1. 1. Diferencias entre los siguientes tipos de hackers:
* Hacker (white hat y black hat): Un hacker de sombrero blanco (del inglés, White hats), en jerga
informática, se refiere a una ética hacker que se centra en asegurar y proteger los sistemas de Tecnologías
de información y comunicación.5 Estas personas suelen trabajar para empresas de seguridad informática
las cuales los denominan, en ocasiones, «zapatillas o equipos tigre».6
Por el contrario, un hacker de sombrero negro (del inglés, Black Hat) es el villano o chico malo,
especialmente en una película de western, de ahí que en tal carácter se use un sombrero negro, en
contraste con el héroe, el de sombrero blanco.
También conocidos como "crackers" muestran sus habilidades en informática rompiendo sistemas de
seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o
apoderándose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking.
En los últimos años, los términos sombrero blanco y un sombrero negro han sido aplicados a la industria del
posicionamiento en buscadores (Search Engine Optimization, SEO). Las tácticas de posicionamiento en
buscadores de los hackers de sombrero negro, también llamada spamdexing, intento de redireccionar los
resultados de la búsqueda a páginas de destino particular, son una moda que está en contra de los
términos de servicio de los motores de búsqueda, mientras que los hackers de sombrero blanco, utilizan
métodos que son generalmente aprobados por los motores de búsqueda.
* Cracker y Samurai:
- Cracker: Se suele referir a una persona como cracker cuando:
Mediante ingeniería inversa realiza: seriales, keygens y cracks, los cuales sirven para modificar el
comportamiento o ampliar la funcionalidad del software o hardware original al que se aplican, y se los
suele utilizar para saltearse restricciones como por ejemplo que un programa deje de funcionar a un
determinado tiempo, o que sólo funcione si es instalado desde un CD original, etc.
Viola la seguridad de un sistema informático y, por ejemplo, toma control de este, obtiene información,
borra datos, etc.
En ambos casos dichas prácticas suelen ser ilegales y penadas por la ley.
- Samurai: Normalmente es alguien contratado para investigar fallos de seguridad, que investiga casos de
derechos de privacidad, esté amparado por la primera enmienda estadounidense o cualquier otra razón
de peso que legitime acciones semejantes. Los samuráis desdeñan a los crackers y a todo tipo de
vándalos electrónicos. También se dedican a hacer y decir cómo saber sobre la seguridad con sistemas en
redes
* Copyhacker y Bucanero:
- Copyhacker: Es una nueva raza solo conocida en el terreno del crackeo de Hardware, mayoritariamente
del sector de tarjetas inteligentes empleadas en sistemas de televisión de pago. Este mercado mueve al
año mas de 25.000 millones de pesetas sólo en Europa. En el año 1994 los Copyhackers vendieron tarjetas
por valor de 16.000 millones de pesetas en pleno auge de canales de pago como el grupo SKY y Canal+
plus- Estos personajes emplean la ingeniería social para convencer y entablar amistad con los verdaderos
Hackers, les copian los métodos de ruptura y después se los venden a los " bucaneros " personajes que
serán detallados mas adelante. Los Copyhackers divagan entre la sombra del verdadero Hacker y el
Lamer. Estos personajes poseen conocimientos de la tecnología y son dominados por la obsesión de ser
superiores, pero no terminan de aceptar su posición. Por ello " extraen " información del verdadero Hacker
para terminar su trabajo. La principal motivación de estos nuevos personajes, es el dinero.
- Bucanero: Son peores que los Lamers, ya que no aprenden nada ni conocen la tecnología. Comparados
con los piratas informáticos, los bucaneros sólo buscan el comercio negro de los productos entregados por
los Copyhackers. Los bucaneros sólo tienen cabida fuera de la red, ya que dentro de ella, los que ofrecen
2. productos " Crackeados " pasan a denominarse " piratas informáticos " así puestas las cosas, el bucanero es
simplemente un comerciante, el cual no tienen escrúpulos a la hora de explotar un producto de Cracking
a un nivel masivo.
* Lammer, Script kiddie y Newbie:
- Lammer: En terminología hacker, aquella persona que sabe poco sobre computación. También llamados
así aquel que pretende serhacker sin tener todos los conocimientos suficientes.
- Script Kiddie: En terminología hacker, es una palabra despectiva usada para designar a aquellos crackers
sin experiencia que utilizan programas desarrollados por otros para atacar sistemas o dañar sitios web.
Se asume que un script kiddie no tiene la capacidad de escribir sus propios programas de hacking, y su
objetivo generalmente es impresionar a sus amigos.
- Newbie: principiante de la computación, siendo comúnmente usado para indicar a usuarios de internet
de prominente práctica pero de corto conocimiento técnico, a un recién llegado a un foro o comunidad.
Posteriormente el uso de la palabra se ha extendido para también indicar a un juego multijugador o un
recién llegado a cualquier grupo específico
* Spammer:
Persona o grupo dedicados a la distribución de correo electrónico no deseado, spam o spamdexing.
La actividad suele resultarles sumamente lucrativa, pero está muy mal vista por la mayoría de los usuarios y
empresas de internet, de hecho es ilegal en muchos países.
* Phreaker:
Conjunto de actividades que tienen como fin el estudio y uso de los sistemas de telefonía para realizar
llamadas gratuitas, escuchas telefónicas, etc.
Se lo considera una variante de hacking.
El término phreak es una unión entre phone (teléfono) y freak (fenómeno).
2. Encuentra en la red ejemplos de los siguientes tipos de ataques informáticos:
*Ataques de intromisión:
Piratas chinos robaron durante dos años datos de multinacionales energéticas
http://www.elpais.com/articulo/tecnologia/Piratas/chinos/robaron/durante/anos/datos/multinacionales/e
nergeticas/elpeputec/20110210elpeputec_3/Tes
* Ataque de espionaje en líneas:
Washington acusa a China y Rusia de robo sistemático de tecnología
http://www.elpais.com/articulo/internacional/Washington/acusa/China/Rusia/robo/sistematico/tecnologi
a/elpepiint/20111104elpepiint_2/Tes
* Ataque de intercepción:
http://www.alambre.info/2003/10/27/ataques-e-intromisiones-a-traves-de-internet/
* Ataque de modificación:
Un asalto a Sega compromete más de un millón de datos
http://www.elpais.com/articulo/Pantallas/asalto/Sega/compromete/millon/datos/elpepirtv/20110620elpep
irtv_1/Tes
3. * Ataque de denegación de servicios:
Inteco detecta un virus con un falso mensaje de la Policía que solicita un ingreso
http://www.elmundo.es/elmundo/2012/01/13/leon/1326456766.html
* Ataque de suplantación:
Los terminales Android son vulnerables ante posibles ataques de suplantación
http://www.elmundo.es/elmundo/2011/05/18/navegante/1305710767.html
* Ingeniería social:
Desarrollan un troyano que roba información de los móviles Android
http://www.networkworld.es/Desarollan-un-troyano-que-roba-informacion-de-los-moviles-An/seccion-
actualidad/noticia-105117
3. Explica dos de los siguientes delitos contra la intimidad personal:
* El uso indebido de directorios de correo electrónico o de listas de usuarios.
Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de
las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por
intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o
información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido
como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación
oficial electrónica, por lo común un correo electrónico, o algún sistema demensajería instantánea1 o
incluso utilizando también llamadas telefónicas.
Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos
adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para
prevenir a los usuarios con la aplicación de medidas técnicas a los programas.
Técnicas de phishing
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar
que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar
el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el
ejemplo en esta URL, http://www.nombredetubanco.com/ejemplo. Otro ejemplo para disfrazar enlaces es
el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre
de usuario y contraseña (contrario a los estándares). Por ejemplo, el
enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo
creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al
navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario
de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido
erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing
utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen
de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original
y abriendo una nueva que contiene la URL ilegítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del
banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya
que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y
los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site
Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un
4. enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este
ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio
internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas
a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com,
aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron,
"ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la
publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques
homógrafos, ningún ataque conocido de phishing lo ha utilizado.
Lavado de dinero producto del phishing
Actualmente empresas ficticias intentan reclutar tele trabajadores por medio de e-mails, chats, irc y otros
medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas
que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin
saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el
cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la
cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método
de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce
vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la
empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del
dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de
sistemas de envío de dinero a cuentas indicadas por la seudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve
involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los
bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la
víctima, obviando que este únicamente recibió una comisión.
Fases
* En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a
través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o
scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar
determinados campos, tales como: Datos personales y número de cuenta bancaria.
* Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de
entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos.
* El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales
son transmitidas a las cuentas de los intermediarios (muleros).
*Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de
dinero y aquéllos —los intermediarios— el porcentaje de la comisión.
* La suplantación de personalidad.
La suplantación de identidad puede darse en redes sociales, cuentas de correo electrónico, sistemas de
nanoblogging, conversaciones telefónicas… Sin embargo, para que esta conducta sea constitutiva de
delito ha de existir una verdadera suplantación de identidad, que no se limite al nombre, sino a todas las
características o datos que integran la identidad de una persona, en la que el suplantador asuma como
propia y excluyente una identidad ajena.
5. La suplantación de personalidad únicamente es delito si la conducta encaja perfectamente en el tipo
penal del artículo 401, es decir, si lo que se usurpa es el estado civil de otro. En este caso, la conducta
puede ser castigada con la pena de prisión de seis meses a tres años.
Si lo que se hace es simplemente crear un perfil inventado o con datos falsos, la conducta no encajaría en
el tipo penal y no podría ser considerada delito; por tanto, el hecho de inventarse datos falsos para
participar en una red social no es constitutivo del delito de usurpación de estado civil.
4. Explica qué es:
* Criptografía:
La palabra criptología proviene de las palabras griegas Kryto y logos y siginifica estudio de lo oculto. Una
rama de la criptología es la criptografía, que se ocupa del cifrado de mensajes. Esta se basa en que el
emisor emite un mensaje en claro, que es tratado mediante un cifrador con la ayuda de una clave, para
crear un texto cifrado. Este texto cifrado, por medio del canal de comunicación establecido, llega al
descifrador que convierte el texto cifrado, apoyandose en otra clave, para obtener el texto en claro
original. Las dos claves implicadas en el proceso de cifrado/descifrado pueden ser o no iguales
dependiendo del sistema de cifrado utilizado.
* Encriptamiento:
El encriptamiento es una forma efectiva de disminuir los riesgos en el uso de tecnología. Implica la
codificación de información que puede ser transmitida vía una red de cómputo o un disco para que solo
el emisor y el receptor la puedan leer.En teoría, cualquier tipo de información computarizada puede ser
encriptada. En la práctica, se le utiliza con mayor frecuencia cuando la información se transmite por
correo electrónico o internet. La información es encriptada por el emisor utilizando un programa para
"confundir o entremezclar" la información utilizando un código "asegurado". El receptor descifra la
información utilizando un código análogo exclusivo. Cualquier persona que intercepte el mensaje verá
simplemente información entremezclada que no tendrá ningún sentido sin el código o llave necesaria.
* Firma digital
La firma digital puede ser definida como un método criptográfico que asegura la identidad del remitente
de un mensaje .Puede ser de tres tipos:
• Simple. Cuando sirve para identificar al firmante.
• Avanzada. Cuando sirve para identificar el firmante y,
además,c o m p r o b a r q u e e l m e n s a j e n o s e h a m o d i f i c a d o d u r a n t e s u recorrido.
• Reconocida. Cuando, además de ser avanzada, está garantizada por un certificado digital
emitido por un organismo reconocido
Concretamente, para que dos personas (ya sean dos empresarios o un empresario y un consumidor)
puedan intercambiar entre ellos mensajes electrónicos de carácter comercial que sean mínimamente
fiables y puedan, en consecuencia, dar a las partes contratantes la confianza y la seguridad que necesita
el tráfico comercial, esos mensajes deben cumplir los siguientes requisitos:
1º.- Identidad, que implica poder atribuir de forma indubitada el mensaje electrónico recibido a una
determinada persona como autora del mensaje.
2º.- Integridad, que implica la certeza de que el mensaje recibido por B (receptor) es exactamente el
mismo mensaje emitido por A (emisor), sin que haya sufrido alteración alguna durante el proceso de
transmisión de A hacia B.
3º.- No repudiación o no rechazo en origen, que implica que el emisor del mensaje (A) no pueda negar en
ningún caso que el mensaje ha sido enviado por él.
6. 4º.- Confidencialidad, que no es un requisito esencial de la firma digital sino accesorio de la misma. La
confidencialidad implica que el mensaje no haya podido ser leído por terceras personas distintas del
emisor y del receptor durante el proceso de transmisión del mismo.
* Certificado digital
El Certificado Digital es el único medio que permite garantizar técnica y legalmente la identidad de una
persona en Internet. Se trata de un requisito indispensable para que las instituciones puedan ofrecer
servicios seguros a través de Internet. Además:
El certificado digital permite la firma electrónica de documentos El receptor de un documento firmado
puede tener la seguridad de que éste es el original y no ha sido manipulado y el autor de la firma
electrónica no podrá negar la autoría de esta firma.
El certificado digital permite cifrar las comunicaciones. Solamente el destinatario de la información podrá
acceder al contenido de la misma.
En definitiva, la principal ventaja es que disponer de un certificado le ahorrará tiempo y dinero al realizar
trámites administrativos en Internet, a cualquier hora y desde cualquier lugar.
Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una privada, creadas
con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede
descifrar con su clave pareja.
El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es sustraída, el
sustractor podría suplantar la identidad del titular en la red. En este caso el titular debe revocar el
certificado lo antes posible, igual que se anula una tarjeta de crédito sustraída.
La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un documento digital
que contiene la clave pública junto con los datos del titular, todo ello firmado electrónicamente por
una Autoridad de Certificación, que es una tercera entidad de confianza que asegura que la clave
pública se corresponde con los datos del titular.
La Autoridad de Certificación se encarga de emitir los certificados para los titulares tras comprobar su
identidad.
El formato de los Certificados Digitales está definido por el estándar internacional ITU-T X.509. De esta
forma, los certificados pueden ser leídos o escritos por cualquier aplicación que cumpla con el
mencionado estándar.
En la UPV se admiten los Certificados Digitales del DNI electrónico, emitidos por el Cuerpo Nacional de la
Policía, y los emitidos por la Autoridad de Certificación de la Generalitat Valenciana (ACCV).
Otra utilidad de los Certificados Digitales es que posibilitan el envío de mensajes cifrados: utilizando la clave
pública de un Certificado, es posible cifrar un mensaje y enviarlo al titular del Certificado, quien será la
única persona que podrá descifrar el mensaje con su clave privada.
5. John McKey ha decidido a comprar a través de internet una fantástica camiseta original de su
grupo favorito, Metallica. ¿Qué debe hacer para llevar a buen término su compra sin que le
estafen?
Verifica que el sitio sea reconocido en la Web o de una compañía que puedas identificar fácilmente,
adicionalmente puedes encontrar logos de Verisign Secured, Sitio Seguro y/o algún candado en la parte
inferior izquierda, que te ratifique que estás en un sitio seguro.
Todos los sitios donde debes ingresar datos personales, sobre todo los de entidades financieras o bancarias
su dirección de conexión debe ser https, la s los identifica como un sitio seguro.
7. 6. María Papanopoulos sospecha que alguien está utilizando su “Messenger”. Lo ha notado
porque sus amigos le atribuyen conversaciones que ella no ha tenido, y en horarios en los que
ella no está frente a su ordenador. ¿Qué debe hacer?
Cambiar la contraseña inmediatamente. También puede denunciar el robo de su contraseña ya que si un
hacker se la ha robado, puede producir enormes daños en sus datos.
7. A Rebecca Graham le ha llegado un correo de su banco en el que le pide que confirme su
cuenta. ¿Debe hacerlo?
Lo primero es asegurarse de que su banco tiene correo electrónico, y en el caso de que lo tenga lo mejor
sería ir al banco y así asegurarse de que el correo es verdadero, si no es verdadero debe borrarlo.
8. Louis Vouitton ha recibido un correo electrónico en el que se le invita a realizar una
transferencia a su cuenta desde un país africano de una cuantiosa cantidad de dinero. Él se
podrá quedar con un 10 % de esa cantidad. ¿Qué debe hacer? ¿Es esto delito?
Debe rechazar esa invitación ya que puede ser una mentira para conseguir su cuenta bancaria. Es un
delito puesto que estamos hablando de pasar dinero a "escondidas".
9. Elías González quiere darse de alta en el padrón de San Sebastián de los Reyes (Madrid) pero
le piden un certificado digital para realizarlo por Internet. ¿Cómo debe conseguirlo?
Acceda al trámite:Volante de empadronamiento sin certificado digital.
Introducir los datos personales requeridos.
Seleccionar el tipo de certificado y motivo de la solicitud. El tipo de certificado puede ser Individual
(aparecen únicamente los datos padronales del interesado) o Colectivo (aparecerán también los datos
de todas las demás personas inscritas actualmente en el domicilio del interesado).
Pulsar Obtener.
En unos días se enviará el volante solicitado, a través de correo ordinario, al domicilio que conste en el
Padrón de Habitantes.
10. Ángel Merici se acaba de comprar un portátil. ¿Crees que debe ponerle un antivirus? ¡¡¡Pero si
no tiene dinero!!!
Lo mejor sería que el portátil trajese un antivirus ya instalado. En el caso de que esto no fuese posible, tiene
dos opciones:
- La más fácil sería bajarse un antivirus y piratearlo y así, lo tendría para siempre; pero esto es ilegal.
- Por otro lado, lo legal sería buscar un antivirus gratis en la red, o si no bajarse uno de prueba y pagarlo
cuando se acabe el periodo y haya ahorrado.
11. Sebastian Cue tiene una empresa de diseño de mobiliario y no quiere que sus proyectos sean
copiados por otras empresas. ¿Qué puede hacer para proteger sus ordenadores cada vez que
se conecta a Internet?
Debe guardar sus archivos en una carpeta protegida por su antivirus.
12. Julianne Barthes está recelosa y cree que alguien entra en su cuenta de correo. Quiere
cambiar su contraseña. Dale una serie de consejos para que su contraseña sea segura.
La contraseña debe tener como mínimo 8-10 caracteres. Debe de estar formada por letras mayúsculas y
minúsculas y también por números(aconsejablemente intercalados).