robada y no perdamos
privacidad. (Encfs+dokan).

Copias de seguridad: Son imprescindibles actualmente. Son la ltima defensa ante un desastre en el que perdamos nuestros
datos. Ya sea por una catstrofe como un incendio, o porque un malware de tipo ransomware cifre nuestros ficheros para pedir
un rescate. Por ello es necesario hacerlas en dispositivos que estn fsicamente alejados del ordenador. (Panel de Control>Copias de seguridad y restauracin->Configurar copias de seguridad (Vdeo) + dropbox + Encfs + dokan, Boxcryptor, Spideroak
, Crashplan ).
Existen numerosos servicios en la nube que permiten realizar copias de seguridad. En este caso es imprescindible el uso de
cifrado para no perder nuestra privacidad.

Nunca guardar contraseas: En vez de configurar los programas como navegadores, clientes de correo, clientes de mensajera
etc. para recordar contraseas, es mucho ms seguro usar un gestor de contraseas (Keepass, Lastpass ), ya que si no, las
contraseas almacenadas son fcilmente extrables, por ejemplo mediante un malware que haya infectado el equipo.
Ficheros no ejecutables: Los ficheros no ejecutables como documentos pdf, odt, doc, etc. pueden tener contenido malicioso, de
modo que si son abiertos por versiones concretas de programas en un ordenador (por ejemplo versiones concretas de Acrobat
Reader, OpenOffice o Microsoft Office) que tengan algn problema de seguridad, pueden infectar al ordenador con cualquier tipo
de malware. Para evitar esto, aparte de usar antivirus, se recomienda instalar la ltima versin disponible del siguiente software
de Microsoft: Microsoft EMET.
Configuracin de navegadores: Es conveniente usar extensiones de seguridad y privacidad como ya se vio en su momento.
Nunca guardar contraseas (Artculo), y proteger mediante contrasea los certificados digitales de usuario que se tengan
importados. Opcionalmente activar la navegacin privada permanente o configurar el navegador para eliminar las cookies,
historial y ficheros temporales al cerrarlo.

Mdulo IV Seguridad en redes WIFI

Contenidos:

Mitos vs. Realidad

Legislacin

Tipos de redes WIFI

Ataques MITM

Contramedidas

Mitos vs. Realidad

Ejercicio:Cul es un mito y cual es real?
1) No es un problema de seguridad que alguien extrao use mi red WIFI de
casa para acceder a Internet, ya que yo la uso poco y no me importa
compartirla.
2) No es recomendable usar redes WIFI que sean desconocidas,
independientemente de si son abiertas o tienen algn tipo de cifrado.
3) Las redes WIFI de hoteles que te permiten conectarte a la red sin pedir
ninguna contrasea, pero posteriormente te aparece una pantalla en el
navegador solicitando una para poder acceder a Internet, son redes abiertas
que no usan cifrado.
4) Si estas conectado a una red WIFI desconocida, pueden ver todo lo que
estas haciendo en Internet, e incluso hacer que te infectes con malware sin
que te des cuenta.
5) Ocultar el nombre de tu red WIFI es un buen sistema de seguridad y es
recomendable que se haga.
6) Restringir los dispositivos que se pueden conectar a tu red WIFI mediante su
direccin MAC es un buen sistema de seguridad y es recomendable que se
haga.

Legislacin

Art. 255:
Ser castigado con la pena de multa de tres a 12 meses el
que cometiere defraudacin por valor superior a 400 euros,
utilizando energa elctrica, gas, agua, telecomunicaciones
u otro elemento, energa o fluido ajenos, por alguno de los
medios siguientes:
1) Valindose de mecanismos instalados para realizar la
defraudacin.
2) Alterando maliciosamente las indicaciones o aparatos
contadores.
3) Empleando cualesquiera otros medios clandestinos.

Art. 256:
El que hiciere uso de cualquier equipo terminal de
telecomunicacin, sin consentimiento de su titular,
ocasionando a ste un perjuicio superior a 400 euros, ser
castigado con la pena de multa de tres a 12 meses.

Art. 197:
El que, para descubrir los secretos o vulnerar la intimidad
de otro, sin su consentimiento, se apodere de sus papeles,
cartas, mensajes de correo electrnico o cualesquiera otros
documentos o efectos personales, intercepte sus
telecomunicaciones o utilice artificios tcnicos de escucha,
transmisin, grabacin o reproduccin del sonido o de la
imagen, o de cualquier otra seal de comunicacin, ser
castigado con las penas de prisin de uno a cuatro aos y
multa de doce a veinticuatro meses .

Tipos de Redes WIFI

Redes WIFI abiertas: Son redes que no tienen nign tipo de cifrado
configurado. Por esto pueden ser usadas por cualquiera que est en su
rango de alcance. Al no estar cifradas, la informacin que circula por
ella es visible, sin necesidad incluso de conectarse a dicha red. No es
recomendable dejar abierta la red WIFI de casa por varios motivos:
1) Podemos sufrir robos de informacin,
tanto de informacin
transmitida como de informacin que tengamos compartida en la red
interna.
2) Podemos tener problemas legales por compartir la conexin WIFI,
con nuestro proveedor de Internet.
3) Podemos tener problemas legales si algn delincuente usa nuestra
red WIFI para cometer un delito. (Artculo).
Un caso especial de red Wifi son las redes abiertas con portal cautivo,
tpicas de algunos hoteles. Son redes abiertas a todos los efectos, pero
cundo se intenta navegar, el navegador se redirige a una pgina que
pide una contrasea. Esta contrasea slo desbloquea la navegacin,
pero sigue siendo una red completamente abierta.

Redes WIFI domsticas cifradas: Las que nos vamos a encontrar en

domicilios habitualmente. Siempre solicitan una contrasea para
conectarse al menos la primera vez.
1) WEP Todos los clientes usan la misma clave. Cifrado dbil, no
utilizar.
2) WPA Personal (PSK TKIP) Cifrado ms adecuado.
3) WPA2 Personal (PSK CCMP AES) Cifrado ptimo.

Redes empresariales cifradas: Las que nos podemos encontrar en

entornos empresariales que se preocupen por su seguridad. No las
vamos a ver en este curso.
1) WPA Enterprise (EAP)
2) WPA2 Enterprise (EAP)

Independientemente del tipo de red, cundo alguien accede a

nuestra red WIFI, adems de poder navegar por Internet, tambin
puede ver nuestra red interna. Por ejemplo si tenemos carpetas
compartidas entre nuestros equipos, discos duros en red con
pelculas, fotos, etc., impresoras, smart tv's, etc.

Ataques MITM
Un ataque Man In The Middle (del
hombre en medio) se basa en
interceptar las comunicaciones entre
un emisor y un receptor legtimos, con
el fin de vulnerar la confidencialidad
y/o la integridad de los mensajes.

Es un ataque tpico que se suele

realizar en una red local, tanto
cableada como de tipo WIFI.
En el caso de las redes WIFI, el caso
ms tpico sera una red WIFI
maliciosa a la que se conecta la
vctima voluntariamente.
Tambin se puede dar el caso de un
ataque de este tipo en una red de
confianza, como por ejemplo la red de
nuestra casa, si por ejemplo hay
alguien que ha accedido sin que lo
sepamos.
Demos: Ataques MITM en redes
WIFI.

Contramedidas

No usar nunca redes abiertas.

Nunca usar redes pblicas (abiertas o no) para realizar compras ni enviar informacin sensible como
contraseas. Si aparece la ventana de error de certificado en alguna web, nunca continuar.
Usar la extensin https everywhere en el navegador para forzar https siempre que sea posible.
Cambiar el nombre de la red WIFI y la contrasea que venga por defecto. Existen programas que
calculan la contrasea por defecto que vienen en muchos routers, dependiendo del nombre de la red
(SSID), y la direccin MAC (BSSID) del router. Por ejemplo para android: router keygen, liberad a wifi,
etc.
Cambiar usuario y contrasea de acceso web al router.
No ocultar el nombre de la red, eso provoca que muchos mviles revelen su PNL, y adems no es
una defensa efectiva.
Usar cifrado WPA2 con una contrasea lo suficientemente robusta.
Desactivar el protocolo UPNP, y todos los servicios del router que no vayan a usarse desde el
exterior (FTP, DLNA, TELNET, etc.)
Filtrar el acceso a nuestros dispositivos mediante su direccin MAC. No es una defensa perfecta,
pero es bastante efectiva.
Desactivar el WPS (Wifi Protected Setup).
Demo: Configuracin de un router.