SlideShare una empresa de Scribd logo

Navegacion segura

Y
yoheniapioncardenas

El documento habla sobre navegar de forma segura por Internet. Explica los riesgos como malware, fraude y robo de información. También cubre buenas prácticas como usar HTTPS en lugar de HTTP, desconfiar de autocompletar formularios y bloquear redirecciones de JavaScript. Además, recomienda configurar las cookies de forma privada y ser consciente de la gran cantidad de datos que recopila Google sobre los usuarios.

Educación
1 de 42
Descargar para leer sin conexión
Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas Ricardo J. Rodríguez rjrodriguez@unizar.es All wrongs reversed ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A 7 de febrero, 2018 Jornadas de Internet Segura Facultad de CCSS y del Trabajo, Universidad de Zaragoza
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A $whoami Miembro de CLS (2001) Ph.D. en Informática (2013) Profesor Ayudante Doctor en Centro Universitario de la Defensa, Academia General Militar (Zaragoza) Líneas de investigación Security-(performance/safety-)driven engineering Análisis de malware Seguridad RFID/NFC No procesado ¨ Ponente/trainee habitual en conferencias del sector de seguridad informática Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 2 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Internet, la red de redes Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 3 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 4 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Internet, la red de riesgos Seguridad Cibercrimen: malware, fraudes de pago, robo de información, etc. Ciberterrorismo Otros: coerción sexual, extorsión de menores, acoso, etc. Privacidad Redes sociales (sé lo que hiciste el último sábado. . . ) Datos personales Profiling (usando nuestra traza de actividad en Internet) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 5 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Navegación segura Conectividad segura Buenas prácticas Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 6 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Navegación segura Conectividad segura Buenas prácticas Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 6 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 7 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 8 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS Hyper Text Transfer Protocol vs. Hyper Text Transfer Protocol Secure Conexión cifrada entre el servidor y el navegador El “candadito” de la barra de direcciones Certificados SSL/TLS. Aspectos a considerar: Cadena de confianza (verificación de autenticidad) Emitidos por una autoridad reconocida Período de validez Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 9 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS Muchos servicios HTTP redireccionan automáticamente al mismo servicio, pero sobre HTTPS Ejemplos: Google, Wikipedia, Twitter, . . . Debería de ser obligatorio Cambio de política de los navegadores en el último año: reforzamiento positivo vs. reforzamiento negativo Aviso cuando la conexión no es segura En algunos casos, incluso, el navegador no permite la conexión Si es posible elegir, visitad siempre la web con el “candadito” Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 10 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS – demos 1 HTTP vs. HTTPS: ejemplo práctico 2 Chequeo de propiedades de certificados en diferentes webs y navegadores Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 11 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS ¿Por qué es importante (algunas veces) verificar las propiedades? HTTPS por sí mismo no previene de posibles fugas de información: ataques man-in-the-middle con certificados comprometidos Fuente: http://resources.infosecinstitute.com/cybercrime-exploits-digital-certificates/ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 12 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Autocompletación de formularios Diferente web, quizás primera visita: ¿por qué funciona el autocompletar? Nombres de los campos del formulario idénticos (e.g., “name”, “email”, etc.) Problema: algunos campos del formulario pueden ser ocultos y solicitar más información al navegador. ¡El autocompletar la proporciona encantado! Ejemplo: https://i.kinja-img.com/gawker-media/image/upload/tvg8bbgqdrj9gkuh97g0.gif Desconfiad de los formularios autocompletados Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 13 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Redirecciones JavaScript JavaScript (JS): lenguaje de programación web Ejecución en el lado cliente (scripts). Es decir, tu navegador Fuente de múltiples vulnerabilidades y problemas no deseados Muy usado en el cibercrimen: redirección a páginas maliciosas que identifican navegador y sistema operativo, y si pueden, explotan alguna vulnerabilidades Redirección a páginas de ads (publicidad) Habitual en páginas web que sirven contenidos con PI de manera gratuita Se puede evitar instalando: Bloqueadores de scripts JS (uBlock Origin, AdBlock, etc.) Cambiadores de User-Agent del navegador Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 14 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Redirecciones JavaScript – demos 1 Detección de navegador: http://vagabundia.blogspot.com/2010/02/detectar-el-navegador-de-los-visitantes.html; http://ejemplocodigo.com/ejemplo-php-detectar-navegador-de-los-visitantes/ 2 Redirecciones JS (en función del navegador): http://1337x.to/ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 15 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies Pequeño “rastro” en el dispositivo de la actividad en Internet ¿Privacidad? Servicios web obligados (EU Cookie Law) a avisar que guardan una cookie (el almacenamiento sucede en el lado del cliente) Pueden ser de autenticación: nuestra sesión ya está iniciada la siguiente vez que accedemos al servicio web Problema: robo de cookies Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 16 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies – navegación en modo incógnito Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 17 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies – navegación en modo incógnito Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 17 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies – navegación en modo incógnito Permite no almacenar el historial de navegación Historia y cookies desaparecen al cerrar la ventana de incógnito OJO: Diferentes ventanas de incógnito en la misma sesión de navegación comparten todo Problemas: No se guarda lo que tienes abierto entre diferentes dispositivos Si se cierra el programa con error, se pierden las páginas abiertas Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 17 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura ¿Qué sabe Google de ti? Mercado de Android en dispositivos móviles, cerca del 80 % La mayoría de los usuarios usa una cuenta asociada con Google Filosofía del “Bueno, bonito y barato” If you’re not paying for it, you become the product Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 18 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura ¿Qué sabe Google de ti? Mercado de Android en dispositivos móviles, cerca del 80 % La mayoría de los usuarios usa una cuenta asociada con Google Filosofía del “Bueno, bonito y barato” If you’re not paying for it, you become the product https://myactivity.google.com Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 18 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 19 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Redes WiFi públicas: riesgos Robo de datos Captura de paquetes de datos WiFi funciona por ondas. Cualquiera en el medio puede “verlas” y recopilar los datos Posterior análisis y filtrado. Caso famoso: TJX Companies, 2008 (Albert Gonzalez) Puntos de acceso WiFi falsos Pregunta al local si tienen WiFi, antes de conectarte a “su” WiFi Ataques man-in-the-middle Conexiones sin cifrado serán visibles si interceptan tu comunicación Robo de cookies de autenticación no cifradas (sidejacking) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 20 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Redes WiFi públicas: riesgos Infección de dispositivos Explotación de vulnerabilidades en el cliente conectado Seguimiento de actividad Identificación del tráfico del usuario y captura selectiva Creación de un perfil. ¿Primera fase de un ataque más avanzado? Suplantación de identidad Conexiones débiles (no cifradas) a redes sociales, correo, banco, etc. Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 21 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Redes WiFi públicas: algunos consejos. . . Desconfía/evita redes sin clave (o con cifrado débil como WEP) Desconecta la WiFi del dispositivo Ojo con la integración entre dispositivos (e.g., MacOS y iOS) Evita acceder a páginas sin cifrado Verifica el certificado! Evita realizar servicios/acciones con riesgo potencial Pagos, redes sociales Descarga de aplicaciones o actualizaciones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 22 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Red WiFi en casa: algunos consejos. . . Usar WPA2 como cifrado (como mínimo por ahora) Desactivar el Wi-Fi (un)Protected Setup (WPS) del router Cambiar la contraseña de acceso al router Seleccionar una contraseña fuerte Evita palabras de diccionario Usa símbolos, números y caracteres adicionales Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 23 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Red WiFi en casa: algunos consejos. . . Usar WPA2 como cifrado (como mínimo por ahora) Desactivar el Wi-Fi (un)Protected Setup (WPS) del router Cambiar la contraseña de acceso al router Seleccionar una contraseña fuerte Evita palabras de diccionario Usa símbolos, números y caracteres adicionales Más avanzados: Direcciones IP fijas (desactivar servidor DHCP) Filtrado de dirección MAC Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 23 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 24 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Contraseñas seguras PASSWORD −→ PASSPHRASE Longitud considerable Evita palabras de diccionario y fechas (e.g., “ricardo1985”) Símbolos Números Caracteres adicionales (e.g., ñ, Á, ö, . . . ) Ojo con las preguntas de recuperación: Respuestas no esperadas (o esperadas pero escritas de forma diferente) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 25 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Contraseñas seguras Mejor todavía: “c0rr3ct_hOrs3_B4ttery_stAplE” Cuantas más elementos tenga el alfabeto, más tiempo de cómputo (más difícil) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 26 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Contraseñas seguras – ¡ojo! Algunas páginas web guardan las contraseñas EN CLARO: http://plaintextoffenders.com/ Evítalas Usa contraseñas generadas aleatoriamente https://www.random.org/passwords/, https://strongpasswordgenerator.com/ ¿Gestor de contraseñas?: KeePass, KeePassXC (en local) Usa una contraseña segura (léase fuerte) para acceder a él En la nube, e.g., Google (http://passwords.google.com, siempre pide login) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 27 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Doble factor de autenticación Factores de autenticación: Algo que el usuario sabe (password, pin, palabra de paso, etc) Algo que el usuario tiene (USB, teléfono, tarjeta, etc.) Algo que el usuario es (huella dactilar, iris, reconocimiento facial, etc.) Medida de seguridad adicional Cuando se observa una conexión extraña (e.g., de un dispositivo nuevo o desde una ubicación no habitual), se solicita un código para acceder al servicio Normalmente, envío de código al correo electrónico o al móvil (SMS) – ¿privacidad? Implementado en banca, con transferencias de cuantía elevada Disponible en muchos servicios de Internet (Google, Twitter, Facebook) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 28 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Correos de spam/phising Adjuntos con “regalo” Redirección a páginas que explotan vulnerabilidades No ejecutes adjuntos de remitentes desconocidos Ojo con los ficheros ejecutables, PDF, ZIP, o DOC(X) No pinches en enlaces extraños Lo mismo navegando: si iba a descargar un PDF, ¿por qué ahora se baja un EXE? El servicio del SICUZ (u otros) nunca te va a solicitar tu contraseña Y menos todavía, en un formulario de Google Docs ¨ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 29 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Patrones de acceso a dispositivos Evita acceso físico no autorizado al dispositivo Pérdida del dispositivo (valor económico) Pérdida de la información sensible y personal (mayor valor económico) Datos de contactos, fotos, conversaciones de chats, etc. Las apps de tu móvil guardan una “autorización”, lo que evita que tengas que poner tu contraseña cada vez que accedes a la app Si sólo proteges la tarjeta SIM (con PIN), todo el contenido del teléfono será accesible cuando se quite la SIM Bloqueo con código de acceso robusto Código numérico (6 a 8 dígitos recomendado) o huella dactilar Cifrar contenido de la tarjeta SD (o información sensible del disco duro) Si no, tan fácil como sacar la tarjeta SD e insertarla en un lector. . . Activar opciones de localización y bloqueo remotos (si se puede) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 30 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Redes sociales Fotos de carácter privado/comprometido Que sólo la compartas con tus amigos no quiere decir que sólo tengan acceso tus amigos. . . https://twitter.com/needadebitcard Informar sobre tus movimientos (e.g., cuando te vas de vacaciones) Das pistas de que probablemente tu casa sea un blanco fácil Comentarios y elementos compartidos sirven para hacer un profiling del usuario Publicidad selectiva Primera fase de un ataque más sofisticado Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 31 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Consejos más generales Actualiza tu SO y aplicaciones Usa software legal. ¿Conoces todo lo que te proporciona el SICUZ? Descarga de software de Internet Verifica que la descarga la estás haciendo de la página oficial del producto Lo dicho, ojo con el software pirata ¨ Resultados de las búsquedas Intenta observar la dirección destino Sospecha de repeticiones de texto en la descripción, mal transcripciones, etc. Usa productos de seguridad (anti-virus) Alternativamente, puedes usar SSOO menos atacados (e.g., Linux) – no es tan difícil ¨ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 32 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 33 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 34 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conclusiones Desconfiad. Pensad. Seguid navegando (o no). https://www.youtube.com/watch?v=h8-27iLvyS4 Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 35 / 37
ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conclusiones That’s all, folks! Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 36 / 37
Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas Ricardo J. Rodríguez rjrodriguez@unizar.es All wrongs reversed ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A 7 de febrero, 2018 Jornadas de Internet Segura Facultad de CCSS y del Trabajo, Universidad de Zaragoza

Recomendados

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Cristián Rojas, MSc., CSSLP
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
Cristián Rojas, MSc., CSSLP
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
Ramiro Cid
 
Seguridad de la Información
Seguridad de la Información Seguridad de la Información
Seguridad de la Información
Ministerio TIC Colombia
 
Privacidad en Internet
Privacidad en InternetPrivacidad en Internet
Privacidad en Internet
Sarah Trägner
 
Tema h
Tema hTema h
Tema h
AnibalSaucedo
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdf
JuanPabloYabetaMaldo
 
Seguridad aplicaciones web
Seguridad aplicaciones webSeguridad aplicaciones web
Seguridad aplicaciones web
Fernando Tricas García
 

Recomendados

Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Cristián Rojas, MSc., CSSLP
 
Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?Developers: Ignorance is... bliss?
Developers: Ignorance is... bliss?
Cristián Rojas, MSc., CSSLP
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
Ramiro Cid
 
Seguridad de la Información
Seguridad de la Información Seguridad de la Información
Seguridad de la Información
Ministerio TIC Colombia
 
Privacidad en Internet
Privacidad en InternetPrivacidad en Internet
Privacidad en Internet
Sarah Trägner
 
Tema h
Tema hTema h
Tema h
AnibalSaucedo
 
Fundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdfFundamentos de la Seguridad Informática.pdf
Fundamentos de la Seguridad Informática.pdf
JuanPabloYabetaMaldo
 
Seguridad aplicaciones web
Seguridad aplicaciones webSeguridad aplicaciones web
Seguridad aplicaciones web
Fernando Tricas García
 
Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridad
Fernando Tricas García
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
WilliamBeltran007
 
Unidad III Tema 3
Unidad III Tema 3Unidad III Tema 3
Unidad III Tema 3
Universidad Nacional Abierta. Centro Local Zulia
 
Campech Susana
Campech SusanaCampech Susana
Campech Susana
SusanaCampechRuiz
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidad
Gabriel Marcos
 
Internet seguro
Internet seguroInternet seguro
Internet seguro
angelinesurd
 
Web quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueWeb quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duque
Once Redes
 
Riesgos en la red
Riesgos en la redRiesgos en la red
Riesgos en la red
JhonGonzalez75
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
rayudi
 
BYOD: ventajas, desventajas y consideraciones de seguridad.
BYOD: ventajas, desventajas y consideraciones de seguridad.BYOD: ventajas, desventajas y consideraciones de seguridad.
BYOD: ventajas, desventajas y consideraciones de seguridad.
Maximiliano Alonzo
 
AI3. navegar por internet de forma segura.
AI3. navegar por internet de forma segura.AI3. navegar por internet de forma segura.
AI3. navegar por internet de forma segura.
MaryMadrid2
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
David Thomas
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
El Arcón de Clio
 
acividad integradora eduardo lira.pptx
acividad integradora eduardo lira.pptxacividad integradora eduardo lira.pptx
acividad integradora eduardo lira.pptx
CristinaCanaGeronimo
 
Internet Seguro
Internet SeguroInternet Seguro
Internet Seguro
angelinesurd
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
lmmarin2
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
flavioemmanuel160599
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
fabibmx7
 
Portafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPNPortafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPN
jmorales40
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
Martín Ramírez
 

Más contenido relacionado

Similar a Navegacion segura

Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidad
Gabriel Marcos
 
Web quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueWeb quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duque
Once Redes
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
rayudi
 
BYOD: ventajas, desventajas y consideraciones de seguridad.
BYOD: ventajas, desventajas y consideraciones de seguridad.BYOD: ventajas, desventajas y consideraciones de seguridad.
BYOD: ventajas, desventajas y consideraciones de seguridad.
Maximiliano Alonzo
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
fabibmx7
 

Similar a Navegacion segura (20)

Oportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridadOportunidades y consejos de ciberseguridad
Oportunidades y consejos de ciberseguridad
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
Unidad III Tema 3
Unidad III Tema 3Unidad III Tema 3
Unidad III Tema 3
 
Campech Susana
Campech SusanaCampech Susana
Campech Susana
 
Segurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidadSegurinfo 2010 - Defensa en profundidad
Segurinfo 2010 - Defensa en profundidad
 
Internet seguro
Internet seguroInternet seguro
Internet seguro
 
Web quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duqueWeb quest seguridad informática tatiana duque
Web quest seguridad informática tatiana duque
 
Riesgos en la red
Riesgos en la redRiesgos en la red
Riesgos en la red
 
Presentacion sobre seguridad informatica
Presentacion sobre seguridad informaticaPresentacion sobre seguridad informatica
Presentacion sobre seguridad informatica
 
BYOD: ventajas, desventajas y consideraciones de seguridad.
BYOD: ventajas, desventajas y consideraciones de seguridad.BYOD: ventajas, desventajas y consideraciones de seguridad.
BYOD: ventajas, desventajas y consideraciones de seguridad.
 
AI3. navegar por internet de forma segura.
AI3. navegar por internet de forma segura.AI3. navegar por internet de forma segura.
AI3. navegar por internet de forma segura.
 
Dns malware iicybersecurity
Dns malware iicybersecurityDns malware iicybersecurity
Dns malware iicybersecurity
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
acividad integradora eduardo lira.pptx
acividad integradora eduardo lira.pptxacividad integradora eduardo lira.pptx
acividad integradora eduardo lira.pptx
 
Internet Seguro
Internet SeguroInternet Seguro
Internet Seguro
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
 
Cibernetica en america latina
Cibernetica en america latinaCibernetica en america latina
Cibernetica en america latina
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 
Seguridad en android.ppt
Seguridad en android.pptSeguridad en android.ppt
Seguridad en android.ppt
 

Último

c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
Martín Ramírez
 
evalaución de reforzamiento de cuarto de secundaria de la competencia lee
evalaución de reforzamiento de cuarto de secundaria de la competencia leeevalaución de reforzamiento de cuarto de secundaria de la competencia lee
evalaución de reforzamiento de cuarto de secundaria de la competencia lee
MaribelGaitanRamosRa
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
sandradianelly
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Demetrio Ccesa Rayme
 

Último (20)

Portafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPNPortafolio de servicios Centro de Educación Continua EPN
Portafolio de servicios Centro de Educación Continua EPN
 
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptxc3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
c3.hu3.p3.p2.Superioridad e inferioridad en la sociedad.pptx
 
Proceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de PamplonaProceso de admisiones en escuelas infantiles de Pamplona
Proceso de admisiones en escuelas infantiles de Pamplona
 
Introducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BIIntroducción a la ciencia de datos con power BI
Introducción a la ciencia de datos con power BI
 
PPT: El fundamento del gobierno de Dios.
PPT: El fundamento del gobierno de Dios.PPT: El fundamento del gobierno de Dios.
PPT: El fundamento del gobierno de Dios.
 
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24CALENDARIZACION DEL MES DE JUNIO - JULIO 24
CALENDARIZACION DEL MES DE JUNIO - JULIO 24
 
Fase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometricoFase 2, Pensamiento variacional y trigonometrico
Fase 2, Pensamiento variacional y trigonometrico
 
Módulo No. 1 Salud mental y escucha activa FINAL 25ABR2024 técnicos.pptx
Módulo No. 1 Salud mental y escucha activa FINAL 25ABR2024 técnicos.pptxMódulo No. 1 Salud mental y escucha activa FINAL 25ABR2024 técnicos.pptx
Módulo No. 1 Salud mental y escucha activa FINAL 25ABR2024 técnicos.pptx
 
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIACONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
CONCLUSIONES-DESCRIPTIVAS NIVEL PRIMARIA
 
Proyecto integrador Vereda Cujacal Centro.pptx
Proyecto integrador Vereda Cujacal Centro.pptxProyecto integrador Vereda Cujacal Centro.pptx
Proyecto integrador Vereda Cujacal Centro.pptx
 
evalaución de reforzamiento de cuarto de secundaria de la competencia lee
evalaución de reforzamiento de cuarto de secundaria de la competencia leeevalaución de reforzamiento de cuarto de secundaria de la competencia lee
evalaución de reforzamiento de cuarto de secundaria de la competencia lee
 
Presentación Revistas y Periódicos Digitales
Presentación Revistas y Periódicos DigitalesPresentación Revistas y Periódicos Digitales
Presentación Revistas y Periódicos Digitales
 
Semana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptxSemana #10-PM3 del 27 al 31 de mayo.pptx
Semana #10-PM3 del 27 al 31 de mayo.pptx
 
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdfUn libro sin recetas, para la maestra y el maestro Fase 3.pdf
Un libro sin recetas, para la maestra y el maestro Fase 3.pdf
 
Fase 3; Estudio de la Geometría Analítica
Fase 3; Estudio de la Geometría AnalíticaFase 3; Estudio de la Geometría Analítica
Fase 3; Estudio de la Geometría Analítica
 
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdfAsistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
Asistencia Tecnica Cartilla Pedagogica DUA Ccesa007.pdf
 
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁIMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
IMÁGENES SUBLIMINALES EN LAS PUBLICACIONES DE LOS TESTIGOS DE JEHOVÁ
 
El fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amorEl fundamento del gobierno de Dios. El amor
El fundamento del gobierno de Dios. El amor
 
Presentación Propuesta de Proyecto Social Colorido y Juvenil Multicolor y Neg...
Presentación Propuesta de Proyecto Social Colorido y Juvenil Multicolor y Neg...Presentación Propuesta de Proyecto Social Colorido y Juvenil Multicolor y Neg...
Presentación Propuesta de Proyecto Social Colorido y Juvenil Multicolor y Neg...
 
Proyecto Integrador 2024. Archiduque entrevistas
Proyecto Integrador 2024. Archiduque entrevistasProyecto Integrador 2024. Archiduque entrevistas
Proyecto Integrador 2024. Archiduque entrevistas
 

Navegacion segura

  • 1. Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas Ricardo J. Rodríguez rjrodriguez@unizar.es All wrongs reversed ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A 7 de febrero, 2018 Jornadas de Internet Segura Facultad de CCSS y del Trabajo, Universidad de Zaragoza
  • 2. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A $whoami Miembro de CLS (2001) Ph.D. en Informática (2013) Profesor Ayudante Doctor en Centro Universitario de la Defensa, Academia General Militar (Zaragoza) Líneas de investigación Security-(performance/safety-)driven engineering Análisis de malware Seguridad RFID/NFC No procesado ¨ Ponente/trainee habitual en conferencias del sector de seguridad informática Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 2 / 37
  • 3. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Internet, la red de redes Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 3 / 37
  • 4. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 4 / 37
  • 5. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Internet, la red de riesgos Seguridad Cibercrimen: malware, fraudes de pago, robo de información, etc. Ciberterrorismo Otros: coerción sexual, extorsión de menores, acoso, etc. Privacidad Redes sociales (sé lo que hiciste el último sábado. . . ) Datos personales Profiling (usando nuestra traza de actividad en Internet) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 5 / 37
  • 6. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Navegación segura Conectividad segura Buenas prácticas Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 6 / 37
  • 7. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Introducción Navegación segura Conectividad segura Buenas prácticas Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 6 / 37
  • 8. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 7 / 37
  • 9. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 8 / 37
  • 10. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS Hyper Text Transfer Protocol vs. Hyper Text Transfer Protocol Secure Conexión cifrada entre el servidor y el navegador El “candadito” de la barra de direcciones Certificados SSL/TLS. Aspectos a considerar: Cadena de confianza (verificación de autenticidad) Emitidos por una autoridad reconocida Período de validez Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 9 / 37
  • 11. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS Muchos servicios HTTP redireccionan automáticamente al mismo servicio, pero sobre HTTPS Ejemplos: Google, Wikipedia, Twitter, . . . Debería de ser obligatorio Cambio de política de los navegadores en el último año: reforzamiento positivo vs. reforzamiento negativo Aviso cuando la conexión no es segura En algunos casos, incluso, el navegador no permite la conexión Si es posible elegir, visitad siempre la web con el “candadito” Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 10 / 37
  • 12. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS – demos 1 HTTP vs. HTTPS: ejemplo práctico 2 Chequeo de propiedades de certificados en diferentes webs y navegadores Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 11 / 37
  • 13. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura HTTP vs. HTTPS ¿Por qué es importante (algunas veces) verificar las propiedades? HTTPS por sí mismo no previene de posibles fugas de información: ataques man-in-the-middle con certificados comprometidos Fuente: http://resources.infosecinstitute.com/cybercrime-exploits-digital-certificates/ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 12 / 37
  • 14. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Autocompletación de formularios Diferente web, quizás primera visita: ¿por qué funciona el autocompletar? Nombres de los campos del formulario idénticos (e.g., “name”, “email”, etc.) Problema: algunos campos del formulario pueden ser ocultos y solicitar más información al navegador. ¡El autocompletar la proporciona encantado! Ejemplo: https://i.kinja-img.com/gawker-media/image/upload/tvg8bbgqdrj9gkuh97g0.gif Desconfiad de los formularios autocompletados Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 13 / 37
  • 15. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Redirecciones JavaScript JavaScript (JS): lenguaje de programación web Ejecución en el lado cliente (scripts). Es decir, tu navegador Fuente de múltiples vulnerabilidades y problemas no deseados Muy usado en el cibercrimen: redirección a páginas maliciosas que identifican navegador y sistema operativo, y si pueden, explotan alguna vulnerabilidades Redirección a páginas de ads (publicidad) Habitual en páginas web que sirven contenidos con PI de manera gratuita Se puede evitar instalando: Bloqueadores de scripts JS (uBlock Origin, AdBlock, etc.) Cambiadores de User-Agent del navegador Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 14 / 37
  • 16. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Redirecciones JavaScript – demos 1 Detección de navegador: http://vagabundia.blogspot.com/2010/02/detectar-el-navegador-de-los-visitantes.html; http://ejemplocodigo.com/ejemplo-php-detectar-navegador-de-los-visitantes/ 2 Redirecciones JS (en función del navegador): http://1337x.to/ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 15 / 37
  • 17. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies Pequeño “rastro” en el dispositivo de la actividad en Internet ¿Privacidad? Servicios web obligados (EU Cookie Law) a avisar que guardan una cookie (el almacenamiento sucede en el lado del cliente) Pueden ser de autenticación: nuestra sesión ya está iniciada la siguiente vez que accedemos al servicio web Problema: robo de cookies Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 16 / 37
  • 18. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies – navegación en modo incógnito Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 17 / 37
  • 19. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies – navegación en modo incógnito Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 17 / 37
  • 20. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura Cookies – navegación en modo incógnito Permite no almacenar el historial de navegación Historia y cookies desaparecen al cerrar la ventana de incógnito OJO: Diferentes ventanas de incógnito en la misma sesión de navegación comparten todo Problemas: No se guarda lo que tienes abierto entre diferentes dispositivos Si se cierra el programa con error, se pierden las páginas abiertas Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 17 / 37
  • 21. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura ¿Qué sabe Google de ti? Mercado de Android en dispositivos móviles, cerca del 80 % La mayoría de los usuarios usa una cuenta asociada con Google Filosofía del “Bueno, bonito y barato” If you’re not paying for it, you become the product Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 18 / 37
  • 22. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Navegación segura ¿Qué sabe Google de ti? Mercado de Android en dispositivos móviles, cerca del 80 % La mayoría de los usuarios usa una cuenta asociada con Google Filosofía del “Bueno, bonito y barato” If you’re not paying for it, you become the product https://myactivity.google.com Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 18 / 37
  • 23. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 19 / 37
  • 24. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Redes WiFi públicas: riesgos Robo de datos Captura de paquetes de datos WiFi funciona por ondas. Cualquiera en el medio puede “verlas” y recopilar los datos Posterior análisis y filtrado. Caso famoso: TJX Companies, 2008 (Albert Gonzalez) Puntos de acceso WiFi falsos Pregunta al local si tienen WiFi, antes de conectarte a “su” WiFi Ataques man-in-the-middle Conexiones sin cifrado serán visibles si interceptan tu comunicación Robo de cookies de autenticación no cifradas (sidejacking) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 20 / 37
  • 25. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Redes WiFi públicas: riesgos Infección de dispositivos Explotación de vulnerabilidades en el cliente conectado Seguimiento de actividad Identificación del tráfico del usuario y captura selectiva Creación de un perfil. ¿Primera fase de un ataque más avanzado? Suplantación de identidad Conexiones débiles (no cifradas) a redes sociales, correo, banco, etc. Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 21 / 37
  • 26. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Redes WiFi públicas: algunos consejos. . . Desconfía/evita redes sin clave (o con cifrado débil como WEP) Desconecta la WiFi del dispositivo Ojo con la integración entre dispositivos (e.g., MacOS y iOS) Evita acceder a páginas sin cifrado Verifica el certificado! Evita realizar servicios/acciones con riesgo potencial Pagos, redes sociales Descarga de aplicaciones o actualizaciones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 22 / 37
  • 27. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Red WiFi en casa: algunos consejos. . . Usar WPA2 como cifrado (como mínimo por ahora) Desactivar el Wi-Fi (un)Protected Setup (WPS) del router Cambiar la contraseña de acceso al router Seleccionar una contraseña fuerte Evita palabras de diccionario Usa símbolos, números y caracteres adicionales Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 23 / 37
  • 28. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conectividad segura Red WiFi en casa: algunos consejos. . . Usar WPA2 como cifrado (como mínimo por ahora) Desactivar el Wi-Fi (un)Protected Setup (WPS) del router Cambiar la contraseña de acceso al router Seleccionar una contraseña fuerte Evita palabras de diccionario Usa símbolos, números y caracteres adicionales Más avanzados: Direcciones IP fijas (desactivar servidor DHCP) Filtrado de dirección MAC Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 23 / 37
  • 29. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 24 / 37
  • 30. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Contraseñas seguras PASSWORD −→ PASSPHRASE Longitud considerable Evita palabras de diccionario y fechas (e.g., “ricardo1985”) Símbolos Números Caracteres adicionales (e.g., ñ, Á, ö, . . . ) Ojo con las preguntas de recuperación: Respuestas no esperadas (o esperadas pero escritas de forma diferente) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 25 / 37
  • 31. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Contraseñas seguras Mejor todavía: “c0rr3ct_hOrs3_B4ttery_stAplE” Cuantas más elementos tenga el alfabeto, más tiempo de cómputo (más difícil) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 26 / 37
  • 32. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Contraseñas seguras – ¡ojo! Algunas páginas web guardan las contraseñas EN CLARO: http://plaintextoffenders.com/ Evítalas Usa contraseñas generadas aleatoriamente https://www.random.org/passwords/, https://strongpasswordgenerator.com/ ¿Gestor de contraseñas?: KeePass, KeePassXC (en local) Usa una contraseña segura (léase fuerte) para acceder a él En la nube, e.g., Google (http://passwords.google.com, siempre pide login) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 27 / 37
  • 33. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Doble factor de autenticación Factores de autenticación: Algo que el usuario sabe (password, pin, palabra de paso, etc) Algo que el usuario tiene (USB, teléfono, tarjeta, etc.) Algo que el usuario es (huella dactilar, iris, reconocimiento facial, etc.) Medida de seguridad adicional Cuando se observa una conexión extraña (e.g., de un dispositivo nuevo o desde una ubicación no habitual), se solicita un código para acceder al servicio Normalmente, envío de código al correo electrónico o al móvil (SMS) – ¿privacidad? Implementado en banca, con transferencias de cuantía elevada Disponible en muchos servicios de Internet (Google, Twitter, Facebook) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 28 / 37
  • 34. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Correos de spam/phising Adjuntos con “regalo” Redirección a páginas que explotan vulnerabilidades No ejecutes adjuntos de remitentes desconocidos Ojo con los ficheros ejecutables, PDF, ZIP, o DOC(X) No pinches en enlaces extraños Lo mismo navegando: si iba a descargar un PDF, ¿por qué ahora se baja un EXE? El servicio del SICUZ (u otros) nunca te va a solicitar tu contraseña Y menos todavía, en un formulario de Google Docs ¨ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 29 / 37
  • 35. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Patrones de acceso a dispositivos Evita acceso físico no autorizado al dispositivo Pérdida del dispositivo (valor económico) Pérdida de la información sensible y personal (mayor valor económico) Datos de contactos, fotos, conversaciones de chats, etc. Las apps de tu móvil guardan una “autorización”, lo que evita que tengas que poner tu contraseña cada vez que accedes a la app Si sólo proteges la tarjeta SIM (con PIN), todo el contenido del teléfono será accesible cuando se quite la SIM Bloqueo con código de acceso robusto Código numérico (6 a 8 dígitos recomendado) o huella dactilar Cifrar contenido de la tarjeta SD (o información sensible del disco duro) Si no, tan fácil como sacar la tarjeta SD e insertarla en un lector. . . Activar opciones de localización y bloqueo remotos (si se puede) Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 30 / 37
  • 36. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Redes sociales Fotos de carácter privado/comprometido Que sólo la compartas con tus amigos no quiere decir que sólo tengan acceso tus amigos. . . https://twitter.com/needadebitcard Informar sobre tus movimientos (e.g., cuando te vas de vacaciones) Das pistas de que probablemente tu casa sea un blanco fácil Comentarios y elementos compartidos sirven para hacer un profiling del usuario Publicidad selectiva Primera fase de un ataque más sofisticado Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 31 / 37
  • 37. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Otras buenas prácticas Consejos más generales Actualiza tu SO y aplicaciones Usa software legal. ¿Conoces todo lo que te proporciona el SICUZ? Descarga de software de Internet Verifica que la descarga la estás haciendo de la página oficial del producto Lo dicho, ojo con el software pirata ¨ Resultados de las búsquedas Intenta observar la dirección destino Sospecha de repeticiones de texto en la descripción, mal transcripciones, etc. Usa productos de seguridad (anti-virus) Alternativamente, puedes usar SSOO menos atacados (e.g., Linux) – no es tan difícil ¨ Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 32 / 37
  • 38. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A https://www.osi.es/es/guia-de-privacidad-y-seguridad-en-internet Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 33 / 37
  • 39. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Agenda 1 Navegación segura 2 Conectividad segura 3 Otras buenas prácticas 4 Conclusiones Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 34 / 37
  • 40. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conclusiones Desconfiad. Pensad. Seguid navegando (o no). https://www.youtube.com/watch?v=h8-27iLvyS4 Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 35 / 37
  • 41. ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A Conclusiones That’s all, folks! Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas (R.J. Rodríguez) 7 de febrero, 2018 36 / 37
  • 42. Navegando por Internet de forma segura: riesgos, buenas prácticas y herramientas Ricardo J. Rodríguez rjrodriguez@unizar.es All wrongs reversed ZARAGOZA DO CENDI DISCEN DI NOS VN IT ANIM VS 2009 CENTRO UNIVERSITARIO DE LA DEFENS A 7 de febrero, 2018 Jornadas de Internet Segura Facultad de CCSS y del Trabajo, Universidad de Zaragoza