Seguridad Informática Personal y Personal y Corporativa (Primera Parte) (Primera Parte)

Jorge Domnguez Chvez
SeguridadInformtica
SeguridadInformtica
Personaly
PersonalyCorporativa
(Primeraparte)
(Primeraparte)
@ JorgeDomnguezChvez
EstaobrasedistribuyebajounalicenciaCreativeCommons
http://creativecommonsvenezuela.org.ve
Reconocimiento:
Atribucin:Permiteaotroscopiar,distribuir,exhibiryrealizarsu
trabajoconDerechosdeAutorytrabajosderivadosbasadosenellaperoslo
siellosdancrditosdelamaneraenqueustedlosolicite.
Compartirigual:Permitequeotrosdistribuyantrabajosderivadosslo
bajounalicenciaidnticaalalicenciaquerigeeltrabajooriginal.
@ 2015,JorgeDomnguezChvez
PublicadoporIEASS,Editores
Venezuela,2015
LaportadaycontenidodeestelibrofuedesarrolladoenLibreOffice5.0.3.2
Dedicatoria
A las dos mujeres ms importantes de mi vida:
A mi madre, Amparo Chvez Holgun (QEPD), por todo el esfuerzo y
sacrificio que hiciste para darme tu amor, tu devocin, tu labor incondicional y tu
confianza en cada momento de mi vida y por hacerme un hombre digno, honesto,
realizado y triunfador en la vida. S que desde donde estas, estars orgullosa de
mi. Madre, vivirs por siempre en mi corazn.
A mi esposa, Dianella A. Stuch Dorta, mujer inteligente, hermosa,
profesional, guerrera, mi gran amor; quien con su cario, su estmulo, su fuerza,
apoyo constante, su comprensin y por ser tal y como eres.. mi orgullo, me
inspiras a dar el mximo de m. S que mis palabras no bastan para decirte cuanto
te amo, Gracias bb!
Tabla de Contenido
PROPSITO...........................................................................................................................1
Qu hay de nuevo en los aos 2000?................................................................................1
Por qu el delito informtico parece ser un buen negocio?..........................................1
INTRODUCCIN..................................................................................................................4
ISO 17.799.....................................................................................................................8
COBIT...........................................................................................................................8
ITIL................................................................................................................................9
LEY SOX.......................................................................................................................9
COSO.............................................................................................................................9
ISO Serie 27000.............................................................................................................9
Riesgos y vulnerabilidades...............................................................................................10
Implementar y Estructurar Controles...............................................................................11
1 Virus, troyanos, puerta trasera y phising............................................................................14
1.1 Virus............................................................................................................................14
1.1.1 Windows.............................................................................................................14
1.1.2 Linux...................................................................................................................18
1.1. 3 MacIntosh..........................................................................................................20
1.2 Bombas lgicas...........................................................................................................20
1.3 Caballos de Troya o troyanos.....................................................................................20
1.4 Gusanos......................................................................................................................20
1.5 Puertas traseras...........................................................................................................21
1.6 Spyware......................................................................................................................23
1.7 Ingeniera Social.........................................................................................................23
1.8 Software Antivirus......................................................................................................24
1.8.1 Consejos para utilizar software antivirus............................................................25
1.8.2 Evitar una infeccin viral....................................................................................26
1.8.3 Software Espa (Spyware)..................................................................................27
1.8.4 Software contra Software espa (spyware).........................................................27
1.8.5 Evitar infeccin de software espa......................................................................27
1.9 Cortafuegos (Firewall)................................................................................................28
1.9.1 Software Cortafuegos.........................................................................................28
1.9.2 Evitar conexiones no confiables a red................................................................29
1.10 Mantener actualizado tu software.............................................................................29
2. Proteger tu informacin de amenazas fsicas....................................................................32
2.1 Evala tus riesgos.......................................................................................................32
2.2 Protege tu informacin de intrusos fsicos.................................................................33
2.2.1 Alrededor de la Oficina.......................................................................................33
2.2.2 En la Oficina.......................................................................................................34
2.2.3 En tu rea de trabajo...........................................................................................35
2.3 Software y configuraciones relacionadas a la seguridad fsica..................................35
2.4 Dispositivos Porttiles................................................................................................36
2.5 Mantener un ambiente sano para el hardware de tu computadora.............................36

2.6 Crear tu poltica de seguridad fsica...........................................................................37
3. Crear y mantener contraseas seguras..............................................................................39
3.1 Seleccionar y mantener contraseas seguras..............................................................40
3.1.1 Elementos de una contrasea slida...................................................................40
4. Proteger los archivos en tu computadora..........................................................................45
4.1 Cifrar tu informacin..................................................................................................47
4.1.1 Consejos para utilizar el cifrado de archivos de manera segura.........................47
4.1.2 Ocultar tu informacin importante.....................................................................49
4.2 Mtodos criptogrficos...............................................................................................52
4.2.1 Criptografa simtrica.........................................................................................53
4.2.2 Criptografa asimtrica.......................................................................................54
4.2.3 Criptografa hbrida............................................................................................54
4.2.4 Funciones hash....................................................................................................55
5. Recuperar informacin perdida.........................................................................................56
5.1 Identificar y organizar tu informacin........................................................................56
5.2 Definir una estrategia para tu respaldo.......................................................................59
5.2.1 Crear un respaldo digital.....................................................................................61
5.2.2 Dispositivos de almacenamiento........................................................................61
5.2.3 Software para hacer respaldos............................................................................63
5.2.4 Software de respaldo para Linux........................................................................64
5.2.5 Crea un horario regular para hacer tu respaldo...................................................65
5.3 Qu es recuperacin?................................................................................................66
5.3.1 Pruebas de recuperacin.....................................................................................66
5.3.1.1 Recuperarse de un borrado accidental de archivos.....................................66
5.3.1.2 Recuperar archivos borrados en Linux.......................................................67
6. Destruir informacin importante.......................................................................................68
6.1 Borrar informacin.....................................................................................................68
6.2 Eliminar informacin con herramientas de borrado...................................................69
6.2.1 Eliminar archivos................................................................................................70
6.2.2 Eliminar datos temporales..................................................................................71
6.2.3 Utilizando de forma efectiva las herramientas de borrado.................................72
6.2.4 Eliminando contenido de un dispositivo de almacenamiento.............................73
7. Mantener privada tu comunicacin en Internet.................................................................76
7.1 Asegurar tu correo electrnico....................................................................................77
7.2 Mantener privado tu correo web.................................................................................77
7.2.1 Reaccin ante sospecha de vigilancia de correo electrnico..............................78
7.2.2 Asegura otras herramientas de comunicacin por Internet.................................81
7.2.3 Asegura tu software de mensajera instantnea..................................................82
7.2.4 Asegura tu software de Voz sobre Protocolo de Internet (VoIP).........................82
7.3 Seguridad de Skype....................................................................................................82
7.4 Seguridad avanzada de correo electrnico.................................................................84
7.4.1 Utilizar cifrado de clave (clave) pblica en correo electrnico..........................84
7.4.2 Cifrar y autenticar mensajes individuales...........................................................85
8 Mantener el anonimato y evadir la censura en Internet.....................................................86

8.1 Comprender la censura en Internet.............................................................................86
8.1.1 Tu conexin a Internet........................................................................................87
8.1.2 Cmo son bloqueados los sitios web..................................................................88
8.2 Entender la evasin de la censura...............................................................................89
8.2.1 Cmo configurar un proxy en Firefox................................................................90
8.2.1.Uso del modo de navegacin annima para una navegacin privada................91
En una computadora................................................................................................91
En un dispositivo Android.......................................................................................91
En un iPhone o iPad................................................................................................92
8.2.3. Cmo funciona el modo de navegacin de incgnito........................................92
Descargas.....................................................................................................................93
Salir y cerrar el modo de navegacin de incgnito......................................................93
8.2.2 Por qu esconder la IP?.....................................................................................93
Ocultar tu IP............................................................................................................94
8.2.3 Cmo protegerte.................................................................................................95
8.3 Redes annimas y servidores proxy bsicos..............................................................96
8.3.1 Redes annimas..................................................................................................96
8.3.2 Proxy bsicos de evasin....................................................................................97
8.3.3 Proxy basados en la web y otros.........................................................................97
8.3.4 Proxy seguros e inseguros..................................................................................99
8.3.5 Proxy privados y pblicos................................................................................100
8.4 Proxy especficos de evasin....................................................................................101
8.4.1 Red Virtual Privada (VPN) basado en proxy....................................................101
8.4.2 Proxy Web.........................................................................................................102
9. Protegerte a ti mismo y a tus datos al utilizar sitios de redes sociales............................103
9.1 Consejos generales sobre uso de las redes sociales..................................................104
9.2 Publicar detalles personales......................................................................................105
9.2.1 Actualizaciones de estado.................................................................................106
9.2.2 Compartir contenido de Internet.......................................................................107
9.2.3 Revelar tu ubicacin.........................................................................................107
9.2.4 Compartir videos/fotos.....................................................................................108
9.2.5 Charlas instantneas..........................................................................................108
9.2.6 Unirse/crear grupos, eventos y comunidades...................................................108
10. Utilizar los telfonos mviles de la manera ms segura posible...................................110
10.1 Dispositivos mviles y seguridad...........................................................................110
10.2 Movilidad y vulnerabilidad de la informacin.......................................................112
10.2 Buenas prcticas en seguridad telefnica..........................................................113
10.3 Funciones bsicas, capacidad de rastreo y anonimato............................................114
10.3.1 Sobre el Anonimato.........................................................................................115
10.3.2 Sobre escuchas secretas..................................................................................115
10.3.3 Sobre intercepcin de llamadas......................................................................116
10.3.4 Comunicaciones textuales SMS / Mensajes de texto...................................116
10.4 Funciones ms all de la conversacin y los mensajes..........................................117
10.5 Plataformas, Configuracin bsica e Instalacin....................................................119

10.5.1 Plataformas y Sistemas Operativos.................................................................119
10.5.2 Telfonos mviles convencionales.................................................................120
10.5.3 telfonos mviles de marca y bloqueados......................................................120
10.5.4 Configuracin General....................................................................................120
10.5.5 Instalar y actualizar aplicaciones....................................................................121
10.6 Voz y Mensajes va telfono mvil.........................................................................122
10.6.1 Conversaciones Seguras.................................................................................122
10.6.1.1 Telefona Bsica......................................................................................122
Enviando Mensajes de forma Segura.........................................................................123
10.6.1.2 SMS.........................................................................................................124
Asegurando los SMS.................................................................................................124
Chat Seguro...............................................................................................................124
10.7 Guardando Informacin en tu telfono mvil........................................................125
10.7.1 Herramientas para cifrar datos........................................................................125
10.7.2 Enviando Correos Electrnicos con telfonos mviles..................................126
10.7.3 Capturando Multimedia con telfonos mviles..............................................126
10.7.4 Acceso a Internet Seguro con telfonos mviles............................................127
10.8 Seguridad Avanzada para telfonos mviles..........................................................128
10.8.1 Rooting o jailbreaking....................................................................................129
10.8.2 Firmware Alternativo......................................................................................129
10.8.3 Cifrar volmenes completos...........................................................................130
10.8.4 Red Virtual Privada.........................................................................................130
Glosario...............................................................................................................................132
BIBLIOGRAFA.................................................................................................................145
ndice de tablas
Tabla 1: Los virus ms conocidos para Linux.......................................................................19
Tabla 2: Tabla de vulnerabilidades........................................................................................21
Tabla 3: Tabla de pro y contra de claves informticas seguras.............................................41
Tabla 4: Tabla de Tiempo de descifrado................................................................................45
Tabla 5: Opciones para realizar respaldo de nuestros datos..................................................61
Tabla 6: Tipos de almacenamiento........................................................................................63
Tabla 7: con Interfaz Grfica de Usuario..............................................................................67
Tabla 8: Desde la consola de comandos................................................................................67
Tabla 9: basados en Snapshot................................................................................................68
Tabla 10: Sincronizacin.......................................................................................................68
Tabla 11: Recuperacin de desastres / Clonacin de discos..................................................68
Tabla 12: Herramientas Especializadas.................................................................................68
ndice de Figuras
Figura 1 Estos tres elementos reciben el nombre de CID por confidencialidad, integridad y
disponibilidad..........................................................................................................................6
PROPSITO
Por qu nos preocupa la seguridad?
A partir de los aos 80 el uso del computador personal y de los primeros
telfonos celulares comienza a ser comn. Aparece la preocupacin por la
integridad de los datos.
En la dcada de los aos 90 proliferan los ataques a sistemas informticos,
aparecen los virus y se toma conciencia del peligro que nos acecha como usuarios
de PC y equipos conectados a Internet. Las amenazas se generalizan a finales de
los 90. Se toma en serio la seguridad informtica.
Qu hay de nuevo en los aos 2000?

Por el uso de Internet, el tema de la proteccin de la informacin se
transforma en una imperiosa necesidad y con ello se populariza la terminologa
Polticas de seguridad, se recomiendan:
Normas, reglas, estndares.
Proteccin de la informacin
El usuario final desea saber cmo evitar los virus en un correo
electrnico o e-mail.
Productos futuros: Seguridad aadida.
Crece el inters en el delito informtico
Por qu el delito informtico parece ser un buen negocio?

Objeto Pequeo: la informacin est almacenada en contenedores
pequeos: no es necesario un camin para robar el banco, joyas,
dinero,
Contacto Fsico: no existe contacto fsico en la mayora de los casos. Se
asegura el anonimato y la integridad fsica del delincuente.
Alto Valor: el objeto codiciado tiene un alto valor. El contenido (los datos)
vale ms que el soporte que los almacena (disquete, disco compacto,
memoria sd, etc...).
nica solucin: el uso de Polticas de seguridad.
El objetivo de este libro es destacar la importancia de proteger la informacin
contenida o circulante en una computadora (de cualquier tipo, tamao y dedicacin)
y/o en un telfono celular, en internet para evitar se interrumpa el procesamiento,
tanto en forma temporal como permanente, del requerimiento solicitado. Adems, en
caso de ser urgente, que el esfuerzo de recuperacin sea el mnimo necesario. Por
tanto, es imprescindible adquirir el hbito de respaldar la informacin, de forma
apropiada segn cada sistema, usuario e instalacin. Y, por ltimo, nos interesa
cmo borrar y/o eliminar los datos contendidos en esos equipos informticas cuando
son vendidos y/o traspasados.
Actualmente los sistemas informticos son parte de nuestra vida, bien directa
o indirectamente, de nuestra economa, y de la forma de cmo vivimos. Ante esto la
informacin es el activo ms valioso, por lo que es necesario protegerla de las
incontables amenazas que hay y se generan a cada momento. Aqu es donde
interviene la seguridad informtica, que debe ser lo suficientemente sofisticada y
preparada para contrarrestar y garantizar la disponibilidad, confidencialidad e
integridad de la informacin.
Presentamos la aptitud de las personas y/o empresas ante la seguridad
informtica, los actuales mecanismos y los sistemas de proteccin que estn
adoptando, y cules son los dispositivos de proteccin mayormente utilizados.
La seguridad informtica o de las tecnologas de la informacin y
comunicaciones (TIC) se enfoca en la proteccin de la infraestructura computacional
y en todo lo relacionado con esta y, especialmente, en la informacin contenida o
circulante. Para ello, crea una serie de estndares, protocolos, mtodos, reglas,
herramientas y leyes concebidas para minimizar los posibles riesgos a la
infraestructura o a la informacin. La seguridad informtica comprende software
(base de datos, metadatos, archivos, programas), hardware, personal que labora
con ella y la informacin confidencial de la organizacin; informacin clasificada que
signifique un riesgo potencial de mal funcionamiento, intercepcin o suplantacin.
El concepto de seguridad informtica no debe ser confundido con el de

seguridad de la informacin. sta, slo se encarga de la seguridad en el medio
informtico, pudiendo encontrar informacin en diferentes medios o formas.
Una poltica de seguridad informtica es un conjunto de normas,
procedimientos, mtodos y tcnicas para regular diferentes apartados del diseo,
instalacin, desarrollo y operatividad de las TIC destinada a conseguir un sistema de
informacin seguro y confiable. Consiste en poner por escrito lo que los empleados,
tanto tcnicos como usuarios, pueden hacer y lo que no pueden o deben hacer con
las TIC, tanto cuando las operan como cuando no lo hacen. Esta poltica escrita
debe prevenir situaciones que si se dejan al criterio de las personas provocaran
problemas de interpretacin, ejecucin y/o responsabilidad. Estas normas pueden
incluye el comportamiento del personal en la jornada laboral, como fuera de ella.
Una poltica de seguridad informtica de una empresa es su personalidad:
una manera de actuar o reaccionar ante situaciones especficas o generales. Son
normas de conducta para las personas que la integran y los procedimientos que
deben seguir durante una situacin de urgencia.
Las polticas deben ser comunicadas a los empleados al momento de ser
contratados o incluso al ser entrevistados, ya que en ocasiones pueden ser causal
para su retiro de la empresa. Estas normas en ningn momento pueden contradecir
alguna legislacin laboral.
De forma muy simple, Qu pasa con las redes informticas? la seguridad
en un ambiente de red es la habilidad de identificar y eliminar vulnerabilidades. Una
definicin general de seguridad debe poner atencin a la necesidad de salvaguardar
la ventaja organizacional, incluyendo informacin, personas y equipos fsicos, como
los computadores, medios de almacenamiento como discos, cd, dvd, memorias
flash y cintas de respaldo. Nadie a cargo de seguridad debe determinar quien y
cuando se pueden tomar acciones apropiadas sobre un tem en especfico. Cuando
se trata de la seguridad de una compaa, lo apropiado vara de organizacin a
organizacin. Independientemente, cualquier compaa con una red informtica
debe de tener una poltica de seguridad que se dirija a conveniencia y coordinacin.
INTRODUCCIN
Este texto est dirigido a aquel usuario de computacin (personal o
empresarial) y a todo tipo de dispositivos informticos (servidores, pc escritorio,
laptop, tableta, notebook, telfonos inteligentes, impresoras, medias de
almacenamiento internos y externos, memoria flash o pendrive, etc.), para cualquier
tipo de procesamiento de datos, tanto para quien hace procesamiento de textos,
generacin de grficas, utilizacin de planilla electrnica, ya sea en forma ocasional
o habitual, como para el que opera un sistema de contabilidad, de facturacin, utiliza
Internet y/o un telfono celular para procesar y/o enviar y/o recibir informacin
pblica y/o privada, o simplemente usa internet como un medio de distraccin, as
como pginas sociales como facebook, twiter, dropbox, etc.
Adicionalmente, se presenta el tema de respaldo y recuperacin de datos en
dispositivos informticos conectados a Internet, de manera conceptual y sencilla; as
como el borrado real de los datos de dichos dispositivos. El objetivo es que el lector
tome conciencia de la necesidad e importancia de cumplir con los respaldos y el
borrado de datos, en la forma y frecuencia que correspondan a la aplicacin
informtica que utiliza. Se destaca la importancia de estos procesos, lo cual debe
inducir al lector a asegurarse que sus datos estn correctamente respaldados o
borrados.
Para que una poltica de seguridad informtica sea exitosa, lo primero que
debemos hacer es un anlisis de las posibles amenazas que puede sufrir nuestros
dispositivos informticos o nuestra TIC; as como una estimacin de las prdidas
que esas amenazas podran suponer y un estudio de las probabilidades de que el
evento ocurra.
A partir de este anlisis habr que implementar una poltica de seguridad
para establecer las responsabilidades y reglas a seguir para evitar esas amenazas o
minimizar los efectos si se llegan a producir.
Definimos poltica de seguridad como un documento sencillo que define las
directrices organizativas en materia de seguridad (Villaln).
La inseguridad empez cuando un hombre saque y agredi a otro. La
adquisicin de bienes materiales se ha transformado, confundido y convertido en la
necesidad psicolgica de querer estar seguro que nuestras pertenencias estn para
nuestro uso. La seguridad es un tema nacional, poltico, social, empresarial y/o
psicolgico relacionado con la necesidad de proteger a nuestra familia y nuestros
bienes y que estos estn a nuestra disponibilidad cuando se requieran. La seguridad
es un mal necesario para la supervivencia de nuestra especie. Queremos
sentirnos y estar seguros en cualquier contexto e incluso individualmente porque
nos gusta valorar lo que hacemos, pensamos y tenemos. Esa pseudoseguridad
hace que reflexionemos menos y actuemos ms.
Incluso la necesidad de estar seguros ha cambiado los presupuestos
nacionales de muchos estados para su polica, ejrcito y cuerpos de inteligencia ya
que hablan de hackers, cyberterrorismo, fraude, robo de identidad, robos de
patentes y secretos militares e industriales.
Cuando usamos nuestra laptop o computadora personal o celular o tableta
esperamos que estn listos para trabajar, que nuestra informacin e internet estn
disponibles1. Tratamos de mltiples formas de evitar que algn peligro o riesgo
afecte a estos aparatos porque son nuestros y, en muchas ocasiones, reponerlos
significa algn dinero que no tenemos en el momento o nuestra data es vital para
nuestro trabajo. Ese cuidado de nuestros equipos informticos personales se deben
extrapolar hacia los equipos de la organizacin para la cual trabajamos. Es decir,
debemos protegerlos contra peligros, riesgos y agentes extraos.
Hablar de seguridad informtica en trminos absolutos es imposible y por
ese motivo se habla de fiabilidad del sistema.
En general, un sistema informtico (SI) es seguro s, y slo s, garantizamos
tres aspectos:
Confidencialidad: acceso a la informacin debe ser realizada

mediante autorizacin y de forma controlada. Busca prevenir el
acceso no autorizado ya sea en forma intencional o no intencional a
la informacin. La prdida de la confidencialidad puede ocurrir de
muchas maneras, como con la publicacin intencional de
informacin confidencial de la organizacin.
Esto significa que el sistema sea fiable, que es la probabilidad de que un sistema se comporte tal y
como se espera de l.
Integridad: modificacin de
autorizacin. Busca asegurar:
la
informacin
slo
mediante
Que personas no autorizadas no realicen modificaciones a los

datos o procesos.
Que el personal autorizado no realice modificaciones no
autorizadas a los datos o procesos.
Que tanto interna como externamente los datos sean
consistentes.
Disponibilidad: la informacin del sistema debe permanecer

accesible mediante autorizacin. Busca asegurar acceso confiable
y oportuno a los datos o recursos para el personal apropiado.
Figura 1 Estos tres elementos reciben el nombre de CID

por confidencialidad, integridad y disponibilidad.
A las tres caractersticas anteriores, se agrega la comparticin. Por lo que un

sistema seguro debe ser ntegro (con informacin modificable slo por las personas
autorizadas), confidencial (los datos tienen que ser legibles nicamente para los
usuarios autorizados), irrefutable (el usuario no debe poder negar las acciones que
realiz), compartido entre los usuarios y sitios autorizados y estar disponible (debe
ser estable).
Los mecanismos de seguridad se dividen en cuatro grupos:

1. Prevencin:
1. Evitan desviaciones respecto a la poltica de seguridad.
2. Utilizar el cifrado en la transmisin de la informacin evita que un
posible atacante capture (y entienda) informacin en un sistema de
red.
2. Deteccin:
1. Detectan las desviaciones si se producen, violaciones o intentos de
violacin de la seguridad del sistema.
2. Herramienta Tripwire para la seguridad de los archivos.
3. Recuperacin:
1. Se aplican cuando se ha detectado una violacin de la seguridad del
sistema para recuperar su normal funcionamiento.
2. Las copias de seguridad.
4. Borrado:
1. Borrado total de datos de nuestro dispositivo informtico por cambio o
venta.
2. Herramienta BleatBeach.
La seguridad informtica, tanto en nuestros equipos informticos
personales como en los corporativos, es la disciplina encargada de proteger la
integridad, distribucin, acceso y privacidad de la informacin y de los
programas almacenados en un sistema informtico; as como de los
componentes fsicos que lo integran. Adicionalmente, la seguridad establece
unas normas y polticas de trabajo y funciones del personal que trabaja con y para el
sistema de informacin. A este conjunto de elementos: humanware, sistemas de
informacin, software general y especializado, datos, redes informticas internas y
externas les llamamos tecnologa de informacin y comunicacin (TIC). Un sistema
informtico (SI) puede ser protegido desde un punto de vista lgico (con el
desarrollo de software) y fsico (vinculado al mantenimiento elctrico, por ejemplo).
Por otra parte, las amenazas pueden proceder desde programas dainos
que se instalan en la computadora del usuario (como un virus) o llegar por va
remota (los delincuentes que se conectan a Internet desde distintos y variados
lugares para acceder a distintos y variados sistemas informticos de forma sncrona
o asncrona) hasta por mala praxis por parte de los usuarios al dejar las
computadoras abiertas, tener contraseas dbiles, compartir programas, archivos
de fotografas, videos y msica con otros usuarios en el mismo sitio de trabajo o
fuera de l. As como tambin por polticas corporativas para su personal.
Para cumplir con la seguridad informtica, ver componentes CID, diversas
organizaciones internacionales definen estndares y normas que apoyan en
diferente medida el cumplimiento de los requerimientos indicados anteriormente. A
continuacin, una breve descripcin de los de mayor utilizacin a nivel mundial
ISO 17.799
Estndar para la administracin de la seguridad de la informacin, implica la
implementacin de toda una estructura documental con fuerte apoyo de la alta
direccin de cualquier organizacin.
Estndar publicado por la International Organization for Standardization
(ISO) en diciembre de 2000 con el objeto de desarrollar un marco de seguridad
sobre el cual trabajen las organizaciones. Ofrece recomendaciones para la gestin
de la seguridad de la informacin dirigidas a los responsables de iniciar, implantar o
mantener la seguridad de sistemas de informacin una organizacin.
COBIT
Acrnimo de Control Objectives for Information and related Technology
(Objetivos de Control para la Informacin y Tecnologas Relacionadas), estndar
desarrollado por la Information Systems Audit and Control Foundation (ISACA),
fundada en 1969 en EE.UU., y que trata de temas como gobernabilidad, control,
aseguramiento y auditorias para TIC. Actualmente tiene ms de 60.000 miembros
en alrededor de 100 pases. Esta organizacin realiza eventos y conferencias, y
desarrolla estndares en TI de gobierno, aseguramiento y seguridad. En los ltimos
5 aos ha cobrado fuerza debido a que fue desarrollado en especfico para el
mbito de las TIC.
ITIL
Acrnimo de Information Technology Infrastructure Library, ITIL es una
norma de mejores prcticas para la administracin de servicios de Tecnologa de
Informacin (TI), desarrollada a finales del ao 1980 por entidades pblicas y
privadas con el fin de considerar las mejores prcticas a nivel mundial. El organismo
propietario de estos estndares es la Office of Government Commerce, una entidad
independiente de la tesorera del gobierno britnico. ITIL fue utilizado inicialmente
como una gua para el gobierno de britnico, pero es aplicable a cualquier tipo de
organizacin.
LEY SOX
La Ley Sarbanes-Oxley (SOX), de EE.UU., nombrada as por sus creadores,
obliga a las empresas pblicas nacionales o extranjeras inscritas en la Securities
and Exchange Comission de dicho pas a llevar un control y almacenamiento
informtico estricto de su actividad. La ley nace producto de los escndalos
financieros de compaas norteamericanas como Enron y Worldcom, durante el ao
2002, en los cuales se comprob que informacin financiera fue falsificada. Esta ley
ha tenido un alto impacto a nivel mundial en empresas que negocian sus valores en
la bolsa de EE.UU.
COSO
La norma COSO, acrnimo de Committee of Sponsoring Organizations of the
Treadway Commission's Internal Control - Integrated Framework, es un documento
que contiene directivas e indicaciones para la implantacin, gestin y control de un
sistema de Control Interno, con alcances al rea informtica y est orientada al
control de la administracin financiera y contable de las organizaciones. Dada la
relacin que existe entre esta rea y los sistemas de informacin computarizados,
resulta importante entender el alcance y uso de esta norma. Junto a ella existen
otras normas que estn directa o indirectamente relacionadas con ella.
ISO Serie 27000

A semejanza de otras normas ISO, la 27000 es una serie de estndares, que
incluye o incluir (algunas partes an estn en desarrollo), definiciones de
vocabulario (ISO 27000), requisitos para sistemas de gestin de seguridad de la

informacin (ISO 27001), guas de buenas prcticas en objetivos de control y
controles recomendables de seguridad de la informacin (ISO 27002).
Es una gua de implementacin de SGSI (Sistema de Gestin en Seguridad
de la Informacin) junto a informacin de uso del esquema PDCA (Plan, Do, Check,
Act) [6] (ISO 27003), especificacin de mtricas para determinar la eficacia de SGSI
(ISO 27004), una gua de tcnicas de gestin de riesgo (ISO 27005), especificacin
de requisitos para acreditacin de entidades de auditoria y certificacin de SGSI
(ISO 27006), una gua de auditoria de SGSI (ISO 27007), una gua de gestin de
seguridad de la informacin para telecomunicaciones (ISO 27011), una gua de
continuidad de negocio en cuanto a TIC (ISO 27031), una gua de ciber-seguridad
(ISO 27032), una gua de seguridad en redes (ISO 27033), una gua de seguridad
en aplicaciones (ISO 27034), y una gua de seguridad de la informacin en el sector
sanitario (ISO 27799).
Riesgos y vulnerabilidades
Debido a la creciente demanda de las tecnologas de la informacin, la
mayora de las organizaciones actuales estn expuestas a una serie de riesgos
derivados de una seguridad inadecuada o inapropiada en su informacin o en sus
sistemas informticos. Sealamos dos ejemplos de esta vulnerabilidad creciente:
1. Con el auge en el uso de computadores personales, tabletas y telfonos
mviles se ha magnificado el problema de la seguridad de los sistemas de
informacin (SSI), originado sobre todo a la carencia de controles bsicos de
seguridad en este tipo de sistemas.
2. La evolucin hacia entornos con acceso global y mltiple, aunado al
aumento de la conectividad entre distintas organizaciones y personas,
plantea retos importantes a la gestin de la seguridad informtica.
Los riesgos fundamentales asociados con la incorrecta proteccin de la
informacin son:
Revelacin de contraseas y acceso a personas no autorizadas al SI.
Inexactitud, alteraciones y no disponibilidad de datos y programas
10
almacenados en el SI.
Inaccesibilidad de la informacin cuando se necesita.
Intentos de violacin de nuestros sitios web.
Las amenazas en las TIC son globales, y estn repartidas en distintos
niveles de criticidad segn sea la orientacin y el mbito de su utilizacin.
Preocupante es para grandes, medianas y pequeas organizaciones el espionaje
industrial, los ladrones de informacin, la interrupcin de servicios y las fallas crticas
en la infraestructura y sistemas centrales de informacin.
Estos aspectos se relacionan con las tres caractersticas que debe cubrir un
SI seguro: confidencialidad, integridad y disponibilidad. As que custodiar estas tres
caractersticas de la informacin es el objetivo de la seguridad.
A los problemas tcnicos se suman las amenazas ambientales, las
condiciones de instalacin no apropiadas, los usuarios, la situacin poltica y social,
como factores susceptibles de poner en peligro el buen funcionamiento de un SI.
Las amenazas a los SI van desde desastres naturales como inundaciones,
accidentes o incendios, hasta abusos deliberados como fraudes, robos, virus con
origen tanto interno como externo.
Implementar y Estructurar Controles

Con el propsito de enfrentar correctamente los procesos de auditoria y a la
vez para satisfacer un adecuado nivel de control interno en las actividades de TIC,
se deben disear controles, de manera que ellos abarquen a todos los procesos que
se manejan por medio de las TIC en una organizacin. En este proceso el
encargado de la seguridad TIC juega un papel de relevancia, puesto que con su
experiencia se realizan estas implementaciones en forma adecuada y con la
relevancia que la organizacin requiere.
En s, los controles deben estar construidos en base a reas (procesos) y
objetivos de control de los cuales se deben desprender las actividades y finalmente
los controles en si. Por ejemplo la norma ISO/IEC 27002 describe 39 objetivos de
control. Sin embargo, otras normas o estndares como ISO 17799, ITIL y COBIT
proponen un nmero distinto de controles.
11
Cada control o grupo de controles forma parte de su objetivo de control, del

cual se desprenden las actividades de control que dan origen al control en s. A su
vez cada objetivo forma parte de una agrupacin mayor, el proceso. Los procesos
estn agrupados en 8 grandes reas que son: Mantenimiento, Seguridad,
Operaciones, Desarrollo, Acceso General, Recuperacin de Desastres, Redes y, por
ltimo, Computadores. Para el proceso de Seguridad, uno de los objetivos de
control considerados es verificar que toda la informacin sea respaldada en forma
oportuna y adecuada; por lo que uno de los controles asociados a este objetivo es
Supervisin de errores en respaldos en servidores.
La tarea que debe asumir cada organizacin, conforme a su propia realidad,
es identificar cul es la evidencia que cubre al respectivo control, segn dicha
organizacin; inclusive, es probable que uno o varios controles no apliquen al
contexto de la misma. Ante esta situacin, lo que se recomienda es mantener el
control, pero indicar en su evidencia que ste, dado el contexto particular de la
organizacin, no aplica. Unido a esto se debe realizar lo indicado por COBIT y
COSO en base a definir si los controles sern de efecto primario o secundario para
los estados financieros de la organizacin, lo cual, dar la criticidad a cada uno de
ellos.
Se trata de formular un modelo de seguridad informtica sencillo pero que
cumpla con los objetivos de la organizacin. Las reas del modelo propuesto son
varias que cubren el espectro de la tic en la organizacin. Estas reas son: virus,
amenazas fsicas, contraseas, informacin, comunicaciones, empleados,
organizacin.
En muchos sistemas, los usuarios humanos son una parte crtica del proceso
de seguridad. Ellos crean contraseas, siguen los protocolos de seguridad y
comparten informacin que puede mantener o destruir la seguridad de un sistema.
Sin embargo, muchas polticas de seguridad estn diseadas con poca o ninguna
atencin a las capacidades cognitivas de las personas, flujo de trabajo o tareas.
Como resultado, las personas encuentran maneras de evitar los obstculos de
seguridad que se interponen en el camino de su trabajo.
El objetivo de esta serie de tres libros es el diseo y construccin de polticas
de seguridad con un enfoque centrado en los usuarios. En el libro uno abordamos el
comportamiento de un usuario (informtica personal) y de ah partimos para
12
establecer el mismo comportamiento del usuario (informtica empresarial). En el

libro dos, veremos los principios bsicos de la interaccin humano-computadora,
incluyendo los fundamentos de las habilidades cognitivas de los humanos, los
principios de usabilidad, tcnicas de diseo, y los mtodos de evaluacin.
Culminando en el libro tres donde se aplicarn estos conocimientos en el diseo de
modelos de polticas de seguridad con el propsito de desarrollar las medidas de
seguridad que respeten el factor humano y sus objetivos dentro de los grandes
sistemas corporativos.
A travs de consejos prcticos para diseo, construccin, evaluacin y
sistemas crticos, los lectores aprendern cmo integrar la usabilidad en TIC
personales o corporativas seguras. Nos centraremos especficamente en
mecanismos de autenticacin, de respaldo y recuperacin, seguridad de
navegacin, la privacidad y los medios de comunicacin social, y de seguridad
mvil.
13
1 Virus, troyanos, puerta trasera y phising

1.1 Virus
1.1.1 Windows
Existen muchas formas distintas de clasificar los virus, y cada una de ellas
viene acompaada de su propia coleccin de categoras con nombres pintorescos.
Gusanos, macro virus, troyanos y puertas traseras (backdoors) son algunos de los
ms conocidos. Muchos de estos virus se extienden en Internet, utilizando el correo
electrnico, pginas web maliciosas u otros medios para infectar computadoras
protegidas o no, igualmente ocurre con los celulares. Otros virus se propagan a
travs de medios extrables, particularmente a travs de dispositivos USB y/o
memorias SD y/o pen-drive, programas piratas y de discos duros externos donde los
usuarios escribir y leer informacin. Los virus pueden destruir, daar o infectar la
informacin en tu computadora, incluyendo datos en medios externos. Tambin
pueden tomar control de tu computadora y utilizarla para atacar a otras. Existen
muchas herramientas antivirus que puedes utilizar para protegerte y proteger a
aquellos con los cuales intercambias informacin digital.
En el caso de los virus hay que subrayar que cada da aumenta la larga la
lista de ellos y su variedad. As, tenemos:
Virus residentes. stos, se ocultan en la memoria RAM y lo que les da la

oportunidad de interceptar y de controlar las operaciones que se realizan en
el computador atacado, infectando programas y/o carpetas y/o trasmitiendo
los datos de cuentas, contraseas y datos confidenciales de produccin,
usuarios y clientes hacia el exterior.
Virus cifrados. stos, usan mtodos criptogrficos en un intento de esquivar

los antivirus basados en cadenas de bsquedas, es el autocifrado con una
clave variable. Como el virus Cascade, el cual no se denomina polimorfo, ya
que su cdigo descifrado es invariable.
Virus polimorfos o mutantes. Tienen la capacidad de encriptar el virus para

que no sea detectado por un antivirus. Deja unas rutinas que se encargan de
14
desencriptar el virus para propagarse. Para eso incluye un motor de

mutacin. ste, utiliza un generador numrico aleatorio que, combinado con
un algoritmo matemtico, modifica la firma del virus. Gracias al motor, el
virus crea una rutina de desencriptacin diferente cada vez que se ejecute.
Virus Acompaante. stos, basan su principio en que MS-DOS ejecuta el

primer archivo COM y EXE del directorio raz, creando un archivo COM con
el mismo nombre y en el mismo lugar que el EXE a infectar. Despus de
ejecutar el nuevo archivo COM creado, cede el control al archivo EXE.
Virus de Archivo. Infectan archivos de tipo *.EXE, *.DRV, *.DLL, *.BIN,

*.OVL, *.SYS e incluso BAT. Este tipo de virus se aade al principio o al final
del archivo y se activan cada vez que el archivo infectado es ejecutado,
ejecutando primero su cdigo vrico y luego devuelve el control al programa
infectado pudiendo permanecer residente en la memoria durante mucho
tiempo despus de que hayan sido activados. Este tipo de virus de dividen
en dos:
Virus de Accin Directa. son aquellos que no quedan residentes en
memoria y se replican en el momento de ejecutar el archivo infectado.
Virus de Sobrescritura que corrompen el archivo donde se ubican al
sobrescribirlo.
Virus Bug-ware. Nombre dado a programas informticos legales diseados

para realizar funciones concretas. Debido a una inadecuada comprobacin
de errores o a una programacin confusa causan daos al hardware o al
software del sistema. Los programas bug-ware no son en absoluto virus
informticos, simplemente son fragmentos de cdigo mal implementado, que
debido a fallos lgicos, daan el hardware o inutilizan los datos del
computador2.
Virus Macro. stos, de acuerdo con la Internacional Security Association,

conforman el 80% de todos los virus y son los que ms rpidamente han
aumentado en la historia de los computadores. A diferencia de otros tipos de
El virus Heart Bleed permite a los hackers explotar un fallo en el software de encriptacin
OpenSSL utilizado por la mayora de los principales sitios web para robar datos, como nmeros de
tarjetas de crdito, contraseas y otra informacin personal.
15
virus, los virus macro no son exclusivos de ningn sistema operativo y se

diseminan fcilmente a travs de archivos adjuntos de e-mail, SD, pen-drive,
Internet, transferencia de archivos y aplicaciones compartidas. Infectan las
utilidades macro que acompaan a aplicaciones como Microsoft Word y
Excel, lo que significa que un Word virus macro infecta un documento Excel
y viceversa pudiendo, eventualmente, infectar miles de archivos. Estos virus
son programados en Visual Basic y fciles de crear. Infectan diferentes
puntos de un archivo en uso al abrir, grabar, cerrar o borrar. Lo primero que
hacen es modificar la plantilla maestra (normal.dot) para ejecutar varias
macros insertadas por el virus, as cada documento que abramos o creemos,
se incluirn las macros "vricas", conteniendo un virus, cambiar un ejecutable
o DLL del sistema.
Virus MailBomb. Estos virus todos son iguales, escribes un texto que
requiera una direccin de e-mail (victima) introduces el nmero de copias y
listo. El virus crea tantos mensajes como el nmero de copias indicado y
empezar a enviar mensajes hasta saturar el correo de la victima. Se
replican como los gusanos o worms, pero en lugar de colapsar nuestro
equipo o red, colapsa nuestro correo no pudiendo recibir ni enviar ningn
correo.
Virus Multi-Partes. stos, infectan tanto el sector de arranque como los

archivos ejecutables, suelen ser una combinacin de todos los tipos de virus
existentes, su potencia de destruccin es superior a los dems y de alto
riesgo para nuestros datos, su tamao en bytes es mayor a cambio de ms
opciones de propagarse e infeccin de cualquier sistema.
Virus Sector de Arranque. ste, infecta el sector de arranque del disco duro
del computador (MBR). Una vez que el sector de arranque est infectado, el
virus intenta infectar cada disco interno, externo o pen-drive que se inserte
en el sistema, bien sea una CD-R, una unidad ZIP o cualquier sistema de
almacenamiento de datos. Los virus de arranque se ocultan en el primer
sector de un disco y se cargan en la memoria antes que los archivos del
sistema. Con toman total control de las interrupciones del DOS y as
diseminarse y causar dao. Estos virus, generalmente reemplazan los
contenidos del MBR con su propio contenido y mueven el sector a otra rea
en el disco.
16
Virus de Visual Basic Scripts o VBS. Debido al auge de Internet, los virus han
encontrado una forma de propagacin masiva y rpida a travs mensajes de
correo electrnico, anexando archivos con extensin VBS. El DOS empleaba
archivos .BAT (Batch), que eran un conjunto de instrucciones o comandos en
lotes. A partir de Windows 95 este tipo de archivos fue reemplazado por
Visual Basic Scripts. El script es un programa que realiza una determinada
accin al iniciar un sistema operativo, al hacer un Login en un Servidor de
Red o al ejecutar una aplicacin. Los Scripts pueden ser interpretados y
ejecutados por el Sistema Operativo Windows, Novell, etc. o por una
aplicacin mIRC, pIRC, AutoCad, etc. Los virus pueden ser desarrollados en
cualquier lenguaje y tener determinados objetivos de dao y algunos
simplemente usan las instrucciones VBS como medio de propagacin.
Asimismo, un VBS puede contener instrucciones que afecten a los sistemas.
Es posible editar instrucciones en NotePad y guardar el archivo con la
extensin .VBS. Actualmente existen 2 medios de mayor difusin de virus en
VBS:
Infeccin de canales IRC. (el chat produce muchas "victimas") IRC
(Internet Relay Chat) es un protocolo desarrollado para la comunicacin
entre usuarios de Internet en "tiempo real', haciendo uso de un software
llamado "cliente IRC" (como mIRC, pIRCh, Microsoft Chat). Un servidor
chat est conectado a otros servidores similares conformando una red
IRC. Mediante el software de chat, el usuario se registra y conecta, con
su nickname, a uno o ms canales IRC. Los programas "clientes IRC"
facilitan al usuario las operaciones de conexin, haciendo uso del
comando /JOIN, para conectarse a uno o ms canales. Las
conversaciones pueden ser pblicas (el canal visualiza lo que el usuario
escribe) o privadas (comunicacin entre dos personas). Todo esto se
hace mediante un denominado "bachero", que emplea comandos del
protocolo IRC, proporcionando al usuario un entorno grfico funcional.
Todos los gusanos del Chat, siguen el mismo principio de infeccin, con
el comando SEND file, envan una copia del SCRIPT.INI a todas las
personas conectadas al mismo canal chat, adems de otras
instrucciones dentro de un VBS, que contiene el cdigo viral que sobreescribe al SCRIPT.INI original, en el sistema remoto del usuario, logrando
infectarlo, as como a todos los usuarios conectados a la vez.
17
Virus de la libreta de direcciones Microsoft Outlook. Office 95/97/2000/XP,

respectivamente, integran sus programas MS Word, Excel, Outlook y
Power Point, haciendo uso del lenguaje Visual Basic for Aplications, que
invocan la ejecucin de determinadas instrucciones. En MS Word y
Excel, el usuario tiene acceso a un Editor de Visual Basic. Aunque
tambin pueden editar instrucciones y comandos con NotePad y
archivarlo con la extensin .VBS. Virus como Melissa o Loveletter,
escritos en Visual Basic for Aplications, tienen un fcil y poderoso acceso
a los recursos de otros usuarios de MS Office. El ms afectado es la
libreta de direcciones MS Outlook, que es controlado por las
instrucciones del VBS y recibe la orden de re-enviar el mensaje con el
archivo anexado, en formato VBS, a todos los nombres de la libreta de
direcciones del sistema de usuario infectado. Estas infecciones tambin
se reproducen entre todos los usuarios de una red, una vez que uno de
sus usuarios ha sido infectado.
Virus de Web (active x y java). Los applets de JAVA y los controles Active X,
son unos lenguajes orientados a Internet, con las nuevas tecnologas se abre
un mundo nuevo a explotar por los virus. Superaran en nmero a los virus de
macro.
1.1.2 Linux
Las posibilidad de que una computadora con sistema operativo LINUX se
infecte es escasa, pero no implica que no exista cdigos maliciosos para Linux.
Para propagarse el cdigo malware debe ejecutarse, tiene que ser copiado
en un ejecutable corrupto desde el otro sistema. Independiente de la distribucin de
Linux empleada, lo normal seria al momento de bajar un programa sea por un
repositorio o por una URL donde se encuentra el software malicioso. En lugar de
bajar el archivo ejecutable, baja el programa de un repositorio oficial, la posibilidad
que de estos sitios oficiales puedan contener malware es remota, pero posible .
Una vez que la computadora baja el programa con el cdigo malicioso y se
infecta inicia la segunda etapa es la propagacin. El cdigo malo debera usarse
como una plataforma de distribucin para aplicaciones pre compiladas, lo cual es
poco probable. El tratar infectar una computadora con Linux por intermedio de un
18
archivo ejecutable y la posibilidad de lograr su objetivo es poco probable o escasa .

La propagacin dentro de una computadora de una aplicacin corrupta slo
puede extenderse a los archivos que el usuario ejecuta y tenga permisos de
escritura.
El usuario de Linux slo trabaja como root para operaciones muy especificas.
La instalacin de una aplicacin con Set-UID root el riesgo de infectarse es
bastante pequeo.
Cuando un usuario normal ejecuta el programa infectado slo afectar a los
archivos que pertenezcan a ese usuario .
La tabla 1 muestra los virus ms conocidos para Linux.
Tabla 1: Los virus ms conocidos para Linux

Nombre Bomba lgica Notas
Bliss
Aparentemente Desinfeccin automtica del archivo ejecutable si se llama

inactiva
con la opcin -bliss-disinfect-plase
Diesel
ninguna
Kagob
ninguna
Satyr
Ninguna
Utiliza un archivo temporal para ejecutar el programa

original infectado.
Vit4096 Ninguna
Slo infecta los archivos en el directorio actual
winter
Ninguna
El cdigo del virus ocupa 341 bytes slo infecta los

archivos del directorio actual
winux
Ninguna
Contiene dos cdigos diferentes y puede infectar tanto los

archivos de Windows como los archivos ELF Linux pero
no es capaz de explotar otras particiones que en la que
esta alojado lo que reduce su propagacin siendo un virus
inofensivo. La relevancia est en el concepto de que un
cdigo malicioso saltara de una particin a otra invadir
una red heterognea usando un servidor Samba
19
1.1. 3 MacIntosh
Las computadoras Mac estn libres de virus? No, las computadoras de
Apple no estn exentas de ser infectadas por virus informticos, aunque ciertamente
son menos importantes a infectarse que las PC con Windows.
MacDefender funcionaba mediante un mensaje falso que adverta a los
usuarios que sus computadoras estaban infectadas por un virus, por lo que deban
instalar el software anti-virus. Si los clientes aceptaban instalarlo, el programa
comenzaba a cargar sitios con pornografa.
Flashback trojan fue detectado por primera vez en septiembre pasado,
cuando investigadores de antivirus encontraron el sistema, que estaba
disfrazndose como una actualizacin de Flash, un reproductor de video. Una vez
instalado, el virus desactivaba el sistema de seguridad de la computadora y, por ello,
le permita al intruso el acceso a su contenido.
Una Pc con Mac OS X su riesgo mayor es la "Ingeniera Social".
1.2 Bombas lgicas

El dao que ocasionan las bombas lgicas es relativo, depende de cmo el
usuario est firmado y cules son sus privilegios. Es relativamente extrao en lo
particular que un usuario de Linux se firme como root en todas las sesiones .
Por otra parte, Linux, siempre mejora su sistema de seguridad entregando
mejores distribuciones.
1.3 Caballos de Troya o troyanos

Aunque menos "peligroso" que un virus, los troyanos deben tenerse muy en
cuenta. Se dice de una persona que accede por un agujero en nuestro sistema
operativo (puerta trasera) a nuestro computador, desde otro, en busca de
informacin como claves de usuario, cuentas bancarias o inclusive tomar el control
de nuestro PC y eliminar archivos, cerrar programas, impedir manejar el ratn, etc.
1.4 Gusanos
Se trata de un cdigo malicioso, a gran escala, que se reproduce y extiende
20
a muchas computadoras a una gran velocidad. Se propaga mediante el correo

electrnico, el cual al abrirlo, recoge la lista de contactos y les enva un correo como
si fuera nuestro, si stos lo abren, el virus recoge a su lista de contactos y de nuevo
se pone en accin, la funcin de los gusanos es colapsar las computadoras y sobre
todos aquellas que tienen una tarea de servicio, como un servidor web, servidor de
red o un servidor de correo.
Los primeros gusanos se crearon en 1988. los cuales explotan la
vulnerabilidad de los servidores de red para las estaciones de trabajo. Ver tabla 2.
Tabla 2: Tabla de vulnerabilidades

Nombre
Vulnerabilidades Notas
Lion(1i0n)
Bind
Instala una puerta trasera(puerto TCP 10008) y root-kit

en la computadora infectada la cual enva informacin
del sistema a una direccin de correo en China.
Ramen
Lpr,nfs,wu-ftpd
Cambia los archivos index.html que encuentra.
Adore (red
worm)
Bind,Ipr,rpc,wu,ft Instala una puerta trasera en el sistema y enva

pd
informacin a direcciones de correo en China y USA
instala una versin modificada de ps para esconder sus
procesos.
Cheese
Bind
Entra como un supuesto programa chequea y elimina las

puertas abiertas.
1.5 Puertas traseras

Las amenazas de las puertas traseras o malware afectan tanto a Microsoft
como al software libre.
El trmino es adaptacin directa del ingls backdoor que comnmente
significa "puerta de atrs". A pesar de ser propiamente como virus, son un riesgo de
seguridad importante y son desconocidas la inmensa variedad de problemas que
llegan a producir. Al hablar de ellas nos referimos genricamente a una forma "no
oficial" de acceso a un sistema o a un programa.
Algunos programadores dejan puertas traseras a propsito, para entrar
rpidamente en un sistema; en otras ocasiones, la puerta trasera existe debido a
21
fallos o errores. Una de las formas tpicas de actuacin de los piratas informticos
es localizar o introducir en los diversos sistemas una puerta trasera y entrar por ella.
Una vez dentro del computador infectado, los programas introducidos no se
reproducen solos como los virus, sino que son enviados con el fin de tener acceso a
nuestros equipos informticos por el correo electrnico, por lo que no son fciles de
detectar y por si solos. No siempre causan daos ni efectos inmediatos, por lo que
pueden permanecer activos mucho tiempo sin que nos percatemos de ello.
Estos programas se hacen pasar por otros, es decir, se ocultan en otro
programa que les sirve de caballo de Troya para que el usuario los instale por error.
Lo peor que puede pasar cuando el usuario est en el chat no es que contraiga un
virus en su Pc, sino que alguien instale un backdoor en ella. Las puertas traseras
son fciles de entender. Como todo en Internet se basa en la arquitectura cliente /
servidor, slo se necesita instalar un programa servidor en una mquina para
controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, sta
puede bien ser la computadora de un usuario descuidado o poco informado.
Las puertas traseras son programas con acceso prcticamente ilimitado a un
equipo de forma remota. El problema, para quien usa este ataque, es que debe
convencer a un usuario a que lo instale el servidor. Si aparece un desconocido
ofreciendo algn programa maravilloso y tentador, no le crea de inmediato. Lo que
estn probablemente a punto de darle es un troyano, que le proporciona al atacante
acceso total a su computadora.
Hay una forma simple y totalmente segura de evitar las puertas traseras: no
acepte archivos ni ejecute programas que no conoce o sean de procedencia
dudosa. Los programas que se clasifican como "puertas traseras" son utileras de
administracin remota de una red y controlar las computadoras conectadas a sta.
El hecho que se les clasifique como software malvolo en algunos casos, es
que cuando corren, se instalan en el sistema sin necesidad de la intervencin del
usuario y una vez instalados, no se visualizan en la lista de tareas en la mayora de
los casos. Consecuentemente, un backdoor puede supervisar casi todo proceso en
las computadoras afectadas, quitar o corromper programas, descargar virus en la
PC remota, borrar informacin, entre otras muchas cosas ms.
Dada la complejidad de este tema, lo importante es comprender que de no
tomar ciertas medidas mnimas, la informacin importante que se encuentre en
22
cualquier equipo, con el simple hecho de que tenga acceso a la red de redes
(Internet) es suficiente para que estar expuesto a ataques de est ndole.
Como ejemplo de esto es el programa que se encuentra en el libro
programmation systeme en C sosus linux que usa el mecanismo de un pseudoterminal cuando se ejecuta abre un servicio TCP/IP en el puerto por defecto 4767
aceder a un shell.
1.6 Spyware
Son programas que se autoinstalan en nuestra computadora, reduciendo a la
mitad el funcionamiento del sistema, ya que utilizan la cpu y la memoria ram. Su
funcin es recopilar informacin, la cual se envan a terceras personas sin nuestro
consentimiento; ms tarde llegan cientos de correos con publicidad. Otro tipo de
spyware son aquellos que nos muestran pop-us (ventanas emergentes) ya sea
cuando iniciamos el navegador o sin acceder a l, mostrndonos en el escritorio
muchos pop-us, las cuales cerramos y vuelven abrirse. En los casos ms graves
colpasan el computador.
1.7 Ingeniera Social

Es la prctica de obtener informacin confidencial a travs de la
manipulacin de usuarios legtimos. Ciertos investigadores privados o criminales o
delincuentes informticos, quieren obtener informacin, acceso o privilegios de
nuestros sistemas de informacin para realizar actos que perjudiquen o expongan a
riesgos y/o abusos a la persona u organismo comprometido.
El principio que sustenta la ingeniera social es que en cualquier sistema
informtico "los usuarios son el eslabn dbil". En la prctica, un ingeniero social
usa el telfono o Internet para engaar a las personas, fingiendo ser, un empleado
de algn banco o de alguna otra empresa, un compaero de trabajo, un tcnico o un
cliente o usa la Internet para el envo de solicitudes de renovacin de permisos de
acceso a pginas web o memos falsos que requieren ciertas respuestas e incluso
las famosas cadenas, como las cartas africanas, condicionando al usuario a revelar
informacin importante, o a violar las polticas de seguridad tpicas. Con este
mtodo, los ingenieros sociales aprovechan la tendencia natural de la persona a
reaccionar de manera predecible en ciertas situaciones, -proporcionando detalles
23
financieros a un aparente funcionario de un banco- en lugar de tener que encontrar

agujeros de seguridad en los sistemas informticos.
Quiz el ataque ms simple pero efectivo, sea engaar a un usuario
llevndolo a pensar que un administrador del sistema esta solicitando una
contrasea para propsitos legtimos. Los usuarios de Internet frecuentemente
reciben mensajes que solicitan contraseas o informacin de tarjeta de crdito, con
el motivo de "crear una cuenta", "reactivar una configuracin", u otra operacin; a
este tipo de ataques se les llama phishing. Los usuarios deberan ser advertidos
temprana y frecuentemente para que no divulguen contraseas u otra informacin
importante a quienes dicen ser administradores. En realidad, los administradores de
sistemas informticos raramente (o nunca) necesitan la contrasea de los usuarios
para llevar a cabo sus tareas.
Otro ataque de ingeniera social es el uso de archivos adjuntos en correo
electrnico o e-mail, ofreciendo, fotos "ntimas" de personas famosas o familiares o
algn programa "gratis" o que ha sido designado beneficiario de una fortuna de un
pariente lejano (a menudo provenientes de frica) para ejecutar cdigo malicioso
(usando as a la mquina de la vctima para enviar cantidades masivas de spam).
Despus que los primeros email sospechosos llevan a los proveedores de
internet a deshabilitar la ejecucin automtica de archivos adjuntos; los usuarios
deben activar esos archivos de forma explcita para que ocurra una accin
maliciosa. Muchos usuarios, sin embargo, abren ciegamente cualquier archivo
adjunto recibido, concretando el ataque.
1.8 Software Antivirus

Hoy en da existen muchos y buenos programas antivirus, algunos gratuitos,
para eliminar estos cdigos maliciosos; antivirus, anti spyware, firewall, anti
intrusin, anti piratas informticos. Los cuales buscan en el sistema, archivos
infectados y los eliminan o bien los ponen en cuarentena para eliminarlos mas tarde.
Adems, una de las herramientas usuales de la seguridad informtica es la
encriptacin de la informacin, de carpetas y programas y el uso de contraseas
(passwords). Todas de gran utilidad como tambin lo son los conocidos sistemas de
deteccin de intrusos, conocidos como anti spyware. Se trata de programas o
24
aplicaciones que detectan, de manera inmediata, los programas espas que se

encuentran en nuestro sistema informtico.
Un excelente programa antivirus que es software gratuito (freeware) para
Windows es Avast, fcil de utilizar, se actualiza de manera regular y es respetado
por los expertos en programas antivirus. El programa requiere que el usuario se
registres una vez cada 14 meses, pero el registro, actualizacin y programa son
gratuitos.
Clamav es una alternativa de Software Libre y de Cdigo Abierto (FOSS) al
Avast y de varios antivirus conocidos programas comerciales. Aunque carece de
ciertas caractersticas que son importantes para un programa antivirus bsico,
Clamav tiene la ventaja que puede ser ejecutado desde un pen-drive USB con el fin
de escanear una computadora la cual no te permite instalar software. Esto es til
cuando no tienes otra opcin ms que utilizar una computadora pblica o los cafs
Internet para realizar trabajo importante.
1.8.1 Consejos para utilizar software antivirus

No ejecutes dos programas antivirus al mismo tiempo, pues causara que
tu computadora funcione de manera muy lenta o se cuelgue. Quita uno
antes de instalar otro.
Asegrate que tu programa antivirus reciba actualizaciones. Como
muchas de las herramientas comerciales que vienen preinstaladas en las
computadoras nuevas, en algn punto debe registrarlas (y pagar por
ellas) o dejarn de recibir actualizaciones. Existe software antivirus, en la
internet, que acepta actualizaciones libres de cargo.
Cercirate que tu software antivirus se actualice automticamente de
manera regular. A diario, se crean y propagan nuevos virus, y tu
computadora pronto ser vulnerable si no ests al tanto de nuevas
versiones de virus. Avast automticamente busca actualizaciones cuando
te conectes a la Internet.
Procura que tu software antivirus tenga 'siempre activa' su opcin de
deteccin de virus, si cuenta con esta. Es posible que aplicaciones
diferentes usen distintos nombres para esta opcin pero la mayora de
25
ellas ofrece una opcin parecida. Puede llamarse 'Proteccin en Tiempo

Real,' 'Proteccin Residente,' o similar.
Escanea frecuentemente los archivos de tu computadora. No tienes que
hacer esto a diario especialmente si tu software antivirus tiene una
opcin 'siempre activo', como se describe lneas arriba pero debes
hacerlo de tiempo en tiempo. Cun a menudo?, depende de las
circunstancias. Has conectado, recientemente, tu computadora a una
red desconocida? has compartido tu pen-drive USB? Recibes
documentos adjuntos extraos con tu correo electrnico? Alguien en tu
casa u oficina ha tenido problemas de virus recientemente?
1.8.2 Evitar una infeccin viral

NO abras archivos adjuntos en tu correo electrnico, si no conoces su
procedencia. Si necesitas hacerlo, primero guardar el archivo adjunto en una
carpeta en tu computadora, luego abre la aplicacin como Microsoft Word o Adobe
Acrobat. Es poco probable que contraigas el virus, si utilizas el men de Archivo del
programa para abrir el archivo adjunto en forma manual, en vez de presionar dos
veces sobre el archivo o el programa de correo electrnico lo abra automticamente.
Considera los posibles riesgos antes de insertar medios extrables, como
CD, DVD y pen-drive USB en tu computadora. Primero, verifica que tu programa
antivirus tiene las ltimas actualizaciones y que su escaneo se ejecuta. Tambin, es
buena idea deshabilitar la opcin 'Reproduccin Automtica' en tu sistema operativo
para evitar que los virus infecten tu computadora. Con el Windows XP, esto se hace
dirigindote a Mi PC, presionando el botn derecho del ratn sobre tu unidad
extrables, seleccionando Propiedades y presionar sobre la pestaa Reproduccin
Automtica. Para cada tipo de contenido, selecciona las opciones, a) No realizar
ninguna accin o b) Pregntame siempre que elija una accin, luego presiona
Aceptar.
Ayuda a evitar algunas infecciones virales migrando a un Software Libre y de
Cdigo Abierto (FOSS), a menudo ms seguro, y a los cuales los creadores de virus
son menos propensos a atacar.
26
1.8.3 Software Espa (Spyware)

El software espa (spyware) es una clase de software que rastrea el trabajo
que haces, tanto en tu computadora como en la Internet, y enva dicha informacin a
alguien que no debera tener acceso a ella. Estos programas registran, entre otras
cosas, las palabras que escribes en tu teclado, los movimientos de tu ratn, las
pginas que visitas y los programas que ejecutas. Como resultado, penetra la
seguridad de tu computadora y revela informacin confidencial sobre ti, tus
actividades y tus contactos.
Las computadoras se infectan con software espa en la misma forma en la
que las personas contraen virus, por tanto muchas de las sugerencias realizadas
anteriormente son tambin tiles para defendernos de esta clase de software
malicioso. Debido a que las pginas web maliciosas son la mayor fuente de
infecciones de software espa, debes prestar mayor atencin a los sitios web que
visitas y asegurarte que las opciones de tu navegador sean seguras.
1.8.4 Software contra Software espa (spyware)

Puedes utilizar Spybot, que hace un buen trabajo identificando y eliminando
ciertos tipos de software malicioso que los programas antivirus ignoran. Tambin, es
importante que actualices las definiciones de software malicioso del Spybot y que
ejecutes escaneados regulares. Los programas antivirus y anti-spyware que estn a
la venta son Norton Antivirus, Norton 360, McAfee AntiVirus, Computer Associates
Antivirus y AVG Internet Security, entre otros. Los programas antivirus gratuitos son
AVG Free Edition, Avast! Antivirus Free y Avira Antivir Free, entre otros. Los
programas anti-spyware gratuitos son Spybot Search and Destroy, Lavasoft AdAware y Malwarebytes Anti-Malware.
1.8.5 Evitar infeccin de software espa

Mantente alerta cuando navegues en sitios web. Cudate de las ventanas del
navegador que aparecen automticamente, y lelas con cuidado en vez de
presionar simplemente Si o Aceptar. En caso de duda, cierra las 'ventanas
emergentes' presionando X en la esquina superior derecha, en vez de presionar
sobre Cancelar. Esto ayuda a evitar que las pginas web te engaen instalando
software malicioso en tu computadora.
27
Mejora la seguridad de tu navegador Web evitando que ejecute

automticamente programas peligrosos que a veces estn contenidos dentro de las
pginas web que visitas. Si utilizas Mozilla Firefox, puedes instalar el complemento
NoScript, como se describe en la seccin 4 de la Gua del Firefox.
NO acepte ni ejecute programas de un sitio web desconocido.
1.9 Cortafuegos (Firewall)

Un cortafuegos es el primer programa que encuentran los datos entrantes de
Internet. Tambin, es el ltimo programa que maneja la informacin saliente. Como
guardia de seguridad que decide quin ingresa y quin sale, un cortafuegos
(firewall) recibe, inspecciona y toma decisiones respecto a la entrada y salida de
todos los datos pasan por l. Es indispensable defenderse de conexiones no
confiables de Internet y de redes locales, las cuales pueden proporcionar a los
piratas informticos y a los virus una ruta libre a tu computadora. El vigilar las
conexiones de salida que se originan en tu computadora no es menos importante.
Un buen cortafuegos se configura para determinar permisos de acceso a
cada programa en tu computadora. Cuando un programa intenta contactarse con el
exterior, tu cortafuegos bloquea el intento y te enva una advertencia, a menos que
reconozca el programa y verifique que tiene autorizacin para que haga ese tipo de
conexin. Previniendo que el software malicioso existente disperse virus o invite a
los piratas informticos a ingresar a tu computadora. En este sentido, un
cortafuegos funciona como un sistema de alerta temprana que ayuda a reconocer
cuando la seguridad de tu computadora esta amenazada.
1.9.1 Software Cortafuegos

Las ltimas versiones del Microsoft Windows incluyen un cortafuegos
(firewall) incorporado, que se activa automticamente. Este cortafuego es limitado
ya que no examina las conexiones de salida. Sin embargo, existe un excelente
programa de software gratuito (freeware) llamado Comodo Firewall, que realiza el
trabajo de mantener segura tu computadora. PC Tools Firewall Plus es un potente
cortafuegos personal para Windows que protege su equipo evitando que los
usuarios no autorizados accedan a tu sistema a travs de Internet o de otra red.
28
El seguimiento que hace Firewall Plus de las aplicaciones con conexin a la

red impide que los troyanos, backdoors, capturadores de teclado y que otros
programas malignos daen tu equipo y roben tus datos privados. ZoneAlarm
Firewall Free es un excelente Cortafuegos gratis para evitar la accin de los hackers
en nuestro computador cuando estamos conectados a la red. Imprescindible si
tienes una direccin fija (Cable, ADSL, etc). Comodo Personal Firewall asegura tu
sistema contra ataques de virus, troyanos, ataques de hackers o cualquier otro tipo
de software malintencionado que haya podido entrar en tu PC.
1.9.2 Evitar conexiones no confiables a red

Slo instala programas esenciales para tu trabajo en tu computadora y
asegrate de obtenerlos de fuentes confiables. Quita el software que no
utilices.
Desconecta tu computadora de Internet cuando no la ests utilizando y
desconctala durante la noche.
No compartas tus contraseas.
Deshabilita cualquiera de los 'servicios de Windows' que no ests
utilizando.
Asegrate que las computadoras de la red de tu oficina tengan instaladas
un cortafuegos.
Si no tienes uno, instala un cortafuegos para proteger la totalidad de la
red local en tu oficina. Muchas de las pasarelas (gateways) comerciales
de banda ancha incluyen un cortafuegos fcil de utilizar, y el ejecutarlo
mejora de manera importante la seguridad de tu red. Si no ests seguro
como empezar con esto, solicita asistencia a la persona o empresa que
configur tu red informtica.
1.10 Mantener actualizado tu software

Los programas de computadora son largos y complejos. Es inevitable que
algunos de los programas que utilizas regularmente contengan errores no
descubiertos, y es probable que algunos de stos puedan comprometer la seguridad
29
de tu computadora. Los desarrolladores de software continan encontrando estos

errores, y publican actualizaciones para arreglarlos.
Por lo tanto es esencial que actualices frecuentemente todos los programas
en tu computadora, incluyendo el sistema operativo. Si Windows no se actualiza
automticamente, lo puedes configurar haciendo clic en el men de Inicio,
seleccionando Programas y haciendo clic en Windows Update. Esto abre el Internet
Explorer, y te conduce a la pgina de Microsoft Update donde puedes habilitar la
opcin de Actualizaciones Automticas.
Mantenerse actualizado con software libre y herramientas de software libre y
de cdigo abierto (FOSS).
El software propietario a menudo requiere probar que fue adquirido
legalmente antes de instalar actualizaciones. Si ests utilizando una copia pirata de
Microsoft Windows, puede no ser capaz de actualizarse automticamente, lo que te
dejara a ti y a tu informacin extremadamente vulnerables. Al no tener una licencia
vlida, te pones a ti y a otros en riesgo. El confiar en software ilegal tambin
representa riesgos no tcnicos. Las autoridades en un creciente nmero de pases
han empezado a verificar si las organizaciones poseen una licencia vlida por cada
software que utilizan. La polica ha confiscado computadoras y cerrado
organizaciones basados en la 'piratera de software.' Esta justificacin puede
convertirse fcilmente en un abuso en pases donde las autoridades tienen razones
polticas para interferir en el trabajo de alguna organizacin determinada.
Te recomendamos instalar Software Libre y de Cdigo Abierto (FOSS) que
sean alternativas a cualquier software propietario que utilizas actualmente,
especialmente a aquellos programas que no estn licenciados. El software libre y
las herramientas de Software Libre y de Cdigo Abierto (FOSS) son a menudo
escritos por voluntarios y organizaciones sin fines de lucro que los publican, e
incluso los actualizan gratuitamente. Las herramientas de Software Libre y Cdigo
Abierto (FOSS), en particular, son considerados ms seguros que aquellos software
propietarios, debido a que son desarrollados de manera transparente, pues permiten
que su cdigo fuente sea examinado por un grupo diverso de expertos, cualquiera
de los cuales puede identificar problemas y aportar soluciones.
Muchas aplicaciones de Software Libre y de Cdigo Abierto (FOSS) se ven y
funcionan de manera idntica al software propietario al que pretenden reemplazar.
30
Al mismo tiempo, puedes utilizar estos programas junto con el software propietario,
incluyendo el sistema operativo Windows, sin ningn problema. Incluso si tus
colegas continan utilizando la versin comercial de un tipo particular de programa,
t puedes intercambiar archivos y compartir informacin con ellos de manera fcil.
En particular, deberas considerar reemplazar el Internet Explorer, Outlook o Outlook
Express y Microsoft Office con Firefox, Thunderbird y LibreOffice, respectivamente.
De hecho, podras incluso dejar completamente de lado el sistema operativo
Microsoft Windows, e intentar utilizar uno ms seguro y alternativo de Software Libre
y de Cdigo Abierto (FOSS) llamado GNU/Linux. La mejor manera de saber si ests
listo/a para hacer el cambio es simplemente intentndolo. Puedes descargar una
versin LiveCD de Ubuntu Linux, grabarla en un CD o DVD, ponerla en tu
computadora y reiniciarla. Cuando haya terminado de cargar, tu computadora estar
funcionando con GNU/Linux, y podrs decidir que hacer. No te preocupes, nada de
esto es permanente. Cuando hayas concluido, simplemente apaga tu computadora
y retira el Ubuntu LiveCD. La prxima vez que la enciendas, estars de vuelta en
Windows, y todas tus aplicaciones, configuraciones y datos se encontrarn de la
misma forma en la que los dejaste. Adems de las ventajas de seguridad general
del software de cdigo abierto, Ubuntu tiene una herramienta de actualizacin libre y
de fcil uso que evitar que tu sistema operativo y mucho de tu software queden
desactualizados e inseguros.
31
2. Proteger tu informacin de amenazas fsicas

No importa cuanto esfuerzo hayas puesto en construir una barrera digital
alrededor de tu computadora, an puedes despertar una maana y hallar que ella, o
una copia de la informacin se ha perdido, ha sido robada, o daada por cualquier
serie de accidentes desafortunados o actos maliciosos. Cualquier cosa desde una
sobretensin transitoria como a una ventana abierta, fumar o una taza de caf
derramada, los ratones o las hormigas, chiripas y cucarachas puede conducirte a
una situacin en la cual todos tus datos se pierdan y no seas capaz de utilizar tu
computadora. Una evaluacin del riesgo, un consistente esfuerzo para mantener
una computadora sin problemas y una poltica de seguridad evitan desastres.
2.1 Evala tus riesgos

Muchas organizaciones subestiman la importancia de mantener seguras sus
oficinas y su equipamiento fsico. Como resultado de ello, a menudo carecen de una
clara poltica que describa que medidas deben tomarse para proteger las
computadoras y los dispositivos de almacenamiento de respaldos de robos,
condiciones climticas extremas, accidentes, y otras amenazas fsicas.
La importancia de dichas polticas parece obvia, pero el formularlas
adecuadamente es ms complicado de lo que parece. Muchas organizaciones
tienen buenas cerraduras en las puertas de sus oficinas e incluso tienen sus
ventanas aseguradas pero no prestan atencin al nmero de llaves de esas
puertas y quienes las tienen, su informacin importante es vulnerable.
Cuando evales los riesgos y las vulnerabilidades que t y tu
organizacin afrontan, calcula varios niveles diferentes en los que tus
datos pueden estar amenazados.
Considera los canales de comunicacin que usas y cmo lo haces.
incluye cartas fsicas, faxes, telfonos fijos, telfonos mviles, correos
electrnicos y mensajes a travs de Skype.
Considera cmo almacenas informacin importante. Los discos duros de
las computadoras, los correos electrnicos y los servidores web, los pendrive USB, los discos duros externos con conexin USB, los CD y DVD,
32
los celulares, el papel impreso y notas manuscritas.

Considera donde estn ubicados fsicamente estos artculos. Pueden
estar en la oficina, en la casa, en un bote de basura afuera o, en forma
creciente, 'en algn lugar de la Internet.' En este ltimo caso, sera todo
un reto determinar la ubicacin fsica actual de una pieza particular de
informacin.
Ten en cuenta que la misma pieza de informacin podra ser vulnerable en
distintos niveles. De la misma manera en como confas en un software antivirus para
proteger los contenidos de un pen-drive USB de software malicioso (malware), as
debes confiar en un plan de seguridad fsica detallado para proteger la informacin
de robo, perdida o destruccin. Algunas prcticas de seguridad, como una buena
poltica de mantener respaldos en un banco, son tiles contra amenazas digitales y
fsicas, otras son ms especficas.
Cuando decides llevar tu pen-drive USB en el bolsillo o en una bolsa plstica
al fondo de tu maletn, tomas una decisin de seguridad fsica, an cuando la
informacin que tratas de proteger sea digital. Como es normal, la poltica correcta
depende en gran parte de la situacin. Ests caminando a travs de un pueblo o a
travs de una frontera? Alguien est cargando tu bolso o maletn? Est lloviendo?
Preguntas a tener en cuenta cuando tomes una decisin como esta.
2.2 Protege tu informacin de intrusos fsicos

Los individuos maliciosos que buscan tener acceso a tu informacin
representan una clase importante de amenaza fsica. Sera un error asumir que sta
es la nica amenaza fsica a la seguridad de tu informacin, pero sera an peor el
ignorarla. Existen varios pasos que puedes tomar para ayudar a reducir el riesgo de
intrusin fsica. Las categoras y sugerencias que se presentan a continuacin,
muchas de las cuales pueden funcionar tanto para tu domicilio como para tu oficina,
representan una base sobre la cual puedes desarrollar otras de acuerdo a tu
particular situacin de seguridad fsica.
2.2.1 Alrededor de la Oficina

Conoce a tus vecinos. Dependiendo del clima de seguridad en tu pas y
33
en tu vecindario, una de dos cosas puede ser posibles. Ya sea que,

puedas volverlos aliados que te ayudarn a cuidar tu oficina, o personas
que debes aadir a tu lista de amenazas potenciales y de las cuales
debes ocuparte en tu plan de seguridad.
Revisa como proteges tus puertas, ventanas y otros puntos de entrada a
tu oficina.
Considera instalar una cmara de vigilancia o una alarma con sensor de
movimiento.
Trata de crear un rea de recepcin, donde los visitantes sean atendidos
antes de ingresar a la oficina, y una sala de reuniones separada de los
espacios de trabajo.
2.2.2 En la Oficina
Protege los cables de red hacindolos pasar por dentro de la oficina.
Mantn bajo clave los dispositivos de red como servidores, enrutadores,
interruptores, concentradores, y mdem en habitaciones o gabinetes
seguros. Un intruso con acceso fsico a dicho equipo puede instalar
software malicioso capaz de robar datos en trnsito o atacar otras
computadoras en la red incluso despus de irse. En ciertas
circunstancias es preferible esconder los servidores, computadoras y otro
equipo en ticos, en cielo-rasos falsos, o incluso con un vecino, y
utilizarlos a travs de una conexin inalmbrica.
Si tienes una red WiFi, asegura los punto de acceso de modo que los
intrusos no puedan unirse a tu red o vigilar tu trfico. Si utilizas una red
inalmbrica insegura, cualquiera con una computadora porttil en tu
vecindario se convierte en un intruso potencial. Es una definicin inusual
de riesgo 'fsico,' pero ayuda el considerar que un individuo malicioso que
pueda vigilar tu red inalmbrica tiene el mismo acceso que uno que
pueda ingresar furtivamente en tu oficina y conectar un cable Ethernet.
Los pasos necesarios para asegurar una red inalmbrica varan,
dependiendo de tu punto de acceso, tu hardware y software.
34
2.2.3 En tu rea de trabajo

Ubica con cuidado la pantalla de tu computadora, tanto en tu escritorio como
fuera de la oficina, con el fin de evitar que otros lean lo que ella muestra. En la
oficina, considera la ubicacin de ventanas, puertas abiertas y el rea de espera de
los invitados, si es que cuentas con una.
La mayora de las torres de las computadoras de escritorio tiene una ranura
donde puedes colocar un candado que impedir a alguien sin una clave tener
acceso a su interior. Si tienes estas torres en la oficina, coloca candados de modo
que los intrusos no puedan alterar el hardware interno. Esta caracterstica debe ser
considerada al momento de comprar nuevas computadoras.
Utiliza un cable de seguridad de cierre, cuando sea posible, para evitar que
intrusos roben las computadoras. Es importante para computadoras porttiles y
tabletas o telfonos que pueden ser escondidos en una bolsa o bajo un abrigo.
2.3 Software y configuraciones relacionadas a la seguridad fsica

Asegrate que cuando reinicies tu computadora, solicite una contrasea
antes de ejecutar un software y acceder a archivos. Si no lo hace, habilita esta
opcin en Windows haciendo clic en el Men de Inicio, Configuracin, seleccionar el
Panel de Control, y doble clic en Cuentas de Usuario. En la pantalla de Cuentas de
Usuario, selecciona tu cuenta y haz clic en Crear una Contrasea. Elige una
contrasea segura como se aborda en el captulo 3.
Existen opciones en el BIOS de tu computadora para la seguridad fsica.
Primero, configura tu computadora de modo que no arranque desde un dispositivo
USB, CD-ROM o DVD. Segundo, fija una contrasea en el BIOS, de modo que un
intruso no pueda cambiar la configuracin previa. Nuevamente, asegrate de elegir
una contrasea segura.
Si confas en una base de datos de contraseas seguras, ver captulo 3, para
almacenar tus contraseas de Windows o del BIOS de una computadora en
particular, no guardes una nica copia de la base de datos en dicha computadora.
Adquiere el hbito de cerrar tu cuenta cada vez que te alejes de tu
computadora. En Windows, puedes hacer esto manteniendo presionada la tecla con
el logo de Windows y presionando la tecla L. Ello slo funcionar si has creado una
35
contrasea para tu cuenta, como se describi anteriormente.

Cifra la informacin importante en tus computadoras y dispositivos de
almacenamiento en tu oficina. Ver captulo 4.
2.4 Dispositivos Porttiles

Mantn tu computadora porttil, tu telfono mvil y otros dispositivos
porttiles que contengan informacin importante todo el tiempo contigo,
especialmente si viajas o te alojas en un hotel. El viajar con un cable de seguridad
para computadora porttil es una buena idea, aunque a veces es difcil encontrar un
objeto apropiado al cual fijarlo. Recuerda que las horas de las comidas son
aprovechadas por los ladrones, que han aprendido a revisar habitaciones de hotel
en busca de computadoras porttiles durante las horas del da cuando estn sin
vigilancia, o si tienes la costumbre de colocar tu laptop o celular encima de la mesa
o una silla, hay ladrones que son campeones olmpicos corriendo con tus aparatos.
Si tienes una computadora porttil o dispositivo mvil, evita ponerlos a vista
de todos. No hay necesidad de mostrar a los ladrones que llevas valioso hardware o
mostrar a los individuos que desean acceder a tus datos que tu mochila contiene un
disco duro lleno de informacin. Evita usar tus dispositivos porttiles en reas
pblicas, y considera llevar tu computadora porttil en algo que no se vea como una
bolsa para computadoras porttiles.
2.5 Mantener un ambiente sano para el hardware de tu

computadora
Como muchos dispositivos electrnicos, las computadoras son importantes.
No se llevan bien con suministros elctricos inestables, temperaturas extremas,
polvo, alto grado de humedad o esfuerzo mecnico. Existen muchas cosas que
hacer para proteger a tu computadora y equipo de red de dichas amenazas:
Los problemas elctricos como sobrecargas de energa, apagones y bajas
de tensin causan dao fsico a una computadora. Estas irregularidades pueden
'arruinar' tu disco duro, daar la informacin que contiene, o daar fsicamente los
componentes elctricos en tu computadora.
Si puedes, debes instalar dispositivos de Corriente Elctrica Ininterrumpida
36
(UPS) a las computadoras de tu oficina. Un UPS estabiliza el suministro elctrico y

provee energa temporal en caso de apagn.
Incluso puedes proporcionar filtros de energa o protectores contra
sobretensin, regletas o protectores de corriente, reguladores de corriente
cualquiera de los cuales ayudar a proteger tus equipos de sobrecargas de energa.
Prueba tu red elctrica antes de conectar equipos importantes a ella. Usa
enchufes que tengan tres ranuras, una de ellas 'a tierra.' Y, si es posible, toma un
da o dos para ver cmo se comporta el sistema elctrico en una nueva oficina con
lmparas y ventiladores, antes de poner tus computadoras en riesgo.
Para protegerse contra los accidentes en general, evita colocar hardware en
pasillos, reas de recepcin, u otras ubicaciones de fcil acceso. Los UPS, filtros de
energa, protectores contra sobretensin, regletas y cables de extensin
particularmente aquellos conectados a los servidores y al equipo en red deben
estar ubicados donde no puedan ser apagados por accidente.
Si tienes acceso a cables de computadora, regletas y extensiones de alta
calidad, debes comprar suficientes para servir a la oficina y contar con algunos
extras. Las regletas que se desprenden de los enchufes de las paredes y producen
chispas pueden ser muy perjudiciales para la seguridad fsica de cualquier
computadora que est conectada a este. Ello conduce a que usuarios frustrados
aseguren sus cables sueltos a las regletas utilizando cinta adhesiva, lo cual crea un
obvio peligro de incendio.
Si mantienes alguna de tus computadoras dentro de un gabinete, verifica que
tengan ventilacin adecuada, porque se pueden sobrecalentar.
El equipo de computacin no debe ser ubicado cerca de radiadores, rejillas
de la calefaccin, aire acondicionado u otros mecanismos con conductos.
2.6 Crear tu poltica de seguridad fsica

Una vez evaluadas las amenazas y las vulnerabilidades que t y tu
organizacin afrontan, considera los pasos a tomar para mejorar en seguridad fsica.
Crea una poltica de seguridad detallada poniendo por escrito los pasos. El
documento resultante sirve como una gua general para ti, tus colegas y cualquier
persona nueva en tu organizacin. Este documento debe proporcionar una lista de
37
verificacin de acciones a ser tomadas en caso de una emergencia de seguridad

fsica. Los involucrados deben tomarse el tiempo necesario para leerlo,
implementarlo y cumplir con estas normas de seguridad. Tambin, deben ser
alentados a preguntar y proponer sugerencias de cmo mejorar el documento.
Tu poltica de seguridad
dependiendo de las circunstancias:
fsica
puede
contener
varias
secciones,
Forma de ingreso a la oficina segn los sistemas de alarma, nmero de

llaves existen y quienes las tienen, que hacer cuando se admiten
invitados en la oficina, quienes tienen el contrato de limpieza y otros
asuntos pertinentes
Lugares de la oficina restringidos a visitantes autorizados.
Un inventario de tu equipo, incluyendo los nmeros de serie y las
descripciones fsicas.
Disposicin segura de papeles que contengan informacin importante.
Procedimientos de emergencia relacionados a:
A quin notificar en caso que informacin sea revelada o extraviada.
A quin contactar en caso de incendio, inundacin, u otro desastre
natural.
Cmo ejecutar ciertas reparaciones de emergencia.
Cmo contactar a las compaas u organizaciones que proporcionan
servicios como energa elctrica, agua y acceso a Internet.
Cmo recuperar informacin de tu sistema de respaldo externo. Ver
captulo 5.
Tu poltica de seguridad debe ser revisada y modificada peridicamente para
reflejar cualquier cambio en ella desde la ltima revisin. Y no olvides respaldar tu
documento de poltica de seguridad junto con el resto de tus datos importantes.
38
3. Crear y mantener contraseas seguras

Muchos de los servicios informticos que usamos para los negocios
importantes, desde ingresar a nuestras computadoras y enviar correos electrnicos,
transferencias bancarias hasta cifrar y esconder datos, requieren una contrasea.
Estas palabras secretas, frases o secuencias en autntica confusin proporcionan la
primera, y a veces la nica, barrera entre tu informacin y cualquiera que pudiera
leerla, copiarla, modificarla o destruirla sin permiso. Existen maneras por las cuales
alguien descubre tus contraseas, pero te puedes defender de ellas aplicando
ciertas tcticas para una base de datos de contraseas seguras, como el KeePass3.
Si utilizas Internet necesitas un programa como Keepass Password Safe,
ste se encarga de 'memorizar' tus contraseas, clasificndolas en diversas
categoras y protegindolas de hackers con importantes medidas de seguridad.
Puedes proteger el acceso a Keepass Password Safe con contrasea o bien
utilizar el archivo clave que se crea desde el programa. Si lo creas, para acceder a
tus claves en Keepass Password Safe sern necesarias ambas cosas: tu
contrasea y el archivo clave.
Tabla 3: Tabla de pro y contra de claves informticas seguras

Pros
3
4
Contras
Autotecleado de las contraseas
Personalizacin total de campos e
iconos
Generador de contraseas
completsimo
Caducidad de claves con
calendario
Opciones de gestin de la base de
datos
Sistema de plugins4
Las traducciones no estn

incluidas en el instalador
No se integra con los navegadores
http://keepass-password-safe.softonic.com/
Un Plugin es un programa que puede anexarse a otro para aumentar sus funcionalidades.
39
3.1 Seleccionar y mantener contraseas seguras

Cuando protegues algo, lo cierras con una clave. Las cerraduras de las
casas, automviles y bicicletas tienen llaves fsicas; los archivos protegidos tienen
llaves de cifrado; las tarjetas bancarias tiene nmeros PIN, los celulares tienen PUK
y PIN; y las cuentas de correo electrnico tienen contraseas. Todas estas llaves, en
forma literal y metafrica, tienen una cosa en comn: abren sus cerraduras con la
misma eficacia en manos de otra persona. Puedes instalar cortafuegos avanzados,
cuentas de correo electrnico seguras, y discos cifrados, pero si tu contrasea es
dbil, o si dejas que caiga en las manos equivocadas, ello no te har bien.
3.1.1 Elementos de una contrasea slida

A.- Una contrasea debe ser difcil de adivinar para un programa de
computadora.
Debe ser larga: Cuanto ms larga es la contrasea es menos probable que
sea adivinada por un programa de computadora en un tiempo razonable. Trata de
crear contraseas que incluyan diez o ms caracteres. Algunas personas utilizan
contraseas que contienen ms de una palabra, con o sin espacios, las cuales son
llamadas frases contrasea. Es una buena idea, en la medida que el programa o
servicio que utilices te permita elegir contraseas largas.
Debe ser compleja: Adems de ser extensa, la complejidad de una
contrasea ayuda a evitar que el software automtico de 'descifrado de contraseas'
adivine la correcta combinacin de caracteres. Donde sea posible, siempre incluye
en tu contrasea letras en maysculas, en minsculas, nmeros, y smbolos como
signos de puntuacin.
B.- Una contrasea difcil de descifrar para otros.
Debe ser prctica: Si has escrito, en un papel, tu contrasea debido a que
no puedes recordarla, podras terminar topando una completamente nueva
categora de amenazas que te dejara vulnerable ante cualquiera con una clara vista
de tu escritorio o acceso temporal a tu domicilio, tu billetera, o incluso el bote de
basura fuera de tu oficina. Si no puedes generar una contrasea larga y compleja
pero a la vez fcil de recordar, la seccin Recordar y registrar contraseas seguras
ser de ayuda. Si debes escoger una clave segura, necesitas registrarla en una
40
base de datos de contraseas como KeePass. Los documentos de Microsoft Word,

protegidos por contrasea, no debe ser confiados para este propsito, ya que
pueden ser descifrados en segundos utilizando herramientas que son de libre
acceso en Internet.
No debe ser personal: Tu contrasea no debe estar relacionada a ti de
manera personal. No elijas una palabra o frase como tu nombre, nmero de
seguridad social, nmero de telfono, nombre de tu esposa, novia y/o hijo(a),
nombre de tu mascota, fecha de nacimiento, nmero de cdula o cualquier otra cosa
que una persona podra descubrir haciendo una pequea investigacin sobre ti.
Debe mantenerse secreta: No compartas tu contrasea a menos que sea
necesario. Y, si debes compartirla; primero, cambiala por una contrasea temporal,
la compartes, y luego la cambias cuando la persona la haya utilizado. Una
alternativa para compartir una contrasea es crear una cuenta separada para quien
necesite acceso. El mantener tu contrasea secreta implica poner atencin a quin
podra estar observando cuando la ingresas o la buscas en una base de datos de
contraseas.
Una contrasea debe ser asignada de modo que se minimice el dao si
alguien la descubre.
Hazla nica: Evita usar la misma contrasea para ms de una cuenta. De
otro modo, cualquiera que la descubra tiene acceso a mas informacin tuya. Esto
porque ciertos servicios hacen relativamente simple descifrar tu contrasea. Si
utilizas la misma contrasea para tu cuenta en Windows y para tu cuenta de Gmail,
alguien con acceso fsico a tu computadora puede descifrar la primera y utilizarla
para acceder a la segunda. Tambin, es mala idea el rotar contraseas
intercambindolas entre diferentes cuentas.
Mantenerla siempre nueva: Cambia tu contrasea de manera regular, una
vez cada tres meses. Algunas personas son apegadas a una contrasea en
particular y nunca la cambian. Es mala idea. Cuanto ms tiempo mantienes una
contrasea, mayor oportunidad existe de que otros la descubran. Adems, si alguien
te roba tu contrasea, puede acceder a tu informacin y servicios sin que lo sepas, y
continuar hacindolo hasta que la cambias.
C.- Recordar y registrar contraseas seguras.
41
Examinando las sugerencias dadas, te preguntas cmo alguien sin memoria

fotogrfica puede estar al tanto de contraseas largas, complejas y sin sentido, sin
tener que escribirlas. Adems, el utilizar diferentes contraseas para cada cuenta lo
hace difcil. Existen algunos trucos que te ayudan a crear contraseas que son
fciles de recordar pero difciles de adivinar, incluso para una persona inteligente
utilizando un programa avanzado de 'descifrado de contraseas'. Recordar que
tienes la opcin de registrar tus contraseas utilizando KeePass.
D.- Recordar contraseas seguras
Es importante utilizar diferentes tipos de caracteres5 cuando elijas una
contrasea. Esto se puede realizar de distintas maneras:
Utilizando maysculas y minsculas, como: 'Mi nomBRE NO es SR.
MarSter?'
Intercalando nmeros y letras, como: 'a11 w0Rk 4nD N0 p14Y'
Incorporando ciertos smbolos, como: 'c@t(heR1nthery3'
Utilizando diferentes idiomas, como: 'Let Them Eat 1e gateaU du
ch()colaT'
Estos mtodos ayudan a incrementar la complejidad de una contrasea.
Aunque, esto no hace fcil de recordar una contrasea normal, pero te permiten
elegir una contrasea sin tener que memorizarla por completo. Algunas de las
sustituciones ms comunes (como cero en vez de una 'o' o el smbolo '@' en lugar
de 'a') fueron incorporadas en las herramientas de descifrado de contraseas, pero
an son todava una buena idea. stas, incrementan la cantidad de tiempo que
dichas herramientas requeriran para descubrir la contrasea y, en las situaciones
ms comunes en las que herramientas de esta clase no pueden ser utilizadas,
evitas las afortunadas adivinanzas.
Las contraseas aprovechan las ventajas de cdigos mnemotcnicos
tradicionales, como el uso de acrnimos. Lo que hace que largas frases se vuelvan
en palabras complejas y aleatorias:
'Ser o no ser? Esa es la pregunta' se convierte en 'So-S?ElaP'
5
Los caracteres permitidos no deben ser aquellos que facilitan las inyecciones sql.
42
'Sostenemos como evidentes por s mismas dichas verdades: que todos

los hombres son creados iguales' se convierte en 'Scepsmdv:qthsc=s'
'Ests feliz hoy?' se convierte en 'tas:-)h0y?'
Estos son unos ejemplos para desarrollar tu propio mtodo de cifrar palabras
y frases para hacerlas simultneamente complejas y memorables.
Un poco de esfuerzo en hacer que una contrasea sea compleja es eficaz.
Incrementar la longitud de una contrasea, en pocos caracteres, la hace difcil de
descifrar. La tabla siguiente muestra cuanto tiempo tarda un hacker en descifrar
contraseas parecidas pero cada vez ms complejas. Ver tabla 4.
Tabla 4: Tabla de Tiempo de descifrado

Contrasea
bananas
bananalemonade
BananaLemonade
B4n4n4L3m0n4d3
We Have No Bananas
W3 H4v3 N0 B4n4n45
computadora normal
Menos de 1 da
2 das
3 meses, 14 das
3 siglos, 4 dcadas
19151466 siglos
20210213722742 siglos
computadora rpida
Menos de 1 da
Menos de 1 da
Menos de 1 da
mes, 26 das
3990 siglos
4210461192 siglos
Desde luego, el tiempo que es tarda en descifrar cualquier de las

contraseas mencionadas vara mucho, dependiendo de la naturaleza del ataque, y
los recursos disponibles del atacante. Aunque, nuevos mtodos para descifrar
contraseas son descubiertos diariamente. El ejemplo demuestra como las
contraseas son difciles de descifrar agregando caracteres y utilizar dos palabras o
una frase corta.
Los datos de la tabla estn basadas en clculos de Passfault. ste, es un
sitio web para probar la seguridad de tus contraseas. Estos recursos demuestran la
eficiencia de diferentes tipos de contraseas, sin embargo no debes introducir tus
verdaderas contraseas en estas pginas.
E.- Registrar contraseas de forma segura
Un poco de creatividad te har recordar tus contraseas, la necesidad de
cambiarlas peridicamente significa que pronto se te acaba la creatividad. Como
alternativa, puedes generar contraseas aleatorias y seguras para la mayora de tus
43
cuentas y dedicarte a recordarlas todas. En lugar de ello, puedes registrarlas en

KeePass.
Si utilizas este mtodo, debes crear y recordar una contrasea para el
KeePass, o para la herramienta que elijas. Cuando necesites ingresar una
contrasea para una cuenta especfica, la encuentras con tu contrasea maestra, lo
cual hace fcil seguir las sugerencias anteriores. KeePass es tambin porttil, lo que
significa que puedes colocar tu base de datos en un pen-drive USB para buscar
contraseas cuando ests lejos de tu computadora principal.
Aunque es la mejor opcin para cualquiera que tenga que mantener un gran
nmero de cuentas, existen algunos inconvenientes para este mtodo. Primero, si
pierdes o borras tu nica copia de tu base de datos de contraseas, no tendrs
acceso a tus cuentas de las cuales esta tena la contrasea. Es importante que
hagas un respaldo de tu base de datos KeePass. Revisa el captulo 5. El hecho que
tu base de datos est cifrada significa que no tienes que entrar en pnico si pierdes
tu pen-drive USB o una unidad de respaldo que contenga una copia de este.
El segundo inconveniente es importante. Si olvidas tu contrasea maestra de
KeePass, no existe un modo de recuperacin o recuperar los contenidos de tu base
de datos. Por tanto, asegrate de elegir una contrasea maestra que sea tanto
segura como recordable!
44
4. Proteger los archivos en tu computadora

El acceso no autorizado a la informacin en tu computadora o dispositivo de
almacenamiento porttil puede llevarse a cabo de manera remota, si y slo si, el
'intruso' es capaz de leer o modificar tus datos a travs de la Internet, o fsicamente,
si se conecta con tu hardware. Puedes protegerte de cualquiera de estas amenazas
mejorando la seguridad fsica y de la red de tu datos. Ver captulo 1 y captulo 2.
Es conveniente tener varios niveles de defensa, razn por la cual debes
proteger tus archivos. De esta manera, tu informacin se mantiene a salvo incluso si
tus polticas en seguridad resultan ser inadecuadas.
Existen dos enfoques generales para dar seguridad a tus datos en esta
forma: a) puedes cifrar tus archivos, hacindolos ilegibles a cualquiera que no sea
t, y b) esconderlos confiando en que un intruso ser incapaz de encontrar tu
informacin.
Existen herramientas para estos enfoques, como la aplicacin de Software
Libre y de Cdigo Abierto (FOSS) llamada TrueCrypt6, que cifra tus archivos.
Truecrypt7, si bien dispone de variados algoritmos, utiliza por defecto el
algoritmo AES (1998), el cual se estandariz en 2002. Fue recomendado por la NSA
por su robustez para proteger los datos de la administracin de Estados Unidos.
Al da de hoy no se conoce (al menos la gente comn) alguna vulnerabilidad
sobre la versin de 256bits, por lo que es imposible de romper, de ah que el FBI
emplease un ataque por diccionario para probar muchas claves posibles. Contra
esto, si tienes una buena clave o un buen keyfile, te puede llevar aos o siglos dar
con la clave correcta.
Segn este autor, el mrito es del algoritmo y de la clave robusta que emple
para cifrar, no de Truecrypt, que slo hace uso de ese algoritmo, entre otros.
De Truecrypt destacan varios puntos: tiene varios algoritmos de cifrado,
posibilidad de cifrar en cascada (primero AES, luego Serpent, etc), volmenes
ocultos, cifrado de disco completo, discos cifrados portables, keyfiles... y un buen
6
7
Alternativas libres a Truecrypt son: encfs, ecryptfs, dm-crypt.

Es un programa de gratuito y de cdigo abierto
45
uso de esos algoritmos. Es un buen programa, pero insisto en que el mrito es del
algoritmo y de la clave ms que del programa.
TrueCrypt te permite dos contraseas: una muestras datos ficticios (que
pueden parecer tan privados como los otros) y la otra, los datos que realmente te
interesa esconder. Las distribuciones Linux tienen sistemas de cifrado potente
equivalentes a TrueCrypt que son ampliamente utilizadas en todo tipo de entornos
corporativos para proteccin de datos.
LUKS (de Linux Unified Key Setup) es una especificacin de cifrado de disco
destinado para Linux. Mientras la mayora del software de cifrado de discos
implementan diferentes e incompatibles formatos no documentados, LUKS
especifica un formato estndar en disco, independiente de la plataforma, para usar
en varias herramientas. Esto facilita la compatibilidad y la interoperabilidad entre los
diferentes programas y garantiza que todos implementen una gestin de
contraseas seguras, en un nico lugar y documentada.
LUKS se basa en una versin mejorada de cryptsetup, utilizando dm-crypt
como la interfaz de cifrado de disco. En Microsoft Windows, los discos cifrados con
LUKS pueden ser utilizados con FreeOTFE. Programa diseado para ajustarse a la
clave de configuracin TKS1 de sistema seguro.
En la pgina oficial de Truecrypt se recomienda... migrar a Bitlocker! (el
cifrado nativo de Windows 7/8 que no es Open Source ni permite negacin
plausible). El motivo que se argumenta es que estando fuera de soporte Windows
XP, su software ya no tiene sentido, y puede tener vulnerabilidades. Adems, han
liberado una nueva versin, que permite descifrar, pero no cifrar.
Reemplazos a TrueCrypt en Windows
DiskCryptor parece ser el reemplazo ideal para TrueCrypt si evaluamos
detalles especficos como su interfaz, el proceso de cifrado, las opciones de
proteccin disponibles y el soporte para cifrar particiones de sistema. Es espartano,
sin embargo, nadie espera lujos estticos en un software de esta clase.
AES Crypt simplifica el proceso de cifrado. Esto significa que no trabaja con
particiones enteras. Si lo que necesitas es cifrar archivos individuales, has click con
el botn secundario sobre el archivo, y asigna una contrasea. El resto se reduce a
borrar el original en forma segura, y distribuir o respaldar los archivos con extensin
46
AES.
Equivalente a AES Crypt, Cloudfogger reduce la complejidad de cifrar
archivos. Como lo indica su nombre, el software est orientado a visitantes que
hacen respaldos peridicos en la nube, al estilo de Dropbox.
Tanto DiskCryptor como AES Crypt son software libre 8, mientras que
Cloudfogger es freeware9. El orden en el que presento a estos aplicaciones no es
necesariamente el orden de recomendacin. La transicin ser rpida para aquellos
que utilicen DiskCryptor, y pese a que las otras dos opciones son mas sencillas (lo
que se traduce en un ahorro de tiempo importante) eso no quiere decir que resulten
menos seguras.
4.1 Cifrar tu informacin

El cifrar tu informacin es mantenerla encerrada en una caja fuerte. Slo los
que tengan la clave o combinacin de la cerradura acceden a ella. La analoga es
apropiada para el TrueCrypt y herramientas similares, las cuales crean
contenedores llamados 'volmenes cifrados' en vez de simplemente proteger un
archivo a la vez. Puedes poner muchos archivos dentro de un volumen cifrado, pero
estas herramientas no protegern los archivos almacenados en otro lugar en tu
computadora o en tu pen-drive USB.
Adicionalmente, TrueCrypt tiene varias caractersticas importantes para
disear tu estrategia de seguridad informtica. Da la posibilidad de encriptar todo el
disco de tu computadora incluyendo todos tus archivos, todos tus archivos
temporales creados durante tu trabajo, todos los programas que hayas instalado y
todos los archivos del sistema operativo. TrueCrypt proporciona respaldo para llevar
volmenes cifrados en dispositivos porttiles de almacenamiento. Y provee la opcin
de 'denegacin' descrita en la seccin Ocultar tu informacin importante.
4.1.1 Consejos para utilizar el cifrado de archivos de manera segura

Almacenar datos confidenciales puede ser un riesgo para ti y para las
8
9
El trmino Open Source o cdigo abierto se refiere al software que permite el acceso a su cdigo
fuente, lo que permite a otros usuarios modificar el software a su medida o aportar los fallos a su
desarrollador para que los solucione.
El trmino Freeware quiere decir software gratis, pero ojo que no es lo mismo que libre.
47
personas con quienes trabajas. El cifrado reduce el riesgo pero no lo elimina. El

primer paso para proteger informacin es el reducir cuanto de ella mantienes a tu
alrededor. A menos que tengas una buena razn para almacenar un archivo en
particular, o una categora particular de informacin dentro de un archivo, t
simplemente debes borrarla (ver captulo 6) El segundo paso es utilizar una buena
herramienta de cifrado de archivos, como el TrueCrypt.
Regresando a la analoga de la caja fuerte cerrada, hay algunas cosas que
debes tener en cuenta cuando utilices TrueCrypt u otras herramientas similares. No
importa cun robusta sea la caja fuerte, no te har mucho bien si dejas la puerta
abierta. Cuando tu volumen TrueCrypt est 'montado' (el momento en que puedes
acceder a su contenido), tus datos pueden ser vulnerables, de modo que debe
mantenerse cerrado excepto cuando ests, ciertamente, leyendo o modificando los
archivos dentro de este.
Existen situaciones para no dejar montado tu volumen cifrado:
Desconctalo cuando te alejes de tu computadora por cualquier lapso de
tiempo. Si dejas tu computadora funcionando toda la noche, debes
asegurarte de no dejar tus archivos accesibles a intrusos fsicos o
remotos mientras ests ausente.
Desconctalo antes de poner tu computadora a dormir. Esto se aplica a
las opciones de 'suspendido' e 'hibernacin', las cuales son usadas con
las computadoras porttiles pero que tambin estan presentes en las
computadoras de escritorio.
Desconctalo antes de que alguien maneje tu computadora. Cuando
pases tu computadora porttil a travs de un control de seguridad o
frontera, es importante que desconectes los volmenes cifrados y que
apagues completamente tu computadora.
Desconctalo antes de insertar un pen-drive USB no confiable u otro
dispositivo de almacenamiento externo, incluyendo los que pertenezcan
a tus amigos y colegas.
Si mantienes un volumen cifrado en un pen-drive USB o memoria SD,
recuerda que el remover el dispositivo no lo desconecta inmediatamente. Si
necesitas mantener seguros tus archivos cuando ests apurado tienes que
48
desmontar el volumen de forma apropiada, desconectar la unidad externa o la

memoria extrable, y luego retirar el dispositivo. Practica hasta hallar la forma ms
rpida de hacer estas cosas.
Si decides mantener tu volumen TrueCrypt en un pen-drive USB o SD,
mantenen una copia del programa TrueCrypt en ella. Esto da acceso a tus datos en
otras computadoras. Sin embargo, las reglas normales todava se aplican: si no
confas en que la mquina est libre de software malicioso, no deberas ingresar tus
contraseas o acceder a datos importantes.
4.1.2 Ocultar tu informacin importante

Un problema al mantener una caja fuerte en tu casa u oficina, ni que decir de
portarla, es que tiende a ser obvio. Muchas personas tienen preocupaciones
razonables sobre autoincriminarse por medio del uso del cifrado. Slo porque las
razones legtimas para cifrar datos exceden en nmero aquellas ilegtimas no hace
esta amenaza menos real. Existen dos razones fundamentales por las que podras
evitar utilizar una herramienta como el TrueCrypt: el riesgo de autoincriminacin y el
riesgo de identificar claramente la ubicacin de tu informacin ms importante.
Considerar el riesgo de autoincriminacin
El cifrado es ilegal en algunos pases, lo que significa que descargar, instalar
o utilizar software de este tipo podra ser un crimen en si. Y, si la polica, el ejrcito o
los servicios de inteligencia se hallan entre los grupos de quienes ests buscando
proteger tu informacin, entonces el violar estas leyes puede proporcionarles un
pretexto ideal para que tus actividades sean investigadas o tu organizacin
perseguida. En realidad, amenazas como esta no tienen nada que ver con la
legalidad de las herramientas en cuestin. En cualquier momento, el hecho de estar
asociado con software de cifrado es suficiente para exponerte a acusaciones de
actividad criminal o espionajesin importar lo que realmente est dentro de los
volmenes cifrados-- por tanto debes pensar respecto a si dichas herramientas son
apropiadas para tu situacin.
Si ese es el caso, t tienes unas cuantas opciones:
Evitar el utilizar software de seguridad de datos, lo que requerir que
almacenes informacin no confidencial o inventes un sistema de palabras
49
cdigos para proteger elementos clave de tus archivos.

Confiar en una tcnica llamada estenografa 10 para esconder tu
informacin, en vez de cifrarla. Existen herramientas que te ayudan con
ello, pero su su requiere una preparacin cuidadosa, y todava corres el
riesgo de incriminarte a los ojos de cualquiera que descubra las
herramientas que ests utilizando.
Intentar almacenar tu informacin importante en una cuenta de correo
electrnico con interfaz web segura, ello requiere de una conexin de red
confiable y un buen nivel de conocimiento de computadoras y de
servicios de Internet. Esta tcnica asume que el cifrado de red no es
incriminatorio como el cifrado de archivos y que no puedes evitar copiar
datos en tu disco duro y dejarla ah.
Puedes mantener la informacin fuera de tu computadora almacenndola
en un pen-drive USB o en un disco duro porttil. Sin embargo, tales
dispositivos son ms vulnerables que las computadoras a la perdida y
confiscacin, de modo que estar portando informacin importante y no
cifrada en uno de estos tipos de dispositivos es una mala idea.
De ser necesario, puedes emplear varias de estas tcticas. Sin embargo, en
circunstancias en las que ests preocupado sobre la autoincriminacin, lo seguro
ser utilizar TrueCrypt, mientras tratas de camuflar tu volumen cifrado de la mejor
manera posible.
Si deseas que tu volumen cifrado sea menos llamativo, puedes renombrarlo
para que se parezca a un tipo diferente de archivo. Utiliza la extensin '.iso', para
camuflarlo como una imagen de CD, es una opcin que funciona bien para
volmenes de alrededor de 700 MB. Otras extensiones son ms realistas para
pequeos volmenes. Esto se asemeja a esconder tu caja fuerte detrs de una
pintura en la pared de tu oficina. Este no ser til bajo inspeccin detallada, pero
ofrecer alguna proteccin. Tambin puedes renombrar el mismo programa
TrueCrypt, asumiendo que lo has guardado como haras con un archivo normal en
tu disco duro o pen-drive USB, en vez de instalarlo como programa.
10 Trata el estudio y aplicacin de tcnicas que ocultan mensajes u objetos,
dentro de otros, llamados portadores, de modo que no se perciba su
existencia.
50
Considerar el riesgo de identificar tu informacin

A menudo, debes preocuparte menos de las consecuencias de ser
'capturado' con software de cifrado en tu computadora o en tu pen-drive USB y
hacerlo ms porque tu volumen cifrado indique donde almacenas la informacin que
deseas proteger ms. Aunque puede ser cierto que nadie ms pueda leerla, un
intruso sabr que est ah, y que hiciste para protegerla. Ello te expone a varios
mtodos no tcnicos a travs de los cuales dicho intruso podra intentar tener
acceso, ello incluye la intimidacin, el chantaje, la interrogacin y la tortura. Es en
este contexto que la opcin o caracterstica de denegacin del TrueCrypt, que se
trata detalladamente ms adelante, entra en juego.
La opcin de denegacin del TrueCrypt es una manera en la cual va ms all
de lo ofrecido por las herramientas de cifrado de archivos. Esta opcin se interpreta
como una forma peculiar de estenografa que disfraza tu informacin. Es anlogo a
instalar un astuto 'falso fondo' dentro de una caja fuerte. Si un intruso se roba tus
llaves, o te intimida para que le des la combinacin de la caja fuerte, encontrar
algn material 'seuelo' convincente, pero no la informacin que te importa proteger.
Slo t sabes que tu caja fuerte contiene un compartimiento oculto. Esto te
permite 'negar' que ests manteniendo algn secreto ms all de lo que ya le has
dado al intruso, y podra ayudar a protegerte en situaciones en las cuales por alguna
razn debes reveler una contrasea. Tales razones podran incluir amenazas
legales o fsicas a tu propia seguridad, o aquellas de tus colegas, asociados, amigos
y familiares.
El propsito de la denegacin es darte una oportunidad de escapar de una
situacin potencialmente peligrosa, incluso si decides continuar protegiendo tus
datos. Sin embargo, ver Considerar el riesgo de la autoincriminacin, esta opcin es
menos til si el hecho de ser capturado con una caja fuerte en tu oficina es
suficiente para provocar consecuencias inaceptables.
La opcin de denegacin del TrueCrypt funciona por medio del
almacenamiento de un 'volumen oculto' dentro de un volumen comn cifrado. Este
volumen oculto se abre proporcionando una contrasea alterna diferente a la que
utilizaras. Incluso si un intruso tcnicamente sofisticado logra acceder a tu volumen
comn, ser incapaz de probar que existe uno oculto. Por supuesto, el puede saber
que TrueCrypt es capaz de ocultar informacin de esta forma, de modo que no hay
51
garanta que la amenaza desaparezca tan pronto como reveles tu contrasea

seuelo.
Muchas personas utilizan TrueCrypt sin habilitar su opcin de denegacin,
sin embargo, se considera que es imposible determinar, a travs de un anlisis, si
un volumen cifrado contiene 'falso fondo'. Eso dice, que es tu trabajo asegurarte de
no revelar tu volumen oculto por medios menos tcnicos, como dejarlo abierto o
permitir que otras aplicaciones creen accesos directos a los archivos que contiene.
No hablamos de reconstruir una funcin compleja, hablamos de un ataque
por fuerza bruta. PGP, Lucifer, DSA, da igual. El algoritmo genera una clave de
acceso que considera segura, y Transltr contina probando hasta que la descubre.
Un algoritmo que genera un texto llano rotatorio.
La nocin de la funcin de texto llano rotatorio fue expuesta por primera vez
en 1987. Como los computadores desde los que se lanzan ataques por fuerza bruta
descifran los cdigos analizando el texto llano en busca de patrones lingsticos, el
creador propone un algoritmo de encriptacin que, adems de eso, cambia el texto
llano descifrado en funcin de una variable temporal. En teora, la mutacin
perpetua lograra que el computador atacante nunca reconociera algn tipo de
patrn lingstico y, por consiguiente, nunca sabra cundo haba encontrado la
clave de acceso correcta.
BrainStorm era un experimento de inteligencia artificial descrito por sus
diseadores como un Simulador de Causa y Efecto.
Flowchart y Mapping era una herramienta para perfilar estrategias complejas
y predecir puntos dbiles.
4.2 Mtodos criptogrficos

La criptografa surge como una necesidad para realizar comunicaciones por
escrito (en su origen) y creada para preservar la privacidad de la informacin que
se transmite, garantizando que una persona que no est autorizada no puede leer el
contenido del mensaje.
En la historia tenemos mltiples ejemplos de encriptar mensajes como los
mtodos espartanos de hace 2.500 aos, el cifrado de Polybios (de los griegos) o
el cifrador del Csar (de los romanos), y sin olvidarnos de la mquina de
52
encriptacin ms famosa de la historia: la mquina Enigma.

Principio de Bergofsky11. Dicho principio postulaba que, si un computador
probaba suficientes claves de acceso aleatorias, estaba matemticamente
garantizado que encontrara la correcta.
La seguridad de un cdigo no resida en que su clave de acceso no pudiera
encontrarse, sino en que la mayora de la gente careca de tiempo o del
computador idneo para intentarlo. Estaba garantizado matemticamente que, tarde
o temprano, Transltr encontrara la clave correcta.
Los algoritmos de encriptacin eran simples frmulas matemticas, recetas
para codificar un texto. Matemticos y programadores creaban nuevos algoritmos
cada da. Haba cientos de ellos: PGP, Diffie-Hellman, ZIP, IDEA, El Gamal. Transltr
descifraba todos esos cdigos a diario sin el menor problema. Para Transltr los
cdigos eran iguales, con independencia del algoritmo empleado para encriptarlos.
En criptografa, el cifrado es un procedimiento que utiliza un algoritmo de
cifrado con cierta clave (clave de cifrado) para transformar un mensaje, sin atender
a su estructura lingstica o significado, de tal forma que sea incomprensible o, al
menos, difcil de comprender a toda persona que no tenga la clave secreta (clave de
descifrado) del algoritmo. Podemos estudiar y/o estudiar los mtodos criptogrficos
modernos como la criptografa simtrica, asimtrica, hbrida (una combinacin de
las anteriores) y por ltimo, las funciones de resumen o hash (que no cumplen
estrictamente la funcin de confidencialidad para la que est destinada la
criptografa, ya que es un cifrado irreversible).
4.2.1 Criptografa simtrica

La criptografa simtrica slo utiliza una clave para cifrar y descifrar el
mensaje, que tiene que conocer el emisor y el receptor previamente y este es el
punto dbil del sistema, la comunicacin de las claves entre ambos sujetos, ya que
resulta ms fcil interceptar una clave que se ha transmitido sin seguridad
(dicindola en alto, mandndola por correo electrnico u ordinario o haciendo una
llamada telefnica).
11 El Principio de Bergofsky no existe. Es una licencia narrativa de Dan Brown en la Fortaleza
Digital.
53
Tericamente debera de ser ms fcil conocer la clave interceptndola que

probando claves, una a una por fuerza bruta, teniendo en cuenta que la seguridad
de un mensaje cifrado debe recaer sobre la clave y nunca sobre el algoritmo.
4.2.2 Criptografa asimtrica

La criptografa asimtrica se basa en el uso de dos claves: la pblica (que
se podr difundir sin ningn problema a todas las personas que necesiten enviarte
algo cifrado) y la privada (no debe de ser revelada nunca).
Sabiendo lo anterior, si queremos que tres compaeros de trabajo nos
enven un archivo cifrado debemos de mandarle nuestra clave pblica (que est
vinculada a la privada) y nos mandarn de forma confidencial ese archivo que slo
nosotros desciframos con la clave privada.
A simple vista parece un sistema dbil ya que sabiendo la clave pblica
podramos deducir la privada, pero este tipo de sistemas criptogrficos usa
algoritmos complejos que generan a partir de la frase de paso (la contrasea) la
clave privada y pblica que pueden tener perfectamente un tamao de 2048bits
(probablemente imposible de reventar).
Como se dan cuenta, slo cifra una persona (con la clave pblica) y la otra
se limita a mirar el contenido, por lo que la forma correcta de tener una
comunicacin bidireccional sera realizando este mismo proceso con dos pares de
claves, o una por cada comunicador.
Otro propsito de este sistema es firmar documentos (firma electrnica),
certificando que el emisor es quien dice ser, firmando con la clave privada y
verificando la identidad con la pblica.
Nota: Esto puede parecer intrincado (y lo es) pero hablar de como poner en
prctica esto con GnuPG (una herramienta de cifrado libre muy usada para este
propsito) y ser ms fcil de comprender.
4.2.3 Criptografa hbrida

Este sistema es la unin de las ventajas de los dos anteriores, ya que el
mtodo simtrico es inseguro y el asimtrico es lento.
54
El proceso para usar un sistema criptogrfico hbrido es el siguiente (para

enviar un archivo):
Generar una clave pblica y otra privada (en el receptor).
Cifrar un archivo de forma sncrona.
El receptor nos enva su clave pblica.
Ciframos la clave que hemos usado para encriptar el archivo con la clave
pblica del receptor.
Enviamos el archivo cifrado (sncrona) y la clave del archivo cifrada
(asncrona y que slo puede ver el receptor).
4.2.4 Funciones hash

Las funciones hash o funciones de resumen son algoritmos que se crean a
partir de una entrada (como un texto, una contrasea o un archivo) y generan una
salida alfanumrica de longitud normalmente fija que representa un resumen de
toda la informacin que se le ha dado (es decir, a partir de los datos de la entrada
crea una cadena que slo puede volverse a crear con esos mismos datos).
El propsito de estas funciones es asegurar que no se ha modificado un
archivo en una transmisin, hacer ilegible una contrasea o firmar digitalmente un
documento.
55
5. Recuperar informacin perdida

Cada nuevo mtodo de almacenamiento o transferencia de informacin
digital introduce formas nuevas en las que la informacin puede perderse, ser
capturada o destruida. Aos de trabajo pueden desaparecer en un instante, como
resultado de un robo, un momento de descuido, la confiscacin del hardware de la
computadora, o debido a que la tecnologa de almacenamiento es frgil por
naturaleza. Existe un dicho comn entre los profesionales dedicados al soporte
tcnico en el campo de la informtica: "la cuestin no es si vas a perder tus datos;
sino cuando." Por tanto, cuando esto ocurra, es importante que cuentes con un
medio actualizado y probado de respaldo para restituir tus datos.
A pesar de ser uno de los elementos fundamentales de la seguridad
informtica, el formular una poltica efectiva de mantenimiento de un respaldo no es
simple. Varios problemas se combinan para formar obstculos significativos, como
la necesidad de almacenar datos originales y copias de seguridad o respaldos en
diferentes ubicaciones fsicas, el mantener confidenciales las copias de seguridad, y
el reto de coordinar entre distintas personas quin comparte informacin con quin,
utilizando sus propios dispositivos porttiles de almacenamiento.
Adems, de las copias de seguridad o respaldos y las tcticas de
recuperacin de archivos, este captulo se ocupa de dos herramientas especficas,
Cobian Backup y Undelete Plus.
5.1 Identificar y organizar tu informacin

Evidentemente es necesario evitar desastres para ello debes asegurarte
que tu informacin est fsicamente a salvo, libre de software malicioso y protegida
por un buen cortafuegos y contraseas slidas pero esto no es suficiente. Existen
demasiadas cosas que pueden salir mal, incluyendo ataques virales, piratas
informticos, cortos circuitos, picos de tensin elctrica, derrames de agua, robo,
confiscacin, desmagnetizacin, problemas con el sistema operativo o programas,
fallas de hardware, por nombrar unos cuantos. El prepararse para el desastre es tan
importante como defenderse de este.
El primer paso para formular una poltica de respaldo es identificar donde se
56
encuentra tu informacin personal y laboral. Tu correo electrnico puede estar

almacenado en el servidor del proveedor de correo electrnico, en tu propia
computadora, o en ambos lugares al mismo tiempo. Y, por supuesto, puedes tener
muchas cuentas de correo electrnico.
Adems, existen importantes documentos en las computadoras que utilizas,
las cuales pueden estar en la oficina como en tu domicilio. Tambin, estn las
agendas de direcciones, el historial de conversaciones y configuraciones personales
de programas. Es posible que alguna informacin sea almacenada en medios
removibles, como pen-drive USB, discos duros externos, CD y DVD. Tu telfono
mvil tiene una lista de contactos y podra tener importantes mensajes de texto. Si
tienes un sitio web, ste, podra contener una coleccin de artculos acumulados a
lo largo de aos de trabajo. Y no olvides tu informacin que no se halla en medios
digitales, como agendas fsicas, diarios y cartas.
Luego, necesitas definir cuales archivos son 'copias maestras', y cuales son
duplicados. La copia maestra es la versin actualizada de un archivo en particular o
de una coleccin de archivos y corresponde a un archivo que editars si necesitas
actualizar su contenido. Obviamente, esta distincin no se aplica a archivos de los
cuales tienes una nica copia, pero es importante para ciertos tipos de informacin.
Una situacin comn de desastre es cuando slo los duplicados de cada documento
importante son respaldados, y la copia maestra en s se perdi o destruy antes que
estos duplicados pudieran ser actualizados. Imagina, que has estado trabajando por
una semana mientras actualizabas la copia de determinada hoja de clculo que
mantienes en tu pen-drive USB. Ahora, deberas empezar a pensar en tus copias
maestra, debido a que los respaldos de la versin desactualizada que se hallan en
la computadora de la oficina ya no son tiles.
Trata de anotar la ubicacin fsica de tus copias maestras y de los duplicados
de la informacin identificada. Aclara tus necesidades y empieza a definir una
adecuada poltica de respaldos o copias de seguridad. La tabla 5 es un ejemplo
bsico. Por supuesto, tu lista es ms extensa, y contiene algunos 'dispositivos de
almacenamiento' con ms de un 'tipo de dato' y algunos tipos de datos que se
encuentran presentes en mltiples dispositivos.
57
Tabla 5: Opciones para realizar respaldo de nuestros datos.

Tipo de Datos Copia
Maestra/Duplicado
Dispositivo de Almacenamiento
Ubicacin
Documentos electrnicos
Copia Maestra Disco duro de la

computadora
Oficina
Unos cuantos documentos

electrnicos importantes
Duplicado
Memoria extrable USB
Conmigo
Bases de datos de aplicaciones

(fotos, agenda de direcciones,
calendario, etc.)

computadora
Oficina
Unos cuantos documentos

electrnicos
Duplicado CDs
Domicilio
Correo electrnico & contactos de Copia Maestra, Cuenta de Gmail

correo electrnico
Internet
Mensajes de texto & contactos

telefnicos
Conmigo
Copia Maestra, Telfono mvil
Documentos impresos (contratos, Copia Maestra, Cajn de escritorio

facturas, etc.)
Oficina
En la tabla anterior observas que:

Los nicos documentos que sobreviviran a una falla del disco duro de tu
computadora son los duplicados en tu pen-drive USB y las copias en CD
o DVD en tu domicilio o almacenados en la nube informtica.
No tienes copias de tus mensajes de correo electrnico sin conexin o de
tu agenda, si olvidas tu contrasea (o si alguien logra cambiarla),
perders acceso a ella.
No tienes copias de los datos de tu telfono mvil.
No tienes duplicados, digitales o fsicos, de documentos como contratos
y facturas.
58
5.2 Definir una estrategia para tu respaldo

Para hacer el respaldo de los datos listados anteriormente necesitas una
combinacin de software y soluciones de proceso. Debes asegurar que cada tipo de
datos sea almacenado en, al menos, dos lugares separados.
Documentos electrnicos - Crea el respaldo completo de los documentos en

tu computadora con Cobian Backup12. Almacena el respaldo en algn dispositivo
porttil para que lo lleves a tu domicilio o a otro lugar seguro, como un banco. Los
discos duros externos, CD / DVD o pen-drive son buenas opciones. Si utilizas CD o
DVD, el riesgo de sobreescribir los documentos o perder los respaldos es menor. Los
CD en blanco son baratos y puedes utilizar uno nuevo cada vez que hagas respaldo.
Debido a la informacin confidencial, es importante que protejas los respaldos
de tus documentos electrnicos utilizando algn tipo de cifrado.
Bases de datos de aplicaciones - Una vez determinada la ubicacin de tus
bases de datos de aplicaciones, realiza un respaldo de la misma forma que la
empleada con los documentos electrnicos.
Correo electrnico - En vez de ingresar a tu correo electrnico a travs de un
navegador web, instala un cliente de correo electrnico como Thunderbird y
configuralo para tu cuenta. La mayora de los servicios de correo con interfaz web
proporcionan instrucciones de cmo utilizar dichos programas y cmo importar tu
direccin de correo electrnico a ste. Si mueves tus correos electrnicos a tu
computadora evitando sean guardados en el servidor (por razones de seguridad),
asegrate de incluirlos en el respaldo de documentos electrnicos como fue descrito.
Contenidos de telfono mvil - Para hacer un respaldo de los nmeros
12 Cobian Backup es un programa multitarea capaz de crear copias de seguridad en un equipo, en una
red local o incluso en/desde un servidor FTP. Tambin soporta SSL. Se ejecuta sobre Windows y
uno de sus grandes fuertes es que consume muy pocos recursos y puede estar funcionando en
segundo plano. Cada tarea de respaldo que le asignemos puede ejecutarse en el momento, diaria,
semanal, mensual o anualmente, o en un tiempo especificado. Hace copias completas,
incrementales y diferenciales. Soporta compresin ZIP, Zip64 o SQX. Adems ofrece la opcin de
proteger todas las funciones del programa por contrasea. Existe la opcin de cifrar sus archivos
usando 4 mtodos diferentes de cifrado fuerte: RSA-Rijndael (1024-256-bits), Blowfish (128-bits),
Rijndael (128-bits) o DES (64-bits).
59
telefnicos y mensajes de texto en tu telfono mvil, conctalo a la computadora

utilizando el software apropiado. ste, est en el sitio web del fabricante de tu
telfono o est instalado en el sistema operativo. Necesitas un cable de datos USB.
Documentos impresos - Cuando sea posible, escanea tus documentos
importantes, luego respaldarlos con tus documentos electrnicos como se explic.
Ahora, dispones de un listado de respaldo tus dispositivos de tipo de datos,
almacenamiento y ubicacin para tu informacin. Ver tabla 6.
Tabla 6: Tipos de almacenamiento.
Tipo de Datos Copia
Maestra/Duplicado
importantes
Tipo de Datos Copia
Maestra/Duplicado
Ubicacin

computadora
Duplicado
CDs
Duplicado
Pen-drive USB
Oficina
Ubicacin

computadora
Duplicado
CDs
Oficina

Tipo de Datos Copia
Maestra/Duplicado
Correo electrnico & contactos de Duplicado
Cuenta Gmail
correo electrnico
Correo electrnico y contactos de Copia Maestra Thunderbird en la
correo electrnico
computadora de la oficina
60
Domicilio
Conmigo
Domicilio
Ubicacin
Internet
Oficina
Tipo de Datos Copia

Maestra/Duplicado
Mensajes de texto y contactos en
telfono mvil
el telfono mvil
el telfono mvil
Tipo de Datos Copia
Maestra/Duplicado
Documentos impresos
Documentos escaneados
Ubicacin
Copia Maestra Telfono mvil
Conmigo
Duplicado
computadora
Duplicado
Oficina
Disco duro de la
Respaldo de la tarjeta SIM Domicilio
Ubicacin
Copia Maestra Cajn de escritorio

Duplicado
CDs
Oficina
En casa
5.2.1 Crear un respaldo digital

De los distintos tipos de datos que aqu se discuten, los 'documentos
electrnicos' son los que las personas tienden a preocuparse ms cuando
establecen una poltica de respaldo. Este trmino es ambiguo, pero se refiere a
archivos de los cuales ests al tanto y que abres manualmente a travs de algn
programa en el men de tu aplicacin favorita. Incluye archivos de texto,
documentos de procesador de textos, presentaciones, PDF y hojas de clculo, entre
otros. A diferencia de los mensajes de correo electrnico, los documentos
electrnicos no estn sincronizados con copias remotas en la Internet.
Si respaldas tus documentos electrnicos; tambin hazlo con las bases de
datos de tus aplicaciones. Si usas una aplicacin de calendario o una agenda
electrnica encuentra las carpetas donde estos programas almacenan sus datos. Si
estn en la misma ubicacin de tus documentos electrnicos, como la carpeta Mis
Documentos. Si no es el caso, aade las carpetas pertinentes a tu respaldo normal.
Los correos electrnicos almacenados por una aplicacin como Thunderbird

son ejemplo especial de un base de datos de aplicacin. Si utilizas un programa de
correo electrnico y si no puedes o no deseas almacenar una copia de tus mensajes
en el servidor debes asegurarte que la base de datos de correo electrnico se
incluya en tu respaldo normal. Considera las imgenes y archivos de video como
documentos electrnicos o elementos dentro de una base de datos de aplicacin, eso
depende de cmo operas con ellos. Las aplicaciones como Windows Media Player e
iTunes funcionan como bases de datos. Si los utilizas, busca en tu disco duro para
saber donde se almacenan los archivos multimedia que ayudan en su administracin.
61
5.2.2 Dispositivos de almacenamiento

Previo a un respaldo de tus documentos electrnicos, decide qu tipo de
dispositivo de almacenamiento usars.
Pen-drive USB - Estos dispositivos son baratos y ofrecer mayor capacidad
de almacenamiento (memoria). Son fciles de borrar o sobreescribir numerosas
veces. Los USB tienen una vida til, que depende en la forma o frecuencia de uso,
pero se estima generalmente de 10 aos.
Memoria SD al igual que los pen-drive son dispositivos baratos y ofrecen
mayor capacidad de almacenamiento (memoria). Son fciles de borrar o
sobreescribir numerosas veces. Las SD tienen una vida til, que depende de la
frecuencia de uso, se estima en 10 aos. Y se pierden ms fcil que los pen-drive.
Discos Compactos (CD) - Los CD almacenan alrededor de 700 Megabytes
(MB) de datos. Para crear un respaldo en ellos necesitas un quemador de CD y
discos en blanco. Si deseas borrar un CD y actualizar los archivos almacenados en
este, necesitas tener un quemador de CD-RW y CDs regrabables. Todos los
sistemas operativos, incluyendo Windows XP, ahora incorporan un software que
graba CD y CD-RW. Toma en cuenta que la informacin escrita en estos discos se
deteriora despus de cinco o diez aos. Si necesitas almacenar un respaldo por un
tiempo mayor, tendrs que recrear ocasionalmente los CD, comprar discos
especiales de 'larga vida' o utilizar un mtodo diferente de respaldo.
Discos Digitales de Video (DVD) Almacenan hasta 4.7 Gigabytes (GB) de
datos. Funcionan como los CD pero necesitan un equipo costoso. Necesita un
quemador de DVD o de DVD-RW, y discos apropiados. Del mismo modo como los
CD, los datos escritos en un DVD normal eventualmente se desvanecen.
Servidor remoto - Un servidor de red de respaldo con buen mantenimiento
tiene una capacidad casi ilimitada, pero la velocidad y la estabilidad de tu propia
conexin de Internet determinar si es o no una opcin vlida. Considera que hacer
un respaldo en un servidor en tu propia oficina, aunque ms rpido que copiar
informacin en la Internet, viola el requerimiento de mantener una copia de tus datos
en dos lugares fsicos diferentes. Existen servicios de almacenamiento gratuito en la
Internet, pero siempre debes cifrar tus respaldos antes de subirlos a servidores a
cargo de organizaciones o individuos a quines no conoces ni en quines confas.
62
Dirgete a la seccin Lecturas Adicionales para ver algunos ejemplos.

Disco duro externo.- Una unidad externa de DD es la manera ms sencilla
e instantnea de respaldar, proteger y compartir tu informacin digital. Al momento
de escribir este libro, los DD vienen con hasta 2 TB de capacidad. Te acompaa a
cualquier lugar sin interponerse en su camino.
Caractersticas:
Ofrece copias de seguridad mviles mediante mltiples aplicaciones.
Proteja su material digital en copias de seguridad fciles y flexibles.
Realice copias de seguridad desde Facebook y Flickr, y comprtalas
en YouTube
Comparta archivos fcilmente entre sistemas Windows, Linux y Mac.
USB 3.0 o 2.0 plug-and-play sin necesidad de voluminosos adaptadores
de corriente.
5.2.3 Software para hacer respaldos

Cobian Backup es una herramienta de fcil manejo que puede configurarse
para funcionar automticamente en periodos predeterminados, y para incluir slo los
archivos que han sido modificados desde la ltima creacin de respaldo. Este
tambin puede comprimir respaldos para hacerlos ms pequeos.
Recordar que es una buena mecnica cifrar tus archivos de respaldo
utilizando TrueCrypt. Ver Captulo 4. Si utilizas estas herramientas para respaldos,
hay cosas que hacer para que el sistema de respaldo trabaje sin problemas:
Organiza los archivos en tu computadora. Traslada tus carpetas con
documentos electrnicos a respaldar a un slo lugar, como Mis Documentos.
Ubica tus archivos. Si almacenas tus archivos en una base de datos de
aplicacin, determina la ubicacin de dicha base de datos. Si no est en un lugar
conveniente, infrmate si el programa te permite elegir una nueva ubicacin para
ella. Si es posible, coloca la carpeta de tus documentos electrnicos.
63
64
5.2.4 Software de respaldo para Linux

Las reas de estas aplicaciones y sus respectivas funciones (traducidas al
castellano) son las siguientes:
Tabla 7: con Interfaz Grfica de Usuario

Herramienta de copias de seguridad
Areca Backup
BackupPC
Bacula
Deja-dup
fwbackups
Keep
Simple Backup
Solution
Software de backup de archivos desarrollado con Java

Sistema empresarial de alto rendimiento para realizar backups de
PCs
Backups en red, con recuperacin y verificacin de datos
Aplicacin para copias de seguridad de forma sencilla y cmoda
en GNU/Linux. Est completamente integrado en el GNOME
Software de backup con numerosas opciones
Sistema de backup en KDE
Software de backup consistente en un daemon para el Backend y
un Frontend basado en GNOME
Tabla 8: Desde la consola de comandos
Herramienta de copias de seguridad
afbackup
AMANDA
Cedar
Backup
Duplicity
Sistema de Backup cliente-servidor (GUI disponible)

Advanced Maryland Automatic Network Disk Archiver
Backups remotos y locales grabables en CDs o DVDs
Backups cifrado eficiente en el aprovechamiento del ancho de banda.
65
Dump /
restore
tar
Utilidades de copia y restauracin para sistemas de archivos ext2/ext3

Quin podra olvidar a la legendaria Tar?
66
Tabla 9: basados en Snapshot

Backups
Equivalente de Time Machine en Mac OS
X
Demonio de creacin de Snapshots
FlyBack
Time Vault
Tabla 10: Sincronizacin

rsnapshot ;
Utilidad de sincronizacin para sistemas

de archivos locales y remotos
Programa de copia remota rpida
rsync;
Tabla 11: Recuperacin de desastres / Clonacin de discos.

Clonezilla;
Mondo Rescue;
PartImage;
PING;
Ofrece funciones similares a las de Symantec Ghost

Una suite muy potente de recuperacin de desastres
Backup de particiones en un fichero imagen
comprimido
Tambin ofrece funciones similares a las de Symantec
Ghost
Tabla 12: Herramientas Especializadas.
Zmanda Recovery
Manager
Utilidad en Perl para automatizar la copia de seguridad y

restauracin de bases de datos MySQL
5.2.5 Crea un horario regular para hacer tu respaldo

Trata de establecer procedimientos de respaldo para las computadoras en tu
oficina si no tienen una poltica confiable y segura. Ayuda a tus compaeros/as de
trabajo a entender la importancia de este tema.
Algunas caractersticas de respaldo de una aplicacin son:
Realiza respaldos locales y remotos (Ubuntu One, y otros va FTP, SSH o
WebDAV)
67
Comprime y cifra de forma segura todos tus archivos.

Los respaldos son incrementales, lo que recupera copia de seguridad
anterior.
Programa copias de seguridad.
5.3 Qu es recuperacin?
La recuperacin es la tarea que se lleva a cabo para volver al estado basal la
aplicacin al momento de su ltimo respaldo. A partir de la ltima copia realizada, se
hace una copia en sentido inverso, recuperando los archivos.
Las transacciones ocurridas despus del ltimo respaldo se pierden. Los
movimientos ocurridos entre el momento del ltimo respaldo y el momento en que
se detecta la necesidad de la recuperacin deben ser reconstruidos a mano.
La recuperacin es una tarea eventual. Slo se hace si se han perdido datos,
en magnitud tal que justifique utilizar el respaldo. La recuperacin puede hacerse en
forma parcial, como un nico archivo o completa.
Si hace una recuperacin parcial, debe asegurarse que la integridad de los
datos no se altere, es decir, que los archivos queden en diferente estado de
actualizacin respecto al tiempo.
Asegrate de probar el proceso de recuperacin de datos de tu respaldo o
copia de seguridad. Recuerda, que al final, es el proceso de restitucin no el
procedimiento de respaldo el que importa !
5.3.1 Pruebas de recuperacin

Realiza pruebas de restauracin de los respaldos histricos a lo menos cada
3 meses, a fin de evitar que el respaldo se realice con algn tipo de inconsistencia o
no sea posible su recuperacin exitosa.
5.3.1.1 Recuperarse de un borrado accidental de archivos

Cuando borras un archivo en Windows, este desaparece de la vista, pero su
contenido se mantienen en la computadora. Incluso despus de vaciada tu
Papelera, la informacin de los archivos borrado puede ser ubicada en su lugar
68
respectivo en el disco duro. De vez en cuando, si accidentalmente borras un archivo

o carpeta, esta vulnerabilidad de seguridad puede trabajar a tu favor. Existen
numerosos programas de recuperacin de respaldos, incluyendo Recuva13.
Estas herramientas no siempre funcionan, ya que el sistema operativo pudo
haber escrito nuevos datos sobre tu informacin borrada. Es importante que utilices
lo menos posible tu computadora entre el borrado del archivo y el intento de
recuperarlo con Recuva. Cuanto ms tiempo utilices tu computadora antes de
intentar recuperar el archivo, es menos probable que tengas xito. Utiliza la versin
portable de Recuva. Instalar el programa requiere que escribas informacin nueva
en el archivo del sistema, lo que sobrescribir los datos crticos que ests tratando
de recuperar.
5.3.1.2 Recuperar archivos borrados en Linux

En mi caso, prefiero Scalpel14 basado en Foremost o Photorec15.
Para mi uso personal, me gusta Photorec, una herramienta diseada para
recuperar fotografas borradas o corruptas de las tarjetas de memoria de las
cmaras. Photorec recupera cualquier archivo, vdeo, documento, fotografa y ms
de cien tipos de archivo, adems de tus propias firmas en caso de ser necesario.
Aunque parece mucho trabajo, el implementar las polticas de respaldo y
aprender a utilizar las herramientas descritas, as como mantener tu estrategia de
respaldo, una vez que tengas un sistema en produccin, es ms fcil que
configurarla por primera vez. Y dado que el respaldo puede ser el aspecto individual
ms importante de la seguridad de datos, puedes estar seguro que el esfuerzo de
recorrer todo el proceso bien vale la pena.
13 De los creadores de CCleaner, llega una nueva aplicacin gratuita: Recuva. Este programa
recupera archivos que hayas borrado sin querer; detecta los borrados y te permite seleccionarlos.
Destaca por su gran rapidez y por su facilidad de uso. Tambin, recupera fotos borradas de tu
cmara y canciones de tu reproductor MP3 porttil.
14 Cdigo Original escrito por Kris Kendall y Jesse Kornblum, Oficina de investigaciones especiales,
Fuerza Area de USA. Modificacin por Nick Mikus, Escuela de Postgrado, estudios e
investigacin de seguridad en sistemas de informacin, Marina de USA (tesis de maestra).
15 Software para recuperar archivos borrados incluyendo videos, documentos y archivos de los discos
duros y CDRoms as como imgenes borradas (por eso el nombre PhotoRecovery) de las
memorias de las cmaras fotogrficas, MP3 players, PenDrives, etc. PhotoRec ignora el sistema de
archivos y hace una bsqueda profunda de los datos, funcionando incluso si su sistema de archivos
est daado o ha sido re-formateado.
69
6. Destruir informacin importante

Los captulos previos han presentado varias herramientas y propuesto
hbitos que ayudan a proteger tus datos, Qu ocurre cuando decides que no
necesitas conservar una parte de tu informacin? Si determinas que las copias
cifradas del respaldo de un archivo son suficientes y deseas borrar la copia maestra,
Cul es la mejor forma de hacerlo? La respuesta es ms complicada de lo que
crees. Cuando borras un archivo, incluso antes de vaciar la Papelera, los contenidos
del archivo se mantienen en tu disco duro y pueden ser recuperados por cualquiera
que tenga conocimientos, suerte y las herramientas adecuadas.
Para evitar que la informacin borrada no termine en las manos equivocadas
tienes Eraser, un software que borra los datos de manera segura y permanente.
Utilizar este software es como hacer trizas un documento de papel en vez de
ponerlo en la papelera y esperar que nadie lo encuentre. Otra herramienta es
CCleaner, que te ayuda a borrar los muchos archivos temporales que tu sistema
operativo windows y las aplicaciones crean cada vez que los usas.
Por supuesto, borrar archivos es una situacin en la cual necesitas destruir
datos importantes.
Si consideras los datos que alguien podra descubrir sobre ti o de tu
organizacin al leer ciertos archivos que pensaste que habas borrado, entonces
debes: destruir respaldos obsoletos, eliminar los datos de viejos disco duros antes
de regalarlos, borrar viejas cuentas de usuario y limpiar tu historial de navegacin,
para mencionar unos cuantas situaciones.
6.1 Borrar informacin

Desde una perspectiva tcnica no existe en tu computadora una funcin de
borrado propiamente dicha. Por supuesto, puedes arrastrar un archivo a la Papelera
y vaciarla, pero esto borra el icono, elimina el nombre del archivo de la FAT (tabla
localizadora de archivos) una especie de ndice del contenido en tu computadora y
dice a Windows que puede utilizar ese espacio para algo ms. Sin embargo, hasta
usar Eraser o Ccleaner o Bleachbit el espacio del archivo est ocupado por la
informacin borrada. Si cuentas con el software adecuado y actas con prisa,
70
puedes recuperar la data que borraste. Ver captulo 5.

Cada vez que usas tu computadora, se crean archivos y estos mismos son
borrados de manera parcial, sin tu conocimiento. Pensemos que ests escribiendo
un informe extenso. Lo que te podra tomar una semana, trabajando muchas horas
a diario, cada vez que el documento es guardado, el procesador de textos crea una
nueva copia del documento y lo almacena en tu disco duro. Despus de unos
cuantos das de editado, t puedes sin saberlo haber guardado muchas versiones
del mismo documento, todas en diferentes etapas de avance.
El Sistema operativo borra las versiones antiguas de un archivo, pero no
busca la ubicacin exacta del original para reescribirlo de manera segura cuando se
hace una nueva copia. En vez de ello, simplemente pone la ltima versin en una
nueva seccin del hipottico gabinete de archivos mencionado, es decir, traslada la
etiqueta de la vieja seccin a la nueva, y deja el anterior borrador donde estaba
hasta que otro programa requiera utilizar ese espacio. Est claro, que si t tienes
una buena razn para destruir los rastros de dicho documento de tu gabinete, el
borrar la ltima copia no ser suficiente, y el botar la etiqueta sera peor.
Tambin debes recordar, que los discos duros de la computadora no son los
nicos dispositivos que almacenan informacin digital. Los CD, DVD, los pen-drive
USB, las tarjetas de memoria flash de los telfonos mviles y los discos duros
externos tienen los mismos problemas, y no debes confiar en una simple operacin
de borrar o reescribir para desaparecer informacin de cualquiera de ellos.
6.2 Eliminar informacin con herramientas de borrado

Cuando utilizas una herramienta de borrado, sera preciso decir que ests
reemplazando, o 'sobrescribiendo', tu informacin, en vez de borrarla. Si imaginas
que dichos documentos, en el gabinete de archivos mal etiquetado que
mencionamos antes, estn escritos a lpiz, entonces un software de borrado no slo
borra el contenido, sino que garabatea sobre cada palabra. Y - en forma muy
parecida al trazo de la mina de un lpiz - la informacin digital puede leerse, aunque
con dificultad, incluso despus de que ha sido borrada y se ha escrito algo sobre
ella.
Debido a esto, las herramientas recomendadas aqu sobrescriben archivos
71
mltiples veces con datos aleatorios. A este proceso se le llama eliminado

permanente, y cuantas veces es sobrescrita la informacin, mayor es la dificultad
para que alguien pueda recuperar el contenido original. Los expertos coinciden
generalmente que tres o ms pasadas deben hacerse algunos estndares
recomiendan siete o ms pero el software de eliminacin permanente de datos se
ocupa de esto automticamente.
6.2.1 Eliminar archivos

Existen dos maneras comunes de eliminar datos de tu disco duro o de tu
dispositivo de almacenamiento. Puedes eliminar un archivo o todo el espacio 'no
asignado' en la unidad. Cuando tomes esta decisin, puede ser til considerar
nuestro ejemplo del informe que haya podido dejar copias incompletas esparcidas
en todo tu disco duro aunque slo un archivo es visible. Si eliminas el archivo
mismo, garantizas que la actual versin esta completamente removida, pero dejas
las otras copias. De hecho, no existe manera de apuntar directamente a dichas
copias, debido a que no estn visibles sin utilizar un software especial. Sin embargo,
al eliminar el espacio en blanco de tu dispositivo de almacenamiento, te aseguras
que la informacin borrada sea destruida. Regresando a la metfora del gabinete de
archivos, este procedimiento es comparable a buscar en el gabinete, borrar y
garabatear sobre cada documento cuya etiqueta haya sido retirada.
Eraser es una herramienta de borrado segura, libre y de cdigo abierto, fcil
de usar. Con l eliminas archivos en tres diferentes formas: seleccionando un slo
archivo, seleccionando el contenido de la Papelera, o eliminando todo el espacio no
asignado en la unidad. Tambin, elimina los contenidos del archivo de paginacin o
intercambio o tmp, como ya se menciono.
Aunque las herramientas de borrado no daan algn archivo visible a menos
que t expresamente lo elimines, debes ser cuidadoso con el software. Despus de
todo los accidentes ocurren; es por ello, que son muy tiles la Papelera y a las
herramientas de recuperacin de datos. Si te acostumbras a eliminar tus datos cada
vez que borras algo, te encontraras sin forma de recuperarte de un simple error.
Asegrate siempre de tener un respaldo seguro antes de eliminar grandes
cantidades de datos de tu computadora.
72
6.2.2 Eliminar datos temporales

La opcin de que Eraser elimine todo el espacio no asignado de una unidad
no es riesgoso, debido a que elimina el contenido borrado anteriormente. Los
archivos visibles no son afectados. Por otro lado, esto mismo sirve para resaltar un
aspecto diferente: Eraser no te ayuda a limpiar la informacin que no ha sido
borrada pero que pudiera estar oculta. Los archivos que contienen dichos datos
pueden estar metidos en carpetas ocultas o almacenados con nombres sin
significado. Este no es un gran problema para documentos electrnicos, pero es
importante para informacin que se recolecta automticamente cada vez que utilizas
tu computadora. Incluye:
Datos temporales registrados por tu navegador al visitar pginas web,
incluyendo texto, imgenes, cookies, informacin de cuenta, datos en
formularios en lnea y el historial de los sitios web visitados.
Archivos temporales guardados por varias aplicaciones con el fin de
ayudarte a recobrarlos en caso se cuelgue tu computadora antes de que
guardes tu trabajo. Estos archivos pueden contener texto, imgenes,
datos de hojas de clculo y los nombres de otros archivos, entre otra
informacin importante.
Archivos y enlaces almacenados por Windows en nombre de la
conveniencia, como accesos directos a aplicaciones que has utilizado
recientemente, enlaces obvios a carpetas que preferiras ocultas y, por
supuesto, los contenidos de tu Papelera que olvidaste vaciar.
El archivo de paginacin o de intercambio de Windows. Cuando la
memoria de tu computadora est llena, como cuando has estado
ejecutando muchos programas al mismo tiempo en una computadora,
Windows a veces copia los datos que ests utilizando en un archivo
extenso llamado archivo de paginacin o de intercambio. Como resultado
de ello este archivo puede contener casi todo, incluyendo las pginas
web, los contenidos de los documentos, las contraseas o las claves de
cifrado. Incluso cuando apagas tu computadora, el archivo de paginacin
o intercambio no se remueve, por ello debes eliminarlo de forma manual.
Para remover archivos temporales comunes de tu computadora, puedes
73
utilizar CCleaner, software para realizar la limpieza despus de utilizar programas

como Internet Explorer, Mozilla Firefox y las aplicaciones de Microsoft Office
todas las cuales son conocidas por exponer informacin importante as como el
mismo Windows. CCleaner borra archivos de forma segura, lo cual ahorra tener que
eliminar el espacio no asignado de la unidad, usando Eraser, despus de utilizarlo.
6.2.3 Utilizando de forma efectiva las herramientas de borrado

Ahora que ests familiarizado con algunas de las formas en las cuales tu
informacin est expuesta en tu computadora o en un dispositivo de
almacenamiento. Si eres diligente en cuanto al borrado de archivos importantes.
Tambin sabes que herramientas puedes utilizar para eliminar dicha informacin en
forma permanente. Debes seguir unos cuantos pasos simples, especialmente si es
la primera vez que usas estas herramientas, para garantizar que tu unidad quede
limpia de manera segura y efectiva:
Crea un respaldo cifrado de tus archivos, segn captulo 5.
Recuperar informacin perdida.
Cierra los programas innecesarios y desconectate de Internet.
Borra los archivos innecesarios de los dispositivos de almacenamiento y
vaca la Papelera.
Elimina los archivos temporales utilizando CCleaner.
Elimina el archivo de paginacin o de intercambio de tmp utilizando
Eraser.
Elimina el espacio libre de tu computadora y de otros dispositivos de
almacenamiento utilizando Eraser. Necesitas que el procedimiento se
ejecute en la noche, ya que podra ser lento.
Luego, debes habituarte a:
Utilizar peridicamente CCleaner para eliminar tus archivos temporales.
Eliminar los documentos electrnicos utilizando Eraser, en vez de utilizar
la Papelera o la funcin de borrado de tu sistema operativo.
74
Utilizar peridicamente Eraser para eliminar el archivo de paginacin o

de intercambio tmp.
Utilizar peridicamente Eraser para eliminar el espacio no asignado en
tus discos duros, pen-drive USB, y cualquier otro dispositivo de
almacenamiento que pudiera tener informacin borrada recientemente.
Entre ellos se puede incluir disquetes, CD y DVD regrabables y tarjetas
de memoria flash de cmaras, telfonos mviles o reproductores
porttiles de msica.
6.2.4 Eliminando contenido de un dispositivo de almacenamiento

Podras necesitar eliminar los contenidos de un dispositivo de
almacenamiento. Cuando vendes o regalas una vieja computadora, lo mejor es
retirar el disco duro y que el nuevo dueo de la computadora adquiera uno. Si no es
una opcin, debes al menos borrar el contenido del disco de manera rigurosa con
Eraser antes de entregarlo. Incluso en caso de que conserves el disco, quieras
borrar su contenido, sin importar si pretendes reutilizarlo o desecharlo.
De manera similar si compras un nuevo disco duro, borra los contenidos del
antiguo despus de copiar tus datos y hacer un respaldo seguro. Si lo que
pretendes es botar o reciclar un viejo disco duro, tambin considera el destruirlo
fsicamente. (profesionales a cargo del mantenimiento de las computadoras
recomiendan unos golpes fuertes con un martillo antes de desechar cualquier
dispositivo de almacenamiento que alguna vez contuvo informacin.)
En cualquiera de las situaciones ya descritas, necesitas Eraser para borrar
el contenido de un disco duro, lo cual es imposible mientras el sistema operativo se
este ejecutando en ese disco en particular. La manera fcil de tratar este asunto es
remover el disco y colocarlo en una unidad de disco externa USB; la cual puedes
conectar a cualquier computadora que tenga instalado Eraser. En este punto,
puedes borrar el contenido completo del disco externo y luego utilizar Eraser para
eliminar todo su espacio no asignado. Afortunadamente, esto no es algo que tengas
que hacer a menudo, pues puede tomar un buen periodo de tiempo.
En vez de borrar los datos almacenados en un CD o DVD regrabable, es
mejor destruir el disco mismo. Si es necesario, puedes crear uno nuevo que
75
contenga cualquier informacin que desees mantener. Y, por supuesto, esta es la

nica manera de 'borrar' el contenido de un disco no regrabable. Es difcil destruir
los contenidos de un CD o DVD. Seguramente has escuchado historias sobre
informacin recuperada de tales discos incluso despus de que fueran cortados en
pequeos pedazos. Aunque estas historias son ciertas, el reconstruir la informacin
de esta manera toma tiempo y pericia. Debes juzgar por ti mismo si es probable o
no que alguien gaste recursos con el fin de acceder a tus datos. Un par de fuertes
tijeras o una fuerte cortadora de papel har el trabajo. Si deseas tomar precauciones
adicionales, mezclar las piezas resultantes y disponer de ellas en varias ubicaciones
alejadas de tu casa u oficina.
Para los amigos de Linux, si estn preocupados por la seguridad de sus
archivos, la mejor opcin de cmo borrar un archivo en forma definitiva, ejecute:
Shred
Este comando se ejecuta desde la consola, que viene instalada por defecto
en casi todas las distros populares. Borra archivos y particiones en forma segura,
utilizando el mtodo Gutman.
SRM
Otra alternativa es SRM, del paquete de herramientas Secure Delete.
Recuerda que debes instalar Secure Delete
Secure Delete viene con 4 herramientas:
srm (secure remove), que borra archivos y directorios en forma permanente
smem (secure memory wiper), que limpia tu memoria RAM
Si bien es cierto que la memoria RAM se vaca cuando apagamos la
computadora, es probable que existan ciertos trazos de informacin residual en la
memoria y que, al igual que sucede en los discos rgidos, no se borran hasta que
son reescritos varias veces. Esto significa que alguien capacitado que cuente con
las herramientas apropiadas puede descubrir al menos parte de la informacin
almacenada en tu RAM.
El comando smem puede utilizarse con algunos parmetros para optimizar
su rendimiento, pero lo ms usual es ejecutarlo as solo.
76
sfill (secure free space wiper), que limpia en forma permanente el espacio
libre de tus discos. Es ideal para dejar limpio un disco. Es probable que para
ejecutarlo sin problemas necesites permisos de administrador.
sfill /ruta/montaje/disco
sswap (secure swap wiper), limpia en forma permanente la informacin
almacenada en la particin swap.
Si te tent la idea de usar smem, entonces debes utilizar sswap. De lo
contrario, la limpieza quedar a medias.
Primero, es necesario deshabilitar el swap.
Tanto shred como srm pueden no ser 100% efectivos en un disco de estado
slido (SSD) o incluso en algunos discos mecnicos avanzados en los que el disco
puede no estar escribiendo donde uno imagina.
Fslint es le programa para aquellos usuarios desordenados que andan
dejando carpetas vacas, archivos duplicados por todo el computador o archivos
temporales.
Con una interfaz amigable, te ayuda con eso y con muchas otras cosas ms;
entre ellas, borrar las vistas en miniatura de tus fotos (que se acumulan con cada
dispositivo que montes), y que acumula una cantidad impresionante de basura.
Bleachbit
Es un programa excelente, para borar lo que son: historiales, archivos
temporales, miniaturas. Y no slo de Ubuntu, sino de muchos programas: Firefox,
Flash, libreoofice, Openoffice, Gimp, etc.
77
7. Mantener privada tu comunicacin en

Internet
La conveniencia, la relacin costo-beneficio y la flexibilidad del correo
electrnico y de la mensajera instantnea los hace valiosos para las personas y las
organizaciones, incluso para aquellas con el acceso ms limitado a Internet. Para
conexiones rpidas y confiables, programas como Jitsi, Skype y otras herramientas
de Voz sobre Protocolo de Internet (VoIP) comparten estas caractersticas.
Estas alternativas digitales a los medios tradicionales de comunicacin no
siempre pueden ser confiables para mantener privada tu informacin. Por supuesto,
esto no es nada nuevo. El correo postal, las llamadas telefnicas y los mensajes de
texto tambin son vulnerables, particularmente cuando se utilizan como objeto de
vigilancia por parte de las autoridades.
Una diferencia importante entre las comunicaciones digitales, los mtodos de
comunicacin basados en Internet y los mtodos tradicionales, es que la primera a
menudo te permite elegir tu propio nivel de seguridad. Si envas correos
electrnicos, mensajes instantneos y conversaciones en VoIP utilizando mtodos
inseguros, stos son casi con certeza menos privados que las cartas fsicas o las
llamadas telefnicas. Esto ocurre, debido a que potentes computadoras pueden
buscar a los remitentes, los destinatarios y palabras claves especficas en grandes
cantidades de informacin digital. Se requieren de grandes recursos para llevar a
cabo el mismo nivel de vigilancia para canales de comunicacin tradicionales.
Sin embargo, si tomas ciertas precauciones, puedes hacer realidad lo
opuesto. La flexibilidad de las herramientas de comunicacin de Internet y la
fortaleza del cifrado moderno proporcionan un nivel de privacidad que alguna vez
estuvo al alcance de los ejrcitos nacionales y de las organizaciones de inteligencia.
El seguir las guas y explorar el software aqu descrito mejora la seguridad
de tus comunicaciones. El servicios de correo electrnico Riseup, el complemento
OTR para el programa de mensajera instantnea de Pidgin, el Mozilla Firefox y el
complemento Enigmail para el cliente de correo electrnico Mozilla Thunderbird son
todas excelentes herramientas. Cuando las utilices debes tener en cuenta que la
privacidad de una conversacin nunca estar cien por ciento garantizada. Siempre
78
existe alguna amenaza que no has considerado, ya sea un registrador de teclas

(keylogger) en tu computadora, una persona escuchando tras la puerta, un
corresponsal de correo electrnico descuidado o algo completamente diferente. El
objetivo es ayudarte a reducir potenciales amenazas; y evitar la posicin extrema,
favorecida por algunos, de no enviar nada por Internet que no ests dispuesto/a a
comunicar pblicamente.
7.1 Asegurar tu correo electrnico

Existen pocos pasos que puedes dar para incrementar la seguridad de tu
comunicacin por correo electrnico. El primero es asegurarte que slo la persona a
quien le envas el mensaje sea capaz de leerlo. Esto se trata en las secciones
Mantener privado tu correo con interfaz web y Cambiarse a una cuenta de correo
electrnico ms segura, que vienen a continuacin.
Ms all de los fundamentos, a veces es crtico que tus contactos de correo
electrnico tengan la capacidad de verificar, sin duda, que un mensaje en particular
viene de ti y no de alguien que podra estar intentando hacerse pasar por ti. Una
manera de lograrlo est en la seccin Seguridad avanzada de correo electrnico,
dentro de la seccin Cifrar y autenticar los mensajes individuales.
Debes saber qu hacer si sospechas que la privacidad de tu cuenta de
correo electrnico ha sido violada. La seccin Consejos para responder a una
sospecha de violacin de correo electrnico se ocupa de esta interrogante.
Recuerda, que el asegurar el correo electrnico no tendr efecto positivo si lo
que ingresas se registra por medio de un software espa (spyware) y es enviado de
manera peridica, por medio de la Internet, a un tercero. El captulo 1. Proteger tu
computadora de software malicioso (malware) y piratas informticos (hackers) te
ofrece algunos consejos sobre como evitar esta clase de cosas, y el captulo 3.
Crear y mantener contraseas te ayuda a proteger tus cuentas para el correo
electrnico y las herramientas de mensajera instantnea descritas a continuacin.
7.2 Mantener privado tu correo web

La Internet es una red abierta a travs de la cual la informacin normalmente
viaja en formato legible. Si un mensaje comn de correo electrnico es interceptado
79
en su ruta hacia el destinatario, su contenido puede ser ledo fcilmente. Y, debido a

que la Internet es una gran red que depende de computadoras intermedias para
dirigir el trfico, muchas personas distintas pueden tener la oportunidad de
interceptar un mensaje de esta manera.
Tu Proveedor de Servicio de Internet (ISP) es el primer destinatario de un
mensaje de correo electrnico cuando este inicia su viaje hacia el destinatario final.
De manera similar, el ISP del destinatario es la ltima parada para tu mensaje antes
de ser entregado. A menos que tomes ciertas precauciones, tus mensajes pueden
ser ledos o interferidos en cualquiera de estos puntos, o mientras viaja.
7.2.1 Reaccin ante sospecha de vigilancia de correo electrnico

Si sospechas que tu cuenta de correo electrnico ha sido hackeada o
intervenida, existen algunos pasos para reducir el dao. Si bien no es fcil estar
seguro, podran observarse algunos indicios, como:
cambios en la cuenta de correo electrnico o en su configuracin que no
has efectuado.
los contactos de tu lista de correo avisan que han recibido un correo que
t no enviaste.
no puedes ingresar a tu cuenta de correo electrnico, aunque ests
seguro de que la contrasea y otras configuraciones son correctas.
has dejado de recibir con regularidad algunos correos de tus colegas que
insisten haberte enviado.
cierta informacin privada que fue enviada o recibida exclusivamente por
correo electrnico fue dada a conocer a un tercero, aunque ni t ni tu
corresponsal la compartieron.
al ingresar al historial de actividad de la cuenta de correo (si tu proveedor
la ofrezce) puedes ver que ingresaron a tu cuenta en un horario que no
recuerdas o desde un lugar (o direccin IP) a la que no ingresaste.
En estas situaciones, es aconsejable tomar algunas precauciones:
Dejar de usar esa cuenta de correo electrnico para enviar informacin,
80
por lo menos hasta tener una mejor comprensin de la situacin.

Cambiar tu contrasea tan pronto como sea posible. Ver captulo 3.
Para cambiar la contrasea de tu cuenta (o para otras cuentas) es necesario
estar familiarizado con el sistema de correo electrnico que utilizas. Cambia la
contrasea de las otras cuentas que tengan la misma contrasea o una similar ya
que podran estar intervenidas. Utiliza contraseas diferentes y seguras para cada
cuenta. Cambia las contraseas de las cuentas que posees. Considera utilizar
Keepass para almacenarlas y administrarlas. Cambia las respuestas de seguridad
(si las utilizas) de las cuentas, para que sea imposible adivinar o encontrar la
respuesta buscando informacin sobre ti. Esta precaucin aplica en el caso de que
tu computador est infectado con programas espa (spyware) que podran poner en
riesgo las otras cuentas.
Si no puedes ingresar a tu cuenta para cambiar las contraseas, contacta
con tu proveedor de correo electrnico e intentar recuperar tu cuenta. Algunos
proveedores de correo electrnico cuentan con procedimientos especiales para
ayudar a los usuarios en estos casos. Conocer estos procedimientos con antelacin
puede ser de ayuda.
Debes mitigar la prdida de informacin y el impacto en tu comunidad. Es
importante contar con un plan de respuesta. Saber qu tipos de informacin
importante tienes en la cuenta y determinar aquellas personas con las cuales
intercambias informacin a travs de esa cuenta, decidir a quienes alertar y qu
otras cuentas es necesario visitar o cerrar. Determinar qu servicios (de Internet,
financieros, etc.) es necesario conservar o cancelar. Separa y controla las carpetas
de la cuenta (si es posible) para investigar qu podra haber sido enviado desde tu
cuenta y actuar en consecuencia. Para informar a tus contactos, necesitas una
copia de tu libreta de direcciones por separado. Tambin, revisa la configuracin de
tu cuenta para ver posibles cambios que se hayan producido. Controlar las opciones
de firmas de las cuentas para los enlaces y programas maliciosos (malware),
enviando opciones que permitan copiar correos electrnicos que recibes a una
tercera cuenta, mensajes de aviso de ausencia, visualizar el nombre, etc.
Investiga cmo fue intervenida tu cuenta. Ocurri porque la contrasea no
era segura, o infeccin de programas maliciosos, etc. Cuanto ms sepas sobre esto
ser mejor tu capacidad para responder ante la situacin y la posibilidad de proteger
81
a sus contactos.
Revisa la seguridad de tus dispositivos que acceden al correo electrnico
desde esa cuenta,as como los que almacenan la contrasea de su cuenta de
correo electrnico. Ver captulos 1. Proteger tu computadora de malware y piratas
informticos (hackers), 2. Proteger tu informacin de amenazas fsicas y [11. Utilizar
telfonos mviles de la forma ms segura posible]. Revise su software antivirus (vea
los manuales gua de Avast! - Anti-Virus y Spybot - Anti-Spyware. Examina tu
computador: lee 4.1 Gua corta para combatir las infecciones de virus. Utiliza un CD
o USB de rescate para realizar un examen exhaustivo, ver 4.9 Mtodos avanzados
para la eliminacin de virus. Si no ests seguro/a de que has podido limpiar tu
equipo, considera volver a instalar todo el software, inclusive el sistema operativo
desde una fuente limpia. Contempla el cambiar a programas ms seguros como
Firefox, Thunderbird, LibreOffice y otros programas de cdigo libre y abierto. Tras
realizar las mejoras mencionadas a la seguridad de tus dispositivos, cambia tus
contraseas nuevamente a nuevas, ms seguras.
Denuncia el hackeo de tu cuenta a tu proveedor de correo electrnico.
Considera utilizar otra cuenta, ms segura, como, una que notifique
cuando se ingresa desde lugares o dispositivos inusuales e impida el
acceso. Utiliza una cuenta que est albergada fuera de tu pas y usa
cifrado de correo, ver gpg4usb - texto de correo electrnico y cifrado de
archivos] o [Thunderbird con Enigmail y GPG - Cliente de correo
electrnico seguro].
Evita guardar correos ya ledos en el servidor de correo en tu cuenta de
correo electrnico. En lugar de esto, descrgalos a tu computador
seguro. Analizar la seguridad conque accedes a tu cuenta y los
dispositivos que utilizas a este fin.
En una situacin como esta, es importante actuar con rapidez y precisin.
Tener un plan preparado y ensayado puede ser de ayuda.
Si sospechas que alguien est vigilando tu correo electrnico, crea una
nueva cuenta y conserva la antigua como un seuelo. Recuerda que cualquier
cuenta con la cual hayas intercambiado correo electrnico en el pasado podra estar
tambin ahora bajo vigilancia. Toma algunas precauciones adicionales:
82
Tanto t como tus contactos de correo electrnico deben crear nuevas

cuentas y conectarse a ellas slo desde lugares, como un caf Internet, que
nunca antes hayan utilizado. Te recomendamos esta estrategia para evitar
conexiones desde la computadora que normalmente usas, la cual puede
estar vigilada, y facilitarles a quienes te vigilan la ubicacin de tu nueva
cuenta. Como alternativasi vas a iniciar sesin para tu nueva cuenta desde
tu ubicacin normal utiliza una de las herramientas del captulo 8.
Intercambia informacin sobre tu nueva direccin de correo electrnico slo

a travs de canales seguros, como reuniones cara a cara, mensajes
instantneos seguros o cifrados, conversaciones de Voz sobre Protocolo de
Internet (VoIP).
Mantn casi sin cambios el trfico en tu vieja cuenta, al menos por un

tiempo. Debes aparentar ante el espa que sigues utilizando la cuenta para
informacin importante. Evita el revelar informacin vital, pero no hacer obvio
que lo ests haciendo. Como puedes imaginar, esto puede ser algo exigente.
Condiciona el conectar tu identidad real con tu nueva cuenta. No enves

correos electrnicos entre tu nueva cuenta y las antiguas (o las de cualquier
contacto del que sospeches que tambin pueda estar vigilado).
Mantente atento a lo que escribes cuando utilices tu nueva cuenta. Evita

nombres reales y direcciones o frases como 'derechos humanos' o 'tortura.'
Desarrolla un sistema de cdigo informal con tus contactos de correo
electrnico y cmbialo peridicamente. Recuerda, la seguridad del correo
electrnico no slo trata de fuertes defensas tcnicas; es prestar atencin a
como t y tus contactos de correo electrnico se comunican y se mantienen
disciplinados con relacin a sus hbitos no tcnicos de seguridad.
7.2.2 Asegura otras herramientas de comunicacin por Internet

De manera similar que en el caso del correo electrnico, el software de
mensajera instantnea y de Voz sobre Protocolo de Internet (VoIP) puede o no ser
seguro, dependiendo de las herramientas que selecciones y cmo las uses.
83
7.2.3 Asegura tu software de mensajera instantnea

La mensajera instantnea, llamada 'chat,' no es segura, y es tan vulnerable
a la vigilancia como lo es el correo electrnico. Existen programas que te ayudan a
asegurar la privacidad de tus sesiones de chat. Sin embargo - del mismo modo que
con el correo electrnico - un canal de comunicacin seguro requiere que tanto t
como tus contactos de chat utilicen el mismo software y tomen las mismas
precauciones de seguridad.
El programa de chat llamado Pidgin admite muchos de los protocolos
existentes de mensajera instantnea, lo que significa que puedes utilizarlo sin tener
que cambiar el nombre de tu cuenta o recrear tu lista de contactos. Con el fin de
tener conversaciones privadas cifradas a travs del Pidgin, necesitas instalar y
activar el complemento Fuera de Registro (OTR). Es un proceso simple.
7.2.4 Asegura tu software de Voz sobre Protocolo de Internet (VoIP)

Las llamadas utilizando Voz sobre Protocolo de Internet (VoIP) hacia otros
usuarios del mismo protocolo son gratuitas. Algunos programas hacen llamadas
econmicas a telfonos normales, incluyendo llamadas internacionales. No es
necesario decir que estas caractersticas son extremadamente tiles. Los
programas populares de Voz sobre Protocolo de Internet (VoIP) incluyen: Skype,
Jitsi, Google Talk [2], y el Yahoo! Voice [3].
Cuando utilices conversaciones por voz para el intercambio de informacin
importante selecciona una herramienta que cifre la llamada desde tu computadora
hasta la computadora del destinatario. Utiliza software libre y de cdigo abierto,
preferiblemente aquellos que han sido revisados, probados y recomendados por una
comunidad confiable. Tomando en cuenta los criterios expuestos anteriormente,
recomendamos que pruebes Jitsi como tu eleccin para VoIP.
7.3 Seguridad de Skype

El Skype es una herramienta comn de mensajera instantnea y de VoIP
que soporta llamadas a lneas fijas y telfonos mviles. A pesar de su popularidad,
varios temas hacen de esta aplicacin un eleccin insegura. He aqu:
Skype encripta tanto mensajes como llamadas de voz, esto sucede cuando
84
ambos lados de la comunicacin utilizan Skype. ste, no cifra las llamadas a

telfonos o textos enviados por mensajes SMS.
Si ambos lados de la comunicacin utilizan Skype, su cifrado har un poco

ms segura la llamada que aquellas realizadas de forma comn por telfono.
Pero, como Skype es una programa de cdigo cerrado, es imposible realizar
una auditora independiente y una evaluacin de sus afirmaciones sobre
cifrado, as mismo es imposible verificar que tan bien protege Skype a sus
usuarios/as y su informacin y comunicacin. Ver capitulo 1.
No recomendamos a Skype como herramienta segura de comunicacin,

toma precauciones si decides utilizarlo para informacin importante:
Descarga e instala Skype de su sitio oficial www.skype.com para evitar
un programa infectado con spyware. Revisa dos veces el URL para
asegurarte de que estas conectado al sitio oficial. En algunos pases, el
sitio de Skype est bloqueado y/o algunos sitios falsos anunciando que
son el sitio oficial de Skype estn funcionando. En estos casos, la versin
disponible de Skype est infectada con malware diseado para espiar
cualquier comunicacin. Utiliza herramientas de evasin, ver Captulo 8,
para conectarse a Skype y descarga una versin genuina de l y cuando
quieras actualizar la ltima versin del programa.
Es importante que cambies tu contrasea de Skype regularmente. ste,
permite mltiples accesos a sesiones desde diferentes ubicaciones y no
te informa de estas mltiples sesiones simultneas. Esto es un riesgo si
tu contrasea se encuentra comprometida, porque cualquiera con esa
contrasea puede abrir su sesin. Las sesiones abiertas reciben todas
las comunicaciones de texto y tienen acceso al historial de llamadas.
Cambiar la contrasea es la nica forma de deshabilitar las sesiones
'ilegales' (obligando a un reinicio de sesin).
Activa la configuracin de privacidad de Skype para no guardar el
historial de los chat.
Deshabilita la configuracin del Skype para aceptar automticamente los
archivos enviados, esto es utilizado para introducir malware/spyware en
las computadoras.
85
Verifica de forma independiente la identidad de la persona con quien te

comunicas. Es sencillo hacerlo cuando realizas chat con voz ya que
sabes con quin ests hablando.
Decide si quieres que tu nombre de usuario te identifique o te relacione
con tu nombre verdadero o el nombre de tu organizacin.
Busca otras alternativas de comunicacin. Skype podra no estar
disponible en todo momento.
Ten cuidado con lo que dices, desarrolla un sistema de cdigo para
conversar sobre ciertos temas sin utilizar una terminologa especfica.
A pesar de la popularidad de Skype, las preocupaciones expuestas
cuestionan su uso seguro, recomendamos el uso de herramientas como Jitsi para
VoIP y Pidgin, con complemento Fuera de Registro (OTR), para mensajera
instantnea segura.
7.4 Seguridad avanzada de correo electrnico

Las herramientas y conceptos tratados a continuacin se recomiendan para
usuarios experimentados de computadoras.
7.4.1 Utilizar cifrado de clave (clave) pblica en correo electrnico

Es posible alcanzar un aceptable nivel de privacidad con el correo
electrnico, incluso con una cuenta de correo electrnico insegura. Para hacer esto,
debes aprender sobre cifrado de clave pblica. Con esta tcnica, cifras mensajes
individuales, hacindolos ilegibles a cualquiera que no sea el destinatario previsto.
El aspecto del cifrado de clave pblica es que no tiene que intercambiar informacin
secreta con tus contactos sobre cmo vas a cifrar tus mensajes en el futuro.
Esta tcnica, es vlida a cualquier servicio de correo electrnico, incluso para
uno que no cuente con un canal de comunicacin seguro, ya que los mensajes
individuales son cifrados antes de dejar tu computadora.
Recuerda que al utilizar el cifrado atraes la atencin hacia ti. El tipo de
cifrado utilizado al acceder a un sito web seguro, incluyendo una cuenta de correo
con interfaz web, se ve a menudo con menor sospecha que la del tipo de cifrado de
86
clave pblica del que nos ocupamos aqu. En algunas circunstancias, si un correo
electrnico que contiene datos cifrados es interceptado o publicado en un foro
pblico, podra incriminar a la persona que lo envi, sin considerar el contenido del
mensaje. Tendrs que seleccionar entre la privacidad de tu mensaje y la necesidad
de mantenerte sin llamar la atencin.
7.4.2 Cifrar y autenticar mensajes individuales

El cifrado de clave pblica puede parecer complicado al inicio, pero es
directo una vez que has entendido los fundamentos y que las herramientas no son
difciles de utilizar. El programa gpg4usb es simple, de fcil uso para el usuario y
porttil, cifra textos y archivos para mensajes de correo electrnico incluso cuando
no ests conectado a la Internet.
Utiliza el programa de correo electrnico de Mozilla Thunderbird con un
complemento llamado Enigmail para cifrar y descifrar mensajes de correo
electrnico.
VaultletSuite 2 Go, software gratuito de cifrado de correos electrnicos, ms
fcil de utilizar que Thunderbird si optas por confiar en la compaa que lo provee y
le dejas realizar parte del trabajo por ti.
La autenticidad de tu correo electrnico es otro aspecto de la seguridad en
las comunicaciones. Cualquiera con acceso a la Internet y las herramientas
correctas puede suplantarte enviando mensajes desde un correo electrnico falso
idntico al tuyo. El peligro es aparente cuando se considera desde la perspectiva del
destinatario. Imagina, la amenaza planteada por un correo electrnico que aparenta
ser de un contacto confiable pero en realidad es de alguien cuyo objetivo es
perturbar tus actividades o conocer informacin sobre tu organizacin.
Debido a que no podemos ver o escuchar a nuestros corresponsales a
travs del correo electrnico, debemos confiar en la direccin del remitente para
verificar su identidad, razn por la cual somos engaados por correos electrnicos
falsos. Las Firmas digitales - las cuales se sostienen en el cifrado de clave pblica proporcionan un medio seguro de probar la identidad de uno cuando enva un
mensaje. La gua del gpg4usb Porttil o la seccin Utilizar Enigmail con GnuPG en
Thunderbird de la Gua del Thunderbird explica en detalle cmo se hace esto.
87
8 Mantener el anonimato y evadir la censura en

Internet
Muchos pases han instalado software que evita que los usuarios del pas
accedan a ciertos sitios web y servicios de Internet. Las compaas, colegios y
bibliotecas pblicas a menudo utilizan un software similar para proteger a sus
empleados, estudiantes y clientes de material que consideran molesto o daino.
Este tipo de tecnologa de filtrado viene en diferentes formas. Algunos filtros
bloquean sitios de acuerdo a su direccin IP, otros ponen en su lista negra ciertos
nombres de dominio o buscan a travs de las comunicaciones no cifradas en
Internet palabras claves especficas.
Sin importar el mtodo de filtrado presente, casi siempre es posible evadirlos
confiando en computadoras intermediarias, fuera del pas, para acceder a servicios
bloqueados para ti. Este proceso se llama evasin de censura, o simplemente
evasin, y las computadoras intermedias se llaman proxy. Tambin existen proxy de
diferentes formas. Este capitulo incluye un breve tratamiento de redes de anonimato
multiproxy seguido de una descripcin ms al detalle de proxy de evasin bsica y
de cual es su forma de funcionamiento.
Ambos mtodos son maneras efectivas de evadir los filtros de Internet, el
primero es ms apropiado si estas dispuesto a sacrificar velocidad con el fin de
mantener tus actividades en Internet lo ms annimas posibles. Si conoces y
confas en la persona o en la organizacin que opera tu proxy, o si el desempeo es
ms importante para ti que el anonimato, un proxy de evasin bsica te ser til.
8.1 Comprender la censura en Internet

Las investigaciones llevadas a cabo por organizaciones como OpenNet
Initiative (ONI)16 y Reporteros Sin Fronteras (RSF)17 indican que muchos pases
filtran una amplia variedad de contenido social, poltico y de 'seguridad nacional',
aunque raramente publican listas precisas de lo bloqueado.
16 La misin de ONI es identificar y documentar el filtrado de Internet y la vigilancia, y promover e
informar a los dilogos pblicos ms amplios sobre este tipo de prcticas.
17 RSF promueve y defiende la libertad de informar y de ser informado en cualquier lugar del
mundo
88
Naturalmente, aquellos que controlan el acceso de sus ciudadanos a la

Internet tambin hacen un esfuerzo especial para bloquear proxy y sitios web
conocidos con herramientas e instrucciones para ayudar a las personas a evadir
estos filtros.
A pesar de la garanta de libre acceso a la informacin consagrada en el
Artculo 19 de la Declaracin Universal de los Derechos Humanos, el nmero de
pases involucrados en la censura de Internet se ha incrementado en los ltimos
aos. A medida que la prctica de filtrado de Internet se disemina en el mundo, de
igual manera lo hace el acceso a las herramientas de evasin que han sido creadas,
utilizadas y publicitadas por activistas, programadores y voluntarios.
Previo a explorar las distintas maneras de evadir la censura en Internet,
debes desarrollar un entendimiento bsico de cmo funcionan estos filtros. Para
hacerlo, es til considerar un modelo simplificado de tu conexin a Internet.
8.1.1 Tu conexin a Internet

El primer paso de tu conexin a Internet se hace a travs del Proveedor de
Servicio de Internet (ISP) en casa, oficina, colegio, biblioteca o caf Internet. Este
Proveedor le asigna a tu computadora una direccin IP, la cual puede ser utilizada
por varios servicios de Internet para identificarte y enviarte informacin, como los
correos electrnicos y pginas web que solicites. Cualquiera que conozca tu
direccin IP sabe, ms o menos, en que ciudad te hallas. Algunas organizaciones en
tu pas, pueden utilizar esta informacin para determinar tu ubicacin precisa.
Tu Proveedor de Servicio de Internet (ISP) sabr en qu edificio ests o qu
lnea telefnica ests utilizando si accedes a Internet a travs de un mdem.
Tu caf Internet, biblioteca o negocio sabr que computadora estuviste
utilizando en un momento determinado, as como a qu puerto o a qu punto de
acceso inalmbrico estuviste conectado.
Las agencias gubernamentales pueden conocer estos detalles, como
resultado de su influencia sobre las organizaciones arriba mencionadas.
En este punto, tu Proveedor de Servicio de Internet (ISP) descansa en la
infraestructura de la red en tu pas para conectar a sus usuarios, incluyndote, con
el resto del mundo. En el otro extremo de tu conexin, el sitio web o el servicio de
89
Internet al cual ests accediendo pasa por un proceso similar, habiendo recibido su
propia direccin IP de su Proveedor de Servicio de Internet (ISP) en su pas. Incluso
sin los detalles tcnicos, un modelo bsico es til cuando piensas en las varias
herramientas que te permiten rodear los filtros y mantenerte annimo en la Internet.
8.1.2 Cmo son bloqueados los sitios web

Esencialmente, cuando visualizas una pgina web, muestras la direccin IP
del sitio a tu Proveedor de Servicio de Internet (ISP) y solicitas conectarte con el
servidor web. Y har eso, si tienes una conexin de Internet no filtrada. Si te
encuentras en un pas que censura la Internet, ste consulta primero la lista negra
de sitios web prohibidos y luego decide si accede o no a tu solicitud.
En algunos casos, puede haber una organizacin central que maneja el
filtrado en lugar de los mismos Proveedor de Servicio de Internet (ISP). A menudo,
una lista negra contiene nombres de dominio, como www.blogger.com, en vez de
direcciones IP.
En algunos pases, el software de filtrado controla tu conexin, en vez de
intentar bloquear direcciones especficas en Internet. Este tipo de software escanea
las solicitudes que hiciste y las pginas que regresan a ti, buscando palabras claves
para luego decidir si te permite o no ver los resultados.
Para empeorar las cosas, cuando una pgina web es bloqueada ni siquiera
lo sabes. Aunque algunos filtros proporcionan una 'pgina de bloqueo' que explica
porque una pgina en particular ha sido censurada, otras muestran mensajes de
error desorientadores. Estos mensajes pueden implicar que la pgina no puede ser
encontrada o que la direccin fue mal ingresada.
En general, lo fcil es adoptar la perspectiva correspondiente al peor caso
hacia la censura de Internet, en vez de intentar investigar las fortalezas y
debilidades de las tecnologas de filtrado utilizadas en tu pas. En otras palabras,
puedes asumir que:
Tu trfico en Internet est controlado por palabras claves.
El filtrado est implementado directamente al nivel del Proveedor de
Servicio de Internet (ISP).
90
Los sitios bloqueados son considerados en listas negras tanto por las
direcciones IP como por nombres de dominio.
Te pueden dar diversas razones para explicar porque un sitio bloqueado
no se descarga.
Debido a que las herramientas de evasin ms efectivas pueden ser
utilizadas sin importar que mtodos de filtrado estn en funcionamiento,
generalmente no hace dao hacer esta asuncin pesimista.
8.2 Entender la evasin de la censura

Si no accedes directamente a un sitio web debido a que est bloqueado por
uno de los mtodos tratados anteriormente, necesitas una forma para rodear la
obstruccin. Un servidor proxy seguro, localizado en un pas que no filtra la Internet
te proporciona esta clase de desvo buscando las pginas web que solicitas y, luego
enva dichas paginas a tu Pc. Desde la perspectiva de tu Proveedor de Servicio de
Internet (ISP) apareces comunicndote de manera segura con una computadora
desconocida (el servidor proxy) en algn lugar de la Internet.
Obviamente, la agencia gubernamental a cargo de la censura de Internet en
tu paso la compaa que proporciona actualizaciones para su software de filtrado
finalmente podran saber que esta 'computadora desconocida' es realmente un
proxy de evasin. Si esto ocurre, su direccin IP puede ser aadida a la lista negra,
y no funcionar ms. Sin embargo, toma algn tiempo el bloqueo de los proxy, y
aquellos quienes crean y actualizan las herramientas de evasin estn conscientes
de esta amenaza.
Los creadores de sitios de evasin responden utilizan uno o los dos mtodos
mostrados a continuacin:
1. Los Proxy annimos son difciles de identificar. Es una de las razones
por la que es importante utilizar proxy seguros, los cuales son menos obvios.
Sin embargo, el cifrado es slo parte de la solucin. Los operadores de un
proxy tambin deben ser cuidadosos cuando dan su ubicacin a nuevos
usuarios si desean que se mantenga el anonimato.
2. Los Proxy desechables son reemplazados rpidamente despus de ser
91
bloqueados. El proceso de informar a los usuarios de como hallar los proxy

de reemplazo puede no ser particularmente seguro. En vez de ello, las
herramientas de evasin de este tipo a menudo tratan de distribuir los
nuevos proxy ms rpido que su proceso de bloqueo.
Al final, mientras sea posible tener a la mano un proxy confiable para que te
traiga los servicios que solicitas, todo lo que debes hacer es enviar tu solicitud y ver
que regrese utilizando la aplicacin apropiada de Internet. Los detalles de este
proceso son manejados automticamente por el software de evasin que instalaste
en tu computadora, al modificar las opciones de tu navegador o dirigindolo a una
pgina proxy basada en la web. La red annima Tor18, descrita en la seccin
siguiente, utiliza el primer mtodo.
A continuacin, el tpico de herramientas de evasin proxy bsicas, nicas,
cada una de las cuales funciona de manera diferente.
8.2.1 Cmo configurar un proxy en Firefox

1. Haz clic en el men de Firefox. Pasa por las "Opciones" y selecciona
"Opciones" del submen.
2. Abre la categora "Avanzado". Est a la derecha del todo en la lista. Haz clic
en la pestaa de "Red".
3. Haz clic en el botn de "Ajustes". Se abre la ventana de "Ajustes de
conexin".
4. Elige "Configuracin manual de proxy". Esto te permite introducir la
informacin en los campos situados debajo.
5. Introduce tu informacin proxy.
1. Introduce el servidor proxy al que te conectas en el campo "HTTP Proxy".
Si necesitas introducir un puerto especfico, introdcelo en el campo de
"Puerto".
18 Tor usa el protocolo Diffie Hellman, sobre una conexin TLS de una capa inferior previamente
establecida, para procurarse claves de sesin entre el cliente y los nodos de enrutamiento de la red.
Esas claves son usadas para cifrar las capas de cebolla de los paquetes que transitan por la red.
92
2. Si te conectas a un proxy FTP diferente, introdcelo en el campo "Proxy

FTP". Si quieres usar un servidor proxy para todos los protocolos, marca
la casilla debajo del campo "HTTP Proxy".
3. Presiona "OK" para guardar tus cambios. Puede que necesites reiniciar
Firefox para que los cambios surtan efecto.
8.2.1.Uso del modo de navegacin annima para una navegacin privada

Puedes abrir una ventana de incgnito en tu computadora o dispositivo mvil
para evitar que Chrome guarde tu historial de navegacin.
En una computadora
1. Abre Chrome.
2. En esquina superior derecha del navegador, clic en men de Chrome
3. Selecciona Nueva ventana de incgnito.

4. En la esquina superior derecha, se abre una ventana nueva con una figura
gris.
5. Para cerrar el modo de navegacin de incgnito, desplzate hasta la esquina
de cada una de tus ventanas de incgnito y haz clic en la X.
El modo de navegacin de incgnito no est disponible si la cuenta es parte
del "Modo de familia" de Windows 10.
Sugerencia: Tambin puedes presionar Ctrl + Mays + N (Windows, Linux y
Chrome) y - Mays N (Mac) para abrir una ventana de incgnito.
En un dispositivo Android
1. Abre una ventana de Chrome.
2. Toca el men de Chrome, que puede tener el aspecto de tres puntos
una pestaa
3. Toca Nueva pest. de incgnito.
93
o de
4. Se abre una ventana nueva con un cono de incgnito gris
5. Para cerrar el modo de navegacin de incgnito:

1. Si tienes Android 5.0 (Lollipop) o una versin posterior, deslzate en Chrome
desde la parte superior y toca Chrome: Cerrar todas las ventanas de incgnito.
2. Si tienes una versin anterior de Android, desplzate hasta la esquina de
cada una de tus ventanas de incgnito y toca la X.
En un iPhone o iPad
1. Abre una ventana de Chrome.
2. Abre el cono del men de Chrome
3. Selecciona Nueva pestaa de incgnito*.

4. Se abre una ventana nueva con un cono de incgnito gris
5. Para cerrar el modo de navegacin de incgnito, desplzate hasta la

esquina de cada una de tus ventanas de incgnito y toca la X.
Nota: Tu iPhone o iPad pueden almacenar informacin de algunos sitios web
que visitas en modo de navegacin de incgnito, incluso si Google Chrome no lo
hace. Esto se debe a que las pestaas del modo de navegacin de incgnito y del
modo normal comparten almacenamiento local de HTML5 en dispositivos iOS. Los
sitios web HTML5 pueden obtener esta informacin sobre tu visita en esta rea de
almacenamiento.
Puedes cambiar entre una ventana de incgnito y una ventana normal que
tengas abierta. Sin embargo, solo estars en modo de navegacin de incgnito
cuando uses la ventana de incgnito.
8.2.3. Cmo funciona el modo de navegacin de incgnito

El modo de navegacin de incgnito abre una ventana nueva donde puedes
navegar en Internet sin que Chrome guarde los sitios que visitas. En el modo de
navegacin de incgnito, puedes abrir muchas pestaas y navegar hacia atrs y
hacia adelante en las pginas que visitas. Cuando cierres las pestaas, Chrome no
guardar los sitios que visitaste.
94
Ten cuidado. A continuacin, se indican algunas fuentes que todava pueden

ver la actividad de navegacin, incluso en el modo de navegacin de incgnito:
tu proveedor de servicios
tu empleador
el sitio web correspondiente
Descargas
Chrome no guardar un registro de los archivos que descargues en el modo
de navegacin de incgnito. Sin embargo, los archivos descargados se guardarn
en la carpeta Descargas de tu computadora, donde t y otros usuarios podrn verlos
y abrirlos, incluso despus de cerrar las pestaas de incgnito.
Para obtener ms informacin acerca de lo que se almacena en el modo de
navegacin de incgnito, consulta la poltica de privacidad de Chrome.
Salir y cerrar el modo de navegacin de incgnito

Para cerrar el modo de navegacin de incgnito, desplzate hasta la esquina
de cada una de tus ventanas de incgnito y haz clic o toca la X. Si tienes Android
5.0 (Lollipop) o una versin posterior, deslzate en Chrome desde la parte superior y
toca Chrome: Cerrar todas las ventanas de incgnito.
8.2.2 Por qu esconder la IP?

Una IP define los dispositivos de una red de modo parecido a como tu huella
dactilar te distingue de otras personas.
Cuando navegas por Internet los sitios web pueden averiguar tu IP. Es como
ir dejando huellas en las pginas que visitas. Eso tiene varios riesgos. Alguien que
rastree tu IP y otros datos sobre tu PC podr:
Conocer tus hbitos de navegacin y lo que haces en linea.
Averiguar todo tipo de informaciones adicionales sobre ti. Desde tu e-mail
a tu telfono o incluso tu direccin fsica.
95
Descubrir vulnerabilidades que ataquen tu PC y roben datos personales.

Incluidas contraseas de acceso a tu banco en linea o tu correo
electrnico.
Ocultar tu IP
Hay tres formas de esconder la IP mediante un servidor proxy o varios de
ellos encadenados:
Proxy web
Es el mtodo ms simple e inmediato. No hace falta instalar algn software
ni configurar tu navegador. Accede a ellos entrando en un sitio web. Tienen un
campo donde indicar la direccin de la pgina a visitar annimamente.
Algunos permiten configuraciones adicionales para bloquear cookies,
banners publicitarios (ads) o aplicaciones que se ejecutan en los sitios web (como
javaScripts o ActiveX). Esto se usa para descubrir la IP que intentas esconder.
Los hay gratuitos y de pago. Los primeros ofrecen opciones extra que hay
que pagar. Cosas como una navegacin rpida o mayores prestaciones.
Prueba estos dos:
Proxify. Rpido y funciona bien. Permite de modo gratuito conexiones
cifradas mediante SSL y https, lo que refuerza su seguridad al esconder
tu IP.
Anonymouse. Una alternativa a Proxify. No puede personalizarse y el
cifrado no se incluye en la versin gratuita. Pero tiene la opcin de enviar
e-mails annimos (AnonEmail) o publicar con privacidad en grupos de
noticias (AnonNews).
Proxy de software
Tienes que instalarlo en tu PC como haras con cualquier programa. Mi
favorito de este tipo es el PROYECTO TOR. Es gratis y uno de los sistemas ms
seguros y fiables para esconder la IP.
Para instalar Tor en tu PC:
1. Entra en la pgina de descargar de Tor.
96
2. Debajo del botn Download Tor Browser Bundle hay una lista de idiomas
disponibles. Es mejor que mantengas el ingls, pero si quieres elige el
espaol. Seleccionado el idioma presiona el botn de Download.
3. Guarda en tu PC el archivo de instalacin. Cuando termine de
descargarse ve hasta donde est y haz doble clic en l. Se llama algo
como torbrowser-install-[n de versin]_[idioma] (como torbrowser-install3.5.2.1_en-US). Confirma que el archivo se ejecute si hace falta.
4. Si sale la opcin de elegir idioma, selecciona el que quieras en la lista
desplegable. Despus presiona OK. Mantn la carpeta de instalacin por
defecto que te propone una nueva ventana y presiona Install. Luego
presiona Finish.
5. Se crea una carpeta con el nombre Tor Browser en el Escritorio. Entra en
esa carpeta y haz doble clic en Start Tor Browser para empezar a
navegar annimamente. La primera vez debes pulsar Connect.
IMPORTANTE: Para garantizar tu anonimato tienes que utilizar SIEMPRE el
Tor Browser, que se abre como acabo de explicar en el punto 5.
Tor Browser es una versin especial de Firefox (Aurora). Se usa casi igual
que tu navegador de costumbre. Lo usan todo tipo de personas para mantener el
anonimato en Internet. Incluidos periodistas o disidentes de pases dictatoriales que
de otro modo se pondran a s mismos en peligro.
La red Tor est compuesta por una gran cantidad de Pc repartidos por el
mundo (nodos o relays Tor). Cuando alguien navega usando Tor lo hace siguiendo
un camino aleatorio a travs de varios de esos nodos, hasta llegar al sitio web de
destino.
Las comunicaciones dentro de Tor estn cifradas. Es muy difcil reconstruir el
camino seguido y rastrear su origen (a ti).
8.2.3 Cmo protegerte

Esconder la IP de un PC tiene su ciencia. No puedes cambiarla para ocultar
la verdadera. Igual que no puedes cambiar a voluntad tus huellas o tu cara.
Lo que s puedes hacer es usar una especie de mscara que engae a quien
97
pretende rastrear tu IP. Eso se consigue mediante lo que se llama un servidor proxy.
En condiciones normales navegas por Internet a cara descubierta, podra
decirse. Usas por ejemplo un navegador como Explorer 9. Escribes en l una
direccin que te conecta sin filtros con un sitio web y ste puede por ello saber tu IP
(reconocer tu cara).
Un servidor proxy es un intermediario entre t e Internet. Para acceder a un
sitio web te conectas al proxy y l quien se conecta a ese sitio web. La direccin IP
que aparece no es la tuya, sino la del servidor proxy (lo que ve es una mscara, no
tu verdadera cara).
Importante sobre la navegacin annima:
NINGN mtodo para esconder la IP es seguro al 100%. Una
organizacin con recursos suficientes como una agencia de
inteligencia- puede rastrearte. Los servicios de anonimato deben
usarse para mantener tu privacidad y no para cometer actos ilegales.
Cuando navegas annimamente algunos sitios web pueden no
funcionar. O no hacerlo bien del todo. Quiz no veas vdeos o
ejecutes ciertas aplicaciones de la pgina.
La navegacin annima es siempre ms lenta que la normal. La
diferencia suele ser mayor cuanto ms seguro es el mtodo usado.
8.3 Redes annimas y servidores proxy bsicos

8.3.1 Redes annimas
Las redes annimas normalmente 'hacen rebotar' tu trfico de Internet entre
varios proxy seguros con el fin de disfrazar de donde vienes y a que estas tratando
de acceder. Esto puede reducir significativamente la velocidad a la cual eres capaz
de descargar las pginas web y otros servicios de Internet. Sin embargo, en el caso
de Tor, este tambin te proporciona un medio confiable, seguro y pblico de evasin
que te ahorra el preocuparte si confas o no en las personas que operan tus proxy y
los sitios web que visitas. Como siempre, debes garantizar que tienes una conexin
cifrada, utilizando HTTPS, para un sitio web seguro antes de intercambiar
98
informacin importante, como contraseas y correos electrnicos, a travs de un

navegador.
Tienes que instalar software para utilizar el Tor, pero el resultado es una
herramienta que te proporciona anonimato as como evasin. Cada vez que te
conectas a la red del Tor, seleccionas una ruta aleatoria a travs de tres proxy
seguros del Tor. Esto garantiza que ni tu Proveedor de Servicio de Internet (ISP) ni
los mismos proxy conozcan tanto la direccin IP de tu computadora y al mismo
tiempo la ubicacin de los servicios de Internet que solicitas. Puedes aprender ms
sobre esta herramienta en la Gua del Tor.
Una de las fortalezas del Tor es que no slo trabaja con navegador sino que
puede ser utilizado con varios tipos de software de Internet. Los programas de
correo electrnico, entre ellos el Mozilla Thunderbird, y los programas de mensajera
instantnea, incluyendo al Pidgin, pueden ser operados a travs del Tor, ya sea para
acceder a servicios filtrados o para esconder el uso que le das a dichos servicios.
8.3.2 Proxy bsicos de evasin

Existen tres importantes caractersticas que debes considerar cuando
seleccionas un proxy bsico de evasin. Primero, es una herramienta basada en la
web? o requiere que cambies las opciones o que instales software en tu
computadora? Segundo, es seguro? Tercero, es pblico o privado?
8.3.3 Proxy basados en la web y otros

Los proxy basados en la web son los ms fciles de usar. Slo requieren que
apuntes tu navegador hacia una pgina web proxy, ingreses la direccin filtrada que
deseas ver y pulses un botn. El proxy entonces muestra el contenido solicitado
dentro de su propia pgina web. Puedes normalmente seguir los enlaces o ingresar
una nueva direccin en el proxy si deseas ver una nueva pgina. No necesitas
instalar ningn software o cambiar alguna opcin de navegador, lo cual significa que
los proxy basados en la web son:
Fciles de usar
Asequibles desde computadoras pblicas, como aquellas en los cafs
Internet, las cuales no podran permitirte instalar programas o cambiar
99
opciones
Son potencialmente seguros si ests preocupado acerca de ser
'sorprendido' con software de evasin en tu computadora.
Los proxy basados en la web tambin tienden a tener ciertas desventajas.
No siempre muestran correctamente las pginas, y muchos proxy basados en la
web no lograrn descargar sitios web complejos, entre ellos los que presentan
archivos de audio simultneo y contenido de video.
Adems, mientras que un proxy se har mas lento mientras sea utilizado por
ms usuarios, esto podra ser problemtico con los proxy pblicos basados en la
web. Los proxy basados en la web slo funcionan para pginas web. No puedes
utilizar un programa de mensajera instantnea o un cliente de correo electrnico
para acceder a servicios bloqueados a travs de un proxy basado en la web.
Finalmente, los proxy basados en la web ofrecen una confidencialidad
limitada debido a que ellos mismos deben acceder y modificar la informacin de
retorno hacia ti proveniente de los sitios web que visitas. Si no lo hicieran, seras
incapaz de presionar en un enlace sin dejar atrasado al proxy e intentar hacer una
conexin directa hacia la pgina web objetivo.
Otros tipos de proxy requieren que instales un programa o configures una
direccin externa de un proxy en tu navegador o sistema operativo. En el primer
caso, tu programa de evasin normalmente proporcionar alguna forma de activar y
desactivar la herramienta, para indicarle a tu navegador si debe o no utilizar el
proxy. El software de este tipo a menudo te permite cambiar automticamente de
proxy si uno de ellos es bloqueado, como se trat anteriormente. En el segundo
caso, necesitars saber la direccin correcta del proxy, la cual cambiar si dicho
proxy es bloqueado o se vuelve tan lento que se convierta en intil.
Aunque esto puede ser ms difcil de utilizar que un proxy basado en la web,
este mtodo de evasin esta mejor dotado para mostrar pginas complejas de
manera correcta y le tomar mucho ms tiempo ralentizarse a medida que las
personas utilicen un proxy dado. Adems, pueden encontrarse proxy para varias
aplicaciones diferentes de Internet. Los ejemplos incluyen proxy HTTP para
navegadores, SOCKS para programas de correo electrnico y mensajera (chat) y
VPN que pueden redireccionar todo tu trfico de Internet para evitar el filtrado.
100
8.3.4 Proxy seguros e inseguros

Un proxy seguro se refiere a cualquier proxy que permita conexiones cifradas
de sus usuarios. Un proxy inseguro te permite evadir muchos tipos de filtro pero
fracasar si tu conexin de Internet esta siendo escaneada en busca de palabras
claves o de direcciones de pginas web. Es malo utilizar un proxy inseguro para
acceder a sitios web que normalmente estn cifrados, como aquellos de cuentas de
correo electrnico con interfaz web y pginas web bancarias. Al hacerlo, podras
estar exponiendo informacin importante que normalmente estara escondida. Y,
como se mencion anteriormente, los proxy inseguros a menudo son ms fciles de
descubrir y bloquear por parte de aquellos que actualizan el software y la polticas
de filtrado de Internet. Al final, el hecho de que existan proxy libres, rpidos, seguros
significa que existen muy pocas razones para decidirse por uno inseguro.
Tu sabrs si un proxy basado en la web es seguro o inseguro si puedes
acceder a las mismas pginas web del proxy utilizando direcciones HTTPS. Del
mismo modo que con los servicios de correo con interfaz web, las conexiones
seguras e inseguras pueden ser admitidas, de modo que debes estar seguro de
utilizar una direccin segura. Puede pasar que, en dichos casos, se pida aceptar
una 'advertencia de certificado de seguridad' de tu navegador con el fin de continuar.
Este es el caso para el proxy Peacefire. Advertencias como estas te indican que
alguien, como tu Proveedor de Servicio de Internet (ISP) o un pirata informtico
(hacker), podra estar vigilando tu conexin al proxy. A pesar de estas advertencias,
podra ser una buena idea utilizar proxy seguros en la medida de lo posible. Sin
embargo, cuando confes en tales proxy para evasin, debes evitar visitar sitios web
seguros, a menos que verifiques la huella digital Capa de Conexin Segura (SSL)
del proxy. Con el fin de hacer esto, necesitars una manera de comunicarte con el
administrador del proxy. En general, es mejor evitar ingresar contraseas o
intercambiar informacin importante cuando utilices un proxy web
El Apndice C de la Gua de Usuario del Psiphon [3] explica los pasos que
tanto t, como el administrador del proxy verifiquen la huella digital del proxy.
Evita el acceder a informacin importante a travs de un proxy basado en la
web a menos que confes en la persona que lo dirige. Esto se aplica sin importar si
ves o no una advertencia de certificado de seguridad cuando visitas el proxy. Incluso
se aplica si conoces lo suficiente al operador del proxy para verificar la huella digital
101
del servidor antes de dirigir tu navegador a aceptar la advertencia. Cuando confas

en un nico proxy para la evasin, su administrador conocer en todo momento tu
direccin IP y el sitio web al que ests accediendo. Sin embargo, es mucho ms
importante considerar que si ese proxy est basado en la web, un operador
malicioso podra tener acceso a toda la informacin que pasa entre tu navegador y
los sitios web que visitas, incluyendo el contenido de tu correo con interfaz web y tus
contraseas.
Para los proxy que no estn basados en la web, debes investigar un poco
para determinar si admiten conexiones seguras o inseguras. Todas los proxy y las
redes annimas recomendadas en este capitulo son seguros.
8.3.5 Proxy privados y pblicos

Los proxy pblicos aceptan conexiones de cualquiera, mientras que los
privados normalmente requieren un nombre de usuario y una contrasea. Mientras
que los proxy pblicos tienen la obvia ventaja de estar disponibles libremente,
asumiendo que puedan ser hallados, estos tienden a saturarse muy rpidamente.
Como resultado de ello, aunque los proxy pblicos sean tcnicamente tan
sofisticados y bien mantenidos como los privados, estos son a menudo
relativamente lentos. Finalmente, los proxy privados tienden a ser dirigidos ya sea
por lucro o por administradores que crean cuentas para sus usuarios a quienes
conocen personal o socialmente. Debido a esto, es generalmente muy fcil
determinar que motiva a un operador de un proxy privado. Sin embargo, no debes
asumir que los proxy privados son por tanto bsicamente ms confiables. Despus
de todo, motivos de lucro han conducido en el pasado a los servicios en lnea a
exponer a sus usuarios.
Proxy simples, inseguros y pblicos pueden a menudo encontrarse
ingresando trminos como 'proxy pblico' en un buscador, pero no debes confiar en
proxy descubiertos de esta manera. Dada la oportunidad, es mejor utilizar un proxy
seguro y privado conducido por personas que conoces y en las que confas, ya sea
personalmente o por su reputacin, y quienes tienen las habilidades tcnicas para
mantener su servidor seguro. Ya sea que utilices o no un proxy basado en la web
depender de tus particulares necesidades y preferencias. En cualquier momento
en que utilices un proxy para evasin, es una buena idea utilizar tambin el
navegador Firefox e instalar el complemento NoScript, como se trat en la Gua del
102
Firefox. El hacerlo puede ayudarte a protegerte tanto de proxy maliciosos como de

sitios web que pueden tratar de descubrir tu verdadera direccin IP. Finalmente, ten
en cuenta que incluso un proxy cifrado no tornar un sitio web inseguro en uno
seguro. Debes garantizar que tienes una conexin HTTPS antes de enviar o recibir
informacin importante.
Si eres incapaz de encontrar en tu pas una persona, una organizacin o una
compaa cuyo servicio proxy consideres confiable, asequible y accesible, debes
pensar en utilizar la red annima del Tor, de la cual nos ocupamos anteriormente en
la parte de Redes annimas.
8.4 Proxy especficos de evasin

A continuacin hay unas cuantas herramientas y proxy especficos que
pueden ayudarte a evadir el filtrado de Internet. Nuevas herramientas de evasin
son producidas regularmente, y las existentes son actualizadas frecuentemente, por
tanto para saber ms debes visitar el sitio web en lnea de la Caja de Herramientas
de Seguridad, y los sitios mencionados en las seccin de Lecturas Adicionales que
se halla a continuacin.
8.4.1 Red Virtual Privada (VPN) basado en proxy

Los VPN proxy que se describen a continuacin hacen que tu conexin
completa a internet pasen por el proxy mientras ests conectado. De mucha utilidad
si usas proveedores de correo electrnico o mensajera instantnea que se
encuentran filtrados en su pas.
Riseup VPN. Es para usuarios que tienen cuentas de correo en el servidor
de Riseup. Ofrece la posibilidad de conectarse a un servidor con un VPN proxy
gratuito, privado y seguro.
Hotspot Shield, es un proxy de evasin pblico, seguro, VPN y gratuito. La
compaa que lo desarrolla recibe fondos de anunciantes, de modo que veras una
pancarta publicitaria en la parte superior de la ventana de tu navegador cada vez
que lo uses para visitar sitios web que no proporcionan cifrado. A pesar de que es
imposible de verificar, esta compaa afirma borrar la direccin IP de quienes utilizan
la herramienta, en vez de almacenarla o enviarla a sus anunciantes.
103
Your-Freedom es un proxy de evasin privado, seguro y no basado en web.

Es una herramienta de software gratuito que puede utilizarse para acceder a un
servicio de evasin sin costo. Puedes pagar un cargo para acceder a un servicio
comercial, el cual es ms rpido y tiene menos limitaciones. Para utilizarlo
necesitars descargar la herramienta y crear una cuenta, ambas acciones pueden
realizarse en el sitio web de Your-Freedom. De manera similar necesitars
configurar tu navegador para utilizar el proxy OpenVPN cuando te conectes a la
Internet.
Freegate es un proxy de evasin pblico, seguro, VPN y gratuito.
SecurityKISS es un proxy de evasin pblico, seguro, VPN y gratuito. No
hay necesidad de registrar una cuenta. Los usuarios/as de forma gratuita estn
restringidos a utilizar un lmite diario de 300MB del trfico de internet por medio del
proxy. Para los suscriptores no existen restricciones y ms servidores VPN para
usar.
Psiphon3 es un proxy de evasin pblico y seguro que utiliza tecnologa de
proxy VPN, SSH y HTTP para facilitar tu acceso a contenido de Internet sin censura.
Adems, funciona asimismo con dispositivos Android.
8.4.2 Proxy Web

Peacefire mantiene un gran nmero de proxy pblicos basados en la web,
los cuales pueden ser seguros e inseguros dependiendo de como accedes a ellos.
Cuando lo utilices, debes ingresar la direccin HTTPS con el fin de tener una
conexin segura entre t y el proxy. Los nuevos proxy se anuncian a travs de una
larga lista de correo de manera regular.
104
9. Protegerte a ti mismo y a tus datos al utilizar

sitios de redes sociales
Las comunidades en lnea han existido desde la invencin de la Internet.
Primero haban tablones de anuncios y listas de correo electrnico, las cuales le
dieron a las personas la oportunidad de conectarse, comunicarse y compartir
informacin sobre temas particulares. Hoy en da, los sitios web de redes sociales
han expandido el rango de posibles interacciones, compartiendo mensajes,
imgenes, archivos e incluso informacin actualizada al minuto acerca de lo haces y
donde estas. Estas funciones no son nuevas o nicas estas acciones pueden ser
ejecutadas por Internet sin tener que unirse a un sitio de redes sociales.
Recuerda que los sitios de redes sociales son propiedad de empresas
privadas, y que hacen dinero recolectando datos sobre personas y vendindolos,
especialmente a anunciantes. Cuando ingresas al sitio de una red social, dejas atrs
las libertades de Internet e ingresas a una red gobernada y regida por los dueos
del sitio. Las configuraciones de privacidad slo suponen tu proteccin de otros
miembros de la red social, pero no protegen tus datos de los propietarios del
servicio. Bsicamente estas cediendo tus datos a los propietarios y que se los
confias a ellos.
Las redes sociales son tiles y promueven la interaccin social tanto en lnea
como fuera de ella, si las utilizas podras estar poniendo tu informacin a disposicin
de personas que quieran hacer mal uso de ella.
Piensa en las redes sociales como si fueran una enorme fiesta. Ah hay
personas que conoces, as como otras que no conoces. Imagina caminar a travs
de la fiesta con tus detalles personales y explicando lo que piensas, cada
pensamiento es actualizado al minuto, escrito en un gran aviso adherido a tu
espalda de modo que puedan leerlo, incluso sin que lo sepas. Realmente deseas
que sepan todo sobre ti?
Si trabajas con informacin y tpicos vitales, y ests interesado en utilizar los
servicios de las redes sociales, es importante que seas consciente de los problemas
de privacidad y seguridad que ests generan. Los defensores de los derechos
humanos son particularmente vulnerables a los peligros de las redes sociales y
105
necesitan ser cuidadosos sobre la informacin que revelan sobre s mismos y sobre
las personas con las que trabajan.
Antes de utilizar cualquier sitio de redes sociales debes entender cmo te
hacen vulnerable, y luego dar pasos para protegerte a ti mismo y a las personas con
las que trabajas o vives. No se trata dejar de utilizar las herramientas de las redes
sociales. Pero debes tomar las medidas de seguridad pertinentes, de modo que
puedas utilizar estas herramientas sin hacer que tu o alguien ms sean vulnerables.
9.1 Consejos generales sobre uso de las redes sociales

Siempre hazte las preguntas:
Quin puede acceder a la informacin que estoy colocando en lnea?
Quin controla y posee la informacin que coloco en un sitio de redes
sociales?
Qu informacin propia estn transmitiendo mis contactos a otras
personas?
Les importa a mis contactos si comparto informacin sobre ellos con
otras personas?
Confo en las personas con las que estoy conectado?
Asegrate de utilizar contraseas seguras para acceder a las redes sociales.
Si otra persona se mete en tu cuenta, est accediendo a mucha informacin sobre ti
y sobre cualquiera con quien ests conectado a travs de la red social. Cambia tus
contraseas regularmente como si fuera un asunto de rutina.
Asegrate de que entiendes la configuracin de privacidad por defecto
ofrecida por el sito de redes sociales, y cmo cambiarla.
Evala utilizar cuentas y/o identidades separadas, o tal vez diferentes
seudnimos, para diferentes campaas y actividades. Recuerda que la clave para
utilizar una red de manera segura es siendo capaz de confiar en sus miembros. Las
cuentas separadas son una garanta de que la confianza es posible.
Se cuidadoso cuando accedas a tu cuenta en la red social en espacios
106
pblicos con Internet. Borra tu contrasea e historial de navegacin cuando utilices

un navegador en una mquina pblica.
Accede a los sitios de redes sociales utilizando https:// para salvaguardar tu
nombre de usuario, contrasea y otra informacin que coloques. El utilizar https://
aade otra capa de seguridad por medio del cifrado del trfico de tu navegador al
sitio de tu red social. Ver Captulo 8.
Cudate de no poner demasiada informacin en tus actualizaciones de
estado incluso si confas en las personas en tus redes. Es fcil para cualquiera
copiar tu informacin.
La mayora de redes sociales te permite integrar informacin con otras redes
sociales. Puedes publicar una actualizacin en tu cuenta de Twitter y hacer tambin
que esta automticamente se publique en tu cuenta de Facebook. Se especialmente
cuidadoso cuando integres las cuentas de tus redes sociales! Podras ser annimo
en un sitio, pero estar expuesto cuando utilices otro.
Se cauteloso sobre cuan seguro est tu contenido en una red social. Nunca
confes en un sitio de red social como receptor primario para tu contenido o
informacin. Es fcil para los gobiernos bloquear el acceso a un sitio de red social
dentro de sus lmites si de pronto encuentran su contenido censurable. Los
administradores de un sitio de red social podran retirar ellos mismos el contenido
censurable, en vez de afrontar la censura dentro de un pas en particular.
9.2 Publicar detalles personales

Los sitios de redes sociales requieren una gran cantidad de datos personales
para hacer fcil a otros usuarios el ubicarte y conectarse contigo. Tal vez, la ms
grande vulnerabilidad que esto crea a los usuarios de estos sitios es la posibilidad
de un fraude de identidad, el cual es comn. Adems, cuanta mayor informacin
propia reveles en lnea, ms fcil ser para las autoridades identificarte y vigilar tus
actividades. Las actividades en lnea de activistas en algunos pases ha conducido a
las autoridades a convertir en objetivos a sus familiares residentes en su tierra natal.
Pregntate: es necesario publicar la siguiente informacin en lnea?
fechas de nacimiento
107
nmeros telefnicos de contacto

direcciones
detalles de miembros de la familia
orientacin sexual
historial de educacin y empleo
Amigos, seguidores y contactos
La primera cosa que hars despus de completar tus detalles personales en
la solicitud de cualquier red social es establecer conexiones a otras personas.
Presumiblemente estos contactos son personas que conoces y en quienes confas
pero podras estar conectndote a una comunidad en lnea de personas afines que
tu nunca has conocido. Lo que debes entender es que tipo de informacin le estas
dando a conocer a esa comunidad en lnea.
Cuando utilices una cuenta de red social como Facebook, que mantiene
informacin personal, evala conectarte slo con personas que conoces y en
quienes confas; y que no utilizarn la informacin que publicas de mala manera.
9.2.1 Actualizaciones de estado

En Twitter y en Facebook y en redes similares, la actualizacin de estado
responde a las preguntas: Qu estoy haciendo ahora? qu esta pasando? Lo que
debes entender sobre la actualizacin del estado es quin puede verlo realmente.
La configuracin por defecto para la actualizacin del estado en la mayora de las
aplicaciones de red social es que cualquiera en la Internet puede verla. Si slo
quieres que tus contactos vean tus actualizaciones, necesitas comunicarle a la
aplicacin de red social que mantenga tus actualizaciones ocultas del resto.
Para hacer esto en Twitter, busca Proteger tus Tweets. En Facebook,
cambia tu configuracin para compartir tus actualizaciones a Slo Amigos. Incluso
si cambias a dicha configuracin, considera cun fcil es para tus seguidores y
amigos re-publicar tu informacin.
Acuerda con tu red de amigos, un enfoque comn para trasladar la
informacin publicada de sus cuentas de red social. Tambin debes pensar acerca
108
de que podras revelar sobre tus amigos que ellos no quisieran que supieran otros;
es importante ser perceptivo acerca de esto, y pedirle a otros ser perceptivos acerca
de lo que revelan sobre ti.
Han habido muchos incidentes en los cuales la informacin incluida en las
actualizaciones de estado han sido utilizadas contra las personas. Profesores en el
mundo fueron despedidos despus de publicar actualizaciones sobre cmo se
sentan acerca de sus estudiantes; otros empleados han perdido sus trabajos por
publicar acerca de sus empleadores. Algo sobre lo que necesitamos ser cuidadosos.
9.2.2 Compartir contenido de Internet

Es fcil compartir un enlace a un sitio web y llamar la atencin de tu amigo.
Pero, quines ms estarn prestando atencin? Qu clase de reaccin tendrn?
Si dices que te gusta un sitio que est relacionado a derrocar un rgimen represivo,
dicho rgimen podran tomar inters y entonces tenerte en la mira.
Si quieres que tus contactos sean las nicas personas que vean las cosas
que compartes o marcas como interesantes, asegrate de revisar tu configuracin
de privacidad.
9.2.3 Revelar tu ubicacin

La mayora de los sitios de redes sociales muestran tu ubicacin si dichos
datos estn disponibles. Esta funcin es proporcionada cuando utilizas un telfono
con capacidad GPS para interactuar con una red social, pero no asumas que es
imposible si no ests conectado desde un telfono mvil. La red a la que est
conectada tu computadora puede proveer datos de ubicacin. La manera de estar a
salvo es verificar dos veces tu configuracin.
Se cuidadoso sobre las opciones de ubicacin en los sitios de intercambio de
fotos y videos. No asumas que estos no estn compartiendo tu ubicacin: verifica
dos veces tu configuracin para estar seguro.
Consulta tambin Sobre Privacidad de la Ubicacin, y Cmo Evitar Perderla
para Siempre en el sitio web de la Electronic Frontier Foundation.
109
9.2.4 Compartir videos/fotos

Fotos y videos pueden revelar las identidades de las personas. Es
importante que tengas el consentimiento de los sujetos que se hallen en cualquier
foto o video que publiques. Si ests publicando la imagen de otra persona, se
consciente de cmo podras estar poniendo en peligro su privacidad. Nunca
publiques un video o foto de alguien sin tener primero su consentimiento.
Los fotos y videos tambin pueden, sin intencin, revelar mucha informacin.
Muchas cmaras insertarn datos ocultos (rtulos de metadatos), que revelan la
fecha, hora y ubicacin de la foto, tipo de cmara, etc. Los sitios de intercambio de
foto y video podran publicar esta informacin cuando subes contenido a sus sitios.
9.2.5 Charlas instantneas

Muchos sitios de redes sociales tiene herramientas que te permiten tener
discusiones con tus amigos en tiempo real. Operan como la Mensajera Instantnea
y son una de las formas ms inseguras de comunicarse en la Internet. Con el fin de
asegurarte de que tus charlas son seguras, t y tus amigos necesitan iniciar una
sesin en tus cuentas de redes sociales utilizando https://, o utilizando un cliente
para tus charlas, como el Pidgin con un programa aadido Off-the-record, que utiliza
cifrado. Lee la Gua Prctica de 'Pidgin mensajera instantnea segura'.
9.2.6 Unirse/crear grupos, eventos y comunidades

Qu informacin ests dando a las personas si te unes a un grupo o
comunidad? Qu dice este hecho sobre ti? Por otro lado, Qu es lo que las
personas anuncian al mundo si se unen a un grupo o comunidad que has creado?
Cmo estas poniendo en riesgo a las personas?
Cuando te unes a una comunidad o grupo en lnea revelas algo tuyo a otros.
En general, las personas podran asumir que tu apoyas o ests de acuerdo con lo
que el grupo est diciendo o haciendo, lo cual podra hacerte vulnerable si ests
siendo visto como alineado a un grupos polticos particulares.
Por otro lado, si te unes a un grupo con un gran nmero de miembros que no
conoces, ello podra poner en peligro algunas opciones de privacidad o seguridad
que has empleado en tu cuenta, por tanto reflexiona acerca de que informacin
110
ests entregando antes de unirte. Estas utilizando tu foto y nombre real de modo
que extraos puedan identificarte?
De modo alternativo, si estableces un grupo y las personas eligen unirse a
este, qu mensaje estn enviando al mundo al hacerlo? Por ejemplo, tal vez sea
un grupo de apoyo a gays y lesbianas el que has formado para ayudar a las
personas, pero al unirse al mismo las personas se estn identificando abiertamente
como homosexuales o amistosos con ellos, lo cual podra generarles riesgos en el
mundo real.
111
10. Utilizar los telfonos mviles de la manera

ms segura posible
Los telfonos mviles son una parte integral de nuestras comunicaciones
diarias. Estos dispositivos tiene la capacidad para servicios de mensajera de voz y
de texto simple. Su pequeo tamao, relativamente bajo costo y mltiples
aplicaciones hacen de estos dispositivos invaluables para propsito de
comunicacin y organizacin.
Recientemente, se han puesto a disposicin dispositivos mviles con ms
funciones. stos, cuentan con GPS, capacidad multimedia (registro de foto, video y
audio y a veces su transmisin), procesamiento de datos y acceso a la Internet. Sin
embargo, la forma en la que la red mvil opera, su infraestructura, hardware y
software son esencialmente distintos a como funciona la Internet, creando retos
adicionales a la seguridad, y riesgos para la privacidad de los usuarios y la
integridad de su informacin y comunicaciones.
10.1 Dispositivos mviles y seguridad

Al utilizar telfonos mviles, debemos protegernos a nosotros mismos, a
nuestros contactos y nuestros datos. La manera en que las redes y la infraestructura
telefnica funcionan afectan significativamente la capacidad de los usuarios para
mantener privadas y seguras la informacin y las comunicaciones.
Las redes de telefona mvil son redes privadas administradas por entidades
comerciales, las cuales pueden estar bajo el control monoplico del gobierno. La
entidad comercial o gubernamental, tiene acceso ilimitado a la informacin y a las
comunicaciones de sus clientes, as como la capacidad para interceptar llamadas,
mensajes de texto, y vigilar la ubicacin de cada aparato (y de sus usuarios).
Los Sistemas Operativos en s, utilizados en aparatos mviles son hechos a
pedido o configurados por los fabricantes de telfonos de acuerdo a las
especificaciones de varios proveedores de servicios y para su uso en las propias
redes de esas compaas. En consecuencia, el Sistema Operativo (OS) puede
incluir caractersticas ocultas que permitan una mejor vigilancia por parte de los
proveedores de servicio de cualquier otro dispositivo en particular.
112
El nmero de las funciones disponibles en los telfonos mviles ha crecido

en aos recientes. Los telfonos mviles modernos son de hecho minicomputadoras
porttiles conectadas a Internet con funciones de telfono mvil.
Para determinar que aspectos de tus comunicaciones necesitan estar
protegidos, podra ser de ayuda hacerte a ti mismo algunas preguntas: Cul es el
contenido de tus llamadas y de tus mensajes de texto? Con quin te comunicas, y
cundo?, De donde ests llamando?
La informacin es vulnerable de distintas maneras:
La informacin es vulnerable cuando se enva desde un telfono mvil
Cada proveedor de telefona mvil tiene acceso completo a todos los

mensajes de texto y voz enviados a travs de su red. Los cuales, en la mayora de
pases, estn legalmente obligados a mantener registros de todas las
comunicaciones. En algunos pases los proveedores telefnicos estn bajo el
control monoplico del gobierno. Las comunicaciones de voz y texto tambin
pueden ser intervenidas por terceros en las proximidades al telfono mvil,
utilizando equipo de bajo precio.
La informacin es vulnerable al interior de los telfonos tanto del emisor

como del receptor.
Los telfonos mviles almacenan toda clase de datos: historial de llamadas,

mensajes de texto enviados y recibidos, informacin de libretas de direcciones,
fotos, video clips, archivos de texto. Estos datos pueden revelar tu red de contactos,
e informacin personal sobre ti y tus colegas. Asegurar esta informacin es difcil,
incluso en algunos telfonos imposible. Los telfonos modernos son
computadoras de bolsillo. Con ms funciones, el riesgo se hace mayor. Adems, los
telfonos que se conectan a la Internet tambin estn sujetos a las inseguridades de
las computadoras y de la Internet.
Como parte de su operacin normal, cada telfono mvil de forma
automtica y regular informa al proveedor del servicio telefnico donde est en
determinado momento. Es ms, muchos telfonos hoy en da tienen funciones de
GPS, y esta informacin precisa sobre la ubicacin podra ser incorporada en otros
tipos de datos como fotos, el servicio de mensajes cortos (SMS) y en solicitudes de
Internet que son enviadas desde el telfono.
113
La evolucin de la tecnologa trae ms caractersticas, pero tambin ms

riesgos.
10.2 Movilidad y vulnerabilidad de la informacin

Intuitivamente comprendemos lo importante que es mantener seguros
nuestros bolsos y billeteras, ya que sabemos que en ellos guardamos informacin
importante, y perderlos podra comprometer nuestra privacidad y seguridad mas
tiempo y dinero en recuperar licencia de conducir, tarjetas de crdito y dbito, las
fotos familiares. Las personas son menos conscientes de la cantidad de informacin
personal que tienen en sus telfonos mviles, y consideran la prdida del telfono
ms una molestia y no un riesgo. Si consideras al telfono mvil como un dispositivo
de computacin que siempre se encuentra conectado a una red y continuamente es
trasladado de un lugar a otro, se destaca la diferencia entre portar informacin
discreta y pasiva como la billetera, y portar un elemento activo e interactivo como un
telfono mvil.
Como simple ejercicio, vaca el contenido de tu bolso o cartera, y toma en
cuenta los elementos importantes que contienen. Encontrars: - Fotos de la familia
(~5 fotos) - Tarjetas de identificacin (licencia de conducir, tarjetas de membresa,
cdula de identidad, etc) - Seguros e informacin mdica (~2 tarjetas) - Dinero (~5
billetes) - Tarjetas de Crdito/Dbito (~3 tarjetas)
Ahora examina el contenido de tu telfono mvil. Un usuario tpico de
telfono mvil podra encontrar ms cantidad de informacin que la descrita
anteriormente, y en algunos casos, muchos datos importantes y valiosos:
- Fotos de la familia (~100 fotos) - Aplicaciones de correo electrnico y sus
contraseas - Correos electrnicos (~500 correos) - Videos (~50 videos) Aplicaciones de redes sociales y sus contraseas - Aplicaciones de bancos en
internet (con acceso a cuentas bancarias) - Documentos importantes - Registros
importantes de comunicaciones - Conexin inmediata a tu informacin importante
Entre ms utilizas tu telfono mvil ms atento debes estar de los riesgos
asociados a l y tomar las precauciones necesarias. Estos telfonos son potentes
amplificadores y distribuidores de tus datos personales, estn diseados para
proporcionar la mayor conectividad posible y acceder automticamente a los
114
servicios de redes sociales. Recuerda, tus datos personales son valiosos, pueden
ser agregados, buscados y vendidos.
Adems, los telfonos mviles que se conectan a la Internet tambin estn
sujetos a los riesgos y vulnerabilidades asociadas con la Internet y las
computadoras, como la seguridad de la informacin, el anonimato, la recuperacin
de la informacin, la perdida, el robo y la intercepcin.
Con el fin de reducir algunos de estos riesgos de seguridad, los usuarios
deben ser conscientes de la potencial inseguridad de sus telfonos, as como de sus
opciones de configuracin. Una vez que sepas cuales podran ser los posibles
problemas, pondrs salvaguardas y tomar medias preventivas.
10.2 Buenas prcticas en seguridad telefnica

Como en el caso de otros dispositivos, la primera lnea de defensa para la
seguridad de la informacin en tu telfono mvil es la proteccin fsica de l y de su
tarjeta SIM.
Mantn tu telfono contigo siempre. Nunca lo dejes sin vigilancia. Evita
mostrar tu telfono en pblico.
Siempre utiliza tus cdigos de bloqueo de tu telfono o los Nmeros de
Identificacin Personal (PIN) y mantnlos en secreto (desconocidos para otros).
Siempre cmbialos para que no sean lo que coloca el fabricante.
Marca fsicamente la tarjeta SIM, tarjeta adicional de memoria, batera y
telfono con algo nico y no perceptible para un extrao (pon una marca pequea,
dibujo, letras o nmeros, o trata de utilizar un rotulador ultravioleta, el cual ser
invisible a la luz normal). Para ayudarte a identificar si alguno de estos objetos ha
sido manipulado o remplazado, coloca etiquetas de seguridad a prueba de
manipulaciones o cinta adhesiva sobre las juntas del telfono. La etiqueta o la cinta
adhesiva estar desalineada o dejar un residuo visible.
Asegrate de ser consciente de la informacin que est almacenada en tu
tarjeta SIM, en tarjetas externas y en la memoria interna de tu telfono. Atento de no
dejarlos en la tienda de reparaciones cuando tu telfono esta siendo arreglado. No
almacenes informacin importante en el telfono. Si necesitas almacenarla colocala
en tarjetas de memoria SD que fcilmente son desechadas o borradas.
115
Cuando te deshagas de tu telfono verifica que no entregas informacin

almacenada en l o en la tarjeta SIM o en la tarjeta de memoria (incluso si el
telfono o las tarjetas estn rotas o han expirado). Deshacerte de las tarjetas SIM
destruyndolas fsicamente sera la mejor opcin. Si planeas obsequiar, vender o
reutilizar tu telfono asegrate que toda la informacin sea eliminada.
Considera utilizar comercios confiables de distribucin y reparacin de
telfonos. Ello reduce la vulnerabilidad de tu informacin cuando consigas telfonos
mviles de segundo uso o tengas que reparar tu telfono. Ten presente que el
comprar tu telfono de un distribuidor autorizado pero elegido al azar de este
modo reducirs la posibilidad de que el telfono est especficamente preparado
para ti con software espa preinstalado en el mismo.
Haz copias de seguridad en tu computadora de la informacin que se
encuentra en tu telfono. Almacena la copia de seguridad de manera segura (ver
captulo: 4). Esto te permitir restaurar los datos si pierdes tu telfono. Tener una
copia de seguridad te ayuda a recordar que informacin podra estar en peligro
(cuando tu telfono se haya perdido o haya sido robado), de modo que puedas
tomar las acciones pertinentes.
El nmero de serie de 15 dgitos o nmero IMEI te ayuda a identificar tu
telfono y puede ser accedido tecleando *#06# en la mayora de telfonos, viendo
detrs de la batera en tu telfono o revisando las especificaciones del mismo. Toma
nota de este nmero y mantnlo alejado de tu telfono, pues este nmero podra
ayudar a rastrearlo en caso sea robado y a probar la propiedad del mismo
rpidamente.
Pondera las ventajas y desventajas de registrar tu telfono con el proveedor
del servicio. Si informas que tu telfono ha sido robado, el proveedor del servicio
entonces ser capaz de impedir el uso posterior de tu telfono. Sin embargo, el
registrarlo significa que el uso de tu telfono est ligado a tu identidad.
10.3 Funciones bsicas, capacidad de rastreo y anonimato

Con el fin de enviar o recibir llamadas o comunicaciones de cualquier tipo
desde y hacia tu telfono, la antenas de seal ms cercanas son alertadas, sobre tu
presencia, por tu telfono mvil. Cmo resultado de tales alertas y comunicaciones
116
el proveedor de servicios de red sabe exactamente la ubicacin geogrfica de tu

telfono mvil en un momento dado.
10.3.1 Sobre el Anonimato

Si estas llevando a cabo conversaciones telefnicas importantes o enviando
mensajes SMS importantes, cudate de la 'caracterstica' de rastreo mencionada
arriba ya que que se halla en todos los telfonos mviles. Pondera el seguir los
pasos siguientes:
Cada vez que hagas llamadas hazlas de distintas ubicaciones, y elige

ubicaciones que no se puedan asociar contigo.
Mantn tu telfono apagado, con la batera desconectada, ve a la ubicacin

elegida, enciende tu telfono, comuncate, apaga tu telfono y desconecta la
batera antes de regresar. El hacer esto de manera habitual cada vez que
tengas que hacer una llamada, significar que la red no pueda rastrear todos
tus movimientos.
Cambia a menudo de telfonos y de tarjetas SIM. Intercambia entre amigos

o con el mercado de segundo uso.
Utiliza tarjetas SIM prepagadas no registradas si ello es posible en tu rea.

Evita pagar por un telfono o tarjetas SIM utilizando una tarjeta de crdito, lo
cual creara una conexin entre estos objetos y t.
10.3.2 Sobre escuchas secretas

Tu telfono puede ser preparado para registrar y transmitir cualquier sonido
dentro del rango de alcance de su micrfono sin tu conocimiento. Algunos telfonos
pueden ser encendidos de manera remota y puestos en accin de esta manera, an
cuando parezcan estar apagados.
Nunca permitas que las personas de quienes desconfas tengan acceso
fsico a tu telfono; esta es una manera comn de instalar software espa en tu
telfono.
Si estas conduciendo reuniones privadas e importantes, apaga tu telfono y
desconecta la batera. O no lleves el telfono contigo si no puedes dejarlo donde
117
pueda estar completamente a salvo.

Asegrate de que cualquier persona con la que te comuniques tambin
emplee las acciones descritas aqu.
Adems, no olvides que utilizar un telfono en pblico, o en lugares en los
que no confas, te hacen vulnerable a las tcnicas tradicionales de escucha secreta,
o que te roben el telfono.
10.3.3 Sobre intercepcin de llamadas

Generalmente, el cifrado de las comunicaciones por voz (y por mensajes de
texto) que viajan a travs de la red de telefona mvil es relativamente dbil. Existen
tcnicas de bajo costo que pueden utilizar terceros para interceptar tus
comunicaciones escritas, o para escuchar tus llamadas, si estn en la proximidad de
tu telfono y pueden recibir transmisiones desde el mismo. Y por su puesto, los
proveedores de telefona mvil tienen acceso a todas tus comunicaciones de voz y
texto. Actualmente es costoso y/o de alguna manera tcnicamente difcil cifrar las
llamadas telefnicas de modo que incluso el proveedor de telefona mvil no pueda
escucharlas secretamente sin embargo, se espera que estas herramientas pronto
se vuelvan econmicas. Para utilizar el cifrado primero tendras que instalar una
aplicacin o programa de cifrado en tu telfono, as como en el dispositivo de la
persona con la cul planeas comunicarte. Entonces utilizaras esta aplicacin para
enviar y recibir llamadas y/o mensajes cifrados. El software de cifrado actualmente
slo puede ser admitido en unos cuantos modelos llamados telfonos 'inteligentes'.
Las conversaciones entre el Skype y los telfonos mviles tampoco estn
cifrados, pues en algn punto, la seal se desplazar a la red mvil, donde el cifrado
NO est en uso.
10.3.4 Comunicaciones textuales SMS / Mensajes de texto

No debes confiar en los servicios de mensaje de textos para transmitir
informacin importante de manera segura. Los mensajes intercambiados son en
texto simple lo que los hace inapropiados para transacciones confidenciales.
El envo de mensajes SMS puede ser interceptado por el operador de
servicio o por terceros con equipo de bajo costo. Dichos mensajes llevan los
118
nmeros telefnicos del emisor y del receptor as como el contenido del mensaje. Lo
que es ms, los mensajes SMS pueden ser fcilmente alterados o falsificados por
terceros.
Piensa en establecer un sistema de cdigo entre tu y tus correspondientes.
Los cdigos podran hacer tu comunicacin ms segura y podran proporcionar una
forma adicional de confirmar la identidad de las personas con las que te estas
comunicando. Los sistemas de cdigo necesitan ser seguros y cambiar
frecuentemente.
Los mensajes SMS estn disponibles despus de ser transmitidos:
En muchos pases, la legislacin (u otras influencias) exigen a los
proveedores de la red mantener un registro de largo plazo de todos los mensajes de
texto enviados por sus clientes. En la mayora de los casos los mensajes SMS son
mantenidos por los proveedores para fines comerciales, contables o de litigio.
Los mensajes en tu telfono pueden ser fcilmente accedidos por cualquiera
que consiga tu telfono. Evala eliminar en seguida todos los mensajes recibidos y
enviados.
Algunos telfonos tienen la facilidad de deshabilitar el registro del historial de
llamadas telefnicas o de mensajes de texto. Ellos ser especialmente til para
personas que realicen actividades ms importantes. Tambin debes asegurarte de
estar familiarizado con lo que tu telfono es capaz de hacer. Lee el manual!
10.4 Funciones ms all de la conversacin y los mensajes

Los telfonos mviles se estn convirtiendo en dispositivos de computacin
mviles, con sus propios sistemas operativos y aplicaciones descargables que
proveen diversos servicios a los usuarios. En consecuencia, los virus y el software
espa han penetrado el mundo de la telefona mvil. Los virus pueden ser
sembrados en tu telfono, o pueden venir empacados dentro de las aplicaciones, los
tonos de llamada y mensajes multimedia que descargas de la Internet.
Mientras que los primeros modelos de telfonos mviles tenan pocas o
ninguna funcin de Internet, es no obstante importante observar las precauciones
planteadas ms abajo en todos los telfonos, para estar absolutamente seguros de
que su dispositivo no esta en peligro sin tu conocimiento. Algunas de estas
119
precauciones podran aplicarse slo a los telfonos mviles, pero es muy importante
saber exactamente cules son las capacidades de tu telfono, con el fin de tener
certeza de que has tomado las las medidas apropiadas:
No almacenes archivos y fotos confidenciales en tu telfono mvil.
Trasldelos, lo ms pronto posible, a una ubicacin segura, como se explica en el
Captulo 4, Proteger los archivos importantes en tu computadora.
Borra frecuentemente los registros de llamadas telefnicas, mensajes,
ingreso de datos a tu libreta de direcciones, fotos, etc.
Si utilizas tu telfono para navegar en la Internet, sigue prcticas seguras
similares a aquellas que utilizas cuando estas en la computadora (por ejemplo,
siempre enva informacin a travs de conexiones cifradas como HTTPS).
Conecta tu telfono a una computadora slo si ests seguro que esta esta
libre de software malicioso (malware). Consulta el Captulo 1. Proteger tu
computadora de software malicioso (malware) y piratas informticos (hackers).
No aceptes ni instales programas desconocidos y no verificados en tu
telfono, entre ellos tonos de llamada, fondos de pantalla, aplicaciones de java o
cualquier otro que se origine en una fuente no deseada o inesperada. Estas pueden
contener virus, software malicioso o programas espa.
Observa el comportamiento y el funcionamiento de tu telfono. Est atento a
programas desconocidos y procesos en ejecucin, mensajes extraos y
funcionamiento irregular. Si no conoces o no utilizas algunas de las caractersticas y
aplicaciones en tu telfono, deshabilita o desinstala de ser posible.
Se cauteloso cuando te conectes a los puntos de acceso WiFi que no
ofrecen contraseas, del mismo modo que lo seras cuando utilizas tu computadora
y te conectas a puntos de acceso WiFi. El telfono mvil es esencialmente como
una computadora y por tanto comparte las vulnerabilidades e inseguridades que
afectan a las computadoras y a la Internet.
Asegrate que estn apagados y deshabilitados en tu telfono los canales de
comunicacin como el Infra Red (IR), Bluetooth y Wireless Internet (WiFi) si no los
ests utilizando. Enciende slo cuando se requiera. Utilzalos slo en situaciones y
ubicaciones confiables. Evala no utilizar Bluetooth, pues es relativamente simple
120
escuchar a escondidas en esta tipo de comunicaciones. En vez de ello, transfiere

datos utilizando una conexin con cable desde el telfono a audfonos de manos
libres o a una computadora.
10.5 Plataformas, Configuracin bsica e Instalacin

10.5.1 Plataformas y Sistemas Operativos
Al momento de escribir este captulo, los telfonos mviles de uso ms
comn son el iPhone de Apple y Android de Google, seguidos por el Blackberry y
telfonos de Windows. La mayor diferencia entre el Android y los otros sistemas
operativos, es que Android es un sistema, principalmente de Cdigo Abierto (FOSS),
permitiendo que su sistema operativo sea auditado de forma independiente para
verificar si protege apropiadamente la informacin y comunicacin de los usuarios.
Tambin facilita el desarrollo de aplicaciones de seguridad para su plataforma.
Muchos programadores conscientes de la seguridad desarrollan aplicaciones para
Android pensando siempre en la seguridad del usuario. Algunas de estas
aplicaciones las destacaremos ms adelante en este captulo.
Sin importar el tipo de telfono mvil que utilizas, es importante que seas
consciente de algunos temas al usar un telfono que se conecta a internet y que
contiene caractersticas como GPS o capacidad de red inalmbrica. En este captulo
nos enfocamos en dispositivos con la plataforma Android, ya que, como explicamos
anteriormente, es ms fcil asegurar datos y comunicaciones. Sin embargo, las
guas de configuracin bsicas y algunas aplicaciones para dispositivos que no sean
telfonos Android se proporcionan tambin.
Los telfonos Blackberry han sido presentados como dispositivos seguros
para mensajera y correo electrnico. Esto porque los mensajes y correos
electrnicos son dirigidos de forma segura por medio de los servidores de
Blackberry, fuera del alcance de potenciales intrusos. Desafortunadamente, ms y
ms gobiernos estn demandando acceso a estas comunicaciones, citando la
necesidad de protegerse contra el terrorismo y crimen organizado. La India,
Emiratos rabes Unidos, Arabia Saudita, Indonesia y el Lbano son ejemplos de
gobiernos que han analizado el uso de dispositivos Blackberry y han exigido el
acceso a los datos del usuario en sus pases.
121
10.5.2 Telfonos mviles convencionales

Otra categora de telfonos mviles, como Nokia 7705 Twist o Samsung
Rogue, son llamados 'mviles convencionales' . Recientemente, estos telfonos han
incrementado sus funcionalidades para incluir algunas contenidas en los telfonos
mviles. Generalmente los sistemas operativos de los mviles convencionales son
menos accesibles, y por lo tanto existen limitadas oportunidades para aplicaciones
de seguridad o mejoras a las mismas. No abordamos especficamente los mviles
convencionales, sin embargo muchas de las medidas expresadas en este captulo
tambin tienen sentido para los mviles convencionales.
10.5.3 telfonos mviles de marca y bloqueados

Los telfonos mviles usualmente son vendidos con una marca o
bloqueados. Un telfono mvil bloqueado significa que el dispositivo slo es
operado con un nico proveedor y el dispositivo slo funciona con su tarjeta SIM.
Los proveedores de redes mviles le ponen marca a los telfonos mediante la
instalacin de su propio firmware19 o software. Tambin puede que los proveedores
deshabiliten algunas funcionalidades o agregar otras. La marca es un medio para
que las empresas aumenten sus ingresos mediante la canalizacin del uso de tu
telfono mvil, a menudo tambin la recopilando datos acerca de cmo utilizas el
telfono o habilitando el acceso remoto a tu telfono mvil.
Por estas razones, recomendamos telfonos mviles desbloqueados, ya que
un telfono bloqueado incrementa los riesgos debido a que tus datos son
canalizados a travs de un slo proveedor, centralizando as el flujo de tu
informacin haciendo imposible cambiar las tarjetas SIM para difundir los datos a
travs de diferentes proveedores. Si tu telfono est bloqueado, pregunta a alguien
de confianza cmo desbloquearlo.
10.5.4 Configuracin General

Los telfonos mviles tienen muchas opciones de configuracin que
19 Firmware es un programa grabado en memoria ROM, que establece la lgica de bajo nivel que
controla la electrnica de un dispositivo, y por ende se considera parte del hardware, tambin es
software, pues proporciona la lgica y est programado en algn tipo de lenguaje de
programacin. El firmware recibe rdenes externas y responde operando el dispositivo. El BIOS
es un firmware.
122
controlan su seguridad. Es importante prestar atencin sobre como se encuentra

configurado tu telfono mvil. En las guas prcticas que se presentan ms
adelante, te alertamos sobre algunas opciones de seguridad del telfono mvil que
estn disponibles pero no estn activadas por defecto, as como aquellas opciones
que se encuentran activadas por defecto y que vulneran tu telfono.
10.5.5 Instalar y actualizar aplicaciones

La forma comn de instalar nuevo software en tu telfono mvil es usando el
Appstore de iPhone o Google Play store, ingresas tu informacin de usuario,
descargas e instalas la aplicacin que deseas. Al iniciar la sesin, ests asociando
tu informacin de cuenta de usuario a la tienda virtual. Los dueos de la tienda
virtual mantienen registros del historial de navegacin del usuario y sus preferencias
de aplicaciones.
Las aplicaciones que ofrecen las tiendas virtuales oficiales son,
supuestamente, verificadas por los dueos de las tiendas (Google o Apple), pero en
la realidad esto provee poca proteccin contra lo que puede hacer la aplicacin una
vez instalada en tu telfono. Por ejemplo, algunas aplicaciones pueden copiar y
enviar tu directorio de contactos luego de ser instaladas en tu telfono. En el caso
de los telfonos Android, durante el proceso de instalacin cada aplicacin te solicita
permiso sobre lo que puede o no hacer una vez en uso. Deberas prestar atencin a
los tipos de permisos solicitados, y si stos tienen sentido respecto a la
funcionalidad de la aplicacin que ests instalando. Si ests considerando instalar
una aplicacin para lectura de noticias y te solicita derechos para enviar tus
contactos a travs de una conexin mvil de datos a terceros, deberas buscar otras
aplicaciones acordes con accesos y derechos.
Las aplicaciones de Android tambin estn disponibles fuera de los canales
oficiales de Google. Slo debes marcar la caja de Fuentes desconocidos que se
encuentra en Aplicaciones para utilizar estos sitios web de descargas.
Son muy tiles estos sitios web alternativos si quieres minimizar tu contacto
en lnea con Google. Recomendamos F-Droid ('Free Droid'), que ofrece aplicaciones
FOSS. En este documento, F-Droid es el repositorio de las aplicaciones que
recomendamos, y slo te referimos a Google Play si una aplicacin no est
disponible en F-Droid.
123
Si no deseas (o no puedes) conectarte a internet para acceder a las

aplicaciones, transfiere aplicaciones al telfono de otra persona enviando
archivos .apk (siglas para 'paquetes de aplicaciones para android') va bluetooth.
Como alternativa puedes descargar el archivo .apk a la tarjeta Micro SD de tu
dispositivo mvil o utilizar un cable usb para trasladarlo desde una computadora.
Cuando hayas recibido el archivo, simplemente haz un pulso largo al archivo y
estar listo para instalarse. Nota: aunque parezca paranoico se cuidadoso cuando
usas bluetooth.
10.6 Voz y Mensajes va telfono mvil

10.6.1 Conversaciones Seguras
10.6.1.1 Telefona Bsica
Utilizar Internet a travs de tu telfono mvil sobre conexiones mviles de
datos o WiFi puede ofrecer muchas opciones para comunicarte de forma segura con
las personas, para ello utiliza VoIP e implementa medidas para asegurar este canal
de comunicacin. Incluso, algunos telfonos mviles extienden la seguridad a
llamadas de telfono mvil, ms all de VoIP (Ver Redphone abajo).
Aqu enumeramos algunas herramientas, con sus ventajas y desventajas:
Skype
La aplicacin comercial VoIP ms popular Skype est disponible para todas
las plataformas de telfonos mviles y funciona si tu conexin inalmbrica es fiable.
Es menos seguro en conexiones de data mvil.
Previamente hemos mencionado sobre los riesgos al utilizar Skype, y
porqu, si es posible, debemos evitar su uso. En resumen, Skype no es un software
de Cdigo Abierto lo que dificulta verificar de forma independiente sus niveles de
seguridad. Adicionalmente, es propiedad de Microsoft, el cual tiene el inters
comercial de saber cundo lo utilizas y desde dnde. As mismo, Microsoft podra
permitirle a las agencias de seguridad de USA 20 acceso retrospectivo de todo tu
historial de comunicaciones.
20 La Agencia de Seguridad Nacional (National Security Agency, conocida como NSA), es una
agencia de inteligencia de los Estados Unidos que se encarga de la seguridad de la informacin.
124
Otros VoIP
Procura utilizar VoIP gratuitos (ms barato que las llamadas mviles) y que
dejan menos rastros de tus datos. Una llamada segura con VoIP es la forma segura
de comunicarse.
CSipSimple es un potente cliente VoIP para Android, que cuenta con
excelente mantenimiento y con sencilla configuracin del asistente para diferentes
servicios VoIP.
Al utilizar CSipSimple, nunca te comunicas directamente con la otra persona,
en vez de ello tus datos se canalizan a travs del servidor Ostel. Esto hace que sea
difcil rastrear tus datos y averiguar con quin ests hablando. Adicionalmente, Ostel
no guarda ninguna informacin, excepto los datos de la cuenta que necesitas para
iniciar la sesin. Todas tus conversaciones estn cifradas; y tus meta datos (los
cuales son usualmente muy difciles de ocultar) son confusos para el trfico pasa
por el servidor Ostel.
Open Secure Telephony Network (OSTN) y el servidor de Guardian Project
ofrecen uno de los medios ms seguros para la comunicacin de voz. Conocer y
confiar en el proveedor que opera el servidor de tu comunicacin VoIP es de vital
importancia Guardian Project es respetado en la comunidad.
RedPhone es una aplicacin gratuita y Cdigo Abierto que cifra datos de
comunicacin de voz enviados entre dos dispositivos que corren con esta misma
aplicacin. Es fcil de instalar y de utilizar, ya que se integra a tu marcado normal y
sistema de contactos. Las personas con las que deseas comunicarte necesitan
instalar y utilizar RedPhone. Para facilitar su uso RedPhone utiliza su nmero de
telfono mvil como su identificador (como un nombre de usuario en otros servicios
VoIP). Sin embargo, se vuelve ms sencillo analizar el trfico que produce y
rastrearte de vuelta a travs de tu nmero de telfono mvil. RedPhone utiliza un
servidor central como punto de centralizacin pone a RedPhone en una poderosa
posicin (por tener control sobre algunos esto datos).
Enviando Mensajes de forma Segura

Debes tomar precauciones a la hora de enviar SMS o al utilizar mensajera
instantnea o chat en tu telfono mvil.
125
10.6.1.2 SMS
La comunicacin SMS es insegura por defecto. Cualquier persona con
acceso a una red de telecomunicacin mvil puede interceptar los mensajes, y esto
es una accin cotidiana que se da en muchas situaciones. No se confe enviando
mensajes SMS inseguros en situaciones crticas. No existen ninguna forma de
autenticar un mensaje SMS, por lo tanto es imposible saber si el contenido de dicho
mensaje fue alterado durante su envo o si el emisor del mensaje realmente es la
persona que dice ser.
Asegurando los SMS

TextSecure es una herramienta de Cdigo Abierto FOSS para enviar y recibir
SMS de forma segura en los telfonos Android. Funciona tanto para mensajes
cifrados y no cifrados, as que puedes utilizarla por defecto como una aplicacin
SMS. Para intercambiar mensajes cifrados esta herramienta debe estar instalado
tanto por parte del emisor como del receptor del mensaje, por lo tanto debers
promover su uso constante entre las personas con las que te comunicas.
TextSecure automticamente detecta los mensajes cifrados recibidos desde otro
usuario de TextSecure. Tambin te permite cifrar mensajes a ms de una persona.
Los mensajes son firmados automticamente haciendo casi imposible que los
contenidos del mensaje sean alterados.
Chat Seguro
La mensajera instantnea o chat en tu telfono puede producir mucha
informacin vulnerable a la interceptacin. Estas conversaciones podran ser usadas
en tu contra por adversarios posteriormente. Deberas por lo tanto ser
extremadamente cauteloso sobre lo que escribes en tu telfono mientras envas
mensajes instantneos y al chatear.
Existen formas seguras para chatear y enviar mensajes instantneos. La
mejor forma es utilizar cifrado de extremo a extremo (doble va), asegurando que la
persona al otro extremo sea la persona con la que deseas comunicarte.
Gibberbot21 es una aplicacin segura para chatear en telfonos Android.
21 Gibberbot ahora se llama ChatSecure.
126
Ofrece cifrado sencillo y fuerte para tus chats con el protocolo de mensajera Offthe-Record. Este cifrado provee ambas autenticaciones, por un lado puedes verificar
que chateas con la persona correcta, y por otro lado contiene seguridad
independiente entre cada sesin, de esta forma si una sesin de chat cifrado se ve
comprometida, otras sesiones pasadas o futuras se mantendrn seguras.
Gibberbot ha sido diseado para funcionar en conjunto con Orbot, de esta
forma tus mensajes de chat son canalizados a travs de la red annima Tor. Esto
hace que sea muy difcil de rastrear o incluso averiguar si sucedi alguna vez.
Para clientes de iPhones, el ChatSecure provee las mismas caractersticas,
sin embargo no es tan sencillo utilizarlo con la red de Tor.
Independientemente de la aplicacin que utilices, siempre considera desde
cul cuenta usars el chat. Al utilizar Google Talk, tus credenciales y tiempo de la
sesin del chat son conocidas por Google. Ponte de acuerdo con tus contactos para
no dejar guardados los historiales de chat, especialmente si no estn cifrados.
10.7 Guardando Informacin en tu telfono mvil

Los telfonos mviles vienen con gran capacidad de almacenamiento de
datos. Desafortunadamente, los datos guardados en tu dispositivo pueden ser
accesibles a terceras personas, ya sea de forma remota o con acceso fsico al
telfono. Algunas precauciones bsicas sobre cmo reducir el acceso indebido a
esta informacin se explica en la Gua de Configuracin Bsica para Android.
Adicionalmente, puedes tomar medidas para cifrar informacin importante en tu
telfono utilizando herramientas especficas.
10.7.1 Herramientas para cifrar datos

Android Privacy Guard (APG) cifra archivos y correos electrnicos con
OpenGPG. Tambin puede ser usado para mantener tus archivos y documentos
seguros en tu telfono, as como cuando envas correos electrnicos.
Cryptonite es otra herramienta de Cdigo Abierto FOSS para cifrar archivos.
Tiene caractersticas avanzadas para telfonos Android preparados con firmware
personalizado.
127
10.7.2 Enviando Correos Electrnicos con telfonos mviles

En primera instancia, considera si realmente necesitas acceder a tu correo
electrnico con tu telfono mvil. Asegurar una computadora y su contenido,
generalmente es ms sencillo que hacerlo con un telfono mvil. Recuerda que ste
es ms susceptible a robos, vigilancia e intrusiones.
Si es absolutamente necesario que accedas a tu correo electrnico desde tu
telfono mvil, existen acciones que puedes implementar para aminorar los riesgos:
No consideres tu telfono mvil como el principal medio para acceder a tu

correo electrnico. Descargar (y eliminar) correos electrnicos de un servidor
de correos y guardarlos slo en tu telfono mvil no es recomendable.
Puedes configurar tu aplicacin de correo electrnico para usar nicamente
las copias de tus correos.
Si utilizas correo cifrado con tus contactos, considera la instalacin del

mismo en tu telfono mvil. El beneficio adicional es que los correos cifrados
permanecen secretos si el telfono cae en las manos equivocadas.
Si guardas tu clave privada de cifrado en tu telfono mvil es un riesgo. Sin

embargo, el beneficio de enviar y guardar tus correos electrnicos cifrados y
seguros en el dispositivo mvil pesa ms que el riesgo. Considera generar
un par de claves nicas de cifrado para mvil (usando APG) en tu telfono
mvil, de esta forma evitas copiar tu clave privada de tu computadora al
dispositivo mvil.
Notar que esto requiere preguntarle a las personas con las que te
comunicas, que deben cifrar sus correos electrnicos utilizando la clave nica de
cifrado de mviles.
10.7.3 Capturando Multimedia con telfonos mviles

Capturar fotos, videos o audios con tu telfono mvil es un excelente medio
para documentar y compartir eventos importantes. Sin embargo, es importante ser
cuidadoso y respetuoso de la privacidad y seguridad de las personas fotografiadas,
filmadas o grabadas. Si tomas fotos o filmas y grabas un evento importante, puede
ser peligroso para ti o para los que aparecen en las grabaciones si tu telfono cae
en las manos equivocadas.
128
En estos casos, estas sugerencias pueden ser de ayuda:

Ten un mecanismo de seguridad para subir los archivos multimedia a un
lugar protegido en internet y elimnalos del telfono inmediatamente (lo
mas pronto posible).
Usa herramientas para difuminar rostros de las personas que aparecen
en las imgenes o videos, o distorsiona las voces de los audio y
grabaciones de video, y slo guarda las copias distorsionadas y
difuminadas en archivos multimedia en tu dispositivo mvil.
Protege o remueve la meta informacin relacionada con tiempo y lugares
que quedan registrados en los archivos multimedia.
Guardian Project ha creado una aplicacin de Cdigo Abierto FOSS
llamada ObscuraCam que identifica los rostros en las fotos y los
difumina. Puedes seleccionar el modo de difuminacin y que deseas
difuminar. Tambin elimina las fotos originales, y si tienes un servidor
para subir los multimedia grabados, suministra funciones para subirlos.
10.7.4 Acceso a Internet Seguro con telfonos mviles

Los telfonos mviles te permiten controlar cmo accedes a Internet: va
conexin inalmbrica desde un punto de acceso (como un internet caf o cyber), o
va conexin de data mvil, como GPRS, EDGE, o UMTS que ofrece tu proveedor
de red mvil.
Utilizar una conexin WiFi reduce los rastros o huellas de los datos que ests
dejando en tu proveedor de servicios de telefona mvil (ya que no ests
conectado/a con tu suscripcin de telfono mvil). A pesar de ello, algunas veces la
conexin de data mvil es la nica forma de estar en lnea. Desafortunadamente, los
protocolos de la conexin de data mvil (como EDGE o UMTS) no tienen protocolos
abiertos. Desarrolladores independientes e ingenieros de seguridad no pueden
examinar estos protocolos para ver cmo estn siendo implementados por los
operadores de data mvil.
En algunos pases, los proveedores de servicios mviles operan bajo
diferentes legislaciones que los proveedores de servicios de internet, lo que puede
129
resultar en una mayor vigilancia por parte de gobiernos y responsables del soporte.
Independientemente del camino que tomes para tus comunicaciones
digitales con telfonos mviles, puedes reducir los riesgos de exponer datos
mediante el uso de herramientas para el cifrado y anonimato.
Annimo
Para acceder a contenido en lnea de forma annima, usa la aplicacin para
Android llamada Orbot, que canaliza tu comunicacin en internet mediante la red
annima de Tor.
Otra aplicacin llamada Orweb, tiene la caracterstica de ser un navegador
web con potentes caractersticas de privacidad utilizando proxy que no guardan el
historial de la navegacin local. Juntos, Orbot y Orweb, eluden los filtros y
cortafuegos en la web y ofrecen navegacin annima.
Proxy
La versin mvil del navegador Firefox Firefox mobile puede equiparse con
complementos proxy que dirigirn tu trfico a un servidor proxy. Por lo tanto, tu
trfico ir al sitio que ests solicitando. Esto en casos de censura, pero puede que
revele tus solicitudes si tu conexin desde tu cliente al proxy no est cifrada. Utiliza
el complemento llamado Proxy Mobile, tambin de Guardian Project, el cual hace
que el proxy con Firefox sea sencillo. As mismo, es la nica forma de canalizar la
comunicacin mvil de Firefox a Orbot y la red Tor.
10.8 Seguridad Avanzada para telfonos mviles

La mayora de los telfonos mviles son capaces de hacer ms que lo que
ofrece el sistema operativo instalado en ellos, del software manufacturado
(firmware) o de los programas del operador mvil. Por otro lado, algunas
funcionalidades estn "encerradas" por lo que el usuario no es capaz de controlar o
alterar estas funciones y estn fuera de alcance. En la mayora de casos, algunas
funcionalidades son innecesarias para los usuarios de telfonos mviles. Sin
embargo, existen algunas aplicaciones y funcionalidades que aumentan la
seguridad de datos y comunicaciones en el telfono mvil. Tambin existen otras
funciones que se pueden remover para evitar riesgos a la seguridad.
130
Por esto, y por otras razones, algunos usuarios de telfonos mviles

prefieren manipular los diversos programas y software ya instalados en los telfonos
mviles con el fin de obtener privilegios para instalar funciones mejoradas, o
remover y/o reducir otras.
10.8.1 Rooting o jailbreaking

El proceso de superar los lmites impuestos por el operador mvil o
fabricante del sistema operativo en un telfono mvil se llaman rooting (en el caso
de dispositivos de Android), o jailbreaking (en el caso de dispositivos iOS como
iPhone o iPad). Normalmente, el xito del rooting o jailbreaking tiene como
resultado obtener los privilegios necesarios para instalar o utilizar aplicaciones
adicionales, realizar modificaciones a configuraciones bloqueadas y tener control
total sobre los datos guardados y la memoria del telfono mvil.
Nota: El rooting o jailbreaking no es un proceso reversible, y requiere de
experiencia en la instalacin y configuracin de software. Considere lo siguiente:
Existe el riesgo de que tu telfono mvil quede inoperable, o bricking it
(convertirlo en un ladrillo).
La garanta del fabricante u operador mvil puede quedar sin efecto o
anulada y en algunos lugares este proceso es considerado ilegal.
Si eres cuidadoso, un dispositivo rooted puede ser una forma sencilla de
obtener mayor control sobre los telfonos mviles hacerlo mucho ms seguro.
10.8.2 Firmware Alternativo

Firmware se refiere a programas que estn estrechamente relacionados a un
dispositivo en particular. Estn en cooperacin con el sistema operativo del
dispositivo y son responsables de la operacin bsica del hardware de tu telfono
mvil, como el micrfono, parlantes, cmara, pantalla tctil, memoria, llaves,
antenas, etc.
Si tienes un dispositivo Android, puedes considerar instalar un firmware
alternativo para mejorar tu control sobre el telfono. Nota que para instalar firmware
alternativo debes implementar el proceso de rooting a tu telfono.
131
Como firmware alternativo para un telfono Android tenemos Cyanogenmod,

el cual te permite desinstalar aplicaciones al nivel del sistema de tu telfono
(aquellas aplicaciones instaladas por el fabricante del telfono o tu operador de red
mvil). Al hacerlo, reduces la cantidad de formas en las que tu dispositivo es
supervisado, como cuando la informacin es enviada a tu proveedor de servicios sin
tu conocimiento.
Adicionalmente, Cyanogenmod navega por defecto con una aplicacin
OpenVPN, que en caso contrario sera tedioso instalar. VPN es una de las formas
de asegurar el proxy de tu comunicacin en internet.
Cyanogenmod tambin ofrece un modo de navegacin annima en la cual el
historial de tus comunicaciones no es registrada en tu telfono mvil. Viene con
muchas otras caractersticas. Sin embargo, no es compatible con todos los
dispositivos de Android, as que antes de continuar revisa la lista de dispositivos
compatibles.
10.8.3 Cifrar volmenes completos

Si tu telfono ha sido rooted quiz quieras cifrar todo el espacio de
almacenamiento de datos, o bien crear un volumen en el telfono mvil para
proteger alguna informacin en el telfono.
Luks Manager cifra volmenes con alta seguridad y de forma instantnea
mediante una interfaz sencilla. Es recomendable que instales esta herramienta
antes de empezar a guardar datos en tu dispositivo Android y utilices los Volmenes
Cifrados que provee Luks Manager para almacenar tus datos.
10.8.4 Red Virtual Privada

Una RPV ofrece un tnel cifrado a travs de la internet entre tu dispositivo y
un servidor VPN. Esto se llama tnel porque a diferencia de otros trficos cifrados,
como https, esconde todos los servicios, protocolos y contenidos. Una conexin
VPN se configura una sola vez, y termina slo cuando tu lo decidas.
Ten en cuenta que como todo tu trfico viaja a travs de un servidor proxy o
VPN, un intermediario slo necesita acceso al proxy para analizar tus actividades.
Por lo tanto, es sumamente importante que elijas cuidadosamente entre los
132
servicios de proxy y de VPN. Tambin es recomendable utilizar diferentes proxy y/o

RPV, ya que al distribuir en diferentes canales tus datos se reduce el impacto de un
servicio en peligro.
Trata el uso del servidor RiseUp VPN. Puedes utilizar RiseUp VPN en un
dispositivo Android despus de instalar Cyanogenmod. Adems es fcil de
configurar la conexin del RiseUp VPN a un iPhone.
133
Glosario
A continuacin, se definen los trminos tcnicos usados en este libro:
KeePass Software libre de base de datos de contraseas seguras
Proveedor de Servicio de Internet (ISP) La compaa u organizacin
que provee tu conexin inicial a la Internet. Los gobiernos de muchos pases ejercen
control sobre la Internet, utilizando medios como el filtrado y la vigilancia, a travs de
los proveedores de servicios de Internet que operan en dichos pases.
Administrador de correo. Persona responsable de solucionar problemas en
el correo electrnico, responder preguntas a los usuarios y otros asuntos en un
servidor.
Administrador del sistema. Persona responsable de administrar, controlar,
supervisar y garantizar la operatividad y funcionalidad de los sistemas. Dicha
administracin est en cabeza de la Gerencia de informtica.
Amenaza fsica En este contexto, cualquier amenaza a tu informacin
importante que sea el resultado de la accin de otras personas que tengan acceso
fsico directo al hardware de tu computadora o cuyo origen sea otro riesgo fsico
como una rotura, accidente o desastre natural.
Amenaza: Es la posibilidad de ocurrencia de cualquier tipo de evento o
accin que puede producir dao (material o inmaterial) sobre los elementos (activos,
recursos) de un sistema.
Android: Es un sistema operativo de cdigo abierto basado en Linux para
telfonos mviles y dispositivos como las tabletas, desarrollado por Google.
APG: Android Privacy Guard: Es una aplicacin de software libre y de
cdigo abierto para telfonos mviles Android, la cual facilita el cifrado con
OpenPGP. Puede ser integrada con el correo K9.
apk: Es la extensin de archivo usada para las aplicaciones de Android.
Appstore: Es un repositorio (predeterminado) desde el cual se pueden
encontrar y descargar las aplicaciones para iPhone.
134
Archivo de paginacin o intercambio Archivo en tu computadora en el

cual se guarda informacin, parte de la cual puede ser importante, ocasionalmente
con el fin de mejorar su rendimiento.
Arrancado Accin de iniciar una computadora.
Ataque: Es una amenaza que se convirti en realidad, es decir cuando un
evento se realizo. No dice nada si o no el evento fue exitoso.
Autenticidad: La legitimidad y credibilidad de una persona, servicio o
elemento debe ser comprobable.
Avast Herramienta antivirus de software gratuito.
Base de datos de contraseas seguras Herramienta que puede cifrar y
almacenar tus contraseas utilizando una nica contrasea maestra.
BlackBerry: Es una marca de telfonos mviles basada en el sistema
operativo BlackBerry desarrollado por Research In Motion (RIM).
Buzn. Tambin conocido como cuenta de correo, es un receptculo
exclusivo, asignado en el servidor de correo, para almacenar los mensajes y
archivos adjuntos enviados por otros usuarios internos o externos a la empresa.
Cable de seguridad Cable de cierre que puede utilizarse para asegurar, a
una pared o un escritorio, una computadora porttil u otros equipos, entre ellos
discos duros externos y algunas computadoras de escritorio. Ello con el fin de
impedir que sean fsicamente removidos del lugar.
Capa de Conexin Segura (Secure Sockets Layer (SSL)) Tecnologa que
te permite mantener una conexin segura, cifrada entre tu computadora y algunos
de los sitios web y los servicios de Internet que visitas. Cuando estas conectado a
un sitio web a travs de una capa de conexin segura (SSL), la direccin del sitio
web empezar con HTTPS en vez de HTTP.
CCleaner Herramienta de software libre que elimina los archivos
temporales y los potencialmente importantes rastros dejados en tu disco duro por
programas que utilizaste recientemente y por el mismo sistema operativo Windows.
Certificado de seguridad Forma de garantizar que los sitios web y otros
servicios de Internet, utilizando cifrado, son realmente quienes dicen ser. Sin
135
embargo, con el fin de que tu navegador acepte un certificado de seguridad como

valido, el servicio debe pagar por una firma digital de una organizacin confiable.
Debido a que ello es oneroso algunos operadores de servicios son reticentes o
incapaces de gastar en este. Sin embargo, de manera ocasional vers un error de
certificado de seguridad incluso cuando visitas un servicio vlido.
Chat. (Tertulia, conversacin, charla). Comunicacin simultnea entre dos o
ms personas a travs de Internet.
Cifrado Forma ingeniosa de utilizar las matemticas para cifrar, o mezclar,
informacin de modo que solo pueda ser descifrada y leda por quien tenga cierta
informacin, como una contrasea o una clave de cifrado.
ClamAV Programa antivirus de software libre y de cdigo abierto para
Linux.
Cobian Backup Herramienta de respaldo de software libre y de cdigo
abierto. La ltima versin del Cobian es de software gratuito pero de cdigo cerrado,
sin embargo, las versiones anteriores fueron lanzadas como software gratuito y de
cdigo abierto.
Cdigo fuente Cdigo subyacente escrito por los programadores de
computadoras que permite la creacin de software. El cdigo fuente para una
herramienta dada revelar como funciona y si esta puede ser insegura o maliciosa.
Cdigo mnemotcnico Un sistema simple que puede ayudarte a recordar
contraseas complejas.
Comodo Firewall Herramienta cortafuegos de software libre.
Computador. Es un dispositivo de computacin de sobremesa o porttil, que
utiliza un microprocesador como su unidad central de procesamiento o CPU.
Computadores de escritorio y porttiles: conformados por CPU (Discos
duros, memorias, procesadores, main borrad, bus de datos), cables de poder,
monitor, teclado, mouse.
Confidencialidad: Datos solo pueden ser legibles y modificados por
personas autorizados, tanto en el acceso a datos almacenados como tambin
durante la transferencia de ellos.
136
Contrasea o password. Conjunto de nmeros, letras y caracteres,

utilizados para reservar el acceso a los usuarios que disponen de esta contrasea.
Cookie Pequeo archivo, que almacena tu navegador en tu computadora.
Este puede utilizarse para almacenar informacin de, o para identificarte, en un sitio
web particular.
Correo electrnico. Tambin conocido como E-mail, abreviacin de
electronic mail. Consiste en el envo de textos, imgenes, videos, audio, programas,
etc., de un usuario a otro por medio de una red. El correo electrnico tambin puede
ser enviado automticamente a varias direcciones.
Corriente Elctrica Ininterrumpida (UPS) Equipo que permite a tus
equipos de computacin crticos que continen operando, o que se apaguen
paulatinamente ante la ocurrencia de una breve prdida de energa.
Cortafuegos (firewall) Herramienta que protege a tu computadora de
conexiones no confiables desde o hacia redes locales y la Internet.
Cryptonite: Es una aplicacin de software libre y cdigo abierto para cifrar
archivos en telfonons inteligentes Android.
Cuentas de correo. Son espacios de almacenamiento en un servidor de
correo, para guardar informacin de correo electrnico. Las cuentas de correo se
componen de un texto parecido a este mperez @codechoco.gov.co donde " mperez
" es nombre o sigla identificadora de usuario, " codechoco " el nombre de la
empresa con la que se crea la cuenta o el dominio y ".gov.co" una extensin propio
de Internet segn el dominio.
Direccin de Protocolo de Internet (direccin IP) Identificador nico
asignado a tu computadora cuando se conecta a Internet.
Disponibilidad: Acceso a los datos debe ser garantizado en el momento
necesario. Hay que evitar fallas del sistema y proveer el acceso adecuado a los
datos.
Downloads. Descargar, bajar. Transferencia de informacin desde Internet a
una computadora.
EDGE, GPRS, UMTS: Los Datos Mejorados para la Evolucin de GSM, el
137
Servicio General de Radio por Paquetes, y el Sistema Universal de

Telecomunicaciones Mviles, son tecnologas que le permiten a los dispositivos
mviles conectarse a Internet.
Edicin de cuentas de correo. Mirar o leer el contenido de los correos
recibidos o enviados por un usuario.
Electricidad esttica. La corriente esttica se presenta cuando no existe
ninguna fuerza externa (voltaje) que impulse a los electrones o si estos no tienen un
camino para regresar y completar el circuito, la corriente elctrica simplemente "no
circula". La nica excepcin al movimiento circular de la corriente la constituye la
electricidad esttica que consiste en el desplazamiento o la acumulacin de
partculas (iones) de ciertos materiales que tienen la capacidad de almacenar una
carga elctrica positiva o negativa.
Elementos de Informacin: Tambin Activos o Recursos de una
institucin que requieren proteccin, para evitar su perdida, modificacin o el uso
inadecuado de su contenido, para impedir daos para la institucin y las personas
que salen en la informacin. Se distingue y divide tres grupos, a) Datos e
Informacin, b) Sistemas e Infraestructura y c) Personal.
Elementos de tecnologa. Se consideran los siguientes, siendo la Gerencia
de Informtica responsable de su administracin.
Eliminacin Permanente Proceso de borrado de informacin de manera
segura y permanente.
Enigmail Complemento del programa de correo electrnico Thunderbird
que le permite a este enviar y recibir correos electrnicos cifrados y firmados
digitalmente.
Enrutador (router) Equipo de red a travs del cual las computadoras se
conectan a sus redes locales y por medio del cual varias redes locales acceden a
Internet. Interruptores (switches), pasarelas (gateways) y concentradores (hubs)
realizan tareas similares, del mismo modo que los puntos de acceso inalmbricos
para computadoras que estn apropiadamente equipadas para utilizarlos.
Equipos de redes comunicaciones como: Switch,
Conversores de fibra y dems equipos de redes y comunicaciones.
138
router,
Hub,
Eraser Herramienta que elimina informacin, de tu computadora o de tu

dispositivo removible de almacenamiento, de manera segura y permanente.
Estenografa Cualquier mtodo de disfrazar informacin importante de
modo que aparezca ser algo distinto. Ello se hace con el fin de evitar atraer la
atencin hacia esta.
Evasin Acto de evadir los filtros de Internet para acceder a los sitios web
y otros servicios de Internet bloqueados.
F-Droid: Es un repositorio alternativo donde se pueden encontrar y
descargar muchas aplicaciones de software libre y cdigo abierto para Android.
Firefox Popular navegador web de software libre y de cdigo abierto que
es una alternativa al Internet Explorer de Microsoft.
Firma Digital Forma de utilizar el cifrado para probar que un archivo o
mensaje particular fue realmente enviado por la persona que afirma haberlo
enviado.
Fuera de Registro (OTR) Complemento de cifrado del programa de
mensajera instantnea Pidgin.
Gestin de Riesgo: Mtodo para determinar, analizar, valorar y clasificar el
riesgo, para posteriormente implementar mecanismos que permitan controlarlo. Est
compuesta por cuatro fases: 1) Anlisis, 2) Clasificacin, 3) Reduccin y 4) Control
de Riesgo.
Gibberbot: Es una aplicacin de software libre y cdigo abierto para Android
que facilita el chat seguro sobre el protocolo XMPP (tambin utilizada por Google
Talk). Es compatible con Off-the-Record (OTR), y si se utiliza en conjunto con Orbot,
puede dirigir los chat por medio de la red Tor (anonimato en lnea).
GNU/Linux Sistema operativo de software libre y cdigo abierto que es
una alternativa a Windows de Microsoft.
Google Play: Es un repositorio (predeterminado) desde el cual se pueden
encontrar y descargar aplicaciones para Android.
Guardian Project: Es una organizacin que crea aplicaciones para telfonos
mviles, realiza mejoras de sistemas operativos para dispositivos mviles y los
139
personaliza tomando en cuenta la privacidad y seguridad.

Hacker. Persona dedicada a lograr un conocimiento profundo sobre el
funcionamiento interno de un sistema, de una PC o de una red con el objeto de
alterar en forma nociva su funcionamiento.
HTTPS Cuando estas conectado a un sitio web a travs de una Capa de
Conexin Segura (Secure Socket Layer (SSL)), la direccin del sitio web empezar
con HTTPS en vez de HTTP.
Impresoras,
radiotelfonos.
UPS,
escner,
lectores,
fotocopiadoras,
telfonos,
Integridad: Datos son completos, non-modificados y todos los cambios son

reproducibles (se conoce el autor y el momento del cambio).
Internet: Conjunto de redes conectadas entre s, que utilizan el protocolo
TCP/IP para comunicarse entre s.
Intranet. Red privada dentro de una empresa, que utiliza el mismo software
y protocolos empleados en la Internet global, pero que solo es de uso interno.
iPhone: Es una marca de telfonos mviles diseada por Apple, y funciona
sobre su sistema operativo llamado iOS .
Jailbreaking: Es el proceso de desbloquear caractersticas en un iPhone,
que de lo contrario, son bloquedas por el fabricantes o el operador de telefona mvil
con el fin de obtener total acceso al sistema operativo
K9 Mail: Es un cliente de correo de software libre y cdigo abierto para
telfonos mviles Android, el cual habilita el cifrado OpenPGP cuando se usa con la
aplicacin APG.
Lan. (Local Area Network). (Red de Area Local). Red de computadoras
ubicadas en el mismo ambiente, piso o edificio.
Lista blanca Lista de sitios web o de servicios de Internet a los cuales
cierta forma de acceso esta permitido, mientras que otros sitios son
automticamente bloqueados.
Lista negra Lista de sitios web y otros servicios de Internet bloqueados
que no puede ser accedidos debido a una poltica restrictiva de filtrado.
140
LiveCD - Un CD que permite a tu computadora ejecutar un sistema operativo

diferente en forma temporal.
Log. Registro de datos lgicos, de las acciones o sucesos ocurridos en los
sistemas aplicativos u operativos, con el fin de mantener informacin histrica para
fines de control, supervisin y auditora.
Megabyte MB. Es bien un milln de bytes 1.048.576 bytes.
Messenger: Opcin de mensajera instantnea disponible en Internet. Puede
traer problemas en las redes y sistemas privados, por cuanto puede convertirse en
una herramienta de trfico de virus y publicidad no solicitada as como una canal
vulnerable para la seguridad de redes y servidores.
Monitoreo de Cuentas de correo. Vigilancia o seguimiento minucioso de
los mensajes de correo que recibe y enva un usuario.
Nombre de dominio La direccin, en palabras, de un sitio web o de un
servicio de Internet; por ejemplo: security.ngoinabox.org
NoScript Complemento de seguridad para el navegador Firefox que te
protege de programas maliciosos que podran presentarse en pginas web
desconocidas.
Obscuracam: Es una aplicacin de software libre y cdigo abierto para
telfonos mviles Android la cual protege la identidad de las personas, que incluye
funciones de edicin de fotografas, como por ejemplo borrar rostros.
Orbot: Es una aplicacin de software libre y cdigo abierto para telfonos
mviles Android, que al igual que Orweb y Gibberbot, habilitan la conexin a la red
Tor.
Orweb: Es un navegador web de software libre y cdigo abierto para
telfonos mviles Android, el cual si se usa en conjunto con Orbot, facilita la
navegacin sobre la red Tor.
Peacefire Los suscriptores a este servicio gratuito reciben correos
electrnicos peridicos que contienen una lista actualizada de proxy de evasin, los
cuales pueden ser utilizados para eludir la censura en Internet.
Pidgin Herramienta de mensajera instantnea de software libre y de
141
cdigo abierto que se apoya en un complemento llamado Fuera de Registro (OTR).

Pirata informtico (hacker) En este contexto, un criminal informtico
malicioso quien puede intentar acceder a tu informacin importante o tomar control
de tu computadora de manera remota.
Poltica de seguridad Documento escrito que describe cmo tu
organizacin puede protegerse de mejor manera de distintas amenazas, esta
incluye una lista de pasos a seguir en caso ocurran ciertos eventos vinculados a la
seguridad.
Proxy Servicio intermediario a travs del cual puedes conducir algunas o
todas tus comunicaciones por Internet y que puede ser utilizado para evadir la
censura en Internet. Un proxy puede ser pblico, o podras necesitar un nombre de
usuario y una contrasea para conectarte a este. Solamente algunos proxy son
seguros, lo que significa que utilizan cifrado para proteger la privacidad de la
informacin que pasa entre tu computadora y los servicios de Internet a los cuales te
conectas a travs del proxy.
Quemador de CD Unidad CD-ROM de una computadora que puede
escribir datos en CD en blanco. Los Quemadores de DVD pueden hacer lo mismo
con DVD in blanco. Las unidades de CD-RW y de DVD-RW pueden borrar y
reescribir informacin ms de una vez en el mismo CD o DVD que cuente con estas
caractersticas.
Red: Se tiene una red, cada vez que se conectan dos o ms computadoras
de manera que pueden compartir recursos.
Registrador de teclas (keylogger) Tipo de software espa que registra
que teclas has presionado en el teclado de tu computadora y enva esta informacin
a un tercero. Los registradores de teclas (keyloggers) son utilizados frecuentemente
para robar correos electrnicos y otras contraseas.
Riseup Servicio de correo electrnico administrado por y para activistas. A
este servicio se puede acceder de manera segura a travs de un servidor web de
correo o utilizando un cliente de correo electrnico como el Mozilla Thunderbird.
Rooting: Es el proceso de desbloquear caractersticas en un telfono
Android, que de lo contrario son bloqueados por el fabricante o el operador de
142
telefona mvil con el fin de obtener total acceso al sistema operativo.

S.O. (Sistema Operativo). Programa o conjunto de programas que permiten
administrar los recursos de hardware y software de una computadora.
Seguridad Informtica: Procesos, actividades, mecanismos que consideran
las caractersticas y condiciones de sistemas de procesamiento de datos y su
almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad.
Seguridad: Mecanismos de control que evitan el uso no autorizado de
recursos.
Servidor Computadora que se mantiene encendida y conectada a la
Internet con el fin de proporcionar algn servicio, como puede ser el alojamiento de
una pgina web o el envo y recepcin de correo electrnico a otras computadoras.
Servidor de correo. Dispositivo especializado en la gestin del trfico de
correo electrnico. Es un servidor perteneciente a la red de Internet, por lo que tiene
conexin directa y permanente a la Red Pblica. Su misin es la de almacenar, en
su disco duro, los mensajes que enva y que reciben los usuarios.
Servidor. Computadora que comparte recursos con otras computadoras,
conectadas con ella a travs de una red.
Sistema Bsico de Entrada/Salida (BIOS) El primer y ms profundo nivel
de software en una computadora. El BIOS te permite fijar muchas opciones
avanzadas vinculadas al hardware de la computadora, entre ellas la contrasea de
encendido.
Skype Herramienta de software libre de voz sobre protocolo de Internet
(VoIP) que te permite hablar gratuitamente con otros usuarios de Skype y hacer
llamadas telefnicas pagando una tarifa. La compaa que respalda el Skype afirma
que las conversaciones con otros usuarios de Skype son cifradas. Debido a que es
una herramienta de cdigo cerrado, no hay manera de verificar esta alegacin, pero
muchas personas creen que es cierta. Skype tambin ofrece el servicio de
mensajera instantnea.
Software gratuito (freeware) Incluye software sin costo pero que est
sujeto a restricciones legales o tcnicas que le impiden al usuario acceder al cdigo
fuente utilizado para crearlo.
143
Software Libre y de Cdigo Abierto (FOSS) Esta familia de software est

disponible gratuitamente y no tiene restricciones legales que impidan a un usuario
probarlo, compartirlo o modificarlo.
Software malicioso (malware) Trmino general para referirse a cualquier
software malicioso, entre ellos virus, software espa (spyware), troyanos, y otras
amenazas similares.
Software propietario Es el opuesto al software libre y de cdigo abierto
(FOSS). Estas aplicaciones son normalmente comerciales, pero tambin pueden ser
software libre con requisitos de licencia restrictivos.
Software. Todos los componentes no fsicos de una PC (Programas).
Spybot Herramienta de software libre que combate el software malicioso
(malware), por ello escanea, elimina y ayuda a proteger tu computadora de
cualquier software espa (spyware).
Tarjeta SIM Tarjeta pequea y desmontable que puede ser insertada en un
telfono mvil con el fin de proporcionar servicio con una compaa de telefona
mvil en particular. Las tarjetas SIM tambin pueden almacenar nmeros telefnicos
y mensajes de texto.
Textsecure: Es una aplicacin de software libre y cdigo abierto para
Android que facilita enviar y guardar mensajes de texto cifrados.
Thunderbird Programa de correo electrnico de software libre y de cdigo
abierto con varias caractersticas de seguridad, entre ellas la admisin del
complemento de cifrado Enigmail.
Tor Herramienta de anonimato que te permite evadir la censura en Internet
y ocultar las pginas web y servicios de Internet que visitas de cualquiera que
pudiera estar vigilando tu conexin a Internet. Al mismo tiempo esta herramienta
oculta tu ubicacin a aquellos sitios web a los que ingresas.
TrueCrypt Herramienta de cifrado de archivos de software libre y cdigo
abierto que te permite almacenar informacin importante de manera segura.
Undelete Plus Herramienta de software libre que a veces puede restituir la
informacin que pudieras haber borrado de manera accidental.
144
Usuario. Toda persona, funcionario (empleado, contratista, temporal), que

utilice los sistemas de informacin de la empresa debidamente identificado y
autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus
funciones.
VauletSuite 2 Go - Programa de software gratuito para cifrado de correo
electrnico.
Virus. Programa que se duplica a s mismo en un sistema informtico,
incorporndose a otros programas que son utilizados por varios sistemas. Estos
programas pueden causar serios problemas a los sistemas infectados. Al igual que
los virus en el mundo animal o vegetal, pueden comportarse de muy diversas
maneras. (Ejemplos: caballo de Troya y gusano).
Voz sobre Protocolo de Internet (VoIP) Tecnologa que te permite utilizar
Internet para comunicaciones por voz con otros usuarios de Voz sobre Protocolo de
Internet y telfonos.
Vulnerabilidad: Son la capacidad, las condiciones y caractersticas del
sistema mismo (incluyendo la entidad que lo maneja), que lo hace susceptible a
amenazas, con el resultado de sufrir algn dao.
Web Mail. Es una tecnologa que permite acceder a una cuenta de Correo
Electrnico (E-Mail) a travs de un navegador de Internet, de esta forma podr
acceder a su casilla de correo desde cualquier computadora del mundo.
Web Site. Un Web Site es equivalente a tener una oficina virtual o tienda en
el Internet. Es un sitio en Internet disponible para ser accesado y consultado por
todo navegante en la red pblica. Un Web Site es un instrumento avanzado y rpido
de la comunicacin que facilita el suministro de informacin de productos o
entidades. Un Web Site es tambin considerado como un conjunto de pginas
electrnicas las cuales se pueden accesar a travs de Internet.
Windows Phone: sistema operativo de telfono mvil de Microsoft.
Your-Freedom Herramienta de evasin de software libre que te permite
evadir filtros en la Internet por medio de una conexin a un proxy privado. Si YourFreedom esta configurado adecuadamente, tu conexin a estos proxy ser cifrada
con el fin de proteger la privacidad de tus comunicaciones.
145
137
BIBLIOGRAFA
"Site Security Handbook". Request For Comments 1244. P. Holbrook y J.
Reynolds.
"Definicin de una poltica de seguridad". Jos R. Valverde. www.rediris.es/cert.
"Computer Security Basics". D. Russell y G.T. Gangemi. OReilly & Associates.
"Building Internet Firewalls". D.B. Chapman y E.D. Zwicky. OReilly & Associates.
Cap. 3 y 11.
"Security in Computing". C. P. Pfleeger. Prentice Hall. Second Ed. Cap.10.
Piattinni, G. M & Peso del E. Auditora Informtica. Un enfoque prctico. Alfaomega
Echenique G. J.A. (2001). Auditora en Informtica. 2da. Ed. Mc Graw- Hill
Introduccin a la
Computacin, del Departamentode Mtodos Matemtico Cuantitativos. Adems,
estn editados por la Oficina de Apuntes del CECEA.
Aspectos legales, derechos ded autor y piratera de software, Simn Mario
Tenzer, 26 pginas.
Elementos de Organizacin
Informtica), 19 pginas.
de
la
Funcin
Informtica
(Administracin
Evaluacin de paquetes contables (slo para Opcin Administrativo / Contable),

Beatriz Pereyra,
14 pginas. Incluye Integracin de las actividades de control con la evaluacin de
riesgos.
Respaldo y Recuperacin de Datos, Simn Mario Tenzer y Nelson Pequeo, Julio
2000, 17 pginas.
Seguridad Informtica, Leonardo Sena Mayans, Julio 2000, 11 pginas.
Virus informtico, Setiembre 2002, 21 pginas.
Informe sobre malware en Amrica Latina, Laboratorio ESET Latinoamrica, 2008.
http://www.eset-la.com/threat-center/1732-informe-malware-america-latina
Ten ways hackers breach security. Global Knowledge. 2008
http://images.globalknowledge.com
138
Bruce Schneier, Secrets & Lies. Digital Security in a Networked World. John Wiley
& Sons, 2000.
Kevin Mitnick, The Art of Intrusin. John Wiley & Sons, 2005.
La Odisea de Homero.
Official Certified Ethical Hacker, Sybex. 2007.
Sun Tzu, El arte de la guerra. Versin de Samuel Griffith. Editorial Taschen
Benedikt. 2006.
Farwell, James P.; Rafal Rohozinski; Stuxnet and the Future of Cyber
War, Survival, vol. 53, nmero 1, 2011
Salido, Javier; Data Governance for Privacy, Confidentiality and Compliance: A
Holistic Approach, ISACA Journal, vol. 6, 2010
Dobbs, Michael; The Edge of Madness, Simon & Shuster UK Ltd., RU, 2008
IBM, Top 3 Keys to Higher ROI From Data Mining, artculo tcnico de IBM SPSS
YourDictionary.com, http://computer.yourdictionary.com/dataintegrity
Vase Kerviel, Jerome; Lengranage, Memoires dun Trader, Flammarion, Francia,
2010, y Societe Generale,www.societegenerale.com/en/search/node/kerviel.
Op. cit., Farwell
Broad, William J.; John Markoff; David E. Sanger; Israeli Test on Worm Called
Crucial in Iran Nuclear Delay, The New York Times,15 de enero de
2011, www.nytimes.com/2011/01/16/world/middleeast/16stuxnet. html?pagewanted=all
IT Governance Institute, IT Assurance Guide: Using COBIT, EE. UU., 2007, pg.
212
Bankar, Pritam; Sharad Verma; Mapping PCI DSS v2.0 With COBIT 4.1, COBIT
Focus, vol. 2, 2011, www.isaca.org/cobitnewsletter
Data Management Association International (DAMA), The DAMA Guide to the Data
Management Body of Knowledge, Technics Publications LLC, EE. UU.,
2009, www.dama.org/i4a/pages/index.cfm?pageid=3345
Unin Europea (UE), Directiva 95/46/CE, emitida por el Parlamento Europeo y el
Consejo el 24 de octubre de 1995, sobre la proteccin de las personas fsicas en lo que
respecta al tratamiento de datos personales y a la libre circulacin de estos datos
UE, Directiva 2006/43/CE, emitida por el Parlamento Europeo y el Consejo el 17
de mayo de 2006, sobre la auditora legal de las cuentas anuales y de las cuentas
139
consolidadas, por la que se modifican las Directivas del Consejo 78/660/CEE y

83/349/CEE y se deroga la Directiva del Consejo 84/253/CEE.
Adaptado de US Chiefs of Staff Joint Publication 3-28, Civil Support, EE. UU.,
septiembre de 2007
Op. cit., DAMA
[1] ISO 7498-2. Information processing system Open systems interconections
Basic reference model Part 2: Security architecture. International Organizations of
Standarization, 1989.
[2] ISO/IEC 10181-4. Information technology- Open systems interconectios
Security frameworks in open systems Part 4: Non-repudiation. ISO/IEC, 1996.
[3] ISO/IEC DIS 13888-1. Information technology- Security techniques Non
repudiation - Part 1: General model. ISO/IEC JTC1/FC27 N1503, November 1996.
[4] ISO/IEC 5th CD 13888-2. Information technology- Security techniques Non
repudiation - Part 2: Using symetric techniques. ISO/IEC JTC1/FC27 N1505, November
1996.
[5] ISO/IEC DIS 13888-3. Information technology- Security techniques Non
repudiation - Part 3: Using asymetric techniques. ISO/IEC JTC1/FC27 N1507, November
1996.
[6] T. Coffey, P. Saidha, Non-repudiation with mandatory proof of receipts,
Computer Communications Review, 26 (1), January 1996, pp. 6-17
[7] J. Zhou, D. Gollman, A Fair Non-repudiation Protocol, Proceedings of the 1996
IEEE Symposium on Security and Privacy, 1996, pp. 55-61
[8] J. Zhou, D. Gollman, Observations on Non-repudation, Lectures Notes in
Computer Science. Advances in Criptology. ASIACRYPT 96, 1996, pp. 133144
[9] C. H. You, K. Y. Lam, On the efficient inplementation of fair non-repudiation,
Computer Communication Review, 28(5), October 1998, pp. 50-60
[10] L. Lamport, Passwords authentication with insecure communication,
Communications of the ACM, 24 (11), 1981, pp. 770-772
[11] S. Haber, S. Stornetta, How to time-stamp a digital document, Journal of
Cryptology, 3 (2), 1991, pp. 99-111
[12] T. Pedersen, Electronic payments of small amounts, Proceedings of
Cambridge Workshop on Security Protocols, 1996, pp. 59-68
[13] N. Asokan, M. Schunter, M. Waidner, Optimistics protocols for fair exchange,
140
4th ACM Conference on Computer and Communications Security, 1998, pp. 8-17
[14] J. Zhou, D. Gollman, An efficient Non-repudiation Protocol, 10th IEEE
Computer Security Foundations Workshop, 1997, pp. 126-132
[15] R. Deng, F. Bao, Evolution of fair non-repudiation with TTP, Proceedings of
1999 Australasian Conference on Information Security and Privacy, 1999, pp.258-269
141

Seguridad Informática Personal y Personal y Corporativa (Primera Parte) (Primera Parte)

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seguridad Informática Personal y Personal y Corporativa (Primera Parte) (Primera Parte)

Enviado por

Direitos autorais:

Formatos disponíveis

Jorge Domnguez Chvez

2.5 Mantener un ambiente sano para el hardware de tu computadora.............................36

8 Mantener el anonimato y evadir la censura en Internet.....................................................86

10.5 Plataformas, Configuracin bsica e Instalacin....................................................119

Qu hay de nuevo en los aos 2000?

Por qu el delito informtico parece ser un buen negocio?

El concepto de seguridad informtica no debe ser confundido con el de

Confidencialidad: acceso a la informacin debe ser realizada

Que personas no autorizadas no realicen modificaciones a los

Disponibilidad: la informacin del sistema debe permanecer

Figura 1 Estos tres elementos reciben el nombre de CID

A las tres caractersticas anteriores, se agrega la comparticin. Por lo que un

Los mecanismos de seguridad se dividen en cuatro grupos:

ISO Serie 27000

vocabulario (ISO 27000), requisitos para sistemas de gestin de seguridad de la

Implementar y Estructurar Controles

Cada control o grupo de controles forma parte de su objetivo de control, del

establecer el mismo comportamiento del usuario (informtica empresarial). En el

1 Virus, troyanos, puerta trasera y phising

Virus residentes. stos, se ocultan en la memoria RAM y lo que les da la

Virus cifrados. stos, usan mtodos criptogrficos en un intento de esquivar

Virus polimorfos o mutantes. Tienen la capacidad de encriptar el virus para

desencriptar el virus para propagarse. Para eso incluye un motor de

Virus Acompaante. stos, basan su principio en que MS-DOS ejecuta el

Virus de Archivo. Infectan archivos de tipo *.EXE, *.DRV, *.DLL, *.BIN,

Virus Bug-ware. Nombre dado a programas informticos legales diseados

Virus Macro. stos, de acuerdo con la Internacional Security Association,

virus, los virus macro no son exclusivos de ningn sistema operativo y se

Virus Multi-Partes. stos, infectan tanto el sector de arranque como los

Virus de la libreta de direcciones Microsoft Outlook. Office 95/97/2000/XP,

archivo ejecutable y la posibilidad de lograr su objetivo es poco probable o escasa .

Tabla 1: Los virus ms conocidos para Linux

Aparentemente Desinfeccin automtica del archivo ejecutable si se llama

Utiliza un archivo temporal para ejecutar el programa

Slo infecta los archivos en el directorio actual

El cdigo del virus ocupa 341 bytes slo infecta los

Contiene dos cdigos diferentes y puede infectar tanto los

1.2 Bombas lgicas

1.3 Caballos de Troya o troyanos

a muchas computadoras a una gran velocidad. Se propaga mediante el correo

Tabla 2: Tabla de vulnerabilidades

Instala una puerta trasera(puerto TCP 10008) y root-kit

Cambia los archivos index.html que encuentra.

Bind,Ipr,rpc,wu,ft Instala una puerta trasera en el sistema y enva

Entra como un supuesto programa chequea y elimina las

1.5 Puertas traseras

1.7 Ingeniera Social

financieros a un aparente funcionario de un banco- en lugar de tener que encontrar

1.8 Software Antivirus

aplicaciones que detectan, de manera inmediata, los programas espas que se

1.8.1 Consejos para utilizar software antivirus

ellas ofrece una opcin parecida. Puede llamarse 'Proteccin en Tiempo

1.8.2 Evitar una infeccin viral

1.8.3 Software Espa (Spyware)

1.8.4 Software contra Software espa (spyware)

1.8.5 Evitar infeccin de software espa

Mejora la seguridad de tu navegador Web evitando que ejecute

1.9 Cortafuegos (Firewall)

1.9.1 Software Cortafuegos

El seguimiento que hace Firewall Plus de las aplicaciones con conexin a la

1.9.2 Evitar conexiones no confiables a red

1.10 Mantener actualizado tu software

de tu computadora. Los desarrolladores de software continan encontrando estos

Virus de Archivo. Infectan archivos de tipo .EXE, .DRV, .DLL, .BIN,