1 Seguridad En A

1. Seguridad en Informática Seguridad en Internet es una obra global para proteger su ordenador con software totalmente gratuito y al alcance de todos. Los problemas fundamentales con los que se enfrentan los internautas a diario: Los virus, archivos espías, las redes inalámbricas, el control paternal, el spam, la privacidad en redes P2P, etc. Siguiendo los consejos de Seguridad en Internet es posible tener un sistema seguro, eficaz y fiable cada vez que salga a navegar por la Red.

http://www.seguridadeninternet.es/ •

AMENAZAS:

Virus (informático) Un virus informático tiene por objetivo alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros, que solo se caracterizan por ser molestos. Los virus informáticos tienen, básicamente, la función de propagarse, no se replican a sí mismos, son muy dañinos y algunos contienen además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico

Troyano (informática) Troyano es un programa malicioso capaz de alojarse en computadoras y permitir el acceso a usuarios externos, a través de una red local o de Internet, con el fin de recabar información o controlar remotamente a la máquina anfitriona.No es en sí un virus aún cuando teóricamente pueda ser distribuido y funcionar como tal. La diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un troyano sólo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente provoca daños porque no es su objetivo.

http://es.wikipedia.org/wiki/Caballo_de_Troya_(inform%C3%A1tica)

Gusano informático Es un malvare que tiene la propiedad de duplicarse asi mismo. Utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario,la diferencia con un virus,el gusano no altera los archivos de programas, sino que reside en la memoria y se duplica a mi mismo, suele causar problemas en la red.Se suelen percibir por que al hacer tareas ordinarias van muy lentas, o no se pueden ejecutar.Se basan en una red de computadoras para enviar copias de si mismos a otros nodos(terminales de la red)esto lo realizan sin que se de cuenta el usuario. Robert Tappan Morris,creo el primer gusano de informática que infecto gran parte de los servidores. http://es.wikipedia.org/wiki/Gusano_inform%C3%A1tico

Software espía Es un programa que se instala furtivamente en una computadora para recopilar información sobre las actividades realizadas en ella. La función más común que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo a empresas publicitarias u otras organizaciones interesadas, pero también se han empleado en organismos oficiales para recopilar información contra sospechosos de delitos, como en el caso de la piratería de software.Dado que el software usa normalmente la conexión de una computadora a Internet para transmitir información, consume ancho de banda, con lo cual, puede verse afectada la velocidad de transferencia de datos entre dicha computadora y otros conectados a Internet. Estos programas ser instalados un ordenador mediante un virus o un troyano que se distribuye por correo electrónico. Hay tres tipos de programas espías. 1. Benignos: son encargados por parte de empresas reconocidas como:Microsoft, Ahead,AVG Grisoft, etc. 2. 3.

Neutros: son programas espías que en su mayoría usan Google, Yahoo, Alexa, etc. Maligno: son programas espía utilizados o creados por háckers interesados. Existen para anular los programas cortafuegos (Firewall) y antiespía, de Microsoft o distintas empresas privadas como Norton, McAfee.

http://es.wikipedia.org/wiki/Programa_esp%C3%ADa

Phishing Se denomina un tipo delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser unacontraseñatarjetadecrédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico algún sistema de mensajería instantánea incluso utilizando también llamadas telefónicas.Dado el creciente número de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica, campañas para prevenir a los usuarios y con la aplicación de medidas técnicas a los programas.

Correo Spam

Se denomina correo basura (en inglés también conocido como junk-mail o spam) a una cierta forma de inundar a Internet con muchas copias (incluso millones) del mismo mensaje, en un intento por alcanzar a gente que de otra forma nunca accedería a recibirlo y menos a leerlo. La mayor parte del correo basura está constituido por anuncios comerciales, normalmente de productos dudosos, métodos para hacerse rico o servicios en la frontera de la legalidad. No deja de amargar la existencia a los usuarios de Internet cuando encuentran sus buzones rebosando con correo no deseado

“Gane millones trabajando desde casa” “Dieta milagrosa — pierda 10 kilos en una semana” “Chicas amables te están esperando” Las listas de correo basura con las direcciones de correo electrónico de los clientes potenciales (o víctimas seguras) se crean frecuentemente de los mensajes de Usenet, robando direcciones en las listas de distribución o comprándolas en las bases de datos de los servicios en línea de Internet o bien buscando direcciones por la red. Irónicamente, los propios spammers usan el spam para anunciarse. Es malo porqye perdemos tiempo y dinero. Para aquellos que se conectan vía telefónica, al recibir montones de basura, les cuesta un dinero adicional. A un nivel superior, a los proveedores de Internet y a los servicios en línea les cuesta dinero el transmitir el correo basura, coste que se añadirá posteriormente a la cuota de sus suscriptores. Una estrategia especialmente deplorable consiste en conseguir durante unos días una cuenta de prueba de un proveedor de Internet, enviar miles, millones de mensajes, y abandonar la cuenta, dejando al proveedor Bloqueado.

http://es.wikipedia.org/wiki/Correo_no_deseado http://es.wikipedia.org/wiki/Carding •

DEFENSAS

Los métodos para disminuir o reducir los riesgos asociados a los virus pueden ser los denominados activos o pasivos. • Antivirus: los llamados programas antivirus tratan de descubrir las trazas que ha dejado un software malicioso, para detectarlo y eliminarlo, y en algunos casos contener o parar la contaminación. Tratan de tener controlado el sistema mientras funciona parando las • vías conocidas de infección y notificando al usuario de posibles incidencias de seguridad. • Filtros de ficheros: consiste en generar filtros de ficheros dañinos si el ordenador está conectado a una red. Estos filtros pueden usarse, por ejemplo, en el sistema de correos usando técnicas de firewall En general, este sistema proporciona una seguridad donde no se requiere la intervención del usuario, puede ser muy eficaz, y permitir emplear únicamente recursos de forma más selectiva.

Pasivos -Evitar introducir a tu equipo medios de almacanamiento removibles que consideres que pudieran estar infectados con algún virus. -No instalar software "pirata". -Evitar descargar software de Internet. -No abrir mensajes provenientes de una dirección electrónica desconocida. -Generalmente, suelen enviar "fotos" por la web, que dicen llamarse "mifoto.jpg", tienen un ícono cuadrado blanco, con una línea azul en la parte superior. En realidad, no estamos en presencia de una foto, sino de una aplicación Windows (*.exe). Su verdadero nombre es "mifoto.jpg.exe", pero la parte final "*.exe" no la vemos porque Windows tiene deshabilitada (por defecto) la visualización de las extensiones registradas, es por eso que solo vemos "mifoto.jpg" y no "mifoto.jpg.exe". Cuando la intentamos abrir (con doble clik) en realidad estamos ejecutando el código de la misma, que corre bajo MS-DOS http://es.wikipedia.org/wiki/Virus_inform%C3%A1tico

Antivirus El objetivo de los antivirus era detectar y eliminar virus informáticos, durante la década de 1980. Con el transcurso del tiempo, la aparición de sistemas operativos más avanzados e Internet, los antivirus han evolucionado,no sólo buscan detectar un virus informatico, sino bloquearlo para prevenir una infección por los mismos, así como actualmente ya son capaces de reconocer otros tipos de malvare, comospyware,rootkits, etc. El funcionamiento de un antivirus varía de uno a otro, aunque su comportamiento normal se basa en contar con una lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y analizar contra esa lista los archivos almacenados o transmitidos desde y hacia un ordenador. Usualmente, un antivirus tiene un (o varios) componente residente en memoria que se encarga de analizar y verificar todos los archivos abiertos, creados, modificados, ejecutados y transmitidos en tiempo real es decir, mientras el ordenador está en uso.

El objetivo primordial de cualquier antivirus actual es detectar la mayor cantidad de amenazas informáticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda infectar un equipo, o poder eliminarla tras la infección. http://es.wikipedia.org/wiki/Antivirus

Firewall

Tambien llamado cortafuego es un elemento de hardware o software que se utiliza en una red de computadoras para controlar las comunicaciones, bien permitiéndolas bien prohibiéndolas según las politicas de red que haya definido la organización responsable de la misma. La ubicación habitual de un cortafuegos es el punto de conexión de la red interna de la organización con la red exterior, que normalmente es Internet; de este modo se protege la red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar vulnerabilidades de los sistemas de la red interna. También es frecuente conectar al cortafuegos a una tercera red, llamada zona desmilitarizada o DMZ , en la que se ubican los servidores de la organización que deben permanecer accesibles desde la red exterior. Un cortafuegos correctamente configurado añade una protección necesaria a la red, pero que en ningún caso debe considerarse suficiente.

Ventajas

• Protege de intrusiones: El acceso a ciertos segmentos de la red de una organización sólo se permite desde máquinas autorizadas de otros segmentos de la organización o de Internet. • Protección de información privada: Permite definir distintos niveles de acceso a la información, de manera que en una organización cada grupo de usuarios definido tenga acceso sólo a los servicios e información que le son estrictamente necesarios. • Optimización de acceso: Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa. Esto ayuda a reconfigurar los parámetros de seguridad.

http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)

2.Identificación digital Es aquel conjunto de rasgos propios de un individuo o colectividad que los caracterizan frente a los demás. La verificación de estos rasgos es lo que nos permite determinar que un individuo es quien dice ser. Algunos de estos rasgos son propios del individuo, otros son adquiridos con el tiempo. Por supuesto, no todos los rasgos son igualmente apreciables. Hay rasgos que son apreciables a simple vista, mientras que otros están ocultos y es necesario un conocimiento y, en ocasiones, herramientas para poder verificarlos. Al conjunto de rasgos que caracterizan a un individuo o colectivo en un medio de transmisión digital se le conoce como Identidad Digital. En cualquier comunicación remota, el número de rasgos no ocultos a los que tenemos acceso se hace menor. En una conversación telefónica, de una manera inconsciente, somos capaces de determinar que la persona al otro lado del teléfono es quien dice ser porque reconocemos su voz. En una comunicación remota entre individuos o colectivos a través de Internet, lo único que recibe una entidad de la otra son Bytes. Estos Bytes son procesados por las aplicaciones correspondientes y presentados en el formato requerido (pantalla, sonidos, ejecución de aplicaciones, textos…). Cada una de las entidades debe confiar en los procesos que llevan a la generación, transmisión y presentación de esos datos. La identidad digital no existe a priori, debemos crearla y vincularla unívocamente al individuo o al colectivo, en un proceso que determinará el nivel de confianza en el sistema.

Autentificación El proceso que sirve para verificar alguno de los rasgos que permiten identificar un individuo o colectividad se denomina Autenticación. Por ejemplo, en el caso de una conversación telefónica, ese proceso de reconocimiento de la voz del individuo al otro lado de la línea, realizado inconscientemente, sería una autenticación. Cuando la persona a quien entregamos nuestro DNI nos observa buscando semejanzas con la fotografía que aparece, o compara nuestra firma manuscrita en un documento con la que aparece en nuestro identificador, está ejecutando un proceso de autenticación visual. Garantizar la identidad digital es un proceso complejo, especialmente cuando el medio de comunicación digital es un medio abierto, como por ejemplo Internet, donde millones de personas pueden intentar acceder al mismo tiempo a un servicio determinado. En los medios digitales, existen tecnologías muy diversas que ofrecen herramientas para generar los rasgos digitales de identidad, asociarlos a entidades y habilitar la autenticación de dichas entidades (certificados digitales, biometría, tarjeta inteligente,

contraseñas dinámicas…). Muchas de estas tecnologías son complementarias entre ellas y es importante saber cómo y cuándo es necesario combinarlas. http://www.evolucy.com/esp/digital_identity. http://www.eumed.net/cursecon/ecoinet/seguridad/autentificacion.htm

Certificación

La Autoridad de Certificación, por sí misma o mediante la intervención de una Autoridad de registro, verifica la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. Los certificados son documentos que recogen ciertos datos de su titular y su clave pública y están firmados electrónicamente por la Autoridad de Certificación utilizando su clave privada. La Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública. La confianza de los usuarios en la CA es importante para el funcionamiento del servicio y justifica la filosofía de su empleo, pero no existe un procedimiento normalizado para demostrar que una CA merece dicha confianza. Un certificado revocado es un certificado que no es válido aunque se emplee dentro de su período de vigencia. Un certificado revocado tiene la condición de suspendido si su vigencia puede restablecerse en determinadas condiciones. El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del Software de servidor web, completa ciertos datos identificativos (entre los que se incluye el localizador URLdel servidor) y genera una pareja de claves pública/privada. Con esa información el software de servidor compone un fichero que contiene una petición CSR en formato PKCS#10 que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los servicios de una RA (Registration Authority) la información de identificación aportada y la realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor wed con la misma herramienta con la que generó la petición CSR.

http://es.wikipedia.org/wiki/Autoridad_de_certificaci%C3%B3n

Firma Digital

La firma digital o electrónica viene a solventar el problema de autentificación de los mismos, ya que equivale, a todos los efectos, a la firma autógrafa. Físicamente, la firma digital se basa en la criptografía y puede ser definida como una secuencia de datos electrónicos (bits) que se obtienen mediante la aplicación de un algoritmo (fórmula matemática) de cifrado asimétrico o de clave pública. Estos sistemas cifran los mensajes mediante la utilización de dos claves diferentes, una privada y otra pública. La privada es conocida únicamente por la persona a quien pertenece el par de claves. La pública, por su parte, puede ser conocida por cualquiera pero no sirve para hallar matemáticamente la clave privada. La utilización de la firma digital asegura que el emisor y el receptor del mensaje (ya sean dos empresarios, un empresario y un consumidor o un ciudadano y la Administración) puedan realizar una transacción fiable. Para ello esos mensajes firmados electrónicamente: 1º.- Atribuyen de forma irrefutable la identidad del signatario. 2º.- Aseguran la integridad absoluta del mensaje, es decir, que el documento recibido sea exactamente el mismo que el emitido, sin que haya sufrido alteración alguna durante su transmisión. 3º.- Garantizan su origen de forma que el emisor del mensaje no pueda repudiarlo o negar en ningún caso que el mensaje ha sido enviado por él.

4º.- Por último, son confidenciales (el mensaje no ha podido ser leído por terceras personas). Para obtener las claves que se usan para firmar digitalmente los mensajes es necesario dirigirse, bien personalmente o por medio de Internet, a una empresa o entidad que tenga el carácter de "Prestador de Servicios de Certificación", para solicitar el par de claves y su certificado digital correspondiente. El prestador de servicios de certificación de firma electrónica comprobará la identidad del solicitante, bien directamente o por medio de entidades colaboradoras (Autoridades Locales de Registro), y entregará una tarjeta con una banda magnética en la que están grabados tanto el par de claves como el certificado digital. Con esa tarjeta magnética y un lector de bandas magnéticas adecuado conectado a un ordenador personal, se podrá utilizar la información de la tarjeta para firmar digitalmente los mensajes electrónicos. http://www.consumer.es/web/es/tecnologia/internet/2004/01/23/94524.php

3. Protocolo

El Protocolo de Internet (IP, de sus siglas en inglés Internet Protocol) es un protocolo no orientado a conexión usado tanto por el origen como por el destino para la comunicación de datos a través de una red de paquetes conmutados. Los datos en una red basada en IP son enviados en bloques conocidos como paquetes o datagramas. En particular, en IP no se necesita ninguna configuración antes de que un equipo intente enviar paquetes a otro con el que no se había comunicado antes. El Protocolo de Internet provee un servicio de datagramas no fiable. IP no provee ningún mecanismo para determinar si un paquete alcanza o no su destino y únicamente proporciona seguridad (mediante checksums o sumas de comprobación) de sus cabeceras y no de los datos transmitidos. Por ejemplo, al no garantizar nada sobre la recepción del paquete, éste podría llegar dañado, en otro orden con respecto a otros paquetes, duplicado o simplemente no llegar. Si se necesita fiabilidad, ésta es proporcionada por los protocolos de la capa de transporte, como TCP. Si la información a transmitir ("datagramas") supera el tamaño máximo "negociado" en el tramo de red por el que va a circular podrá ser dividida en paquetes más pequeños, y reensamblada luego cuando sea necesario. Estos fragmentos podrán ir cada uno por un camino diferente dependiendo de como estén de congestionadas las rutas en cada momento. Las cabeceras IP contienen las direcciones de las máquinas de origen y destino(direcciones de IP), direcciones que serán usadas por los conmutadores de paquetes(SWITCHES) y los enrutadores (ROUTER) para decidir el tramo de red por el que reenviarán los paquetes. El IP es el elemento común en la INTERNET de hoy. El actual y más popular protocolo de red esIPv4. IPv6 es el sucesor propuesto de IPv4; poco a poco Internet está agotando las direcciones disponibles por lo que IPv6 utiliza direcciones de fuente y destino de 128 bits (lo cual asigna a cada milímetro cuadrado de la superficie de la Tierra la colosal cifra de 670.000 millones de direcciones IP), muchas más direcciones que las que provee IPv4 con 32 bits. Las versiones de la 0 a la 3 están reservadas o no fueron usadas. La versión 5 fue usada para un protocolo experimental. Otros números han sido asignados, usualmente para protocolos experimentales, pero no han sido muy extendidos. http://es.wikipedia.org/wiki/Protocolo_de_Internet

MTTPS

ACCESO SEGURO MERCADO BANCO