Ciberseguretat en el

teletreball
Octubre 2021
 Qui soc ?

Sergi Gil

- Enginyer Industrial i E.T. Informàtica de Sistemes

- Màster en Ciberseguretat
- Màster en Indústria 4.0
- Consultor Ciberseguretat Industrial
- Formador i Conscienciador en Ciberseguretat “in company”

https://www.linkedin.com/in/sergigil/
_
 Index

1.- Teletreball, insegur per definició

 Què pot sortir malament?
 Per què ens hem de preocupar de la nostra Ciberseguretat.
 Atacs d’enginyeria social

2.- Identificació de Phishing i Correus maliciosos

 Atacs a través del correu electrònic
 Phishing: Què és? Com podem detectar-lo?
 Altres riscos amb el correu electrònic
 Index

3.- Treball en local-remot

 Comportaments perillosos
 Bones pràctiques
 Per què les hem de seguir estrictament?

4.- Teletreballar de forma segura

 Des de casa
 Xarxes i Wifis domèstiques (perills i bones pràctiques)
 Des de un lloc públic
 Wifis públiques i VPNs (tipus i bones pràctiques)
 Dades mòbils
 Index

5.- Credencials personals i d’empresa

 La importància de les credencials
 Atacs a contrasenyes
 Contrasenyes insegures i segures
 Gestors de contrasenyes,
 Segon Factor d’autenticació (2FA)
6.- Resum i bones pràctiques a recordar
1. Teletreball,
insegur per definició
Què pot sortir malament?
Escriptoris remots insegurs
Accessos remots
Continguts inapropiats
Noticies
Noticies
Noticies
Noticies
 Les persones no som infal·libles

Un 80% dels incidents de

Ciberseguretat a l’empresa es
deuen a errades humanes.
 Per què ens hem preocupar de la nostra
Ciberseguretat?

Vivim en una societat connectada permanentment a Internet.

Email Twitter Youtube Whatsapp

Google Amazon Netflix Instagram

Mitja vida
connectats a
internet
Els catalans passem 76 hores
connectats a la xarxa de dilluns
a diumenge, és a dir, el 45% del
temps.
Font: Estudi consultora Nielsen de l’any
2019.
 Compartim molta informació

- Publicacions, Converses, Fotos, Vídeos

sense tenir en compte la configuració de
seguretat
- Aplicacions amb permisos excessius
sensors, calendari, càmera, contactes, ubicació,
micròfon, telèfon, missatgeria, emmagatzematge

- Geolocalització
- Si el servei és gratuït, llavors és que el
producte som nosaltres!
Som confiats per naturalesa

Ens agrada ajudar als altres

- Els delinqüents ho saben i s’aprofiten:

o Suplantacions d’identitat

o Robatori de credencials

o Phishing
 Prevenció

Prendre consciència
_________
• Revisar i limitar la informació que es comparteix a la web i les
xarxes socials.
• Conèixer els diferents tipus d’atacs i poder identificar-los.
• Tenir actualitzats tots els sistemes, programes i antivirus a
l’última versió.
• Treballar de forma segura i seguint les polítiques de
ciberseguretat.
 Atacs d’Enginyeria Social

Tècniques dirigides als usuaris amb la finalitat d’aconseguir que

revelem informació personal, credencials d’usuari, etc. que permeti a
l’atacant prendre el control dels nostres dispositius o arribar a
suplantar la nostra identitat.

• Es basen en l’engany i la manipulació

• Solen utilitzar-se com a pas previ a un atac per malware

 Phishing, Vishing i Smishing

Quin és l’objectiu? Phishing

• Obtenir dades personals i/o Sol utilitzar el correu electrònic,
bancaries dels usuaris, fent-nos xarxes socials o aplicacions de
creure que les estem compartint missatgeria instantània
amb algú de confiança
Vishing (Voice phishing)
• Fer que ens descarreguem algun Es realitza mitjançant trucades de
malware amb el que infectar o telèfon (suplantació de veu IA)
prendre el control del nostre
dispositiu
Smishing (SMS phishing)
Es realitza mitjançant SMS
 Phishing, Vishing i Smishing

Spear Phishing Cóm ens protegim?

Com el Phishing però dirigit a una
persona en concret
L’atacant ha recavat informació
sobre ella prèviament, per
maximitzar les probabilitats d’èxit
• Sent cautelosos i llegint el missatge
detingudament, especialment si es
tracta d’entitats amb peticions
urgents, promocions o ‘chollos’
massa atractius.
 Phishing, Vishing i Smishing

Cóm ens protegim?

• Detectar errors gramaticals
• Revisar que l’enllaç coincideix amb la direcció a la que apunta
• Comprovar el remitent del missatge
• No descarregar cap arxiu adjunt
• No cedir mai el control del nostre equip per mitjà d’algun software de
control remot
• No contestar mai al missatge i eliminar-lo
Phishing analògic
 Baiting o Ganxo
S’aprofiten d’un medi físic i de
la nostra curiositat o avarícia
• Dispositiu USB infectat que ens trobem
perdut en un lloc públic i concorregut
• Anuncis i webs que promocionen
concursos i premis, que ens inciten a
compartir les nostres dades o descarregar
un software maliciós
Quin és l’objectiu?
• Aconseguir que connectem aquests
dispositius infectats en els nostres
equips per a executar un malware
amb el que:
• robar les nostres dades
personals
• Prendre el control del nostre
equip
• Infectar la xarxa i arribar a la
resta de dispositius
 Baiting o Ganxo

Cóm ens protegim?

• Evitant connectar dispositius desconeguts USB, CD,
DVD, als nostres equips.
• Desactivant la reproducció automàtica de USB i CD/DVD
• Tenint els nostres equips actualitzats i amb l’antivirus
actualitzat i activat.
• Vigilant amb els codis QR, comprovar la URL de destí
abans d’accedir.
Shoulder Surfing

El ciberdelinqüent aconsegueix
informació de nosaltres, mirant
“per sobre de l’espatlla” des de
una posició propera, mentre que
utilitzem els dispositius
 Shoulder Surfing
Quin és l’objectiu?
• El robatori d’informació:
• Documents confidencials
• Credencials
• Contactes
• Codis de desbloqueig
• PIN de targetes
Cóm ens protegim?
• Evitar que algú tingui visió de la
nostra activitat
• En llocs públics evitar compartir
informació personal o accedir als
nostres comptes
• Utilitzar gestors de contrasenyes i
verificació en dos passos
• Utilitzar filtres ‘anti-espia’ que
redueixen l’angle de visió del
dispositiu
Dumpster Diving

Es tracta de ‘cercar en
la nostra brossa’ per
tal d’obtenir informació
útil sobre nosaltres o
la nostra empresa
 Dumpster Diving

Quin és l’objectiu? Cóm ens protegim?

• Obtenir informació:
Eliminació segura d’informació
• Documents • Trituradora de paper
• Anotacions • Destrucció segura
d’informació digital
• Informació sensible
• Números de targetes de crèdit
• Contactes
• Credencials
• Dispositius electrònics
 SPAM Correu brossa

Quin és l’objectiu?
Consisteix en l’enviament de
• Molt variats:
grans quantitats de missatges
o enviaments publicitaris per • Enviaments publicitaris
internet sense haver estat • Maximitzar les opcions d’èxit d’un
sol·licitats. atac de phishing
• Tractar d’infectar el major nombre
Són missatges no desitjats
possible d’equips amb algun
malware
 SPAM Correu brossa

Cóm es propaga? Cóm ens protegim?

• No utilitzar el nostre compte de correu
Majoritàriament pel correu electrònic,
principal per registrar-nos a ofertes o
però serveix qualsevol mitjà d’Internet
promocions per Internet.
que permeti l’enviament de missatges,
• Utilitzar un correu temporal
com aplicacions de missatgeria
• Utilitzar algun filtre antiSPAM
instantània o xarxes socials
• El millor és ignorar-los i eliminar-los
https://www.guerrillamail.com/es/
_
 Fraus Online

L’enginyeria social és utilitzada freqüentment per fer

tota mena de fraus i estafes online amb les que
enganyar-nos
• Falsos préstecs
• Botigues online fraudulentes
• Falsos lloguers
• Fals suport tècnic
 Assistència tècnica de Microsoft falsa
Es tracta d'un frau on l'estafador pretén
ser tècnic d'aquesta empresa amb el
pretext de resoldre certs problemes
tècnics en l'equip. L'objectiu és
principalment obtenir control remot del
nostre equip i informació confidencial
de l'empresa.
Els ciberdelinqüents es guanyen la confiança de les
víctimes, oferint-se a solucionar el problema,
demanant credencials d'accés a l'ordinador o
instal·lant eines de control remot per poder connectar-
se i solucionar el problema.
Un cop fet això, l'ordinador i la informació sensible
que conté són vulnerables. Amb les dades facilitades i
el control de l'equip, poden: segrestar l'ordinador i
demanar rescat per al seu alliberament, robar dades o
realitzar transaccions econòmiques si els hem donat
les dades bancàries o les tenim emmagatzemades
per defecte a l'ordinador.
 Frau del CEO

Aquest engany, també conegut com a whaling (caça de balenes) perquè es tracta de phishing
dirigit a “peixos grossos", basa el seu funcionament en l'enviament d'un correu electrònic
fraudulent a un empleat d'alt rang, comptable o amb accés a dades sensibles, informació
personal o bancària, fent-li veure que el remitent és el CEO o màxim representant de la seva
organització. Aquest missatge sol demanar ajuda per dur a terme una operació financera
confidencial i urgent.
Si la persona que rep el correu electrònic no se n'adona, podria revelar dades confidencials o
realitzar una transferència urgent.
 Frau del CEO

Què fer perquè no ens passi a nosaltres?

Aquest tipus de fraus es basen en tècniques d'enginyeria social. La millor manera d'evitar-
los és conscienciar els empleats perquè els reconeguin i els neutralitzin.
També és recomanable implementar procediments segurs per efectuar pagaments, de
manera que almenys dues persones o dos mitjans de comunicació diferents, com el correu i
el telèfon, siguin necessaris per poder executar-los.
 Frau de RRHH

En aquest cas correu es dirigeix al personal de Recursos Humans de l'empresa.

En aquest correu electrònic el ciberdelinqüent pretén ser un empleat sol·licitant el canvi de
compte on rebre la seva nòmina.
Igual que el frau del CEO, l'objectiu és que l'empresa transfereixi diners al compte de
l'estafador.
 Sextorsió

L'objectiu del correu electrònic és extorsionar els destinataris amb un suposat vídeo de
contingut sexual, que s'enviarà a la llista de contactes de la víctima si no introdueix la
quantitat demandada en bitcoins pels ciberdelinqüents.

Si hem rebut un correu electrònic amb aquestes característiques, simplement l’hem

d’ignorar. Ja que es tracta d’un intent d'estafa i en realitat ni l’ordinador o el telèfon ha
estat infectat amb un malware, no coneix els seus contactes, ni hi ha cap vídeo.
 Exercicis de detecció d’Enginyeria Social

https://www.osi.es/es/campanas/ingenieria-social/prueba-deteccion-ingenieria-social
_
2. Identificació de Phishing i
Correus maliciosos
 Atacs a través del correu electrònic

El correu electrònic s’ha convertit en una eina imprescindible tant a

nivell personal com empresarial.

Utilitzat per ciberdelinqüents per dur a terme els seus atacs

· Infecció per malware

· Robatori de:
- credencials d'accés
(usuari y contrasenya)
- dades bancaries
- informació confidencial
 Spam amb Links i Adjunts

Malware
_________

• Infectar l’equip o xarxa empresarial

o personal de la víctima
• Arxius adjunts, enllaços maliciosos,
anuncis fraudulents o vulnerabilitats
en el navegador
Arxius infectats amb Ransomware
Ransomware
 Phishing

• Suplanten una empresa o entitat

fiable
• Robar claus d’accés i informació
sensible
Phishing
Phishing
Phishing
 Scamming (Baiting o Ganxo)

• Estafa Nigeriana
• Enganyar i estafar
• Múltiples ganxos: premis de
loteria, herències, ofertes de
feina, xecs regal, multes,
aplicacions falses, etc.
Tendències sobre Phishing
Com detectar correus fraudulents?
 El remitent

Remitents desconeguts

- En moltes ocasions comprovant el remitent és suficient

- Correu tipus entitat bancaria:
contacte@banc.cat o noreply@banc.cat
- Revisar cada caràcter
contacte@banca.cat
- Sospitar de tots els correus amb remitent desconegut
- Trucar per telèfon per confirmar
 El remitent

Remitents falsejats i signatura

- Estar atents davant qualsevol canvi en la signatura

- Canvis o absència pot ser símptoma de frau.
- «Email spoofing»: suplantació del compte de correu
- A simple vista no es pot saber si és fraudulenta
- Cal analitzar les capçaleres amb eines automàtiques com
Messageheader de Google:
https://toolbox.googleapps.com/apps/messageheader/
_
El remitent
 DMARC La solució a la suplantació dels correus

DMARC indica als servidors de correu què fer
quan reben un missatge que sembla que
procedeix de la teva organització, però que
no supera les comprovacions d'autenticació o
no compleix els requisits d'autenticació
indicats en el registre de la política d'DMARC.
•El marc de polítiques del remitent
(SPF) permet que el propietari d'un
domini autoritzi les adreces IP que poden
enviar missatges en aquest domini.
•DomainKeys Identified Mail (DKIM)
afegeix una signatura digital a cada
missatge enviat.
 L’assumpte del missatge

Enginyeria social a l’assumpte

_________
· Generen un sentiment d’alerta o urgència, buscant forçar que fem
alguna cosa ràpidament.
· Cancel·lacions de servei
· Reemborsaments
· Amenacen amb difondre imatges personals compromeses
 El cos del missatge

Enginyeria social al cos

_________
· Pretenen espantar-nos i donar-nos pressa en fer alguna cosa per
solucionar un problema urgent. Buscant que accedim a una página,
decarreguem un arxiu, truquem a un número, …
· Amenacen amb cancel·lacions de servei (telefonia, aigua, llum, gas,
internet, banca, comptes, targetes,...)
· Reemborsaments i premis
 El cos del missatge

Comunicacions impersonals
• Com ara: usuari, client, …
• Entitats legítimes solen utilitzar noms i cognoms del destinatari

Missatges mal redactats

· Greus faltes d’ortografia i expressions no habituals
 Els Adjunts

· Davant qualsevol adjunt hem d’extremar les precaucions

· Les entitats legítimes no solen enviar adjunts

· Documents adjunts maliciosos

- Extensions especialment perilloses:
.exe - .vbs - .bin - .class - .pdf - .jpg - .zip - .rar
.doc/.docx/.docm - .xls/.xlsx/.xlsm -.ppt/.pptx/.pptm
 Els Adjunts

· Fitxers comprimits.
.zip, .rar, .tar, .tar.gz, .tgz

· Davant el menor dubte consultar a VirusTotal.com

· Mai executar cap adjunt abans analitzar-lo amb un bon

antivirus, només descarregar-lo

· Davant qualsevol dubte mai executar l’arxiu. Contactar

amb el remitent!
 VIRUSTOTAL

https://www.virustotal.com/
_
 Els Enllaços

· Enllaços falsejats · Enllaços escurçats

- Entitats legítimes no solen enviar
enllaços en els correus
- L'objectiu dels ciberdelinqüents és
redirigir a l’usuari a una web
fraudulenta
- Poden portar a pàgines amb
contingut maliciós.
- Bit.ly t’ofereix una opció per saber
l’origen de l’enllaç, posar un + al
final de l’enllaç.

Per identificar un correu #phishing, comprova l’adreça i no

cliquis cap enllaç ni descarreguis cap arxiu.
Desconfia d’enllaços escurçats
 VIRUSTOTAL

https://unshorten.me/
_
 Detecció d’enllaços falsejats

- Construcció de l’adreça web «https://www.diputaciolleida.cat»

- «https»: protocol utilitzat per accedir al lloc web
- «://»: símbols de separació entre el protocol i el
- «www»: subdomini, és un subconjunt del domini web. Els
ciberdelinqüents, en moltes ocasions, creen subdominis que simulen al
legítim, pretenent suplantar-lo per enganyar a les víctimes
- «diputaciolleida»: domini, aquest és únic per cada una de les extensions
disponibles com «.cat». Aquesta és la part que s’ha de comprovar amb
especial atenció, ja que els ciberdelinqüents no la poden copiar
- «.cat»: es la extensió del domini
 Detecció d’enllaços falsejats

Cybersquatting. Modificació del domini o extensió per suplantar al legítim.

- Addició. Consisteix en afegir un caràcter al final del nom del domini
“diputaciolleidas.cat”.
- Substitució. Es canvia un caràcter del nom del domini per un altre
“diputaclolleida.cat”
- Homogràfic. Es substitueix per un altre que a simple vista resulta similar
“diputaciodelleida.cat”
- Separació. Consisteix en afegir un guió en alguna part del nom del domini
“diputacio-Lleida.cat”
 Detecció d’enllaços falsejats
- Inserció. S'afegeix un caràcter entre el primer i l'últim del nom de domini
“diputacioolleida.cat"
- Omissió. Se suprimeix un caràcter “diputacioleida.cat"
- Subdomini. Consisteix a registrar un nom de domini amb el nom parcial
del legítim i afegir els caràcters restants a través d'un subdomini
“diputacioll.eida.cat"
- Transposició. Alternant l'ordre dels caràcters del nom de domini
“diputaicolleida.cat".
- Canvi de domini. S'utilitza un domini lliure però que utilitza el mateix nom
de domini “diputaciolleida.eu".
 Detecció d’enllaços falsejats

- Altres tècniques utilitzades afegeixen “w” al principi del nom o “com” al final,
“wwwdiputaciolleida.cat” “diputaciolleidacom.cat”

- També podem comprovar qui és el propietari del domini consultant el seu

WHOIS
https://www.dondominio.com/whois/
_

https://whois.domaintools.com/
_

- Si encara tenim dubtes VirusTotal.com

- Davant el mínim dubte no accedir a l’enllaç

Exemple Correu Maliciós I
Exemple Correu Maliciós II
Exemple Correu Maliciós III
Exemple Correu Maliciós IV
Exemple Correu Maliciós V
Exemple Correu Maliciós VI
 Altres riscos derivats de l’ús del correu electrònic

CC Y CCO
- Enviament a múltiples destinataris utilitzant l’opció CC (Carbon Copy) o
en copia, enlloc de l’opció de CCO o copia oculta (o BCC, Blind Carbon
Copy, en alguns casos).
- És un dels incidents de fuita d’informació més habituals en una organització.
- El correu electrònic és considerat una dada personal i no podem compartir-lo
sense el consentiment del propietari.
- Podria comportar multes importants a l’empresa.
 Altres riscos derivats de l’ús del correu electrònic

Funció d'auto completat

- Quan introduïm l’adreça del destinatari, la funció d'auto completat mostra
adreces semblants.
- Correm el risc de seleccionar la que no és i enviar el correu a un altre
destinatari.
- Deshabilitar aquesta funció o revisar bé el destinatari abans d’enviar.
 Altres riscos derivats de l’ús del correu electrònic

Descàrrega automàtica d’imatges

- És un risc per la privacitat i la seguretat.
- Les imatges són usades per monitoritzar si un correu s’ha obert o no,
reduint així la privacitat.
- A més, la càrrega d’imatges pot ser la porta d’entrada de malware a la
empresa.
- Sempre és recomanable desactivar aquesta opció quan sigui
possible.
Exercicis de detecció de Phishing

https://phishingquiz.withgoogle.com/
_
Per finalitzar
3. Treball en local-remot...
 Comportaments perillosos

La ciberseguretat en el lloc de treball ja és una necessitat urgent per a

qualsevol empresa, gran o petita. Les errades humanes estan darrere del 80%
dels incidents per a la ciberseguretat de l'empresa. Quins comportaments
(molts d'ells habituals) s'han d'evitar per minimitzar els riscos d'un
ciberatac?

Els errors més comuns que afecten la ciberseguretat de l'empresa i que has
d'intentar evitar sempre que et connectis amb els teus equips a la feina:
 Dispositius externs

Parlem de de dispositius de memòria externa (USB) que ens

portem a la feina des de casa o que compartim amb altres
persones sense haver estat prèviament analitzats o
formatejats per prevenir l’entrada de malware en els equips
informàtics.
 Riscos associats a l’ús de USB
Robatori
Poden ser molt atractius, no pel seu valor, sinó per la informació que poden
arribar a contenir. (informació sensible o confidencial)
Al ser petits són molt fàcils d’amagar

Pèrdua
Al ser petits són molt fàcils d’extraviar.

Infecció per malware

Són una via d’infecció molt utilitzada pels ciberdelinqüents.
Permet accedir a l’interior de l’empresa saltant-se la protecció dels tallafocs
perimetrals. També permet infectar a sistemes que no disposen de connexió a
Internet.
 USBs Perduts
Quin és l’objectiu?
• Aconseguir que connectem aquests
dispositius infectats en els nostres
equips per a executar un malware
amb el que:
• robar les nostres dades
personals
• Prendre el control del nostre
equip
• Infectar la xarxa i arribar a la
resta de dispositius
Cóm ens protegim?
• Evitant connectar dispositius
desconeguts USB, CD, DVD, als
nostres equips.
• Desactivant la reproducció automàtica
de USB i CD/DVD
• Tenint els nostres equips actualitzats i
amb l’antivirus actualitzat i activat.
 Ús segur de dispositius d’emmagatzematge
extraïble

• Quin tipus d’informació es pot portar en aquests dispositius?

Cal xifrar la informació?

• En cas de pèrdua o robatori, s’ha de comunicar immediatament a

l’empresa

• Esborrat/destrucció segura
 Evitar l’ús de Xarxes Socials

S’hauria d’evitar des de dispositius empresarials l'accés a les xarxes

socials, la lectura de missatges o la descàrrega d'arxius, d'origen no
verificat, des dels seus comptes a Facebook, Twitter, Instagram...
De la mateixa manera, la publicació d'imatges o informacions
relacionades amb la jornada laboral, molt habituals en alguns empleats,
pot oferir valuoses pistes als ciberdelinqüents.
 No bloquejar els equips
Tots els dispositius han de quedar bloquejats quan no estem utilitzant l’equip.
El desbloqueig ha d’anar protegit amb contrasenyes robustes.

Bloqueig de pantalla en ordinadors Telèfons i Tauletes

Windows: • Bloqueig biomètric o per

+ L
contrasenya
MacOS: Ctrl + ⌥ + Q
• Bloqueig automàtic en cas
Linux: Ctrl + Alt + L d’inactivitat
 Descàrrega sense control, correu electrònic

El correu electrònic segueix sent la principal porta d'entrada

d'amenaces a la ciberseguretat de l'empresa. És recomanable no
accedir al correu personal a l'ordinador de treball, però tant si es fa
com si s'accedeix al correu corporatiu, qualsevol descàrrega d'arxius ha
d'anar acompanyada de la corresponent anàlisi de seguretat de
l'antivirus corporatiu.
 Pujar arxius al núvol sense xifrar

Abans hem indicat que el Núvol és una bona opció per evitar l'ús de
dispositius externs que puguin estar infectats i posar en risc la ciberseguretat
de l'empresa.
Tant si els serveis en el núvol que utilitzeu són gratuïts, como si són
corporatius, qualsevol informació sensible o que contingui dades de
l’empresa o dels clients ha de comptar amb unes mesures mínimes de
seguretat, que inclouen el xifrat de les carpetes que els contenen.
 Mala gestió de contrasenyes

En aquest punt, la responsabilitat és bàsicament dels treballadors.

Els permisos per accedir a determinats documents o per descarregar
programes no poden estar disponibles per a tothom i utilitzar-los sense
control. Una de les qüestions pendents en matèria de ciberseguretat de
les empreses és establir mecanismes de control d'accés per als
empleats que són els últims responsables de les seves credencials.
 No informar d’incidències o problemes

Ja sigui per por a represàlies o per falta d'informació sobre les

possibles conseqüències d'una mala decisió, en molts casos no es
comuniquen avisos de seguretat o incidents en equips informàtics als
responsables de l'empresa. Deixant la porta oberta als ciberdelinqüents
que ho aprofitaran.
El temps és or davant d'un possible atac informàtic.
 Utilització dels dispositius

L'ús dels dispositius corporatius, o que accedeixin a documents o

sistemes de l'empresa, no han de ser utilitzats per cap altra persona
aliena a l'empresa o al negoci, ni utilitzar les nostres credencials
d’accés (que mai han de ser compartides amb ningú) i molt menys
permetre la instal·lació de programes o apps no autoritzades.
 Intercanvi d’informació

Només s'han d'utilitzar els mecanismes habilitats per l'empresa per dur
a terme l'intercanvi d'informació. No s’han d'utilitzar serveis com
WeTransfer, Filemail o similars.
 Bones Pràctiques

Per garantir un ús adequat dels dispositius i

minimitzar l’impacte dels riscos
 Taules netes

· Guardar la documentació
· Lloc de treball net i ordenat
· Res de post-it amb usuaris i contrasenyes
· Dispositius portàtils (ordinadors, discs durs, USBs, ...)
 Programari actualitzat

· Actualitzacions automàtiques
· Software desactualizat és un risc
Sistema operatiu, Navegadors, Programes, etc.
 Programari legítim

• Programes «pirata» prohibits

• Software il·legal = infecció per malware

 Antivirus i Tallafocs

ANTIVIRUS
Eliminació de software maliciós
Detecció de webs fraudulentes o protecció contra Ransomware

TALLAFOCS
Controlar tràfic des de i cap a Internet
Evita que el malware pugui comunicar-se amb l’exterior i
que atacs procedents d’Internet siguin bloquejats
4. Teletreballar de forma segura
 Seguretat bàsica a casa
Topologia d’una xarxa domèstica
 Xarxes WiFi Privades

Qualsevol WiFi que controlem nosaltres o la nostra empresa

o organització i que no estigui oberta al públic en general.

• Domèstiques • Empresarials
Recomanable, utilitzar doble WiFi
 Seguretat del Router

Accés segur i privat a Internet

• Canviar les credencials accés router per defecte (usuari/password)
• Canviar el nom de la wifi (SSID)
• Canviar la contrasenya de la wifi (robusta)
• Configurar la wifi amb xifrat WPA2-PSK (ús domèstic) (Mai oberta o
WEP)
• Filtrar adreces MAC
• Desactivar la opció WPS (Wi-Fi Protected Setup)
• Utilitzar una segona xarxa wifi pels convidats (SSID i WPA2-PSK)
• No compartir la wifi amb veïns
• Comprovar que no ens estan robant la wifi
 Seguretat bàsica fora de casa
Xarxes WiFi Públiques

Qualsevol WiFi que no controlem nosaltres o la nostra

empresa o organització.
• Hotels • Centres comercials
• Restaurants • Cafeteries
• Aeroports • Botigues
• Ajuntaments • …
 Xarxes WiFi Públiques

WiFis obertes: no requereixen de contrasenya per accedir.

Tota la informació circula sense xifrar, qualsevol pot veure la informació en text pla.

WiFis tancades: requereixen d’una contrasenya per accedir.

La informació circula xifrada, però qualsevol que estigui connectat a la mateixa
xarxa podrà veure la informació en text pla.
Les ones estan obertes a tothom
Trencant la seguretat de les contrasenyes
Els nostres equips publiquen la nostra informació
Exfiltració de dades personals
 Xarxes WiFi Públiques

Xarxes WiFi Públiques = PERILL !!!

_________
· No conectar-se a xarxes wifi públiques (amb dispositius empresarials)
· Sempre millor utilitzar xarxa mòbil (4G/5G connexió de dades)
· Xarxa Privada Virtual o VPN (evitar escriptoris remots RDP sense VPN)
 Xarxa de dades mòbils com a pla B

Quan no sigui possible utilitzar la xarxa domèstica per a connexions

remotes o qualsevol altra xarxa considerada segura com a alternativa, és
recomanable utilitzar la xarxa de dades mòbils 4G o 5G. Aquest tipus de
cobertura té per defecte diverses mesures de seguretat que protegeixen la
informació cap a i des del dispositiu, el que el converteix en un canal de
comunicació segur. A més, els dispositius mòbils actuals poden convertir-
se en un punt d'accés compartint cobertura mòbil, la qual cosa fa que
també s'utilitzin altres dispositius, com ordinadors portàtils o tauletes.
 Compartir dades amb un iPhone o iPad

Com personalitzar el punt d'accés personal a l'iPhone o l'iPad

La funció Personal Hotspot permet compartir la connexió de dades
mòbils de l'iPhone o l'iPad (Wi-Fi + Cellular) quan no tenim accés a
una xarxa Wi-Fi.
Configuració d’un punt d'accés personal
Aneu a Configuració > Dades mòbils o Configuració > punt d'accés
personal.
Toca la barra del costat per permetre que altres es connectin.

Si no veieu l'opció Punt d'accés personal, poseu-vos en contacte

amb el vostre operador per assegurar-vos que podeu utilitzar el
Punt d'accés personal amb el vostre pla.
 Compartir dades amb un Android

Activar un punt d'accés

1. Llisca cap avall des de la part superior de la pantalla.
2. Toca Punt d'accés o Zona WiFi.
Si no trobes el Punt d'accés o Zona WiFi, a la part inferior esquerra, toca Editar i
arrossega el punt d'accés a la configuració ràpida.

Connectar un dispositiu al punt d'accés del telèfon

1. A l'altre dispositiu, obriu la llista d'opcions de Wi-Fi per a aquest dispositiu.
2. Trieu el nom del punt d'accés del telèfon.
3. Introduïu la contrasenya del punt d'accés del telèfon.
4. Seleccioneu Connectar.
 VPN per Protegir les nostres comunicacions

Una VPN (Virtual Private Network) és una tecnologia de xarxa utilitzada

per connectar un o més ordinadors a una xarxa privada utilitzant
Internet. Les empreses sovint utilitzen aquestes xarxes perquè els seus
empleats, des de les seves llars, hotels, etc., puguin accedir a recursos
corporatius que d'una altra manera no podrien. No obstant això,
connectar l'ordinador d'un empleat als recursos corporatius és només
una funció d'una VPN.
 Avantatges de les VPN

Seguretat, seguretat i seguretat. La seguretat millorada és el que més importa quan arriba el moment
d'utilitzar una VPN. Les vostres dades seran encriptades, el que significa que els ciberdelinqüents no podran
accedir-hi.

Anonimat en línia. Si voleu navegar per llocs web amb TOTAL PRIVACITAT, hauríeu d'utilitzar una VPN. La
VPN actua com una màscara que li permet gestionar la connexió de forma anònima en línia.

Accés remot a la xarxa. Després de configurar la VPN, podeu connectar-vos-hi remotament des de qualsevol
lloc amb una connexió a Internet.

Comparteix fitxers a la xarxa. Això és similar a l'últim punt, però després de configurar la vostra VPN, podeu
accedir a compartir fitxers amb altres persones. Això vol dir que els membres de la vostra xarxa podran accedir
i transferir fàcilment els fitxers entre si.

Evitar els filtres d'Internet. En països amb accés a Internet més restrictiu com la Xina, les VPN són
extremadament populars. En part, això es deu als filtres d'Internet que impedeixen als usuaris nadius visitar
comptes de xarxes socials i "difondre dissidència" o opinions que critiquen el govern xinès.
 VPN Comercials per Accedir a Internet

Accés segur i privat a

Internet
Una VPN és com un túnel segur
i xifrat per on flueix el tràfic
online, entre el nostre dispositiu i
el servidor del proveïdor al que
ens connectem. Són útils per
protegir la nostra activitat quan
ens connectem a una wifi
pública, ocultar la nostra IP,
semblar que estem en un altre
país.
VPN Comercials per Accedir a Internet

Vigilar amb les VPN gratuïtes

ISL online
5. Credencials personals i
d’empresa
 La importància de les Credencials

Control d’accessos
Ens obre la porta a tota mena de sistemes i serveis
• Ordinadors, telèfon, correu electrònic, administracions, botigues online, webs,
servidors d’arxius, ...
Les credencials consten generalment consta de dues parts:
• Nom d’usuari: ens identifica (nom, alies, correu)
• Contrasenya: ens autentica, amb ella es comprova que som qui diem que som.

És el nostre jo digital.
 Atacs a Contrasenyes

Tècniques i eines que utilitzen els ciberdelinqüents per atacar

les nostres credencials
S’aprofiten de males pràctiques:
• Fer servir la mateixa contrasenya per a diferents serveis
• Contrasenyes dèbils, fàcils de recordar i atacar
• Utilitzar informació personal com a contrasenya com la data de naixement
• Apuntar-les en notes o arxius sense xifrar
• Guardar les contrasenyes en el navegador
 Atacs a Contrasenyes

La finalitat és la suplantació d’identitat

Els ciberdelinqüents busquen fer-se amb les nostres credencials (usuari:contrasenya) per
fer-se amb el control dels nostre comptes i suplantar-nos.
• Correu electrònic (personal o empresarial)
• Xarxes socials
• Emmagatzematge en el núvol (Dropbox, OneDrive, GoogleDrive, ...)
• Comptes bancaris, targetes, crèdits, ...
• Botigues online o físiques (compres)
• Feina (correus, comptes bancaris, espionatge industrial, ...)
 Atacs a Contrasenyes

1. Força bruta
• Consisteix en endevinar la nostra contrasenya a força de assaig i error.
• Provant diferents combinacions a partir de les nostres dades personals,
fent combinacions de paraules a l'atzar, conjugant noms, lletres i
números, fins que donen amb el patró correcte.
 Atacs a Contrasenyes

2. Atac per diccionari

• Utilitzen programes que van provant contrasenyes fins que donen amb la
correcta.
• Les contrasenyes estan guardades en llistats (diccionari).
• Hi ha diccionaris disponibles en distribucions de seguretat.
• Hi ha un mercat de compra venda de llistats de contrasenyes que han
estat compromeses.

https://haveibeenpwned.com/
_

https://haveibeenpwned.com/Passwords
_
 Atacs a Contrasenyes

Com ens podem protegir

• Utilitzant contrasenyes robustes
• Utilitzant el doble factor d’autenticació (2FA)
• Utilitzant gestors de contrasenyes
• Comprovant que la contrasenya no ha estat compromesa
Les Contrasenyes més mal utilitzades el 2020

Font:NordPass
Temps necessari per craquejar una contrasenya
 Contrasenyes: Què NO s'ha de fer

 Contrasenyes senzilles: utilitzar contrasenyes d'ús

comú, que es trobin en diccionaris, o aquelles que
siguin d'ús consecutiu.

 Nom usuari: utilitzar el nom d'usuari com a

contrasenya.

 Guardar: desar les contrasenyes en navegador o

dispositius no xifrats. Tampoc en un post-it o llibreta...

 Compartir: compartir les contrasenyes amb qualsevol

persona.

 Canvi: no canviar la contrasenya assíduament.

 Bones pràctiques en l’ús de Contrasenyes

NO s’han de compartir
• Les contrasenyes han de ser secretes, és a dir, no s’han de compartir amb ningú.
• La contrasenya ha de ser intransferible i ningú sota cap concepte ha de saber quina és.
• Si una altra persona coneixedora de la contrasenya fes alguna cosa amb les teves credencials d'accés, podries
ser responsable doncs apareixerà registrat com si ho has fet tu.

NO s’han de reutilitzar
• Utilitzar la mateixa clau per accedir al correu electrònic, xarxes socials, botigues online, etc., no és una pràctica
segura.
• Si un ciberdelinqüent aconsegueix fer-se amb la contrasenya d’un d'aquests serveis, per exemple, per mitjà d'un
phishing o d'una fuita d'informació tots els serveis que utilitzen la mateixa contrasenya es veurien compromesos.
Cada servei ha de tenir la seva pròpia contrasenya d'accés.
Recomanacions per crear una bona Contrasenya
Utilitzar regles mnemotècniques
 Recomanacions per crear una bona Contrasenya

• Contrasenyes extenses: es recomanen establir contrasenyes superiors a 8 ó 12 caràcters.

• No utilitzar paraules contingudes als diccionaris.
• No fer servir com a contrasenyes noms de persones, animals de companyia, familiars, ciutats,
carrers, dates de naixement, matrícules de cotxe, etc.
• No triar com a contrasenyes dies de la setmana o mesos o noves contrasenyes que es
diferenciïn de les anteriors per només un o dos caràcters.
• No s’han d’anotar mai en llocs visibles.
• És aconsellable canviar-les cada tres mesos o immediatament si tenim sospites de que hagi
pogut estar compromesa.
Ha estat compromesa la meva contrasenya?
 Gestors de Contrasenyes

El problema
• Hem de gestionar desenes, centenes o milers de contrasenyes.
• Impossible en recordar-nos de totes.
• Reutilitzem la mateixa contrasenya en diversos serveis.
• Les apuntem en llocs no segurs i sense protecció.

La solució
• Utilitzar un gestor de contrasenyes
 Gestors de Contrasenyes

Avantatges
• Una única frase mestra per accedir a totes les nostres contrasenyes.
• Contrasenyes xifrades en una caixa forta.
• Disposa de generador de contrasenyes segures.
• Alguns poden ser multiplataforma, de manera que des de qualsevol lloc i des de qualsevol
dispositiu podem tenir accés a totes les nostres credencials d'accés.

Requisits
• La frase mestra ha de ser molt robusta.
• No la hem d’oblidar.
 Gestors de Contrasenyes

KeePass Password Safe

https://keepass.info/
_
 Gestors de Contrasenyes

KeePass Password Safe

 Gestors de Contrasenyes

LastPass

https://www.lastpass.com/es/
_
 Gestors de Contrasenyes

Comercials Open Source

 Doble factor d’autenticació (2FA)

• Mecanisme que afegeix una capa extra de seguretat als serveis que requereixen d'usuari i contrasenya per al
seu ús.
• Utilitza una nova clau d'un sol ús. Normalment, vinculat a un telèfon mòbil, per mitjà d'una aplicació específica,
SMS, o altres dispositius coneguts com tokens.
• Sempre que sigui possible s'ha d'habilitar el doble factor d'autenticació per a tots els serveis que s'utilitzen a
Internet.
Exemples de TOKENs

https://www.yubico.com/
_
Novetats Google
Novetats Microsoft
6. Resum i bones pràctiques a
recordar
 Resum i bones pràctiques

• Sempre que sigui possible, utilitzar els equips de l’empresa. Es desaconsella

utilitzar dispositius personal per al teletreball, al no poder-se garantir que
reuneixen els requisits de seguretat requerits per l’empresa i poder suposar
un forat de seguretat..
• Si no disposem d’una VPN ja sigui la d’empresa o una pròpia, evitarem l'ús
de xarxes Wi-Fi públiques o desconegudes. Si utilitzem la nostra wifi, hem de
revisar la seva configuració de seguretat.
• Accedir només als llocs web que utilitzen HTTPS. La icona del candau
assegura una connexió punt a punt segura.
 Resum i bones pràctiques

• Extrema les precaucions contra el phishing. No accedir a enllaços ni

interactuar amb cap tipus de contingut multimèdia rebut a través de correus
electrònics sospitosos. Esborrem el correu directament.
• Tant si treballes a casa com a l'oficina, ens assegurarem que totes les
contrasenyes que protegeixen l'accés als nostres comptes siguin robustes,
individuals i conegudes només per l'usuari.
• Mantenir actualitzats tots els sistemes i aplicacions, ja siguin utilitzats per
motius professionals o a nivell particular.
 Resum i bones pràctiques

• Tenir instal·lat un antivirus als nostres dispositius, aquest antivirus s'ha de

mantenir actualitzat i activat, per tal que realitzi les funcions correctament.
• Fer una còpia de seguretat periòdicament per assegurar-se que la informació no
es perd en cas d'incident. Mantenir aquestes còpies segures i aïllades dels
dispositius de treball per evitar el seu xifrat en cas de ramsonware. Comprovar
que funcionen les còpies periòdicament.
• No compartir els dispositius corporatius amb altres persones de l'entorn, i no
instal·lar aplicacions no autoritzades per l'empresa.
 Més recursos

https://www.incibe.es/
_

https://www.osi.es/es
_

https://www.is4k.es/
_

https://ciberseguretat.gencat.cat/
_

https://internetsegura.cat/
_
Gràcies.