Participación de Dña. Raquel Trillo Lado en la mesa redonda "Introducción a las herramientas de Google Apps y seguridad básica" dentro del Curso Extraordinario de la Universidad de Zaragoza "Recursos de apoyo en el desarrollo de la competencia digital", que se celebró los días 4, 5 y 6 de julio de 2022.
1. RECURSOS DE APOYO EN
EL DESARROLLO DE LA
COMPETENCIA DIGITAL:
Introducción a las herramientas de
Google Apps y seguridad básica
Raquel Trillo Lado, julio de 2022
2. Presentación
- DisCo (http://webdiis.unizar.es/DISCO/)
- Reverseame (www.reversea.me)
- Seguridad de sistemas y software
- Gestión de datos digitales: Sistemas de
búsqueda de información y recomendación
dependientes del contexto
- Seguridad básica a nivel usuario
3. - Desarrollo de las TIC: más capacidad
procesamiento, almacenamiento y
transmisión de información
- Cambio cultural y formas de
relacionarnos
- Fomento Datos Abiertos y Administración
electrónica
- Nuevos modelos de negocio y
aplicaciones en múltiples ámbitos:
bioinformática o medicina personalizada
Introducción: Incremento de datos digitalizados
4. - Adaptar la legislación para garantizar los
derechos de las personas en el contexto
de la Sociedad de la Información
- Un elevado porcentaje de PYMES y
usuarios no conoce esta normativa
Introducción: Adaptación al nuevo contexto
5. Legislación vigente
• RGPD (2016/679, de 27 de abril, en vigor 26 mayo 2018)
• LOPDGDD (LO 3/2018, de 5 de diciembre)
• LSSI-CE (Ley 34/2002, de 11 de julio)
• LPI (Real Decreto Legislativo 1/1996, de 12 de abril y Ley 2/2019,
de 1 de marzo)
• Firma electrónica y LSEC (Ley 59/2003, de 19 de diciembre y Ley
6/2020, de 11 de noviembre)
• Directiva (UE) 2016/1148 Network Information System
• Real Decreto Ley de seguridad de las redes y SI
(12/2018, de 7 de septiembre)
•ENS (Real Decreto 3/2010, de 8 de enero y RD 311/2022 de 3 de
mayo)
• Código Penal (LO 10/1995, de 23 de noviembre)
Artículos 187, 197-201, 248, 256, 264, 270 y 278
Extrapenal
Penal
6. Evolución de la Web (1989-hoy)
6
Extraída de: https://www.internetlivestats.com/total-
number-of-websites/
7. Seguridad en SI y SI Web
7
• Disponibilidad: 24x7
• Confidencialidad: solo accesos autorizados
• Integridad: datos válidos, consistentes y
actualizados
8. Seguridad en SI y SI Web
Ataque y amenazas:
• Externas:
– Disponibilidad: DoS, DDoS, etc.
– Integridad: Alteración del
contenido del servidor Web o
sistema de ficheros, ...
– Confidencialidad: Intercepción de
claves de acceso.
8
Ataque y amenazas:
• Internas:
– Disponibilidad: Apagar
servidores
– Integridad: Contenido
desactualizado, páginas
obsoletas, etc.
– Confidencialidad:
Misma clave varios sitios
9. Seguridad en SI y SI Web
9
Componente más relevante de los SI:
• Datos
• SW
• HW
10. Seguridad como usuarios
• Hacer copias de seguridad o backups
• Pero los datos ….
– Empresas recuperación forense, pero no hay garantía.
• Copias completas y copias incrementales
• ¡Comprobar las copias de seguridad!
• ¡Ojo donde guardamos las copias de seguridad! 10
Panel de control > Sistema y mantenimiento
> Copia de seguridad y restauración.
MAC: Time Machine
12. Seguridad como usuarios
• Si se trabaja con datos críticos
• Cifrar el contenido del disco duro o ficheros sensibles
– No basta con guardar con clave
• ¡Realizar borrados seguros!
12
13. Como gestionar nuestras clave
• Trabajamos en multitud de plataformas y
sitios Web:
• Facebook
• Twitter
• Webmail
• Gmail
• Google Apps
• Etc…
13
¿Igual clave en
distintos sitios?
14. Como gestionar nuestras clave
• Trabajamos en multitud de plataformas y
sitios Web:
• Facebook
• Twitter
• Webmail
• Gmail
• Google Apps
• Etc…
14
¿Igual clave en
distintos sitios?
https://haveibeenpwned.com/
15. Como gestionar nuestras clave
• No suele ser buena práctica crear nuestra
clave:
Fuente: https://es.gizmodo.com/, Melanie Ehrenkranz 15
¿Emplear
Un
Patrón?
16. Como gestionar nuestras clave
• ¿Qué pasa si me olvido de mi clave?
• Preguntas de seguridad:
– ¿El nombre de tu mascota?
– ¿Marca de tu primer coche?
– ¿El nombre de tu mejor amigo?
16
¡Ojo con
la Ing.
Social!
17. Como gestionar nuestras clave
• Gestores de claves
• Usar doble factor de autenticación en los
sitios que lo permitan
17
18. Como gestionar nuestras clave
• Ataques de phishing:
– Intento fraudulento de conseguir credenciales
de acceso, por ejemplo mediante el envío de
correos electrónicos que, aparentando provenir
de una fuentes fiables (entidades bancarias,
administrador de sistemas), solicitando que
accedas a una dirección web donde se ha
reproducido el sitio Web y les proporciones tus
datos y contraseñas
• Ejemplos:
• Buzón de entrada sin espacio, por favor, elimine
mensajes en: https://mail.unïzar.es
18
19. Como gestionar nuestras clave
• ¡Ojo donde hacemos click!
– Comprobar las direcciones URLs: Caracteres
extraños similares a otros ï en lugar de i, ü en lugar
de u
– Cuidado con las URLs acortadas: Si
sospechamos, mejor analizar antes la URL original:
• https://unshorten.me/
• https://www.virustotal.com/gui/home/upload
• https://www.urlvoid.com/
19
20. Otras cuestiones de seguridad básicas
• ¡No confiar en Wifi gratuitas y públicas!
• Comprobar que se esté usando el protocolo
https en lugar de http al navegar por la Web
20
Transp. 1. Título/Presentación
Buenos días, actualmente trabajo como profesora del área de LSI del Depto. de Informática e Ingeniería de Sistemas e imparto clase fundamentalmente en el Grado de Ing. Informática en asignaturas relacionadas con Sistemas de información y gestión de datos.
Transp. 2. Título/Presentación
Antes de empezar me gustaría comentar que mi área de trabajo e investigación no es la seguridad informática, aunque puntualmente colaboro con mis compañeros de grupo de investigación DisCo que centran su actividad en la seguridad de sistemas informáticos y especialmente en la seguridad software.
Mi área de trabajo se centra en la gestión de datos digitales, en concreto, en los sistemas de búsqueda de información y sistemas de recomendación considerando el contexto en el que se encuentra el usuario.
Y os voy a comentar las medidas de seguridad básica a nivel usuario que suelo tomar en el desarrollo del trabajo.
Transp. 3. Introducción
Durante las últimas décadas y sobre todo en los últimos años, la cantidad de datos digitalizados disponibles ha aumentado significativamente, debido:
al desarrollo de las Tecnologías de la Información y la Comunicación y también
a un cambio cultural. Hoy en día, hay un gran nº de usuarios que publican información en la Web a diario en aplicaciones como Facebook, Twitter, LinkedIN...
Además, los gobiernos y las diferentes administraciones, cada vez más, apuestan por la publicación de sus datos en abierto para fomentar la transparencia y facilitar el desarrollo de la administración electrónica (eficiencia: más calidad y ahorro costes).
Esto ha dado lugar a nuevos modelos de negocio (por ejemplo los relacionados con el metaverso) y nuevas aplicaciones y áreas de investigación en múltiples ámbitos; por ejemplo, en el ámbito sanitario, ha surgido el área de la bioinformática (aplicación de las TIC a la gestión y análisis de datos biológicos).
Transp. 4. Introducción
El desarrollo de las TIC y los cambios culturales ha generado la necesidad de adaptar la legislación para garantizar los derechos de las personas en el contexto de la Sociedad de la Información.
Los cambios tan rápido leyes por detrás de la TIC.
Sin embargo, según el Instituto Nacional de Ciberseguridad, un elevado porcentaje de PYMES no conoce la legislación vigente relacionada con el uso de TIC y si la conoce en muchos caso no la aplica correctamente a la gestión de datos digitales.
Por ejemplo, antes de la popularización del correo electrónico la mayor parte de los ciudadanos eran consciente de que no era legal leer la correspondencia de otra persona. Sin embargo, a día de hoy, si alguien se deja abierta una sesión del correo:
-por olvido o por haberle dado a grabar la contraseña en el navegador para que no tener que teclearla al volver a entrar,
a un gran porcentaje de la población no le parece grave echar un vistazo, a pesar de que se trata del mismo tipo de delito.
Transp. 5. Legislación vigente
A día de hoy, algunas de las leyes más relevantes que afectan a las TIC que tratan de garantizar nuestros derechos y determinar nuestras responsabilidades y obligaciones son estas.
Las que más nos suele sonar como ciudadanos son las relacionadas con protección de datos, garantizar en derecho a la privacidad de las personas y que los datos personales se gestionen de forma adecuada:
- el RGPD (Reglamento General de Protección de Datos) GDPR (General Data Protection Regulation) que entró en vigor en mayo de 2018 y que conllevó la adaptación de las leyes Españolas en esa materia, concretamente la LOPD y el Real Decreto donde se desarrolla trata de garantizar en derecho a la privacidad de las personas y que los datos personales se gestionen de forma adecuada.
•LOPD (LO 15/1999, de 13 de diciembre) •RLOPD (RD 1720/2007, de 21 de diciembre)
Otra norma que nos afecta es el Reglamento Europeo de Protección de Datos, GDPR (General Data Protection Regulation) que entró en vigor el pasado 26 de mayo y que por esa razón hemos estado recibiendo numerosos correos últimamente para que indicásemos si deseábamos seguir formando parte de listas de correos.
187 prostitución
197 Intimidad personal, familiar o la propia imagen
278 descubrimiento y revelación de secretos
264 Daños informáticos
NIS: Network Information System
Ley 34/2002, de 11 de julio, de Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI), BOE num. 166, de 12/07/2002. Es la principal Ley que regula el comercio electrónico, equiparándolo con el tradicional.
LSEC: Ley de Servicios Electrónicos de Confianza
Transp 6:
La Web y la computación en la nube han cambiado la forma en la que publicamos y consumimos información:
-Cada vez más optamos por medios digitales para informarnos por ejemplo en lugar de periódicos en papel optamos por prensa digital y en lugar de radio por podcast.
Pero no solo ha cambiado la forma en la que publicamos y consumimos información, sino también la forma en la que nos relacionamos unos con otros y la forma en la que trabajamos. Además, la pandemia ha acelerado el cambio. Algunas estadísticas indican que lo ha acelerado al menos 5 años.
Esta es una gráfica que nos indica el número de sitios web que hay disponibles. Vemos que ha habido un crecimiento exponencial y a día de hoy hay casi 2000 millones de sitios Web. Sin embargo, en los últimos años la tendencia parece que está cambiando y ya no se crean tantos sitios web debido a que los objetivos han cambiado:
-Antes se daba prioridad a crear un sitio web y que los usuarios o público objetivo consultasen tu sitio o página Web- SEO-. Sin embargo, a día de hoy lo que buscan gran parte de los usuarios y organizaciones es posicionarse en una determinada plataforma o entorno como puede ser Twitter o Facebook o Youtube o Tik Tok, actuar como influencers o prescriptores.
Transp 7:
Cuando hablamos de seguridad de sistemas de información y datos en general y de seguridad en SI web, en particular se hablar de 3 dimensiones de la seguridad: Disponibilidad, Integridad y Confidencialidad.
Disponibilidad: Idealmente queremos que los SI y los datos e información que gestionan estén disponibles 24x7, pero para que un sistema sea de calidad nos basta con que estén disponibles siempre que los necesitamos.
-En la dimensión de confidencialidad se valora que sólo las personas y SI que están autorizados para acceder a determinados datos tengan acceso.
Para garantizar la confidencialidad se se suelen usar sistemas de control de acceso. el más común de todos el de usuario/claves.
-En la dimensión de integridad se valora que los datos sean válidos y consistentes y además estén actualizados.
Las dimensiones se presentan en forma de triangulo porque en general cuando aumentamos una de ellas, es decir aumentamos un lado del triángulo disminuyen las otras:
-P.E., cuando estamos trabajando en un artículo o documento lo guardamos en Drive para poder continuar el fin de semana, pero por no tengo acceso a Internet porque me voy a la montaña también pongo una copia en el portátil. Al duplicar los datos corro el peligro de que lo actualice en un sitio y no en otro. Por lo tanto disminuyo la integridad de ese documento. Al mismo tiempo también la confidencialidad porque hay dos sitios distintos a los que pueden acceder para obtener ese documento.
Transp 8:
Cuando optamos por crear nuestro propio sitio Web para difundir información a los estudiantes o para difundir el tipo de investigación e innovación que hacemos, por ejemplo con la herramienta incluida dentro de la suite de Google Apps, Google Sites, podemos sufrir diferentes tipos de ataques:
-Uno de los ataques más comunes en los sitios Web son los ataques contra la disponibilidad, un determinado usuario o varios usuarios organizados deciden hacer una gran cantidad de peticiones a tu sitio Web de manera que el servidor donde se aloja tu web se bloquee y personas interesadas en la información que publicas no puedan acceder.
-Otro ataque común que podemos sufrir son los ataques contra la integridad. Un usuario o bot puede acceder a nuestro sitio Web y alterar el contenido de nuestra página poniendo información falsa o incorrecta para desprestigiarnos. En general estos ataques son sencillos de detectar y para solucionarlo basta con eliminar la información errónea.
-Si decidimos que determinado contenido de nuestro sitio Web no sea público y lo protegemos con un usuario y una clave, podemos sufrir ataques contra la confidencialidad
En general nos preocupamos mucho de las amenazas externas contra nuestros sistemas, pero como individuos en general no somos el objetivo de ataque, lo que si puede suceder es que nos usen como punto de entrada a la institución o lugar de trabajo.
La mayor parte de los problemas de seguridad no se dan por amenazas externas sino por vulnerabilidades y fallos internos. En general el eslabón más débil somos las personas.
Transp 9:
El activo más importante a proteger suelen ser los datos porque en general el hardware (servidores, teléfono móvil), el software (aplicaciones) con suficiente dinero y tiempo, en general, se puede restaurar el hw y el sw.
Compañeros que han perdido el móvil o se les ha estropeado, el mayor pb. No es el móvil en sí sino que se han dado cuenta de que tenían en él fotos de sus hijos cuando eran bebés y esas fotos no se pueden volver a sacar ni recuperar.
En ese caso, de robo de dispositivo móvil se debe avisar a la compañía para que deshabiliten la tarjeta SIM y lo más adecuado es realizar un borrado remoto de los datos del teléfono.
Por otro lado, aunque los ordenadores y servidores son en general robustos , a veces fallan. Hace un par de años en un corte de luz programado por tareas de mantenimiento, en laboratorio se estropearon 3 servidores por un pico de tensión y de dos de ellos no se pudo recuperar nada.
Transp 10:
-Para protegernos de estos potenciales problemas, lo más adecuado es realizar copias de seguridad o backups.
-Las copias de seguridad completas suelen ser muy costosas, pero podemos optar por hacer copias de seguridad compltas con menos frecuencia y normalmente hacer copias incrementales, es decir, copiar sólo lo que se ha modificado desde la útlima copia de seguridad realizada.
Para gestionar las copias hay varias opciones sw que lo hacen automáticamente. En Mac TimeMachine…
Fwbackups en Linux
Conciencia copia, pero no tiene porque funcionar. Por otro lado, ojo donde guardamos la copia de seguridad. No es conveniente que la guardemos en el mismo sitio.
Elena, JISBD 2006.
Transp 11:
https://www.slideshare.net/Indiana_1969/las-10-leyes-de-la-seguridad-informática
A veces pensamos que tenemos los datos porque los tenemos en CDs o discos duros, pero ojo que con el paso del tiempo (15-20 años) los CDs se deterioran y se pierden datos.
Las cintas suelen ser más seguras, pero a día de hoy el problema de las cintas VHS es que la mayor parte de nosotros ya no tenemos un reproductor.
Por eso, en ciertos entornos también es relevante definir metodología y gestión de sistemas de almacenamientos de datos legados como cintas VHS o CDs.
Transp 12:
Datos sensibles, como por ejemplo datos médicos o datos sobre la religión o las creencias de una persona, deben ser cifrarlos
Ejemplo de la Excel…. (Microsoft) y las instrucciones para abrirlo para que sólo pudiese ver la información que me afectaba a mi.
y no sólo eso cuando los borremos hacer borrados seguros…
Transp 13:
Posit al lado del ordenador con las claves:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
Transp 14:
En este sitio Web se registran brechas de seguridad y nos permite saber si nuestro cuenta de correo o teléfono se ha visto expuesto o comprometido en una brecha de seguridad.
es una página web que te permite saber si tu correo electrónico o contraseñas se han visto comprometidos en una brecha de seguridad. Tom Hunt creó la página en 2013 y hasta ahora se ha hecho cargo del proyecto en solitario, registrando más de 8.000 millones de brechas.
Step 1 Protect yourself using 1Password to generate and save strong passwords for each website.
Transp 15:
Por comodidad y para evitar tener que recordar muchas contraseñas podemos poner contraseñas muy sencillas
El "top ten" de la imprudencia password 123456 qwerty abc123 letmein monkey myspace1 password1 blink182 (tu nombre) Ver más en: https://www.20minutos.es/noticia/228488/0/claves/comunes/internet/#xtor=AD-15&xts=467263
Tampoco es buena idea crear nuestras propias claves, porque en general recurrimos a cosas sencillas o a emplear un patrón: el año en que creé la cuenta y las iniciales de la aplicación.
Usar un generador de claves para que genere las claves de acceso y cambiarlas con frecuencia
Transp 16:
Si uso un generador de claves y además tengo claves diferentes en todos los sitios que uso, lo más probable es que acabe olvidándome. Por eso en general los sitios Web tienen mecanismos para recuperar la contraseña. Esos mecanismos a veces son un punto débil y alguien que nos conozca un poco puede usarlos para suplantarnos.
Pérdida de tiempo.
Transp 17:
Solo tienes que acordarte de una única contraseña y no de varias
Genera contraseñas seguras
Detecta automáticamente las contraseñas que estás introduciendo y las guarda de forma segura
Genera alertas de seguridad automáticas
Audita las claves
Transp 18:
Ojo donde hacemos click! Comprobar las direcciones URLs:
Caracteres extraños similares a otros ï en lugar de i, ü en lugar de u
No dar nuestra clave o certificado a otros:
Oficina del banco.
Transp 19:
Pero que sean más estéticas significa también que son menos informativas, como apuntan desde la Oficina de Seguridad del Internauta (OSI). Esto es porque oculta la página web de destino, lo que ha llevado a que los ciberdelincuentes se fijen en este método para compartir enlaces y engañar a los usuarios.
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
Servicios 'online' de seguridad como VirusTotal y URLVoid cuentan con analizadores de 'url' gratuitos, que ofrecen, además, información adicional sobre la página de destino.
https://www.google.es/maps/place/Delicias,+Zaragoza/@41.6495544,-0.9435116,14z/data=!3m1!4b1!4m13!1m7!3m6!1s0xd5914dd5e618e91:0x49df13f1158489a8!2sZaragoza!3b1!8m2!3d41.6488226!4d-0.8890853!3m4!1s0xd596b3247d36ed7:0x95f9df5007da79bd!8m2!3d41.6492343!4d-0.9091508
Los canales de YouTube deberán mostrar su número de suscriptores a partir del 29 de julio para evitar engaños y trampas
Transp 15:
Solo tienes que acordarte de una única contraseña y no de varias
Genera contraseñas seguras
Detecta automáticamente las contraseñas que estás introduciendo y las guarda de forma segura
Genera alertas de seguridad automáticas
Audita las claves