Presentación utilizada en el Aula de Consumo sobre "Informática y la comunicación en las redes".

1. Seguridad Inform´atica. Antivirus, ataques
inform´aticos
Fernando Tricas Garc´ıa
ftricas@unizar.es
Dpto. de Inform´atica e Ingenier´ıa de Sistemas de la Escuela de Ingenier´ıa y
Arquitectura de la Universidad de Zaragoza
http://webdiis.unizar.es/~ftricas/
@fernand0
22 de septiembre de 2015

2. ´Indice
1 El ordenador
2 El sistema
3 Los programas
4 Las redes
5 Utilizaci´on
6 Malware
7 Phishing y otros enga˜nos
8 Dinero y compras
9 El m´ovil
10 El Correo Eletr´onico
11 Las claves
12 Redes sociales
13 Para saber m´as
14 Conclusiones

3. No s´olo ordenadores

4. El sistema
Deber´ıa ser autom´atico, si no hemos tocado nada...

5. El sistema
Deber´ıa ser autom´atico, si no hemos tocado nada...
http://windowsupdate.microsoft.com (con Explorer)
Ejecut´andolo desde el bot´on de Inicio (tecleamos Update)
¡Una vez al mes! (segundo martes de cada mes)

6. No hay problema, no uso Windows...
http://www.reuters.com/article/2014/12/23/us-apple-cybersecurity-idUSKBN0K108W20141223

7. No hay problema, no uso Windows...
http://arstechnica.com/security/2015/01/

8. El sistema
¡Actualizar!
Utilizar el servicio del fabricante
Seguir las instrucciones
Esperar a que termine
Asegurarse de que todo ha ido bien

9. Instalar los programas desde sitios confiables

10. Incluso en sitios confiables hay que estar atentos
http://www.zdnet.com/article/
a-close-look-at-how-oracle-installs-deceptive-software-with-java-updates/

11. Y actualizar los programas

12. Y actualizar los programas
¡En el m´ovil tambi´en!

13. En red

14. Precauci´on b´asica: conectarnos a sitios confiables

15. Precauci´on b´asica: conectarnos a sitios confiables
Y estar atentos
http://www.yorokobu.es/en-el-ojo-ajeno-la-publicidad-sin-humos/

16. Redes inal´ambricas (la WiFi)
La informaci´on se
transmite por el aire
(radio)

17. Precauciones WiFi
La nuestra
Cuidado con las claves (cambiarlas)
La de administraci´on del Router
La de la conexi´on
Configuraci´on WPA2 siempre que sea posible. No usar WEP
Si tenemos que compartirla (negocio, bar, ...), utilizar dos
redes
miRed miRed-invitados
¡Con WPA2!
Que sea f´acil de reconocer

18. Precauciones WiFi
Y cuando nos conectamos nosotros ...
¡S´olo HTTPS o VPN!
¡S´olo redes ‘conocidas’!

19. Todo es muy r´apido pero no pasa nada por ir despacio
http://www.flickr.com/photos/pagedooley/3631795699/

20. Virus, troyanos, programas maliciosos
Cualquier programa ‘extra˜no’ que ejecutemos es
potencialmente peligroso.
Incluso algunos aparentemente ´utiles/divertidos/‘interesantes’
http://peru21.pe/actualidad/
difunden-correo-fraudulento-que-dana-imagen-nadine-heredia-2100939

21. Virus, troyanos, programas maliciosos
No sabemos lo que puede hacer un programa de origen
desconocido
Lo mejor:
De alguna empresa ‘reconocida’
Que est´e disponible el c´odigo fuente

22. Malware
Virus, troyanos, ...
Esp´ıas (‘spyware’)
‘Secuestradores’ (‘ransomware’)

23. Malware
Virus, troyanos, ...
Esp´ıas (‘spyware’)
‘Secuestradores’ (‘ransomware’)

24. ¿C´omo nos llegan?
Programas normales infectados.
Programas que producen efectos graciosos (felicitaciones,
bromas, ...).
Incluso falsos antivirus (!!)
FAKEAV
http://blog.trendmicro.com/trendlabs-security-intelligence/
theyre-here-threats-leveraging-windows-8/

25. ¿Qu´e hacer?
Desconfiar
Preguntar
Al menos, buscar
Disponer de un antivirus (y utilizarlo, y actualizarlo).
Nunca ejecutar programas ni abrir ficheros del exterior (sin
cuidado).
Utilizar los perfiles de usuario.
Ning´un sitio serio (y los bancos lo son con estas cosas) le
pedir´a la clave nunca.

26. ¿Qu´e hacer?
Desconfiar
Preguntar
Al menos, buscar
Disponer de un antivirus (y utilizarlo, y actualizarlo).
Nunca ejecutar programas ni abrir ficheros del exterior (sin
cuidado).
Utilizar los perfiles de usuario.
Ning´un sitio serio (y los bancos lo son con estas cosas) le
pedir´a la clave nunca.
¿D´onde buscar?
http://www.osi.es/recursos/utiles-gratuitos
http://www.osi.es/es/actualidad/blog

27. Un buz´on de correo cualquiera

28. Phishing y otros enga˜nos. Mensaje
2015-02-08

29. Phishing y otros enga˜nos. Mensaje
2015-02-08
¿Es el mecanismo correcto? ¿Les hemos dado nuestra direcci´on?

30. Phishing y otros enga˜nos. Mensaje
2015-02-10

31. Phishing y otros enga˜nos. Mensaje
2015-02-10
¿face-book?
¿Hay algo m´as ‘raro’?

32. Phishing

33. Phishing
http://www.gremios-unoa.com/css?https=aunclic=http://www.grupbancolombia.com/

34. Phishing
Pinchamos..

35. Phishing
Pinchamos.. Redirecci´on

36. Phishing
Pinchamos.. Redirecci´on
¿ http://190.171.91.61/sitioseguro/olb/Init.php ?

37. Phishing

38. Phishing
¿ https://bancolombia.olb.todo1.com/olb/Init.php ?

39. Phishing
¿ https://bancolombia.olb.todo1.com/olb/Init.php ?
http://190.171.91.61/sitioseguro/olb/Init.php

40. ¿Entonces?
Conexi´on segura.
Pero... https s´olo garantiza que la conexi´on es cifrada, no que
sea ‘la buena’
Acceder como normalmente (favoritos, escribiendo la URL,
. . . ).
Pero lo tenemos complicado...
En caso de duda
Preguntar
Buscar

41. Dinero, compras en la red
Para pagar
una tarjeta ‘de internet’
asegurarse de que todo es razonable (avisos legales, contacto,
...)
(cuesta poco buscar ...)
ver qui´en lo est´a usando
pruebas ‘peque˜nas’
Para cobrar
Una cuenta s´olo para cobros
¿Pasarelas de pago?
¿Necesitamos eso?
Paypal y similares
Pero cuidado con las empresas de env´ıo de dinero

42. ¡Cuidado con las herramientas!
¿Nuestro ordenador es de trabajo? (m´ovil, tableta, ...)
No se juega
No se instalan otros programas
Como m´ınimo ...
¿Un usuario diferente para pagar cosas?
Incluso con el ordenador del trabajo

43. Ventanas de inc´ognito
El absoluto m´ınimo-m´ınimo si no es posible otra cosa
No quedar´a (casi) rastro de nuestra navegaci´on
Datos de formularios
Cookies
Otra informaci´on temporal
Podemos abrir una ventana en este modo,
Al pinchar en un enlace (con el bot´on derecho) pedir que lo
abra as´ı.

44. ¡En el m´ovil todav´ıa m´as atenci´on!

45. ¡En el m´ovil todav´ıa m´as atenci´on!
Anotamos el IMEI (Para saberlo: *#06#)
Ponemos un PIN (o alg´un tipo de comprobaci´on)
Activamos el bloqueo autom´atico
Hacemos copias de seguridad
Los sistemas actuales permiten tener el contenido cifrado
Instalamos un antivirus?
http://www.osi.es/smartphone-y-tablet
Ojo con programas/sistemas alternativos
Ojo llamadas ’desconocidas’
F´acil perderlos

46. En la nube
Comodidad, conveniencia
¿D´onde est´a? ¿Qui´en puede leerlo? ¿Si algo va mal?
Cifrarlo
Tambi´en puntualmente (de viaje, por ejemplo...).

47. Rumores
Julio 2015

48. Cadenas de correo

49. ¡Falso!
Cuesta poco buscar en la web y comprobar
Casi siempre falsas

50. Reenviando mensajes
¡S´olo los leg´ıtimos!
Si nos lo enviaron, ¿queremos retransmitir la direcci´on del
remitente?
Si es mucha gente, ¿queremos que todos tengan la direcci´on
de los dem´as?
Utilizar Copia oculta (Bcc: Cco:)
Mensajer´ıa instant´anea, redes sociales, .... ¡Parecido!

51. Algo puede ir mal
Estar preparados para lo peor (copias de seguridad).
http://www.flickr.com/photos/fernand0/4675610612/

52. Las claves
http://www.flickr.com/photos/12129374@N00/3964214880/

53. Las claves

54. Elegimos claves muy malas
”Dazzlepod. Disclosure Project. Available from:
http://dazzlepod.com/disclosure/; Accessed: November 10, 2012.”

55. ¡El tama˜no importa!
(Y el contenido tambi´en)
Clave de longitud 8
Clave Combinaciones N´umero de claves por segundo
10.000 100.000 1M 10M 100M 1000M
N´umeros (10) 100 M 2 3
4
h. 17 m. 1 1
2
m. 10 s. Inmediato Inmediato
Caracteres (26) 200.000 M 242 d. 24 d. 2 1
2
d. 348 m. 35 m. 3 1
2
m.
May. y Min (52) 53 MM 169 1
2
a. 17 a. 1 1
2
a. 62 d. 6 d. 15 h.
Car. y N´um. (62) 218 MM 692 a. 69 1
4
a. 7 a. 253 d. 25 1
4
d. 60 1
2
h.
Car., N´um. y S´ım. (96) 72.000 MM 22.875 a. 2.287 a. 229 a. 23 a. 2 1
4
a. 83 1
2
d.
100,000 Passwords/seg. Recuperaci´on de contrase˜na Microsoft (Archivos .PWL)en un Pentium 100
1,000,000 Passwords/seg. Recuperaci´on de contrase˜na de un archivo comprimido en ZIP o ARJ Pentium
100
10,000,000 Passwords/seg. Recuperaci´on de cualquiera de las contrase˜nas anteriores con un PC
(Monoprocesador +2Gh)
100,000,000 Passwords/seg. Recuperaci´on de una contrase˜na con un cluster de microprocesadores o con
multiples Pcs trabajando de manera simult´anea.
1,000,000,000 Passwords/seg. Recuperaci´on de una contrase˜na utilizando una supercomputadora o una red
de ordenadores interconectados a gran escala, por ejemplo (160000 computadoras PII 266MHz 24/7)
http://www.tufuncion.com/ataques-passwords-hacker-msn
A partir de 10 o 12 caracteres

56. ¡Ayuda!
Apuntarlo
http://keepass.info/

57. ¡Ayuda!
Que sea f´acil de recordar
El gato que est´a triste y azul

58. ¡Ayuda!
Que sea f´acil de recordar
El gato que est´a triste y azul
1. Egqetya

59. ¡Ayuda!
Que sea f´acil de recordar
El gato que est´a triste y azul
1. Egqetya
2. A˜nadir caracteres especiales
Egq-et %ya

60. ¡Ayuda!
Que sea f´acil de recordar
El gato que est´a triste y azul
1. Egqetya
2. A˜nadir caracteres especiales
3. Posiciones no predecibles
EgQ-et %ya

61. ¡Ayuda!
Que sea f´acil de recordar
El gato que est´a triste y azul
1. Egqetya
2. A˜nadir caracteres especiales
3. Posiciones no predecibles
4. A˜nadir alg´un n´umero Eg6Q-et %ya

62. ¡Ayuda!
¡Importante!
Creo mis propias reglas para
posiciones, caracteres, n´umeros...

63. ¡Ayuda!
¡Importante!
Creo mis propias reglas para
posiciones, caracteres, n´umeros...
No utilizar la misma clave en sitios
diferentes
Cambiar de vez en cuando

64. Puede ser buena idea...
Activar la autentificaci´on en dos pasos

65. Puede ser buena idea...
Activar la autentificaci´on en dos pasos
Aunque algunas veces puede provocarnos inconvenientes
(SMS,...)

66. En redes sociales. Consejos
Aprender y comprender las opciones de privacidad
Tener un perfil ‘razonable’ es mejor que no tener perfil y que
alguien lo haga con nuestro nombre
Cuidado con las im´agenes, ¿Qui´en puede verlas? ¿Si algo va
mal?
Cuidado al etiquetar a otros

67. Responsabilidad
No publicar/difundir informaciones falsas, rumores, ...
Rectificar y reconocer los errores. Retirar la informaci´on que
nos soliciten
No publicar informaci´on privada
En particular, d´onde vivo, d´onde estoy, no estoy ...
http://www.enisa.europa.eu/activities/cert/
security-month/material/awareness-raising-video-clips
No publicar im´agenes o v´ıdeos sin el consentimiento de los
que aparecen. Retirarla r´apidamente si nos lo piden.
No almacenar datos de otros. As´ı no podemos perderlos y no
pueden rob´arnoslos.
Recomendaciones a Usuarios de Internet. Edici´on 2009. Agencia de
Protecci´on de Datos.
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_recomendaciones_
internet_052009.pdf

68. Para saber m´as
Instituto de Tecnolog´ıas de la Comunicaci´on
http://www.inteco.es/
Oficina de Seguridad del Inernauta
http://www.osi.es/
Agencia de Protecci´on de Datos
http://www.agpd.es/
Twitter de la @policia

69. Conclusiones
La red fue dise˜nadad para dar fiabilidad y robustez, no
seguridad.
Mejor prudente y cuidadoso que excesivamente r´apido
En algunos casos, la comodidad es enemiga de la seguridad.
La seguridad es un proceso
Seguridad como gesti´on del riesgo
No hay sustitutos para la sensatez y la prudencia

70. ¡Gracias!
ftricas@unizar.es
@fernand0
http://webdiis.unizar.es/~ftricas/
http://fernand0.blogalia.com/

71. Enlaces
htps://www.kickstarter.com/projects/597507018/
pebble-time-awesome-smartwatch-no-compromises
http://www.google.com/get/cardboard/
https://grahamcluley.com/2015/02/bmw-security-patch/
http://gizmodo.com/
samsungs-smart-tv-privacy-policy-raises-accusations-of-168
http://www.flickr.com/photos/mikeblogs/8114676975/
http://www.elandroidelibre.com/2015/07/
el-microfono-oculto-en-los-samsung-es-en-realidad-el-chip-
html
http://www.europapress.es/portaltic/socialmedia/
noticia-santiago-segura-le-hackean-cuenta-twitter-protegid
html