Ponencia formativa para empleados públicos y de empresa privada con la finalidad de concienciar de los riesgos potenciales del uso de medios digitales y su prevención para minorarlos
3. ¿DEBEMOS PREOCUPARNOS?
■ DISPOSITIVOS MÓVILES, DESLOCALIZACIÓN DELTRABAJADOR y BYOD
■ CORREO ELECTRÓNICO
■ REDES SOCIALES
■ MENSAJERÍA INSTANTÁNEA
■ APLICACIONES EN LA NUBE
■ BIG DATA
■ INTERNET DE LAS COSAS
7. Phishing
■ Simular la página oficial de un organismo
■ Es uno de los engaños más antiguos de Internet y, pese a ello, es donde más usuarios
caen
■ Se trata de páginas que simulan a la perfección las páginas oficiales de instituciones
públicas, bancos, RR.SS., entidades de pago, … en las que el usuario se registra e
incluso llega a aportar sus datos bancarios
9. La policía “secuestra” tu ordenador
■ Evidentemente se trata de una falsa policía.
■ Instalan en tu equipo un pequeño programa informático (un malware) que impide el
acceso a tu información y para liberarlo te piden que pagues un importe.
■ Para ello te llega un mensaje, generalmente en forma de “pop up”, donde te informa
que la ”Policía” ha detectado que has descargado material pornográfico o pedófilo,
cometiendo un delito.
10. PHARMING
■ Ataque que modifica los mecanismos de resolución de nombres mediante los que el
usuario accede a páginasWeb por medio de su navegador,
■ Cada vez que introduces la dirección de unaWeb legítima, automáticamente eres
redirigido hacia unaWeb fraudulenta.
12. Fraude a alto cargo
■ Unos cibercriminales se encargan de mandar un correo electrónico a una persona del
departamento contable o financiero, haciéndose pasar por un alto directivo, piden que
hagan una transferencia a un país donde sea difícil seguir la pista al dinero.
14. La carta o estafa nigeriana
■ Seguimos cayendo, … con escusas varias nos anuncian de la posibilidad de recibir una
importante suma de dinero: un premio de lotería, una herencia, uno que le sobra el
dinero y no sabe que hacer con él…
■ Solo te piden que des tu cuenta bancaria y algunas veces que envies una pequeña
cantidad de dinero
18. La falsa extensión de Facebook
■ Las RR.SS. No se libran. Una de las estafas más comunes es la que te pide un acceso a
tu perfil en esta red social para el botón no me gusta y de esta forma acceder a todos
tus datos en esta Red Social
20. ¿quieres saber quien se interesa por ti en
Facebook?
■ Si tenemos curiosidad por conocer quien se interese por nosotros en Facebook
contamos con altas probabilidades de dejar nuestra intimidad por el camino
■ Falsos enlaces que prometen dar a conocer quien visita tu perfil de Facebook que lo
que hacer es llevarte a unaWeb para descargar ”malware” en tu equipo.
22. ¡Cuidado con las novedades!
■ CuandoWhatsApp sacó su versión para PC, fue aprovechado para ofrecer opciones
falsas.
■ En el original no hay que descargar archivo alguno
■ La descarga de la fuente no original no es otra cosa que un malware
24. Falsos emoticonos enWhatsApp
■ Un conocido nos manda un enlace, anunciándonos la incorporación de nuevos
emoticonos pinchando el enlace.
■ Este enlace nos lleva a otra aplicación que se quedará con todos nuestros contactos.
26. Nos prometen una versión mejor de
WhatsApp
■ Al actualizar a “WhatsAppOro” (que por supuesto, no existen) se quedan con toda la
información de nuestro teléfono.
29. Hasta ahora hemos hablado de la
ciberdelincuencia de “andar por casa”
■ … ¿hablamos de otros niveles?:
o La Internet oculta
o Espionaje de las telecomunicaciones
o LasAgencias gubernamentales: NSA, CNI, ...
o Ciberataques DDoS
o Ciberterrorismo
o Competencia empresarial y sabotaje industrial
o Robo de secretos militares
o Ciberguerra
30. Ataques de denegación de servicio DDoS
■ Varios equipos trabajan coordinadamente para enviar peticiones masivas al servidor de la
empresa, por ejemplo, accediendo a la pagina web y descargando
archivos, realizado visitas, etc. Así consiguen saturar dicho servidor y provocar su colapso, al
no poder éste responder a tal flujo de peticiones.
31. Cinco modos de robar información
corporativa sin que medie ciberataque
■ AtaqueTEMPEST. Captación de la radiación que producen los dispositivos electrónicos y
reproducir la información que transmiten.
■ Interferencia deVan Eck. Una modalidad deTEMPEST consistente en espiar una pantalla
LCD detectando las emisiones electromagnéticas del monitor y su cableado.
■ Ataque Air Hopper. Otra modalidadTEMPEST generalmente a través de un dispositivo
móvil que actúa como antena y se posiciona en una red aislada de Internet.
■ Ataque Scangate. Una inocente impresora, escáner o multifunción (generalmente sin
protección alguna) se usa como puerta de entrada a una red.
■ Drones. Son la nuevas “furgonetas de los espías” de las películas.
32. Posible protección
■ Jaula de Faraday o sala “tempestizada”. Consiste en acondicionar una sala con paneles
conductores, instalar cristales especiales en las ventanas y utilizar un punto especialmente
preparado para la entrada de cables. Esa sala tendría su propia red wifi o conexiones por
cable, y no tendría cobertura móvil.
■ En ataques sobre móviles o portátiles, usar maletines tempestizados.
■ Generar ruido electromagnético.
33. Algunos ejemplos
■ El Ex-Presidente de los EE.UU.Obama tenía prohibido por su servicio de seguridad
usar iPhone, solo le permiten Blackberry. Además siempre viajaba con un maletín
tempestizado.
■ Cesar Alierta (Ex Presidente deTelefónica) usa un teléfono Nokia pre-smartphone para
evitar que le espíen
■ Donald Rumsfeld (Ex Secretario de Defensa USA) cambio su marcapasos al conocer
que su modelo era “hackeable”.Atención a dispositivos médicos implantados
conectados.
■ Expertos de Kaspersky Lab advierten de las posibilidades de cometer delitos a partir
de dispositivos conectados
34. ¿Qué hacemos?. Objetivos
■ Concienciación
■ Conocer los riesgos que afectan a la seguridad de nuestra información
■ Conocer / definir la política de seguridad de nuestra organización
■ Formación
■ Toma de medidas preventivas
35. Seguridad de la Información
■ Tres escenarios:
– Seguridad de la información en el entorno de trabajo
– Seguridad de la información en el entorno personal
– Seguridad de la información de terceros: proveedores de bienes y servicios
36. Política de seguridad en tu institución
■ Averigua si existen políticas de seguridad en tu empresa y, si es así, estúdialas y
síguelas
37. Cuida la seguridad de tu hogar
■ Instala programas de seguridad en todos tus dispositivos
■ Vigila tu reputación on-line
■ No uses tus dispositivos móviles para acceder a tu empresa a no ser que estén
protegidos
38. Conoce a tus proveedores
■ Lee la letra pequeña de los contratos on-line
■ Pregunta qué medidas de seguridad y privacidad implementan en sus servicios
■ Solicita que acrediten su cumplimiento de la normativa de protección de datos
personales, no solo formalmente, sino con las medidas efectivas
■ Utiliza solo servicios conAcuerdos de Nivel de Servicio (SLAs)
39. Lo que debes saber
■ Principios de Seguridad aplicables en tu organización
42. Uso seguro de Internet
■ Correo electrónico
■ NavegaciónWeb
■ Redes Sociales
43. Dispositivos móviles y conexiones con
los sistemas de trabajo
■ Contraseña
■ Descarga segura de aplicaciones
■ Software de seguridad
■ Cifra la información
45. Uso aceptable de la información
corporativa
■ Cada política interna será diferente para cada empresa o institución, pero suele y debe
tener algunos puntos en común, entre otros motivos, por ser una exigencia de la
normativa de Protección de Datos Personales.
46. Control de acceso a la información y
aplicaciones
■ Control de accesos
■ Administración de cuentas y contraseñas
47. Herramientas de seguridad
■ EL SENTIDOCOMÚN
■ Antivirus
■ Cortafuegos
■ Antispam
■ Cifrado de comunicaciones
48. Conclusiones
■ Haz un uso seguro de Internet, tanto en el ámbito profesional como en el personal
■ Utiliza el correo electrónico de forma responsable
■ Evita sitiosWeb sospechosos
■ Usa solo las RR.SS siguiendo las normas corporativas
■ Cuida los canales sociales de tu organización y su información
■ Protege tus dispositivos móviles con contraseñas y software de seguridad
■ No uses sin autorización de tu organización tus dispositivos móviles (BYOD)
■ En unaWi-fi pública no accedas a información de tu organización
■ Utiliza contraseñas que combinen números, letras mayúsculas y minúsculas y
símbolos
49. RESUMEN: 6 Errores en Ciberseguridad
que cometemos sin darnos cuenta
■ No instalamos recurrentemente actualizaciones del sistema operativo (Ordenadores y
equipos movilidad)
■ No usamos un antivirus.También en el móvil.
■ Somos laxos con muchas de las fuentes de descargas que nos llegan.
■ Nos gusta lo gratis, pero nos engañamos, nada es gratis pagamos con nuestros datos y
a veces con nuestra seguridad.
■ UsamosWi-Fi públicas
■ No cuidamos los datos que compartimos en RR.SS.
50. ¡Gracias!
AUTOR y PONENTE:
■ David García
– Socio – Director en Soluteca, Legal Management & Corporate.
– Presidente Deiuris Legal Partners
– Proveedor de soluciones de seguridad registrado en INCIBE
– Miembro de ENATIC: Asociación de Expertos Nacionales de AbogacíaTIC