|
 |
 |
 |
 |
 |
 |
|---|
Fundamentos de la Seguridad de la Información
La información es un activo importante con el que cuentan las organizaciones para satisfacer sus objetivos y es crítica para su desempeño y subsistencia. Por este motivo, es fundamental tener presente que existen amenazas que pueden afectarla. Es por ello que deben tomarse recaudos e implementar controles para protegerla.
Para abordar la complejidad del proceso de seguridad de la información, deben tenerse presente ciertos conceptos que explican cómo puede originarse un riesgo y qué efectos puede provocar.
Confidencialidad Integridad Disponibilidad
Cuando en el ámbito de la seguridad informática mencionamos el concepto de incidentes nos referimos a aquellos eventos adversos en un entorno informático, que pueden comprometer o comprometen la confidencialidad, integridad y/o disponibilidad de la información así como también las amenazas inminentes de violación o las violaciones concretas de una política de seguridad de la información, de políticas de uso aceptable o de mejores prácticas de seguridad.
Principios de seguridad: confidencialidad, integridad y disponibilidad
¿Qué podría ocurrir si en la dependencia donde trabajamos alguien accediera a la información personal que se tiene de los ciudadanos o de los empleados del organismo (por ejemplo, ingresos anuales, deudas impositivas, domicilio o historia clínica), sin la debida autorización? Podemos imaginar una serie de riesgos que afectan a las instituciones y cómo podrían impactar negativamente en la vida cotidiana de las personas.
En estos casos, se entiende que debe protegerse no solo la información en su totalidad, sino también las piezas individuales que pueden ser utilizadas para inferir otros elementos de información confidencial.
La propiedad por la cual se garantiza el acceso a la información sólo a aquellas personas autorizadas para evitar su divulgación inapropiada se denomina "confidencialidad".
¿Qué ocurriría si se alteraran los datos contenidos en nuestras PC o se cambiara su configuración, sin la debida directiva o autorización?
Seguramente en muchos casos, esto tendría graves consecuencias para nosotros, para el organismo y/o para terceros.
Es necesario proteger la información contra la modificación sin el permiso del dueño. La información a ser protegida incluye no sólo la que está almacenada directamente en los sistemas de cómputo sino que también se deben considerar otros elementos como respaldos, documentación, registros de contabilidad del sistema, tránsito en una red, etc.
La propiedad por la cual se garantiza la protección contra modificaciones no autorizadas para evitar su alteración de la información se denomina "integridad".
Supongamos ahora que un organismo publica información importante en su sitio web, como por ejemplo vencimientos de pagos, instrucciones para realizar un trámite complicado como presentación en línea de declaraciones juradas, alguien impide el acceso para acceder a dicho sitio. De nada sirve la información si se encuentra intacta en el sistema pero los usuarios no pueden acceder a ella.
Proteger la información también significa garantizar que se encuentre disponible en tiempo y forma para aquellas personas autorizadas, de manera que puedan acceder al sistema, actualizar o modificar trabajos existentes, etc.. Esta propiedad se conoce como disponibilidad.
Riesgos para la seguridad de la información
Las “buenas prácticas” en seguridad de la información protegen a este activo contra una amplia gama de amenazas, tanto de orden fortuito –destrucción parcial o total por incendio inundaciones, eventos eléctricos, etc. - como de orden deliberado – fraude, espionaje, sabotaje, vandalismo, etc.
Las amenazas a la seguridad de la información son sucesos que atentan contra la confidencialidad, integridad y/o disponibilidad de la información. Existen diferentes tipos de amenazas y distintas formas de clasificarlas. El esquema que sigue presenta una posible clasificación:
Amenazas : a)Humanas >>> a1) Maliciosas >>> Externas-Internas
a2) No Maliciosas >>> Impericias
b)Naturales
Las amenazas humanas pueden ser tanto fortuitas o accidentales como intencionales. En el primer caso se consideran amenazas no maliciosas. Estos eventos accidentales pueden deberse a explosiones, incendios, cortes de energía u otros suministros, rotura de tuberías, desastres nucleares, choques de vehículos. Estos eventos se explican más por la impericia que por la intención de causar daños.
Las amenazas maliciosas, en cambio, se vinculan con eventos intencionales, deliberados, como las posibilidades de robo de equipamiento, sabotaje, suplantación de identidad, interrupción deliberada de servicios, etc. y pueden provenir de integrantes de la organización o de personas externas a ella.
Una amenaza implica una violación potencial a la seguridad. Luego la amenaza puede o no materializarse, explotando una vulnerabilidad.
Una vulnerabilidad es una debilidad en un control, o la inexistencia de este. Por ejemplo, si una oficina no cuenta con los extintores de incendios reglamentarios, entonces decimos que presenta una vulnerabilidad, ya que no existe el control necesario para tratar posibles incendios.
El riesgo resulta de la combinación de la probabilidad de que una amenaza explote una vulnerabilidad y del impacto resultante en la organización. En el ámbito de la seguridad informática, nos referimos a impacto en términos de los posibles efectos negativos sobre la seguridad de la información.
Un incidente de seguridad ocurre en el preciso momento en que una amenaza explota una vulnerabilidad existente. Un incidente puede afectar a recursos físicos (ej.: impresoras, servidores de archivos), recursos lógicos (ej.: bases de datos) y servicios (ej.: correo electrónico, página Web).
Existen cuatro tipos de incidentes en el modelo de relación productor consumidor de información.
1. El primer tipo de incidente que muestra el esquema es la interrupción. En este caso resulta afectada la disponibilidad de la información. Esta alteración se observa por ejemplo cuando alguien da de baja el servidor y se ve afectado el servicio de correo electrónico, lo que impide enviar correos. En otros casos la interrupción puede deberse a la falta de energía eléctrica que impide encender la impresora y por lo tanto, imprimir un documento y tenerlo disponible en formato papel.
2. El segundo tipo de incidente se denomina intercepción y pone en riesgo la confidencialidad de la información que un productor transmite a un consumidor.
Por ejemplo, con el objetivo de leer información, una persona no autorizada a hacerlo puede implantar un programa que duplique los correos electrónicos de una dirección y envíe la copia de cada correo a otra dirección.
3. Un tercer caso de incidentes se conoce como modificación y afecta directamente la integridad de los datos que le llegan al consumidor. Por ejemplo, si alguien logra ingresar al servidor Web como webmaster y cambia los contenidos, los datos que mostrará la Web no serán los reales. Otra modificación puede darse sobre la base de datos de pagos en cuentas corrientes de un banco, al implantarse un programa que redondea en menos los pagos y carga los redondeos a una cuenta corriente predeterminada.
4. El cuarto y último tipo de incidentes es el de la producción impropia de información. En este caso la información que recibe el consumidor es directamente falaz y por lo tanto se afecta a la integridad. Esta situación puede darse si alguien se apropia de la contraseña del webmaster, ingresa al servidor y modifica el direccionamiento de manera que se cargue, en lugar de la página original de la organización, otra página Web.
Dentro de las estrategias de ataque a la seguridad de la información vamos a referirnos a tres procedimientos: Ingeniería Social, Ingeniería de datos y ataques a contraseñas.
Generalmente estamos acostumbrados a asociar la seguridad de un sistema con las herramientas informáticas que aplican seguridad o bien con controles físicos. Pero olvidamos que las personas se encuentran directamente relacionadas con los sistemas de información.
Precisamente la Ingeniería Social explora el factor más vulnerable de todo sistema: el ser humano, aprovechando, por ejemplo, excesos de confianza, falta de reserva y otras debilidades de las personas.
El concepto de Ingeniería Social proviene del inglés: Social Engineering. Se trata de un conjunto de técnicas de engaño que se aplican sobre las personas para obtener de ellas información de interés para el atacante, o para lograr que efectúen alguna acción deseada por este.
A través de trucos, engaños o artimañas se busca confundir a una persona para que entregue información confidencial o bien los datos necesarios para acceder a ella o para comprometer seriamente un sistema de seguridad. Por ejemplo: para averiguar el horario de trabajo de un integrante de la familia, alguien puede realizar llamados al hogar y hacerse pasar por un vendedor, con una buena oferta.
Dependerá de quién atienda, el brindar o no esa información. Con estas técnicas se suelen recolectar datos personales como números de teléfono, celular, número de documento, composición familiar, gustos, enfermedades, cuentas bancarias, tarjetas de crédito, claves de seguridad, etc.
Siempre dependerá de la vulnerabilidad de la víctima y de la habilidad de quien realiza el engaño.
La mejor manera de estar prevenido es tener conocimiento del tema. Para evitar que la Ingeniería Social sea utilizada para atacar la información, se debe primeramente informar a las potenciales víctimas sobre este tipo de técnicas, de forma que se encuentren prevenidas y puedan reaccionar con el objeto de rechazar estos ataques. Además, es necesario tener en cuenta que continuamente se ingenian nuevas estrategias, por lo que insistimos con ser precavidos y estar alertas.
Trabajaremos conceptos y procedimientos fundamentales para mitigar los intentos de Ingeniería Social y de otras estrategias.
También se realiza ingeniería cuando se recolectan datos publicados por los usuarios en Internet. En especial, quienes realizan estas acciones indagan varias fuentes: perfiles en redes sociales, fotologs, blogs, participación en foros o grupos. De esta forma se obtiene información personal que luego puede ser utilizada para configurar pruebas metódicas y obtener el acceso a sistemas de información.
Es por este motivo que se recomienda no subir ningún tipo de información personal a estos sitios.
|
|---|
Para lograr el acceso a un sistema se pueden utilizar además diversas herramientas que realizan intentos para descubrir cómo acceder a un sistema de manera automática.
Existe una prueba metódica de contraseñas para lograr el acceso a un sistema en el que se prueban una a una todas las palabras de un diccionario. Esta prueba se denomina ataques por diccionarios. El diccionario puede inclusive estar confeccionado especialmente de acuerdo al tipo de usuarios (profesionales, informáticos, etnias, zonas geográficas, etc.).
Existen, por ejemplo, diccionarios argentinos donde encontramos palabras propias de nuestro dialecto. Debido al poder computacional de los equipos actuales este tipo de ataques no representan un tiempo significativo ni necesidades extraordinarias de equipamiento. Por otra parte, se han desarrollado programas que generan todas las combinaciones posibles de letras, números y símbolos y forman así contraseñas.
Luego, cada una de estas combinaciones se prueba de manera automática. Esta técnica se denomina ataque por fuerza bruta. Dependiendo del mecanismo de protección y de la longitud de las claves, esta técnica puede ser más o menos efectiva al igual que el ataque por diccionario.
|
|---|
Políticas de Seguridad de la Información (PSI)
Hasta el momento hemos analizado cuales son los riesgos a los que se encuentra expuesta la seguridad de la información y especificaciones los motivos por los que es necesario asegurar este activo tan importante para las organizaciones y las personas.
Es en este contexto que cobran relevancia las Políticas de Seguridad de la Información que determinan qué conductas en relación con los sistemas de información son permitidas y cuales no.
La PSI es un documento ( Puede ser un documento único o estar inserto en un manual de seguridad ) en el que el máximo nivel de la organización expone su intención de proteger la información del organismo que administra y de brindar garantías de seguridad. Se trata de un conjunto de directrices generales sobre las cuales debe asentarse todas las definiciones y acciones de seguridad. El diseño de la política contendrá los lineamientos generales y debe ser seguida de una serie de normas y procedimientos detallados que se derivan de ella. Es decir deberán existir procedimientos (detalle de los cursos de acción a seguir por el personal ante las distintas situaciones que surgen de las actividades operativas) y normas (definiciones concretas sobre el vínculo de cada uno de los temas de seguridad con las distintas tareas desarrolladas en la organización), aceptadas, escritas, difundidas y controladas que materialicen la política
Para lograr proporcionar dirección y apoyo gerencial y brindar así seguridad de la información a toda la organización, son necesarios al menos dos requisitos :
> La designación de un propietario que será el responsable de su mantenimiento y su actualización a cualquier cambio que se requiera,
> La garantía de accesibilidad, de forma que los empleados estén al tanto de su existencia y entiendan su contenido.
El primer propósito de estas políticas es lograr un aumento de los niveles de seguridad en las organizaciones. La implementación de una “PSI” permite a las organizaciones cumplir una gestión efectiva de los recursos de información críticos e instalar y administrar los mecanismos de protección adecuados. Esto redundará en una efectiva reducción de los niveles de riesgo y de las vulnerabilidades, lo cual, en definitiva, se traduce en el ahorro de tiempo y dinero, la generación de una mayor confianza y fortalecimiento de la imagen institucional.
Las PSI implican una precisa planificación de actividades. A través de la actuación de distintos actores, las organizaciones pueden armar una efectiva planificación de las actividades a desarrollar, con el objetivo de hacer más seguros sus sistemas. Esto es importante pues no sólo asegura que se abarquen todas las áreas relevantes, sino también el cumplimiento de los objetivos.
Cuando se implementan PSI, se deben proyectar también las acciones a mediano y largo plazo que permitan una mejora continua. La PSI describe no solamente los aspectos a tener en cuenta en el proceso del alcance de los objetivos en materia de Seguridad de la Información, sino también los criterios de revisión y mejora continua para mantenerlos.
Por último, cabe reiterar que el éxito de las PSI requiere el involucramiento y el conocimiento de cada uno de los integrantes de una organización. Y no solo de aquellos que son usuarios de sistemas informáticos.
Escritorios y Pantallas Limpias
Debe tenerse en cuenta que la información sensible no solo es manejada en los sistemas informáticos, sino que también se encuentra dispersa en otros medios, como por ejemplo archivos físicos en papel, CD’s, pendrives, formularios, etc. Es por ello que se deben establecer medidas de seguridad para la información fuera de los sistemas informáticos.
Como hemos visto, es crucial evitar que la información sensible llegue a manos de personas no autorizadas. Las oficinas son visitadas frecuentemente por proveedores, consultores, clientes, personal de limpieza y otros compañeros de trabajo.
Una buena práctica consiste en mantener su escritorio lo más limpio y organizado posible.
Si está desordenado, es muy probable que usted no se dé cuenta de que le falta algo. Es prioritario prestar atención a la información sensible. De acuerdo al caso, puede considerarse información crítica o sensible alguno de los siguientes ejemplos:
> datos de empleados > contratos > números de cuenta > informes confidenciales > información con propiedad intelectual
> nombres de usuarios y contraseñas
Respecto a la seguridad física, durante el día, es importante tomar los siguientes recaudos:
> Guardar los documentos sensibles bajo llave.
> Si se utiliza una notebook, mantenerla en un lugar seguro para evitar robos y asegurarla en lo posible con cables de seguridad.
> No dejar pendrives, CD’s, disquetes, u otro elemento removible con información en lugares visibles y accesibles.
> Guardar su portafolio o cartera en muebles seguros. > El concepto de “pantallas limpias” apunta a no exponer en el monitor
información que pueda ser utilizada por personas no autorizadas.
> Si una pantalla se encuentra desatendida podría ser una amenaza a la seguridad de la información del usuario y del organismo ya que otra
persona podría operar de manera no autorizada. Las recomendaciones en este caso son: > No dejar nunca desatendida su terminal. > Si se debe abandonar, aunque sea momentáneamente, su puesto de
trabajo, bloquear la terminal con las facilidades que provee el sistema
operativo o con un salvapantallas que solicite el ingreso de una clave para
desbloquear la terminal. Al terminar el día, es importante tomarse unos minutos para: > Juntar y guardar en forma segura el material sensible. > Cerrar con llave gabinetes, cajones y oficinas. > Asegurar el equipo costoso (notebook, PDA o computadoras de
mano, etc.). > Destruir en forma efectiva los documentos sensibles que tiró al
canasto de basura (usar máquinas picadoras de papel, etc.). > Revisar que el lugar de trabajo esté en orden, los equipos
apagados y ningún documento sin guardar, antes de irse definitivamente de la
oficina. Uso de contraseñas - Control de Acceso lógico a los Sistemas de Información Conocer los mecanismos de control de acceso lógico a los
sistemas de información es clave para proteger la disponibilidad, confidencialidad
e integridad de la información, Para asegurar el acceso a la información, se
deben realizar tres pasos fundamentales: Identificación : Indicarle al sistema cuál es la cuenta de usuario a utilizar Autenticación Demostrarle al sistema, por ejemplo mediante la
introducción de una clave, que el usuario es quien dice ser. Autorización : Obtener los permisos que el usuario posee para
acceder al recurso. Se debe tener presente que se trata de conceptos diferentes: la
identificación es el proceso mediante el cual un usuario presenta una
determinada identidad para acceder a un sistema mientras que la autenticación
es el mecanismo para validar la identidad del usuario. Todos los sistemas deben contar con un control de acceso
adecuado mediante los tres pasos mencionados. Lo ideal para una autenticación
fuerte es contar al menos dos de los siguientes factores: > Algo que se conoce (Nombre de Usuario y Clave de Acceso) > Algo que se posee (Por Ejemplo: una tarjeta magnética) > Algo que se es, una característica personal y única (Por
ejemplo: la huella digital) Una clave de acceso o contraseña es un conjunto de caracteres
utilizado por un sistema para completar el proceso de identificación y
autenticación de un usuario que solicita acceder a un recurso, es decir, para
asegurarse de que el usuario es quien dice ser. Estas contraseñas son
requeridas para acceder a la mayoría de los servicios que se brindan por Internet, ya sea correo electrónico, redes sociales, banca electrónica o “home banking”, sitios de compra en línea, servicios de Chat, portales de juegos, etc. No menos importantes son los accesos a redes internas corporativas o gubernamentales, conocidas como “intranets”, a las estaciones de trabajo o equipos hogareños, y a dispositivos
de conexión, como “routers” o “switches”. Los escenarios donde se utilizan son
muy variados y los límites entre el uso laboral y hogareño no son fijos. Si bien una clave de acceso brinda la posibilidad de ingresar a
un servicio, debemos saber que se trata de un mecanismo de protección de
recursos, como por ejemplo archivos de datos, sistemas de información, correo
personal, etc., y que el nombre de usuario y la contraseña son las credenciales
que nos permiten identificarnos para tener ese recurso disponible. Cuando un equipo informático pertenece a una red interna que se
encuentra conectada a Internet, el cuidado que debe tener cada integrante de la
organización es más importante ya que la responsabilidad sobre la seguridad
integral de la información y de la red, es la suma de las responsabilidades que
cada uno tiene al hacer uso de los recursos brindados para trabajar. La falta de cuidado en la clave de acceso a un servicio puede
poner en riesgo a toda la organización, poniendo en peligro no solo la
información que pudiera ser personal, sino también los datos de la misma
organización o de terceros. En el caso de una clave de correo electrónico, las consecuencias
también son graves, ya que cualquier mensaje enviado será adjudicado
inicialmente al usuario habitual de esa cuenta. Si un tercero llega a hacerse
de la clave de correo de un usuario puede leer sus correos y enviar otros a su
nombre. Cualquier desconocimiento del envío de correos electrónicos deberá ser
probado, lo que implica una complicada investigación. Por esta razón, el establecimiento de Políticas de Seguridad de
la Información que mencionamos en el apartado anterior, su difusión, aplicación
y cumplimiento, resultan tan importantes. Descuidar una contraseña, o elegirla sin un buen criterio,
posibilita que pueda ser obtenida muy fácilmente y utilizada para perjudicarlo
de diversas maneras, tanto a usted como a la organización a la que pertenece. Es por ello que se deben establecer normas para el uso adecuado
de las contraseñas, para prevenir que estas sean vulneradas y utilizadas por
terceros para acceder a su información y a los sistemas de forma ilegítima. Específicamente, se pueden generar los siguientes riesgos: Suplantación de identidad: una clave
fácil de averiguar o mal preservada puede permitir que alguien se haga pasar
por nosotros incluso sin que nos demos cuenta. Cuando se usa la misma clave
para muchos servicios este riesgo crece. Robo de información: debido a
que el nombre de usuario y contraseña es el mecanismo de protección de los
sistemas más utilizado, si este mecanismo es vulnerado por un descuido en la
manipulación de sus elementos, todo aquello que se desea proteger queda
expuesto y es susceptible de ser robado. Intrusiones: la clave de acceso a
un equipo está protegiendo tanto a la información como al equipo en sí mismo.
Las capacidades de procesamiento de los equipos pueden ser utilizadas en
conjunto para diversos objetivos, como el envío de spam, ataques de sitios,
robo de datos, etc. La intrusión es el acceso ilegítimo y está penado en
nuestro Código Penal. Características de una contraseña segura Para ser segura, una clave debe caracterizarse por ser: > Sólo el usuario de la contraseña debe conocerla. > Intransferible: La contraseña no
puede ser revelada a ningún tercero para su uso. > Modificable Solo por su titular: el
cambio de contraseña, sea cual fuere el motivo, debe ser realizado por el
usuario. Únicamente en situaciones excepcionales podría ser cambiada por el
administrador, por ejemplo, cuando el usuario la hubiera olvidado o si
estuviera en riesgo la seguridad de la organización, como sería en el caso de
que fuera divulgada o detectada como débil luego de una auditoría. > Difícil de averiguar: para ser
segura, el usuario debe seguir ciertos lineamientos que impidan su
averiguación: las claves no deben asociarse a características personales, como
nombres, número de documento, etc. Fortaleza de la clave de acceso La importancia que tiene la longitud de la clave seleccionada,
como así también el conjunto de caracteres utilizado, son aspectos importantes
en la construcción de claves. Según su longitud y conjunto
de caracteres incluidos cuantas más combinaciones se puedan lograr, más
difícil será su averiguación mediante herramientas de fuerza bruta. Teniendo en cuenta los riesgos y las estrategias de ataque previstas,
es necesario que se defina el procedimiento adoptado para la creación de
contraseñas así como las condiciones de uso y el tipo de información al que se
brinda acceso. Este procedimiento debe especificar: > Un plazo de caducidad (Cambiar la clave cada cierto periodo). > Una longitud mínima. > El conjunto de caracteres utilizables (en ciertas aplicaciones
no se permiten, por ejemplo, caracteres especiales como “*”, “$”, “#”, etc.). > Un diccionario de términos no permitidos, como nombres propios,
días de la semana, meses, estaciones del año, etc., si fuera aplicable. Recomendaciones para la elección Veamos ahora algunas de las técnicas que pueden utilizarse para
formar una clave robusta o fuerte, que conlleve cierta dificultad para
averiguarla, pero que al mismo tiempo, permita ser recordada sin dificultad. > No utilice palabras comunes ni nombres de fácil deducción por
terceros (Ej: nombre de mascota). > No la vincule a una característica personal, (Ej: teléfono, D.N.I., patente del automóvil, etc.). > No utilice terminología técnica conocida (Ej: admin). > Combine caracteres alfabéticos, letras mayúsculas y minúsculas, números, caracteres especiales. Utilice al menos 8 caracteres.
>Use un acrónimo de algo fácil de recordar (Ej: NorCarTren-Norma, Carlos, Tren). > Añada un número al acrónimo para mayor seguridad (Ej: NorCarTren09 -Norma, Carlos, Tren, Edad del hijo). > Sustituya ciertas letras por ciertos números o símbolos (*, #, @, etc.), aplíquelo a una frase de su cancióon favorita o a una frase que conozca, y use algunas mayúsculas.(Ej: Verano del 42: VerDel4&d0s).
>Mejor aún, elija una frase no conocida por otros (Ej.: 3duard0palmit0). > Elija una palabra sin sentido, aunque pronunciable (Ej:galpo-glio). > Elija una clave que no pueda olvidar, para evitar escribirla en alguna parte (Ej: arGentina6-0). > Utilice las primeras letras de un dicho o frase célebre. Por ejemplo: “NpmmsamT” (No por mucho madrugar amanece más temprano). Preferentemente incluya además signos de puntuación: “Npmm,samT.” > Defina su propia regla de construcción sobre la base de una canción, frase, poema o texto que pueda recordar u obtener fácilmente. Por ejemplo, una regla podría ser: a. seleccionar la frase;b. elegir la primera letra de cada palabra; c. poner las primeras dos letras en “minúscula”, las segundas dos en “mayúsculas” y así sucesivamente,hasta tener una longitud de 8 caracteres (“mmMMmmMM”) d. elegir un número de 2 cifras (que recordemos): si el número es impar entonces colocarlo al inicio de la clave; si por el contrario es par colocarlo al final; e. agregar al número un carácter especial, “-” entre los dígitos. Por ejemplo: si el número es “01”, quedaría “0-1” > Si tomamos por ejemplo, la letra de la canción de María Elena Walsh: “Manuelita vivía en Pehuajó, pero un día se marchó Nadie supo bien por qué, a París ella se fue un poquito
caminando y otro poquitito a pie. ..... “ y elegimos el número “04” (que corresponde al número del mes en el que debo cambiar la clave), entonces la nueva contraseña, según la regla de construcción sería: “mvEPpuDS0-4” Otra sugerencia para lograr una mayor longitud, es directamente utilizar frases separando las palabras por algún carácter. Por ejemplo: “manuelitA-viviA_En-Pehuajo”. > Si el sistema lo permite, puede también utilizar frases de longitud considerable como contraseña. Este método es mencionado en algunas ocasiones como “passphrase”. Siguiendo el ejemplo anterior, podría utilizar
“Manuelita vivía en Pehuajó, un poquito caminando, y otro poquitito a pie”. Recomendaciones para el uso de contraseñas De nada sirve crear una contraseña fuerte, si esta no guarda la
condición de secreta e intransferible. Veamos algunas recomendaciones para el
uso adecuado de claves de acceso. > Cuide que no lo vean cuando escribe su clave y no observe a
otros mientras lo hacen. > No comparta su clave con otros, ni pida la clave de otros. > No escriba la clave en un papel ni la guarde en un archivo sin
cifrar. > Si por algún motivo tuvo que escribir la clave, no la deje al alcance
de terceros (debajo del teclado, en un cajón del escritorio) y NUNCA pegada al monitor. No dude en
cambiar sus contraseñas si sospecha que alguien puede conocerlas. > No utilice ni permita que le asignen una cuenta sin contraseña. > No habilite la opción de “recordar claves” en los programas que
utilice. > NUNCA envíe su clave por correo electrónico ni la mencione en
una conversación, ni se la entregue a nadie, aunque sea o diga ser el
administrador del sistema. > No mantenga una contraseña indefinidamente. Cámbiela
regularmente, aunque las políticas de administración de claves no lo obliguen. > Hágale saber al administrador de la red cualquier incidente que
tenga con su cuenta. Si se le ha otorgado una contraseña para el primer acceso
a un sistema, proceda a cambiarla en forma inmediata, aún cuando el mismo
sistema no se lo requiera. > Evite acceder a su correo o realizar operaciones monetarias
desde sitios públicos como cibercafés. > Si debe hacerlo indefectiblemente, considere que su clave puede
haber sido espiada o comprometida, por lo que se recomienda que proceda a
cambiarla ni bien le sea posible. > No utilice la misma contraseña para múltiples servicios. Otros Controles ¿Qué otros controles contribuyen a evitar ataques? > Muchos sistemas fuerzan una elección de determinados caracteres,
pero como hemos visto en el ejemplo, esto a veces no alcanza. Los controles de
accesos fallidos, por ejemplo, están destinados a permitir una cantidad fija
de intentos en los que se puede errar la clave, para luego bloquear el acceso. > Los “cachas” son un mecanismo para evitar las pruebas
automatizadas, ya que se trata de una prueba del tipo desafío-respuesta
utilizada para intentar determinar cuándo el acceso es de un usuario humano o
no. Esta técnica se utiliza en algunos sitios cuando se ha probado una
contraseña varias veces sin acertar, o cuando se quieren evitar intentos
automáticos de acceso. Phishing : Solicitud de datos confidenciales. Correo electrónico - Conceptos Fundamentales El correo electrónico es una de
las herramientas más utilizadas hoy en día para intercambiar información. Es
una herramienta muy versátil, que permite comunicaciones entre partes distantes
de manera mucho más veloz que el correo convencional. Sin embargo, debe tenerse presente que su uso puede conllevar
algunos riesgos, si no se toman ciertas precauciones. Antes de continuar,
resulta necesario precisar brevemente algunos términos fundamentales vinculados
a la Web y al uso de correos electrónicos, de acuerdo al alcance de este curso
básico. Dirección de correo electrónico Una dirección de correo electrónico adopta generalmente la
siguiente forma: nombre-usuario@dominio Por ejemplo:
“este.es.mi.correo@gmail.com” donde, haciendo una analogía con el sistema de
correspondencia postal, el “dominio” se asimila a todos los datos necesarios y
correspondientes al destino donde la carta debe llegar (código postal,
dirección, ciudad, país, etc.) y el “nombre-usuario”, con el nombre del
destinatario de esa carta en ese domicilio. Dominio de Internet El nombre de dominio de Internet es
una secuencia de caracteres, generalmente fácil de recordar que permite la
ubicación o identifi cación de los sitios por parte de las personas. Está
constituido por expresiones alfanuméricas concatenadas por medio de puntos
(“.”), en varios niveles organizados de forma jerárquica. Cuando accedemos a un sitio Web, o página de Internet, dentro de
toda esa cadena de texto (dirección URL), el dominio se encuentra en la
siguiente ubicación: URL: http://DOMINIO/carpeta/archivo.ext Este dominio, como dijimos anteriormente, sigue una estructura
jerárquica que se lee de izquierda a derecha. Por lo general, los nombres de
dominio tienen tres niveles. Veamos un ejemplo: www.Municipalidad.gob.ar El nivel superior, “top level domain” (TLD),
que en nuestro ejemplo es “gob.ar”, puede contar con tres variantes: 1) el “country code” (ccTLD) o “código
país”, que está basado en una norma internacional (ISO 3166) y está conformado
por dos letras (“.ar” en el caso de Argentina), 2) el genérico (gTLD), como “.com”, “.net”, “.org”, “.gov”,
etc., que por convención pertenece a dominios registrados en los EEUU, o 3) las variantes “com.ar”, “net.ar”, “org.ar”, etc. que clasifican tanto el tipo de organización a la que pertenece el dominio como su
nacionalidad. El nivel secundario, “second level domain” (SLD),
que en nuestro ejemplo es “Municipalidad”, identifica al dominio propiamente dicho generalmente se asocia al nombre de una
organización, organismo, empresa, persona, producto, etc. Finalmente, la expresión “www” es un dominio de tercer nivel, que permite el acceso a un servicio Web. Existen más niveles de dominio, pero rara vez se los utiliza. Esta estructura jerárquica nos permite identificar el lugar
donde se ha registrado el dominio y a qué tipo de organización pertenece. Por ejemplo: > organizaciones comerciales: .com, .net > entidades gubernamentales: .gov, .gob > entidades militares: .mil > entidades académicas: .edu Así, un dominio finalizado en “gob.ar” será un dominio
registrado por un organismo del gobierno de Argentina, dado que “ar” es para el país y “gob” identifica a una entidad de
gobierno. Luego el nombre de dominio completo
identifica a la entidad. En este punto es donde debe prestarse especial
atención. Veamos algunos ejemplos: > seguridadinformatica.sgp.gob.ar: el
dominio es “sgp.gob.ar”, donde “seguridadinformatica”, es un subdominio dentro del dominio “sgp.gob.ar”. Se trata de un dominio
legítimo. > www.sgp.gov.au: en este caso se trata
de un dominio de gobierno que estaría registrado de Australia, por la “au”. Claramente no es un dominio registrado en Argentina. La URL (Uniform Resource Locator, o Localizador Uniforme de recursos)
es una secuencia de caracteres con la cual se asigna una dirección única a cada uno de los recursos de
información disponibles en Internet. Existe una URL única para cada página de la World
Wide Web. Veamos la diferencia entre el dominio y la URL URL: http://www.ejemplo.net/indice.html Nombre de dominio: www.ejemplo.net Nombre de dominio registrado: ejemplo.net Sitios de Internet: indicadores de seguridad Los usuarios de Internet deben tomar recaudos al acceder a un
sitio Web si van a ingresar algún dato que consideren que debe estar protegido durante su transferencia al sitio al
que está dirigido. Los recaudos a tener en cuenta son los siguientes: > Por un lado, visualice el inicio de la URL del sitio. Si puede
observar la expresión “https”, se trata de un sitio que ofrece cierta garantía de que la información que se
intercambia entre quien ingresa (cliente) y quien recibe los datos (servidor) se encuentra cifrada, es decir
no resultará comprensible para alguien que pueda visualizarla mientras “viaja”. > Por otro lado, verifique la existencia del candado cerrado que
se encuentra en el margen inferior derecho de la pantalla en la mayoría de los navegadores. Haciendo clic
en el candado, el sistema debe mostrar el certificado de seguridad. Asimismo conviene observar en el
contenido del certificado que la denominación se corresponda con el nombre del sitio al que está ingresando. Cadenas de correo electrónico Las cadenas no suelen ser SPAM (mensaje no solicitado), porque
no es alguien que envía masivamente un mensaje, las cadenas suelen llegar de remitentes conocidos. Armar cadenas de correos electrónicos es una de las herramientas
que se utiliza comercialmente para obtener direcciones de correo electrónico y armar bases de datos con ellas. También es una oportunidad que se le brinda a los piratas
informáticos, pues obtienen blancos reales a los que enviarles virus y todo tipo de software malicioso. Es común leer en las cadenas de correo electrónico: “No sé si será cierto, pero por las dudas lo reenvío…” Debería cambiarse esa forma de pensar, por esta: “No sé si será cierto, pero por las dudas NO lo reenvío…” La opción de “reenviar” un correo, cuando es mal utilizada, es uno
de los causantes de: > Falta de privacidad de las direcciones y del contenido de correo
electrónico. > Distribución de código malicioso (“malware”). > Saturación del sistema de correo debido a mensajes no
solicitados (SPAM). Recuerde que, al reenviar un correo electrónico sin tomar
precauciones, se copian: > El “Asunto”, anteponiendo “RE” o “FW”. > El contenido del mensaje original. > Las direcciones de correo del remitente y de los destinatarios
originales. Muchas personas no quieren que sus direcciones de correo
electrónico sean conocidas por terceros. Debe respetarse el uso de las direcciones de correo de otros como un dato que no
debe hacerse público. Si por algún motivo debe reenviar un correo electrónico y no
tiene la autorización para hacer públicas las direcciones que contiene dicho correo, proceda de la siguiente manera: > Borre la/s dirección/es de correo del/los remitente/s. > Mejor aún: copie el contenido del correo original y arme uno
nuevo. > Si lo reenvía a más de una persona, utilice la opción de enviar
con “Copia Oculta”. Suele decirse habitualmente que: “Finalmente, reenviar un e-mail
no cuesta nada, sólo un click…” Pero sí tiene un costo: > La privacidad de las direcciones de los remitentes y
destinatarios originales. > El tiempo que emplearán los destinatarios en leerlo. > El consumo de recursos (carga del servidor de correo, espacio en
disco utilizado, ancho de banda, etc.). Mensajes no solicitados (SPAM) SPAM: son mensajes no solicitados, habitualmente de tipo publicitario,
enviados en cantidades masivas. Los spammers (quienes envían SPAM) utilizan diversas técnicas
para armar largas listas de direcciones de correo a las cuales enviarles SPAM: > Búsqueda de direcciones en páginas Web y foros. > Captura de direcciones de cadenas de correo. > Suscripciones a listas de correo. > Compra de bases de datos de direcciones de correo. > Acceso no autorizado en servidores de correo. Los mensajes no solicitados pueden adoptar tres formas, entre
otras: > Hoax > Scam > Phishing HOAX : Hoax es un término inglés que significa “engaño” o “broma”. Los “engaños” u “hoax” son mensajes fraudulentos que contienen
información inexacta o falsa, que inducen al receptor a reenviar el mensaje a fin de difundir su contenido o a
realizar acciones que, muy probablemente, le ocasionarán problemas. Muchas cadenas de correos electrónicos, aquellas que
“obligan” al destinatario a reenviar el mensaje bajo pena de diversos males, se inician solo con el fin de
recolectar direcciones de correos, en general para continuar con una actividad de SPAM. No pretenden ganancia económica directa. Los hoax suelen ser del siguiente tipo: > Alertas sobre virus “incurables”. > Mensajes de temática religiosa. > Cadenas de solidaridad. > Cadenas de la suerte. > Leyendas urbanas. > Métodos para hacerse millonario. > Regalos de empresas grandes conocidas. Estos mensajes tienen características comunes que permiten
identificarlos: > Suelen tener frases catastróficas y/o alarmistas. > Suelen no estar firmados ni tener información válida de
contacto. > Pueden contener frases amenazantes o que lo pueden hacer sentir
mal. > Suelen estar mal redactados, o con vocablos que no son propios
del país o región. > Algunos son malas traducciones del inglés u otro idioma
(traductores automáticos). > Siempre piden al destinatario que reenvíe el mensaje a uno o a varios. SCAM : Se denomina “scam”, (estafa en inglés), a un correo electrónico
fraudulento (o páginas Web fraudulentas) que pretenden estafar económicamente por medio del engaño, generalmente presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero. En la mayoría de estos mensajes, se inventa una historia en la que quien recibe el correo debe hacer un depósito o un pago previo con la promesa que luego le será reembolsado y devuelto con ganancias. Así puede ser alguien que resulta ser heredero de una fortuna que tiene que cobrar, pero necesita alguna colaboración para realizar el trámite de cobro. Así, quien recibe el mensaje es engañado y estafado. La característica principal de este tipo de mensajes es que
piden al receptor el gasto de un monto determinado. El siguiente es un ejemplo de Scam: Asunto: Requerimos personal honesto y ágil para vacante en España. Es usted una persona responsable y esta buscando un trabajo de
medio tiempo muy bien pagado? Somos una compañía familiar especializados en varias operaciones
con antigüedades y joyería Antigua, somos “di-genaro Ltd” , y estamos buscando gente
honesta y responsable para que se nos una. No te pierdas esta oportunidad - somos exactamente lo que estas
buscando!. Ganaras mas de EUR 1500 por mes, utilizando solo 3-4 horas de tu
tiempo. Es real con nosotros!.Nosotros no hacemos conversación de venta que requiera que
pagues cargos de inscripción o inscribirte a una lista de correo. No queremos que inviertas
dinero. Este trabajo requiere solo un monto limitado de tu tiempo. Te pagaremos en la primera semana de trabajo. No requerimos ninguna experiencia ni habilidad especial.
Trabajaras como un contratado independiente desde tu hogar. Si estas interesado, por favor siéntete libre de pedir
información adicional y las provisiones generales. Escríbenos ahora, te responderemos al instante. Por favor responde a este mail: support@domain.com Recomendaciones para evitar la propagación de mensajes no
solicitados > No deje su dirección de correo electrónico en cualquier
formulario o foro de Internet. > No responda los correos no solicitados. Bórrelos. Es lo más
seguro. > En general, no conviene enviar respuesta a la dirección que figura para evitar envíos posteriores. > Configure filtros o reglas de mensaje en el programa de correo
para filtrar mensajes de determinadas direcciones. > No configure “respuesta automática” para los pedidos de acuse
de recibo. > No responda a los pedidos de acuse de recibo de orígenes
dudosos. PHISHING : es una forma de engaño mediante la cual los atacantes
envían un mensaje (anzuelo) a una o varias personas, intentando convencerlas para que revelen sus datos personales.
Usualmente, esta información es luego utilizada para realizar acciones fraudulentas, como transferencias de
fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otras acciones delictivas que pueden efectuarse
mediante la utilización de esos datos. Actualmente el modo de difusión más utilizado por los atacantes
para realizar un ataque de “phishing” es el correo electrónico. Estos correos suelen ser muy convincentes, y
simulan haber sido enviados por una entidad conocida y confiable, con la cual la persona opera habitualmente, como por
ejemplo un banco o una empresa que realice operaciones comerciales por Internet. En el mensaje se alegan diversos motivos,
como problemas técnicos o la actualización o revisión de los datos de una cuenta, y a continuación se le solicita que
ingrese a un sitio Web para modificar o verificar sus datos personales: nombre completo, DNI, claves de acceso, etc.
Dicha página Web es en realidad un sitio falsificado que simula ser el de la organización en cuestión. El diseño de estas páginas Web suele ser muy similar, y a veces
prácticamente idéntico, al de las páginas Web reales de la organización cuya identidad se simula. Asimismo, estos
sitios tienen direcciones Web que pueden confundir a un usuario desprevenido por su parecido con las direcciones Web
auténticas. En la mayoría de los casos, el texto que el usuario visualiza en el enlace escrito en el correo
electrónico es la dirección real del sitio Web. Sin embargo, si el usuario hace clic en ese enlace, se lo redirige a una página Web
falsa, controlada por el atacante. También se han detectado casos en los cuales el usuario recibe
un mensaje SMS a su teléfono celular, un mensaje en un contestador automático o una llamada telefónica, en los
cuales, mediante técnicas muy similares, se lo intenta convencer para que llame a un número telefónico indicado en el
mensaje. Al llamar a dicho número, un sistema automatizado, haciéndose pasar por la organización, le solicitará sus datos
personales, los que luego serán utilizados sin su autorización, con las previsibles consecuencias gravosas. Identificación de técnicas de engaño El phishing suele utilizar varias técnicas de engaño, algunas
fácilmente detectables y otras no tanto. Nos remitiremos a las más simples
de identificar. > El usuario recibe un correo electrónico que simula ser enviado
por una entidad (por ejemplo, un banco). Para ello, se utilizan nombres de cuenta engañosos para que
resulten creíbles, con imágenes, gráficos y tipografía de la entidad. > Generalmente, el correo electrónico incluye una URL que
redirecciona a un sitio fraudulento. Esta URL, suele tener errores, o le falta una letra o tiene una letra
cambiada, por ej. una o (letra) por un 0 (cero), para que el usuario no lo note. > Si el usuario recibe sus correos en formato html, también puede
visualizar un link (URL), mientras que el enlace real es otro. Esto se puede apreciar a simple vista,
cuando se posiciona el cursor sobre ese enlace y se verifica al pie que el enlace no coincide con el texto del
link html. > La dirección real a la que se dirige al usuario (URL) también
puede ser engañosa en cuanto a los subdominios que muestra. Veamos un ejemplo. Recibimos el siguiente correo en inglés donde
se solicita que actualicemos nuestros datos de cuenta en el sistema de pago por Internet “PayPal”: El link que aparece visible en el correo es: https://www.paypal.com/cgi-bin/Webscr?cmd=_login-run . Sin embargo, si nos posicionamos con el mouse en el link se
puede leer al pie la siguiente dirección: http://paypal.verifying-database.com/index.htm En este ejemplo, la dirección mostrada también cuenta con la
cadena https:// que indicaría que opera con protocolo HTTP seguro (es decir, HTTPS), pero la dirección real a la que
va a dirigir al usuario será la dirección no segura y de dudosa procedencia que se muestra en segundo lugar. Además sabemos que el dominio real es www.paypal.com, por lo
tanto: paypal.cualquiercosa.com, no es el sitio de Paypal. Recomendaciones para evitar ser víctima del "phising" > Si recibe un correo electrónico que le pide información personal o
financiera, no responda. > Si el mensaje del correo electrónico lo invita a acceder a un
sitio Web a través de un enlace incluido en su contenido, no lo haga. > Las organizaciones que trabajan seriamente están al tanto de
este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico, ni telefónicamente, ni
mediante mensajes SMS ni por fax. > Utilice medios confiables Si le preocupa el estado de la cuenta que posee en la
organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un
número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como
por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de
la organización, escribiendo usted mismo la dirección de Internet correspondiente en el navegador. > No envíe información personal usando mensajes de correo
electrónico. > El correo electrónico, si no se utilizan técnicas de cifrado y/o
firma digital, no es un medio seguro para enviar información personal o confidencial. > Para mayor información sobre recomendaciones para el uso del
correo electrónico seguro, puede consultar las lecturas del Entorno Virtual. > No acceda a sitios de entidades financieras o de comercios desde
lugares públicos. > En la medida de lo posible, evite ingresar al sitio Web de una
entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Las PCs
instaladas en estos lugares podrían contener software o hardware malicioso destinado a capturar sus
datos personales. > Verifique los indicadores de seguridad del sitio Web en el cual
ingresará información personal. > Si es indispensable realizar un trámite o
proveer información personal a una organización por medio de su sitio Web, escriba la dirección Web usted mismo en el
navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio Web, usted deberá notar que la
dirección Web comienza con “https://”, donde la “s” indica que la transmisión de información es
“segura”. > Verifique también que en la parte inferior de su navegador
aparezca un candado cerrado. Haciendo clic sobre ese candado, podrá comprobar la validez del certificado
digital y obtener información sobre la identidad del sitio Web al que está accediendo. > Mantenga actualizado todo el software de su PC. > Instale las actualizaciones de seguridad de su sistema operativo
y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente Web y de
correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en
forma automática. > Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto
los reciba. > Si detecta cargos u operaciones no autorizadas, comuníquese de
inmediato con la organización emisora. > También contáctese con ella si se produce una demora inusual en
la recepción del resumen. > No descargue ni abra archivos de fuentes no confiables. > Estos archivos pueden tener virus o software malicioso que
podrían permitir a un intruso acceder a su computadora y por lo tanto, a toda la información que almacene o
introduzca en esta. > Recuerde - No conteste ningún mensaje que resulte sospechoso. > Si un mensaje en su contestador le avisa sobre un evento adverso
vinculado a su cuenta bancaria y le solicita que llame a un teléfono gratuito, no lo haga. Si recibe
un correo electrónico que le pide lo mismo, no lo crea. Si del mismo modo le envían un SMS de bienvenida a
un servicio que no ha contratado, bórrelo y olvídese. Las mencionadas prácticas no son sino diversas
modalidades que persiguen el mismo fin: obtener sus datos personales para defraudarlo. > Finalmente: permanezca siempre atento para evitar el acceso
indebido a su información personal. Observamos que día a día aparecen nuevas estrategias de engaño.
Su desconfianza y el cuidado con que analiza los sitios Web en los que ingresa sus datos de identidad, son su
mejor protección. Glosario Amenaza: Evento que puede desencadenar un incidente. Las amenazas pueden
ser accidentales o intencionales y se aprovechan de las vulnerabilidades para provocar incidentes.
Las amenazas a la seguridad de la información son sucesos que atentan contra la confidencialidad, integridad y disponibilidad
de la información. Existen amenazas relacionadas con fallas humanas o técnicas, con ataques destinados a causar
daños o con catástrofes naturales. Ataques a contraseñas: Prueba
metódica de contraseñas para lograr el acceso a un sistema. Este tipo de
ataques puede ser efectuado: > Por diccionario: existiendo un diccionario de palabras, una
herramienta intentará acceder al sistema probando una a una las palabras incluidas en el diccionario. > Por fuerza bruta: una herramienta generará combinaciones de
letras, números y símbolos formando posibles contraseñas y probando una a una en el login del sistema. Auditoría: Conjunto de procesos
destinados a verificar en forma independiente del área que realiza las
operaciones el cumplimiento de las políticas, normas y estándares establecidos.
En particular, la auditoría de un sistema consiste en determinar qué transacciones se realizaron en el sistema, quién
las realizó y en qué momento a efectos del control de la administración de los recursos, la investigación de
incidentes y la verificación del cumplimiento de las políticas de seguridad del organismo y las normas que rijan su misión. Autenticación: Mecanismo para
validar la identidad del usuario. Clave de acceso: Cadena de
caracteres que se le asigna a una persona para ser autenticada en el acceso a
un recurso o sistema informático. De esta forma, una persona sólo podrá
acceder mediante la presentación de dicha clave. Confidencialidad: Propiedad
por la cual se garantiza el acceso a la información únicamente a quien esté
autorizado, para evitar su divulgación inapropiada. Control de Acceso lógico: Es el
control de acceso aplicado a sistemas informáticos. Control de Acceso: Facultad
de permitir o denegar el acceso de una persona a un recurso. Control de intentos fallidos: Acción
destinada a contabilizar la cantidad de veces que las credenciales se han ingresado de manera errónea a un sistema informático, con el
objeto de bloquear el acceso luego de una determinada cantidad de intentos fallidos. Este es un control que evita el
tipo de ataque a contraseñas. Credenciales: Conjunto de elementos
que sirven para autenticar a una persona ante un sistema informático. Ej.: nombre de usuario y contraseña. Disponibilidad: Propiedad que
garantiza que la información se encuentre disponible en tiempo y forma para
aquellas personas autorizadas. Dominio de Internet: Es un
nombre que facilita la ubicación o identificación de sitios Web por parte de
las personas, constituido por expresiones alfanuméricas concatenadas en varios
niveles organizados de forma jerárquica. Fraude informático: Perjuicio
económico o moral efectuado a una persona mediante la utilización de
herramientas informáticas. Ej.: robo de credenciales de homebanking de una
persona y operación con sus cuentas bancarias. Hoax: Los “engaños” u “Hoax” son mensajes fraudulentos que contienen
información inexacta o falsa, que inducen al receptor a reenviar el mensaje a fi n de difundir su contenido o
a realizar acciones que, muy probablemente, le ocasionarán problemas. Muchas cadenas de correos electrónicos, aquellos
que “obligan” al destinatario a reenviarlo bajo pena de diversos males, se inician solo con el fin de recolectar
direcciones de correos. No pretenden ganancia económica directa. Identificación: Proceso por el que el
usuario presenta una determinada identidad para acceder a un sistema. Impacto: Conjunto de posibles efectos negativos sobre un sistema de
información como consecuencia del aprovechamiento de una vulnerabilidad. Incidente de seguridad informática: Evento adverso en un entorno informático, que puede comprometer
o compromete la confidencialidad, integridad o disponibilidad de la
información. Violación o inminente amenaza de violación de una política de seguridad de la información, de políticas de
uso aceptable de uso o de mejores prácticas de seguridad. Ingeniería de datos: Se refiere
a la recolección de datos de distintas e ingeniosas fuentes (blogs, datos de
redes sociales, participaciones en foros, nombres de usuarios en
juegos, consultas en sitios, etc.) para luego utilizarlos de manera que sirvan para realizar algún tipo de ataque. Ingeniería Social: Se trata
de un conjunto de técnicas de engaño que se aplican sobre las personas para
obtener de ellas información de interés para el atacante, o para lograr que
aquellas efectúen alguna acción que este persigue. Integridad: Propiedad por la cual
se garantiza la protección contra modificaciones no autorizadas, para evitar su alteración. Malware: Con este nombre se denomina genéricamente a los programas que
tienen un fin malicioso. Su expresión sinónima en castellano es “código malicioso”. Phishing: Es una forma de engaño mediante la cual los atacantes envían un
mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos
personales. Generalmente, esta información es utilizada luego para realizar acciones fraudulentas, tales como
transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que
requieren el empleo de dichos datos. Políticas de Seguridad de la Información: Marco general establecido por las autoridades que define las
pautas para preservar la seguridad de la información de una
organización y del que se derivan las normas y procedimientos operativos para implementar esas disposiciones. Riesgo: Combinación de la probabilidad de que una amenaza se aproveche
de una vulnerabilidad y del impacto resultante de dicho evento adverso en la organización. Robo de identidad: Obtención
y utilización - por medios informáticos- de credenciales y otros datos ajenos
(nombre,número de tarjeta de crédito, información bancaria, número de
afiliado a un sistema de salud, etc.) sin autorización, con el propósito de realizar actividades fraudulentas en nombre
de otra persona. SCAM: Se denomina “scam” (estafa en inglés) a un correo electrónico
fraudulento (o páginas Web fraudulentas) que pretenden estafar económicamente por medio del engaño,
generalmente presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero. SPAM: Es la denominación del correo no deseado, enviado de manera
masiva. Suplantación de identidad: Acción de
utilizar datos de identidad robados para hacerse pasar por otra persona. URL: Uniform Resource Local es la cadena de caracteres con la cual se
asigna una dirección única a cada uno de los recursos de información disponibles en Internet. Vulnerabilidad: Debilidad o
inexistencia de control. Las vulnerabilidades pueden ser aprovechadas por las
amenazas para ocasionar un incidente de seguridad. Normativa El siguiente listado no pretende ser exhaustivo, pero presenta
algunas normas que alcanzan principalmente al Sector Público Nacional. > Decisión Administrativa Nº 669/2004 de la Jefatura de Gabinete de
Ministros: Políticas de Seguridad de la Información para el Sector Público Nacional. http://infoleg.mecon.gov.ar/infolegInternet/verNorma.do?num=102188&INFOLEG_OLD_QUERY=true > Ley Nº 25.164: Ley marco de regulación del Empleo Público Nacional
(Art. 23). http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-64999/60458/norma.htm > Ley Nº 25.188: Ética en el servicio de la función pública (Art.
2). http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-64999/60847/norma.htm > Ley Nº 26.388: Modificación del Código Penal en materia de delitos
informáticos. http://infoleg.mecon.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm > Ley Nº 25.326: Protección de Datos Personales. http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/texact.htm