IACCSS. Seguridad en informática. Rafael Barzanallana. Universidad de Murcia

Informática Aplicada a las Ciencias Sociales

Grado en Ciencia Política y Gestión Pública

Seguridad en informática

Elaborado por Rafael Barzanallana

Seguridad en informática

Contenido capítulo:

Introducción

Análisis de riesgos

Guía rápida sobre el fraude en internet

Seguridad en informática

Introducción

Seguridad una característica de cualquier sistema que indica que está libre de:

Peligro
Daño
Riesgo

No existe un sistema 100% seguro

Seguridad en informática

Introducción

Características de un sistema seguro

Integridad
Confidencialidad
Disponibilidad

En internet siempre hay riesgos:

Ausencia de software adecuado, ej. cortafuegos
Uso de software no seguro, ej. productos Microsoft

Seguridad en informática

Análisis de riesgos

Definiciones de riesgo:

Proximidad de un daño o peligro
Estar algo expuesto a un peligro

En informática: "lo que no está permitido debe estar prohibido"

Seguridad en informática

Análisis de riesgos

Seguridad lógica:

Restringir el acceso a los programas y archivos
Asegurar que los operadores puedan trabajar pero que no puedan modificar lo que no le corresponda
Asegurar que se utilicen los datos, archivos, programas y procedimientos correctos
Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro

Seguridad en informática

Análisis de riesgos

Asegurar que existan sistemas y pasos de emergencia alternativos de transmisión
Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos

Riesgos más habituales en usuarios sin experiencia:

SPAM en correo electrónico
Virus informáticos
Robo de identidades mediante troyanos

Seguridad en informática

Análisis de riesgos

Tópicos erróneos acerca de la seguridad en informática:

Mi sistema no es importante para un hacker
Estoy protegido pues no abro archivos que no conozco
Como tengo antivirus estoy protegido
Como dispongo de un firewall o cortafuegos no me contagio

Seguridad en informática

Guía rápida sobre el fraude en internet

HOAX (burlas, engaños)

Esquema semejante al de las antiguas cadenas de la suerte difundidas por correo postal, que auguraban calamidades si cortabas la cadena y prometían convertirte en millonario si la seguías

Cualquier cadena que circule a través de internet es buena para recolectar direcciones de correo electrónico y posteriormente saturar los buzones de correo mediante spam

Seguridad en informática

Guía rápida sobre el fraude en internet

Categorías de hoax:

Alertas sobre virus informáticos incurables
Mensajes de contenido religioso
Cadenas de solidaridad
Cadenas de la suerte
Leyendas urbanas

Seguridad en informática

Guía rápida sobre el fraude en internet

Categorías de hoax:

Métodos para hacerse millonario
Regalos de grandes empresas
Otros
Mensajes tomando el pelo a la gente que envía hoaxes

Seguridad en informática

Guía rápida sobre el fraude en internet

Otros que no nacen como hoaxes pero pueden ser considerados como tales:

Poemas y mensajes de amor y esperanza (suelen venir en un archivo de Power Point pesadísimo)
Mensajes para unirte a programas de afiliados
Chistes y fotos que circulan en cadena

Seguridad en informática

Guía rápida sobre el fraude en internet

SPAM (correo electrónico no solicitado)

Ilegal en España
Publicidad no solicitada
Habitualmente publicidad engañosa
Posible fuente de troyanos
Direcciones de email compradas o robadas
Principales fuentes: China, EE.UU. y Corea del Sur

Seguridad en informática

Guía rápida sobre el fraude en internet

Seguridad en informática

Guía rápida sobre el fraude en internet

PHISHING

Logra que el usuario revele información sensible

Mecanismos débiles de protección de acceso
Capacidad innata para revelar cualquier información, sin cuestionar la seguridad

Seguridad en informática

Guía rápida sobre el fraude en internet

SMISHING

Ingeniería social mediante SMS

SITIOS FALSOS DE RECARGAS

Recargas muy baratas de teléfonos móviles, para lograr datos de tarjetas bancarias

Seguridad en informática

Guía rápida sobre el fraude en internet

SCAM O PHISHING LABORAL / MULERO

Captación de personas por medio de correos, anuncios en web de trabajo, chats, redes sociales, etc... donde empresas ficticias ofrecen trabajar cómodamente desde casa y con unos beneficios elevados

Sin saberlo, la víctima esta blanqueando dinero obtenido por medio del phishing (procedente de estafas bancarias)
Mandan un falso contrato para hacer más creíble la oferta

Una vez obtenidos los datos de la víctima, si no colabora será amenazada

Seguridad en informática

Guía rápida sobre el fraude en internet

PHISHING-CAR

El pago se realiza por medio de empresas de envio de dinero a otros países
El vendedor oferta la entrega a domicilio
Piden primero el 30% o el 40% del precio ofertado como primera señal.

Seguridad en informática

Guía rápida sobre el fraude en internet

PHARMING

Manipular las direcciones DNS que utiliza el usuario, con el objetivo de engañarle y conseguir que las páginas que visite el usuario no sean realmente originales aunque su aspecto sea idéntico

LOTERÍAS FALSAS

El usuario recibe un correo electrónico donde le notifican que tiene un premio de lotería, piden datos bancarios para un falso ingreso del premio

Seguridad en informática

Guía rápida sobre el fraude en internet

Botnet

Red robot, ordenadores que han sido infectados por código malicioso y están siendo manipulados para enviar programas tipo spam y spyware, hacia otros, o provocar ataques masivos contra servidores

SEXTING

Envío de contenidos eróticos o pornográficos a través de dispositivos móviles. Puede exponer a los menores de edad al grooming y al acoso escolar

Seguridad en informática

Guía rápida sobre el fraude en internet

RASOMWARE

Tipo de programas maliciosos (malware) que no buscan el robo de información bancaria o personal, sino algo más sencillo e igualmente dañino, el secuestro de datos.