Categorías
Conocimientos de digitalización. Negocios digitales. Navegación e identidad digital.

Navegación Digital

Tabla de contenidos

Introducción a la Seguridad de la Información

En los últimos años leemos y escuchamos noticias sobre la seguridad de la información en empresas o instituciones públicas. ¿Pero sabes de qué hablamos cuando usamos el término seguridad de la información?

Actualmente el usuario se encuentra en un mundo en el que el uso de la tecnología en nuestra vida diaria es cada vez más elevado. De hecho, utilizamos las posibilidades que nos ofrece la tecnología para realizar gran parte de nuestras actividades diarias:

  • Relacionarnos con los demás (correo electrónico, uso de redes sociales, aplicaciones de mensajería móvil).
  • Entretenimiento (utilización de aplicaciones en Internet para escuchar música, juegos online).
  • Gestiones online (obtención de certificados en entidades públicas, uso de banca online, compra de productos y servicios) entre otros.

El concepto de seguridad de la información

La privacidad es importante, pero ¿A qué nos referimos con la seguridad informática?

Es el conjunto de medidas preventivas, y la protección de la infraestructura y la información contenida las organizaciones y sistemas tecnológicos. Dichas medidas

permiten mantener la disponibilidad, la confidencialidad e integridad de la misma, los tres ejes en los que se basa la seguridad de la información.

  • La disponibilidad: La disponibilidad es la condición de la información de encontrarse a disposición de quienes deben acceder a ella. Hace referencia a que la información esté accesible en el momento de ser requerida para quien tenga autorización para acceder a ella.

    Algunos ejemplos de falta de disponibilidad de la información son: cuando nos es imposible acceder al correo electrónico corporativo debido a un error de configuración, o bien, cuando se sufre un ataque de denegación de servicio, en el que el sistema «cae» impidiendo el acceso. Ambos tienen implicaciones serias para la seguridad de la información.
  • Confidencialidad: Cuando hablamos de confidencialidad, nos referimo sa la forma de asegurar el acceso a la información a aquellas personas que cuenten con la debida autorización. Así, la información se debe poner en conocimiento de las personas o usuarios autorizados. Ejemplos de falta de confidencialidad son por ejemplo el hackeo o robo de información confidencial (direcciones de correo, contraseñas, ubicaciones, cuentas bancarias) por parte de un atacante en Internet, o incluso el acceso de un empleado a información crítica o sensible no autorizada para su visualización, que puede comprometer a la empresa.
  • La integridad: La integridad se refiere a la exactitud de la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados, libre de modificaciones y errores. Como ejemplos de ataques contra la integridad están la modificación de un informe de un empleado de forma malintencionada (en una Tarifa, un cambio en los precios de compra/venta de los productos), o por causa de un error humano (no ocultación de una columna con los precios de compra del producto a la hora de mostrar los precios de venta).

PROTEGER LA INFORMACIÓN

El concepto de Malware

Para poder proteger la información de un usuario, es necesario conocer en primer lugar los tipos de amenazas que atentan a la seguridad en Internet. Cualquier tipo de amenaza se denomina Malware. Podemos distinguir:

  • Virus informáticos: Es un programa informático diseñado para infectar archivos u ocasionar efectos molestos, destructivos e incluso irreparables en tu ordenador. No suele actuar hasta que no se ejecuta el programa infectado. Tiene una alta capacidad de autorreplica, y puede infectar a otros programas.
  • Gusanos informáticos: Programas que realizan copias de sí mismos en otros ordenadores de la red, buscando una distribución masiva pordiferentes medios, como el e-mail, los programas de compartición de ficheros P2P o la mensajería instantánea y así poder bloquear algunos programas del ordenador.
  • Phishing: Consiste en el envío de correos electrónicos que aparentan provenir de entidades bancarias o comercios online y dirigen al usuario a una página web falsificada con la intención de obtener sus datos confidenciales. Posteriormente, estos datos obtenidos se utilizan para realizar algún tipo de fraude. Se trata de un acto delictivo que consiste en adquirir información confidencial a través de la suplantación de una identidad. El caso más común es pedirnos nuestro número de tarjeta y pin, simulando ser una entidad bancaria. Para evitar el Phising es recomendable no facilitar nunca información confidencial de ese tipo en respuesta a un requerimiento por correo electrónico. Nuestro banco nunca utilizará este medio para ponerse en contacto con nosotros por esas cuestiones.
  • Spyware: Programas que recopilan información sobre una persona u organización sin su consentimiento ni conocimiento. Buscan elbeneficio económico del ciber-delincuente, que vende los datos para uso fraudulento o simplemente para utilizarlos con fines publicitarios. Puede instalarse al descargar contenidos gratuitos de una página Web o de redes de compartición de ficheros P2P.
  • Troyanos bancarios: Es un programa informático diseñado para infectar archivos u ocasionar efectos molestos, destructivos e incluso irreparables en tu ordenador. No suele actuar hasta que no se ejecuta el programa infectado. Tiene una alta capacidad de autorreplica, y puede infectar a otros programas.
  • Spam: Correos electrónicos no solicitados y de remitente desconocido, que se envían en cantidades masivas a un amplio número de usuarios. Pueden anunciar un producto o servicio con una oferta atractiva y, sin embargo, proceder de un delincuente que sólo intenta estafar a los usuarios vendiendo productos que nunca enviarán o que serán defectuosos. También se les llama correos “basura” o correos no deseados. El spam puede ser utilizado para cometer acciones de phishing. Los mensajes Spam pueden estar relacionados con contenidos de piratería de software o contenidos sexuales, y es posible que lleven virus asociados. Algunas recomendaciones para evitar el Spam:
    • No abrir y desechar los mensajes de remitentes desconocidos.
    • Normalmente podremos marcar un mensaje como Spam de modo que los siguientes mensajes del mismo remitente ya sean identificados como tal.
    • No descargar los archivos adjuntos y no abrir dichos archivos en nuestro ordenador.
    • Es recomendable activar un filtro antispam en nuestro correo.
  • Keylogger: Realiza capturas de pulsaciones en el teclado, de forma que espía lo que el usuario escribe para filtrar la información y obtenercontraseñas de acceso a webs, banca online, o aplicaciones del sistema.
  • Adware: Es una o un conjunto de aplicaciones que tienen como objetivo reproducir publicidad no deseada en el ordenador o dispositivo, modificar las búsquedas de información hacia sitios webpublicitarios y recopilar información relativa al comportamiento en Internet del usuario.
  • Rootkit: También es denominado como Encubridor, ya que a través de diversas herramientas malware diseñadas para estar ocultas, puede tanto infectar como controlar un dispositivo y ordenador de forma remota. Aparecieron hace 20 años, y se emplean como base para realizar otros ataques como denegación de servicio (DoS) o envío de spams.

Los agentes implicados en la ciberseguridad

Asimismo, existen diversos agentes o figuras que influyen igualmente en la seguridad:

  • Hacker: Es el experto de seguridad informática, que investiga y reporta fallos de seguridad a los fabricantes de dispositivos y software, evitando que cualquier otro pueda hacer un mal uso de estos fallos y en consecuencia todos los demás usuarios de Internet mejoren su seguridad. Últimamente, el término hacker ha sido muy denostado o mal utilizado en los medios de comunicación asociándolo con la realización de actividades ilegales.
  • Ciber-delincuente: Es aquel que comete un delito y utiliza como medio Internet. Su principal actividad suele ser el fraude electrónico utilizandotécnicas de phishing o spam. También se puede considerar dentro de este grupo a los creadores de programas maliciosos y a los denominados ‘piratas informáticos’ que acceden a sistemas no autorizados con fines ilegítimos.
  • Cuerpos de seguridad: En la actualidad antes de la eclosión de Internet, los cuerpos de seguridad de todo el mundo, España entre ellos, se han preparado y formado para afrontar todos estos actos de delincuencia en Internet.

LOS ACTIVOS DE INFORMACIÓN

Que son los activos de la información

Los activos son aquellos elementos del sistema de información de la empresa que la compañía considera fundamentales para su funcionamiento, por lo que son elementos sobre los que se debe prestar una especial atención, ya que el impacto de un incidente sobre ellos puede ocasionar graves perjuicios.

Por tanto, en el marco de una buena metodología de gestión de la seguridad de la información se debe:

  • Mantener un inventario actualizado en todo momento de los activos de la información.
  • Se debe definir quién es la persona responsable de dicho activo, persona que será la que tome finalmente decisiones que puedan afectar a la seguridad, independientemente del papel que pueda adoptar la Dirección.

En la consideración de los activos de información, hemos pasado en los últimos años a considerar solo los documentos físicos o digitales de una organización a una consideración más holística en la que los activos de información es todo aquello que es fundamental para el funcionamiento de una empresa y para su supervivencia como organización.

Así, en el concepto de activos de información contemos con los equipos y el software, las redes de comunicación, la seguridad en el intercambio de archivos dentro y fuera de la organización, etc.

¿Cuáles son los principales activos de una organización?

En líneas generales, en una compañía se pueden identificar los siguientes tipos principales de activos de información:

  • Los propios servicios prestados por la empresa.
  • La información y los datos disponibles en sí mismos.
  • El software y las aplicaciones utilizadas.
  • El hardware.
  • Equipamiento auxiliar.
  • Instalaciones de la empresa.
  • El sistema de comunicaciones.
  • Los Recursos Humanos, incluye los colaboradores externos.

Las categorías de información a proteger

Previo a la prevención y la utilización de herramientas para proteger la información, es recomendable categorizar la información que contiene la empresa o el usuario. Esta clasificación puede ser:

Esta clasificación determina el tratamiento que se debe realizar sobre la información.

IDENTIDAD DIGITAL

TU IDENTIDAD Y LAS CONTRASEÑAS

Toda persona tiene su identidad personal, algo que le hace diferente a los demás, y por la que es identificada rápidamente. Puede estar formada por rasgos físicos, forma de vestir, hablar, etc. En la sociedad digital ocurre algo similar, construimos una identidad con nuestra participación en la red, y la vamos potenciando con nuestras actividades e interacciones en lamisma.

Como usuario habitual de Internet, estarás acostumbrado a utilizar alguno de los servicios más comunes como foros, subscripciones a sitios web, redes sociales, blogs, subir imágenes y vídeos o comentar noticias. Por tanto, puede haber una gran cantidad de datos personales tuyos existentes en la red.

Esta identidad digital, puede coincidir o no con la identidad del mundo real, es decir, puede haber características asociadas a tu identidad digital que no se correspondan contigo, por lo que, para muchas personas, resulta importante gestionar la propia reputación y privacidad en la red.

En definitiva, podríamos denominar a la “identidad digital” como el conjunto formado por:

  • Información que nosotros mismos publicamos.
  • Información que compartimos de otros usuarios.
  • Aquella información que existe en internet sobre nosotros.

Origen del concepto de Identidad digital

El origen de la utilización de identidad digital proviene del propio concepto de identidad:

Es un conjunto de rasgos que nos individualizan y confirman la personalidad en el ámbito legal, familiar, etc.

Hasta hace poco, configurar y gestionar la identidad personal era una tarea que comprendía únicamente tratar nuestra realidad en relación con las diferentes organizaciones y personas en un entorno personal y físico más cercano.

Sin embargo, la llegada de Internet de forma masiva a la vida de las personas y, sobre todo, la facilidad de interactuar y dejar huella en ella, hace que la gestión de la identidad se complemente con la realidad digital, que además incorpora nuevas características que han de ser tenidas en cuenta por las personas para que la gestión de esa identidad sea realmente efectiva.

Durante los últimos 20 años, el avance de la digitalización de las actividades de los ciudadanos y su migración hacia el medio online ha sido constante: se trabaja, se aprende, se compra, se vende, se llevan a cabo reuniones, se ven contenidos audiovisuales, se escucha audio, se invierte, se crea, se vota…

Identidad digital vs marca personal

La identidad digital es toda información que existe sobre nosotros, independientemente dequien la publique.

La diferencia principal respecto a la marca personal estriba en que ésta se crea, se construye voluntariamente de forma óptima con el objeto de una promoción personal o comercial. Con una estrategia de marca personal damos una propuesta de valor personal o comercial a lo que hacemos en la sociedad digital.

En el entorno empresarial, cada vez se es más consciente de la importancia de la presencia en medios digitales, y de la construcción de una buena marca personal gestionando adecuadamente la identidad digital.

Elementos que componen la identidad digital

Hemos insistido en el cambio que supone la forma de comunicarnos a través del tiempo, y de la creación de una identidad en la Red. Esta identidad puede generarse por diferentes elementos.

Herramientas para mejorar la identidad digital

La mejora en la identidad digital se puede afrontar desde tres perspectivas:

  • Visibilidad: La visibilidad hace referencia a lo conocidos que somos en la sociedad digital.

    Por ejemplo, una búsqueda de un nombre y apellidos y/o de una empresa en Google puede determinar parte de la visibilidad que tiene en la red, y establecer una correspondencia entre lo que se espera de la persona o empresa y lo que se ha publicado. De este modo, es posible determinar cómo de visibles queremos ser, y modificar el comportamiento en determinados servicios a la hora de publicar información. Con más probabilidad nos interesará tener una identidad profesional visible; y una visibilidad personal limitada. Una forma de medir nuestra visibilidad online es:
    • Conocer el número de seguidores de una red social.
    • Cantidad de veces que se comparte el contenido que publicamos.
    • Los comentarios que generamos en artículos que publicamos en blogs.
  • Reputación: Tiene más importancia que la visibilidad, y se refiere a la opinión que los demás tienen de nosotros en los medios digitales. Esta opinión se mide en base a la influencia o impacto que tiene lo que compartimos. ¿Qué es conveniente? Lógicamente tener una buena reputación. Para ello debemos medir lo que decimos y lo que compartimos, dada la relevancia que puede tener en los seguidores. Desde el punto de vista de la seguridad informática, las opiniones que compartimos y la información que generamos debe estar en consonancia con nuestro perfil laboral. Existen una serie de herramientas para medir la visibilidad y reputación de un perfil: Google Analytics, Howsociable, Mentionmapp, Visually, Twitter Counter.
  • Privacidad: Es la perspectiva más relacionada con la seguridad. Actualmente es, con elauge de las redes sociales, la más importante. Desde esta perspectiva debemos definir qué publicamos y si es acorde con la privacidad que deseamos. Hay que recordar que una publicación de una imagen puede acarrear consecuencias en nuestra privacidad, ya que publicamos información sensible. Dicha imagen puede ser utilizada para otros fines diferentes a nuestras intenciones.

    Para mejorar la privacidad, la mayor parte de servicios web tiene un configurador de privacidad y seguridad en el que puedes determinar quién puede visualizar lo que publicas, y permitir o no la visualización de contenido potencialmente delicado o sensible.

RIESGOS

Podemos definir el término riesgo como la posibilidad de que se produzca un contratiempo o desgracia, de que alguien o algo sufra daño o perjuicio.

Adaptado a la seguridad digital, los riesgos pueden ser diversos para el usuario, independientemente de que sea empresa o particular.

CREAR UNA CONTRASEÑA SEGURA

La Oficina del Internauta sugiere una serie de consejos para evitar riesgos en la gestión de contraseñas:

  • No compartas tus contraseñas con nadie: Si lo haces, dejará de ser secreta y estarás dando acceso a otras personas a tu privacidad. En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que le soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla. Casi con total seguridad se tratará de un fraude.
  • Asegúrate de que son robustas: Están formadas por al menos 8 caracteres:mayúsculas, minúsculas, números, caracteres especiales. Utiliza alguna regla mnemotécnica para recordarlas.
  • No utilices la misma contraseña en diferentes servicios: Siempre claves diferentes para servicios diferentes.
  • Cuidado con las preguntas de seguridad: Si las utilizas, que sólo tú y nadie más sepa las respuestas.
  • Utiliza gestores de contraseñas: Si te cuesta memorizar las contraseñas o utilizas muchos servicios, apóyate en estos programas, son muy útiles y sencillos de manejar.
  • No se deben almacenar las contraseñas en un lugar público: No se deben almacenar las contraseñas en un lugar público y al alcance de los demás (encima de la mesa escrita en papel, etc.…).
  • Modifica las contraseñas periódicamente: Con el objeto de no ser hackeado, es recomendable que cada X meses cambies las contraseñas que hayas establecido en los distintos servicios de Internet.

Los tipos de contraseñas se pueden categorizar en:

  • Soft o débiles: Suelen ser las formadas por pocos caracteres, fácilmente reconocibles.
  • Hard o robustas: Formada habitualmente por como mínimo 8 caracteres y compuesta por letras en mayúscula y minúscula, números y caracteres especiales.

Proceso de creación de una contraseña segura

Por tanto, para generar una contraseña robusta debemos:

A partir de todos estos consejos, puedes crear una contraseña robusta que sea difícil de adivinar. Pero es posible que no las recuerdes. Hoy en día existen aplicaciones de tipo“Gestor” para almacenar por ti las contraseñas de los diferentes servicios. Para utilizarlas sólo necesitas recordar la clave de acceso al gestor de contraseñas, conocida como clave maestra, para consultar el resto de tus contraseñas.

Pero, eso sí, debes recordar al menos la contraseña de acceso a la aplicación, dado que en caso contrario no podrás tener acceso al resto de contraseñas.

Las aplicaciones más destacadas son: 1 Password, LastPass, Keeper Gestor, 2 Password, Dashlane.

Como puedes comprobar, es extremadamente sencillo crear una contraseña diferente para cada tipo de servicio y guardarla en un gestor de contraseñas como los indicados y recuperarla en caso de olvido. No obstante, no hay que perder de vista la recomendación de renovar y modificar las contraseñas de forma periódica.

Al igual que hemos visto aplicaciones que permiten guardar contraseñas, también existen apps y webs que generan contraseñas seguras: ClaveSegura, RoboForm, Google Chrome.

Contraseña WIFI

Igualmente es importante modificar la contraseña del router, que generalmente está formada por un conjunto de caracteres.

A continuación, puedes ver una serie de consejos para crear una contraseña WIFI segura:

  • Fuera del diccionario: Hay sistemas de desciframiento basados en los diccionarios, por ello elegir como contraseña una palabra que esté en el diccionario no es una buena idea, aunque el término sea muy raro o esté en otro idioma. Por la misma razón, una palabra que empiece por las letras “x” o “z” tiene menos posibilidades de descubrirse, porque esos programas funcionan alfabéticamente. Evita combinaciones que empiecen por las primeras letras.
  • Datos desconocidos: Es posible que la persona que quiere entrar en nuestros archivos nos conozca, por lo que el nombre de nuestra pareja o padre es una mala opción. Lo mismo pasa con las fechas de cumpleaños o nombres de mascotas. Si el atacante sabe que nos gusta Harry Potter, probará cualquier palabra asociada a él.
  • Pregunta relacionada: Si olvidas tu contraseña, en algunos lugares te la envían tras responder a una pregunta relacionada que tú mismo has elegido previamente. Es mejor no usar nunca esta opción. Si tienes una pregunta muy fácil (¿cuál es mi libro preferido? ¿En qué lugar veraneo?), la cadena de seguridad se rompe por ahí, porque quizá en algún lugar de tu página web hayas incluido esa información.
  • Tamaño: Una buena contraseña debe tener al menos seis caracteres. Lo ideal es usar el número máximo de caracteres que se nos permita en cada caso. El tamaño sí importa,porque cuantos más caracteres haya, más difícil es reventar la contraseña.
  • Complejidad: Lo mismo puede decirse de su grado de dificultad. Muchos ataques sólo combinan letras y números y no son eficaces contra combinaciones raras de signos. Es muy eficaz utilizar @, $, &, #, !, etc., en medio de nuestra contraseña.
  • Crea una difícil de descubrir: Elige una frase que te guste (UN TRISTE TIGRE, por ejemplo); elimina los espacios (UNTRISTETIGRE); sustituye letras por números o signos que recuerdes, por ejemplo: la E por un 3, la I por un 1, la T por # (UN#R1S#3#1GR3). Usa los primeros ocho o diez caracteres –todos los que puedas– y tendrás una contraseña excelente y muy segura. No olvides cambiarla con regularidad.

AUTENTIFICACIÓN DE USUARIOS

Aun cuando la creación de una contraseña robusta supone una seguridad media a la hora de acceder a los servicios web, cada vez se utilizan menos, para dar paso a otros sistemas de acceso a la información. En líneas generales todo sistema que permita dicho acceso se denomina Autenticación de usuario. Es posible autenticarse de tres formas:

  • Usuario y Contraseña.
  • Tarjeta magnética, Dispositivo móvil.
  • Huella digital.

Hoy en día, además de contraseñas de acceso, existen otros mecanismos de seguridad que las sustituyen o complementan.

Autenticación de doble factor (2FA)

Se ha extendido su uso, ya que requiere de un dispositivo del usuario para contrastar el acceso a un servicio web. Por ejemplo,

Movistar utiliza dicha autenticación para el caso en el que olvide la contraseña, enviando un SMS con un enlace al dispositivo móvil que se indique para renovar o modificar la contraseña de acceso.

Los sistemas bancarios refuerzan la seguridad a la hora de acceder los usuarios incluyendo autenticación de doble factor. En estos casos, utilizan tarjetas de coordenadas de los bancos (“algo que tenemos”), unas tarjetas con una matriz de números ordenados en filas y columnas. Al realizar algún trámite online en el banco, como una transferencia, el sistema pide al usuario que introduzca los números de una celda en particular (por ejemplo, la B8, o la H5) para tener mayor certeza de que quien está realizando ese trámite es la persona que dice ser, y no un usurpador.

¿Qué sistemas han adoptado el sistema de autenticación de doble factor? Dada la inseguridad actual que produce el inicio de sesión con usuario y contraseña, la mayor parte de los servicios en Internet han adoptado la autenticación de doble factor o en dos pasos como complemento a dicha contraseña.

Certificado de usuario o certificado digital

Se trata de un sistema ya con un considerable bagaje, dado que es el que más se utiliza para acceder a servicios públicos. Lo emite la FNMT (Fábrica Nacional de Moneda y Timbre) y consiste en un software instalable en cualquier navegador que almacena los protocolos necesarios para autenticar a una persona. Tiene validez legal, y con él se pueden realizar diversos trámites como:

  • Presentación y liquidación de impuestos.
  • Presentación de recursos y reclamaciones.
  • Cumplimentación de los datos del censo de población y viviendas.
  • Consulta e inscripción en el padrón municipal.
  • Consulta de multas de circulación.
  • Consulta y trámites para solicitud de subvenciones.
  • Consulta de asignación de colegios electorales.
  • Actuaciones comunicadas.
  • Firma electrónica de documentos y formularios oficiales.

¿Cómo puedes obtenerlo?

En primer lugar, y para evitar problemas a la hora de solicitar/descargar el certificado, se recomiendan una serie de consejos:

  • Dado que uno de los procesos es obtener un código mediante una solicitud online, se debe realizar el proceso al completo desde el mismo ordenador, y un ordenador cercano al momento de acreditación. Esto evitará problemas a la hora de la descarga del software.
  • No formatear el ordenador, entre el proceso de solicitud y el de descarga del certificado.
  • Se debe realizar todo el proceso de obtención desde el mismo equipo, con el mismo usuario y el mismo navegador.
  • No realizar actualizaciones en el equipo mientras dure el proceso.
  • Desactivar el antivirus.
  • Los navegadores soportados para la obtención son Internet Explorer y Mozilla Firefox.

Para poder obtener un certificado digital o de usuario, es necesario entrar en la web de la FNMT, solicitar dicho certificado, acreditar personalmente la identidad en una oficina de registro (AEAT, Seguridad Social,…) y posteriormente descargar el certificado para poder ser instalado en un navegador.

Autenticación con clave temporal

Se utiliza en sistemas de identificación de usuarios como Cl@ve, una alternativa cada vez más usada en webs públicas como sustituto del certificado de usuario. En este caso, la cl@ve se denomina PIN. Es una forma de realizar trámites por Internet con una validez limitada en el tiempo y que se puede renovar cada vez que necesitemos.

Este sistema de identificación electrónica está basado en el uso de un código elegido por el usuario y un PIN comunicado al teléfono mediante la app Cl@ve PIN o con un mensaje SMS.

Dicho PIN tiene una validez de 10 minutos, por lo que se asegura que no pueda hackear el servicio, dado que posterior a su caducidad, no será válido.

Este sistema está implantado en todos los sistemas de identificación de usuario de ámbito público estatal, como Seguridad Social, Fondo de Garantía Salarial, BOE o AEAT. Además, gran parte de las comunidades autónomas u entidades locales han adoptado dicho sistema como propio para permitir el acceso a los servicios a la ciudadanía.

Huella dactilar

Evidentemente su avance y uso se debe al incremento espectacular del número de smartphones en los últimos años. Se utiliza desde 2013 en el smartphone iPhone 5S, y hoy en día, prácticamente todas las marcas han incorporado la huella como sistema de acceso al dispositivo. Hay que indicar que este sistema no era accesible para todas las empresas antes de 2013 por el tamaño de los sensores dactilares, y se utilizaba únicamente como medio de entrada a determinadas empresas Tech o en el ámbito de la seguridad.

Sistema de reconocimiento facial y ocular

Como progreso y avance a la huella dactilar, algunas empresas han desarrollado un sistema de acceso a servicios y dispositivos basado en el reconocimiento de los rasgos faciales, o del iris.

Así, Apple tiene desarrollada dicha técnica y la denomina FaceID, Microsoft para su sistema operativo Windows 10, permite el denominado Windows Hello, que no es sino una agrupación de diversos sistemas de reconocimiento biométrico (dactilar, ocular, facial) y que el usuario determine el que desea utilizar.

CONTROL DE ACCESO A INTERNET

Control de acceso a Internet en la empresa

En primer lugar, es necesario indicar que el disponer de sistemas de control de acceso a las redes por parte de los empleados supone un beneficio para la empresa dado que:

  • Aumenta la productividad de los empleados.
  • Se realiza un uso más responsable de Internet.
  • Aumenta la velocidad de red.

El empleado ocupará el tiempo en la empresa con acciones productivas, y el acceso a Internet, estará enfocado a su propia labor. Por otra parte, al hacer un uso más responsable, se evitan intrusiones o hackeos, que habitualmente provienen de páginas no seguras.

Es posible controlar el acceso de los empleados mediante software que pueda realizar:

  • Filtrado por palabras clave: Consiste en crear una serie de palabras clave restringidas o prohibidas mediante un software cortafuegos. Cuando el empleado intente acceder a dichas palabras clave, no encontrará resultados.
  • Tipos de archivos: También es bastante común y utilizado en la empresa limitar los tipos de archivos que un ordenador puede ejecutar. Así, se evitará la apertura de ficheros de vídeo o audio que puedan contener virus por descarga externa.
  • Control de acceso a páginas web: En este caso, se bloquean sitios web no deseados. Es muy útil para bloquear el acceso a redes sociales de ámbito personal, salvo lógicamente puestos de trabajo de tipo Community Manager, o empresas de marketing. También se evita con este control el acceso a páginas web inseguras, de descarga, pornografía, webs de apuestas, chats, en definitiva, accesos no deseados por parte de la empresa. Se consigue un doble objetivo: impide la pérdida de tiempo productivo por parte del empleado y evita la infección de sistemas informáticos de malwares.
  • Examen de archivos alojados en caché web: No es un sistema de control seguro, ya que el empleado puede tener conocimiento medio de navegadores web y los archivos temporales. En caso de tener pocos equipos y si se quiere saber qué sitios web visitan los usuarios, esto es posible al examinar la memoria caché del navegador Web (también llamado Archivos temporales de Internet en Internet Explorer), en la cual se almacenan copias de las páginas y gráficos que el usuario descarga, de modo que puedan mostrarse más rápidamente cuando el usuario desee volver a visitar la misma página.

Es necesario indicar que la ley actual española afirma que la vigilancia hacia los empleados se puede realizar siempre que no interfiera en el derecho a su privacidad. Para cumplir con estas premisas, previamente la empresa debe:

  • Comunicar el control de Internet: Es la principal condición para que las empresas puedan llevar a cabo la vigilancia del uso que los trabajadores hacen de Internet. Independientemente de cómo se comunique, deberá quedar constancia de ello por escrito.
  • Delimitar qué está prohibido y qué no: Por ejemplo, la empresa puede prohibir a sus trabajadores el uso de las redes sociales. Pero a su vez, sí puede permitir el uso de LinkedIn como forma de contactar con un cliente. Todos estos casos deberán ser detalladas claramente.
  • Especificar las vías de vigilancia: También deberán especificar los dispositivos de vigilancia que pretenden implementar. Un software instalado en los ordenadores de los empleados, filtros de seguridad en sus equipos, etc.

Control de acceso a Internet a nivel personal y familiar

En usuarios domésticos también es preciso controlar el acceso, sobre todo si se trata de menores. A tal efecto, existe el concepto de Control Parental. Se trata de una o un conjunto de herramientas para configurar el acceso a los dispositivos por parte de los menores de edad. En primer lugar, hay que indicar que el mejor control parental para los menores es la familia. El establecimiento en el hogar de normas y límites, para el uso del ordenador o los dispositivos móviles, es una buena estrategia de prevención. No obstante, es importante ser un ejemplo en el uso de las TIC para los menores y usarlas con responsabilidad. Por ejemplo, no publicar en las redes sociales fotos de nuestros hijos e hijas hasta que no nos den su consentimiento.

La mayor parte de los sistemas informáticos existentes hoy en día contienen aplicaciones para gestionar el control parental.

7.2.6 IDENTIFICAR INFORMACIÓN VERÍDICA DE INTERNET

Definiciones generales

Para evitar fraudes, o dar información falsa que pueda causar daño y perjuicio es recomendable a la hora de visualizar contenido en Internet comprobar la veracidad del mismo, e igualmente tener en cuenta pautas de comportamiento de sitios webs que suelen tener información no veraz. Existen numerosos términos asociados a la información no real en Internet:

  • Bulos o Hoaxes: Es la mistificación, broma o engaño. Se trata de una falsedad articulada de manera deliberada para que sea percibida como verdad. Pueden ser desde mensajes con falta advertencia de virus, cadenas solidarias, denuncias, etc. Se suele propagar por medio de la TV, radio y principalmente aplicaciones de mensajería instantánea.

    Generalmente no tiene como objetivo provocar daño, sino influir en la opinión del ciudadano. Es más inofensivo que el Spam, pero igualmente molesto, ya que nos hace perder tiempo. Se trata de mensajes que mediante difusión masiva tratan de propagar que algo falso es real. Normalmente su fin no es delictivo, pero puede serlo. Siempre solicitan que lo reenviemos a todos nuestros contactos. Para evitar el Hoax es recomendable no reenviar mensajes con información que no hayamos contrastado, y si detectamos un Hoax, informar a las personas que lo hayan recibido de que es falsa la información y que lo reenvíen.
  • Fake News: Suponen un tipo de bulo enfocado a la emisión de noticias. En este caso, se emiten con la intención deliberada de engañar, manipular y desprestigiar personas y/o entidades. Si bien actualmente se conoce con mayor facilidad, surgieron desde el Imperio Romano, cuando entre el pueblo de Roma surgen rumores afirmando que el emperador Nerón ordenó que se provocara un incendio que destruyó buena parte de la ciudad. El propio emperador desvió las sospechas acusando a los cristianos de tal hecho.

El porqué de los bulos

Ya hemos comentado que los bulos y las fake news son intencionados, pero ¿cuál es el objetivo principal a la hora de publicarlos? Existen varias motivaciones:

En la mayoría de las ocasiones, el hoax busca difundir información falsa para generar alarma social, miedo en la población, pero también puede tener una motivación de captación de direcciones de correo para enviar publicidad, transmitir software malicioso o desprestigiar a una entidad o persona por algún hecho que haya realizado.

En todo caso, hay que tener en cuenta que la emisión de un mensaje falso puede ser constitutivo de delito en base al artículo 561 del Código Penal. En él, se especifica:

Quien afirme falsamente o simule una situación de peligro para la comunidad o la producción de un siniestro a consecuencia del cual es necesario prestar auxilio a otro, y con ello provoque la movilización de los servicios de policía, asistencia o

salvamento, será castigado con la pena de prisión de tres meses y un día a un año o multa de tres a dieciocho meses.

GESTIONES ONLINE SEGURAS

Compra online

Toda la información contenida hasta hora sirve para generar Confianza, fundamental a la hora de realizar gestiones online seguras.

Es necesario antes de realizar una gestión, asegurarse de que el dispositivo con el que se realiza es seguro. La seguridad en un dispositivo viene determinada por la aparición de un antivirus actualizado, actualizaciones del sistema operativo, y si la realizamos a través de un software, este debe igualmente estar actualizado.

Además del consejo anterior, es necesario prestar atención a otra serie de aspectos. Por ejemplo:

A la hora de realizar la transacción económica se recomienda que se utilicen medios de pago que no supongan la introducción de cuentas bancarias. Actualmente, existen numerosos sistemas de pago por Internet: PayPal, Amazon Pay, Apple Pay, Google Pay.

NAVEGACIÓN PRIVADA

Sabemos que conforme vamos navegando por Internet, vamos dejando un rastro que es aprovechado por empresas para ofrecernos publicidad, información o accesos rápidos a webs. Es habitual visualizar una web de compras, y que, en otro momento, en otra web de contenido totalmente diferente, aparezcan varios anuncios con los productos que hemos visualizado. Para ello se utilizan las denominadas cookies, pequeños archivos de texto y se almacenan en el directorio del navegador de tu ordenador o en las subcarpetas de datos de programa.

Las cookies se crean cuando utilizas tu navegador para visitar una web. Las utiliza para:

  • Hacer un seguimiento de tus movimientos por la página.
  • Ayudarte a indicarte dónde dejaste la navegación.
  • Recordar tu inició de sesión.
  • Preferencias y otras funciones de personalización.

Si bien, a veces es útil mantener las cookies y archivos temporales de Internet para obtener la información deseada de la forma más rápida, puede convertirse en un agujero de seguridad.

Definición de Navegación privada

El modo incógnito o privado, permite navegar por las diferentes webs sin necesidad de guardar ninguna información en el propio navegador. Por tanto, impide que sea utilizada por terceros para otros fines.

Es recomendable para evitar que las empresas rastreen la información y cobra mayor importancia en el momento en que compartimos el ordenador con otros usuarios. En entornos públicos, es extremadamente recomendable no dejar alojada ninguna información personal ni rastro de acceso.

Con la sesión de navegación privada, al cerrarla se eliminan las cookies, se borra el historial de navegación, elimina los textos introducidos en formularios, no almacena contraseñas y vacía la memoria caché del navegador, para impedir que alguien pueda entrar en la última sesión.

Algunas consideraciones

El entrar en una navegación privada no evita que la dirección IP se pueda mostrar, ni que las webs se almacenen en el router. Además, el administrador web de la empresa puede acceder a dicho router y verificar el acceso a la información de un usuario.

Existe un navegador que camufla la dirección IP, se denomina TOR. Principalmente se utiliza para auditorías de seguridad informática y acceso a la Deep Internet (Internet Profunda), un conjunto de servicios no soportados por los estándares de seguridad informática y que fomentan la actividad ilícita (compra de armamento, drogas, gestión de mafias).

Al hilo del concepto de “incógnito” de la navegación segura, hay fuentes que indican que no es tan incógnito, basándose en lo que cada navegador indica que guarda o no guarda.

Usos de la navegación privada

Ya hemos visto que es interesante utilizar la navegación privada en un navegador, pero ¿en qué contexto puede ser útil? Según la revista MuyComputer podemos destacar:

  • Transacciones económicas: Compras con tarjetas de crédito y cuentas de servicios como PayPal, trámites administrativos u otros, sin dejar información de las mismas para asegurar las compras on-line.
  • Acceso a una web con varias cuentas a la vez: La mayoría de sitios web no permiten ingresar con más de una cuenta a la vez. Pero el modo de navegación privada ofrece una solución. Puedes mantenerte autenticado en la ventana principal del navegador y abrir una pestaña de navegación privada para utilizar una segunda cuenta.
  • Utilización de un equipo de terceros: Si tienes que utilizar la computadora de un familiar o amigo, la navegación privada permite no dejar rastros de tu tarea y no deshabilitar los accesos a servicios del dueño del equipo como habitualmente sucede, teniendo que salir de sus cuentas para usar las tuyas.
  • Resultados “puros” del motor de búsqueda: Motores de búsqueda como el de Google utiliza el historial de búsqueda y otra información que ha ido recopilando de ti (muchísima) para mostrar resultados de búsqueda personalizados. Normalmente es útil porque se basa en tus intereses, pero a veces es posible que desees ver los resultados de búsqueda de carácter general que ofrece el motor y ven el resto de usuarios, para comprobar cómo están posicionados algunos términos, por ejemplo tu nombre o el de tu empresa. Una sesión en el modo incógnito debería ofrecerte los resultados más “puros” posibles. Este método funciona con todos los motores web.
  • Comercio electrónico: Siguiendo el anterior uso, imagina que estás investigando la compra on-line de un producto que desea comprar en línea, por ejemplo, Amazon, que como cualquier sitio que ofrezca experiencias personalizadas basadas en tu cuenta de usuario o actividad anterior, recordará que estabas buscando ese tipo de producto.

    Amazon no solo “te perseguirá” en su portal sino en otros sitios web que visites. Si no quieres que esto ocurra, puedes utilizar una ventana de navegación privada. La actividad no será asociada con su cuenta de Amazon u otros minoristas de comercio electrónico. La navegación privada también ofrece otros usos interesantes en comercio electrónico. Por ejemplo, si queremos sorprender con el regalo de un producto y no queremos dejar rastro o contratar un viaje de vacaciones o similar.
  • Límites de lectura o accesos: Algunos sitios web limitan el acceso de lectura a un pequeño número de artículos gratuitos, sea diario, semanal o anual, exigiendo el pago de una suscripción una vez agotado los accesos. Si como ocurre normalmente el control de acceso se realiza a base de cookies, puedes utilizar la navegación privada para superar el límite. Por supuesto, sé honrado y utiliza esta técnica solo temporalmente. Si te gusta el sitio considera suscribirte porque será la única forma de mantenerlo en el futuro. Ya sabes las dificultades de los medios simplemente para mantenerse on-line.

Acceso a la navegación privada

Desde cualquier navegador es sencillo utilizar la navegación privada (Chrome, Firefox, Safari…).

MALWARE

Hemos indicado en el anteriormente el concepto de malware. Se trata de cualquier código o aplicación maliciosa que tiene como objetivo infiltrarse o dañar un ordenador, o un dispositivo que esté conectado a Internet (smartphones, Tablet, weareables, dispositivos IoT,…), que intentan tomar control del ordenador o dispositivo móvil para robar datos y contactos. El caso más común es pedir que hagamos “clic” en un enlace desconocido o un fichero adjunto. Para evitar el Malware es recomendable no abrir correos ni mensajes de remitentes desconocidos con archivos adjuntos, y si el remitente es de confianza, usar un programa antivirus antes de abrir ficheros adjuntos del correo.

Tipos de malware
  • Virus: Son aplicaciones capaces de crear copias de sí mismas, de forma que fusionan estas copias a otras aplicaciones legítimas o en zonas especiales de soportes de almacenamiento, como discos duros internos y externos. Necesitan de la intervención del usuario para propagarse, utilizando vías la ingeniería social, descarga de ficheros, visita a páginas web de dudosa reputación, utilización incorrecta de dispositivos externos de memoria, correo electrónico, etc. Los virus suelen diseñarse para producir todo tipo de problemas en un ordenador, como volverlo más lento, bloquearlo o impedir el acceso a la información.
  • Gusanos: Son un tipo de código malicioso que se diseñó inicialmente para propagarse a través del correo electrónico. En la actualidad, son capaces de replicarse y propagarse a través de la red sin necesidad de la intervención del usuario, a través de servicios de mensajería instantánea o de redes de intercambio de ficheros (P2P). Es el motivo principal por el que no es recomendable utilizar páginas de descarga ilegales. Éstas utilizan el sistema P2P. Los gusanos suelen aprovechar las vulnerabilidades de los sistemas operativos o de las aplicaciones instaladas (principalmente desactualizadas), y su velocidad de propagación es muy alta en comparación con los virus.
  • Troyanos: Son aplicaciones que se ocultan otras de carácter legítimo,como aplicaciones de ofimática, facturación, documentos de trabajo, fotos, etc. para proporcionar acceso no autorizado al sistema infectado. Su propagación requiere de la acción directa del usuario para su descarga e instalación.

    Están especializados en el robo de credenciales bancarias y son una de las mayores amenazas en la actualidad, por la proliferación de este tipo de código malicioso, muy utilizado por los ciberdelincuentes.
  • Spyware: Son aplicaciones destinadas a la recolección de información sobre la actividad de un usuario. Están diseñadas para pasar inadvertidas, de forma que el usuario no perciba ningún tipo de actividad fuera de lo normal. Cuanto más tiempo pasen sin ser detectados, más información serán capaces de recopilar, que luego es enviada a servidores o direcciones de correo que la recogen y la usan para todo tipo de fines.
  • Adware: Son aplicaciones diseñadas para mostrar publicidad al usuario. Suelen ser instalados junto con otros programas legítimos.Estos programas pueden recopilar información sobre la actividad del usuario con objeto de mostrar publicidad dirigida y específica.
  • Ransomware: Tiene como objetivo bloquear y secuestrar el acceso a un equipo de trabajo o a la información que contiene, con el fin de pedir un rescate económico a cambio de su desbloqueo.

¿Cómo protegerse de malwares?

El malware es un programa malicioso que tiene como objetivo infiltrarse en una computadora para obtener datos o dañarla. Por lo general, un ordenador puede verse en peligro si el usuario frecuenta sitios webs infectados, instala programas, juegos, archivos de música de dudosa reputación. También se puede encontrar estos tipos de virus en los USB, incluso, en los correos electrónicos.

Por estos motivos, la prevención es una acción fundamental si deseamos que nuestro esquipo esté libre de malware. Si deseas conocer qué debes hacer para evitar la infección, te dejamos algunos consejos que debes tener en cuenta.

  • Instalar un antivirus: Si deseas estar protegido en tu ordenador, lo más recomendable es que tengas instalado un software de tipo antivirus para que evite todo tipo de virus y amenazas.
  • Mantener el sistema operativo actualizado: Otro consejo es tener actualizado el sistema operativo de tu computadora. Del mismo modo, las actualizaciones de seguridad son importantes para arreglar bugs o vulnerabilidades, lo que impide la instalación de malwares.
  • Utiliza contraseñas seguras: Ya hemos comentado la importancia de utilizar contraseñas robustas. para evitar ser víctima de malware. Si usas una contraseña débil, será fácilmente adivinable y pondrás en riesgo la seguridad del equipo y de servicios electrónicos o sistemas bancarios. Una contraseña débil es aquella que tiene pocos dígitos y suelen estar relacionados a datos personales, fecha de nacimiento o números consecutivos.
  • Usa un cifrado WPA o WPA2 para la red Wifi: Si bien este es un nivel de seguridad habitual en los routers de los proveedores, si no lo tuviéramos es recomendable configurar el router con este tipo de protocolo de seguridad.

Un cifrado WPA o WPA2 determina una clave de acceso a la red WIFI más segura y extensa que un cifrado WEP, existente hace 3 años.

PHISING

Cómo funciona el malware Phishing

El phishing es un tipo de malware bastante peligroso porque tiene como objetivo la suplantación de identidad.

Los ciberdelincuentes que ponen en circulación el phishing, utilizan la ingeniería social para intentar obtener nuestra información privada. Captan nuestra atención con alguna excusa con el fin de redirigirnos a páginas web fraudulentas que simulan ser las legítimas de un determinado servicio o empresa.

Cualquier sistema que permita el envío de mensajes puede ser usado como medio para intentar robar nuestra información personal. En algunos casos pueden llegar intentos de robo de nuestra información personal a través de emails, mensajes SMS o MMS (smishing), de la misma manera que por cualquier herramienta de mensajería instantánea (WhatsApp, LINE, etc.) o red social.

Consejos para evitar el phishing

El Instituto Nacional de Ciberseguridad, en su guía de privacidad nos indica una serie de consejos para no ser víctima de un ataque de Phishing:

  • Consejo 1: Sé precavido ante los correos que aparentan ser entidades bancarias o servicios conocidos con mensajes del tipo:
  • Problemas de carácter técnico de la entidad.
  • Problemas de seguridad en la cuenta del usuario.
  • Recomendaciones de seguridad para evitar fraudes.
  • Cambios en la política de seguridad de la entidad.
  • Promoción de nuevos productos.
  • Vales descuento, premios o regalos.
  • Inminente cese o desactivación del servicio.
  • Consejo 2: Sospecha si hay errores gramaticales en el texto.
  • Consejo 3: Si recibes comunicaciones anónimas dirigidas a “Estimado cliente”,“Notificación a usuario” o “Querido amigo”, es un indicio que te debe poner en alerta.
  • Consejo 4: Si el mensaje te obliga a tomar una decisión en unas pocas horas, es mala señal.Contrasta directamente si la urgencia es real o no con el servicio a través de otros canales.
  • Consejo 5: Revisa que el texto del enlace coincide con la dirección a la que apunta.
  • Consejo 6: Un servicio con cierto prestigio utilizará sus propios dominios para las direcciones de email corporativas. Si recibes la comunicación desde un buzón de correo tipo @gmail.com o @hotmail.com, no es buena señal.
Phishing en la empresa

Las empresas también pueden ser objeto de ataques por medio de phishing, por lo que es recomendable seguir una serie de pautas. Es recomendable, dado que los equipos los utilizan diferentes usuarios que se imponga el uso del email administrativo.

En un entorno corporativo, las amenazas generadas por el phishing pueden traer pérdidas de difícil recuperación, por lo que la prevención debe hacerse de dos formas primordiales:

  • Mediante la formación de los empleados: Formando a los empleados en seguridad informática, para que prevean la ocurrencia de hechos que se asocien al phishing y puedan implementar soluciones para minimizar el impacto de la recepción de este tipo de correos maliciosos.
  • Mediante buenas políticas de seguridad: Aunque un usuario reciba un determinado correo electrónico y haga clic en el vínculo malicioso, una buena política de seguridad en un software de tipo firewall debe detectar la URL como una amenaza e impedir el acceso, y, por lo tanto, garantizando que incluso en caso de malentendido o no conocimiento del usuario, el ataque no tiene éxito.

En caso de haber sido víctima de un ataque de phishing, recopila toda la información que te sea posible: correos, capturas de conversaciones mediante mensajería electrónica,documentación enviada, etc. Puedes apoyarte en testigos online para la recopilación de evidencias.

Para los casos de phishing bancario, contacta con tu oficina bancaria para informarles de lo sucedido con tu cuenta online. Adicionalmente, modifica la contraseña de todos aquellos servicios en los que utilizases la misma clave de acceso que para el servicio de banca online. Recuerda: no uses la misma contraseña en varios servicios, es muy importante gestionar de forma segura las contraseñas para evitar problemas.

Tipos de phishing

Se pueden identificar 4 tipos diferentes de phishing, en función del mensaje o el público al que infecta:

  • Phishing común: En esta técnica, el ciberdelincuente roba las credenciales ingresadas por la víctima, que pueden estar alojadas en texto plano en un archivo de texto o ser enviadas a alguna casilla de correo electrónico. La principal característica del phishing tradicional es que está ligado a un solo sitio web en el cual se alojan todos los contenidos del portal falso.
  • Phishing redireccionable: Esta técnica es utilizada en campañas masivas,por lo tanto, si bien estos ataques tienen un muy bajo porcentaje de víctimas, existe una gran cantidad de usuarios afectados. Este procedimiento cuenta con un nivel mayor de complejidad y a diferencia del anterior, utiliza más de un sitio o dominio para realizar la estafa.
  • Smishing (SMS): Este tipo de phishing no está enfocado necesariamente a un envío de email, sino que está relacionado con el uso de smartphones. Normalmente los ciberdelincuentes se hacen pasar por entidades conocidas y envían un mensaje de texto avisando a la víctima de que ha ganado un premio. Los smishers utilizan Ingeniería Social para que las víctimas hagan una de tres cosas:
    • Hacer clic en un hipervínculo.
    • Llamar a un número de teléfono.
    • Responder a un mensaje de texto.
  • Vishing: Se trata de una técnica de phishing consistente en la llamada telefónica con el objetivo de realizar un fraude.

OTROS ELEMENTOS PELIGROSOS

Si bien a lo largo del tema hemos desarrollado la práctica totalidad de elementos maliciosos (malware, webs fraudulentas, phishing,…), existen otros elementos que, si bien no tienen como objetivo causar daño o perjuicio, sí son considerados molestos, llegando a saturar la conexión a Internet. Hablamos de los Pop-ups.

También conocido como ventana emergente, es un contenido que aparece de forma repentina en un navegador web o en la pantalla de tu ordenador. Una nueva ventana que se abre frente al usuario con el objeto de mostrarle un contenido complementario, generalmente publicidad relativa a una marca.

También pueden ser anuncios de marcas que las webs contienen para poder financiarse. Dichos anuncios suponen un beneficio para la web, ya que cobran por acceso a los mismos. Es común, para evitar la proliferación de estos anuncios, utilizar algún tipo de software denominado “bloqueador de popups”. Los propios navegadores tienen en su configuración un bloqueador de ventanas emergentes, que, si bien es recomendable para la mayor parte de las gestiones en Internet, si deseamos obtener un certificado o informe de alguna entidad pública, debemos desactivar dicho bloqueo para que se pueda mostrar el contenido.

Software malicioso con ventanas emergentes

Si aún se muestran ventanas emergentes aun habiendo configurado su desactivación, es posible que se trate de software malicioso, por lo que debes prestar atención al apartado Malware en el que se explica cómo protegerse y eliminar un software malicioso. Los tipos de virus que muestran ventanas emergentes son Troyanos. Para eliminar un virus que contiene ventanas emergentes, basta con utilizar un antivirus actualizado, que lo detectará y eliminara al realizar un análisis sobre el sistema.

PROTECCIÓN DEL PUESTO DE TRABAJO

Generalmente, a la hora de invertir en medidas de seguridad, solemos pensar en herramientas para protegernos ante intrusos (personal ajeno a la empresa) a través de sistemas de detección como un control de acceso físico a las instalaciones, herramientas para evitar fugas o pérdidas de información, como la mejora de la sala de servidores, la renovación de las aplicaciones que utilizan los empleados, la replicación de datos entre distintas sedes, etc.

Pero no tenemos en cuenta en las medidas de seguridad que adoptamos, la puerta de entrada más grande a la compañía: el puesto de trabajo o también denominado “endpoint”. Gran parte de los incidentes de seguridad en la empresa se generan dentro de la propia empresa, tanto de manera intencionada como accidental. Debemos tener en cuenta que un usuario no necesita realizar complejos ataques para acceder a la información: ha sido autorizado para utilizarla y la tiene a su alcance.

Puesto de trabajo

A la hora de definir el concepto de puesto de trabajo, debemos indicar que nuestro panorama actual, con una sociedad digitalizada, ha transformado por completo la forma en que trabajamos. Hemos evolucionado incorporando dispositivos móviles más versátiles que hacenque nuestro puesto de trabajo no esté vinculado a una localización física determinada, ni siquiera a un horario en numerosas ocasiones, y esto supone un reto de seguridad en las empresas. Bajo el paraguas del antes mencionado “Endpoint” podemos identificar elementos

con relación directa con la seguridad de la información: equipos de trabajo, smartphones, tabletas, dispositivos de almacenamiento extraíbles, impresoras, escáneres, documentación, archivadores, etc. Igualmente debemos ser conscientes del uso de dispositivos personales en el entorno corporativo y tener precauciones especiales. Este uso se conoce como BYOD o Bring your own device (trae tu propio dispositivo).

Alrededor de un 90% de los empleados (en los países desarrollados) utilizan sus equipos de algún modo para acceder a la información de la empresa.

Trabajo presencial

La definición de trabajo presencial está muy relacionada con la de “puesto de trabajo” que hemos definido anteriormente, incluso por la propia definición en latín de puesto de trabajo.

El término <<puesto>> proviene del latín “postus” y puede referirse a una posición, tanto simbólica como física. Por su parte, <<trabajo>> proviene del latín “tripaliare” y supone una actividad que una persona desarrolla a cambio de una contraprestación.

Puesto de trabajo, o en este caso trabajo presencial, puede ser el espacio que ocupa un trabajador.

A nivel de seguridad, los factores que se tienen en cuenta para determinar el riesgo y las precauciones a tomar son diferentes a otro tipo de trabajo, como pueda ser el teletrabajo. Riesgos como la fuga de información, el uso personal de los dispositivos corporativos.

Teletrabajo

En los últimos años se están produciendo una serie de cambios en el entorno empresarial y en la jornada laboral que obligan a las empresas a transformar sus estructuras productivas y su organización del tiempo de trabajo. Entre los factores que han influido en estos cambios destacan los siguientes:

  • Nuevas tecnologías de la comunicación: La introducción de las nuevas tecnologías de lainformación y la comunicación (TIC) está dando lugar a organizaciones interactivas que han contribuido a flexibilizar el mercado de trabajo, con trabajadores hiperconectados y con mayor autonomía.
  • Mercado variable y cambiante: En la actualidad, los consumidores demandan calidad e innovación en los productos y servicios; para asumir esta demanda, las empresas necesitan adaptar sus estructuras organizativas y productivas.
  • Nuevas demandas de los trabajadores: Para las nuevas generaciones, el trabajo significa también un medio para la autorrealización personal y profesional. La sociedad actual requiere, además, de nuevas formas de organización del trabajo que permitan conciliar la vida laboral y familiar de los trabajadores con los intereses organizativos y productivos de la empresa.

Entre los elementos emergentes en la organización y tiempo de trabajo en las empresas se encuentra el teletrabajo. El Acuerdo Marco de la Unión Europea lo define como:

“El teletrabajo es una forma de organización y/o de realización del trabajo, utilizando las tecnologías de la información en el marco de un contrato o de una relación de trabajo, en la cual un trabajo que podría ser realizado igualmente en los locales de la empresa se efectúa fuera de estos locales de forma”.

RIESGOS EN EL PUESTO DE TRABAJO

Los riesgos de ciberseguridad: análisis y tratamiento

Las necesidades de protección de un sistema informático formado por diferentes departamentos con puestos de trabajo tanto presencial como teletrabajo, se establecen mediante la realización de un análisis de riesgos.

Dicho de otro modo, es determinar en qué consiste el nivel de riesgo que la empresa está soportando.

  • Análisis de riesgos: Es el proceso dirigido a determinar la probabilidad de materialización de las amenazas sobre los bienes informáticos e implica la identificación de los bienes a proteger, las amenazas que actúan sobre ellos, su probabilidad de ocurrencia y el impacto que dichas amenazas puedan causar sobre los bienes.
  • La realización del análisis de riesgos debe contener:
  • Una detallada determinación del sistema informático objeto de protección.
  • La creación de un inventario de bienes informáticos a proteger.
  • La evaluación de los bienes informáticos a proteger en orden de su jerarquía e importancia para la empresa.
  • La identificación y evaluación de amenazas y vulnerabilidades.
  • La estimación de la relación importancia-riesgo asociada a cada bien informático, denominada peso de riesgo.
  • En el proceso de análisis de riesgos se pueden diferenciar dos aspectos:
  • Evaluación de riesgos orientada a determinar los sistemas que, en su conjunto o en cualquiera de sus partes, pueden verse afectados por amenazas, valorando los riesgos y estableciendo sus niveles a partir de las posibles amenazas, las vulnerabilidades existentes y el impacto que puedan causar a la entidad.
  • La gestión de riesgos, que implica identificación, selección, aprobación y manejo de los controles a establecer para eliminar o reducir los riesgos evaluados a niveles aceptables, con acciones destinadas a:
    • Reducir la probabilidad de ocurrencia de una amenaza.
    • Limitar el impacto que puede causar una amenaza, si se mostrara.
    • Reducir o eliminar una vulnerabilidad existente.
    • Permitir en función de la solución adoptada, la recuperación del impacto o su transferencia a terceros.

La gestión de riesgos implica la clasificación de las alternativas para manejar los riesgos en los que puede estar sometido un bien informático dentro de los procesos de una empresa. Implica una estructura bien definida, con controles adecuados y su conducción mediante acciones factibles y efectivas.

Estas medidas se denominan generalmente tratamiento de riesgos. Para ello se cuenta con las técnicas de manejo del riesgo que se enumeran a continuación:

  • Evitar: Impedir el riesgo con cambios significativos por mejoramiento, rediseño o eliminación en los procesos, siendo el resultado de adecuados controles y acciones realizadas. Por ejemplo, sustituyendo el activo por otro que no se vea afectado por la amenaza o eliminando la actividad que lo produce.
  • Reducir: Cuando el riesgo no puede evitarse por dificultades de tipo operacional, la alternativa puede ser su reducción hasta el nivel más bajo posible. Esta opción es la más económica y sencilla y se consigue optimizando los procedimientos y con la implementación de controles. Para conseguir reducir el riesgo se puede:
  • Reducir la probabilidad o frecuencia de una ocurrencia, por ejemplo, tomando medidas preventivas.
  • Reducir el impacto de la amenaza o acotar el impacto, estableciendo por ejemplo controles y revisando el funcionamiento de las medidas preventivas.
  • Transferir, compartir o asignar a terceros: En ocasiones la empresa no tiene la capacidad de tratamiento y precisa la contratación de un tercero con capacidad para reducir y gestionar el riesgo dejándolo por debajo del umbral. Se trata de buscar un respaldo contractual para compartir el riesgo con otras entidades, por ejemplo, alojamiento, hospedaje, externalización de servicios, entre otros.
  • Retener: Cuando se reduce el impacto de los riesgos pueden aparecer riesgos residuales. Dentro de las estrategias de gestión de riesgos de la entidad se debe plantear cómo manejarlos para mantenerlos en un nivel mínimo.
  • Aceptar: Se asume el riesgo, bien porque está debajo del umbral aceptable de riesgo bien en situaciones en las que los costes de su tratamiento son elevados y aun siendo riesgos de impacto alto su probabilidad de ocurrencia es baja o porque aun a pesar del riesgo la empresa no quiere dejar de aprovechar la oportunidad que para su negocio supone esa actividad arriesgada.
Gestión de riesgos de seguridad de la información

Centrándonos en la propia información y qué riesgos podemos tener en la empresa, para poder realizar las medidas de análisis y tratamiento anteriormente mencionadas, podemos inicialmente determinar las propiedades de la información en una empresa:

  • Confidencialidad: La información sólo tiene que ser accesible o divulgada a las personas que tengan autorización para recibirla.
  • Integridad: La información debe tener el contenido íntegro y tal y como se generó por parte del emisor sin manipulación de terceros.
  • Disponibilidad: La información debe estar accesible de forma sencilla para las personas que tengan autorización.
Vulnerabilidades, amenazas y riesgos de seguridad

En materia de ciberseguridad, debes tener clara la relación entre tres conceptos muy vinculados pero que tienen connotaciones diferentes:

  • Vulnerabilidad: Aquella debilidad o fallo en un sistema de información que pone en riesgo la seguridad de nuestros activos de información. Existen vulnerabilidades técnicas, referidas a los fallos en el hardware o software informático y humanas (ausencia de protocolos, equipos inexpertos, instalaciones de equipo poco seguras,…).

Ejemplo: La falta de formación de las personas que tratan con información confidencial de clientes, sería una vulnerabilidad del sistema de gestión de la información de la empresa.

  • Amenaza: Cualquier elemento que aprovecha una vulnerabilidad para atentar contra la seguridad de un activo de información. Cuando una amenaza aprovecha la debilidad de un sistema de información se habla de “incidente de seguridad”. Algunos ejemplos:
  • Ataques de Denegación de Servicio (DOS): Conjunto de técnicas que persiguen la inutilización de un servidor.
  • Amenaza Persistente Avanzada (APT): Se trata de amenazas complejas, avanzadas y persistentes, que se llevan a cabo por medio de ataques coordinador dirigidos a una entidad u organización en concreto.
  • Exploit: Programa que aprovecha la vulnerabilidad de un sistema informático para robar datos o contraseñas de los usuarios, espiar su actividad, o modificar la configuración de los equipos.
  • Riesgo: Según la normativa aplicable a este ámbito (ISO/IEC 27005 sobre Gestión de riesgos de la Seguridad de la Información), un riesgo se define como: la posibilidad de que una amenaza concreta pueda aprovechar una vulnerabilidad para causar una pérdida o daño en un activo de información.

¿Qué tipo de amenazas y vulnerabilidades podemos encontrarnos en una empresa relativas a la seguridad de la información? Podemos diferenciarlas entre amenazas y vulnerabilidades:

  • Amenazas:
    • De origen natural: inundaciones, terremotos, incendios, rayos.
    • Errores relativos a la infraestructura auxiliar: fallos de suministro eléctrico,refrigeración, contaminación…
    • Errores en los sistemas informáticos y de comunicaciones, que pueden ser clasificados en:
      • Errores en las aplicaciones.
      • Errores a nivel hardware o equipos de transmisiones.
  • Error humano: errores accidentales o deliberados de las personas que interactúan con la información, por ejemplo:
    • Acciones no autorizadas como uso de software o hardware no autorizados.
    • Funcionamiento incorrecto por abuso o robo de derechos de acceso o errores en el uso, falta de disponibilidad, etc.
    • Información comprometida por robo de equipos, desvelado de secretos, espionaje, etc.
  • Vulnerabilidades:
    • Equipamiento informático que pueda ser susceptible a variaciones de las condiciones de temperatura o humedad.
    • Sistemas operativos que por su estructura, configuración o mantenimiento son más vulnerables a algunos ataques.
    • Localizaciones que son más propensas a desastres naturales como por ejemplo inundaciones o que están en lugares con variaciones de suministro eléctrico. La ubicación de la empresa a este respecto es principal para determinar si es susceptible de sufrir este tipo de vulnerabilidades.
    • Aplicaciones informáticas, que, por su creación e implementación en sistemas, son más inseguras que otras.
    • Personal sin la formación adecuada, ausente o sin supervisión. La formación y la concienciación del trabajador respecto a la seguridad en la empresa se antoja un factor diferencial a la hora de analizar los posibles riesgos que puede tener la empresa.

PRECAUCIONES A ADOPTAR

Las precauciones y medidas de seguridad que podemos aplicar para proteger el puesto de trabajo son innumerables y de diferente grado de complejidad. Sin embargo, existe un conjunto reducido de medidas con un coste de implantación y mantenimiento mínimo, que aportarán una mejora sustancial en el nivel de seguridad corporativa.

Nos vamos a centrar en aquellas medidas que se traducen en mayores beneficios sobre la seguridad del puesto de trabajo. Algunas de ellas son requisitos de la Ley de Protección de datos de carácter personal y otras son recomendaciones establecidas por códigos de buenas prácticas en seguridad de la información.

Medidas de carácter organizativo

La primera y fundamental medida de carácter organizativo es implantar una política de seguridad interna de la organización, que transmita a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la información.

Las medidas planteadas en la política y normativas de seguridad deben trasladarse a los usuarios de la manera adecuada. La información debe estar disponible para los usuarios, recordarse mediante comunicaciones de manera periódica, y firmarse al comienzo de la relación laboral.

Ni la política ni las normativas deben trasladarse al usuario como un descargo de responsabilidad de la empresa o como un medio con el fin exclusivo de adoptar medidas disciplinarias. Las principales consecuencias de una fuga o pérdida de información por negligencia son siempre para la empresa.

Medidas de carácter técnico

Las medidas organizativas mencionadas, se deben unir a medidas de carácter técnico, con el objeto de dificultar que pueda entrar malware, y que la seguridad instalada en la empresa sea eficaz. En este sentido, existen una serie de medidas recomendables:

Implantar una política de contraseñas robustas a nivel del sistema, tanto para el acceso al sistema operativo como a las aplicaciones

Con esta medida, se evita la utilización de medidas sencillas de hackear. Esta política debe contemplar los siguientes criterios:

  • Complejidad de contraseñas: Este aspecto lo hemos mencionado anteriormente, enfocado en la identidad digital y los métodos de acceso.
  • Cambio de contraseña de forma periódica.
  • Gestionar la automatización del bloqueo del usuario después de un número determinado de intentos fallidos.
  • Cambio de la clave inicial.

Recordando lo expuesto anteriormente, una contraseña válida debería tener:

Implantar y configurar un antivirus para todos los equipos de la empresa, incluyendo los dispositivos móviles

Aunque existan antivirus de uso doméstico y gratuito, es altamente recomendable utilizar aplicaciones de uso completo en términos de seguridad, que generalmente suponen un pago anual por licencia. Además, es necesario tener en cuenta los siguientes elementos:

  • El antivirus debe poder actualizarse automáticamente.
  • Planificar análisis completos de forma periódica.
  • Impedir que un usuario pueda desactivar el antivirus, dado que puede suponer un agujero de seguridad.
  • Si es posible, que contenga funcionalidades de análisis de páginas web.

Configurar todo software corporativo para la actualización automática

Tanto el software como las aplicaciones corporativas de uso común, deben actualizarse. El software sin actualizar es una de las principales razones por las cuales las empresas se exponen a peligros. En este sentido hay dos formas de actualización:

  • Cuando sea técnicamente posible, es necesario configurar los sistemas para que las actualizaciones se instalen de manera automática en un tramo horario en que no afecten el curso diario de la empresa. Puede configurarse de forma similar que con las copias de seguridad.
  • En caso contrario, se deberá actualizar de forma manual, y siempre por el personal técnico y autorizado.

En el caso de actualización manual, se debe tener en cuenta una serie de aspectos:

  • Todas las actualizaciones de seguridad críticas deben instalarse durante la misma semana de su publicación.
  • Es posible que se pida al usuario que reinicie su ordenador después de aplicar la actualización. Por tanto, es necesario advertir al empleado que utiliza el equipo de la molestia que puede suponer.
  • No instalar actualización si se ha iniciado desde dentro de la sesión del navegador.
  • Si el empleado sospecha que falta alguna actualización o que no se ha instalado a tiempo, debe informar a la persona adecuada.

Limitar la utilización de usuarios genéricos

Los usuarios genéricos impiden la posibilidad de llevar la trazabilidad de las acciones realizadas, es decir, identificar las acciones que cada empleado realiza en un sistema informático, además de dificultar el conocer si ha existido alguna entrada no autorizada y utilizando un sistema.

Por ejemplo, si varios usuarios utilizan un mismo equipo con el usuario «personal», es imposible saber cuál de ellos ha accedido en un momento concreto e identificar las causas por las que se ha producido una fuga de información, una infección por malware o un daño físico. Además, cuando algo se modifica en un entorno compartido, es más normal atribuirlo a otro usuario autorizado, en lugar de a un intruso. Por ello, debemos:

  • Evitar los usuarios genéricos para las tareas cotidianas.
  • Utilizar usuarios genéricos únicamente cuando sea imprescindible.

Limitar los permisos de administración y su uso generalizado

Un usuario con permisos de administrador en su equipo local puede suponer:

  • Abrir un virus, que este infecte su equipo y sea difícil eliminarlo.
  • Instalar y desinstalar aplicaciones, incluyendo software ilegitimo (por ejemplo, aplicaciones P2P) o eliminación de restricciones de seguridad o del propio funcionamiento del equipo informático.
  • Desactivar el antivirus o incluso desinstalarlo, con el consiguiente riesgo de infección por malware.

Por tanto, debemos configurar los equipos de modo que:

  • Los usuarios habituales no tengan permisos de administrador.
  • El usuario con permiso de administrador del sistema debe tener la formación adecuada y utilizar al equipo técnico informático para tareas de administración, tales como solucionar problemas técnicos o instalar, actualizar o desinstalar aplicaciones.

Configurar el bloqueo de sesión por inactividad en sistemas y aplicaciones

Aunque el acceso a un equipo se realice con contraseña, si la sesión permanece abierta en aquellos momentos en los que el usuario no está trabajando con el equipo, la medida pierde su eficacia.

Los equipos deben ser configurados para que, tras un periodo breve de tiempo, se bloqueen automáticamente y requieran la clave de acceso para su desbloqueo.

Restringir los puertos USB a puestos determinados

Los pendrives pueden suponer un riesgo en la seguridad de la empresa porque:

  • Ocupan poco tamaño y se pueden sacar fácilmente de la empresa.
  • Su reducido tamaño los hace muy proclives a ser perdidos.
  • Con frecuencia, no se elimina la información contenida.
  • La frecuencia de conexión y su facilidad impide conocer el origen del dispositivo, o dónde se ha conectado anteriormente.

Es necesario restringir el uso de USB a usuarios que lo necesiten para su trabajo o proporcionar a los usuarios herramientas para el cifrado de la información cuando ésta se transporte mediante USB.

Igualmente debemos utilizar dispositivos con mecanismo de acceso biométrico (huella digital) tal y como hemos explicado anteriormente, y aplicar herramientas de borrado seguro de manera periódica a los USB o poner en marcha herramientas alternativas para el acceso ala información como la habilitación de repositorios comunes de trabajo, incluso el uso de almacenamientos en la nube.

En general, debe considerarse restringir estos dispositivos, en determinados equipos que contienen o pueden acceder a información crítica o confidencial, (servidores, maquinas con operaciones críticas…), o determinados usuarios que por su actividad no va a requerir de su uso.

Es recomendable buscar un equilibrio entre finalidad y seguridad. Estas restricciones podrían aplicarse también a otro tipo de interfaces como CD, DVD, tarjetas de almacenamiento SD, etc.

Adquirir destructoras de documentación

Debemos adquirir dispositivos que permitan destruir la documentación sensible que no sea necesaria: propuestas a clientes, datos personales,tarifas, currículos recibidos, etc.

En función del número de usuarios y el volumen de información que se gestione, necesitaremos más o menos dispositivos de este tipo.

Como medida alternativa, se puede optar por contratar un servicio de destrucción de información a una empresa especializada, exigiendo un

certificado de destrucción que garantice la imposibilidad de su recuperación.

En este caso, en función del volumen de documentación que manejemos, para la destrucción podemos optar por la recogida de la documentación bajo demanda, o la instalación de contenedores de reciclaje propiedad del proveedor, cuyo contenido es recogido y destruido de manera regular.

Limitar la navegación a páginas de ciertos contenidos

El acceso a determinados sitios web puede conducir a la infección por virus, tener repercusiones legales o afectar a la imagen de la empresa. Es recomendable que implantemos medidas que bloqueen el acceso a:

  • Sitios web considerados contrarios a la legislación vigente.
  • Sitios web con contenido «inadecuado».
  • Plataformas de intercambio de archivos que pueden ser la fuente de virus e infecciones.

Controlar y prohibir el acceso remoto hacia la propia organización

Existen herramientas que haciendo uso del protocolo HTTPS permiten el acceso no controlado a equipos de usuarios finales.

La utilización de este tipo de herramientas puede suponer el acceso incontrolado desde el exterior a nuestra organización. Se recomienda el filtrado de este tipo de aplicaciones y sistemas. En su lugar es posible la instalación sistemas de acceso remoto del estilo de VPN que garanticen la seguridad y trazabilidad de todos los accesos remotos.

Habilitar mecanismos de seguridad en la impresión de documentos

Si el tamaño o la disposición de nuestra organización facilita que los documentos residan en la impresora durante un tiempo hasta que son recogidos, se deben establecer mecanismos de seguridad, tales como el uso de tarjetas o códigos personales antes de la impresión.

Limitar el acceso a la red corporativa a los equipos que no estén debidamente protegidos

La conexión de determinados dispositivos a la red como smartphones personales, equipos de proveedores o portátiles de personal esporádico pueden

implicar un serio riesgo de infección por virus, entre otras amenazas. Debemos prestar especial atención a la utilización de los BYOD, manteniendo una base de datos de estos dispositivos y los usuarios que los utilizan.

Programa de formación y concienciación

Hay una medida de seguridad por encima de todas las descritas anteriormente, que es la de la involucración y concienciación de los usuarios que hacen uso de los activos de la empresa en materia de ciberseguridad.

Deben llevarse a cabo programas periódicos de concienciación como los que se muestran en un informe denominado «Kit de Concienciación de INCIBE» y que se pueden resumir en:

  • Ataques dirigidos por medio de emails con adjunto malicioso y pendrive infectado para concienciar de la importancia de utilizar adecuadamente los dispositivos y el correo electrónico corporativo.
  • Consejos mensuales relativos al cifrado de información, borrado seguro de datos, copias de seguridad, contraseñas robustas, seguridad en dispositivos móviles o conexiones wifi.
  • Posters informativos en la empresa concienciando a los empleados de la importancia de la seguridad digital.
  • Píldoras formativas con las temáticas de información, soportes digitales, la gestión de la documentación en un puesto de trabajo y el uso de los dispositivos móviles en la empresa.

Estos programas deben incidir sobre la importancia de las medidas incluidas dentro de la política de seguridad interna de la empresa para conseguir que los empleados las interioricen y acepten.

Se recomienda que la realización de sesiones de formación se realice de forma periódica, y que traten los principales elementos de la política de seguridad interna. Se debe realizar un seguimiento de las sesiones para evaluar el nivel de implantación de estos conceptos en el usuario, identificando los puntos débiles donde se debe incidir en próximas sesiones. Para su aplicación, pueden ponerse en marcha las siguientes iniciativas:

La mayoría de las filtraciones de datos empiezan con un ataque exitoso de ingeniería social. Es decir, el hacker capta a un ser humano para que haga algo que le proporcione el acceso de red que está buscando. En poco tiempo supone una estafa. La ingeniería social no implica necesariamente un engaño complejo, ni siquiera implica contacto directo con la víctima. Se puede hacer por correo electrónico, a través de una página web, por teléfono o por SMS. Por tanto, cualquier programa de formación debería cubrir las diversas maneras en las que se engaña a los usuarios.

La formación para evitar la ingeniería social debería realizarse más de una vez al año y debería incluir:

  • Cómo reconocer la ingeniería social.
  • Ejemplos concretos de trucos comunes de ingeniería social.
  • Pruebas de simulación de ingeniería social.
  • Estrategias para animar a las víctimas de la ingeniería social a denunciar inmediatamente los abusos sin temor a las posibles repercusiones.
Precauciones y medidas asociadas al teletrabajo

A continuación, se indican algunos consejos destinados a la implementación correcta del teletrabajo:

  • Política de seguridad: Se debe definir una postura clara sobre el teletrabajo. En este punto es importante establecer medidas de control y protección que se vean reflejadas en la política de seguridad de la compañía, y que sean de total conocimiento para los empleados correspondientes.
  • Regular conectividad: La conexión a Internet del empleado es el vínculo principal entre él y la empresa, por lo tanto, proteger el acceso a Internet correctamente es fundamental para evitar que terceros puedan acceder a recursos sensibles. Establecer una contraseña WPA/WPA2, cambiar la clave de acceso a la configuración del router, implementar redes VPN (Virtual Private Network o Red Privada Virtual), entre otras medidas, permiten mejorar el nivel de seguridad de una conexión inalámbrica.
  • Proteger computadoras y dispositivos: Todos los equipos que utiliza el empleado deberán contar con una protección antivirus y

firewall. Asimismo, instalar las actualizaciones, implementar contraseñas de bloqueo y realizar mantenimientos regulares son medidas esenciales.

  • Contraseñas: Utilizar contraseñas fuertes a partir de 8 dígitos combinadas:Números, letras, símbolos. No utilizar nombres completos ya sea de personas o mascotas, fechas de nacimiento. No utilizar las mismas contraseñas para diferentes sitios, programas y aplicaciones.
  • Intercambio de archivos: Si no utilizas una VPN, tratar de enviar los archivos cifrados o encriptados.
  • Medidas de concienciación: La educación es primordial en cualquier sistema de protección, por lo tanto, realizar seminarios periódicos de concienciación tanto de forma presencial como virtual permite mejorar el nivel de protección de los entornos.

Si trabajas desde casa con tu propia red y equipo:

  • Si tu red es Wifi, un hacker podría interceptar los datos que envías y recibes, o acceder a tu red. Es importante cambiar la contraseña del router.
  • Cuidado con el spam y utiliza varias cuentas de correo electrónico: una personal y otra que utilizarás para suscribirte a promociones, cursos, chats, o cualquier otro servicio.
  • Utiliza software de seguridad y mantenlo actualizado.
  • Instala los parches y actualizaciones: si el fabricante del sistema operativo o programas que utilizas publica un parche de seguridad, no dudes en instalarlo.

Si trabajas desde casa con red y equipo de la empresa:

  • Familiarízate con las políticas de seguridad informática de tu empresa y aplícalas en todo momento.
  • Informa al departamento de IT si detectas comportamientos extraños en tu PC.
  • No compartas con otras personas tu equipo de trabajo ni las contraseñas del mismo. Ten siempre presente que es una puerta de acceso a información confidencial.

PROTECCIÓN DE EQUIPOS

SEGURIDAD EN EQUIPOS INFORMÁTICOS

El uso de equipos informáticos está extendido prácticamente a la totalidad de empresas, negocios, y hogares. Los equipos informáticos intervienen de manera muy importante en la entrega de productos y servicios de una empresa.

En muchos casos, los equipos informáticos ejecutan aplicaciones que manejan información importante, como datos financieros (números de cuentas de banco, saldos, o facturación), o datos de carácter estratégico (planes de negocio e inversión, nuevos productos, etc.).

En otros casos, los equipos ordenan directamente acciones. Por ejemplo, en las fábricas, los equipos informáticos controlan procesos productivos, y dirigen máquinas. En empresas de logística y transporte de mercancías, toman decisiones mediante reglas programadas, y datos procedentes de sensores. Incluso intervienen en la ejecución de órdenes en sistemas de soporte vital humano, como en hospitales y laboratorios. Los equipos informáticos intervienen también en infraestructuras críticas, como plantas de producción y distribución eléctrica, centrales nucleares, sistemas de transporte aéreo o ferroviario, infraestructuras de telecomunicaciones, o en sistemas de defensa.

La influencia que se pueda ejercer sobre estos equipos informáticos se traslada por lo tanto a los productos y servicios en los que intervienen. Por ejemplo, logrando copiar, alterar, o borrar los datos que procesan estos equipos informáticos, o interrumpiendo su actividad, se logra provocar un perjuicio en los productos y servicios en los que intervienen. Por tanto, existe una creciente necesidad actual de emplear mecanismos y técnicas de protección frente a posibles amenazas en los equipos informáticos, para defender los productos y servicios de la empresa.

Cuentas de usuario

Una cuenta de usuario es una colección de información que indica al sistema operativo los archivos y carpetas a los que puede tener acceso un determinado usuario del equipo, los cambios que puede realizar en él y sus preferencias personales, como el fondo de escritorio o el protector de pantalla.

Para usar el ordenador de una manera organizada y segura se recomienda crear una cuenta por cada usuario que vaya a utilizar el ordenador. De esta forma, cada usuario podrá tener su propio escritorio, con una configuración y preferencias personalizadas.

Para administrar de forma correcta la seguridad de un equipo y la privacidad de los usuarios que lo utilizan, siempre es recomendable crear distintas cuentas de usuario.

Cuando un equipo es utilizado por varias personas, compartiendo el usuario en el equipo pueden producirse diferentes escenarios. Algunos ejemplos:

  • Acceder, modificar o eliminar información personal de otro usuario como documentos, música, imágenes, etc.
  • Cambiar las configuraciones del equipo que afecten a su seguridad o a su usabilidad.
  • Acceder a una red social con el perfil de otra persona, ya que muchos usuarios no cierran sesión al terminar.
  • Que cualquiera pueda instalar o desinstalar software en el equipo.
  • Con un usuario administrador, si se ejecuta un fichero malicioso en el dispositivo, lo hará con esos derechos, suponiendo un riesgo importante de seguridad al tener control total sobre el equipo para realizar cualquier acción.

Por el contrario, cuando un equipo cuenta con usuarios individuales y con los privilegios controlados, la mayor parte de estos problemas se solucionan ya que cada usuario estará perfectamente diferenciado. Sería como si cada persona tuviera un equipo distinto al del resto de usuarios.

Control parental

Clasificación de cuentas según permisos

Hay que diferenciar tres tipos de cuentas, basándonos en los privilegios que tienen:

  • Cuenta de administrador/Usuarios administradores: Estos usuarios tienen una serie de permisos más amplio que los demás, y pueden:
    • Instalar/desinstalar programas.
    • Acceder a la configuración del sistema.
    • Crear ellos mismos diferentes cuentas de usuario.
    • Cambiar contraseñas y métodos de acceso.
    • Configurar el propio hardware del ordenador.

Pero a nivel de seguridad, tienen el inconveniente de que si se ejecuta un programa maligno en un equipo mientras está trabajando un usuario administrador, los efectos son mucho más graves.

Saber gestionar de forma correcta los usuarios de un equipo puede evitar muchos dolores de cabeza ya que cada uno de ellos dispondrá de un entorno personal y diferenciado del resto de usuarios.

También los usuarios tienen que tener los mínimos privilegios con los que poder usar el equipo y utilizar el usuario administrador para lo que es, administrar, no para el trabajo habitual.

  • Cuenta estándar/Usuarios con cuenta estándar: Es una cuenta limitada que solo puede realizar determinados cambios en el sistema, como, por ejemplo, cambios que solo afecten al usuario (cambiar iconos, temas, protector de pantalla, fondo, etc.) pero que no cambios que afecten al sistema en general, como, por ejemplo, cambios en el registro, instalar aplicaciones, configurar cierto hardware o configurar otros usuarios.
  • Cuenta para invitados/Usuario con cuenta de invitado: Tipo de cuenta para aquellas personas que, sin formar parte del entorno de usuarios, puede acceder en un momento concreto al sistema operativo.
Opciones de privacidad

La configuración por defecto de algunas características relacionadas con la privacidad y ciertas funcionalidades pueden suponer un ataque a la privacidad y por tanto a la seguridad del usuario, al igual que ciertas aplicaciones y servicios pueden remitir datos a terceros.

El hecho de que una empresa registre información del usuario es hoy en día algo habitual, máxime cuando utilizamos cuentas de correo denominadas “gratuitas”. Compañías como Apple, Google, Facebook recogen continuamente

información de las experiencias del usuario, para fines comerciales propios utilizando técnicas de Big Data. Las empresas de todos los sectores productivos como comunicación, textiles, telefónicas, de energía, etc. utilizan los datos que obtienen de sus usuarios de forma consciente o no consciente para “adaptarse o mejorar el nivel de servicio al cliente”.

Según estas empresas, ellos ponen en valor un activo que hasta hace unos años no se tenía tan en consideración y que en este momento está disponible gracias al avance de determinadas tecnologías.

El problema que han destapado los técnicos en ciberseguridad no es la recopilación de datos en sí, sino la configuración que trae por defecto y el hecho de que el usuario no es consciente de lo que está pasando con sus datos.

Para poder configurar las opciones de privacidad, debemos ir a los menús de ajustes de Privacidad, configurando las opciones según se crea conveniente.

Permisos

La administración de privilegios en perfiles y grupos de usuarios es una excelente herramienta para mejorar la seguridad del sistema operativo.

  • General:
    • Permitir que las aplicaciones utilicen el id. de publicidad para hacer que los anuncios sean más interesantes en función de la actividad de la aplicación.
    • Dejar que los sitios web ofrezcan contenido relevante a nivel local mediante el acceso a mi lista de idiomas.
    • Permitir realizar un seguimiento de los lanzamientos de aplicaciones para mejorar el inicio y los resultados de búsqueda.
    • Mostrar contenido sugerido en la aplicación Configuración.
  • Voz: La activación del ajuste permite usar el reconocimiento de voz.
  • Personalización de entrada manuscrita y escritura: recoge una serie de palabras únicas,como los nombres que escribe, en un diccionario almacenado localmente en el dispositivo, lo que le ayudará a escribir con el teclado y realizar entrada manuscrita con mayor precisión.
  • Comentarios y diagnósticos: envía de forma continua datos de diagnóstico para ayudar a mantener el sistema operativo fiable, seguro y actualizado. Mediante esta opción, podemos elegir la cantidad de datos que deseamos remitir.
  • Historial de actividad: Con el objetivo devolver a mostrar lo que el usuario estaba realizando cuando apague el equipo, o cambie de dispositivo, guarda el historial de actividad, y permite mostrar/ocultar la actividad de las cuentas configuradas, así como la eliminación de dicho historial.

Permisos de la aplicación

Si le concedes permisos a una aplicación, no tendrá que solicitar tu consentimiento explícito para cualquier cosa que quiera hacer con tus datos.

Por tanto, te recomendamos que reflexiones antes de conceder permisos a las aplicaciones, especialmente si no son necesarios para que la aplicación funcione.

  • Ubicación: Es sin duda una de las opciones del sistema operativo más polémicas e inseguras, ya que permite que se muestre la ubicación donde se encuentra el usuario, en caso de activarse. Supone uno de los principales medios de acceso, e igualmente un ataque a la privacidad del usuario, por lo que la mayor parte de los expertos en ciberseguridad recomiendan la desactivación de la ubicación, salvo que se utilice habitualmente.
  • Cámara: Hoy en día, todos los portátiles (tipo de PC más vendido) tienen cámara para realizar videoconferencias. En la configuración de privacidad, es posible determinar qué aplicaciones pueden acceder a la cámara, opción obligatoria dado que es un medio muy utilizado por los intrusos para acceder al sistema.
  • Micrófono: Evidentemente, y al igual que con la cámara, podemos permitir que ciertas aplicaciones tengan uso del micrófono, pero bajo la responsabilidad del usuario. Al respecto, en la configuración, se permite activar o no que las aplicaciones accedan y qué aplicaciones lo utilizarán, Por tanto, es conveniente definir el tipo de privacidad que requerirá el uso del dispositivo.
  • Notificaciones: Estas funcionalidades son disposiciones de seguridad que controlan el acceso a datos personales, incluyendo aspectos como Calendario, Contactos, Historial de llamadas y muchos más. Cada funcionalidad tiene su propia página de configuración de privacidad, para que pueda controlarla, y definir qué aplicaciones y servicios pueden usar esa funcionalidad. Es recomendable que el usuario limite las notificaciones en caso de no necesitarlas, ya que puede suponer un incidente de seguridad si otra persona visualiza la notificación.
  • Información de cuenta: Es una de las opciones más importantes en cuanto a seguridad y privacidad, ya que permite determinar qué aplicaciones accederán a información sensible de la cuenta como el nombre, la imagen… Es posible tanto activar/desactivar el acceso a la cuenta del usuario como definir qué aplicaciones accederán a los datos de la cuenta. Es importante dado que un acceso en este apartado a una aplicación que pueda contener malware supondría un agujero de seguridad de los datos.
  • Contactos: Al igual que con las anteriores opciones, como el acceso a la información de la cuenta, es posible determinar si el dispositivo accederá a los contactos del usuario, y qué aplicaciones podrán acceder a los mismos. En el mismo sentido, un acceso inadecuado permitiría a un intruso acceder a la base de datos de contactos del usuario, por lo que, si no es estrictamente necesario, se recomienda no activar dicha opción.
  • Calendario: Menos importante que las anteriores, pero igualmente desde esta opción se puede activar el permiso de acceso a los calendarios y qué aplicaciones se permiten.

El resto de las opciones de privacidad existentes (Historial de llamadas, correo electrónico, tareas, mensajes, señales de radio, otros dispositivos, aplicaciones en segundo plano, diagnósticos de la aplicación, descargas automáticas de archivos, documentos, imágenes, vídeos y sistema de archivos) contienen una configuración similar que no vamos a duplicar, ya que inciden en la importancia de activar o desactivar el acceso al servicio, y en caso de ser activado, determinar las aplicaciones que tendrán acceso al mismo. Tiene especial relevancia para la seguridad del dispositivo el conjunto de aplicaciones que se puedan ejecutar en segundo plano, ya que un malware puede estar entre estas aplicaciones permitidas y sin que el usuario se dé cuenta, realizar el daño que tenga por objeto el malware en cuestión.

Actualizaciones del sistema

En la actualidad, y dada la cantidad de vulnerabilidades que pueden aprovechar los distintos malwares para atacar nuestro sistema, cualquier sistema operativo tiene una serie de parches o actualizaciones del sistema para evitar que cualquier hacker pueda entrar en nuestro sistema.

Si no mantenemos nuestros equipos al día nos exponemos a todo tipo de riesgos:

  • Robo de información.
  • Pérdida de privacidad.
  • Perjuicio económico.
  • Suplantación de identidad, etc.

Cualquier programa es susceptible de tener fallos de seguridad. Por este motivo, puede necesitar ser actualizado independientemente del dispositivo en el que se encuentre instalado. Esto incluye los programas y sistemas operativos de ordenadores, tabletas, smartphones, consolas de videojuegos e incluso televisiones inteligentes.

Las actualizaciones son elaboradas y ofrecidas por los propios desarrolladores y fabricantes.

¿Qué debemos hacer ante una nueva actualización?

Una vez que se hace público un fallo de seguridad, cualquiera con los conocimientos adecuados puede utilizarlo para causarnos un perjuicio. Por tanto, todos hemos de adoptar el hábito de mantener nuestros dispositivos al día.

Debemos ser conscientes del riesgo que supone utilizar un equipo no actualizado.

En muchos casos, las aplicaciones y dispositivos disponen de opciones de actualización automática, de manera que las instalan tan pronto el fabricante o desarrollador las publican.

Esta es la opción más recomendada ya que evita que tengamos que estar nosotros pendientes de esta tarea, que en ocasiones resulta un poco molesta.

¿Qué precauciones debemos tomar en cuanto a actualizaciones?

Los ciberdelincuentes has descubierto nueva forma de infectar, la propia instalación de actualizaciones o parches. Por este motivo, ciertos portales de Internet y ciertas aplicaciones ofrecen la instalación de actualizaciones no oficiales o falsas.

Al aceptarlas, nuestro equipo quedaría infectado. Por tanto, no debemos instalar nada que no provenga de los canales oficiales que proporcionan los fabricantes y desarrolladores de los dispositivos o el software (Microsoft, Apple, Google, o los propios fabricantes de aplicaciones). Otra situación que debemos tener en cuenta es la instalación o actualización de una aplicación que necesita ciertos privilegios para funcionar correctamente. Es recomendable revisarlos, para evitar que individuos maliciosos que buscan tomar control de nuestro dispositivo puedan usarlos.

En cualquier caso, instalemos aplicaciones sólo de fuentes de confianza y siempre revisemos los privilegios por si fuesen excesivos o innecesarios para el propósito a que están destinadas.

Instala aplicaciones sólo de fuentes de confianza y revisa siempre los privilegios por si fuesen excesivos o innecesarios para el propósito a que están destinadas.

Vulnerabilidades

Existen varias compañías (grupos de hackers éticos como ZDI y Google Project Zero) que trabajan para reforzar nuestra seguridad. Analizan los principales sistemas operativos y las aplicaciones de uso diario en busca de vulnerabilidades que puedan suponer un riesgo. Normalmente estos fallos se suelen comunicar a las compañías de forma privada antes de darlos a conocer para darles tiempo a lanzar su parche. Sin embargo, las compañías tienen un plazo concreto para corregir la vulnerabilidad y, cuando estas no prestan atención a las vulnerabilidades, finalmente se hacen públicas para forzarlas a corregir los fallos.

DISPOSITIVOS MÓVILES

Los dispositivos móviles son una parte casi inseparable de nosotros mismos. No sólo almacenan nuestros contactos, sino mucha otra información personal. Por ello, debemos cuidarlos y protegerlos.

Si aplicamos unas pequeñas precauciones reduciremos el riesgo de tener un incidente:

  • Antivirus/Instala un antivirus: Los programas maliciosos no afectan solo a ordenadores. Algunas apps están diseñadas para infectar smartphones y tabletas.
  • Estafa/Cuidado con las estafas: El mayor uso de dispositivos móviles por los usuarios ha aumentado el número de intentos de fraude a través de este canal. Por tanto, es recomendable evitar los fraudes, a través de mensajes desconocidos, enlaces con invitaciones, o supuestos premios obtenidos.
  • Proteger/Protege: Protege tú móvil para que en caso de robo o pérdida puedas recuperarlo o al menos evitar que otros accedan a tu información.
  • Wifi/Cuidado con el Wifi: Precaución al conectarte a wifi públicas y a otros dispositivos através del Bluetooth.
  • Fabricante/Restricciones del fabricante: Evita anular las restricciones del fabricante. Éstasestán pensadas para hacer que tu dispositivo funcione correctamente sin riesgos de seguridad.
Las aplicaciones maliciosas

El malware no es un problema exclusivo de los ordenadores, sino que también afecta a los smartphones y tabletas. Por tanto, necesitan la misma protección que aplicaríamos a un equipo de sobremesa. La mayor parte de los virus se “cuelan” en nuestros dispositivos móviles a través de descargas de aplicaciones (apps) de sitios web que no son los canales recomendados.

En la medida de lo posible, hay que hacer uso de las tiendas oficiales:

  • App Store (dispositivos iOS) para dispositivos Apple.
  • Play Store (dispositivos Android) para el resto de los dispositivos.

Si descargamos aplicaciones de cualquier otra fuente, corremos el riesgo de instalar aplicaciones maliciosas sin ser consciente de ellos. Para evitar situaciones desagradables:

  • Descarga: Descarga nuevas aplicaciones solamente a través de los canales oficiales de los fabricantes. Así te aseguras de que las aplicaciones han sido revisadas tanto por Google o Apple, como por los usuarios.
  • Verifica: Verifica la reputación de la aplicación. Revisa la valoración que tiene una app echando un vistazo a los comentarios que los usuarios han hecho sobre ella. Cuando la aplicación se comporta mal o de manera sospechosa, los propios usuarios se encargan de reflejarlo en los comentarios.
  • Mantén: Mantén el terminal y las aplicaciones actualizadas. Éstas corrigen errores que ayudan a mantener los dispositivos protegidos.

Un tipo de malware muy utilizado: estafas en dispositivos móviles

El uso que se hace de los smartphones y tabletas ha contribuido a la aparición de nuevas estafas. Las aplicaciones de mensajería instantánea, por ejemplo, son usadas en muchos casos por personas que no tienen un conocimiento medio a nivel tecnológico, convirtiéndolas en un blanco fácil de estafas o fraudes. Suele ocurrir con personas de avanzada edad, a las que la era digital les ha llegado tarde y utilizan el smartphone como herramienta principal de comunicación en redes. Para evitar este tipo de estafas:

  • Permanece alerta ante cualquier mensaje sospechoso, y no respondas nunca por SMS a un número de teléfono que no conozcas.
  • No devuelvas las llamadas perdidas de números desconocidos. Si alguien quiere localizarte, volverá a llamar.
  • Si sospechas que estás siendo víctima de algún tipo de estafa, contacta con tu operador de telefonía.

Precauciones con las conexiones

Habitualmente nos conectamos a redes wifi-públicas (aeropuertos, cafeterías y otros espacios públicos) para navegar a más velocidad o para no consumir los datos de nuestra tarifa.

El problema de algunas de estas redes es que no son seguras, ya que no cifran la información que se transmite a través de ellas, por lo que cualquier usuario conectado a la red con ciertos conocimientos podría hacerse con la información que estemos intercambiando.

En el caso del Bluetooth, si el dispositivo conserva las contraseñas por defecto del fabricante, un atacante podría conectarse al dispositivo y, por ejemplo, escuchar todas las conversaciones cuando utilicemos el manos-libres.

Podemos minimizar estos problemas si adoptamos ciertas precauciones:

  • Precaución 1: Si te conectas a una red pública, extrema las precauciones. Evita conectarte a redes inalámbricas abiertas o que tengan un cifrado poco seguro (WEP).
  • Precaución 2: Desde una red pública nunca accedas a páginas web bancarias ni a sitios donde sea necesario introducir un usuario y contraseña.
  • Precaución 3: Enciende el Bluetooth solo cuando vayas a hacer uso de él y configúralo para que no sea visible por otros dispositivos.

HERRAMIENTAS DE SEGURIDAD

Ya conocemos las diferentes posibilidades que nos facilitan los sistemas operativos más utilizados y conocidos, conocemos los tipos de malwares y amenazas que pueden atentar contra los diferentes equipos, por lo que es imprescindible en este punto conocer las distintas herramientas que hay en Internet para proteger los sistemas.

Hay que indicar que existen herramientas de tipo freeware y de pago. Las herramientas de tipo freeware, no suponen un coste al usuario, pero generalmente tienen menos capacidad para prevenir y solventar amenazas. Es recomendable destinar una dotación anual al conjunto de software de seguridad, tanto a nivel doméstico como empresarial. Vamos con los tipos de herramientas.

Podemos distinguir entre las siguientes categorías:

  • Cifrado de datos y gestión de contraseñas: Actualmente se utilizan las siguientes aplicaciones conocidas para codificar/decodificar información, de forma que sólo quién conozca la contraseña adecuada puede descifrarla: Password Boss, Keeweb, Dashlane, Cifrado de Windows (Bitlocker).
  • Antivirus: Son herramientas cuya principal finalidad es la detección, bloqueo y eliminación de virus y otros códigos maliciosos. Sin embargo, dependiendo del fabricante,éste puede ofrecer otros servicios adicionales muy interesantes para mantener el ordenador protegido. En función de dónde esté instalado el anti-espía, éste puede ser de escritorio (si está instalado en el equipo) o en línea (disponible a través del navegador web).
  • Antirrobo: Si pierdes o te roban tu móvil, gracias a estas aplicaciones podrás localizarlo. Cuentan con geolocalización y la posibilidad de borrar tus datos personales de forma remota o recuperar archivos importantes: Buscar mi iPhone, Encontrar mi dispositivo (Find My Device de Google), LockitTight.
  • Firewall: En primer lugar, debemos definir el concepto de firewall. Al igual que en su definición original, cortafuegos que sirve de barrera en el campo, a nivel tecnológico supone un sistema que permite proteger un equipo informático o una red de equipos informáticos de las intrusiones que provienen de una tercera red (expresamente de Internet). El firewall es un sistema que permite filtrar los paquetes de datos que andan por la red. Se trata de un monitorizador, que filtra, al menos, el tráfico entre la red interna y externa.

Para ello, un sistema de firewall contiene un conjunto de reglas predefinidas que permiten:

  • Autorizar una conexión (Allow).
  • Bloquear una conexión (Deny).
  • Redireccionar un pedido de conexión sin avisar al emisor (Drop).
  • Navegación segura: Los navegadores web que usamos habitualmente suelen tener un “modo incógnito o privado” que nos permite navegar desde una sesión privada. Por desgracia, estas sesiones privadas no ofrecen una protección contra los rastreos de Google y demás gigantes de Internet, quienes siguen pudiendo hacer de las suyas.

A continuación vamos a ver algunos navegadores privados que van a permitir mejorar nuestra privacidad, evitando así que grandes empresas rastreen y controlen nuestro tráfico: Tor Browser, Kaspersky Safe Browser, Hot Spot Shield VPN.