Seleccionar página

Ciberseguridad y ciberdefensa personal

Ciberseguridad y ciberdefensa personal

En el seno de cualquier organización los errores humanos son los causantes de los incidentes de ciberseguridad más graves o que más perjudican a la misma. 

Vivimos en un mundo digital acentuado por la transformación telemática ,que está suponiendo para todos la COVID-19,  en el que muchas empresas aprovechan, y si no lo hacen están tardando en hacerlo, las tecnologías para conectar a usuarios, dispositivos, datos, bienes y servicios. Son nuevos modelos de conectividad e intercambio de información, tanto de carácter personal como no personal. Y para poder responder a estos, es necesario contar también con recursos que se manejan a través de Internet, como, por ejemplo, la nube y los servicios SaaS.

Y cuánto más populares son estos servicios, más frecuentes y sofisticadas son las amenazas que atentan contra el bienestar digital de las organizaciones y de las personas.

Así que, en este contexto, contar con una infraestructura de ciberseguridad es indispensable. Ante este entorno digital tan acelerado, el cibercrimen forma parte de nuestra realidad. El robo de datos es una de las actividades más comunes en la actualidad. 

Por lo que, mantenerse actualizados sobre las amenazas y riesgos, así como saber implementar estrategias de seguridad, han de ser prácticas esenciales.

 

Ciberseguridad Personal

 

¿En qué se basa la ciberseguridad?

Según la unión Internacional de Telecomunicaciones (UIT) en su Recomendación UIT–T X.1205, la ciberseguridad es el conjunto de herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, directrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y de los usuarios en el ciberentorno, es decir, en el ámbito digital.

Aunque sin duda alguna, la ciberseguridad se refiere a la práctica de la protección de datos digitales mediante la aplicación de varias tecnologías y procesos. Persigue el objetivo final de proteger las redes, los dispositivos y los datos del acceso digital no autorizado, el robo o el daño.

Para poder implementar estos programas y estrategias de ciberseguridad será fundamental comprender las necesidades de cada empresa u organización, ya que hay muchos tipos diferentes de amenazas. Algunas de las más frecuentes son las siguientes: virus, robo de identidad, ataques de contraseñas, spyware, keyloggers, adware, troyanos, ransomware, secuestrador del navegador y correos electrónicos de phishing.  (VER GLOSARIO final artículo)

La gran mayoría de ataques de ingeniería social comienza a través de un phishing, es decir, un correo electrónico fraudulento en el que los ciberdelincuentes se hacen pasar por una compañía conocida o un organismo público para intentar que el receptor descargue el archivo adjunto en el email o que pulse en un enlace y proporcione sus datos privados en la página web a la que ha sido redirigido a través de dicho enlace.

 

Contra los ataques: ciberdefensa personal

Recomendamos estos consejos y prácticas de seguridad para aumentar la ciberdefensa personal y mantener protegida la información privada:

  • Nunca proporcionar datos personales o sensibles a través de enlaces incluidos en correos electrónicos o SMS de remitentes desconocidos o que resulten sospechosos: siempre es mejor dirigirse a la página en concreto e introducir nuestras credenciales.
  • Utilizar contraseñas robustas y distintas en cada uno de los servicios digitales y no guardarlas en el navegador. Se recomienda hacer uso de un gestor de contraseñas para almacenarlas todas cifradas bajo una contraseña maestra (la única que se debe recordar).
  • Cuando el equipo o dispositivo esté conectado a la red wifi pública (un hotel, aeropuertos, restaurantes) es de vital importancia no introducir información confidencial como contraseñas, claves de banca digital, etc., ya que puede no tener establecidas las medidas de seguridad necesarias. Mucho cuidado con enchufar el cargador del móvil en un cargador público similar al que ofrecen muchos aeropuertos o restaurantes, ya que los mismos pueden propiciar la instalación de malware.
  • Utilizar un filtro de privacidad “antiespías” (lámina fina que se coloca sobre la pantalla del dispositivo) y en cualquier caso aplicar medidas de privacidad por diseño, por ejemplo, no colocar una pantalla en una posición en donde pueda ser accesible por extraños, como un transporte público o una pantalla de ordenador que pueda ser visible desde un cristal o desde un espacio público.
  • Siempre que el servicio lo permita, es aconsejable activar el doble factor de autenticación (código obtenido a través de una aplicación (Google Authenticator) o mensaje SMS que se aplica después de la contraseña)       
  • Mantener el navegador, las aplicaciones y el sistema operativo de los dispositivos siempre actualizados, tanto en dispositivos móviles como portátiles, routers, y dispositivos IoT como videocámaras, sensores y similares.
  • Descargar las aplicaciones exclusivamente desde los mercados oficiales, como Google Play o App store.
  • Para evitar el spam (correos no deseados), no utilizar la cuenta de correo electrónico principal para registrarse en ofertas o promociones online.
  • Siempre cambiar el nombre y la contraseña que vienen por defecto en la red wifi doméstica.
  • Eliminar de forma periódica los datos de navegación, las cookies, el historial y la caché. En Google Chrome es posible hacerlo accediendo a la sección de “Configuración” y después al apartado de “Privacidad y seguridad”. En Firefox se debe acceder a la sección “Opciones” y posteriormente al área de “Privacidad y seguridad”.
  • No compartir ordenadores, smartphones y tablets con otras personas, aunque puedan pertenecer al ámbito familiar cuando se almacene información confidencial, privilegiada o datos sensibles. En caso de que no pueda cumplirse esta recomendación, deberán asignarse distintos perfiles y/o sesiones para cada usuario de forma que no todos puedan acceder a toda la información del dispositivo.
  • En caso de utilización de los dispositivos digitales por parte de menores de edad en todo caso, y en especial, aquellos que sean menores de 14 años, sensibilizar sobre los riesgos de internet, enseñarles a no divulgar información sobre el resto de miembros de la unidad familiar en Internet, y disponer de control parental en el caso de móviles y de consolas de videojuegos.

 

Un nuevo responsable: CISO

El pasado 28 de enero se publicó el real decreto 43/2021. Un reglamento que desarrolla el decreto de transposición de la Directiva ‘NIS’ en nuestro país y que sienta muchas de las bases organizativas para su implantación en  determinadas entidades y especialmente, aquellas que presten servicios esenciales para la sociedad, debiendo además de garantizar la ciberseguridad, nombrar a un CISO, un responsable de Ciberseguridad.

Pero también es importante que vayamos adquiriendo la cultura de la ciberseguridad en el núcleo familiar y nos sensibilicemos sobre la importancia de la seguridad.

Y es que tal y como reza el artículo 82 de la Ley 3/2018, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales todos tenemos el  “derecho a la seguridad digital”.

Fomentemos y garanticemos ese derecho entre todos, tanto entre juristas como ciudadan@s en general, para conseguir una sociedad más ética, sana y confiable, tanto en su vertiente digital como en su vertiente física.

 

María Aristoy Rodríguez. Responsable de Comunicación ICAS y miembro de la Comisión de Abogacía Digital ICAS

Jesús Fernández Acevedo. Abogado, delegado de Protección de datos y miembro de la Comisión de Abogacía Digital ICAS.

 

GLOSARIO

Un virus o virus informático es un software que tiene por objetivo alterar el funcionamiento normal de cualquier tipo de dispositivo informático, sin el permiso o el conocimiento del usuario principalmente para lograr fines maliciosos sobre el dispositivo. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo producen molestias o imprevistos.

El robo de identidad o usurpación de identidad es la apropiación de la identidad de una persona: hacerse pasar por esa persona, asumir su identidad ante otras personas en público o en privado, en general para acceder a ciertos recursos o para la obtención de créditos y otros beneficios en nombre de esa persona. El robo de bolsos o carteras con documentos como el DNI, el carné de conducir, o las tarjetas de crédito, y/o el robo de datos confidenciales en los teléfonos móviles o en Internet (claves de acceso a los bancos u otros servicios especiales), permite suplantar la identidad de otra persona y son situaciones más o poco frecuentes que pueden llevar a consecuencias graves si no se sabe cómo actuar a tiempo en estos casos.

Un ataque es un intento de descifrar una contraseña o nombre de usuario, de buscar una página web oculta o de descubrir la clave utilizada para cifrar un mensaje, que consiste en aplicar el método de prueba y error con la esperanza de dar con la combinación correcta finalmente.

El programa espía1​ (en inglés spyware) es un malware que recopila información de una computadora y después transmite esta información a una entidad externa sin el conocimiento o el consentimiento del propietario del computador. El término spyware también se utiliza más ampliamente para referirse a otros productos que no son estrictamente spyware. Estos productos, realizan diferentes funciones, como mostrar anuncios no solicitados, recopilar información privada, redirigir solicitudes de páginas e instalar marcadores de teléfono.

Un keylogger (derivado del inglés: key (‘tecla’) y logger (‘registrador’); ‘registrador de teclas’) es un tipo de software o un dispositivo hardware específico que se encarga de registrar las pulsaciones que se realizan en el teclado, para posteriormente memorizarlas en un fichero o enviarlas a través de internet. Suele usarse como malware, permitiendo que otros usuarios tengan acceso a contraseñas importantes, como los números de una tarjeta de crédito, u otro tipo de información privada que se quiera obtener.

Un programa de clase adware (software publicitario) es cualquier programa que automáticamente muestra u ofrece publicidad no deseada o engañosa, ya sea incrustada en una página web mediante gráficos, carteles, ventanas flotantes, o durante la instalación de algún programa al usuario, con el fin de generar lucro a sus autores. La palabra adware corresponde al conjunto de palabras “advertising” (publicidad) y “software” (programa), para referirse a sistemas de publicidad basados en programación computacional.

Se denomina troyano, a un malware que se presenta al usuario como un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso remoto al equipo infectado.​ Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos, crean una puerta trasera que permite la administración remota a un usuario no autorizado.

Un ransomware (del inglés ransom, «rescate», y ware, acortamiento de software), o “secuestro de datos” en español, es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate. 

Un secuestrador del navegador es un programa de malware que altera la configuración del navegador de tu equipo y que te redirige a sitios web que no tenías intención de visitar.

Término informático que distingue a un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza (suplantación de identidad de tercero de confianza), para manipularla y hacer que realice acciones que no debería realizar (por ejemplo revelar información confidencial o hacer click en un enlace).​ Para realizar el engaño, habitualmente hace uso de la ingeniería social explotando los instintos sociales de la gente, como es de ayudar o ser eficiente. A veces también se hace uso de procedimientos informáticos que aprovechan vulnerabilidades. Habitualmente el objetivo es robar información pero otras veces es instalar malware, sabotear sistemas, o robar dinero a través de fraudes.​

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Colaborar en LTD

Colaborar en LTD

Si quieres escribir un artículo en nuestra revista, envíanos un mail y si es de interés para el colectivo, lo publicaremos.

Suscríbete a nuestro
Newsletter

Recibe el mejor resumen de contenidos.
Artículos, información legal, actualidad, formación y mucho más.
Compromiso de contenidos de primer nivel.

El Ilustre Colegio de Abogados de Sevilla tratará los dato que nos facilite con el fin de enviarme información exclusiva relacionada de La Toga Digital. Tiene derecho a acceder a sus datos, rectificarlos y suprimirlos, así como a otros derechos. Más información en nuestra política de privacidad