1. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
GUÍA DIDÁCTICA
MÓDULO I: Marco Contextual de las TIC
Curso 4:
Seguridad, ética y tecnología
Código del Curso: TIC604
Profesor de la Unidad 1: Ms. Richard Marcelo Guardia.
Profesor de la Unidad 2: Ms. Aurea Bolaños Hidalgo.
1
2. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Tecnologías de la Información y
Comunicación en la Sociedad
de la Información y el
Conocimiento
Módulo I: Marco
Contextual de las TIC
Cultura Digital y aprendizaje
Abierto
Gestión de las TIC en las
Organizaciones Educativas
Seguridad, Ética y Tecnología
2
3. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Índice
1. Seguridad informática: nociones y peligros
1.1 Concepto e importancia
1.2 Los peligros de Internet
1.2.1 Los rastros de los usuarios en software
1.2.2 Virus informático
1.2.3 Piratería informática
1.3 Soluciones
1.3.1 Control de acceso
1.3.2 Herramientas de protección
1.3.3 Copias de seguridad o Backup
1.3.4 Criptografía
2. Seguridad y ética
2.1 Normas y código de ética
2.2 Organismos internacionales de regulación en el uso de Internet
2.3 Derechos de autor y propiedad intelectual
Plagio de material educativo.
4
5
6
8
10
15
17
18
29
32
35
44
45
51
54
56
Bibliografía
58
Lecturas
60
3
4. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Unidad 1:
Seguridad informática: nociones y peligros
Autor: Ms. Richard Marcelo Guardia
Docente de la PUCP
4
5. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Seguridad informática: Nociones y peligros
El avance de las tecnologías de la información y la comunicación se ha extendido
y ha llegado casi a todos los rincones del planeta, se han tendido redes que
cubren la superficie del globo terráqueo en su totalidad. Hoy en día las distancias
de comunicación se han acortado y podemos estar presentes para interactuar e
intercambiar peculiaridades propias de nuestra cultura con otras existentes en
lugares muy distantes, que décadas atrás eran inimaginables. Todo este
desarrollo y apertura de la información ha traído consigo nuevas formas de pensar
y nuevas formas de actuar, es innegable adquirir una postura frente a la cultura
digital que absorbe y modifica nuestros hábitos en la vida diaria. En la sociedad
actual la información está cada vez más al alcance de todos y el valor que muchas
veces adquiere es superior a los activos tangibles. Las políticas de seguridad
definidas e implementadas por instituciones que manejan información deben ser
adaptadas a los cambios actuales y entender que la seguridad informática no es
un producto sino un proceso en constante cambio y práctica.
Debemos cuestionarnos: ¿Qué es lo que
protegemos? ¿Qué debe abarcar las políticas de
seguridad informática? ¿Cuáles son las amenazas?,
recordar además que Internet es una puerta amplia
e insegura y no es posible concebir un sistema de
seguridad absoluto de protección a todo tipo de
ataques.
Solo resta por tanto, definir políticas de seguridad que permitan de forma
inteligente evitar daños mayores y en caso de ser víctimas de ataques tener la
capacidad de responder de forma inmediata y operar nuevamente.
Si somos una institución que tiene apertura a la nube de Internet, debemos ser
conscientes de que no existe la privacidad como tal y que debemos aprender a
vivir con la inseguridad de cada día.
"El único sistema realmente seguro es aquel que está
apagado, fundido en un bloque de hormigón y sellado en
una habitación forrada de plomo con guardias armados - y
aun así tengo mis dudas" (Eugene H. Spafford).
5
6. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Revise la siguiente lectura: Quiebras de la privacidad en
escenarios digitales: espionaje industrial.
http://dialnet.unirioja.es/servlet/articulo?codigo=3289412
1.1 Conceptos e importancia
¿Qué es seguridad?
En sentido general, cuando se habla de seguridad, se refiere a la protección de la
integridad de cualquier tipo de activo, por ejemplo; la protección contra ataques a
nuestras redes, desastres naturales, condiciones ambientales, fallas eléctricas,
robo, vandalismo, y cualquier otro tipo de ataque que ponga en juego la integridad
de tales activos.
Enmarcando la seguridad
en el aspecto informático
Diremos que se trata de proteger
datos, información y sistemas
contra diversos tipos de amenazas
que ponen en peligro la integridad
de diversos sistemas en una
institución.
Según las leyes de EE.UU., se define la seguridad de la información como "la
protección de la información y sistemas de información contra el acceso no
autorizado, uso, divulgación, alteración, modificación o destrucción".
En esencia, la seguridad informática trata sobre la protección de nuestros datos y
nuestros sistemas de todos aquellos agentes internos y externos que traten de
abusar y ocasionar daño a la integridad de los activos o recursos informáticos.
En las instituciones educativas se cuenta con activos físicos y
tangibles como la infraestructura misma del centro, los
laboratorios y los equipos de cómputo, además; están los
activos lógicos de naturaleza etérea como los programas o
software de los equipos y la información relacionada a las
actividades de las personas involucradas en los procesos de
enseñanza y aprendizaje, cuyo valor es o debiera ser superior
a los activos físicos.
6
7. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
También se debe tener en cuenta a la persona en sí, me refiero a los estudiantes
en principio, quienes podrían estar a merced de personas con identidad falsa que
buscan de manera inescrupulosa establecer los contactos para llevar a cabo actos
tipificados como suplantación de identidad, abuso de menores, engaño, fraude y
otras actividades que ponen en peligro la integridad física y psicológica del
estudiante.
Toda política de
seguridad trae consigo
consecuencias que se
deben tener en cuenta.
Por ejemplo si se implementara un
sistema considerado razonablemente
seguro, lo más probable es que no
sea útil o sea poco productivo, por
todas las restricciones y limitaciones.
Lo que sucede en la práctica es que
a medida que aumentamos el nivel
de seguridad, por lo general
disminuye el nivel de productividad.
De la misma manera, se debe tener en cuenta el valor de aquello que se está
protegiendo, el costo de la seguridad puesta en marcha nunca debe sobrepasar el
valor de lo que está protegiendo.
A continuación, tengamos en cuenta algunos términos involucrados en la
seguridad informática, como son la amenaza, la vulnerabilidad y el riesgo.
Amenaza
Es la fuente o causa potencial de futuros
incidentes no deseados que pueden
provocar un mal grave a los recursos o
activos informáticos de la organización.
Por ejemplo, se podría citar la intrusión
o el acceso no autorizado a información,
software
malicioso,
catástrofes
naturales, etc. La intensidad del efecto o
daño ocasionado por estos eventos se
conoce como impacto.
7
8. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Vulnerabilidad
Se refiere a la existencia de algún tipo de
debilidad en los recursos informáticos el
cual podría ser aprovechado por las
amenazas
existentes.
Las
vulnerabilidades provienen por lo general
de errores y fallas en el diseño de
software, en el sistema, en políticas y
procedimientos de seguridad, etc.
Riesgo
Es la probabilidad de ocurrencia de
una situación que ocasione un daño
que impacte en la organización. Los
riesgos se materializan cuando una
amenaza
actúa
sobre
una
vulnerabilidad causando un impacto.
Los riesgos más comunes son el robo
de datos personales, pérdida de
información valiosa, introducción de
programas
maliciosos,
ingeniería
social, etc.
Platiquemos acerca de algunos mitos de la
seguridad informática en el foro abierto para este
tema. Revise el enlace sobre: Algunos mitos de la
seguridad en internet. En:
http://www.unirioja.es/servicios/si/seguridad/difusion
/mitos.shtml#1
1.2 Los peligros de internet
1.2.1 Limpieza de rastros de navegación en internet
Normalmente cuando navegamos en internet realizamos actividades y tareas que
van generando registros en diversos archivos, los cuales son guardados en
nuestro equipo y en el mismo navegador. Normalmente la información de todo el
recorrido realizado se registra en el historial del navegador, también se registran
8
9. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
las cookies, contraseñas de acceso, cuentas de usuarios y números de tarjetas de
crédito, descargas realizadas y una diversidad de tipos de información.
Por otro lado, muchas veces las computadoras que utilizamos no son personales,
ya que más de una persona las utiliza, por ejemplo en casa, centro laboral o
cabinas públicas. Esto se convierte en un peligro potencial debido a personas con
principios no éticos que podrían usar dicha información registradas para fines
personales.
Por tanto es necesario realizar una limpieza minuciosa de nuestro computador, no
solo por seguridad sino además para liberar espacio en el disco duro. Recuerde
que eliminar o borrar todo el historial y las cookies del navegador no es suficiente
y no asegura que nuestra privacidad se encuentre a buen recaudo. Se recomienda
usar un software especializado para el borrado de cookies y todo rastro dejado al
navegar en internet.
Así mismo, en estos últimos tiempos se observa que los equipos de cómputo en
los hogares son utilizados por casi todos los miembros de la familia, para realizar
actividades diversas y guardar información cada vez más valiosa. Ya no se usa el
computador exclusivamente como consola de video juegos o para navegar en
internet, sino para tareas domésticas, de estudio, gestiones económicas o
financieras, entre otras. Por este motivo, en ocasiones se debe proceder a ocultar
carpetas o archivos con información confidencial o de interés personal en
particular. Se sugiere del mismo modo hacer uso de un software para este fin de
tal forma que no solo se oculte las carpetas y archivos sino, borre todo rastro
generado.
Si desea ampliar tus conocimientos sobre las cookies,
puedes revisar la siguiente lectura: Las cookies como
instrumento para la monitorización del usuario en la
Red. Esta actividad resulta invasiva a nuestra intimidad.
http://dialnet.unirioja.es/servlet/articulo?codigo=3772898
Sobre Los peligros invisibles de nuestra privacidad
en Internet, acceda al siguiente enlace:
http://dialnet.unirioja.es/servlet/articulo?codigo=2937324
9
10. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
1.2.2 Virus informático y otros peligros
Los virus
Se trata de pequeños segmentos de códigos de
programación que se ejecutan en el computador luego de
realizar una acción determinada por parte del usuario.
Una vez que este código se ejecuta su acción será entre
otras autocopiarse o replicarse (“infectar”) con la finalidad
de alterar el funcionamiento, modificar la estabilidad y la
integridad del sistema operativo. Internet representa un
riesgo alto de infección si no se toman acciones de
seguridad pertinentes. Los ataques a través de los virus
no están orientados a afectar solo el software sino
también hay casos en los que puede ocasionar daños
al hardware.
A través del correo electrónico existe una diversidad de
modalidades por la que nuestro computador y la información
podrían verse afectados, no solo a causa de los virus sino
también de otros programas maliciosos.
¿Recibe correos de personas que usted no
conoce? ¿Ha encontrado archivos adjuntos en los
mensajes recibidos? ¿Ha descargado estos
archivos adjuntos, reconoce sus extensiones y
tipos de archivos? ¿Los ha ejecutado y ha notado
cambios o alteraciones en su computador? ¿Usa
un antivirus?
Los programas antivirus no ofrecen protección absoluta, pero hacen una buena
parte del trabajo en cuestiones de seguridad, al menos evitan dejar nuestra red
vulnerable a las amenazas de los virus más conocidos. No olvide realizar las
actualizaciones del antivirus que por lo general agrega mejoras en su motor de
escaneo, detección y acción a realizar, así como la base de datos de virus
conocidos.
Los virus en internet llegan por lo general a través de documentos adjuntos al
correo electrónico. Tener en cuenta los archivos adjuntos con extensiones .exe
.com .bat .vbs .php .class .jbs .scr .pif para sospechar y dar un tratamiento
10
11. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
especial, con mayor razón si provienen de mensajes de personas que no
conocemos.
Phishing
Es una técnica de estafa
por
internet
que
textualmente desarrolla una
estrategia indicada por su
propio nombre Phishing
(“pesca” en español).
La estafa es llevada a cabo
mediante técnicas de ingeniería
social en las que el estafador, o
phisher,
intenta
conseguir
información
confidencial
(contraseñas, datos bancarios,
etc.) de forma fraudulenta.
Es claro que en este caso se suplanta la personalidad de un individuo o institución
de confianza con el objetivo de obtener datos privados. Como sucede en la
actividad de la pesca se lanza el anzuelo con la carnada, en este caso, un correo
electrónico masivo con la intensión de que alguien pique el anzuelo. Se estima
que de cada veinte emails enviados uno alcanza su cometido.
Algunas veces el phiser consigue que la víctima visite una página web casi
idéntica a la página web de la entidad financiera en la que el usuario tiene plena
confianza e incluso presenta las secciones similares en donde se puede navegar
como se hace normalmente en la página web verdadera y finalmente consigue
que la víctima introduzca sus datos personales.
Por otro lado este tipo de comunicaciones electrónicas supone una modalidad
muy peligrosa de “spam” (comunicación comercial no deseada) que no solamente
satura nuestro correo electrónico y servidores, sino que además resulta un
auténtico peligro para la integridad y confidencialidad de los datos privados del
receptor.
Revise la siguiente lectura para complementar esta sección
sobre Phishing y otros delitos informáticos: el uso ilícito
de Internet.
http://dialnet.unirioja.es/servlet/articulo?codigo=2719220
11
12. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Pharming
Es una práctica tipificada como delito informático en donde el peligro es mayor
que el phishing ya que en este caso el estafador desvía el tráfico de internet sin
que la víctima se percate de ello.
La victima ingresa a la página web de una institución de su confianza y sin ser
consciente de que este es redireccionado hacia una página web falsa. Por lo
general esta actividad se da cuando se accede a entidades financieras y el
objetivo es apoderarse de datos personales de forma ilícita para concretar robos
en cuentas bancarias.
Hacking
Es la acción de acceder a una red aprovechando las vulnerabilidades para
burlarse de la seguridad establecida. La persona que realizar esta acción se
denomina Hacker quien luego de descubrir situaciones de riesgo informa a los
responsables para corregir y solucionar la vulnerabilidad, más que atacar, destruir
o modificar, se trata de un reto por violar la seguridad y anotar un nuevo logro. En
el mundo de los hacker, estos compiten por ser los más conocidos.
Puede encontrar una lista de los diez más
famosos en
http://www.tecnologiadiaria.com/2007/05/top10-hackers-famosos.html
La palabra hacker es un neologismo y en informática se refiere a un gran experto
en algún área de dominio, por ello en el mundo profesional de la seguridad el
término hacker es un título honorífico que hace referencia a un experto en
descubrir vulnerabilidades del sistema y evitar o burlas los sistemas de seguridad
informática. Por tanto, los hackers no son piratas informáticos, tampoco cometen
delitos, aunque a veces se piensa lo contrario, esto es muy discutible.
12
13. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Cracking
Este término proviene del vocablo inglés crack
(romper).
La persona que realiza esta acción se conoce como Cracker y en el mundo
informático en el ámbito de la seguridad, se refiere a alguien que viola la
seguridad de un sistema de forma similar a un hacker, pero éste lo hace de
manera ilegal y con fines adversos. Por otro lado, este término también se puede
aplicar a aquellas personas que haciendo uso de la ingeniería inversa logran
romper la seguridad de los programas comerciales desprotegiéndolos, alterando
su comportamiento y hasta ampliando sus funcionalidades iniciales. Por ejemplo,
podemos mencionar los crackers de programas comerciales a través de los cuales
se pueden romper su seguridad y sin necesidad de licencias poder proceder a su
instalación ilícita.
En el ámbito de la seguridad informática se pueden encontrar diversos perfiles de
personas que se dedican a estas actividades, por ejemplo: newbie, que es la
persona principiante; lammer, que presume tener conocimientos que realmente
no posee; phreaker, que es un hacker orientado a los sistemas telefónicos; y
script kiddie, quien utiliza programas creados por terceros sin conocer su
funcionamiento.
Malware
Hace referencia al
“malicious software” o
“software malicioso”
Dentro de este grupo de
programas se tienen a los más
comunes como virus, gusanos,
troyanos,
keyloggers
y
programas de spyware /
adware.
Tienen diversas finalidades, entre ellas: recopilar información confidencial del
usuario, controlar un equipo remotamente sin autorización del propietario o dañar
equipos de cómputo.
13
14. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Un gusano
Los troyanos
Los keyloggers
El spyware
Es como un virus, pero a diferencia de este,
no intenta borrar o corromper la información.
Por lo general los gusanos provienen a través
de mensajes de correo electrónico. Se
aprovechan de la vulnerabilidad de la
seguridad de los sistemas operativos y se
propagan a otros equipos vía la red o
Internet.
Son programas que se hacen pasar por
software legítimo y traen consigo código
malicioso oculto. No se replican pero pueden
forzar al computador a que descargue un
virus o ejecute una función preprogramada.
Los troyanos actúan como una puerta trasera
dando lugar al pleno acceso de intrusos al
sistema, permitiendo ataques a programas y
documentos del computador.
Son programas maliciosos que registran las
acciones en el computador y en Internet, a
través del registro de las teclas utilizadas
para enviar esta información a un intruso. El
objetivo principal es revelar la información del
usuario principalmente para beneficios
económicos. Estos programas pueden
proceder de correo electrónico o estar
incrustados en programas que se instalan de
dudosa procedencia. Se podría acceder a
ellos simplemente al visitar una página web
incorrecta.
Se refiere a cualquier programa o técnica que
monitorea o espía, registrando todo aquello
que se haga en Internet. Existen spyware
para poder vender a los anunciantes la
información que obtienen sobre las
actividades que un usuario realiza, los sitios
que visita y lo que se hace en línea.
14
15. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Revise la siguiente lectura para complementar esta
sección sobre La respuesta jurídica frente a los
ataques contra la seguridad de la información.
http://www.inteco.es/Seguridad/Observatorio/guias/
GuiaManual_sobre_la_respuesta_juridica_a_ataque
1.2.3 Piratería informática
Consiste en la reproducción (copias no autorizadas) y distribución ilegal de
software, material audiovisual y musical, que son explotados comercialmente sin
tener en cuenta los derechos de autor de obras protegidas legalmente.
Veamos los principales tipos de piratería:
a) Piratería de Software
El software está relacionado a una licencia que respalda su uso legal y cada
licencia permite la instalación del software en un computador, toda acción que
vaya en contra de lo estipulado en la licencia constituye una violación a los
derechos de propiedad intelectual y por consiguiente es una violación a la
legislación.
Caer en la actividad de la piratería es muy fácil pero las consecuencias podrían
ser muy drásticas más aún en nuestro medio en que cada vez se van regulando
las leyes en este aspecto.
15
16. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Actividades más comunes que son considerados piratería de software:
Realizar copias de software sin autorización.
Usar una licencia para instalar un programa en varios
computadores.
Hacer réplicas de discos para su instalación y
distribución.
Realizar actualizaciones de una copia ilegal de un
programa.
Tener una instalación de software en un servidor que
es utilizado por varios usuarios sin que la licencia lo
estipule.
Por un lado, las consecuencias más graves de la piratería es que reprime la
innovación, pues el costo de combatir esta actividad ilícita es muy alta y no hay
lugar a invertir en investigaciones y desarrollos que beneficien a los usuarios de
estos programas. Además, hay alta probabilidad que estos programas ilegales
contengan virus y no funcionen correctamente, así mismo no se cuenta con
asistencia técnica, ni actualizaciones o ampliaciones en la funcionalidad del
programa.
Mientras que los usuarios de software legítimo cuentan con garantías como la
actualización a versiones más actuales y la seguridad de que se cuenta con un
programa libre de virus.
b) Piratería audiovisual y musical
Actualmente es un golpe duro a la industria cinematográfica, de la música y
de videojuegos. A través de las conexiones de internet y las redes
avanzadas con mayor ancho de banda y alta velocidad es posible
intercambiar material audiovisual por muy pesados que sean.
16
17. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
¿Podemos hacer una copia personal de nuestros
CD/DVD de música o videos?
Según las leyes, se puede realizar una copia privada del
material audiovisual o de software, la cual está
contemplada entre los derechos de los ciudadanos
siempre que sea de uso personal, de forma doméstica y
no conlleve al lucro.
Lectura sugerida: La piratería informática.
http://www.notariado.org/liferay/c/document_librar
y/get_file?folderId=12092&name=DLFE11199.pdf
1.3 Soluciones
En temas de seguridad informática un aspecto importante es el método de
autentificación que se usa y las políticas de seguridad que se deben implantar y
respetar en una institución. Por lo general, debemos identificarnos ante una
máquina (sistemas informáticos en PC, servidor, cajeros electrónicos, lectores
biométricos, etc.), es decir, se debe convencer al sistema de qué somos la
persona o el usuario quien tiene acceso y privilegios otorgados. Para realizar este
proceso de autentificación ante un sistema, por lo general usamos alguna
combinación de: algo que sabemos, algo que tenemos o algo que somos.
Algo que sabemos: por
ejemplo, una contraseña.
Algo que tenemos: por
ejemplo, tarjetas de cajeros
electrónicos
o
tarjetas
inteligentes.
17
18. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Algo que somos: por ejemplo,
detección digital de la huella,
iris, voz, etc. (campo de la
biometría)
En esta sección vamos a centrarnos en el método de autentificación basado en
contraseñas y las recomendaciones que se deben tener en cuenta.
1.3.1 Control de acceso
Uno de los principales problemas se seguridad comienza por el acceso a un
sistema o plataforma, por ejemplo el acceso a uno de los sistemas más básicos, el
de mensajería o correo electrónico.
¿Somos conscientes del nivel de seguridad que
representa la contraseña de acceso que usamos?
¿Respetamos o seguimos las políticas de seguridad
recomendadas en cuanto al uso de usuarios y
contraseñas?
En la práctica, se puede constatar que los usuarios mientras más edad y menos
familiarizados se encuentren de las tecnologías (no es una regla general), no
realizan buenas prácticas de seguridad en estos aspectos, llegando algunos a
registrar (escribir, anotar) estos datos “secretos” en cuadernos o recordatorios que
muchas veces terminan sobre el escritorio al alcance de todos.
Otros usuarios pueden llegar al extremo de utilizar
programas o sistemas especializados que permiten
el manejo de contraseñas de forma segura. Sin
embargo, el riesgo se puede minimizar simplemente
si se siguen algunas recomendaciones básicas.
18
19. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Otro caso que se puede mencionar es el control de acceso de los usuarios
registrados en las plataformas que administran contenidos: CMS (Content
Management System) o LMS (Learning Management System), como es el caso de
las instituciones educativas. Al instalar sistemas administradores de contenidos,
de aprendizaje o cualquier otro sistema en general, se debe tener cuidado con las
políticas de administración de usuarios, no solo en términos del rol asignado y los
permisos o privilegios concedidos, sino comenzando por lo más simple: la
asignación de datos de acceso a la plataforma (nombre de usuario y contraseña).
En muchos casos estos sistemas tienen un nombre de usuario con rol de
administrador por defecto (por ejemplo root, admin, etc.), el cual conviene cambiar
debido a que este nombre de usuario genérico es conocido y predecible por
personas que buscan vulnerar la seguridad del sistema y acceder sin permiso para
realizar actividades en contra de la integridad del entorno de la plataforma.
Si no se cambia este usuario
por defecto, ya estamos
facilitando la mitad del trabajo a
cualquier persona que quiera
violar la seguridad del sistema.
Una de las formas más fáciles de obtener una contraseña es por medio del ataque
de fuerza bruta, que no es más que la verificación de todas las posibilidades o
combinaciones posibles, conociendo algunos parámetros iniciales para iniciar la
búsqueda y así acceder de forma ilícita al sistema.
Por ejemplo, si usamos una contraseña de cuatro dígitos, existirán al menos
10000 posibilidades, las cuales dependiendo del procesador del computador
podría tardar en generar y verificar en cuestión de segundos.
19
20. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Mientras que si tenemos más cuidado e incluimos letras mayúsculas, minúsculas,
símbolos y dígitos teniendo una longitud no muy corta, el número de posibilidades
aumenta exponencialmente y en algunos casos podrían pasarse varios años hasta
generar todas las posibilidades y encontrar la contraseña correcta. Este método de
ataque no es inteligente, ya que usa todas las posibilidades, mientras que existen
otros a través de algoritmos más avanzados e inteligentes que podrían acelerar
esta búsqueda y verificación de manera sorprendente.
Buen uso de usuario y contraseña
Cuando estamos conectados a las redes hay tráfico de información y mediante
diversas aplicaciones es posible detectar dentro de estos paquetes de información
innumerables segmentos que llevan consigo contraseñas y que a pesar de
encontrase cifradas nada asegura su integridad. Todo dependerá de la
metodología de cifrado aplicado y de algunos parámetros tomados en cuenta en la
elección de una contraseña, muchas veces estas contraseñas elegidas son
débiles.
Se dice que una contraseña es:
DÉBIL
FUERTE
Cuando a través de cualquier método es fácilmente
deducible
Será aquella que a través de métodos sofisticados
demandará
esfuerzo
y
tiempo
para
lograr
desenmascararla.
20
21. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Uno de los parámetros más simples que interviene directamente en la fortaleza o
debilidad de las contraseñas es la longitud de esta, otra podría ser el uso o
consideración de una combinación de letras mayúsculas y minúsculas, números y
caracteres especiales. Como puede ver, son parámetros que responden a criterios
muy básicos en la constitución de una contraseña.
Algunas recomendaciones:
Actualmente, algunas plataformas orientan y alertan al usuario al momento de
elegir una contraseña indicando su fortaleza o debilidad, algunas veces incluso se
sugiere la longitud por ejemplo.
Claves para crear contraseñas seguras:
Longitud y complejidad
1. Una contraseña ideal es larga y contiene letras, signos de puntuación,
símbolos y números.
2. Siempre que sea posible, use como mínimo ocho caracteres.
3. No utilice la misma contraseña para todo. Los delincuentes
informáticos roban las contraseñas de los sitios web que cuentan con
muy poca seguridad y, a continuación, intentan usar esas contraseñas
y nombres de usuario en entornos más seguros, como sitios web de
bancos.
4. Cambie sus contraseñas con regularidad. Establezca un recordatorio
automático para cambiar las contraseñas de sus sitios web de correo
electrónico, banca y tarjetas de crédito cada tres meses
aproximadamente.
5. Cuanto mayor sea la variedad de caracteres que contiene su
contraseña, mejor. Sin embargo, el software de robo de contraseñas
comprueba automáticamente las conversiones comunes de letras a
símbolos, como el cambio de «y» por «&» o de «más» por «+».
6. Use la totalidad del teclado, no solo las letras y los caracteres que usa
Extraído frecuencia.
o ve con mayor de Centro de seguridad y protección (Microsoft)
http://www.microsoft.com/es-es/security/online-privacy/passwords-create.aspx
21
22. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Algunos servicios en web muestran gráficamente cuándo una contraseña es fuerte
o débil, en tiempo real:
Caso 1: débil
Caso 2: promedio
Caso 3: fuerte
Caso 4: la mejor
22
23. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Puede realizar estas pruebas en la siguiente
dirección:
https://www.microsoft.com/es-es/security/pcsecurity/password-checker.aspx
Y usar otros comprobadores de contraseñas como
las siguientes:
https://www.grc.com/haystack.htm
http://password.es/comprobador/
Si se quiere verificar la seguridad de una contraseña se puede usar uno de los
enlaces dados. La búsqueda de la contraseña será como buscar una aguja en un
pajar, entonces, veamos cuán grande es el pajar que en este caso dependerá de
los parámetros de la contraseña elegida como longitud, símbolos, dígitos, letras
mayúsculas y minúsculas que se hayan usado en la contraseña.
Veamos dos casos usando el
comprobador de contraseñas en
https://www.grc.com/haystack.htm
Si se usa una contraseña de 4 cifras (por ejemplo: 2012), puede observarse que
existen unas 11,110 posibilidades y el tiempo que tardaría en este tipo de ataque
en un escenario en línea sería de apenas de 11,11 segundos y en los casos fuera
de línea ni siquiera tardaría 1 segundo.
Mientras que si se usa una contraseña de 12 caracteres (por ejemplo:
Secreto#2012), vemos que estamos usando letras mayúsculas, minúsculas,
números y símbolos, y con esto se complica y aumenta increíblemente la
seguridad y las posibilidades a verificar.
23
24. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
En cuanto a la gestión de contraseñas en las plataformas educativas, no olvidar
las recomendaciones anteriores. Sin embargo, conviene usar el generador
automático del mismo sistema y si hay la posibilidad de indicar o configurar
algunos parámetros como por ejemplo el uso de letras, dígitos, longitud, etc., no
dejar de hacerlo para obtener contraseñas seguras las que se enviarán de forma
automática a los usuarios respectivos.
Errores comunes
Una contraseña ideal es algo que usted sabe, algo que un computador o sistema
puede verificar lo que usted sabe, y algo que nadie puede adivinar o deducir con
facilidad. Por ello tenga en cuenta las recomendaciones anteriores y las siguientes
recomendaciones básicas:
- No usar palabras (direcciones, calles, nombres de hijos,
mascotas, etc.) ni números (fechas de nacimiento, matrimonio,
edad, teléfono, etc.) del ámbito personal. Si siente que es
probable que alguien lo pueda adivinar, evite usarla. Tampoco
use combinaciones de estas, ya que son las primeras pistas que
se usarán en el intento de descubrir su contraseña.
24
25. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
- Algunos sistemas, obligan a cambiar sus contraseñas cada
cierto tiempo. De ser ese el caso no vuelva a usar las anteriores
al menos no en el mismo año. En cualquier otro caso, usted
mismo recuerde cambiar su contraseña periódicamente.
- No usar secuencias de caracteres tal como se encuentran en
el teclado, ya que los descifradores las encuentran de
inmediato. Aunque parezca mentira existe un porcentaje
considerable de sistemas en los cuales se puede acceder
probando con cifras consecutivas como 1234567890, por
ejemplo.
- No escriba sus contraseñas, ni en papel adhesivo ni en block de
notas y menos las deje al alcance donde cualquiera las pueda
encontrar. Si tiene sospechas acerca de la integridad de acceso
a su información, cambie de inmediato su contraseña.
El elemento humano
Si trabaja con un grupo de personas quienes tienen acceso al sistema y para lo
cual se les ha asignado un rol y privilegios o permisos a determinadas fuentes de
información, capacite y eduque en las políticas de seguridad optadas por su
institución. Recuerde que hay diversas maneras de fraude a través de internet,
algunas muestran su mala intensión casi de forma explícita y sin embargo podría
existir algún miembro de nuestro equipo que sin darse cuenta caiga en el juego.
Por otro lado, si algún miembro de la institución deja de laborar o es retirado de
sus funciones por diversos motivos, se debe considerar como posible punto de
inicio del ataque y se deberán tomar medidas que eviten cualquier riesgo de
vulnerabilidad, por ejemplo, las siguientes recomendaciones:
25
26. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Captcha
Diversas plataformas permiten el ingreso de información a través de votaciones,
suscripciones, descarga de documentos, comentarios, etc. Un ejemplo son los
Blogs muy utilizados en el ámbito de la educación, ya que permite una interacción
y retroalimentación a través de su sistema de registro de comentarios. En este
caso, por lo general se hace uso de sistemas de verificación para controlar el
acceso, denominado Captcha.
Captcha
El cual permite verificar si la
información (comentario) a enviar
a través del Blog está siendo
realizada por un humano y no se
trata de un sistema automático
(robot) que envía cantidades
incontrolables de información.
26
27. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Algunos ejemplos de este sistema de verificación Captcha:
¿De dónde proviene la denominación CAPTCHA?
Proviene de Completely Automated Public Turing test to tell Computers and
Human Apart, es decir; prueba de Turing pública y automática para diferencias
computadoras y humanos.
¿De qué trata el test o prueba de Turing?
Es una prueba realizada para demostrar la existencia de inteligencia en una
máquina, en donde la hipótesis es “Si una computadora se comporta en todos los
aspectos como inteligente, entonces debe ser inteligente”.
En esta prueba participa un juez, una persona y una
computadora, todos aislados físicamente y comunicados la
persona y la computadora con el juez. El juez debía hacer
preguntas a la persona y a la computadora y este debía
diferenciar si se trataba de una persona o de la computadora.
27
28. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
En la prueba que se realiza a través de CAPTCHA, interviene una computadora
(como juez) y como usuarios una persona y otra computadora. Se trata de una
prueba en la que la computadora (juez) debe generar una consulta o problema
que debe ser resuelta por usuarios que desean pasar el control de acceso
(computadora o un ser humano). En realidad se requiere inteligencia humana para
resolver esta prueba, si el juez (computadora) detecta que el usuario es otra
computadora, entonces no permite el acceso.
En la actualidad, debido al avance de algoritmos sofisticados de inteligencia
artificial y reconocimiento óptico de caracteres, es posible detectar o predecir la
solución del problema presentado, es por este motivo que los sistemas CAPTCHA,
presentan cada vez problemas más complejos a ser resueltos, caracteres menos
definidos, con ruidos, ondeados, etc., algunos desde los más sencillos que
solicitan solo el ingreso de las letras o dígitos que se visualizan, y otros que
indican el ingreso de ciertos resultados en base a información que se presenta,
por ejemplo:
1- Resultados de operaciones aritméticas
2- Resultados de una selección de elementos
que se deben elegir bajo cierto criterio.
Todo esto con la finalidad de hacer que la tarea de detección de la solución no sea
inmediata e incluso a veces resulta difícil reconocer o identificar la respuesta por
parte de usuarios humanos.
Desde el momento en que somos usuarios de sistemas de información o usuarios
de internet, bajo cualquiera de las modalidades, debemos tener en cuenta los
riesgos y las amenazas existentes en el medio. Más aún, si tenemos un rol y
privilegios de acceso a información valiosa de una institución debemos ser
conscientes de las responsabilidades que recaen sobre nosotros en relación a las
políticas de seguridad.
Estudios del FBI muestran que más del 80% de los ataques de seguridad
pudieron haberse evitado tan solo si se hubiese tenido en cuenta medidas
de seguridad de niveles básicos, por ejemplo, el bueno uso de contraseñas.
28
29. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
1.3.2 Herramientas de protección
En el mundo informático, casi en su totalidad los ataques van dirigidos hacia la
vulnerabilidad de los sistemas en búsqueda de información, información no
autorizada, información privada accesibles a determinados usuarios con privilegios
asignados. Una arquitectura de un sistema de seguridad de una institución va más
allá de posibles soluciones informáticas. Se debe tener en cuenta aspectos físicos
de infraestructura, como espacio de servidores, cableado estructurado, equipos
informáticos, etc. Por otro lado existen los sistemas informáticos de seguridad,
programas antivirus, antispam, programas integrales de seguridad, entre otros.
Uno de los aspectos a tener en cuenta en las políticas de seguridad de una
institución, son las redes de acceso, a través de la cual se pueden establecer
“puertas” hacia redes que podrían constituirse en amenazas potenciales.
Por tanto, establecer políticas de
protección o seguridad de redes es una
tarea fundamental en toda institución.
Seguridad de red: firewall
Algunas instituciones usan una red interna o intranet para la administración y
gestión de diversos tipos de servicios y actividades propias del centro. Incluso a
este nivel se deben implementar políticas de seguridad, principalmente de accesos
a determinados niveles de la información. Por otro lado, estar conectados a
internet es imprescindible y vemos que en este caso el riesgo de acceso a
información confidencial de la institución aumenta, es decir, los riesgos de ataques
están a la orden del día, de manera que es necesario establecer políticas de
protección que implican la implementación de sistemas de filtrado y bloqueo ante
redes consideradas no confiables. Es aquí en donde entra a tallar un sistema
como el firewall.
Es un sistema de protección entre dos o más
redes, permitiendo
o
denegando
las
transmisiones de una red a la otra. Uno de los
usos cotidianos es aplicarlo entre la red local
de una institución y la red de internet.
Firewall
29
30. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
El objetivo principal de este sistema de seguridad es evitar que los intrusos
puedan acceder a información confidencial y hacer cumplir las políticas de
control de accesos entre dos redes interconectadas.
Algunas características de un sistema Firewall:
Políticas
La aplicación de un sistema protección firewall debe responder a las políticas de
seguridad establecidas en la organización.
La implementación, configuración y uso de un firewall van a depender de la
política de acceso a servicios de red y de la política de diseño de un firewall.
1. Política de
acceso a
servicios de red
Establece qué servicios están permitidos y
denegados a determinadas redes restringidas, y
cómo serán usados estos. Tener en cuenta de que
estas medidas y soluciones deben ser realistas, de
tal forma que se consiga una protección de la red y
sea posible al mismo tiempo acceder a los servicios
permitidos sin limitar la funcionalidad y utilidad de
los usuarios.
30
31. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
2. Política de
diseño de un
Firewall:
Indica cómo se debe restringir el acceso a una red y
cómo se debe implementar el filtrado de paquetes de
acuerdo a la política de acceso a servicios. Presenta
una política permisiva, ya que permite el acceso solo
a los servicios identificados como permitidos en la
política de acceso a servicios. La otra, política
restrictiva por que restringe el acceso a los servicios
que se encuentran restringidas en la política de
acceso a servicios.
Se deben tener en cuenta algunos aspectos como: ¿Qué se debe proteger?, ¿de
quién protegerse?, ¿cómo protegerse? y ¿cuánto costará la implementación del
sistema?
Tráfico de correo electrónico, evitando ataques
provenientes de diversos servicios de correo
electrónico no definidos como confiables.
Servicios conocidos por constantes problemas de
intrusión, en este caso restringe y bloquea el acceso a
servicios.
¿Contra qué
puede proteger
una red firewall?
Accesos (Logins) interactivos sin autorización, para
prevenir actos de vandalismo en máquinas y software
de red.
Además, las redes firewall son también un buen
sistema de seguridad que proporciona estadísticas
accesos de usuarios, denegados, no permitidos, el
tráfico que ingresó, ancho de banda consumidos,
proporcionando información valiosa y suficiente para
realizar una auditoría de la red.
¿Contra qué no
puede proteger una
red firewall?
Las incoherencias propias de un sistema de seguridad
que no involucre en sus políticas la totalidad de
amenazas posibles, que tiene que ver con el personal,
la infraestructura y otros aspectos; es decir, se debe
tener en cuenta la arquitectura de seguridad de la
institución.
Los virus o infiltración de documentos infectados, que
ya tiene que ver directamente con los usuarios de la
red, con el uso de dispositivos y programas que
ejecutan.
31
32. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
1.3.3 Copias de seguridad
¿Por qué hacer copias de seguridad?
En la vida cotidiana, acostumbramos a tener copias de algunos documentos que
consideramos importantes y las guardamos en un lugar seguro. Las copias de
seguridad o Backup constituyen un proceso de duplicación de información o copia
de respaldo, si hablamos en términos de seguridad.
Por lo general estas copias de seguridad puedan utilizarse para restaurar sistemas
originales después de un evento inesperado o catástrofe que implique pérdida de
información.
Es evidente, por tanto, que los respaldos o copias de seguridad permiten restaurar
archivos individuales y hasta sistemas administradores de contenidos completos, o
sistemas de información en general.
A cualquiera de nosotros, usuarios en general, le puede pasar que luego de haber
trabajado e invertido mucho tiempo en nuestros proyectos, perder de imprevisto
nuestro documento de trabajo, podría constituirse en una pérdida definitiva sin
posibilidad de recuperar al menos parte de él. En estos casos, contar con una
copia de seguridad sería como una bendición.
¿Imaginan perder, ya sea por cuestiones de virus o
por error, el avance de un proyecto de tesis de
maestría o doctorado estando a puertas de una
sustentación?
¿Y qué hacer si por alguna razón perdemos la información de la plataforma de
nuestra institución?, datos históricos y valiosos de un plantel escolar acumulada
por varios años.
Por tanto está demás, tratar de convencer sobre la importancia de realizar copias
de seguridad.
32
33. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Metodología de copias de seguridad
Tener una copia de nuestros trabajos cotidianos cada vez que realizamos alguna
modificación o actualización es una de las formas más simples, pero ¿qué sucede
con las instituciones que cuentan con plataformas informáticas en donde se
realizan y quedan registrados innumerables actividades y procesos a cada
momento? Entonces, se deberá establecer dentro de las políticas de seguridad la
tarea de copias de respaldo con ciertas frecuencias, las cuales deben ir de
acuerdo a la actividad de la institución. Por ejemplo, en la plataforma de una
institución educativa se llevan a cabo diversas actividades, desde el más simple,
registro de asistencia hasta los resultados de actividades de aprendizaje, tanto
como los cambios que se registran en una entidad financiera. El valor de la
información es incalculable y en algunos casos, estas pérdidas son irrecuperables.
Entre los tipos de copias de seguridad se tiene:
a) Respaldos completos
Se trata de un proceso de copia completa de todos los archivos del sistema. No
se tiene en cuenta si estos archivos han sido actualizados o no; es decir, se
duplicará la información sin ningún criterio inteligente.
Este método de respaldo no es conveniente en instituciones grandes en donde
los cambios representan un porcentaje pequeño de toda la información existente.
Por ejemplo, si un día en particular se ingresó solo información de un cliente
nuevo, no tendría sentido de hacer la copia al anochecer de toda la base de
datos. Esto implicaría contar con un disco duro gigantesco, en donde la
información se replica sin criterios adecuados para optimizar el espacio en disco.
33
34. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
b) Respaldos incrementales
Este método realiza un análisis previo para determinar las modificaciones
registradas teniendo en cuenta la fecha más reciente en relación a la fecha del
último respaldo. En otras palabras, solo se realiza la copia de la información que
efectivamente ha sido actualizada.
Se recomienda en estos casos realizar copias de respaldo completos con
frecuencias mayores y los incrementales con frecuencias menores. Por ejemplo,
realizar una copia de respaldo completa cada fin de semana, pero realizar los
incrementales cada día al anochecer.
Una de las ventajas del respaldo incremental es que se realiza en muy poco
tiempo en relación al respaldo completo, pero la desventaja es que en caso de
problemas de recuperación, se deberá establecer primero la última copia
completa y luego restablecer los diversos respaldos incrementales hasta llegar a
la versión más reciente. Evidentemente, esto tiene un costo en tiempo de
proceso hasta obtener el sistema restablecido.
c) Respaldos diferenciales
Al igual que el método incremental, copia solo los archivos que han sido
modificados, pero este nuevo método es acumulativo; es decir, que si existe un
archivo modificado, este es incluido en todos los respaldos subsecuentes. Esto
quiere decir que con un respaldo diferencial contiene todos los cambios realizados
después del último respaldo completo. Por tanto para un proceso de recuperación
solo se requerirá restablecer el respaldo completo más reciente así como el último
respaldo diferencial. Como se puede entender el proceso de restauración y
recuperación implica menos recursos en momentos de algún imprevisto.
Hay que mencionar que no solo es importante contar una copia de seguridad, sino
que debemos tener en cuenta aspectos físicos que podrían poner en riesgo una
copia de seguridad, por ejemplo: número de copias, ubicaciones geográficas,
parámetros climatológicos como la humedad, accidentes como incendios, fugas de
gas, agua, etc. Así mismo, no estaría demás tener una réplica espejo de todo el
sistema y que funcione en paralelo, de tal forma de que si sucede una catástrofe
informática, el sistema espejo pueda continuar con normalidad.
34
35. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Es recomendable tener las copias de seguridad en ubicaciones geográficas
diferentes ante catástrofes físicas por ejemplo.
¿Qué sucedería si ante catástrofes
informáticas contamos con copias de
adecuadas que en teoría debería permitir
todo el sistema, pero nos damos cuenta
discos físicamente están dañados?
físicas o
seguridad
restablecer
de que los
Por tanto, se recomienda que periódicamente se hagan pruebas de
restablecimiento del sistema haciendo uso de los discos que usualmente se usan
en las copias de seguridad. En otras palabras, no descartar detalles por más
simples que perezcan.
1.3.4 Criptografía
En esta sección trataremos acerca del cifrado de información, no para llegar a ser
expertos en el manejo de algoritmos complejos que permitan cifrar de manera
segura, sino para entender cómo se lleva a cabo este proceso y ser conscientes
de lo fácil o difícil que resulta cifrar o descifrar segmentos de información.
Remontándonos en el pasado, en la civilización egipcia, existía la práctica común
de enterrar a sus muertos para que no sean encontrados. Esta actividad era
conocida como criptografía y podemos constatar que eran muy buenos en estas
prácticas ya que hasta la fecha, después de miles de años, aún se siguen
encontrando nuevas criptas.
La raíz griega kript significa literalmente “lugar escondido” y su origen etimológico
es “oculto, secreto”. Por otro lado, del mismo griego, graphikos hace referencia a
“de o para escribir, perteneciente al dibujo pintoresco” y técnicamente es el “arte
de la escritura”.
Por tanto,
Cripto + grafía significaría "lugar de escondite para
las ideas, sonidos, imágenes o palabras"
Se denomina cifrado a la acción de realizar algún aspecto de la criptografía. En
inglés existe el término encrypt que en el español se suele traducir erróneamente
como encriptar, ya que no existe en el Diccionario de RAE (Real Academia
35
36. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Española). Sin embargo, se puede usar el término cifrar para estas acciones de la
criptografía, según la RAE.
Cifrar
1. tr. Transcribir en guarismos, letras o símbolos, de acuerdo con
una clave, un mensaje cuyo contenido se quiere ocultar.
La Criptología (con su terminación – logía) es el estudio de la criptografía.
¿Cómo se hace la criptografía?
El uso de la criptografía se remonta a épocas pasadas y muy lejanas, por ejemplo
el siglo primero A.C., se usó para cifrar mensajes secretos en los conflictos
bélicos, como suele pasar con muchos avances tecnológicos. Por estas épocas se
registra un método muy sencillo, denominado el cifrado de César que consistía
simplemente en desplazar las letras tres posiciones a la derecha.
Actualmente, la ciencia de la criptografía ha avanzado considerablemente ya que
hace uso de métodos muy complejos y cada vez se buscan nuevas formas de
optimizar estas técnicas.
En la práctica, los profesionales involucrados con las Tecnologías de la
Información no son muy conscientes de todo el poder de la criptografía, y solo se
maneja algún conocimiento general en este tópico. Se prefiere dejar esto en
manos de profesionales en seguridad ya que implementar una estrategia
verdaderamente segura demandaría una inversión de muchos recursos que
difícilmente estamos dispuestos a hacer. Es por este motivo que podemos
experimentar diversos ataques en Internet que vulneran la seguridad en toda su
amplitud.
Por otro lado, hay que ser conscientes de que no existe la seguridad absoluta y
tener siempre en cuenta la Ley de Murphy: “Si algo puede salir mal, saldrá mal”.
Así mismo, como se dice popularmente, cada uno de nosotros tenemos un gemelo
(malvado) en alguna parte del mundo (Teoría genética del espejo de Rousseau),
por tanto de la misma forma que existe un buen criptógrafo entonces existirá
también su contraparte que podrá descifrar cualquier algoritmo de cifrado por más
complejo que este sea.
En estos días, la criptografía se ha constituido en las
comunicaciones, en todos los medios posibles, dando la
posibilidad de cifrar el mensaje y transmitirlo.
36
37. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Por lo visto anteriormente, se puede entender a la criptografía como la ciencia de
ocultar información, con el fin de ocultar un mensaje a personas no autorizadas.
Por ejemplo, si se deseaba cifrar el mensaje: “CRUZAR AL ANOCHECER” con
el cifrado de César se obtendría el siguiente mensaje cifrado: “FUXCDU DO
DQRFKHFHU”.
Veamos en las siguientes imágenes cómo se lleva a cabo el cifrado de César
que consiste en desplazar las letras tres posiciones a la derecha.
1. La letra C debe ser reemplazada por la letra F:
2. La letra R debe ser reemplazada por la letra U:
3. La letra U debe ser reemplazada por la letra X:
4. La letra Z debe ser reemplazada por la letra C:
Y así sucesivamente, hasta completar todo el mensaje a cifrar. Puede
observarse que cuando la letra se encuentra al final, como por ejemplo la letra
Z, se corre al inicio como si se tratara de una secuencia circular.
37
38. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Elementos de la criptografía
El mensaje original:
Es el texto plano o texto en claro sin formato o sin cifrar, puede
ser literalmente un mensaje, un documento, archivo de datos,
imagen, audio o cualquier otro tipo de información digital.
1. El proceso de cifrado:
El texto plano se transforma en texto cifrado, mediante la cifra o
clave que es el método de cifrado que se utiliza. Esta clave se
usa para cifrar y descifrar el mensaje.
2. El mensaje resultante:
Es el texto cifrado o criptograma. Un mensaje cifrado puede ser
transmitido de forma segura a un tercero, incluso utilizando
medios que pueden permitir a terceros leer el texto cifrado.
3. El proceso de descifrado:
Cuando el destinatario recibe el mensaje cifrado, el destinatario
descifra el mensaje, lo que da el texto original.
38
39. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Metodologías de cifrado
Existen varias formas de realizar el proceso de cifrado y en la actualidad debido a
la cantidad de información valiosa que se maneja, es que se están desarrollando
métodos avanzados y complejos para asegurar en cierta medida la integridad de
los datos.
En esta sección no se pretende conocer los detalles técnicos ni llegar a nivel de
programación de los algoritmos más conocidos, pero sí se espera conocer las
técnicas usadas y las diferencias entre unas y otras para comprender y conocer
qué medidas se pueden establecer en temas de seguridad.
A continuación trataremos tres conceptos relacionados a cualquier metodología
usada en los procesos de cifrado.
Los métodos de cifrado
Existen muchos métodos que permiten cifrar un texto plano, algunos muy simples
como el cifrado de César y otros bastante complejos. Algunos métodos de simple
comprensión son los siguientes:
39
40. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
a) Sustitución
Es uno de los métodos más simples, se basa en la sustitución de un carácter
por otro. Esto en base a una regla, patrón o algoritmo definido, el cual debe ser
conocido tanto por el emisor como por el receptor.
Ya antes vimos en el cifrado César, utilizado en el siglo I A.C., este tipo de
cifrado por sustitución en la que los caracteres del texto plano se desplazan
tres posiciones a la derecha para producir el texto cifrado. En este ejemplo, el
carácter A se reemplaza por el carácter D y así sucesivamente.
Otro ejemplo de este método es el ROT13 en la que las letras del alfabeto
inglés se desplazan 13 posiciones a la derecha.
b) Transposición.
Este método también es conocido como cifrado de permutación y se basa en
escribir el mensaje en una tabla de dimensiones N x M en forma horizontal
(filas) y para obtener el texto cifrado se van extrayendo las palabras
correspondientes a las columnas de la tabla.
Para nuestro ejemplo anterior, en donde el texto en claro o texto plano es
CRUZAR AL ANOCHECER, vemos que este tiene una longitud de 17
caracteres, por tanto se podría usar una tabla de 4 x 5.
40
41. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Tomando los textos en orden vertical (columnas) y teniendo en cuenta una
determinada permutación, por ejemplo: 1-3-5-2-4 (orden de columnas), se
obtendría lo siguiente:
CROE ULH ANC RACR ZAE
Como se puede observar en el mensaje cifrado, los caracteres originales aún
aparecen, solo que están en orden diferente. Esto hace que este método sea
vulnerable a los análisis de frecuencia llevados a cabo durante el proceso de
criptoanálisis (proceso inverso a la criptografía).
En este caso, la clave del cifrado sería el orden de la matriz: 4x5 y las permutaciones:
1-3-5-2-4.
Si se procede con alguna técnica de criptoanálisis simple, se podría deducir lo
siguiente:
Primero colocar las palabras de mayor longitud en ese orden: CROE RACR ULH ANC
ZAE, luego colocar en columnas:
41
42. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Finalmente, al realizar las permutaciones de columnas se puede llegar al
mensaje inicial:
El cifrado por transposición es un método más complejo del que se muestra en
este ejemplo, pero para efectos de comprensión es totalmente válido.
c) Monoalfabética.
Es un método de cifrado de sustitución en donde se sustituye un carácter
alfabético por otro. Por ejemplo si se rota o avanza ciertas posiciones de los
caracteres como se muestra en la figura (la segunda fila).
Por ejemplo, si se desea cifrar en texto SEGURIDAD, el resultado sería
YKMAXOJGJ
La sustitución puede ser también al azar, más que un simple desplazamiento o
giro a la izquierda o a la derecha, como se muestra en la figura siguiente.
42
43. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Puede observarse que con este método muy simple, si el texto plano tiene dos
caracteres iguales (la D) entonces el texto cifrado también tendrá dos caracteres
iguales (la J). Por tanto este método de cifrado está sujeto también a un ataque
análisis de frecuencia.
Este método es vulnerable al análisis de frecuencias, por lo que existe un método
de cifrado más avanzado y que usa dos o más alfabetos de sustitución para cifrar
un texto plano, se trata del método Polialfabético.
Otras formas más avanzadas son la de clave corrida (runing-key) y libreta de un
solo uso (One time pads).
Estos métodos de cifrado hacen posible que el acceso a la información en sí sea
restringida y como medida de seguridad debe ser tomada siempre en cuenta. En
la realidad existe una diversidad de mecanismos y herramientas que permiten
interceptar información que viajan por las redes, todas ellas con diversos niveles
de protección, métodos de cifrado que con una buena estrategia de criptoanálisis
no hay información cifrada que se resista, solo es cuestión de tiempo.
Sin embargo, un conjunto de medidas que respondan a la
política de seguridad de la institución, involucra a todo el
personal en temas de ética en relación a la responsabilidad
que recae sobre sus funciones y los diferentes niveles de
información que maneja, las copias de seguridad y los
planes de contingencia, deberían permitir salir de cualquier
problema ante este tipo de catástrofes no solo de origen
informático sino también de accidentes o catástrofes
naturales.
43
44. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Unidad 2:
Seguridad y ética
Autora: Ms. Aurea Bolaños Hidalgo
Docente de la PUCP
44
45. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Seguridad y Ética
En la red podemos encontrar un conjunto de información de todo tipo, realizar
transacciones comerciales e interconectarnos con las personas de todo el mundo.
Son múltiples las acciones que podemos realizar y movernos por el ciberespacio
con libertad, todo ello incluye también mucha responsabilidad de nuestra parte.
Como vimos en las unidades anteriores, si bien el Internet nos ha permitido
cambiar la forma en la que concebimos el mundo con sus múltiples
interrelaciones, también nos acerca a un conjunto de peligros y amenazas de todo
tipo, por lo que nuestros hábitos y conocimientos para dar seguridad a nuestro
accionar en la red y el de las personas a nuestro cargo debe asumirse con
seriedad y sobre todo con ética.
Recordemos cuántas veces hemos escuchado de robos a través de tarjetas de
crédito o transacciones por la Web, o de situaciones en la que niños y
adolescentes son acosados por pederastas. Como también nuestros correos son
utilizados para enviarnos propaganda no solicitada o son “hackeados” o en alguna
ocasión hemos sido víctimas. Existe por tanto, personas que al igual que nosotros
participan en la red pero con motivaciones muy diferentes. Tienen objetivos que
van contra las leyes, contra las normas establecidas y contra los principios que
orientan nuestras relaciones con los otros. Decimos entonces, que su accionar no
es ético.
Nos preguntamos también si solo estas acciones son una falta de ética. Pensemos
un momento en estas acciones:
- El envío de mensajes con virus de manera intencional.
- Utilizamos las ideas de un texto que encontramos en Internet en un
texto o presentación que construimos y no colocamos las
referencias. “Nos olvidamos de hacerlo”.
- Leemos un texto y lo parafraseamos cambiando algunas palabras
del texto original sin colocar referencias al respecto.
- Revisamos los correos de nuestros hijos, alumnos o pareja sin su
permiso. ¿Y el derecho a la privacidad?
- Cuando nos hacemos pasar por otras personas y fingimos algo
que no somos.
- Cuando enviamos mensajes agresivos u obscenos y además, sin
identificarse.
- Cuando utilizamos la red para calumniar, insultar o agredir, por
ejemplo a través de los correos y redes sociales, mensajes a
través de celulares.
- Colocar información falsa o incorrecta o tergiversada con el
propósito de llevar al error y confusión.
45
46. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
¿Serán también estas acciones faltas de ética en el uso de
Internet? ¿O es que la libertad que existe en ella nos faculta a
hacer y decir lo que pensamos sin “ver” a la otra persona que
está al otro lado? ¿Son estas acciones solo propias del mundo
digital o esta es una vía que nos permite llegar a más personas
pero que involucran una decisión ética personal que va más
allá del medio que utilizamos? ¿O es que este nuevo mundo ha
facilitado que flexibilicemos nuestra conducta y nos da mayor
permisibilidad para romper algunos principios al sentirnos
“invisibles” frente a los otros con los que aparentemente
interaccionarnos.
Miremos ahora nuestro propio accionar como adultos responsables en el buen uso
de Internet y analicemos también nuestro rol como docentes.
¿Generamos solo experiencias para el aprendizaje de las
herramientas en Internet? ¿Dotamos a nuestro centro
laboral de la tecnología de punta a fin de garantizar el mejor
acceso y aprendizaje de nuestros estudiantes? ¿Generamos
reflexión y propuestas de nuevas formas de aprender y
enseñar con el uso de las TIC? ¿Nos capacitamos para
manejar mejor las herramientas y aplicaciones que las TIC
nos ofrecen? Y entre todas estas acciones que realizamos
con la finalidad de brindar calidad de aprendizajes a
nuestros alumnos, también nos hemos preguntado ¿los
usarán correctamente desde un punto de vista ético? ¿Qué
actitudes, valores y principios estamos también trabajando
con nuestros alumnos para fomentar el uso ético de las
nuevas tecnologías? ¿Existe en nuestro centro laborar una
política que todos comparten?
Para discutir sobre el uso ético de Internet revisa:
Rodríguez Luño, Ángel (2006) Aspectos éticos en el
uso de Internet.
http://www.eticaepolitica.net/eticafondamentale/arl_us
o_internet%5Bes%5D.htm
46
47. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Veamos a continuación algunos aspectos que consideramos importantes conocer
para poder darnos algunas respuestas, formularnos nuevas preguntas y proponer
acciones que contribuyan en nuestro centro laboral a hacer un uso ético de las
TIC.
2.1 Normas y código de ética
Iniciamos esta unidad preguntándonos:
¿Es necesario contar con normas o códigos de ética
que regulen nuestro accionar en una organización?
¿Son realmente efectivos? ¿Quién los construye?
¿Basta con definirlos para que estos se constituyan
en principios que orienten el accionar de los
miembros de una organización?
Un código ético es un instrumento que refleja los acuerdos que una organización
tiene como lineamientos de actuación y que consideran importantes para su
convivencia institucional y más aún, un accionar en el mundo.
Como señala Duart (2003):
“Los valores modelan nuestra conciencia y nuestro comportamiento. Sentimos su
presencia en nuestras acciones cotidianas, en nuestra conciencia, y constatamos
su realidad a partir de nuestras vivencias más íntimas, es decir, aquellas que
marcan nuestra conducta. Los valores rompen ocasionalmente nuestra indiferencia
(Reboul, 1992) marcando patrones de conducta, personales y aceptados, pero no
por ello inamovibles.”
Revisa estos textos para seguir reflexionando sobre el tema:
Duart Josep M. (2003) Educar en valores en entornos
virtuales de aprendizaje: realidades y mitos. UOC.
Recuperado de
http://www.uoc.edu/dt/20173/index.html
MONTUSCHI, Luisa. Para qué sirven los códigos de
ética. Revista Análisis No. 47 Año 2007. Recuperado
de
http://www.ambito.com/economia/informes_economico
s/archivos/UCEMA%20analisis47.pdf
47
48. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Veamos entonces, algunos ejemplos de códigos éticos relacionados a las TIC que
se han propuesto:
Los 10 Mandamientos de la Ética Informática, elaborados por el Computer
Ethics Institute of Washington1:
1. No utilizaras la computadora para hacer daño a otros
individuos.
2. No interferirás con el trabajo computadorizado de otras
personas.
3. No revisarás los archivos computadorizados de otras
personas
4. No utilizarás la computadora para robar.
5. No utilizarás la computadora para levantar falso testimonio.
6. No copiarás o usarás programas por los cuales no has
pagado.
7. No utilizarás los recursos computadorizados de otras
personas sin autorización o sin la propia compensación.
8. No te apropiaras de la producción intelectual de otras
personas.
9. Pensarás acerca de las consecuencias sociales del
programa que estas escribiendo o del sistema que estas
diseñando.
10. Usarás las computadoras de maneras que asegures la
consideración hacia otros seres humanos.
1
Tomado de: http://computerethicsinstitute.org/spanish.html
48
49. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Association for Computing Machinery (ACM) Code of Ethics and
Professional Conduct.2 Desde el punto de vista del profesional informático.
1. Contribuiré al bienestar de la sociedad y de la humanidad.
2. Evitaré daño a otros.
3. Seré honesto/a y confiable.
4. Seré justo/a y actuaré para no discriminar.
5. Respetaré los derechos de propiedad, incluyendo las
patentes y derechos de autor.
6. Reconoceré adecuadamente la propiedad intelectual.
7. Respetaré la intimidad de otros.
8. Respetaré la confidencialidad.
Revisa algunos códigos de ética propuestos:
2
Fundación Global Democracia y Desarrollo (2008) Código de
ética para la sociedad de la información. Primera conferencia
regional, latinoamericana y del Caribe sobre infoética en el
ciberespacio.
Santo
Domingo.
Recuperado
de
http://www.redciberetica.org/documentos?func=startdown&id
=%201
Shea, Virginia. Las 10 reglas básicas de la “Netiquette”
Recuperado de
http://www.eduteka.org/Netiqueta.php3
ACM. http://www.acm.org
49
50. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Será importante que estas reflexiones que se plantean a nivel mundial, también se
puedan desarrollar en el ámbito de las organizaciones educativas a fin de
garantizar una adecuada formación ética de los estudiantes. Esto implica que
como organización educativa, sus miembros reflexione, discutan y acuerden
cuáles serían las normas éticas que orientarían su accionar en el uso ético de las
TIC.
¿Existe en tu centro laborar algún lineamiento,
norma o reglamento que oriente el accionar de la
comunidad educativa? ¿Consideras que es
importante contar con este instrumento? ¿Cómo lo
construirías para garantizar que sea conocido y
adoptado por todos sus miembros?
Revisa esta página web que además de plantearte un
código de ética en el uso de Internet, brinda pautas para
la construcción del mismo.
Red PaPaz (2009) Tus 10 comportamientos
digitales. Bogotá.
http://www.tus10comportamientosdigitales.com/
Es importante que después de haber elaborado un código ético en tu organización
educativa, puedan proponer algunos mecanismos para su difusión. Además, de
presentarlas en alguna reunión, es importante que se trabajen de manera
permanente y de manera articulada por todos los miembros de la comunidad
educativa. Se incluyan por ejemplo, en el diálogo que la organización establezca
con los padres de familia. Así mismo, será importante que el código de ética sea
“traducido” en frases que faciliten su recuerdo.
A continuación te presentamos algunos de estos ejemplos:
Dirigido a estudiantes:
Centro Internacional de Tecnologías Avanzadas. Navegación
segura en la red. Salamanca.
http://issuu.com/citafgsr/docs/navegacion_segura
Dirigido a los padres de familia:
Centro Internacional de Tecnologías Avanzadas. Protección
del ordenador en el hogar. Salamanca.
http://issuu.com/citafgsr/docs/proteccion_ordenador
50
51. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
2.2 Organismos internacionales de regulación en el uso de Internet
A continuación se presenta una breve reseña de los organismos internacionales
que contribuyen a la regulación en el uso de Internet.
a) Organización Mundial de la Propiedad Intelectual (OMPI)
Recuperada de:
http://www.wipo.int/portal/index.html.es
En su página Web institucional3 se define como un
“organismo del sistema de organizaciones de las
Naciones Unidas dedicado al uso de la propiedad
intelectual (patentes, derecho de autor, marcas,
diseños (dibujos y modelos), etc.) como medio de
estimular la innovación y la creatividad”.
Fue creada en 1967 y tiene actualmente 185
Estados miembros, siendo el Perú uno de ellos. Su sede está en Ginebra - Suiza.
Así mismo, unas 250 Organizaciones No Gubernamentales que trabajan en el
tema asisten a las asambleas en calidad de observadores.
Siguiendo con la información que brinda su página institucional, la OMPI tiene
cuatro campos de trabajo:
Servicios
Administra sistemas que facilitan la
obtención de protección a nivel
internacional para las patentes, las
marcas,
los
diseños
y
las
denominaciones de origen, y la
solución de controversias de Propiedad
Intelectual.
Infraestructura
Crean
redes de colaboración
y
plataformas técnicas, entre las que
figuran bases de datos y herramientas
gratuitas para el intercambio de
información,
a
fin
de
compartir
conocimientos
y
simplificar
las
transacciones de Propiedad Intelectual.
Desarrollo
Fortalece las capacidades de uso de la
Propiedad Intelectual en favor del
desarrollo económico. Comprende: la
propiedad industrial y el derecho de
autor.
Legislación
Contribuye a desarrollar el marco jurídico
internacional de la Propiedad Intelectual
en concordancia con las necesidades de
la sociedad a medida que ellas
evolucionan.
La OMPI además cuenta con dos tratados:
3
OMPI. Recuperado de http://www.wipo.int/portal/index.html.es
51
52. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Sobre el derecho de
autor (WCT)
El Tratado sobre
Interpretación o
Ejecución y
Fonogramas (WPPT)
entraron en
vigencia en
el 2002
Ambos tratados son
conocidos como los
“tratados de Internet”
porque abordan las
nuevas
tecnologías
digitales y actualizan los
tratados anteriores.
En el Perú, coordina con la Presidencia del Consejo de Ministros (PCM) y el
Instituto Nacional de Defensa de la Competencia y de la Protección de la
Propiedad Intelectual (INDECOPI).
Si quieres conocer un poco más acerca de los servicios que brinda
la OMPI revisa:
OMPI. Servicios. http://www.wipo.int/services/es/
Si quieres acercarte a los tratados de la OMPI sobre Internet revisa:
Derecho de autor y derechos conexos.
http://www.wipo.int/copyright/es/
Folleto informativo:
http://www.wipo.int/export/sites/www/freepublications/es/eco
mmerce/450/wipo_pub_l450in.pdf
Para conocer la labor de INDECOPI, revisa su página institucional:
http://www.indecopi.gob.pe/0/home.aspx?PFL=0&ARE=0
52
53. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
b) Internet Corporation for Assigned Names and Numbers (ICANN)
Tiene como objetivo4 “asegurar que Internet sea segura, estable e
interoperativa. Esta asociación promueve la competencia y desarrolla políticas
de identificadores únicos de Internet. ICANN no controla el contenido de
Internet”. Se encarga de la administración de nombres de dominio (direcciones
IP) con la finalidad de que estos sean únicos y ninguna persona u organización
haga uso de él.
Si quiere conocer un poco más acerca de
ICCAN revisa su página web:
http://www.icann.org/es/about/participate/what
c) Internet Society (ISOC)
Como lo expresa en su página web5, “es la principal fuente independiente
mundial de confianza sobre políticas, estándares tecnológicos y desarrollo
futuro de Internet”.
Tiene como objetivos:
4
5
ICANN. http://www.icann.org/es/about/participate/what
ISOC. http://www.internetsociety.org/es
53
54. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
d) Otras organizaciones
Comisión de las Naciones Unidas para el Derecho
Mercantil Internacional (CNUDMI) http://www.uncitral.org
Internet
Assigned
http://www.iana.org
Numbers
Authority
(IANA)
LatinoamerICANN http://latinoamericann.org/
2.3 Derechos de autor y Propiedad intelectual
La propiedad intelectual representa a las creaciones de la mente en todas
sus variantes y se divide en dos categorías:
La propiedad industrial
El derecho de autor
(Invenciones,
patentes,
marcas,
dibujos y modelos industriales.)
(Obras
literarias,
informáticas, otros.)
artísticas,
¿Qué es el derecho de autor?
El derecho de autor es un término jurídico que describe los derechos concedidos a
los creadores de obras de diversa índole. En el ámbito informático estas obras
pueden ser los programas informáticos, bases de datos, materiales audiovisuales
y otras variantes de recursos digitales.
Los autores o creadores originales de obras protegidas por el derecho de autor y
sus herederos gozan de ciertos derechos básicos. Poseen el derecho exclusivo de
utilizar o autorizar a terceros a que utilicen la obra en condiciones convenidas de
común acuerdo. El autor o creador de una obra puede prohibir o autorizar:
54
55. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
La reproducción bajo distintas formas.
La interpretación o ejecución pública.
La grabación en dispositivos.
La transmisión por diversos medios.
La traducción a otros idiomas, o su adaptación.
A continuación encontrará una serie de lecturas que nos ayudarán a comprender
conceptos sobre licencias y tipos de licencias.
Revisar el Capítulo 3: Copyright, copyleft y patentes.
(Páginas del 17 al 33) del libro Software libre vs. software
propietario.
http://www.notariado.org/liferay/c/document_library/get_file?
folderId=12092&name=DLFE-11199.pdf
Las licencias Creative Commons. ¿Una alternativa al
copyright?
http://www.uoc.edu/uocpapers/2/dt/esp/xalabarder.pdf
El copyright en la era digital. Nuevas estrategias de control
y explotación de productos audiovisuales en Internet.
http://ddd.uab.es/pub/analisi/02112175n32p25.pdf
Copyleft y creative commons: una alternativa para la libre
difusión del conocimiento.
http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp?i
Cve=179421210007
Creative Commons: Puede así mismo revisar la página web
oficial: http://creativecommons.org/licenses/
Puede además, elegir una licencia si desea ofrecer alguna
obra de su autoría bajo ciertas condiciones.
http://creativecommons.org/choose/
55
56. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
2.4 El Plagio, ¿un problema de ética?
La PUCP, en su documento Por qué y cómo combatir el Plagio, sostiene que “se
plagia cuando una idea textual de otro es reproducida por nosotros sin ponerla
entre comillas o sin hacer la referencia al lugar o circunstancia de la cual fue
extraída. Son, por tanto, dos requisitos cuando se trata de una idea textualmente
utilizada. Basta que falte uno de ellos (las comillas o la referencia) para que se
produzca el plagio.”
En el mismo documento se plantean las razones por las que el plagio es
condenado en el ámbito universitario:
El plagio es equivalente
negarnos a pensar.
a
Si cuando plagio no pienso,
retraso el progreso.
Implica pensar para hacer progresar
el conocimiento y al plagiar, niego
esa responsabilidad que tiene el
trabajo académico.
Al tomar las ideas de otros y
hacerlas pasar por nuestras, se
las estamos robando.
Cómo concebimos el plagio? ¿Consideramos que el
plagio es una falta de ética? ¿Cuántas veces también
hemos realizado esta acción en diferentes
circunstancias de nuestra vida? ¿Permitimos en
nuestro rol docente, que exista el plagio en nuestra
organización educativa? ¿Qué hacemos frente a esta
situación con nuestros colegas, con nuestros
estudiantes?
56
57. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Si quiere conocer más acerca del plagio y algunos
planteamientos de discusión, revisa:
PUCP. Por qué y cómo debemos combatir el plagio
http://www.pucp.edu.pe/documento/pucp/plagio.pdf
Díaz Becerra, Oscar. Un verdadero desafío
académico: el plagio es injustificable. Blog.
http://blog.pucp.edu.pe/item/95517/un-verdaderodesafio-academico-el-plagio-es-injustificable
Dirección de Informática Académica. Software
antiplagio.PUCP.
http://dia.pucp.edu.pe/portal/component/option,com_
remository/Itemid,85/func,select/id,78/
57
58. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Bibliografía
Andress, J. 2011. The Basics of Information Security. Understanding the
Fundamentals of InfoSec in Theory and Practice. New York. Syngress Press –
Elsevier.
Arrieta, J. (1998). Auditoría pública: revista de los Órganos Autónomos de Control
Externo (Nº. 15, 1998, págs. 59-64). Medidas para aumentar la seguridad
informática
en
el
centro
de
trabajo.
Recuperado
de
2012
http://dialnet.unirioja.es/servlet/articulo?codigo=1274688(199810_15_59.pdf)
Duart Josep M. 2003. Educar en valores en entornos virtuales de aprendizaje:
realidades y mitos. UOC. Recuperado de http://www.uoc.edu/dt/20173/index.html
Flores, C. (2009). Reflexiones y acciones para asegurar la información en nuestras
organizaciones sociales.
Ciudad de México, 2a. Ed. Recuperado de
http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf
Gregory, P., 2010. CISSP Guide to Security Essentials. Boston, Course
Technology.
ICCAN. http://www.icann.org/es/about/participate/what
Marrero, Y. (2003). ACIMED (v.11 n.6), La Criptografía como elemento de la
seguridad
informática.
Ciudad
de
La
Habana.
Recuperado
de
http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S102494352003000600012&lng=es&nrm=iso&tlng=es
MONTUSCHI, Luisa. Para qué sirven los códigos de ética. Revista Análisis No. 47
Año 2007. UCEMA. Argentina. Recuperado de
http://www.ambito.com/economia/informes_economicos/archivos/UCEMA%20anali
sis47.pdf
MONTUSCHI, Luisa. Aspectos éticos de las tecnologías de la información y de la
comunicación: la ética de la computación, internet y La world wide web. UCEMA,
Argentina. Recuperado de http://www.ucema.edu.ar/u/lm/ETICA_Y_NEGOCIOS__ARTICULOS/Aspectos_eticos_TICs_-_Computer_ethics_Internet_and_the_Web.pdf
OMPI. Servicios. http://www.wipo.int/services/es/
PUCP. Por qué y cómo debemos combatir el plagio
http://www.pucp.edu.pe/documento/pucp/plagio.pdf
58
59. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
Red PaPaz, 2009. Tus 10 comportamientos digitales. Bogotá. Recuperado de
http://www.tus10comportamientosdigitales.com/
Rodriguez Luño, Angel, 2006. Aspectos éticos en el uso de Internet. Recuperado
de http://www.eticaepolitica.net/eticafondamentale/arl_uso_internet%5Bes%5D.htm
Shea, Virginia. Las 10 reglas básicas de la “Netiqueta”. Recuperado de
http://www.eduteka.org/Netiqueta.php3
Stamp, M., 2006. Information Security. Principle and Practice. New Jersey, John
Wiley & Sons, Inc.
Vacca, J., 2009. Computer and Information security Handbook. Massachusetts,
Elsevier - Morgan Kaufmann Publishers.
Viega, J. 2009. The Myths of Security. What the computer security industry doesn't
want you to know. Cambridge, O'REILLY Media.
Vitaliev, D., 2009. Seguridad y privacidad digital para los defensores de los
derechos humanos. Apéndice C: ¿Cómo de larga debería ser mi contraseña?
(Pág. 133). Dublín. FRONT LINE. The International Foundation for the Protection
of Human Rights Defenders.
Voutssas, J. (2010). Investigación Bibliotecológica (vol24-50), Preservación
documental digital y seguridad informática. México, D.F., UNAM. CENTRO
UNIVERSITARIO DE INVESTIGACIONES BIBLIOTECOLÓGICAS (CUIB).
Recuperado de
LECTURAS:
TOMADO DE: Marrero, Y. (2003). ACIMED (v.11 n.6), La Criptografía como
elemento de la seguridad informática. Ciudad de La Habana. En:
http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S102494352003000600012&lng=es&nrm=iso&tlng=es Consultado el 2 de Mayo de
2012. (En línea)
TOMADO DE: Arrieta, J. (1998). Auditoría pública: revista de los Órganos
Autónomos de Control Externo (Nº. 15, 1998, págs. 59-64). Medidas para
aumentar la seguridad informática en el centro de trabajo. En:
http://dialnet.unirioja.es/servlet/articulo?codigo=1274688 Consultado el 2 de Mayo
de 2012. (199810_15_59.pdf)
59
60. Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la
Comunicación
TOMADO DE: Voutssas, J. (2010). Investigación Bibliotecológica (vol24-50),
Preservación documental digital y seguridad informática. México, D.F., UNAM.
CENTRO UNIVERSITARIO DE INVESTIGACIONES BIBLIOTECOLÓGICAS
(CUIB).
En:
http://www.ejournal.unam.mx/ibi/vol24-50/IBI002405008.pdf
Consultado el 2 de Mayo de 2012. (IBI002405008.pdf)
TOMADO DE: Flores, C. (2009). Reflexiones y acciones para asegurar la
información en nuestras organizaciones sociales. Ciudad de México, 2a. Ed.
En: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf
Consultado el 2 de Mayo de 2012. (pongamonos_las_pilas_2aed.pdf)
TOMADO DE: Vitaliev, D. (2009). Seguridad y privacidad digital para los
defensores de los derechos humanos. Apéndice C: ¿Cómo de larga debería ser mi
contraseña? (Pág. 133). Dublín. FRONT LINE. The International Foundation for
the Protection of Human Rights Defenders.
60