Participación de Dña. Raquel Trillo Lado en la mesa redonda "Introducción a las herramientas de Google Apps y seguridad básica" dentro del Curso Extraordinario de la Universidad de Zaragoza "Recursos de apoyo en el desarrollo de la competencia digital", que se celebró los días 5, 6 y 7 de julio de 2021.
1. CONOCIMIENTOS Y
HABILIDADES PARA EL
DESARROLLAR LA
COMPETENCIA DIGITAL:
Introducción a las herramientas de
Google Apps y seguridad básica
Raquel Trillo Lado, julio de 2021
2. Presentación
- Reverseame (www.reversea.me)
- Grupo de investigación dirigido por Ricardo
J. Rodríguez Hernández
- Seguridad de sistemas y software
- Seguridad básica a nivel usuario
- Sistemas de búsqueda de información en
la Web y Sistemas de recomendación
dependientes del contexto
3. - Enorme incremento en la cantidad de
datos digitalizados disponibles y la
capacidad de procesamiento
- Fomento Datos Abiertos y Administración
electrónica
- Nuevos modelos de negocio y
aplicaciones en múltiples ámbitos:
bioinformática
- Adaptar la legislación para garantizar los
derechos de las personas en el contexto
de la Sociedad de la Información
- Un elevado porcentaje de PYMES y
usuarios no conoce esta normativa
Introducción
4. Legislación vigente
• RGPD (2016/679, de 27 de abril, en vigor 26 mayo 2018)
• LOPDGDD (LO 3/2018, de 5 de diciembre)
• LSSI-CE (Ley 34/2002, de 11 de julio)
• LPI (Real Decreto Legislativo 1/1996, de 12 de abril)
• Firma electrónica (Ley 59/2003, de 19 de diciembre)
• Directiva (UE) 2016/1148 Network Information System
• Real Decreto Ley de seguridad de las redes y SI
(12/2018, de 7 de septiembre)
•ENS (Real Decreto 3/2010, de 8 de enero)
• Código Penal (LO 10/1995, de 23 de noviembre)
Artículos 187, 197-201, 248, 256, 264, 270 y 278
Extrapenal
Penal
5. Evolución de la Web (1989-hoy)
5
Extraída de: http://internetlivestats.com
6. Seguridad en SI y SI Web
Ataque y amenazas:
• Externas:
– Disponibilidad: DoS, DDoS, etc.
– Integridad: Alteración del
contenido del servidor Web o
sistema de ficheros, ...
– Confidencialidad: Intercepción de
claves de acceso.
6
Ataque y amenazas:
• Internas:
– Disponibilidad: Apagar
servidores
– Integridad: Contenido
desactualizado, páginas
obsoletas, etc.
– Confidencialidad:
Misma clave varios sitios
7. Seguridad en SI y SI Web
8
Componente más relevante de los SI:
• Datos
• SW
• HW
8. Seguridad como usuarios
• Hacer copias de seguridad o backups
• Pero los datos ….
– Empresas recuperación forense, pero no hay garantía.
• Copias completas y copias incrementales
• ¡Comprobar las copias de seguridad!
• ¡Ojo donde guardamos las copias de seguridad!
9
10. Seguridad como usuarios
• Si se trabaja con datos críticos
• Cifrar el contenido del disco duro o ficheros sensibles
– No basta con guardar con clave
• ¡Realizar borrados seguros!
11
11. Como gestionar nuestras clave
• Trabajamos en multitud de plataformas y
sitios Web:
• Facebook
• Twitter
• Webmail
• Gmail
• Google Apps
• Etc…
12
12. Como gestionar nuestras clave
• No suele ser buena práctica crear nuestra
clave:
Fuente: https://es.gizmodo.com/, Melanie Ehrenkranz 13
¿Emplear
Un
Patrón?
13. Como gestionar nuestras clave
• ¿Qué pasa si me olvido de mi clave?
• Preguntas de seguridad:
– ¿El nombre de tu mascota?
– ¿Marca de tu primer coche?
– ¿El nombre de tu mejor amigo?
14
¡Ojo con
la Ing.
Social!
14. Como gestionar nuestras clave
• Ataques de phishing: Intento fraudulento de
conseguir tus credenciales de acceso, por
ejemplo mediante el envío de correos
electrónicos que, aparentando provenir de una
fuentes fiables (entidades bancarias,
administrador de sistemas), solicitando que
accedas a una dirección web donde se ha
reproducido el sitio Web y les proporciones tus
datos y contraseñas
• Ejemplos:
• Buzón de entrada sin espacio, por favor, elimine
mensajes en: https://mail.unïzar.es
15
15. Como gestionar nuestras clave
• ¡Ojo donde hacemos click! Comprobar las
direcciones URLs:
• Caracteres extraños similares a otros ï en lugar de i, ü
en lugar de u
• https://www.abanca.com/
16
17. Otras cuestiones de seguridad básicas
• ¡No confiar en Wifi gratuitas y públicas!
• Comprobar que se esté usando el protocolo
https en lugar de http al navegar por la Web
18
Transp. 1. Título/Presentación
Buenos días, actualmente trabajo como profesora del área de LSI del Depto. de Informática e Ingeniería de Sistemas e imparto clase fundamentalmente en el Grado de Ing. Informática en asignaturas relacionadas con Sistemas de información y gestión de datos.
Transp. 2. Título/Presentación
Antes de empezar me gustaría comentar que mi área de trabajo e investigación no es la seguridad informática aunque puntualmente colaboro con Ricardo Julio Rodríguez Hdez que dirige el grupo de investigación Reverseame el cual centra su actividad en la seguridad de todo tipo de sistemas informáticos y especialmente en el software.
Mi área de trabajo se centra en sistemas de búsqueda de información Web y sistemas de recomendación considerando el contexto en que
Transp. 3. Introducción
Durante las últimas décadas y sobre todo en los últimos años, la cantidad de datos digitalizados disponibles ha aumentado significativamente, debido:
al desarrollo de las Tecnologías de la Información y la Comunicación y también
a un cambio cultural. Hoy en día, hay un gran nº de usuarios que publican información en la Web a diario en aplicaciones como Facebook, Twitter, LinkedIN...
Además, los gobiernos y las diferentes administraciones, cada vez más, apuestan por la publicación de sus datos en abierto para fomentar la transparencia y facilitar el desarrollo de la administración electrónica (eficiencia: más calidad y ahorro costes).
Esto ha dado lugar a nuevos modelos de negocio y nuevas aplicaciones y áreas de investigación en múltiples ámbitos; por ejemplo, en el ámbito sanitario, ha surgido el área de la bioinformática (aplicación de las TIC a la gestión y análisis de datos biológicos).
Por otro lado, el desarrollo de las TIC ha generado la necesidad de adaptar la legislación para garantizar los derechos de las personas en el contexto de la Sociedad de la Información.
Sin embargo, según el Instituto Nacional de Ciberseguridad, un elevado porcentaje de PYMES no conoce la legislación vigente relacionada con el uso de TIC y si la conoce en muchos caso no la aplica correctamente a la gestión de datos digitales.
Los cambios tan rápido leyes por detrás de la TIC.
Por ejemplo, antes de la popularización del correo electrónico la mayor parte de los ciudadanos eran consciente de que no era legal leer la correspondencia de otra persona. Sin embargo, a día de hoy, si alguien se deja abierta una sesión del correo:
-por olvido o por haberle dado a grabar la contraseña en el navegador para que no tener que teclearla al volver a entrar,
a un gran porcentaje de la población no le parece grave echar un vistazo, a pesar de que se trata del mismo tipo de delito.
Transp. 4. Legislación vigente
A día de hoy, algunas de las leyes más relevantes que afectan a las TIC que tratan de garantizar nuestros derechos y determinar nuestras responsabilidades y obligaciones son estas.
Las que más nos suele sonar como ciudadanos son las relacionadas con protección de datos, garantizar en derecho a la privacidad de las personas y que los datos personales se gestionen de forma adecuada, el RGPD GDPR (General Data Protection Regulation) que entró en vigor hace relativamente poco mayor de 2018 y que conllevó la adaptación de las leyes Españolas en esa materia, concretamente la LOPD y el Real Decreto donde se desarrolla trata de garantizar en derecho a la privacidad de las personas y que los datos personales se gestionen de forma adecuada.
•LOPD (LO 15/1999, de 13 de diciembre) •RLOPD (RD 1720/2007, de 21 de diciembre)
NIS: Network Information System
Otra norma que nos afecta es el Reglamento Europeo de Protección de Datos, GDPR (General Data Protection Regulation) que entró en vigor el pasado 26 de mayo y que por esa razón hemos estado recibiendo numerosos correos últimamente para que indicásemos si deseábamos seguir formando parte de listas de correos.
187 prostitución
197 Intimidad personal, familiar o la propia imagen
278 descubrimiento y revelación de secretos
264 Daños informáticos
Transp 5:
La Web ha cambiado la forma en la que publicamos y consumimos información, cada vez más optamos por medios digitales para informarnos en lugar de periódicos en papel.
Pero no solo ha cambiado la forma en la que publicamos y consumimos información, sino también la forma en la que nos relacionamos unos con otros y la forma en la que trabajamos. Además la pandemia ha acelerado el cambio.
Esta es una gráfica que nos indica el número de sitios web que hay disponibles. Vemos que ha habido un crecimiento exponencial entre 2008 y 2010 hubo una pequeña recesión que se puede deber a la crisis. Sin embargo, en los últimos años la tendencia parece que está cambiando y ya no se crean tantos sitios web y ya no existe tal aumento. Esto es debido a que los objetivos han cambiado:
-Antes se daba prioridad a crear un sitio web y que los usuarios consultasen tu sitio o página Web- SEO-. Sin embargo, a día de hoy lo que buscan gran parte de los usuarios y organizaciones es posicionarse en una determinada plataforma o entorno como puede ser Twitter o Facebook o Youtube.
Transp 6:
https://www.slideshare.net/Indiana_1969/las-10-leyes-de-la-seguridad-informatica
Cuando hablamos de seguridad de sistemas de información información en general y de seguridad en SI web, en particular se hablar de 3 dimensiones de la seguridad:
-Disponibilidad: Idealmente queremos que los SI y los datos e información que gestionan estén disponibles 24x7, pero para que un sistema sea de calidad nos basta con que estén disponibles cuando los necesitamos.
-DoS
-En la dimensión de confidencialidad se valora que sólo las personas y SI que están autorizados para acceder a determinados datos tengan acceso. Para garantizar la confidencialidad se se suelen usar sistemas de control de acceso. el más común de todos el de usuario/claves.
-En la dimensión de integridad se valora que los datos sean válidos y consistentes y además estén actualizados.
Las dimensiones se presentan en forma de triangulo porque en general cuando aumentamos una de ellas, es decir aumentamos un lado del triángulo disminuyen las otras:
-P.E., cuando estamos trabajando en un artículo o documento lo guardamos en Drive para poder continuar el fin de semana, pero por no tengo acceso a Internet porque me voy a la montaña también pongo una copia en el portátil. Al duplicar los datos corro el peligro de que lo actualice en un sitio y no en otro. Por lo tanto disminuyo la integridad de ese documento. Al mismo tiempo también la confidencialidad porque hay dos sitios distintos a los que pueden acceder para obtener ese documento.
En general nos preocupamos mucho de las amenazas externas contra nuestros sistemas, pero como individuos en general no somos el objetivo de ataque, lo que si puede suceder es que nos usen como punto de entrada a la institución o lugar de trabajo.
La mayor parte de los problemas de seguridad no se dan por amenazas externas sino por vulnerabilidades y fallos internos y en general el eslabon más débil somos las personas.
y estas se suelen representar en f
Cuando optamos por crear nuestro propio sitio Web para difundir información a los estudiantes o para difundir el tipo de investigación e innovación que hacemos, por ejemplo con la herramienta incluida dentro de la suite de Google Apps, Google Sites, podemos sufrir diferentes tipos de ataques:
-Uno de los ataques más comunes en los sitios Web son los ataques contra la disponibilidad, un determinado usuario o varios usuarios organizados deciden hacer una gran cantidad de peticiones a tu sitio Web de manera que el servidor donde se aloja tu web se bloquee y personas interesadas en la información que publicas no puedan acceder.
-Otro ataque común que podemos sufrir son los ataques contra la integridad. Un usuario o bot puede acceder a nuestro sitio Web y alterar el contenido de nuestra página poniendo información falsa o incorrecta para desprestigiarnos. En general estos ataques son sencillos de detectar y para solucionarlo basta con eliminar la información errónea.
-Si decidimos que determinado contenido de nuestro sitio Web no sea público y lo protegemos con un usuario y una clave, podemos sufrir ataques contra la confidencialidad
En general cuando se habla de temas relacionados con la seguridad se dice que las dimensiones de disponibilidad, integridad y confidencialidad forman un triángulo y que cuando queremos aumentar una de ellas, disminuimos las otras dos.
Por ejemplo si nosotros estamos trabajando en un determinado artículo lo podemos tener en el ordenador del despacho, en el de casa, en la nube. Aumentamos su disponibilidad para tenerlo accesible desde cualquier sitio pero al mismo tiempo también aumentamos el riesgo de que una persona no autorizada acceda a esa investigación.
Es más, también aumentamos el riesgo de sufrir problemas de integridad porque podemos actualizar diferentes partes del artículo en diferentes sitios y después no tener claro cuál es la versión correcta o enviar a la revista una versión donde una de las secciones no es la correcta.
Transp 6:
En general la mayor amenaza que podemos sufrir nosotros si optamos por crear nuestro propio sitio Web no son las amenazas externas, sino las amenazas internas.
Podemos tener información desactualizada por diferentes razones. p.e., en mi caso el número de teléfono del despacho en mi página Web no es correcto.
Transp 7:
Datos porque en general el hardware (servidores, teléfono móvil), el software (aplicaciones) se puede recuperar puede costar más o menos pero con dinero y tiempo se puede restaurar, pero ciertos datos es imposible recuperarlos si se pierden.
Compañeros que han perdido el móvil o se les ha estropeado, el mayor pb. No es el móvil en sí sino que se han dado cuenta de que tenían en él fotos de sus hijos cuando eran bebés y esas fotos no se pueden volver a sacar ni recuperar.
Por otro lado, aunque los ordenadores y servidores son en general robustos , a veces fallan.Hace un par de años en un corte de luz programado por tareas de mantenimiento, en laboratorio se estropearon 3 servidores por un pico de tensión y de dos de ellos no se pudo recuperar nada.
Transp 7:
Las máquinas fallan (antes cortes de luz, ordenador sin batería… guardar en todo momento… ahora las aplicaciones han mejorado y se hace guardado automático…)
Jordi Fuente de alimentación y no había forma de recuperar el ordenador….
Para protegernos de estos potenciales problemas, lo más adecuado es realizar copias de seguridad o backups. Las copias de seguridad completas suelen ser muy costosas, pero podemos optar por hacer copias de seguridad compltas con menos frecuencia y normalmente hacer copias incrementales, es decir, copiar sólo lo que se ha modificado desde la útlima copia de seguridad realizada.
Para gestionar las copias hay varias opciones sw que lo hacen automáticamente. En Mac TimeMachine…
Conciencia copia, pero no tiene porque funcionar.
Elena, JISBD 2006.
Transp 7:
https://www.slideshare.net/Indiana_1969/las-10-leyes-de-la-seguridad-informática
En ciertos entornos también es relevante definir metodología y gestión de sistemas de almacenamientos de datos legados como cintas VHS o CDs.
A veces pensamos que tenemos los datos porque los tenemos en CDs, pero ojo que con el paso del tiempo (15-20 años) los CDs se deterioran y se pierden datos.
Las cintas suelen ser más seguras, pero a día de hoy el problema de las cintas VHS es que la mayor parte de nosotros ya no tenemos un reproductor.
Transp 8:
Datos sensibles, como por ejemplo datos médicos o datos sobre la religión o las creencias de una persona, deben ser cifrarlos
Ejemplo de la Excel…. (Microsoft) y las instrucciones para abrirlo para que sólo pudiese ver la información que me afectaba a mi.
y no sólo eso cuando los borremos hacer borrados seguros…
Transp 9:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
El "top ten" de la imprudencia password 123456 qwerty abc123 letmein monkey myspace1 password1 blink182 (tu nombre) Ver más en: https://www.20minutos.es/noticia/228488/0/claves/comunes/internet/#xtor=AD-15&xts=467263
Transp 10:
Tampoco es buena idea crear nuestras propias claves, porque en general recurrimos a cosas sencillas o a emplear un patrón: el año en que creé la cuenta y las iniciales de la aplicación.
Usar un generador de claves para que genere las claves de acceso y cambiarlas con frecuencia
Transp 11:
Si uso un generador de claves y además tengo claves diferentes en todos los sitios que uso, lo más probable es que acabe olvidándome. Por eso en general los sitios Web tienen mecanismos para recuperar la contraseña. Esos mecanismos a veces son un punto débil y alguien que nos conozca un poco puede usarlos para suplantarnos.
Pérdida de tiempo.
Transp 12:
Transp 13:
Poner la llave de casa debajo de la alfombra!
Todavía es más grave si usas para diferentes cuentas la misma clave porque si alguien descubre una puede probarla en las otras.
(igual pin en el móvil que en la tarjeta de crédito)
Transp 14:
Solo tienes que acordarte de una única contraseña y no de varias
Genera contraseñas seguras
Detecta automáticamente las contraseñas que estás introduciendo y las guarda de forma segura
Genera alertas de seguridad automáticas
Audita las claves
Transp 15:
Solo tienes que acordarte de una única contraseña y no de varias
Genera contraseñas seguras
Detecta automáticamente las contraseñas que estás introduciendo y las guarda de forma segura
Genera alertas de seguridad automáticas
Audita las claves