¿Por qué no debemos usar la misma contraseña en todos los servicios que usamos?

Para muchos usuarios, seguramente, la respuesta a esta pregunta es más que evidente y no necesiten ningún tipo de explicación; sin embargo, existe un buen número de usuarios que repiten y repiten la misma contraseña en Facebook, Twitter, Evernote, Gmail y cualquier servicio disponible en la red que se nos ocurra.

• En el hipotético caso que alguien lograse descifrar las contraseñas tendría un listado de pares cuenta de correo-contraseña con la que probar, por ejemplo, en Facebook, Twitter, LinkedIn, Gmail y cualquier servicio que se nos ocurra. Si la contraseña es la misma en todos ellos, un atacante con no muy buenas intenciones tendría “barra libre” para acceder a toda nuestra información personal o realizar publicaciones en nuestro nombre.
• Otro escenario que podemos encontrar es el uso de aplicaciones que usan conexiones no cifradas (el correo, por ejemplo) en redes Wi-Fi abiertas y enviar, por dicho canal, nuestro usuario y contraseña para que un tercero con malas intenciones lo intercepte e intente usarlo en otros servicios o, incluso, que alguien intercepte lo que escribimos en un ordenador de uso público (con un keylogger) y pruebe la contraseña interceptada en otros servicios.

¿Cómo podemos adoptar prácticas seguras sin tener que recurrir a una libreta en la que apuntar todas las contraseñas? ¿Tenemos que depender de nuestra memoria?

Lo ideal sería recordar las contraseñas, no tenerlas que apuntar en ninguna parte y que siguieran patrones seguros pero, si no tenemos buena memoria, siempre podemos recurrir a algunas reglas que nos ayuden a llegar a un equilibrio entre nuestra memoria y algo seguro; por ejemplo, podemos usar patrón y, sobre éste, introducir variaciones.

Noticia "reciente" sobre robo de contraseñas.

Fuente:http://tecnologia.elpais.com/tecnologia/2016/09/22/actualidad/1474570081_475155.html

El gigante de Internet Yahoo ha reconocido que ha sufrido un robo masivo de datos que ha afectado a 500 millones de cuentas de usuarios, uno de los mayores hackeos de la historia. Supera en alcance de Linkedin, que afectó a 360 millones de perfiles, y al anterior de MySpace, que llegó a 100 millones. Los piratas han robado información personal, como fechas de nacimiento, direcciones de correo electrónico, números de teléfono o contraseñas, según ha manifestado el grupo en un comunicado, en el que añade que los datos bancarios o de las tarjetas de crédito de los usuarios no se vieron afectados.

Yahoo asegura que está trabajando en estrecha coordinación con los servicios de seguridad de Estados Unidos para intentar esclarecer todos los extremos de este robo de información, que fue perpetrado en 2014. Aunque la firma explica en su comunicado que no hay evidencias de que el ataque y robo hayan sido patrocinados por un Estado, la agencia Reuters mantiene que esa es la principal sospecha. Según las primeras declaraciones de la empresa, el ataque viene del exterior y sostienen que está avalado por un gobierno.

La firma subraya que el intruso ya está fuera de los sistemas de Yahoo y que se han tomado todas las medidas para asegurar de nuevo las cuentas pirateadas. Además, recomienda que los usuarios que no han cambiado sus contraseñas desde 2014 lo hagan tan pronto como sea posible, y que también modifiquen las preguntas y respuestas de seguridad. Jaime Blasco, experto en seguridad y líder de los laboratorios de AlienVault, insiste en la necesidad de añadir la opción de doble factor de autenticación. También considera importante reseñar que esa cuenta de correo, y su clave, servía como acceso a dos productos populares del universo Yahoo!, la plataforma de blogs Tumblr y el almacén de fotografía social, Flickr.

Este verano Yahoo admitió que estaba investigando la supuesta incursión de un pirata informático llamado Peace, que aseguró tener las credenciales privadas de 200 millones de usuarios de los servicios de Yahoo desde 2012. Peace vende los datos personales, cuentas de correo electrónico y contraseñas en la 'dark web' por tres bitcoins, equivalentes a 1.800 dólares.

Acceso y Tratamiento de Ficheros Informáticos

En particular, respecto a la información de carácter personal contenida en ficheros informáticos, deberá cumplir, en consonancia con lo expuesto en anteriores apartados, las siguientes diligencias:

• Claves de acceso al sistema informático. Las contraseñas de acceso al sistema informático son personales e intransferibles, siendo el Usuario el único responsable de las consecuencias que pudieran derivarse de su mal uso, divulgación o pérdida.
• Bloqueo o apagado del equipo informático. Bloquear la sesión del Usuario en el supuesto de ausentarse temporalmente de su puesto de trabajo, a fin de evitar accesos no deseados.
• Almacenamiento de archivos o ficheros en la red informática. Guardar todos los ficheros de carácter personal empleados por el usuario.
• Manipulación de los archivos o ficheros informáticos. Solo las personas autorizadas, podrán introducir, modificar o anular los datos personales contenidos en los ficheros. 
• Generación de ficheros de carácter temporal. Ficheros de carácter temporal son aquellos en los que se almacenan datos de carácter personal, generados a partir de un fichero general para el desarrollo o cumplimiento de una tarea determinada. Estos ficheros han de ser borrados una vez hayan dejado de ser necesarios.
• No uso del correo electrónico para envíos de información de carácter personal sensible. No utilizar el correo electrónico para el envío de información de carácter personal especialmente sensible.

Comunicación de incidencias que afecten a la seguridad de datos de carácter personal. 
Comunicar al responsable de seguridad las incidencias de seguridad de las que tenga conocimiento, que puedan afectar a la seguridad de los datos personales.

Entre otros, tienen la consideración de incidencia de seguridad que afecta a los ficheros informáticos, los sucesos siguientes:

• Pérdida de contraseñas de acceso a los Sistemas de Información 
• Uso indebido de contraseñas 
• Acceso no autorizado de usuarios a ficheros excediendo sus perfiles 
• Pérdida de soports informáticos con datos de carácter personal 
• Pérdida de datos por mal uso de las aplicaciones 
• Ataques a la red 
• Infección de los sistemas de información por virus u otros elementos dañinos 
• Fallo o caida de los Sistemas de Información, etc.

Ejercicio 10 T.3

¿Qué utilidad tienen las aplicaciones “congelador” del sistema operativo como DeepFreeze?

DeepFreeze es un controlador del núcleo que protege la integridad del disco duro redirigiendo la información que se va a escribir en el disco duro o partición protegida, dejando la información original intacta. Las escrituras redirigidas desaparecen cuando el sistema es reiniciado, restaurando el equipo a su estado original. Esto permite a los usuarios realizar cambios originales en el equipo, por ejemplo para probar cambios potencialmente inestables o malignos, sabiendo que al reiniciar el sistema volverán a desaparecer.Para realizar cambios el sistema se debe descongelar, desactivando DeepFreeze, de forma que los siguientes cambios sean permanentes.DeepFreeze puede restaurar ciertos daños provocados por malware y virus ya que tras el reinicio cualquier cambio hecho por el software malicioso debería quedar eliminado del sistema al ser revertido al estado original (junto con cualquier otro tipo de modificaciones que se hayan hecho). Sin embargo, esto no impide que un virus ó malware se desarrolle mientras que no se reinicie el sistema, ó que el virus afecte a una partición que no esté protegida, o que se coloque en el registro del DeepFreeze como archivo que estaba previamente en el sistema. Además de que daña el sistema operativo cuando la pc tiene ausencia de energía de un momento a otro.

Busca alguna otra aplicación disponible para Windows y otra para Gnu/Linux

• Toolwiz Time Freeze, Windows
• Ofris, Linux
  

¿Es posible instalar aplicaciones y guardar datos teniendo activada este tipo de aplicación?

Mientras el sistema está activo podremos realizar todos los cambios que queramos en el mismo, pero al reiniciar el sistema estos se borraran.
Por lo tanto si nos olvidásemos la contraseña de DeepFreeze, nos veríamos obligados a ejecutar algún tipo de crack para desactivarla o iniciar el sistema en modo de fallos con F8, ejecutar un msconfing y desactivar el inicio quitando la pestaña de este programa. Iniciaremos Windows normalmente y ya no estará congelado.


¿Qué protección ofrece?

Crea un punto de restauración del sistema que impide la permanencia de programas dañinos una vez que se reinicie el equipo.

Ejercicio 9 T.3

A partir de Windows XP se solicita para realizar tareas de administración como cambios en la configurascion de red, instalación de drivers o aplicaciones, la contraseña de un usuario administrador.

Esta opción es interesante dado que el administrador del equipo es quien suele controlar su seguridad.

En GNU/Linux esta petición tambien se realiza, especialmente en la consola de comandos en la que deberemos registrarnos como "root".

Ejercicio 8 T.3

Chmod sólo atiende a los permisos basados ​​en el grupo de propietarios.

 -rwx ------ = leer, escribir y ejecutar sólo para el propietario:

Code:

chmod 700 file

-rwxrwx--- = read,write, y execute para el propietario y 1 grupo específico:

Code:

chmod 770 file

Setfacl permite un mayor control sobre quién tiene acceso a un archivo o carpeta específicos.

Puede conceder un acceso de lectura de archivo adicional a un  usuario:

Code:

setfacl -m u:lisa:r file

Ejercicio 7 T.3

Keepass Password Safe:

¿Qué opciones de configuración segura facilita?

La seguridad del gestor de contraseñas depende de varios parámetros:

•  La robustez de la clave maestra elegida. 
•  La seguridad del algoritmo de cifrado utilizado. 
•  La calidad del código fuente de la aplicación. 
•  La forma de almacenar la clave cuando el usuario la solicita. 
•  La existencia de virus u otro tipo de malware en nuestro ordenador. La solidez de la clave maestra y del gestor de contraseñas sirven de poco si tenemos un keylogger instalado. 

¿Es posible recordar las contraseñas de sitios web y acceder sin teclearlas?

Si es posible recordar las contraseñas de sitios web y acceder sin teclearlas. La mayoría de los navegadores de Internet actuales, como Firefox o Internet Explorer, llevan incorporado un gestor de contraseñas en forma de plugin que opcionalmente se puede proteger mediante una contraseña maestra. De esta manera cuando visitamos una página web que requiere autenticación, el navegador escribe automáticamente el usuario y la clave en los campos correspondientes sin necesidad de que el usuario intervenga. También existen aplicaciones independientes del navegador de Internet que tienen el mismo cometido y a menudo son más seguras, como KeePass Password Safe (open source). Una opción especialmente conveniente es instalar el programa en una memoria USB para llevarlo con nosotros. Esto sólo es posible si el gestor de contraseñas elegido dispone de una versión portátil.

Control de acceso a datos y aplicaciones

Windows:

Para modificar la configuración de seguridad local iremos a Panel de Control/Herramientas administrativas /Directiva de seguridad local.

Podremos modificar Directiva de auditoría, Asignación de derechos de usuario u Opciones de seguridad, en el árbol de la consola haz clic en Directivas locales, estas directivas se aplican a un equipo y contiene tres subconjuntos:

1. Directiva de auditoría: Determina si los sucesos de seguridad se registran en el registro de seguridad del equipo. El registro de seguridad forma parte del visor de sucesos.

2. Asignación de derechos de usuario: Determina que usuarios o grupos tienen derechos de inicio de sesión o privilegios en el equipo, entre otros:

     a. Ajustar cuotas de memoria para un proceso, permitir el inicio de sesión local, hacer copias de seguridad y restaurar archivos y directorios, generar auditorias de seguridad, o tomar posesión de archivos y otros objetos.


3. Opciones de seguridad: Habilita o deshabilita la configuración de seguridad del equipo, como la firma de datos, nombres de las cuentas Administrador e Invitado, acceso a CD-ROM y unidades de disco, instalación de controladores y solicitudes de inicio de sesión.

Para tener un mayor control sobre la configuración del nivel de acceso por parte de cada usuario a cada recurso del sistema, como por ejemplo una carpeta, es necesario realizar la configuración de ACL. En Windows es posible realizarla mediante el comando cacls (obsoleto, hoy en día sería icacls).

Como sabemos, en un sistema local las carpetas de usuario no son accesibles por otros usuarios del sistema. En caso de querer que un usuario 1 de acceso de lectura, solo a un usuario 2 a su carpeta Mis Documentos/Música, podremos ejecutar con el usuario 1 en la consola de comandos: cacls (icacls) “Mis Documentos\Música/t/t/ g Usuario2:R

Las opciones principales son:

/t: modifica las ACL de los archivos especificados en el directorio actual y subdirectorios.
/e: modifica en vez de reemplazar la ACL.
g/: usuario: permisos R (lectura), E (escritura), C (cambiar), F (control). Permite asignarlos (grant).
/p: permite reemplazar los existente o quitárselo todos con: N.

NOTA: cacls está obsoleto.

Icacls

Modificación de contraseñas

En caso de olvidar la contraseña o querer modificarla sin conocerla, podemos recurrir a herramienta en modo Live que permiten resetearlas o cambiarlas sin autorización del administrador.


Windows:

Existen diferentes opciones sólo nos centraremos en algunas de las más sencillas, todas ellas requieren de la posibilidad de arranque desde una distribución Live:


1. Mediante la distribución UBCD podemos ejecutar la aplicación Password Renew. Le indicaremos en qué directorio se encuentra la carpeta de sistema:

A continuación nos mostrará el listado de usuarios disponibles, pudiendo realizar acciones como renovar una contraseña (sin conocer la anterior), crear un usuario administrador, o modificar el tipo de cuenta de un usuario, por ejemplo, limitado a administrador.

2. Otra vulnerabilidad que presentan los sistemas Windows es a través de herramientas que pueden verse modificadas o sustituidas por una consola de comandos (cmd.exe con privilegios de administrador). Por ejemplo la utilidad StickyKeys software de ayuda y accesibilidad, que se activa pulsando la tecla SHIFT 5 veces seguidas.


El fichero que ejecuta es sethc.exe ubicado en C:\WINDOWS\SYSTEM32. La vulnerabilidad consiste en sustituir sethc.exe por cmd.exe (consola de comandos) y así cuando pulsemos la tecla SHIFT 5 veces seguidas se nos abrirá la shell de comandos, desde la cual podemos hacer ejecutar los comandos que queramos sobre el equipo.




Vemos los comandos para sustituir el ejecutable sethc.exe por cmd.exe, desde una distribución Live con la partición de Windows montada.


En la página de inicio de sesión pulsamos 5 veces la tecla shift y nos ejecutará la consola de comando. Podremos ejecutar todo tipo de comandos, como por ejemplo control userpasswords2 que nos abrirá la utilidad de configuración de contraseñas de usuarios, pudiendo renovarlas sin conocerlas previamente.

Recuperación de contraseñas

Ophcrack ya es compatible con Windows 7(NT hashes) desde su versión 3.4.0.


Es una herramienta para crackear las contraseñas de Windows basada en las tablas Rainbow. Es una implementación muy eficiente de las tablas Rainbow para revelar contraseñas de sesión de Windows XP/Vista/y Windows 7 en su última versión 3.4.0. La diferencia de Ophcrack con otros programas similares es que no se basa solo en resetear o eliminar la contraseña de sesión si no que intenta revelar la contraseña almacenada. Ophcrack dispone de una versión para ejecutar en Windows pero es mucho más útil y eficaz su versión BootCD que es de la que vamos a hablar. La versión BootCD se distribuye como una ISO auto-arrancable lista para grabar a un CD o ejecutar desde un Pendrive. Ophcrack viene añadido a una distribución Linux LiveCD basada en Slitaz GNULinux 4.0 que permite autoarrancar Ophcrack nada más iniciarlo.

Funciona por pack de tablas que son las que se usan para crackear las contraseñas de Windows, estas tablas son las que hacen al programa realmente pesado en lo que a tamaño se refiere. Las tablas incorporadas a la versión gratuita son las denominadas “Vista_Free” que permiten revelar contraseñas de hasta 5 caracteres de largo en un corto plazo de tiempo. Para contraseñas de más de 5 caracteres o para caracteres especiales hay que disponer de las tablas “Vista especial” hasta “Vista nine” que pueden llegar a pesar hasta 134GB y no son gratuitas.
Más información sobre lo que puede revelar cada pack de tablas en:

http://ophcrack.sourceforge.net/tables.php


1- Para comenzar debemos descargar la ISO original de Ophcrack con las tablas Vista Free ya incorporadas que pesa unos 506MB de tamaño aprox.

Descargar ISO Original de Ophcrack 3.4.0 para Windows 7

2- Una vez descargado solo falta grabar la imagen ISO a un CD o ejecutarla desde un Pendrive usando un programa como UnetBootin para extraer todo el contenido de la imagen y hacer un Pendrive autoarrancable. 

3- Al iniciar el LiveCD Linux desde un CD o Pendrive automáticamente cargará y ejecutará Ophcrack que identificará los usuarios y comenzará automáticamente a intentar revelar las contraseñas. Cuando el proceso terminé la contraseña aparacerá en la columna “NT Pwd”.

Esta versión solo puede revelar hasta 5 caracteres alphanuméricos y sin caracteres especiales. Si la contraseña no cumple uno de esos requisitos el programa mostrará un error “No Fount” en la columna “NT Pwd”. Las Rainbow Tables que contiene el Live-CD son las más básicas y sólo sirven para descifrar contraseñas alfanuméricas, esto es, sólo letras y números. De nada servirá contra un password que contenga caracteres especiales como !”#$%&’()*+,-./:;<=>?@[\]^_`{|}

Recomendación: Ophcrack encuentra grandes dificultades con contraseñas creadas con palabras separadas por espacios y caracteres especiales, por lo que se recomienda su uso.

Ejercicio 6 T.3

¿Qué opciones de configuración segura facilita? 

La seguridad del gestor de contraseñas depende de varios parámetros:
• La robustez de la clave maestra elegida.
• La seguridad del algoritmo de cifrado utilizado.
• La calidad del código fuente de la aplicación.
• La forma de almacenar la clave cuando el usuario la solicita.
• La existencia de virus u otro tipo de malware en nuestro ordenador. La solidez de la clave maestra y del gestor de contraseñas sirven de poco si tenemos un keylogger instalado.

¿Es posible recordar las contraseñas de sitios web y acceder sin teclearlas? 

Si es posible recordar las contraseñas de sitios web y acceder sin teclearlas. La mayoría de los navegadores de Internet actuales, como Firefox o Internet Explorer, llevan incorporado un gestor de contraseñas en forma de plugin que opcionalmente se puede proteger mediante una contraseña maestra. De esta manera cuando visitamos una página web que requiere autenticación, el navegador escribe automáticamente el usuario y la clave en los campos correspondientes sin necesidad de que el usuario intervenga. También existen aplicaciones independientes del navegador de Internet que tienen el mismo cometido y a menudo son más seguras, como KeePass Password Safe (open source). Una opción especialmente conveniente es instalar el programa en una memoria USB para llevarlo con nosotros. Esto sólo es posible si el gestor de contraseñas elegido dispone de una versión portátil.

Ejercicio 5 T.3

Windows SteadyState permite gestionar estos ordenadores y devolverlos a su “estado original” una vez han sido utilizados. Se trata del sucesor de Shared Computer Toolkit, una herramienta ya existente, a la que se le han añadido diversas nuevas opciones.

Esta aplicación nos permite gestionar diversos perfiles de usuario, modificando su configuración de forma agrupada, definiendo los permisos para cada uno de ellos, por lo que podremos limitar el acceso a ciertas opciones, como el panel de control o la gestión de red.

Una vez realizadas estos bloqueos, será facilitar devolver el ordenador al estado inicial, simplemente reiniciándolo, aunque también podemos definir cuanto tiempo se mantendrán los cambios en el disco. Por ejemplo, en un aula de informática se podrían resetear cada vez que haya nuevos alumnos. Windows SteadyState funciona con Windows XP con el SP2 instalado y su descarga y uso son gratuitos.

Configuración de privacidad:
-No mostrar los nombres de usuario en el cuadro de diálogo "Iniciar sesión en Windows"

-Impedir que inicien sesión los perfiles de usuario móviles o bloqueados que no se encuentren en el equipo.

-No almacenar en caché copias de perfiles móviles o bloqueados de usuarios que iniciaron sesión anteriormente en el equipo.

Configuración de seguridad:  
-Quitar el nombre de usuario Administrador de la pantalla de bienvenida

-Quitar las opciones Apagar y Desactivar del cuadro de diálogo "Iniciar Sesión en Windows" y la pantalla de bienvenida

-No permitir que Windows calcule y almacene contraseñas con valores hash de LAN manager

-No almacenar nombres de usuario o contraseñas empleadas para iniciar sesión en Windows Live ID o en el dominio

-Impedir que los usuarios creen carpetas y archivos en la unidad C

-Impedir que los usuarios abran documentos de Microsoft Office desde Internet Explorer

-Impedir el acceso de escritura a los dispositivos de almacenamiento USB

Ejercicio 3 T.3

   Perfiles y tipo de limitaciones de uso en las cuentas de usuario en sistemas Windows:

En las cuentas de administrador, las tareas permitidas son:

• Instalación del sistema y del hardware y software inicial.
• Parametrización de preferencias (fecha y hora, fondo de escritorio, etc.) y reparación de problemas (modificación del registro, etc.)
• Adición de nuevo software (ej. programas de descarga) y hardware (ej. impresora).
• Todas las tareas que permite una cuenta limitada: uso de procesadores de texto, navegador web, etc.
• Crear, modificar y eliminar cuentas.
• Tener acceso a todos los archivos del sistema.

   En las cuentas limitadas, las tareas permitidas son:

• Crear, modificar o eliminar archivos de la propia cuenta.
• Programas cotidianos de tratamiento de datos: procesadores de texto, hojas de cálculo, bases de datos, navegador, programas de descarga, lectores de correo electrónico, reproductores de video y audio, edición de fotografías, etc.
• Ver archivos de la carpeta Documentos compartidos.
• Guardar documentos, leer documentos del propio usuario.
• Cambiar o quitar sus propias contraseñas
• Cambiar su imagen, tema y otras configuraciones de su escritorio
  

    Tipo de cuenta que utilizarías normalmente en el sistema:

  Debemos hacerlo con una limitada, y si necesitamos más privilegios, utilizar la de administrador puntualmente.

Tipo de limitaciones que nos encontraríamos:

 No podría configurar fecha, hora fondo de pantalla etc. Ni añadir software nuevo, tampoco hardware. No podría crear, modificar o eliminar cuentas, tampoco podría tener acceso a todos los archivos del sistema.

Funcion del comando runas:

  Sirve para ejecutar un instalador desde la consola con los privilegios del usuario administrador.

Configuración de contraseñas seguras

Las directivas de cuentas nos permiten configurar el comportamiento que van a tener estas ante una serie de sucesos. La importancia de una correcta configuración de estas directivas radica en que desde ellas vamos a poder controlar de una forma más eficiente la forma de acceder a nuestro ordenador.

Dicho esto, vamos a ver en primer lugar como accedemos a la ventana de Directivas de seguridad de cuentas.
En primer lugar entramos en el Panel de control > Herramientas administrativas > Directiva de seguridad local:

Una vez en la ventana de las Directivas de seguridad local nos encontramos a la izquierda con varias directivas. Estas son: 

- Directivas de cuentas 

- Directivas locales 

- Directivas de claves públicas 

- Directivas de restricción de software 

- Directivas de seguridad IP en equipo local 

Vamos a tratar la primera de ellas, que son las Directivas de cuentas. Como podemos ver, en este grupo de directivas tenemos dos subgrupos, Directiva de contraseñas y Directiva de bloqueo de cuentas. Vamos a ver que podemos hacer en cada uno de ellos: 

DIRECTIVA DE CONTRASEÑAS:

Almacenar contraseñas con cifrado reversible:

Exigir historial de contraseñas:

La contraseña debe cumplir los requisitos de complejidad:

Longitud mínima de la contraseña:

Vigencia máxima de la contraseña:

Vigencia mínima de la contraseña:

Recomendaciones para la creación y uso de contraseñas seguras

En los últimos años, el perfil de los usuarios de Internet y los usos que estos hacen de la Red, ha variado, alcanzándose unas notables tasas de penetración en determinados servicios. Así, por ejemplo en España, el correo electrónico, con un 99,5%, es el servicio más utilizado entre los usuarios habituales de Internet entre 16 y 74 años, un 63% ha utilizado servicios de banca electrónica y actividades financieras y el 52% ha realizado compras online.

Analicemos:


El porcentaje de usuarios que emplea contraseñas para el acceso a sus sistemas de archivos apenas llega a la mitad: un 51,6%.

el porcentaje de la gente que apunta su contraseña en papel, es del 30%. En un archivo dentro del equipo, el 66%, lo cual no es muy seguro.

Un 53% de los usuarios no cambian nunca la contraseña salvo que el sistema le obligue a ello cada cierto tiempo.

La importancia de emplear contraseñas fuertes

En una reciente conferencia sobre seguridad informática unos investigadores de AT&T han presentado una idea tan ingeniosa como aparentemente simple: utilizar posiciones en los mapas para representar contraseñas.


La idea es sencilla: en vez de tener que teclear un código alfanumérico a los usuarios se les muestra un mapa.


La longitud de esta contraseña es la de diez dígitos que representen la latitud y otros diez para la longitud el sistema tendría una fortaleza de unos 20 dígitos.


Este sistema además evitaría uno de los problemas actuales que es el software malicioso que los ladrones de contraseñas instalan en algunos ordenadores para robar contraseñas. Como no hay que teclear nada, no pueden capturar la secuencia del teclado. Y como el mapa puede desplazarse y ampliarse, de poco sirve también grabar la posición del ratón en la que se hace clic: las coordenadas exactas podrían estar en cualquier parte.

Para obtener la contraseña, si la gente tiende a marcar únicamente lugares que conoce, eso aumentaría las probabilidades de que alguien «adivinara» su contraseña a base de pruebas.


Los usuarios sólo tendrían que memorizar en el mapa algún lugar que les parezca interesante o que conozcan y puedan encontrar fácilmente para usarlo a modo de contraseña.

Ejercicio 4 T.9

Recomendaciones técnicas para cumplir la normativa del artículo 19 de la LOPD:

• Deberán instalarse en salas o armarios protegidos bajo llave y con sistemas de seguridad.

• Se podría poner videovigilancia, acceso a través de control por huellas dactilares...

• Todo fichero automatizado deberá contar con un registro de incidencias en el que poder registrar cualquier anomalía que afecte o pueda afectar a la seguridad e los datos.

• Controlar el acceso de los usuarios a los datos de carácter personal, permitiéndoles acceder solamente aquellos que pudieran ser necesarios para la realización de sus funciones.

• Exclusivamente el personal autorizado podrá realizar modificaciones en los datos.

Ejercicio 3 T.9

Noticias extraidas de http://todonoticiaslopd.com/ :

La AGPD sanciona con 6.000€ a un Centro Médico de cartagena

Un centro médico es sancionado con 6000 euros por hacer uso de los datos personales de un cliente de la empresa con la que se había fusionado.

El denunciante declara que ha recibido en su domicilio un escrito de un centro médico en el que se le informa de que su carnet de conducir está próximo a caducar y se le ofrecen sus servicios para gestionar la renovación del mismo. Manifiesta que no ha mantenido relación ninguna con la empresa denunciada y que desconoce como han obtenido sus datos personales y la fecha de caducidad de su permiso de conducir.

_____

Protección de Datos multa a UGT Enseñanza por publicar las retribuciones de los empleados

La Agencia Española de Protección de Datos multó a la Federación Española de Trabajadores de la Enseñanza de UGT por dar publicidad de las retribuciones de los empleados, algo que está penado con una sanción grave.

La Agencia Española de Protección de Datos resolvió sancionando con 3.000 euros a la Federación Española de Trabajadores de la Enseñanza de UGT (FETE-UGT). La agencia consideró la publicidad de las retribuciones de los empleados como una sanción grave según lo establecido en el artículo 6.1 de la LOPD.

_____

Protección de Datos expedienta a la cofradía coruñesa de Cabo da Cruz

La Agencia Estatal de Protección de Datos inició un procedimiento sancionador contra la Confraría de Pescadores de Cabo de Cruz, en Boiro (A Coruña), por publicar en el tablón de anuncios de la lonja -de acceso público- un escrito con datos personales de las personas firmantes.

Ejercicio 2 T.9

Para realizar la presentación de notificaciones a través de Internet o por soporte magnético, es necesario tener instalado el programa de generación de notificaciones. Una vez instalado, para entrar en él pulse en Inicio / Programas / R.G.P.D. Privado.

Despues pulse en Notificaciones / Nueva Notificación / Creación.
Hay algunos datos que hay que cubrir obligatoriamente:

• Responsable: Indica la persona física o jurídica, que decida sobre su finalidad.
• Sistema de Tratamiento o de información. Puede monopuesto o red.
• Seguridad: En este apartado se indicará el nivel de seguridad exigible.
• Estructura: Indica los datos incluidos en el fichero. Normalmente se introducen los siguientes datos: D.N.I./N.I.F., Nombre y apellidos, Dirección y Teléfono.
• Finalidad: Habrá que indicar la finalidad de los ficheros.
• Procedencia:

Una vez rellenado todo el informe guardaremos la información para una posteriormente poder consultar o modificar cualquier dato. Haremos clic sobre la opción de Notificaciones / Guardar como y guardaremos la notificación con el nombre que deseemos.

El medio recomendado por la AGPD para la notificación de los ficheros es el uso del formulario NOTA. Se encuentra disponible en la Sede Electrónica de la Agencia Española de Protección de Datos (sedeagpd.gob.es). Es un nuevo Servicio Electrónico para la notificación de la inscripción de ficheros.


Formatos de Presentación disponibles:

• Telemático, a través de Internet, incorporando la posibilidad de utilizar firma electrónica.
• En formato papel, cumplimentada mediante el formulario NOTA, incluyendo un código óptico de lectura para agilizar su inscripción.

Ejercicio 1 T.9

-La LOPD surge por el derecho fundamental a la protección de datos personales, que se traduce en la potestad de control sobre el uso que se hace de sus datos personales.

-Los datos personales en ocasiones se utilizan con fines desonestos (como suplantación de identidad).

-Puede que si y puede que no, no hay una respuesta firme, todo depende del punto de vista  ya que entran en conflicto dos derechos fundamentales: el derecho a la privacidad y la libertad de expresión.

     En mi opinión, los medios de comunicación (en especial, redes sociales) pueden ser peligrosos si no se toman las medidas oportunas.

Ejercicio 18

Preguntas sobre SAI

¿Es necesario disponer una SAI para un portátil o un netbook? No

¿Por qué? Porque usan batería por lo que no habría ni picos de corriente ni cortes.

¿Qué función realiza el transformador de corriente del portatil? Los cargadores de portátiles transforman la corriente alterna de entrada (220 V AC) en corriente directa de salida (entre 10 y 20 V DC).

¿Y las celdas de baterías? Aumentar el tiempo de duración de la bateria

Ejercicio 16

Control de acceso Biopassword

Itway se ha propuesto reforzar en 2008 su catálogo de tecnologías biométricas, para lo cual acaba de firmar un acuerdo con el fabricante norteamericano BioPassword. En palabras de David Pascouau, director general del mayorista en Iberia, esta alianza supone un marcado acento estratégico para el catálogo de su compañía, que se ve ampliado con una solución “completamente novedosa para el mercado español”. 

No en vano, la tecnología de este proveedor autentica a los empleados de todo tipo de organizaciones mediante la combinación de tres medidas de seguridad: nombre de usuario, contraseña y el comportamiento biométrico de esa persona a la hora de utilizar el teclado del ordenador. Y es que cada usuario tiene un ritmo único al escribir que resulta de comparar la velocidad de presión de las teclas y el tiempo de demora entre cada pulsación. De esta forma, se ofrece un riguroso control de acceso a la información y una eficaz protección frente a ataques de phishing y robo de identidades. &amp;nbsp; Además, entre otras ventajas, el software de BioPassword presenta un despliegue inmediato que además no requiere dispositivos adicionales como tarjetas externas o equipos especializados en autenticación. Se trata de una solución disponible en dos versiones: BioPassword Internet Edition, para entornos basados en la Web, y BioPassword Enterprise Edition, para entornos que utilizan Windows Active Directory y Citrix Presentation Server.

Ejercicio 15

Sistema BioCloser

Su la base de su funcionamiento reside en la Biometria (es decir, que distingue rasgos que poseemos nosotros desde que nacemos), más especificamente en la voz. BioCloser funciona distinguiendo el tono de las voces, además se puede mezclar con otros sistemas de seguridad, como tener que introducir un password o incluso reconocimiento facial o huellas dactilares.

Se podria emplear para una sala importante (unos servidores de una empresa importante) en la que no queremos que entre nadie no autorizado, de esta forma conseguimos minimizar mucho la intrusión de extraños.

Ejercicio 14

Microsoft desktop fingerprint reader:

Precio: 30,00€
http://cuenca.olx.com.ec/teclado-y-mouse-wireless-microsoft-iid-11455108


Características:


Teclado:
- Interfaz USB.
-Diseño QWERTY.
-Lector de huellas digitales.
-Teclas multimedia.
-Diseño ergonómico.
-NO trae la Ñ.


Ratón:
-Inalámbrico.
-Tecnología óptica.
- Diseño ergonómico.
- 3 botones.
- Funciona con dos pilas AA.


El paquete incluye:
-Teclado.
-Ratón.
-Receptor USB.
-CD de software para Teclado y ratón.
-CD DigitalPersona Password Manager.



Upek Eikon To Go Digital Privacy USB Fingerprint Reader




Precio: 39,94€

http://cgi.ebay.es/Upek-Eikon-To-Go-Digital-Privacy-USB-Fingerprint-Reader-/380278056827?pt=UK_Collectables_InputDevices_RL&hash=item588a56a77b


Características:

-Acceso rápido y seguro al ordenador.
-Bloquea y desbloquea el ordenador cuando quieras y cambia rápidamente entre cuentas de usuario.
-Ejecuta tus aplicaciones favoritas asignando un dedo a cada una.
-Compatible con Mac Leopard y Tiger, Windows vista 32 y 64 bits, Windows XP 32 y 64 bits, Windows 2000 y 2003.


Contenido del paquete:


-Eikon To Go usb fingerprint reader.
-CD de software Protector Suite.
-Guía para principiantes.

Software:


Microsoft Digital Persona:


Microsoft Digital Persona es el software que usaban los portátiles Windows con lector de huella digital para gestionar el acceso de diferentes usuarios hasta que apareció Windows 7. Solo funcionaba en sistemas Vista y XP de 32 bits, pero finalmente Microsoft terminó por dejar de lado este software y los lectores de huellas puesto que piensan que es un sistema de seguridad bastante pobre.


Software de Seguridad eNDeSS Professional

Descripción:


eNDeSS Professional es un software de seguridad para PC’s basado en la tecnología biométrica de huella digital. Más seguro y fiable, ya que la utilización de identificación por huella digital ofrece más ventajas que la utilización de passwords
Compatible con los lectores de huella dactilar de Nitgen Hamster, Hamster II y Mouse. Software sin coste adicional alguno que se entrega con los lectores biométricos.


Características:

-Compatible con acceso remoto
-Optimización de la imagen de la huella digital para su rápida verificación
-Entorno de usuario fácil y práctico
-Se pueden asignar tres niveles de seguridad
-Interfaz USB
-También compatible con otras BioAPI BSP de otras compañías
-Certificación Common Criteria:


Usa potentes algoritmos de encriptación e integridad (AES, SHA-2).
Junto al lector Fingerkey Hamster II, incorpora un sistema de detección de dedos falsos.
No se permite más de tres intentos fallidos de autentificación.


Funciones:


-Gestión de usuarios.
-Gestión de verificación de la Base de Datos.
-Gestión de Log on.
-Protector de pantalla.
-Log on (control de accesos a Windows)
-Restricción de sistemas.
-Encriptación de ficheros.
-Copia de seguridad de la base de datos.

Ejercicio 13

Terminal de tarjeta / Terminal de código

TR-ICLOCK-260

Permite la visualización de mensajes a usuarios.

Incorpora la opción de mostrar el Nombre (Alias) de la persona que está fichando así como la respuesta del Terminal a

través de voz pronunciando su nombre.

Distintos modos de operación: Sólo tarjetas, Código + Tarjeta y Código + Password.

Incorpora puerto USB para la descarga de fichajes a una unidad portátil (Pendrive o Flash Disk)

Cambio de hora automático verano-invierno.Permite la respuesta del terminal al fichar a través de voz.



Huella dactilar

Terminal FP-85C

Permite la visualización de mensajes a usuarios y del Nombre (Alias) de la persona que está fichando.
Distintos modos de operación: Sólo huella, Código + Huella y Código + Password
Incorpora puerto USB para comunicación con el PC o para la descarga de fichajes a una unidad portátil (Pendrive o Flash Disk)



Cambio de hora automático verano-invierno.

Permite la respuesta del terminal al fichar a través de voz.

Admite la introducción de ilimitadas incidencias (Fumar, Comida, Asuntos, Médico, etc…)

Ejercicio solución para dar seguridad a un aula

En un aula como la mía en la que quisiéramos tener 15 ordenadores portátiles la solución mas rentable sería usar un carro para portátiles y netbooks.

Hemos encontrado un carro con capacidad de 24 portátiles.

Estas son las características que nos ofrece el fabricante:

• Concebido para evitar el robo y recargar portátiles y netbooks en centros educativos, universidades, empresas, etc. 
• Puertas delanteras y puertas traseras con cerradura, ambas con la misma llave. 
• Apto para portátiles de hasta 16” (en el caso de los portátiles de 17”, caben hasta 16 unid.) 
• Fabricado en acero F-111. 
• Bisagras antipalanca. 
• Orificios de ventilación distribuidos por todo el armario para evitar sobrecalentamientos. 
• Goma antideslizante en la parte superior para colocar periféricos. (Proyector, impresora, etc.) 
• Cajetín porta-documentos en la puerta frontal. 
• En la parte posterior del armario hay las tomas de recarga y las fuentes de alimentación de los portátiles. Desde la parte delantera no hay acceso a las tomas de corriente. 
• Ruedas giratorias de goma, dos de ellas con freno de seguridad, para facilitar la movilidad. 
• Barras de empuje en ambos lados. 
• Toma de alimentación exterior para periféricos. 
• Acabado en dos colores: armario en RAL 5015 y puertas en RAL 7035. 
• Cumple con la normativa Europea. 
• Garantía In-Situ 2 años

Su precio por unidad es de 985,33 € (IVA incluido).

Ejercicio soluciones de seguridad fisica

Armario y sus características en dimensiones que dé cabida a un switch, un panel de parcheo, Pc (sobremesa con funciones de servidor) con monitor, teclado, ratón y SAID.

Armario Rack de 19″

Altura –> 21U
Tamaño externo –> 600mm(A) x 600mm(F) x 1140mm(H)
Tamaño interno –> 19″ ancho entre bastidores y fondo útil de 520mm
Distancia entre bastidor frontal y trasero –> 450mm
Fondo de la bandeja suministrada es de 450mm

¿Qué precio y en qué distribución has encontrado dicho armario?¿Qué características tiene la puerta y la llave de dicho armario? ¿Crees que sería totalmente seguro?


Precio = 364.53 €
Distribuidor –> RackMatic

Puerta de metacrilato transparente y apertura posterior con cierre y llave.

Acabado esmaltado negro.

Sería seguro porque tiene máxima rigidez y estabilidad. Marco rígido soldado fabricado en acero de 2mm.

fácilmente desmontable del cuerpo del armario mediante tornillos.

Ejercicio huella dactilar

Lector huella dactilar.


E lector de huella dactilar ofrece al consumidor un nuevo medio de identificación muy seguro, la huella digital. Este medio de seguridad ofrece una nueva forma de autenticarse en un PC mediante la huella dactilar de cada persona, para iniciar sesión en un equipo, (nombre usuario y contraseña). Este método consiste en pasar el dedo sobre el lector digital para ingresar con el nombre de usuario y contraseña que habremos configurado antes, mediante la aplicación Fingerprint Logon Manager, software encargado de administrar los diferentes nombres de usuario y contraseñas que hemos configurado para acceder a diferentes sitios web y aplicaciones.

Las ventajas que ofrece el lector de huella digital de HP son las siguientes:


- Una fiabilidad muy alta, ya que una huella dactilar, es imposible de suplantar, es decir reemplazar o copiar, ya que en todo el mundo, cada ser humano, contiene unas minucias diferentes en cada dedo de sus manos.

- Una facilidad de uso alta, ya que la comodidad, es otro de los atractivos de esta tecnología, ya que permite que el usuario prescinda de tener que acordarse de contraseñas o claves de acceso para iniciar sesión en el sistema operativo Windows.

- Una seguridad imposible de hackear, al menos que secuestre a la persona que contiene la huella dactilar de dicho Portátil que quieras robarle la información.

- En conclusión, la posibilidad de robar una característica biométrica en este caso (huellas dactilares), es prácticamente imposible.



El proceso de configuración del lector de huellas es el siguiente:



1. Primero deberemos registrar nuestras huellas digitales mediante el Asistente de registro de huellas (Fingerprint Enrollment Wizard), para que sirva de modelo de comparación.

2. Una vez registrado nuestras huellas digitales, el segundo paso sera pasar el dedo por el sensor de huellas, a fin de poder iniciar sesión.

3. Por último, una vez registrado nuestras huellas, cerramos nuestra sesión de usuario, para poder luego utilizar nuestro dedo registrado, para iniciar sesión.



Precauciones y recomendaciones de uso:

- Dejar el dedo recto al pasarlo sobre el lector.

- Pasar el dedo en línea recta, sin inclinarlo ni girarlo hacia los lados.

- Pasar el dedo lentamente para darle tiempo al sensor para que reconozca su huella.

¿Iniciar sesión en windows mediante huellas digitales?

Pues claro que sí, pero eso si, antes debemos registrar nuestra huella digital, de manera que una vez tengamos registrado nuestra huella, podamos iniciar sesión en Windows pasando el dedo sobre el lector de huellas, en lugar de ingresar nuestra contraseña en la pantalla de inicio de sesión de Windows.


¿Podemos usar un dedo diferente?

Depende de la situación, sí se podría o no. Si se podría si queremos crear una cuenta nueva, aora si, si queremos acceder a la cuenta ya creada no podríamos, porque tendriamos que acceder con nuestro dedo registrado a nuestra sesión ya configurada y eliminar nuestra huella digital registrada para iniciar sesión, para crear la nueva, para poder acceder con otro dedo.


Si se podría, pero para eso debemos entrar en nuestra sesión con nuestro dedo registrado, una vez dentro, a través de la aplicación Fingerprint Enrollment Wizard, eliminar nuestra huella registrada, una vez eliminada, configurar de nuevo el lector para que reconozca el nuevo dedo.


Otra forma de poder iniciar sesión con otro dedo no configurado, es crear una cuenta diferente de la cuenta para la cual había registrado un dedo y usar el otro dedo para iniciar sesión en la nueva cuenta.


Es posible registrar hasta cinco dedos.

¿Varios usuarios en un mismo pc?
Sí, varios usuarios pueden iniciar sesión en el mismo PC con el lector de huellas digital si cada uno tiene su propia cuenta de usuario creada.

Infraestructura de cámaras de vigilancia.

Este es un ejemplo de como distribuir cámaras de seguridad en la planta de informática de mi intstituto, En este caso con dos cámaras sería más que suficiente dado que una de ellas es móvil.

El presupuesto de ésta instalación sería:

Descripción	Ud	Precio	Importe
Videograbador de sobremesa de 4 canales. H264. Reproduce a la vez todos los canales. Calidades de grabaci?n hasta 960H. Salidas BNC, VGA, HDMI. Sistema de control de bloqueos watchdog. Posibilidad de visualización por internet y smartphone (requiere internet en la instalación). Incluye 2 discos duros especial cctv de 500GB.	1	508,00 €	508,00 €
Alimentador de sobremesa de 4 salidas 5A.	1	24,00 €	24,00 €
Cámara Domo día/noche de exterior con iluminación infrarroja de hasta 30 metros. Sensor 1/3 de 750/800 líneas. Óptica varifocal (zoom manual) de 2,8~12 mm para ajuste de la imagen a la escena. Compensación de contraluces y WDR.	2	108,99 €	217,98 €
Alta ficheros en la AEPD y carteles de aviso de "zona videovigilada" LOPD	1	6,00 €	6,00 €
Cable, conectores y pequeño material de instalación	1	26,00 €	26,00 €
Mano de obra de instalación y cableado (inst)	1	217,00 €	217,00 €
Mano de obra de ajuste, programación y pruebas (ing)	1	75,00 €	75,00 €
Otros conceptos:
Sin caja de seguridad.	N/A	0,00 €	0,00 €
Monitor de pantalla plana 22"	1	110,00 €	110,00 €
Programación para visualización remota por ordenador o smartphone (requiere internet en la instalación).	N/A	35,00 €	0,00 €
	Base Presupuesto		1.183,98 €
	IVA 21%		248,64 €
	Total Presupuesto		1.432,62 €€
Revisiones y mantenimiento preventivo:
Revisión y mantenimiento preventivo anual (1 revisión al año)	1	82,99 €	82,99 €
Revisión y mantenimiento preventivo trimestral (4 revisiones al año)	0	219,00 €	0,00 €

Hemos usado como ejemplo la empresa Sukot para simular aproximadamente el presupuesto de dichas cámaras de seguridad, el precio es meramente orientativo.

Potencia necesaria

Para calcular cuanta energía requiere el equipo:

· Buscar el consumo en la etiqueta normalmente en la parte trasera del equipo

· Multiplicar por 1.4 la cantidad de Watts (si la potencia esta en watts y tomando un factor de potencia promedio de 0.7)

Ejemplo: 200 Watts x 1.4 = 280 VA, o bien,  multiplica los Amperios por el Voltaje (si la etiqueta indica el consumo en Amperios)

Ejemplo: 2.33 Amperios x 120 Voltios = 280 VA (para sistemas monofásicos)

Sume todas las cargas y tendrá la potencia nominal requerida.

Tipos de SAI

SAI OFFLINE:

Son los más económicos, recomendados para equipos de hogar. No estabilizan corriente y solo generan la tension de salida cuando se produce un corte de suministro eléctrico.

SAI INLINE:

Equipos de gama media-alta que estabilizan la corriente incorporando un estabilizador de salida (AVR). Solo generan tension de salida cuando se produce un corte de suministro eléctrico. Son adecuados para ordenadores, centralitas telefónicas y equipos de servidores de PYMES.

SAI ONLINE

Equipos de alta gama, pensados para proteger sistemas críticos. Estos equipos generan siempre la tensión de salida nueva, independientemente de la entrada.