Seguridad y Privacidad

de la
Información
 Tópicos
 Seguridad de la Información
 Privacidad
 Herramientas y Técnicas de los “Piratas Cibernéticos”
 Redes de Medios Sociales
Seguridad de la Información
 3 Realidades Básicas

 Dependemos de la confiabilidad y disponibilidad de la

información
 Identificamos la información correcta y la
salvaguardamos apropiádamente
 Creamos balance entre la accesibilidad de la información
y la necesidad de salvaguardar adecuádamente la
misma
 ¿Que es seguridad de la información?

 Medidas establecidas para proteger y defender la

información y los sistemas envueltos en su manejo
 Realmente es una colección de métodos que proveen un
enfoque hacia el manejo de riesgos
 Manejo de Riesgos

 Análisis de Riesgos se basa en la

– Identificación de los activos
– Identificación de las amenazas y vulnerabilidades
– Identificación del impacto
– Mitigación del riesgo
 Identificar los activos
Information,
information,
information,
information,
information
Información que

reside en un sistema el cual se

conecta a una infraestructura en variadas

formas

Cada nivel tiene diferentes requerimientos para la

protección o mitigación
 Vulnerabilidades y Amenazas
 Vulnerabilidad
– Debilidad en un sistema de información, systema de
encriptación, o sus componentes (procedimientos de seguridad
de los sistemas, diseño del equipo, controles internos) los cuales
podrían ser explotados

 Amenaza
– Cualquier circunstancia o evento con potencial para causar daño
a un sistema de información en una forma de destrucción,
exposición, modificación adversa de la información y/o
denegación del servicio
 Vulnerabilidades
 Información
– Pobre o ninguna clasificación
– Inexistencia de controles

 Sistemas
– Equipo – sin sensores o protección
– Programado – fallas y errores no corregidos o actualizados

 Factor Humano
 Procedimientos
 Infraestructura
– Aumento de conectividad incrementa las vulnerabilidades u origina nuevas (efecto de
cascada o escalonado)
 Amenazas
 Categorias
– Naturales
•Eventos Naturales – fuegos, hurracanes, inundaciones
•Ambiente del Sistema – fallas en equipo, acondicionamiento insuficiente

– Humanas
•Internas – empleados descontentos
•Externas – espias, piratas cibernéticos
 Protección en la Información

 Clasificación basada en la seguridad, privacidad, etc.

 Precisión, calidad u actualización de la información
 Fuente autorizada y confiable
 Entrenamiento del usuario
 Autenticación del usuario
 Funciones y permisos
 Quien-Necesita-Conocerla (restricciones)
 Protección en los Sistemas

 Contraseñas complejas
 Medios Biométricos
 Política de correos electrónicos
 Copias-de-Resguardo regularmente (backups)
 Alertas regulares de vulnerabilidades recientes a la
Seguridad de la Información
 Protección contra virus (anti-virus)
 Filtros Tecnológicos (Firewalls)
 Protección en la Infraestructura
 Encripción
 Diseño de la Red
 Filtros de Comunicación
 Zonas Desmilitarizadas (DMZ)
 Listas de Control de Acceso
 Redundancia
 Controles físicos
 Errores Comunes de los Usuarios
 No instalar o mantener al dia un anti-virus/filtros; verificar los archivos con
el antivirus
 Revisar archivo contenido en un correo electrónico no-solicitado sin
verificar la fuentes de envio o su contenido
 Ejecutar juegos, programas, y/o protectores de pantalla (screensavers) de
fuentes no confiables o desconocidas
 No reparar vulnerabilidades o actualizar programas, especialmente los
sistemas operativos, tales como Windows, Linux, MacOS, etc.
 No realizar o verificar los backups
 No instalar aditamentos de seguridad en las computadoras o en la red de
comunicaciones
 Mantener las contraseñas pre-establecidas del fabricante en los sistemas
Privacidad
 Logramos La Privacidad
 Controlando los sistemas que mantienen Información de
Identificación Personal
 Permitiendo solo el acceso de personal autorizado a
estos sistemas
 Controlando en estos sitemas el movimiento y
transmisión de esta
 Manejando el factor humano a travez de entrenamientos
y concientización
 ¿Porqué se debe conocer sobre Privacidad?

 La entidad colecciona, mantienen, distribuye, y elimina la

información personal de los individuos; como USTED!!!!

 Gobiernos tienen leyes que requieren que se mantengan

precauciones cuando se ejecutan estas funciones sobre
la información personal
 Responsabilidades
 NO retener los expedientes más de lo permitido
– La retención y destrucción de los expedientes es gobernada por las
leyes y estándares
 NO destruir los expedientes hasta que se cumplan los
requerimiento para la eliminación
– Cuando se vaya a disponer de la información personal, utilize
trituradoras o fuego
 NO transmita información personal sin asegurarla
– Encripte/cifre/codifique la información
 NO use sobre comunes para envio de información personal
 NO coloque información personal en áreas públicas o donde
podría accederla entes externos restrictos a saberla
 NO deje información personal a la vista
– Mantenga la información inaccesible; evite descuidarla
Herramientas y Técnicas
de los
“Piratas Cibernéticos”
Registro de Tecleado
 Ingeniería Social
 Colección de técnicas utilizadas para manipular a las
personas a realizar alguna acción o a revelar información
confidencial
 Es un acto de engañar a otra persona en proveer cierta
información, presentandose como un individuo o agencia
autorizada a recibir dicha información o autorizado a
ejecutar alguna función
 La técnicas podrían ser humanas y/o electrónicas
 Phishing

 Phishing
– Puede ocurrir mediante interacción electrónica o personal
– No solamente engaña para que se provea información sensitiva,
sino que también puede incluir programado malicioso
– Un “pirata” puede tener acceso a un sistema de información a
travez de un empleado presentandose como un técnico de
servicio o administrador del sistema con un problema de acceso
 Lanza del Phishing es un intento alto de la técnica
– El perpetrador selectívamente escoge el victimario y usualmente
tiene un conocimiento comprensivo del victimario
– Correo electrónico puede aparentar como genuino
•Se dirige al destinatario por su nombre
•Utiliza lenguaje o jerga de la organización
•Hace referencia a procedimientos actuales
 Pharming
 Pharming
– Piratas redirigen tráfico de un sitio web a otro dañino
– Técnica puede establecerse mediante el cambio del archivo
anfritión en la computadora de la victima, o explotando los
servicios de Domain Name Server (DNS)
•DNS resuelven los nombres de los dominios del Internet con sus
verdaderas direcciones
– Ambas técnicas (phishing & pharming) son utilizadas para el robo
de identidad
 No Tan Técnicos
 Rebuscador de Basura
– El nombre lo dice todo
– Búsqueda a travez de la basura buscando información personal
•Recibo de tarjetas de Credito, talonarios de cheques, facturas, etc.
 Esteganografía

 Método de esconder información en otro tipo de medio

para que la existencia de esta quede oculta
– En archivos de audio, gráficos, o espacios no utilizado en el
disco duro
– Usualmente los mensajes son colocados en imagenes
reemplazando sus “bits” por “bits” del mensaje
 Herramientas para esta técnica estan disponible de
forma gratuita
Barco parte Mensaje secreto
en la oculto en la
mañana imagen
 Esteganografía (cont.)
 Usos legítimos
– Estampados, ej. como sello de derechos reservados
– Notas de referencias en imagenes

 Usos Ilegítimos
– Ocultar información robada en un archivo o imagen
– Ocultar pornografía ilícita en un archivo o imagen

Método utilizado por los alegados agentes rusos

– Mensajes fueron ocultados como texto en lugares del Internet
disponibles al público
 Formas de Usted Protegerse
 Cuando dude, verifique
 Si recibe un mensaje el cual resulte demasiado de bueno
para ser cierto, probablemente asi lo es
– Un dignatario ofreciendo millones y solo necesita su información
bancaria
– Desconoce del emisor?, no abra el mensaje hasta tanto pueda
verificar por otro medio sobre el emisor, o simplemente eliminelo.
 Evite correos identificandose como su banco, los cuales
piden certifique su cuenta. Negocios reputables no
preguntarán por ese tipo de información personal a
travez de este medio.
Redes de Medios Sociales
 Medios Sociales

 Servicios basados en la Web

 Son comunidades cibernéticas de personas quienes comparten
intereses comunes
 La interfaz puede abarcar uno o más tipos de comunicación
 Transforma monólogos (uno-a-muchos) en diálogos (muchos-a-
muchos)
 Cambia la forma de descubrir, leer, y compartir noticias, información,
contenidos, y recursos
 ¿Porqué es Popular?
 Virtualmente cualquiera puede unirse
 Cuentas son creadas rápidamente
 La mayoría son gratuitas donde el usuario no está sujeto a un
contrato
 Interfaz conveniente a los usuarios para actualizar o añadir
contenido a sus perfiles
 Usuarios pueden compartir tanto deseen
 Logra conección fácil con amigos y familiares
 Configuraciones de seguridad disponible en la mayoria de los
servicios
 Preocupaciones con la Seguridad

 Se puede compartir tanto deseen

 Libertad para colocar información sensitiva o personal
 Dificultuoso poder distinguir entre cuentas fraudulentas y las auténticas
 Algunos servicios solo requieren la pre-existencia de un correo electrónico para
poder crear la cuenta
 Puede estar propenso a conocidas vulnerabilidades relacionadas con estos servicios
o el navegador
 Aplicaciones creadas por terceros no siempre son aprobadas o auspiciadas por
estos servicios
 Agresores cibernéticos experimentados podrían utilizar y consolidar fragmentos de
información de la victima encontrados en otros servicios o fuentes para lograr acceso
a información privada o confidencial
 Preocupaciones con la Seguridad (cont.)
 Suplantación de amigos o colegas puede ser utilizado para engañar a los
usuarios a brindar información privada o hacer que obtengan programas
maliciosos
 Usuarios podrían compartir una variedad de multimedios como imagenes,
videos, documentos, etc. los cuales podrían contener código malicioso.
Estos pueden causar que el navegador utilizado baje aplicaciones
maliciosas y/o ejecuten acciones malintencionado sin el consentimiento del
usuario.
 LinkedIn podría contener mucha información a travez del perfil profesional
 Participación en foros de discusión o “blogs” podría ayudar a los servicios
de inteligencias insurgentes mediante el acercamiento a un empleado
molesto o con necesidades el cual puede ser reclutado o chantajeado
 Preocupación Relacionada
 Estos servicios tienen sus políticas sobre la información
– “que ellos saben sobre ti y con quienes lo comparten”
– Políticas de privacidad
– Registros de actividades en-linea
– La información es almacenada en servidores en la “nube” de Internet para que la compañía
del servicio sea la propietaria y no usted
• Puede ser adquirida con citación legal
 Mayoria de estos servicios exitosos son aquellos que coleccionan información sobre
los usuarios y la utilizan para ofrecer ventas
 Por cada ID de usuario, Facebook y Google mantienen un registro de las direcciones
de IP que accedieron la cuenta, asi como la fecha, hora, información accesada,
acciones del usuario, etc.
 Algunas Protecciones
 Considere restringir el acceso a su perfil
– No permita que extraños accedan toda la información sobre usted
 Mantenga la información privada
– Nunca coloque información personal tales como el nombre, cedulas personales,
teléfonos, finanzas, o itinerarios
– Crearian vulnerabilidades a favor de vandalizadores, engañadores, ladrones de
identidad, o quizás peor
 Seleccione nombre de usuario diferente a su nombre real
– Evite usar información personal que muestren su identidad o localización
 Piense bien antes de publicar su foto
– Son utilizadas para identificarlo
– Podrían ser alteradas o compartidas sin su concentimiento
 No publique información que lo haga vulnerable a posibles ataques físicos
– Revelar su itinerario, lugares que planifica visitar, y/o publicar su dirección es casi
como brindar una invitación abierta a que cualquiera lo encuentre
 Mitigaciones – Técnicas
 Mantenga su sistema operativo y navegador al día con las últimas
actualizaciones
 Mantenga actualizado su anti-virus y firewall; realize verificaciones del sistema
frecuentemente
 Evite utilizar cuentas con privilegios (root, administrador) cuando navegue el
Internet
 Acostumbrese a siempre cerrar la sesión de su cuenta (Logout/Logoff) en vez de
cerrar el navegador

 Considere limpiar la submemoria (cache) despues de cada sesión ya que esta

almacena entes con información (cookies), contraseñas, historial, etc.
 Precaución con los reductores de direcciones (enlaces maliciosos)
 Mitigaciones – Comportamiento
 Realize un análisis de riesgos antes de publicar
información sobre usted o la organización a la cual
pertenece
 Confirme los pedidos de forma verbal o cara-a-cara
 Sea selectivo cuando añada aplicaciones a su perfil
 Sospeche de correos electrónicos que provengan de
redes sociales
 Análisis de Riesgo
 RIESGO BAJO – perfiles con fuertes configuraciones de privacidad
– Perfil es encontrado por nombre y apellidos
– Nombre del usuario no tiene relación con su perfil
– Configuración personalizada de privilegios visuales o filtros de la información para usuarios específicos
– Agregue solo información sobre usted; de esta forma no compromete la privacidad de su familia, amigos,
vecinos, etc. cuando haga enunciados (postings)
 RIESGO MODERADO – perfiles con algunas configuraciones de privacidad, pero con amplia información
sobre el usuario
– Perfil es encontrado por nombre y apellidos
– Nombre, fotos, ciudad/pueblo disponibles a usuarios no relacionados al perfil
– Configuración personalizada de privilegios visuales o filtros de la información para usuarios específicos
– Intereses/pasatiempos mostrados en el perfil, pero fotos incluyen a familiares y amigos (todos aquellos que
son notificados antes de publicar)
 RIESGO ALTO – perfil sin configuración de privacidad, amplia información sobre el usuario contenidad en
su perfil
– Perfil puede ser encontrado no solo dentro del servicio, también puede encontrarse con los directorios de
direcciones (Yahoo, Google, Bing)
– Nombre, fotos, direcciones, teléfonos, correos electrónicos, etc. disponibles a usuarios no relacionados al
perfil
– Cualquiera con un navegador puede ver todo el contenido
– Intereses/pasatiempos, fotos, etc. incluyen amigos y familiares unidos a etiquetas en fotos de sus rostros y
sus nombres; comentarios con información de citas o reuniones (hora, fecha, lugar)
 Recuerde
 Utilize sentido común
– Si es contactado por un desconocido, verifique con sus amistades o
familiares su identidad y/o haga una investigación en-linea
– Si algo resulta demasiado bueno para ser cierto, de seguro que asi es
 Confie en sus instintos
– Si se siente amenazado o incómodo interactuando por Internet, no
continue
– Informe cualquier comportamiento ofensivo o sospechoso al personal o
agencias pertinentes
 Sospeche, tenga malicia
– No acepte cualquier información que reciba de algún nuevo contacto
como se la presenta
– El Internet facilita que las personas expresen o realizen cosas que no
harian en público o en interacciones cara-a-cara

Protegerse es lo más inteligente que debe hacer!

¿PREGUNTAS?