Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Cursopracticoonline
deproteccion,privacidadyseguridad
delainformacion(C.O.P.P.S.)
Por Guillermo García Núñez.
Ingeniero Superior en Informática de Sistemas y Redes.
Dpto. de Sistemas Informáticos y Computación (DSIC)
Universidad Politécnica de Valencia.
Email: [email protected] / [email protected]
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
2 | P á g i n a
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
3 | P á g i n a
Tema 1: La información debe ser protegida
Introducción
Durante la última década hemos visto como un problema de gestión y administración
documental como era proteger los archivos de una empresa y aquellos informes que contenían
datos de sus clientes, se convertía en una auténtica pesadilla a todos los niveles.
El concepto de que la información considerada fundamental dentro de una empresa pasara
a un servidor (ordenador central) donde pudiéramos consultar todo el “conocimiento” existente
para llevar a cabo nuevos proyectos aprovechando la experiencia y los datos obtenidos por otros
compañeros se ha quedado desfasado.
Hemos pasado de almacenar la información importante en un servidor u ordenador
principal, a tener muchos ordenadores con información valiosa, que son capaces de distribuirla,
propagarla, acceder a ella, modificarla y borrarla.
Los usuarios almacenamos nuestros documentos, trabajos, informes, análisis y proyectos
en todos los recovecos existentes de los discos duros de nuestros ordenadores (y cuando digo
ordenador, puede ser cualquier dispositivo electrónico: Smartphone, tablets, pendrives, USB…).
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
4 | P á g i n a
Muchas veces ni siquiera sabemos en qué carpetas o directorios terminan nuestros
documentos dentro de un solo ordenador o equipo (imagínate cuando son varios programas y
diferentes equipos), pues cada programa ofrece una ubicación por defecto para almacenarlos y
ésta ubicación cambia entre diferentes versiones del sistema operativo (Windows XP, Windows 7,
…); algunos generan copias de seguridad que tampoco sabemos dónde están realmente o cuando
desaparecerán; a veces versiones diferentes de esos documentos terminan en carpetas temporales
donde permanecen para siempre, y mientras, poco a poco, se van comiendo el espacio de nuestro
disco duro o de la memoria del dispositivo electrónico.
Por si fuera poco, un equipo informático estándar de 1993 podía almacenar unos 240
Megabytes de datos y hoy, en el 2016 puede llegar a 2.097.152 Mbytes. Su capacidad se ha
incrementado por más de 8.000, es decir, un crecimiento cercano al 50% anual.
La aparición de nuevos dispositivos móviles, la necesidad de acceder a la información desde
múltiples lugares y el hecho de que la mayoría de nosotros trabajamos desde varias ubicaciones y
queremos tener acceso completo a nuestros documentos y datos desde cualquier ordenador, ya
sea portátil, portable, estación de trabajo, servidor o mediante conexión remota, ha convertido a
algo que parecía fácil, proteger nuestros datos, en una operación de riesgo.
La aparición de múltiples herramientas de sincronización a través de Internet como
Dropbox o el almacenamiento en la nube (cloud computing) ha trasladado parte del problema a los
grandes centros de datos, que dependiendo de su ubicación en el mundo pueden ser espiados por
los gobiernos y dónde nuestros datos no están siempre protegidos frente a un acceso indebido por
parte de las mismas personas que administran los servidores de dichos centros.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
5 | P á g i n a
En la imagen superior vemos a un grupo de dispositivos como tablets, portátiles, PC, etc…
todos ellos mantienen la misma información y se sincronizan a través de un servicio en Internet.
Dado que dicho servicio puede estar en cualquier parte del mundo y normalmente está duplicado o
triplicado en varios centros de datos del mundo, decimos que está en la nube. En este caso
nuestros datos se almacenan de forma centralizada en algún lugar de Internet (normalmente varios
centros de datos repartidos por todo el mundo). Aquí confiamos en la seguridad ofrecida por estas
empresas. Como ejemplo más conocido tendríamos a Dropbox entre otros.
Otra opción es NO almacenar nuestros datos en los equipos informáticos y usar algún
espacio compartido como pueda ser Google Drive, OneDrive o MegaCloud.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
6 | P á g i n a
El abaratamiento de la tecnología, así como la facilidad con la que se comunican e integran
unos aparatos con otros, nos ha hecho pensar en los ordenadores y todos los dispositivos
electrónicos que se interconectan a él o entre ellos como si fueran simples electrodomésticos,
como si nuestra vivienda tuviera algunos muebles más. Pero lo cierto, es que cuando la paranoia
afectó a las empresas, nadie preveía que el problema también terminaría por afectarnos a nivel
personal.
Los ordenadores se han convertido en algo valioso en lo que depositamos nuestra
confianza. Esa confianza genera una cadena de valor, por la cual él nos sirve y nosotros a cambio,
llenamos su disco duro de proyectos, estudios de mercado, bases de datos de clientes, información
sobre proveedores o personal de la empresa, agendas, emails, documentos, acuerdos comerciales,
certificados, videos, fotos y un sinfín de cosas más que nos hacen dependientes de la máquina.
Al principio le otorgamos una dosis de confianza limitada, lo dedicamos a tareas concretas,
pero luego vamos confiando en él, deseamos desarrollar todas sus prestaciones y termina por
convertirse en nuestra memoria (agendas, emails, recordatorios, reuniones), nuestra máquina de
escribir, en quien nos informa de lo que pasa en el mundo (blogs, periódicos, sitios web, news), de
cómo organizamos las vacaciones (vuelos, viajes, hoteles, mapas, recomendaciones de viaje,
equipaje), en nuestro representante legal (banca online, certificados digitales para acceder a las
Administraciones Públicas), cuida las relaciones familiares y de amistad (twitter, Facebook, …) ,nos
hace sentirnos parte de algo más grande (Google Maps), nos permite trabajar desde casa,
establecer relaciones profesionales (Linkedin), compartir conocimiento y un largo etcétera.
Son muchas las funciones que le vamos otorgando y muy poco lo que hacemos para
protegerlo. Es cuestión de tiempo que terminemos en un aprieto. Sobre todo cuando el mayor
riesgo hoy en día consiste en que dicha información termine en las manos equivocadas y ya no hay
un ordenador que se precie, que no esté conectado a alguna red.
Si uno tiene pareja y está varios años con esa persona, seguramente llegará a conocer
muchos detalles íntimos nuestros. ¿Qué puede saber nuestro ordenador después de cinco, seis,
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
7 | P á g i n a
siete o incluso más años con nosotros? ¿Qué sucede con esos dispositivos electrónicos que
comparte toda la familia?
Es cierto que un dispositivo electrónico no habla, y no confiesa lo que sabe, pero todo está
guardado en su disco duro o su memoria flash. Hace algunos años, se hizo un estudio sobre los
riesgos a los que se someten los ciudadanos al no saber cuidar, proteger y/o destruir la información
adecuadamente. Dos estudiantes del MIT adquirieron por Internet y en tiendas de segunda mano
discos duros a bajo precio. Luego intentaron recuperar la información con herramientas especiales.
En muchos casos, sus anteriores propietarios no habían borrado los discos duros, y en el resto, que
sí lo había hecho, el proceso se había efectuado de forma inadecuada.
El resultado fue que obtuvieron desde datos de cuentas bancarias, hasta información sobre
tarjetas de crédito, declaraciones de renta, y un sinfín de cosas más. Algunas de ellas
comprometedoras en aspectos de carácter privado y personal; y otras, peligrosas desde el punto de
vista de la entidad a la que había pertenecido la persona propietaria del ordenador en cuestión.
Con esto vemos, que no basta con protegernos de la pérdida de la información, sino que en
caso de pérdida, debemos asegurarnos que otros no puedan acceder a ella. Y siempre que un
equipo quede obsoleto, debemos asegurarnos que todos los datos han sido, no borrados, sino
destruidos, porque en caso contrario, pueden ser recuperados.
La pérdida de información puede afectar a la credibilidad de nuestra empresa. Puede
suponer que los clientes pierdan la confianza que tienen en nosotros y sobretodo, que decidan
demandarnos o reclamarnos daños y perjuicios.
Normalmente los mayores riesgos no vienen por el daño que supone perder información
valiosa, sino cuando la misma cae en manos inadecuadas. Las empresas de mayor tamaño tienen
normalmente mayores volúmenes de información, pero también una mayor percepción del riesgo
que supone perderla, lo que reduce la probabilidad de pérdida. Sin embargo, cuando se produce
suele ser muy importante. Es por eso que estas empresas establecen políticas de seguridad,
procedimientos y procesos para el tratamiento de toda su información.
Un ejemplo reciente de pérdida de información muy grave ha sido el relacionado con Sony
y las videoconsolas Playstation y que posteriormente se ha repetido.
El acceso no autorizado a información confidencial puede darse cuando se pierde un equipo
o éste es robado y por tanto la información que contiene está en perfecto estado de uso; o cuando
no destruimos o controlamos adecuadamente los medios donde la misma se almacena.
Por ejemplo, las copias de seguridad de nuestros datos deben ser vigiladas, debería ser
difícil identificar lo que contiene cada CD, DVD, cinta magnética o disco duro externo para alguien
diferente a nosotros mismos; y sería recomendable que hiciera falta una clave/contraseña para
acceder a dicha información.
Al retirar hardware viejo, deberíamos cerciorarnos de no dejar información de ningún tipo
en el disco duro ni memorias, porque con las herramientas apropiadas (muchas son gratuitas) se
pueden recuperar archivos borrados, informes y copias de documentos parciales, así como
contraseñas, archivos de configuración, de registro, etc.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
8 | P á g i n a
Ejemplos prácticos de pérdida de información y efectos que produce
Normalmente debemos separar lo que significa perder información, es decir, cuando algún
dispositivo donde almacenamos datos y archivos se rompe, se traspapela en nuestra casa u oficina,
o lo borramos por accidente del hecho de que nuestra información no se pierda pero quede
temporalmente accesible a otras personas que no deberían leerla. A veces estas personas pueden
curiosear, leer los archivos, hacerse una copia de los mismos para mirarlos con calma o incluso
simplemente llevarse los originales. En este segundo caso, tengamos copias o no de nuestros datos,
y podamos recuperar los originales o no, hemos incurrido en un riesgo, porque nuestra información
ha caído en manos de otras personas o existe el riesgo de que lo haya hecho.
Por ejemplo, si perdemos la cartera y luego aparece, probablemente miraremos y
vigilaremos durante una temporada cualquier movimiento o cargo extraño de nuestra tarjeta
crédito, o pediremos una nueva. Eso lo hacemos porque durante algún tiempo no la llevamos
encima y no sabemos lo que se hizo con ella.
Es lo mismo que hacemos cuando nos roban el coche o perdemos el DNI y presentamos una
denuncia. Se trata de hacer constar que durante ese tiempo nosotros no somos los responsables de
lo que haya pasado con nuestro coche ni de cumplir los acuerdos o contratos que se hayan podido
firmar o falsificar haciéndose pasar por nosotros y presentando un DNI manipulado.
A continuación tenemos varios ejemplos en los que sin comprobar debidamente los
dispositivos y la información que contienen, nos deshacemos de ellos. En estos casos de ejemplo,
somos conscientes de que nos hemos deshecho del dispositivo, aunque no hayamos verificado
primero su contenido y por tanto, hemos incurrido en un riesgo de pérdida de información.
También en caso de robo, pérdida o extravío seríamos conscientes del riesgo de pérdida de
información. Veamos algunos ejemplos.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
9 | P á g i n a
Ejemplos de riesgo de pérdida de información consciente
1) Nos despistamos unos instantes en algún lugar público y alguien se lleva nuestro ordenador
portátil. Esto también puede suceder si nos hemos ausentado un momento de algún lugar
que creímos que podía ser considerado seguro. El portátil puede contener información
bancaria, emails, fotos familiares, videos personales, proyectos o trabajos de empresa, etc.
2) Tiramos nuestro viejo ordenador a la basura que a lo mejor hace un par de años que está
cogiendo polvo en el trastero.
3) En el estudio hay decenas de CD y DVD amontonados sobre la mesa. Un día nos cansamos y
decidimos tirarlos todos a la basura sin más. No recordamos lo que contienen siquiera.
4) Como tenemos varios ordenadores, usamos lápices USB o discos duros portátiles para
guardar todos nuestros documentos. Dicho aparatito siempre va de un lado a otro y en él
llevamos toda nuestra información. Un día perdemos uno de estos lápices y digo uno
porque conforme los llenamos solemos comprar más.
5) El ordenador se cae al suelo, se nos cae en la piscina, se quema por falta de refrigeración o
por estar funcionando en entornos demasiado calurosos. La cuestión principal es que el
equipo queda dañado. No sabemos si el disco duro con los datos también lo estará.
Consecuencias
1) Nos despistamos unos instantes y alguien se lleva nuestro portátil….
a. En Europa dos tercios de las pymes que operan con portátiles han sufrido robo de
alguno de ellos; en el 2005, se robaron 750.000 portátiles en el mundo y el 97% de
los portátiles robados nunca fue recuperado. Se calcula que se perdieron más de 93
millones de registros de información personal. En EEUU desaparece un portátil por
minuto.
b. Es importante que la información quede inaccesible si el portátil es robado, debe ir
protegida por contraseña.
c. Las fotos pueden usarse para conocer los objetos de valor que hay en nuestra casa
antes de entrar a robar. Las fotos son datos privados y personales que pueden dar
mucha información de nuestro entorno, familia y amigos.
d. Los emails almacenados en el portátil pueden emplearse contra nosotros y ser
enviados a personas que normalmente no nos dirán que los han recibido.
2) Tiramos nuestro viejo ordenador a la basura.
a. Como en el caso anterior el disco duro puede ser revisado en busca de información
de carácter privado o personal. Las fotos de nuestros hijos pueden rodar por
Internet en manos de pederastas; la información bancaria puede dar acceso a
nuestro dinero a personas no autorizadas; el acceso a nuestra agenda de
direcciones puede darles una pista sobre cuáles son nuestros amigos o relaciones y
cómo se llaman.
b. Es necesario llevar a cabo un borrado intensivo sobre el disco duro del ordenador
antes de tirarlo, incluso podemos tirar el resto del ordenador, pero tras el borrado
completo del disco, podríamos decidir destruirlo físicamente.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
10 | P á g i n a
3) En el estudio hay decenas de CD y DVD de hace años. Un día nos cansamos y decidimos
tirarlos todos a la basura sin más.
a. En alguno de los CD hay información sobre una tesis doctoral que nunca
terminamos que puede ser plagiada; las declaraciones de la renta de hace unos
años, unos informes sobre la salud de algunos pacientes a los que atendimos en el
pasado, etc.
b. Lo recomendable es destruir físicamente los CD y DVD, dado que sería muy lento
mirarlos todos para decidir que se puede tirar a la basura y qué no. Es más rápido
destruir los soportes ópticos con una destructora especial. Las hay que permiten
destruir documentos de papel y soportes ópticos. A falta de ella, sirven unas
buenas tijeras de cortar chapa o plancha metálica.
4) Como tenemos varios ordenadores, usamos lápices USB…. y uno de ellos se pierde.
a. Perdemos toda la información de utilidad que hay dentro.
b. Es recomendable ocultar o proteger la información de estos discos y lápices USB
mediante contraseña. El propio dispositivo puede tener mecanismos que hagan
esto, o bien podemos emplear programas gratuitos para hacerlo.
5) El ordenador se cae al suelo …
a. Si decidimos no reparar el equipo, no podemos tirarlo sin más. Si el disco duro
funciona debemos extraerlo y hacerle un borrado seguro o destruirlo.
¿Recordamos todas las webs a las que hemos accedido desde ese PC? ¿Y todos los
documentos que almacena o almacenó alguna vez? ¿Hicimos compras desde el
equipo?
En los ejemplos anteriores, éramos conscientes de que perdíamos información o podíamos
pensar en que en nuestros viejos dispositivos deberían haber sido revisados. Pero existen otras
situaciones en las que la mayoría de personas no piensan que estén asumiendo riesgo alguno.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
11 | P á g i n a
Ejemplos de pérdida de información inconsciente
1) Llevamos nuestro ordenador al Servicio de Asistencia Técnica (SAT) para que le echen un
vistazo porque algo no funciona bien. Como buenos usuarios y expertos profesionales
hemos hecho una copia de todo lo que contenía el PC por si algo se perdiera, aunque
naturalmente lo llevamos a reparar con todos nuestros datos dentro.
2) Estamos en la oficina, en nuestro estudio de casa, en la biblioteca o en un café. Salimos un
momento al baño, a almorzar, a atender a un cliente y nuestro ordenador se queda abierto,
con la sesión iniciada y sin protección.
3) Le dejamos el ordenador o la Tablet a un amigo este fin de semana.
4) Tenemos un troyano metido en el ordenador (un programa que se propaga a través de
Internet por fallos de seguridad). Para cuando nos damos cuenta, no sabemos si alguien
puede haber accedido a nuestro disco duro y si el troyano estará enviando datos o archivos
a algún sistema remoto o a alguien.
5) Nos vamos de vacaciones, salimos del hotel y dejamos nuestro portátil en la habitación. La
inmensa mayoría de las veces no sucede nada, que sepamos.
Consecuencias
1) A veces en los S.A.T. antes de comenzar a revisar nuestro ordenador realiza una copia de
seguridad del disco duro por seguridad y para evitar riesgos al cliente. Esta copia puede
quedarse en el servicio técnico por tiempo indefinido sin que nadie se acuerde de borrarla.
2) Con los ordenadores conectados a Internet, al email y con los medios disponibles para
copiar o compartir recursos (archivos y carpetas), en unos pocos segundos alguna persona
malintencionada puede llevarse datos de un ordenador. Los datos deben estar protegidos
cuando no se estén usando.
3) Nunca debemos dejar equipos que contengan datos sensibles. Podemos confiar en alguien,
pero nadie garantiza que sepa lo necesario como para seguir ciertas normas básicas de
seguridad y que sus errores no nos salpiquen.
4) Por eso es necesario tener un buen antivirus y firewall en el ordenador; además de separar
el ordenador de casa del que tenemos en el trabajo y tener claro que todos los
ordenadores de la casa no pueden dejarse a cualquier persona, ni siquiera a veces entre
miembros de la familia.
5) Es aconsejable cerrar las maletas de viaje de algún modo y proteger a los ordenadores para
que los mismos no puedan encenderse sin introducir una clave.
En todos los casos anteriores, no tendríamos constancia de que se ha accedido a nuestros
datos, qué cosas se han copiado, de qué tipo de información disponen o quien se la ha llevado.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
12 | P á g i n a
Aparte del riesgo de perderla, existe otro peor, el de que se propague y termine en malas manos, o
que pueda suponer un riesgo para otras empresas, familiares o clientes, y que luego podrían
denunciarnos al verse afectados.
La Ley Orgánica de Protección de Datos (LOPD)
Perder información porque la misma quede destruida, se borre o se pierda puede ser muy
gravoso, sobre todo si supone rehacer lo que había ya hecho, si ha supuesto años de trabajo, o si
afecta o arruina nuestras relaciones con clientes, proveedores, etc. Puede incluso que el daño se
traslade a otros y que afectemos a negocios o personas ajenas. Puede que decidan iniciar
reclamaciones o acciones legales contra nosotros. Pero todavía es peor el hecho de que estos datos
caigan en manos de terceros no autorizados.
En España, la LOPD protege los datos de carácter personal de personas físicas, no siendo
aplicable a personas jurídicas (corporaciones, sociedades, asociaciones o fundaciones) que no
gozarán de las garantías de dicha ley. La LOPD excluye explícitamente los datos que almacenemos
como personas físicas en el ejercicio de actividades personales o domésticas.
La LOPD está pensada para salvaguardar la seguridad y privacidad que tenemos como
personas en nuestro ámbito privado y personal frente a empresas y/o profesionales y en el caso
extremo, frente a otros particulares que divulguen información personal nuestra sin nuestra
autorización, o de las personas a nuestro cargo (por ejemplo, hijos menores de edad).
De hecho, la Agencia Española de Protección de Datos, encargada de velar porque la Ley
LOPD 15/1999 del 13 de diciembre está haciendo campañas de publicidad para informar al
ciudadano y ha publicado una guía con información y consejos sobre nuestro derecho fundamental
de protección de los datos y sobre cómo proteger de manera responsable los que tengamos en
nuestro poder sobre los demás.
Los datos susceptibles de ser protegidos por la ley son aquellos que se refieren a cualquier
aspecto parcial de nuestra persona y que puedan ser almacenados en algún soporte, permitiendo
posteriormente su tratamiento. Es posible que estos datos por sí solos no representen un riesgo
para la persona, pero asociándolos o cruzándolos con otras bases de datos, pueden revelar más
información de la que había inicialmente.
Además se consideran datos especialmente protegidos el origen racial, la salud, la vida
sexual, ideología, afiliación sindical, religión y creencias.
Las sanciones por revelar esta información pueden llegar a ser muy graves y alcanzar los
600.000 euros. Recientemente se han cambiado los límites de las multas (aumentándolas a un
mínimo de 900 euros en los casos leves, reduciéndolas a un mínimo de 40.000 euros en los casos
graves y manteniendo el importe mínimo de las muy graves en 300.000 euros).
También se ha creado la figura del apercibimiento, que permite no ser sancionado si es la
primera vez que el infractor ha provocado un riesgo para terceras personas sin que haya habido
mayores consecuencias.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
13 | P á g i n a
Pero veamos qué quiere decir todo esto:
Caso real 1: Un dentista tiene una clínica y un día su hijo se queda esperando a que el padre
termine de atender a sus clientes. El pequeño se pone a jugar en el ordenador de su padre e instala
unos juegos que ha descargado de Internet. Los mismos contienen programas maliciosos que
posteriormente envían información desde el ordenador a Internet. Tiempo más tarde un cliente
denuncia al dentista porque en su expediente médico (que se almacenaba en el citado ordenador)
constaba que el paciente tenía sida y ese hecho ha llegado a conocimiento de la empresa donde
trabajaba, por lo que ha sido despedido. Por lo visto muchos de los datos que se almacenaban en
ese ordenador han terminado en Internet. Es un caso real aunque pueda parecer forzado.
Caso real 2: Una pareja se divorcia. El marido avisa al banco de tal hecho y le comunica su
nueva dirección. El banco por error, durante un año entero, continúa enviando las cartas a la
dirección de su ex mujer, donde vivía antes. El día del juicio la mujer conoce con exactitud el
capital, fondos, acciones y cuentas de su ex marido y le reclama lo que considera oportuno. El
banco es denunciado y se le impone una multa de 600.000 € por tratarse de una infracción muy
grave. Lo cierto es que muchos bancos disponen de más de una base de datos con información de
sus clientes y se actualizan muy de tarde en tarde. Cualquiera puede comprobarlo. Basta abrir una
cuenta en una sucursal bancaria y dar como dirección la de nuestros padres, un par de meses más
tarde, cambiamos la dirección a la de nuestra vivienda, durante varios meses las cartas seguirán
llegando a la dirección de nuestros padres. Más aún, el derecho a que aquellas entidades que nos
prestan servicios mantengan sus datos actualizados es una obligación penada con multas y
sanciones considerables en LOPD.
Como empresa es evidente que no podemos permitirnos el derecho de perder los datos de
nuestros clientes por el riesgo a enfrentarnos a reclamaciones, denuncias o a las sanciones
tipificadas por la LOPD. No podemos por tanto arriesgarnos a que dicha información se pierda o
sea accedida por personas no autorizadas para su tratamiento.
Es por eso que debemos garantizar que en caso de extravío o robo, la misma queda
inaccesible para personal no autorizado.
Es habitual que comerciales, ejecutivos, directivos o profesionales, dispongan de bases de
datos en sus portátiles con información precisa de clientes, proveedores, pacientes, etc. En caso de
pérdida o robo toda esa información puede terminar en las manos equivocadas.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
14 | P á g i n a
Tema 2: Políticas de seguridad sencillas
En la práctica, evitar que nuestros equipos no se pierdan, que no se dañen, que no sean
espiados o que nunca nos los roben, es utópico. Tampoco es realista pretender que los
ordenadores no se infecten por virus, gusanos, o troyanos o no sean atacados de cualquier otra
manera, pues continuamente aparecen nuevos fallos de seguridad en los navegadores web, los
sistemas operativos y en otras muchas herramientas y programas de los que empleamos a diario y
que hacen vulnerables a nuestros equipos.
Muchos fabricantes reconocen incluso fallos y vulnerabilidades críticas en sus aplicaciones
para los que no buscan soluciones por el alto coste que supone o la complejidad de la
vulnerabilidad. Simplemente optan por desactivar alguna opción/prestación de su programa para
así evitar el riesgo y si es dicha vulnerabilidad es descubierta en una versión antigua de un
programa, normalmente no la reparan.
No podemos protegernos en todos los casos y contra cualquier eventualidad, pero
podemos fijarnos unas reglas para reducir considerablemente los riesgos a los que nos vemos
expuestos.
Las políticas de seguridad no son más que reglas para gestionar la información. Sin ellas no
hay limitaciones para los usuarios, ni procedimientos para acceder a ella, y por tanto, es imposible
protegerla. Hacen falta reglas de uso bien conocidas y respetadas por todos.
Por otra parte, siempre será más fácil proteger los propios datos, que a fin de cuentas, es lo
que se copia y a lo que se accede, que los ordenadores donde se almacenan los archivos,
documentos y contenidos. Pensemos que los programas presentan muchos fallos de seguridad y
pueden sufrir ataques. Sin embargo, los archivos se protegen mediante algoritmos matemáticos de
cifrado que se prueban y verifican durante mucho tiempo y de los que no salen versiones todos los
meses, como sí sucede con la mayoría de las aplicaciones de consumo más habituales, de las que
salen actualizaciones continuamente.
Y nunca debemos olvidar, que los usuarios conocen y valoran la información que necesitan
para realizar su trabajo y que en buena medida ellos han ayudado a generarla. Es por tanto un bien
del que pueden entender su valor y apreciarlo.
Además, los datos se concentran en unos pocos lugares y los ordenadores desde los que
operamos pueden ser muchos. Puede incluso que no seamos los encargados de su gestión o que no
tengamos permisos para modificar u optimizar su configuración de seguridad. Es por eso que no
deberíamos almacenar los datos dentro de nuestros ordenadores, sino en discos, lápices USB,
memorias o dispositivos externos extraíbles cifrados y bien protegidos. Eso no impide tener una
copia local dentro del ordenador (de trabajo habitual), de toda esa información, y que también
estará cifrada y disponer de copias de seguridad o almacenarla también en algún servidor central.
Tampoco deberíamos introducir nuestros discos, memorias o lápices USB en ordenadores
que no son nuestros o están en instalaciones donde no son revisados periódicamente o no gozan
de protección alguna. Algunos de estos dispositivos pueden protegerse contra escritura, de modo
que no pueda borrarse la información o ser sobrescrita. Pero podría ser copiada y enviada por la
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
15 | P á g i n a
red a otros ordenadores, por lo que es recomendable tener otro medio de almacenamiento con
clave diferente para transportar información que debamos introducir en esos PC, de modo que solo
llevemos allí lo indispensable y no una copia completa de nuestros datos.
Jamás teclearemos contraseñas para acceder a nuestros archivos en ordenadores que no
sean seguros y de total confianza, pues algún programa podría tomar nota de la clave.
Tampoco dejaremos ningún dispositivo conectado durante más tiempo del estrictamente
necesario para acceder a la información que contiene, sobre todo porque para acceder al archivo,
habremos introducido nuestra clave y otros archivos pueden estar también en disposición de ser
accedidos, con lo que en caso de que el ordenador tenga virus o troyanos, estos programas
malignos podrían acceder al resto de archivos mientras nosotros accedemos a uno de ellos. Este
riesgo lo eliminamos mediante cifrado de doble nivel, cosa que veremos en otro capítulo.
Utilizar datos cifrados y protegidos electrónicamente en la nube también puede ser una
buena opción, pero es más compleja de lo que parece. En primer lugar porque aunque los datos se
transmitan cifrados hasta el centro de datos, habremos de creernos lo que nos dice la empresa
respecto a que allí son almacenados cifrados, cosa que no podemos ver ni comprobar
personalmente.
Tampoco sabremos el nivel de seguridad del algoritmo de cifrado en el centro de datos y si
está a prueba de todo, o es un sistema débil pensado para que los gobiernos y agencias
gubernamentales de países como EEUU puedan quebrarlos fácilmente y revisar la información.
Entre las ventajas de centrar la protección en los datos, está la nada despreciable ventaja
de que dicha protección puede llegar a ser completamente transparente al usuario, que son
soluciones flexibles, que pueden personalizarse y adaptarse al modo de trabajo más acorde con los
hábitos del usuario. Y que siempre será más fácil definir actitudes ante ciertos comportamientos
que convertirlos a todos en expertos informáticos.
No podemos pretender que el usuario se involucre en la seguridad del ordenador desde el
punto de vista del sistema operativo, los antivirus y demás herramientas para protegerlos porque
no lo protegen frente a todas las amenazas y porque probablemente no dominará su manejo en la
amplitud necesaria; pero sí que podemos exigirle que siga unas normas de funcionamiento y un
protocolo de acceso a la información que dificulte su pérdida, robo o acceso no autorizado.
Los usuarios saben proteger algo tangible (y la información se almacena en medios
tangibles). El usuario puede emplear el mismo sentido común que emplea para proteger otros
elementos físicos. Un protocolo de seguridad siempre será más inteligible que la tecnología que
gobierna los ordenadores (y que además cambia muy deprisa).
Actualmente han empezado a aparecer medios de almacenamiento (lápices USB
inteligentes) que las empresa pueden desactivar en caso de robo o pérdida, siendo posible
desautorizar al empleado que lo usa (su clave de acceso deja de funcionar en ese soporte y la
información queda inaccesible), o simplemente asegurar su borrado tan pronto el dispositivo
vuelva a ser utilizado.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
16 | P á g i n a
También es posible detectar la sustracción de dichos dispositivos de las instalaciones de la
empresa o incluso definir áreas dentro del dispositivo con diferentes niveles de seguridad para
acceder a la información.
Como último detalle resaltar que toda empresa debería saber separar la información crítica
(la que le permite operar día a día) de la estratégica. Proteger la información implica en primer
lugar clasificarla, conocer su volumen y el nivel de actividad al que está sometida (cuantas
modificaciones sufre).
En definitiva, donde siempre podremos ejercer mayor control es en los propios datos, que a
fin de cuentas los creamos o modificamos nosotros y donde podremos separar aquella información
que es crítica de la que no lo es.
Nuestro objetivo por tanto, será primero acotar los riesgos y mejorar la seguridad aplicando
ciertas normas básicas; después nos centraremos en qué medios deseamos proteger y dónde
solemos emplearlos; y por último habremos de precisar que datos son susceptibles de ser cifrados,
encriptados o protegidos. Entonces solamente nos faltará establecer las herramientas que nos
sirven para ello.
Respecto a la ubicación de la información
Desde el punto de vista de un coleccionista puede ser un desastre perder una gran
colección de música, películas o fotos de famosos, pero en ningún caso es el tipo de información
que normalmente querríamos proteger evitando así que alguien pudiera acceder a ella. Nuestro
objetivo será preservar la información de carácter personal o empresarial que no deseamos que
pueda ser accedida por personas no autorizadas.
Está claro que hay material que en caso de pérdida puede ser difícil de recuperar o de
volver a recopilar, pero es información que está disponible para el público y que por tanto no tiene
sentido proteger frente al acceso no autorizado o el robo. Tal vez sí tenga sentido hacer copias de
seguridad o backups para evitar el riesgo de perderlo todo, pero este tipo de material no es el
objeto de este curso.
Debemos tener claro que hay diferentes tipos de información y que toda no se puede
almacenar conjuntamente. No parece lógico guardar en la misma carpeta la declaración de la renta,
varios emails privados y unas presentaciones sobre la economía española. Son temas distintos,
tanto a nivel conceptual como respecto al nivel de seguridad que requieren.
Es aconsejable por tanto reunir la información que queramos preservar, de tal modo que
conozcamos el volumen (espacio) que ocupa y podamos organizarla por áreas. Si la información
está reunida en un solo lugar, será más fácil disponer de copias, sabiendo que cada copia o backup
contiene todo lo que para nosotros es valioso y al mismo tiempo será más fácil protegerla.
Evidentemente siempre podremos copiar una pequeña parte de esa información en un CD, DVD o
lápiz USB y llevárnosla a casa para trabajar en el portátil; modificar los documentos y archivos el fin
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
17 | P á g i n a
de semana y al volver a la oficina el lunes, para copiar entonces los archivos modificados en el lugar
donde almacenamos toda la información.
Podemos y debemos trabajar con partes más pequeñas y llevarnos solo lo estrictamente
necesario donde haga falta; si la información está estructurada será más fácil hacer esto. De otro
modo, terminaremos por llevárnoslo todo en un disco duro extraíble porque será más rápido que ir
escarbando y buscando previamente cuales son los archivos que necesitaremos y que están
repartidos por múltiples ubicaciones.
Reorganizar nuestra información al principio puede ser un trabajo arduo, pero
independientemente de que apliquemos seguridad o no a nuestros archivos, siempre deberíamos
haberla tenido organizada para que localizar algo fuera más sencillo.
Por otra parte, el hecho de que estén organizados implica importantes ventajas en la
sincronización que veremos más adelante, en otro capítulo. No es la primera vez que tenemos
todos nuestros datos en el ordenador de casa y en el del trabajo, hacemos cambios en algunos
documentos en uno de los dos lugares y luego queremos copiarlos al otro, pero no sabemos con
exactitud cuáles son los archivos que hemos modificado en los últimos días.
Disponer de información organizada nos permite dada una carpeta o directorio que
contiene otros muchos, proteger solamente uno de esos subdirectorios y no el resto. Dentro de un
área podremos clasificar como importante y protegido una sub rama y dejar el resto de la
información accesible y sin protección alguna.
Con archivos y documentos nuevos, es fácil proceder a su organización, porque empezamos
desde cero. Por eso lo más adecuado será ir protegiendo todo lo que sea de nueva creación y poco
a poco revisar lo antiguo. En ocasiones si la documentación antigua no ocupa demasiado espacio
(2-8 Gigabytes) y sus archivos no son demasiado grandes, puede merecer la pena protegerlo todo y
no clasificar esta información por el tiempo que supone revisarla a estas alturas, cuando además
una parte puede ser muy antigua y solo la guardamos a modo de historial.
En vez de que todo el personal de una empresa pueda acceder a recursos compartidos en
un servidor y puedan modificar o leer el contenido de documentos y archivos, puede ser
recomendable que tengan que conectarse a un ordenador específico para acceder a determinada
documentación. Eso evitará que puedan copiarla al ordenador local, robarla o incluso imprimirla.
En una empresa no toda la información puede estar disponible para todos y es
recomendable que quede registrado quien ha accedido a ella. No es la primera vez que un
comercial que se va a visitar a los clientes de Málaga se lleva un archivo con la lista de todos los
clientes de España de su empresa. ¿Para qué? Si solo va a visitar a los de Málaga. Además el archivo
no se protege y cualquiera que robe el ordenador tendrá acceso a la lista completa de clientes.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
18 | P á g i n a
Tema 3: Riesgos del transporte de la información
Los dispositivos que empleamos hoy en día para transportar nuestros datos, ya sean
tarjetas de memoria, discos duros, lápices USB, discos ópticos, móviles, portátiles, etcétera,
empiezan a acumular demasiada información sobre nosotros y nuestro trabajo.
Es fácil y cómodo trasladar las fotos que hemos hecho durante los últimos diez años en uno
de estos dispositivos, además de una copia completa de la base de datos de contabilidad, la
numeración de las tarjetas de crédito de cien mil clientes y muchas otras cosas, y todo eso y mucho
más, cabe en algo tan pequeño como un micro disco o un lápiz USB (pendrive).
Hoy podemos preservar y copiar multitud de informes, documentos, archivos y bases de
datos en cualquiera de los medios de almacenamiento existentes, todos ellos a nuestro alcance y a
precios muy asequibles. Sin embargo, la pérdida de cualquiera de estos dispositivos, puede
causarnos un perjuicio considerable.
El escaso espacio necesario para almacenar todo lo que hemos comentado, ha hecho que la
facilidad con la que puede robarse o perderse dicha información se incremente exponencialmente.
Los dispositivos son pequeños, pueden meterse en cualquier sitio y caerse por cualquier agujero.
Por si fuera poco, su capacidad no hace más que crecer, por lo que cada vez es más cómodo llevarlo
“todo” encima. La capacidad de almacenamiento de los dispositivos electrónicos ha crecido
históricamente a tasas del 40 al 50% anual.
Hasta la fecha, solo algunos casos graves de pérdida de información se han hecho públicos,
pero se sabe que son muchos más de los que se han descubierto o informado. La mayoría de las
veces la información perdida o robada no fue recuperada. En casi todos los casos la misma no iba
cifrada ni protegida de manera alguna. Normalmente las empresas no quieren enfrentarse al
descrédito que supone reconocer que no están preparadas para este desafío.
Por citar algunos casos de pérdida de información, tenemos:
• Roban un portátil de General Electric con los datos de 50.000 empleados.
• Una empresa privada pierde los datos de 84.000 reclusos.
• La Bolsa castiga a Sony tras sufrir el mayor 'hackeo' de la historia.
• Segundo ataque a Sony Pictures
Algunas estadísticas:
• En Europa, dos tercios de las pymes que operan con portátiles han sufrido robo de
alguno de ellos.
• Un informe elaborado por Roberto Cabrera y Rommel García, socio director y
director de la práctica de Asesoría en IT respectivamente en KPMG México, dio a
conocer que en el mundo, de 2007 a junio de 2010 casi 250 millones de personas
fueron afectadas por “hackeos”, lo cual posicionó a este incidente como la primera
causante de fugas de información.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
19 | P á g i n a
Y estamos pensando solamente en que las personas que transportaban sus datos, los
perdieron o fueron robados, pero no estaban intencionadamente llevándose información, lo que
supone otro problema que está obligando a las compañías a prohibir la entrada de estos
dispositivos en sus oficinas y a replantearse los hábitos de funcionamiento y las medidas de
seguridad. Pues hay empleados, que o bien por descontento o simplemente por enriquecerse han
sustraído información confidencial, a veces estratégica, de la empresa donde trabajaban.
Muchas empresas están cambiando sus políticas de seguridad y formando a sus empleados
sobre cómo proteger la información para que en caso de ser robada, no quede accesible. La
mayoría de las soluciones pasan por instalar algún tipo de software o programa que se encargue de
cifrar los datos del portátil, disco o lápiz USB con la intención de que no se pueda acceder a ellos sin
primero introducir una clave.
Entre las medidas básicas de seguridad para que los empleados no se lleven información
confidencial a casa o la roben, se están bloqueando los accesos físicos para intercambiar
información con los ordenadores, como los puertos USB, o bloqueando su configuración (proceso
de detección de dispositivos e instalación de los drivers oportunos), es decir, anulando el acceso
lógico de los dispositivos físicos y evitando por tanto que el ordenador detecte un nuevo CD
insertado, o la conexión de un dispositivo USB.
Puede que nuestro lápiz USB, disco duro portátil o memoria flash necesite una clave para
que pueda ser accedida, pero si la conectamos a nuestro PC e insertamos la clave, la información
queda disponible y un virus del propio equipo o alguna clase de malware podría robarla o
transmitirla por Internet. Por eso nunca debemos introducir nuestros dispositivos extraíbles con
datos preciados en cualquier ordenador que no sepamos a quien pertenece ni si está
adecuadamente protegido (programas antivirus, anti-spyware, etcétera) con el fin de reducir los
riesgos al máximo.
Es recomendable que nunca traslademos más datos de los necesarios y que empleemos
alguna herramienta o programa para proteger nuestros archivos, teniendo en cuenta que nos
ayudan a protegernos, siempre y cuando respetemos ciertas normas de uso, si no, no valen para
nada. El mejor sistema antirrobo del coche no funciona si dejamos que cualquiera se haga una
copia de las llaves; del mismo modo, dejarse un ordenador encendido con nuestros datos
disponibles mientras almorzamos, no es una buena idea.
Durante la utilización de algunas de estas herramientas para acceder por nuestra parte a los
datos cifrados o protegidos, es posible recuperar las claves que hemos tecleado y que protegen
nuestros datos. Incluso con el ordenador apagado y si lo hibernamos habitualmente, los restos del
fichero de hibernación, podrían emplearse para obtener las claves de cifrado.
Sería el caso por ejemplo de herramientas como Truecrypt o BitLocker. Bastaría con tener
nuestro ordenador en manos del ladrón o pirata el tiempo suficiente para efectuar esta operación,
y posteriormente podrían robarnos el USB para acceder a los datos, dado que ya tendrían la clave.
Normalmente, emplear un programa de cifrado para proteger nuestros datos supone que
tenemos que teclear la clave de acceso en ese mismo ordenador, por lo que si hay algún programa
malicioso instalado, podría obtenerla.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
20 | P á g i n a
Proteger nuestros datos mediante un programa que cifra la información almacenada en el
medio extraíble o en el propio ordenador, es una solución software, que es normalmente la más
flexible y que puede aplicarse a distintos medios; aunque requiere ciertos conocimientos por parte
del usuario, por lo que algunas empresas o sectores prefieren soluciones más transparentes y que
requieran una formación previa mínima (es decir, prefieren una solución hardware).
En este curso, veremos las diferentes soluciones software, que son las más flexibles.
Como ejemplo más avanzado de cifrado hardware, tendríamos el USB Ironkey, un USB
donde los datos van cifrados y pueden ser bloqueados o destruidos cuando el dispositivo es forzado
o si la persona ha dejado de estar autorizada para emplearlo.
El administrador de la empresa puede gestionar estos dispositivos y el usuario, si
demuestra ser quien dice ser, puede recuperar sus datos incluso si ha olvidado su contraseña.
Además puede dársele al dispositivo la orden de destruirse para que la próxima vez que se
conecte a un ordenador deje de funcionar. Está claro que los lápices son de la empresa y es ésta
quien los gestiona, pues puede autorizar y desautorizar a los usuarios que los emplean, así como
desactivar y activar los dispositivos remotamente.
En el caso de portátiles, ya hace años que existe hardware capaz de cifrar todo el disco duro
y que al ser encendido el ordenador, solicita una clave o una huella digital para arrancar el sistema
operativo. Las soluciones que cifran completamente todo el disco no solamente se han
desarrollado para portátiles, también se venden kits que pueden conectarse en un ordenador
cualquiera entre el disco duro y la placa base del ordenador y cifran todo lo que se almacena en el
disco. Este tipo de soluciones están basadas en hardware específico y no suele ser necesario
instalar ningún programa.
Algunos fabricantes han desarrollado discos duros que al encenderse piden una clave antes
de que el disco duro aparezca como disponible en el sistema operativo y puedan verse sus datos. El
caso extremo es un disco duro donde la clave del mismo se introduce a través de un teclado en el
propio disco duro lo que evita que alguien averigüe la contraseña si se están capturando las
pulsaciones del teclado mediante algún programa espía. También existen otros que emplean una
pantalla táctil para introducir la clave.
Existen también lápices USB que van cifrados por hardware y que necesitan una clave que
debe introducirse antes de poder usarlos. Sin embargo, recientemente se ha sabido que algunos de
estos productos manufacturados por los mejores fabricantes de hardware del mercado, han
demostrado ser inseguros.
Es de esperar que algunos de los sistemas de seguridad que empleamos ahora, terminemos
por descubrir que no eran cien por cien seguros dentro de unos años. Esa cuestión puede ser
importante para una gran empresa que desea asegurar completamente sus datos. Sin embargo, lo
que pretende la mayoría de empresas y personas es que sus datos queden inaccesibles, no evitar
que los mejores expertos informáticos puedan accederlos.
Si la solución por la que hemos optado, es una solución hardware, es más difícil que cuando
se descubra una vulnerabilidad podamos subsanarla. Puede ser necesario tirar el hardware y
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
21 | P á g i n a
comprar otro o realizar operaciones complejas de actualización para que operen de nuevo al cien
por cien de seguridad.
En caso de que se trate de software, es decir, de programas o herramientas empleados
para proteger todo tipo de dispositivos, siempre podremos sustituirlos por otros o emplear
versiones más modernas de los mismos; y existe la posibilidad de combinar diferentes programas
para lograr una mayor seguridad, de modo que en caso de que uno de nuestros programas resulte
inseguro, si empleamos dos diferentes simultáneamente, nuestra información siga estando
protegida, pues ha caído el primer muro de protección, pero no todo está perdido.
Es interesante la posibilidad de combinar una solución hardware junto con otro software.
La integración de varias medidas de seguridad ofrece mayor resistencia y dificultad en caso de que
alguien intente acceder a lo que no le pertenece.
En general cualquiera de los sistemas de cifrado hardware o software de nivel medio será
suficiente. No pretendemos protegernos contra cualquier organismo, agencia, u organización
criminal, sino contra el extravío y robo de información corriente. O a lo mejor simplemente
queremos disponer del tiempo suficiente tras el robo, para que la información robada no pueda ser
utilizada contra nosotros.
Es lo que sucede cuando perdemos la tarjeta de crédito y la bloqueamos. El peligro reside
en el tiempo que pasa desde que la perdemos hasta que la bloqueamos. Posteriormente a su
bloqueo, la tarjeta está inutilizada. El problema viene cuando alguien compra con ella y nosotros
aún no nos hemos percatado de que la hemos perdido ni hemos realizado una llamada para
ordenar su bloqueo.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
22 | P á g i n a
Tema 4: Internet y los riesgos para nuestro ordenador
Tanto en casa como en el trabajo, es habitual que compartamos el uso del ordenador. En
casa lo emplea nuestra pareja, nuestros hijos para hacer trabajos y quizás incluso algún familiar,
amigo o compañero. Y en el trabajo, cada vez es más común que los ordenadores que empleamos
no sean fijos, por lo que podemos intercambiarlos, emplearlos en juntas y reuniones, llevarlos de
viaje e incluso prestarlos.
Dado que la seguridad de cada ordenador no depende de una única persona, sino de todas
las que lo emplean, comprender los problemas que puede acarrear para todos su mal uso, es
fundamental.
La instalación de juegos piratas, programas de origen desconocido, aplicaciones
multimedia, software de descarga de películas y/o música, entraña riesgos. Si en el equipo termina
por entrar software malicioso, puede que nuestros documentos o datos terminen destruidos o sean
enviados a Internet, quedando expuestos donde menos podamos esperar, o accesibles a personas
que no deberían verlos.
En las empresas se añade un riesgo adicional al compartir equipamiento los empleados y es
que cualquiera puede acceder a los datos de otro. Es verdad que por defecto no es así, pero
también es cierto que muchos usuarios comparten carpetas indiscriminadamente con toda su
información o utilizan el ordenador con el usuario administrador, es decir con acceso total al
sistema operativo y a todo lo que el ordenador contiene.
Aunque protejamos y cifremos nuestros datos, no hemos de olvidar de que normalmente
teclearemos la clave en el ordenador, y si algún programa malicioso está tomando nota de todo lo
que hacemos, nuestra clave y la seguridad de nuestros datos se verá comprometida; del mismo
modo, mientras empleamos nuestros archivos y documentos, los datos están accesibles para
cualquiera que entre en el ordenador, que pueda controlarlo remotamente o que inicie una sesión
con otro usuario en el mismo equipo, por lo que debemos tenerlo en cuenta. Lo mejor, si vamos a
abandonar durante un buen rato nuestro puesto de trabajo, es dejar nuestros datos protegidos y
NO en estado accesible, como quedan tras introducir nuestra clave.
El simple hecho de que los ordenadores tengan conexión a Internet multiplica los riesgos de
que el equipo se infecte por un virus, un troyano, algún tipo de spyware, malware, etc. No es
interés de este curso definir según sus acciones cada uno de estos tipos de programas. Solamente
nos interesa saber que unos pretenden inutilizar nuestro ordenador, otros sirven para espiar lo que
hacemos en él o leer los documentos que contiene, y en otros casos, lo que se pretende es emplear
nuestra máquina remotamente, haciéndola parecer responsable de ataques o de envío de spam a
otros ordenadores repartidos por el mundo. En pocas palabras, que existe el riesgo de que borren o
accedan a los datos que almacenamos en nuestros equipos.
Precisamente por eso, y en un intento de aislar a los ordenadores de los datos que
emplean, a veces los datos se almacenan en servidores o medios extraíbles y no en el propio
ordenador local. El hecho de que los datos solo estén accesibles mientras nosotros trabajamos en el
ordenador, también dificulta que sean robados o accedidos.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
23 | P á g i n a
Por otra parte, proteger nuestros datos y cifrarlos, los protege cuando los enviamos, los
transportamos o los copiamos, ya sea para duplicarlos o porque pretendemos generar una copia de
seguridad. Pero si lo que queremos es que permanezcan seguros todo el tiempo dentro de nuestro
ordenador, deberemos emplearlo con cuidado, protegerlo con un antivirus, un firewall y con alguna
aplicación contra el malware o el spyware que pudiera instalarse en nuestro equipo.
Estos programas aprovechan vulnerabilidades de nuestro sistema operativo (Windows XP,
Vista, Windows 7, Windows 8/8.1, Windows 10…), así como la instalación de juegos, utilidades,
emails falsos o enlaces a páginas que intentarán instalar programas perjudiciales en nuestro PC.
Algunos de estos programas pueden almacenar todo lo que escribimos con el teclado del
ordenador para luego enviarlo a su dueño o hacker informático; y eso puede incluir claves de email,
comentarios privados (en foros, chats, Facebook o redes sociales), datos de la tarjeta de crédito
cuando compramos por Internet (los tecleamos), etc.
Otros rastrean el disco buscando palabras clave en nuestros documentos o utilizan los
nombres de los mismos para localizar información que pueda considerarse valiosa para el atacante.
En otros casos, los programas empleados permiten que alguien se conecte directamente a
nuestro ordenador y acceda a lo que contiene como si estuviera delante de él.
Así pues, proteger los datos, también pasa por proteger los lugares desde los que
accedemos a ellos. Es por eso que datos críticos o muy personales no deberían ser introducidos
aunque fuera temporalmente en ordenadores que no sabemos cómo están siendo mantenidos o en
qué estado se encuentran.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
24 | P á g i n a
Tema 5. Organizar mis datos y documentos: la información
Lugares donde se almacenan mis documentos.
Hasta Windows 2000 y pasando por todas las versiones anteriores de Windows de
Microsoft, era relativamente sencillo saber dónde guardábamos nuestros archivos y documentos.
Sin embargo posteriores versiones de Windows establecieron nuevas ubicaciones.
Podemos ver donde guarda Microsoft los documentos de un usuario abriendo la rama del
registro del usuario actual (HKEY_CURRENT_USER) y accediendo a la ruta siguiente:
\\HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders.
Para Windows XP
Para Windows Vista o Windows 7
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
25 | P á g i n a
NOTA IMPORTANTE: Para facilitar una mejor comprensión de este capítulo, recomiendo
ver primero los videos y luego continuar leyendo el manual.
En la primera captura de pantalla de la página anterior, hemos iniciado sesión como usuario
administrador y estamos viendo dónde este usuario almacena sus documentos, dicha información
se almacena en el Registro de Windows, donde se guarda toda la configuración del sistema
operativo Windows; en el segundo caso, vemos la configuración de Windows 7 para el usuario
actual (el que ha iniciado sesión en Windows 7), que es un tal “guillermogn” y que tiene otra
ubicación para los documentos.
Esta configuración, tanto para un usuario específico como para todos en general es posible
modificarla en el Registro de Windows, lo que permitiría por ejemplo cambiar la ruta donde se
almacena el escritorio del usuario Guillermo de C:\Usuarios\guillermogn\Escritorio a C:\Escritorio, o
D:\Escritorio por poner un ejemplo.
También podríamos establecer que los documentos del usuario Guillermo se guardaran por
defecto en la carpeta D:\guillermo\documentos y no en la ubicación por defecto
C:\users\guillermogn\Documents.
Para un usuario dado es posible establecer la ruta de su escritorio, de sus documentos, de
las descargas de Internet, de las fotos y videos y de la información temporal que crean otros
programas para el usuario.
En Windows XP toda la información de los usuarios se almacenaba bajo la carpeta
“C:\Document and Settings”, pero en Windows Vista, Windows 7, Windows 8 / 8.1 y Windows 10,
la información ha cambiado de ubicación y ahora está en “C:\Users” o “C:\Usuarios”.
Ubicaciones temporales
Cuando abrimos un email y lleva un adjunto, solemos pulsar con el botón izquierdo del
ratón dos veces sobre el mismo para abrirlo. A veces se trata de un documento pdf, otras veces son
imágenes, presentaciones o videos.
Son documentos que van codificados dentro del email y es necesario extraerlos del mismo
y pasarlos al disco duro para que puedan ser abiertos después por el programa correspondiente
(Adobe Reader, Microsoft Office, etc.).
Estos archivos se depositan en ubicaciones o carpetas temporales del disco duro, donde
vamos almacenando decenas sino centenares de documentos que siendo o no importantes, los
abrimos alguna vez, y ya no sabemos que quedó una copia temporal en algún lugar del disco duro.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
26 | P á g i n a
Si pulsamos la tecla de Windows y sin soltarla, pulsamos la R de “Run”. Nos aparece una
pantalla similar a ésta:
Si escribimos “%TEMP%” y presionamos sobre aceptar, se abrirá la ubicación temporal que
Windows emplea para almacenar los documentos. Esta ubicación es específica para cada usuario,
como las que veíamos en el Registro de Windows y normalmente apunta a
“C:\Documents and Settings\yo_mismo\Configuración Local\Temp” en Windows XP
y a C:\Users\yo_mismo\AppData\Local\Temp” en Windows 7 y Windows posteriores,
teniendo en cuenta que “yo_mismo” se refiere al usuario que tiene iniciada sesión en el
ordenador en cada momento.
En esta ubicación temporal es donde se copian los archivos antes de ser abiertos o
ejecutados por parte de los navegadores web, desde dónde se abren los adjuntos de los emails
cuando hacemos doble clic sobre dichos archivos y dónde posteriormente quedarán para siempre
como archivos temporales fuera de uso.
También podemos observar que la carpeta AppData, dentro de Windows 7, en algunos
sitios aparece traducida como “Datos de Programa”. Lo mismo sucede con “C:\Users”, que puede
aparecer como “C:\Usuarios”.
Hay otros archivos temporales que se almacenan en C:\%WINDIR%\temp o en
C:\%SYSTEMROOT%\temp. Ambas rutas o directorios son normalmente C:\Windows\Temp, ya que
tanto %WINDIR% como %SYSTEMROOT% se refieren a la carpeta C:\Windows.
Es recomendable borrar los archivos y carpetas de las ubicaciones temporales con alguna
herramienta que no permita su recuperación posterior. Más adelante veremos cómo hacerlo.
También existen herramientas que simplemente suprimen todos los archivos temporales
generados por Windows, por los navegadores web, por el Microsoft Office y por todo tipo de
aplicaciones en su uso diario.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
27 | P á g i n a
Sin embargo, este borrado de archivos temporales, que es bueno hacerlo para evitar que el
disco duro se vaya llenando y para que los archivos importantes a los que hemos accedido en los
últimos tiempos desaparezcan de dichas ubicaciones, debe ir acompañado de un borrado posterior
de todo el espacio libre del disco duro. Es decir, podemos borrar algo de manera convencional,
pero posteriormente hay que reescribir la antigua ubicación de esos datos en el disco duro para
tener la certeza de que los datos primigenios no pueden ser recuperados de ninguna manera.
La mayoría de herramientas que eliminan archivos temporales emplea varias técnicas:
1) Buscar en las localizaciones conocidas de almacenamiento de archivos temporales:
C:\Windows\Temp, C:\Windows, C:\Users\yo_mismo\AppData\Local\Temp…
2) Localizar archivos que por su extensión son identificados como poco importantes, como
puedan ser logs, informes de errores de aplicaciones, archivos de navegación por
Internet, actualizaciones, programas que son descargados para luego instalarse pero
donde la aplicación descargada se queda en el disco tras la instalación, etc.
3) Buscar archivos temporales de una lista conocida de aplicaciones que el programa
reconoce y que mira a ver si están instaladas en el ordenador.
Si pensamos en proteger nuestra privacidad, a nosotros nos interesa emplear herramientas
del tipo 1. Si lo que queremos es eliminar basura del disco duro y del sistema operativo, también
nos interesaran aplicaciones del tipo 2 y 3.
Las herramientas más interesantes suelen ser las que podemos llevar con nosotros a todas
partes en un disco portátil o un lápiz USB y que no necesitan instalación, es decir, las portables.
Y si además de borrar los archivos temporales de Windows, del usuario y de otras
aplicaciones, son capaces de hacerlo sobrescribiendo dicho espacio con datos aleatorios para que la
información original no pueda ser recuperada, mejor todavía.
También es importante que podamos borrar el rastro de los archivos o las tareas que
hemos ido ejecutando. Por ejemplo, si pulsamos la tecla de Windows y al mismo tiempo la tecla R,
podemos ejecutar un comando en el cuadro de diálogo que aparece, pero también podemos
desplegar el cuadro y ver todos los comandos que hemos lanzado anteriormente.
Si abrimos un documento de Word, podemos ver en el histórico de Microsoft Word, todos
los documentos abiertos recientemente y esto también pasa con los navegadores, que recuerdan
las páginas que hemos visitado (y a veces las claves que hemos introducido) y con otros programas
de edición o visualización de fotos, videos, etc.
Por lo que es probable que deseemos borrar de vez en cuando dicho historial, del mismo
modo que nos gusta borrar las conversaciones de WhatsApp cada cierto tiempo de nuestro móvil.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
28 | P á g i n a
Búsquedas. Indexación de Documentos
Según la Real Academia Española de la Lengua, indexar es registrar ordenadamente datos e
informaciones para elaborar su índice. Y más concretamente, aplicado a los archivos y documentos
contenidos en nuestro ordenador, es el proceso que permite organizar la información para
posteriormente acceder a ella rápidamente.
Para ello se buscan las palabras clave de cada documento, que deben ser representativas y
congruentes con el contenido del mismo y que son las que supuestamente lo identificarán cuando
realicemos búsquedas por contenido.
En definitiva, buscaremos documentos con determinadas palabras clave y el motor de
búsqueda nos facilitará la lista de los documentos que contienen esas palabras, algo parecido a
cómo funcionan los buscadores Google, Yahoo, Ask o Bing en Internet.
Existen programas de indexación especializados en determinados tipos de documento o
formatos. Sin embargo, cualquier usuario medio deseará localizar palabras clave en archivos de
texto (txt), texto enriquecido (rtf), Word (doc/docx), Excel (xls/xlsx), Powerpoint (ppt/pptx),
Portable Document Format – PDF (Adobe Acrobat, pdf), emails, páginas web almacenadas y en
definitiva en todos los documentos que una suite ofimática pueda generar o cualquier otro que sea
susceptible de almacenar texto.
Ejemplos de estos programas son el DocFetcher, el Copernic Desktop Search, el Google
Desktop o el Insight Desktop Search entre otros, soportando todos ellos un gran abanico de
formatos y documentos (Estos son todos gratuitos, aunque en el caso de Copernic hay una versión
libre y otra más completa de pago).
Al final de este manual se enumeran las diferentes herramientas de indexación disponibles
ahora que el Google Desktop ha sido retirado por Google. La utilización de herramientas de
indexación no forma parte del objetivo de este curso.
La mayoría de los programas de indexación, están pensados para indexar el disco duro y
otros lugares en horas intempestivas, cuando el usuario no emplea el equipo. Pero eso presupone
que los datos están accesibles en el ordenador y el programa podrá acceder a ellos cuando lo desee
para actualizar los índices de palabras clave para archivos nuevos o modificados, lo que no es del
todo cierto si decidimos proteger nuestros archivos mediante cifrado empleando alguna clave.
Si ciframos o protegemos nuestros documentos con claves, el programa que realiza la
indización o indexación de esos archivos, no podrá realizar una indexación cuando le dé la gana,
pues el contenido del documento será inaccesible y por tanto no se indexará.
Esta es una desventaja de los sistemas de protección / cifrado de archivos. Aunque no nos
afectaría si pudiéramos indizar cuando quisiéramos hacerlo, pero dado que estos procesos suelen
ser costosos, nuestros archivos quedarían accesibles todo el tiempo que durara la indexación.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
29 | P á g i n a
Algunos de los programas comentados antes, permiten indizar ya este tipo de documentos
cifrados y tienen opciones para indexar el contenido de cualquier medio de almacenamiento
susceptible de ser protegido, permitiendo ejecutar la herramienta cuando el usuario lo desee.
Un ejemplo de ello es DocFetcher, disponible en http://docfetcher.sourceforge.net, el cual
permite almacenar junto a nuestros documentos protegidos con clave, los índices generados por
esta herramienta y que pueden generarse cuando los documentos están accesibles.
La necesidad de localizar documentos en nuestros equipos, empleando palabras clave, se
vuelve perentoria cuando no tenemos los documentos correctamente organizados o se encuentran
distribuidos por múltiples carpetas y dispositivos de almacenamiento.
Con una correcta distribución de la información, dichas herramientas, solo serían
necesarias en entornos empresariales y no para el hogar, o la oficina del profesional o pyme.
Búsquedas sin indexación. Organizar nuestros documentos
Si la información está correctamente organizada y dividida, no será necesario la inmensa
mayoría de veces el utilizar un programa de indexación para localizar el documento que estamos
buscando mediante palabras clave.
Si hemos sabido separar la información por criterios afines a nuestra manera de trabajar,
siempre podremos restringir la búsqueda a una subclasificación o subcarpeta, haciendo incluso que
la búsqueda se restrinja lo suficiente para que localizar lo que estamos buscando no nos obligue a
recurrir a estas herramientas.
Si acotamos lo suficiente la ubicación del archivo, podríamos realizar una búsqueda del
contenido empleando alguna palabra clave del nombre del archivo, sin necesidad de mirar dentro
de él y sin recurrir a la indexación.
Aunque algunos usuarios guardan los documentos y archivos en las ubicaciones que por
defecto les ofrece Windows, otros los almacenan en su escritorio o en alguna carpeta del directorio
raíz del sistema.
Puede incluso que dichos documentos estén repartidos por diferentes discos duros (hay
quien emplea la unidad C: para el sistema operativo y tiene la D: para almacenar datos) o que estén
en varios medios extraíbles como lápices USB, memorias, etc.
En cualquier caso, lo primero será localizarlos, con el fin de poder reunir los documentos
dentro de nuestro equipo en una sola ubicación. Por otra parte, a veces nuestros documentos
ocupan barbaridades de espacio y necesitaremos saber qué tipos de archivos consumen más
espacio, por ejemplo cuanto consumen nuestros videos, o nuestras fotos.
Otra cuestión a la hora de organizarlos que será esencial es que unos pocos archivos
ocuparan normalmente una parte importante del espacio total, y deberemos decidir cuáles son
realmente importantes y por tanto, candidatos a ser protegidos / cifrados.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
30 | P á g i n a
En nuestro proceso de búsqueda necesitaremos por tanto alguna aplicación que nos sirva
para rastrear dentro del disco, subdirectorio a subdirectorio, donde se acumulan los archivos. Y
otra que nos permita valorar el espacio ocupado por cada tipo de archivo. Ejemplos de estos
programas serían el Tree Size y el Windirstat respectivamente (y que veremos durante el curso).
Podemos emplear la propia herramienta de búsqueda de Windows para localizar archivos
grandes o muy grandes; o agruparlos por extensión si sabemos cuáles son los tipos de archivo más
habituales con los que trabajamos.
Los niveles de anidamiento en los que estructuramos la información no deberían superar
los cuatro o cinco. Puede parecer poco, pero si en la carpeta raíz tenemos cinco clasificaciones o
subdivisiones y en cada una de ellas hasta cinco más, y así sucesivamente hasta alcanzar cuatro o
cinco niveles de profundidad, podemos totalizar 3125 grupos o subcarpetas, cada una de las cuales
almacenaría un grupo de documentos muy específicos. En ningún caso somos capaces como
personas de organizar documentos en clasificaciones muy profundas, pues terminamos por repetir
clasificaciones o las mismas se vuelven tan específicas que dificultan la clasificación de cualquier
documento nuevo.
No tiene sentido realizar clasificaciones en conjuntos de archivos pequeños, por ejemplo
cuando en la clasificación actual haya veinte o treinta documentos. Sin embargo, si el número
crece, puede resultar interesante volver a dividirlos en subgrupos, creando para ello nuevas
subcarpetas o subdirectorios.
Los nombres de las carpetas deberían ser escuetos y representativos. Sin embargo los
nombres de los archivos deberían ser lo suficientemente descriptivos. Muchos formatos de archivo
permiten almacenar un campo descripción, que puede servir para luego realizar búsquedas por
contenido tras la indexación de los archivos.
Utilizar nombres de directorios largos es un error que puede pagarse caro, dado que una
ruta o path según la terminología de Microsoft tiene una longitud máxima y si el nombre de un
directorio es demasiado largo, puede que no podamos crear subcarpetas dentro, porque entonces
el número de caracteres que conformarían la ruta hasta ese directorio sería demasiado largo.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
31 | P á g i n a
Duplicados. Herramientas de Gestión
Es habitual cuando trabajamos con varios ordenadores que tengamos alguno de los
documentos dos o más veces dentro del mismo ordenador, simplemente porque no sabemos
dónde está, y al no localizarlo, lo copiamos de nuevo desde alguna ubicación conocida. Esto sucede
con la música, los programas, los documentos recibidos por email, etc.
Tampoco es raro disponer de copias de nuestros datos en distintos dispositivos o medios
extraíbles, repitiendo muchas veces los contenidos o duplicando una y más veces miles de archivos,
lo que termina por despistarnos cuando deseamos saber cuál es la versión más reciente o donde se
encuentra.
Sería interesante eliminar toda la información redundante antes de protegerla, sobre todo
si alguno de estos archivos duplicados es grande. Localizar estos archivos puede ser difícil, sobre
todo si contienen lo mismo pero tienen distinta fecha, distinto nombre o están en medios de
almacenamiento diferentes (disco duro, USB, etc.).
Durante el curso, emplearemos algunas herramientas específicas para localizar duplicados.
En Internet podremos encontrar estas herramientas. Aunque lo difícil será como siempre
reconocer aquellas que destacan por sus prestaciones, son sencillas de usar y no están limitadas
(shareware o trialware), es decir, que se trata de herramientas completas y con una licencia que
nos permita al menos emplearlas para uso no comercial o personal.
Normalmente encontrar duplicados cuando tenemos la información organizada de manera
estructurada quiere decir varias cosas:
• Que tenemos un par de subdirectorios que tratan de cosas parecidas, ya que ambos
contienen algo de lo mismo. Deberíamos darnos cuenta que los nombres de estas
subcarpetas entran en conflicto y agruparlas o darles nombres más concisos que den
lugar a una mayor especialización.
• Puede ser que tengamos diferentes versiones de los mismos archivos, sería el caso en
que comparáramos los archivos por nombre y no por contenido. En este caso podemos
tener problemas si las versiones no están etiquetadas indicando su orden y cuál es la
más actualizada.
• Que realizamos las mismas tareas periódicamente y debemos poner cuidado en que
dichos archivos no se mezclen (mismo nombre), porque podríamos tener problemas en
la identificación del que estamos usando en este momento. Normalmente son
actividades y cometidos que se repiten a lo largo de los meses o de los años, por lo que
tiene la misma denominación. Es probable incluso que empleemos plantillas o para el
año en curso copiemos el mismo archivo de otro año y lo modifiquemos
convenientemente. Por ejemplo, si todos los años emitimos una factura para la misma
empresa, el documento PDF generado de la factura podría llamarse siempre
“Megaempresa SL.pdf”, aunque tuviéramos una carpeta llamada “2014” con la factura
de ese año, otra llamada “2015”, con la factura del 2015, etc.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
32 | P á g i n a
La centralización de la información
Si pensamos en la cantidad de documentación, archivos, informes o documentos que
somos capaces de atesorar en nuestro hogar en poco tiempo, y la facilidad con la que podemos
adquirir, descargar y visualizar información desde Internet, vislumbramos varios problemas:
1) El primero es la organización y clasificación de toda esa información.
2) El segundo es el espacio para guardarla y la necesidad de ir añadiendo la nueva, sin
dejar de actualizar o borrar aquello que ya no sirve. Me refiero a la documentación que
generamos nosotros, a la que nos envían o dejan, a la que es resultado de digitalizar o
escanear documentos, a aquella que es resultado de analizar datos y obtener informes,
realizar presentaciones, rellenar tablas, etc.
3) Luego estaría el hecho de que querríamos acceder a ella desde varias ubicaciones como
pueden ser nuestra casa, la oficina, desde un portátil y en algunos casos desde
cualquier lugar del planeta.
4) Por último, tendremos también la necesidad de proteger lo que pueda ser importante,
privado o de acceso restringido (cuando no deseemos que todos puedan verlo, pero sí
algunos) y querremos contar con la capacidad de recuperarnos frente a desastres como
incendios, averías, robos, etc.
Resumiendo la información necesita que la organicemos, la clasifiquemos, la mantengamos
al día, que esté disponible cuando nos haga falta y desde donde queramos acceder a ella y que
podamos protegerla adecuadamente.
Esto, que de por sí es complejo para una persona o para una empresa pequeña,
imaginémoslo escalado a grandes empresas con muchas personas recibiendo y generando
información continuamente, y pensemos en cómo pueden solucionarlo.
Desde luego necesitarían saber dónde buscar información, habrían de saber cómo
contribuir para que lo que ellos han hecho, descubierto o aprendido sirva a otros; habría que
proporcionarles medios o protocolos que les permitieran buscar lo que necesitan y serían
necesarios distintos lugares para almacenar la información en función de quien accediera a la
misma, o diferentes niveles de seguridad cuando fuera de acceso restringido.
En cuanto a su disponibilidad, querremos que esté disponible siempre y desde cualquier
lugar (sistema distribuido); en cuanto a su gestión y organización nos convendrá que esté
centralizada.
La Wikipedia define un sistema de información como: 'Un sistema de información' (SI) es
un conjunto de elementos orientados al tratamiento y administración de datos e información,
organizados y listos para su posterior uso, generados para cubrir una necesidad (objetivo).
La tendencia actual en los sistemas de información es precisamente que la información esté
accesible desde muchos lugares y con muy diferentes dispositivos.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
33 | P á g i n a
Sin embargo, si la información no se organiza a través de sistemas de información y
aplicaciones corporativas, proteger los datos, replicarlos o preservarlos, se vuelve muy difícil. De
hecho es probable que los usuarios terminen por tener muchos de los datos que emplean a diario
en sus ordenadores, convirtiéndose cada uno de ellos en gestor de su propio sistema de
información.
Es cierto que esta manera de funcionar maximiza el rendimiento en cada unidad de trabajo,
pero no responde a cuestiones como qué pasa si la persona desaparece, el ordenador es robado o
destruido, o qué sucede cuando todos necesitan cierta información y cada uno la mantiene por
cuenta propia, dando lugar a base de datos diferentes que se crearon para lo mismo pero donde
cada una presenta un grado de actualización distinto.
Frente a empresas con importantes volúmenes de datos, las aplicaciones corporativas y los
sistemas de información profesionales pueden ser la solución.
En empresas pequeñas o medianas, se puede recurrir a centralizar toda la información que
es común o útil a todo el personal de la empresa, y permitir la existencia en los ordenadores de los
usuarios, de archivos y documentos para trabajo propio, que deberán ir protegidos (si es necesario)
y desde donde realizaremos un proceso de copia de seguridad contra algún servidor que será el
encargado de proteger toda esa información. Así la información común será accesible en la intranet
de la empresa (conexión por red a algún servidor) y la que cada uno emplee en su ordenador
deberá guardarla en la ubicación correcta, que es precisamente desde donde el servidor la cogerá
para realizar las copias de seguridad programadas.
En cualquier caso, necesitaremos conocer qué tipo de información, qué documentos
archivos o ficheros necesita cada persona para hacer su trabajo antes de diseñar una política
aceptable para gestionar su seguridad.
La idea es que cada usuario reciba la formación adecuada sobre qué datos son sensibles y
debe protegerlos, qué datos deben almacenarse en el servidor central para que estén disponibles
para toda la empresa, dónde debe guardar los documentos que emplea a diario dentro de su
ordenador y cuáles son las normas de la empresa respecto a qué es lo que pueden llevarse o no a
casa para trabajar y bajo qué medidas de seguridad.
En definitiva, se necesita una guía que diga lo que debe hacerse, que debe conocer todo el
mundo, que debe estar disponible para todos desde el primer día que entran a trabajar y deben
contar con personal cualificado al que preguntarles cualquier duda que pueda surgirles.
Y si se trata de un usuario que trabaja en casa con sus datos personales o de un profesional
que tiene su despacho y varios equipos de trabajo, también necesitará centralizar la información,
aunque al final disponga de varias copias parciales o totales en los distintos equipos y haga copias
de seguridad con cierta frecuencia.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
34 | P á g i n a
Tema 6. Réplicas, backups y sincronización de datos.
Introducción
Los medios donde almacenamos nuestros datos, como puedan ser discos duros, portátiles,
lápices USB, memorias flash, CD o DVD, pueden averiarse con el tiempo, ya sea por el uso, la mala
utilización o el envejecimiento. Si esto sucede nuestros datos pueden perderse.
A veces los datos se pierden de la manera más tonta, inesperada o surrealista. El
desconocimiento suele ser la peor causa.
Para evitarlo, se hace imprescindible tener varias copias de estos datos en varios lugares y
medios diferentes. Dependiendo de cómo se hagan estas copias y cual sea el objetivo de las
mismas, la información quedará protegida de una manera o de otra, teniendo cada sistema sus
pros y sus contras como vamos a ver.
La mayoría de la información que atesoramos es poco importante, pero siempre existe una
parte de la misma que es muy valiosa. Diferenciar qué parte es importante de cual lo es menos, o
simplemente no lo es, permitirá definir la periodicidad con la que debemos hacer esas copias de
seguridad. No tiene sentido y no sería prudente dar el mismo trato a todos los datos. Podría darse
el caso de que una copia completa de todo lo que almacena nuestro ordenador ocupara mucho
espacio y la hiciéramos una vez al mes por el tiempo que conlleva.
Sin embargo es probable que otros datos más críticos que actualizamos todos los días
merecieran una copia diaria, pero como simplemente hacemos una copia de todo, no podemos
hacerlo con esa asiduidad por el tiempo y el espacio que conlleva. Este sería un ejemplo de un mal
esquema de protección.
Aunque existen sistemas de copia que reducen al máximo lo copiado y solo copiarían los
archivos nuevos o modificados de ayer a hoy, eso supone otro tipo de problemas que veremos con
más detalle posteriormente.
Tampoco es muy inteligente almacenar las copias juntas, o al lado del ordenador que
contiene los datos. Si la sala se incendia o se inunda, se perderán todas las copias. Del mismo
modo, un disco duro externo que contiene una copia de los datos del ordenador al que está
siempre conectado puede averiarse junto al ordenador si sufre una fuerte subida de tensión. No
podemos tener el disco permanentemente conectado al PC, eso lo expone a algunos de los mismos
peligros que el ordenador puede sufrir. Además está el hecho de que ese disco externo puede
terminar por contener las últimas seis o siete copias de seguridad, por lo que si falla el disco, se
perderán todas las copias. El riesgo de perder una, es el riesgo de perderlas todas. Tendríamos que
tener otro disco u otro soporte alternativo para evitar este nuevo riesgo y hacer copias alternando
unas en un disco y las otras, en el otro.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
35 | P á g i n a
Es importante que tras realizar una copia de seguridad, sobretodo de datos que cambian
muy poco con el tiempo y por tanto son copias que se realizan con una periodicidad baja, es decir
de semanas o meses, que verifiquemos que los datos se han grabado correctamente y procedamos
a restaurarlos en otro ordenador o disco. Las estadísticas dicen que más del 34% de las empresas
no verifican sus copias de seguridad, y que los que probaron, el 77% se encontró en algún
momento con una copia irrecuperable.
Es aconsejable que utilicemos las facilidades u opciones de que disponen las herramientas
de copia de seguridad o backup de daños y errores que puedan inutilizarlas. Naturalmente eso
conlleva que la copia ocupará un poco más de espacio, pero será más segura. Algunos programas
nos permitirán verificar que la copia se ha hecho correctamente tras terminar la grabación, puede
ser interesante hacerlo.
Muchas personas emplean discos regrabables, cintas o discos externos para realizar las
copias de seguridad, y posteriormente los van borrando y volviendo a grabar. Es aconsejable
conocer la vida útil de estos productos y no utilizarlos hasta agotarla, sino en torno al 60 o 70% de
su vida útil.
Otro soporte muy empleado en las empresas son las cintas. Aunque son bastante
resistentes, no suelen conservarse en las condiciones ideales de temperatura y humedad. Tampoco
las empresas limpian las unidades de cinta con regularidad, no mantienen una política clara de
renovación de cintas tras cierta periodicidad y no restauran su contenido con la asiduidad necesaria
para asegurar la validez de la cinta.
Utilizar medios ópticos regrabables como CD o DVD para las copias de seguridad es
peligroso. Los regrabables no son precisamente un buen ejemplo de garantía. A veces un DVD
grabado recientemente no puede luego leerse o solo funciona en determinadas unidades. Además
según la empresa están hechos de un material diferente y algunos lectores son muy sensibles al
material de fabricación del soporte, dado que la longitud de onda del láser para leerlos no es
exactamente la misma en todos ellos.
No es recomendable emplear programas para realizar las copias de seguridad que
dependan de la máquina, el hardware o el sistema operativo, sino que podamos instalarlos allí
donde hagan falta. Podríamos tener que recuperar archivos en un ordenador diferente al original o
en otro sistema diferente.
Aunque la mayoría de las pérdidas de datos son por daños en el medio de almacenamiento,
otras muchas se producen por errores o desconocimiento de las propias personas.
Las copias deben almacenarse en lugares seguros. Hay casos de robo o pérdida de
información intencionada donde los ladrones tuvieron más fácil el acceso a las copias de seguridad,
que no a los datos originales, dado que éstos estaban mucho mejor protegidos.
Es típico emplear programas o sistemas para realizar copias de seguridad que no cifran los
datos con una clave cuando los copian. Además solemos identificar muy bien los datos que están
contenidos en cada copia, junto con la fecha y su importancia. Dichos datos deberían ir codificados
para evitar que sean identificables fácilmente. Y si son necesarios varios discos y en un orden
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
36 | P á g i n a
concreto para restaurar la copia de los datos que hemos perdido, es necesario numerar de algún
modo los discos.
En ocasiones las copias no se almacenan en las condiciones adecuadas de temperatura, luz
o humedad lo que les degrada rápidamente y puede volver inaccesibles en caso de que perdamos
nuestra información. Algunas empresas almacenan sus servidores y sus copias de seguridad en el
sótano del edificio, craso error como aprendieron muchas empresas en Houston, EEUU, al llegar allí
la tormenta tropical Alison, en 2001.
Las empresas que pierden tras un desastre todos sus datos o buena parte de los que le son
críticos, quiebran. Las empresas, sin importar su tamaño, dependen cada vez más de los datos que
almacenan para realizar su trabajo. Frente a desastres naturales, es aconsejable tener copias de sus
datos críticos almacenados en servidores remotos. Para eso es necesario contratar a empresas que
aseguren nuestros datos en sus instalaciones, y que naturalmente estén lo bastante lejos como
para garantizar que el desastre que pueda afectarnos a nosotros, no dañe también su
infraestructura.
Una buena manera de que la copia de seguridad se haga siempre cuando corresponde, es
programarla. Si usted se asegura de que el ordenador esté encendido cuando la tarea debe
comenzar, la copia de seguridad se hará con la regularidad que usted pretendía. Para esto
necesitará un programa que se encargue de hacer la copia de seguridad, y usted tendrá que decirle
qué debe copiar, cuando y a dónde. Algunos permiten establecer una lista de carpetas y archivos a
copiar, el ritmo al que debe hacerse y la posibilidad de parar la tarea para continuarla
posteriormente o dejarla en segundo plano sin que afecte al usuario que emplea el ordenador.
Para empresas pequeñas o usuarios del hogar existen buenas soluciones a coste cero y que
con poco trabajo y un poco de organización gestionan sus datos adecuadamente.
Sin embargo en empresas medianas o grandes se necesita un sistema de control
centralizado de las copias de seguridad y mayores medidas de control sobre el ordenador de los
usuarios para no tener que recorrerlos todos uno a uno o lanzar copias individuales de los datos
contenidos en cada PC. Aquí ya se necesitan fuertes inversiones en herramientas capaces de
monitorizar cualquier fallo y avisar a la persona correspondiente.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
37 | P á g i n a
Las copias de seguridad
Vulgarmente las copias de seguridad suelen consistir en un proceso en el cual una
herramienta que instalamos, recoge todos los documentos de un grupo de ubicaciones que le
hemos dado previamente, los empaqueta y los almacena en un medio.
Al final tenemos uno o más archivos que contienen toda la información con una descripción
de la copia de seguridad. Opcionalmente los datos contenidos en la copia pueden estar cifrados, es
decir, protegidos mediante alguna contraseña.
Si necesitamos recuperar algún archivo en concreto, tendremos que emplear el programa
con el que hicimos la copia de seguridad, y el programa buscará dentro del paquete donde está
toda la copia y nos recuperará el archivo o archivos seleccionados. Solo así podremos usarlos.
Así pues, mediante este sistema de copias de seguridad o backup, la información no está
disponible para su uso directo. Si queremos acceder a ella, es necesario recurrir al programa que
hizo la copia de seguridad. En este caso, un programa creado para un sistema operativo concreto,
nos obligaría a mantener una máquina siempre con ese sistema, si algún día deseáramos recuperar
copias de seguridad con datos muy antiguos. (Caso de Windows NT y 2000).
Por eso es recomendable emplear programas que aunque cambiemos los ordenadores
siempre puedan instalarse en equipos actuales y recuperar copias de seguridad antiguas. Por lo
tanto, es recomendable emplear programas de empresas que lo vayan actualizando y respalden el
producto.
Además de programar las copias de seguridad y de poder cifrarlas o protegerlas, estos
programas presentan la ventaja de que pueden realizar diferentes tipos de copia de seguridad.
Podemos realizar una copia completa de todos los datos o una copia de los datos nuevos desde la
última copia. Si las copias no son siempre copias completas de todos los archivos, puede que sea
necesario emplear varias copias de seguridad simultáneamente para recuperar los datos perdidos.
Esto evita emplear más espacio del estrictamente necesario para las copias de seguridad, pero hará
más lenta la recuperación de los datos.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
38 | P á g i n a
Tipos de Backup
Los tipos de backup o copia de seguridad se apoyan en el denominado atributo de archivo,
que no es más que un flag (on/off) que tienen los archivos y que indica que el archivo ha sido
modificado recientemente. Podemos ver en las propiedades de cualquier archivo este atributo y si
está activo o no.
En principio hay cinco tipos de backup, dependiendo de cuando hagas las copias de
seguridad y de cómo quieres que sea después de rápido restaurar los archivos perdidos. Cuanto
más aprisa se haga la copia de seguridad, más costosa será luego la restauración.
Diario: Consiste en hacer una copia de seguridad de los ficheros cada día, pero solo de
aquellos que han cambiado a lo largo de ese día. En este caso el atributo de archivo de los ficheros
no se emplea. Se utiliza la fecha de modificación de los ficheros. Solo copiaremos los ficheros
modificados hoy.
Incremental: Se hace copia de los ficheros que han cambiado desde que se hizo la última
copia completa de los datos o desde la última copia incremental. Solo se copian los archivos con el
atributo archivo activo, lo que implica que esos archivos han sido modificados. Luego el atributo de
archivo se deja desactivado indicando que el archivo no se ha modificado desde que se ha hecho la
última copia incremental. Cuando el archivo vuelva a modificarse, el atributo de archivo del fichero
volverá a activarse indicando que ha sufrido cambios y que debe hacerse una copia de seguridad de
él en el siguiente backup.
Completa: Es una copia de seguridad de todos los archivos. Tras hacerse, se resetea el flag o
atributo de archivo de todos los ficheros copiados, dejándose desactivado e indicando así que los
archivos no han sido modificados desde la última copia de seguridad.
Diferencial: En esta copia de seguridad se copian los archivos que han sido modificados
desde la última copia completa. Sin embargo, en este caso el atributo de archivo de los ficheros no
se resetea, para que posteriores copias de seguridad vuelvan a incluirlo, ya que lo que pretendemos
es en caso de pérdida de datos tener que restaurar solamente la última copia completa y la última
diferencial.
Copia: Hacemos copia de los archives que queramos, es una copia de seguridad a medida,
pero sin afectar a las copias completas, incrementales, diarias o diferenciales. El atributo archivo no
se ve modificado y los demás tipos de backups pueden realizarse sin problemas sobre los mismos
datos y sin verse afectados.
En definitiva, que las copias de seguridad llamadas diarias o las llamadas simplemente “de
copia” no afectan a las demás. Se pueden hacer cuando se desee y son independientes de las otras.
Las incrementales sí que se relacionan entre ellas, y si las empleamos, para restaurar todos los
datos perdidos. Tendremos que emplean la última completa y todas las incrementales posteriores;
mientras que si empleamos las diferenciales, bastará con la última copia completa y la última
diferencial. Dependiendo de la estrategia empleada se tardará más o menos en recuperar los datos.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
39 | P á g i n a
Tipo de copia Tiempo de copia Tiempo de recuperación
Completa El máximo El mínimo
Completa + incrementales Bajo Medio
Completa + Diferencial Medio Bajo
Diaria Muy Bajo Muy Alto
Réplicas
Las réplicas son copias totalmente operativas de nuestros datos. Es decir, si perdemos el
medio o dispositivo donde almacenábamos toda nuestra información y usamos éste, no notaríamos
la diferencia. Tenemos la misma estructura de archivos, documentos, mismos sistema de cifrado o
protección, la misma clave normalmente, y los archivos y datos que teníamos justo hasta el día
antes de perderlo todo.
Se trata pues de una copia de lo que teníamos, con la misma distribución y archivos, creada
en el caso más exagerado a partir de un “Copiar y Pegar” de todos los archivos del medio original
en otro lugar.
Mantener las réplicas supone dedicar más tiempo que a las copias de seguridad, dado que
es necesario que estén al día (normalmente se actualizan con una periodicidad mínima semanal) y
es un proceso que aunque se haga con algún programa, requiere asignarle un hueco en la agenda,
dado que somos nosotros los que conectamos otros medios al ordenador para transferir la
información nueva o modificada a la réplica.
Normalmente usaremos un programa llamado de sincronización que se encargará de
comprobar que todos los archivos que usamos en nuestro ordenador sean los mismos que en la
réplica. De no ser así, actualizará solo los ficheros necesarios en la réplica, para que siga siendo una
copia exacta de los datos originales.
Con este planteamiento los datos (la réplica) siempre está lista para ser accedida. Puede ser
un sustituto inmediato de los originales si éstos se han perdido. La copia de seguridad siempre será
mucho más rápida, porque se hará sobre los datos cambiados recientemente, será como una copia
diaria o incremental, con la diferencia que no habrá que dedicar tiempo de recuperación, pues la
réplica siempre presenta el aspecto de una copia completa pero accesible y lista para funcionar. En
casos extremos tenemos lo necesario, el trabajo de replicar la réplica sobre la ubicación de los
datos originales que se han perdido, puede posponerse incluso porque ya es posible trabajar
directamente.
Las herramientas que se encargan de mantener las réplicas y los datos originales idénticos
se llaman herramientas de sincronización y son las encargadas de cerciorarse de que todos los
archivos están en todas las réplicas y además que en caso de haber varias versiones del mismo
documento en diferentes réplicas, sabe cuál debe ser la buena y por tanto la que sobrescribirá a las
demás, pasando a tener todas las réplicas el mismo fichero.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
40 | P á g i n a
La primera vez que hagamos una réplica de un conjunto de ficheros original, es
recomendable emplear alguna herramienta que maximice la transferencia y acelere el proceso. Es
el caso de Teracopy por ejemplo.
La copia de archivos muy grandes suele ser rápida y se alcanzan velocidades de
transferencia altas; sin embargo cuando escribimos miles de archivos de tamaño pequeño, la
velocidad decae mucho. Este caso es especialmente grave en memorias USB, donde al copiar
muchos archivos en estas memorias, la velocidad puede disminuir mucho y tardarse mucho tiempo
en copiar los archivos. Esto no se debe a lo que los mismos ocupan, sino al hecho de ser muchos y
de ser de pequeño tamaño.
En algunos casos los procesos de copia son muy largos, y el ordenador se ve bastante
ralentizado, por eso algunos programas como Copy Handler permiten fijar el ritmo o velocidad a
que se copian los datos y hacerlo en momentos en que nos convenga, así como comenzar, para si
es necesario y posteriormente continuar donde nos habíamos quedado.
Para trasladar o copiar muchos archivos a otros medios no es buena idea emplear a
Windows sin ninguna herramienta adicional, porque si algún archivo falla, la operativa se para,
mientras que en los programas comentados, no se para, se prosigue; y si algún archivo no ha
podido copiarse se nos avisa posteriormente, pero el proceso no se detiene.
La sincronización de archivos. Herramientas
Es el proceso en el cual dos o más ubicaciones terminan por contener los mismos archivos,
con la misma fecha, el mismo tamaño e idéntico contenido. Si se agrega, modifica o elimina un
archivo de una ubicación, el proceso de sincronización agregará, modificará o eliminará el mismo
archivo en las otras ubicaciones.
Este proceso puede modificarse permitiendo que solamente se añadan archivos y no se
produzcan borrados, o haciendo que versiones más viejas de archivos en una de las ubicaciones
sobrescriban a las versiones más recientes de la otra ubicación.
Aunque normalmente lo que pretenderemos es mantener las versiones más recientes y
trasladar los cambios del origen al destino, como pueda suceder cuando deban eliminarse archivos
en la ubicación de destino que han sido borrados en el origen o sobrescribir archivos en destino que
son más antiguos que los de la ubicación de origen.
Al hecho de que los cambios, como puedan ser el borrado de archivos, la creación de
nuevos archivos o el copiado de otros más recientes sobre los más antiguos, se haga desde una
ubicación a otra, se le llama sincronización de un vía o dirección.
Sin embargo, si también se permite que archivos borrados en la otra ubicación se borren en
el origen tras desaparecer de la ubicación destino, o que archivos nuevos o más recientes pasen
también a la ubicación de origen, estamos realizando una sincronización de dos vías.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
41 | P á g i n a
Normalmente la sincronización será siempre de una vía. Aunque si queremos trasladar los
cambios en la otra dirección, deberemos tener cuidado de no modificar el mismo archivo en las dos
ubicaciones en momentos diferentes, porque ninguno de los dos reflejaría todos los cambios, y
como al final solo quedaría un archivo, siempre habríamos perdido información.
Las herramientas de sincronización normalmente comparan los ficheros por su tamaño,
fecha de modificación y en caso de que se le indique, byte por byte, es decir comparándolos
binariamente, opción ésta que no suele ser necesaria y que resulta mucho más lenta.
Los problemas surgen cuando copiamos archivos o carpetas entre particiones o discos que
emplean sistemas de archivos diferentes, como pueden ser FAT32 y NTFS. Eso hace a veces que la
fecha y hora de última modificación del mismo archivo, pueda ser diferente en ambos medios, a
pesar de tratarse del mismo archivo en el mismo estado. Esto se resuelve con una doble
sincronización como ya veremos.
Durante el curso veremos cómo es posible trabajar con archivos y ficheros que tenemos en
un dispositivo u ordenador, y luego sincronizar los cambios en otras unidades, dispositivos o
medios de almacenamiento. El objetivo es que cuando hagamos cambios, los mismos se trasladen a
las demás copias o réplicas que tenemos. La utilización de estas herramientas se lleva a cabo
cuando lo que pretendemos no es tener copias de seguridad de nuestros datos, sino copias
operativas, con las que podemos trabajar normalmente igual que con el medio original.
El concepto es el mismo que el del famoso maletín de algunas versiones antiguas de
Windows. La sincronización nos permite comprobar los cambios que hemos ido haciendo con el
tiempo, ver qué archivos hemos tocado, borrar en las demás réplicas lo que ya hemos borrado en la
que empleamos a diario y del mismo modo, añadir otros archivos, detectar modificaciones por
virus, por errores de escritura, etc.
Trabajar con el concepto de réplicas en vez de copias de seguridad, nos permitirá ver cuáles
son los datos más utilizados, se modifican más o tienen más relevancia para nuestra gestión diaria,
lo que en el futuro puede llevar a tratamientos diferenciados para una parte de la información.
La posibilidad de sincronizar la información en cualquier dirección, permite que nuestro
medio habitual de trabajo sean todos los ficheros de nuestro disco duro y mañana, antes de irnos
de viaje, y tras una sincronización, sean los de un lápiz USB. A la vuelta, podremos sincronizar los
datos nuevamente con nuestro disco duro y continuar trabajando con éste, cómo si durante el
viaje, los documentos modificados hubiesen sido los del PC que dejamos en la oficina.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
42 | P á g i n a
Aspectos a tener en cuenta
En todos los casos en los que queremos mover información, y disponer de varias copias,
pretendemos garantizar la seguridad de la misma, es decir, que otros no puedan acceder a esos
datos de forma no autorizada. Por tanto, habrá de estar cifrada.
También pretendemos que la pérdida o robo de una copia no nos deje indefensos al
disponer de otras copias que serán operativas con carácter inmediato o que pueden estarlo en
poco tiempo.
Para asegurar la información, es necesario tenerla claramente reunida en pocos sitios y
como veremos, es posible utilizar más de un nivel de seguridad. Hablaremos pues, de capas.
Es recomendable que no sea fácil para otros identificar qué información está contenida en
cada sitio o si es relevante.
Deben existir controles automáticos que devuelvan la información a un estado seguro en
caso de error o descuido por parte de los usuarios (timeouts).
Copias de seguridad online
En el presente curso supondremos que la sincronización entre diferentes réplicas de la
información se hace dentro de la red de nuestra empresa u hogar, ya sea en servidores o
dispositivos externos que se conectan físicamente a un ordenador. De no ser así, y de tratarse de
redes inalámbricas o copias de seguridad hechas a través de proveedores que nos dan espacio de
almacenamiento remoto en Internet, es fundamental conocer que protocolos y algoritmos de
seguridad emplean cuando los datos salen de nuestro ordenador, no sea que puedan ser “vistos”
por otros.
No tiene mucho sentido hacer copias desde nuestro ordenador a otro a través de una red
inalámbrica no protegida y luego emplear en nuestros discos los mejores sistemas de protección de
datos.
Existen también herramientas de sincronización para Smartphone y para otros periféricos
capaces de almacenar información. Las empresas que almacenan en Internet copias de nuestros
datos emplean normalmente sus propios programas para darnos este servicio y cobran una
pequeña cantidad mínima que se va incrementando según el volumen de datos que queramos
proteger en sus servidores.
Almacenar los datos en Internet es una solución interesante para empresas, que permite
trasladar el problema de las copias de seguridad a otra empresa que es la encargada de proteger
nuestros datos. Aun así es importante conocer cómo lo hacen y tener en cuenta que si el volumen
de datos que queremos enviarles es muy importante, puede no ser tan rentable por el coste de
tener una línea de alta velocidad para enviársela.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
43 | P á g i n a
Aunque los programas encargados de almacenar remotamente la información actúen como
herramientas de backup o de sincronización, en realidad estaremos siempre haciendo backups en
nuestro alojamiento remoto, independientemente de que la aplicación que los envíe al servidor de
la empresa pueda restaurarlos con criterios similares a los de una sincronización, o pueda
simplemente recuperar un grupo de archivos perdidos.
Es recomendable saber cómo se establece el canal seguro por Internet entre nuestro
ordenador y el servidor que recibe nuestros datos, así como el protocolo empleado. Normalmente
los datos se almacenan cifrados en la copia de seguridad remota y se envían ya en ese estado a
través del canal seguro. Ante cualquier duda, es mejor realizar una copia nosotros mismos de
nuestros datos, cifrarla y posteriormente enviarla, así siempre tendremos la seguridad de que está
cifrada y no es posible acceder a ella o a su contenido.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
44 | P á g i n a
Tema 7. Contraseñas y frases de paso. Metodología y Herramientas.
El concepto de contraseña y frase de paso
Según la Wikipedia:
Una contraseña o clave (en inglés “password”) es una forma de autentificación que utiliza
información secreta para controlar el acceso hacia algún recurso. La contraseña normalmente debe
mantenerse en secreto ante aquellos a quienes no se les permite el acceso. A los que desean
acceder a la información se les solicita una clave; si conocen o no conocen la contraseña, se
concede o se niega el acceso a la información según sea el caso.
Un ejemplo de clave es el pin que introducimos en el cajero del banco para ver los
movimientos de la cuenta bancaria o sacar dinero. Aunque el pin está formado solamente por
cuatro dígitos, la tarjeta de crédito emplea un mecanismo de seguridad consistente en bloquear la
misma si se excede el número de intentos máximo permitido, que normalmente son tres. Esto evita
que el atacante intente acceder múltiples veces acertando con la combinación adecuada y
accediendo a la cuenta del cliente.
Una clave difícil (también de recordar) podría ser ésta: 5%&+/23mi0.-. Si las claves resultan
demasiado difíciles o los usuarios no pueden elegirlas ni adaptarlas a alguna forma que les resulte
fácil de recordar, terminarán por apuntarlas, por lo que la seguridad será mínima y se pervierte su
función, que es dificultar el acceso a los datos protegidos con ella.
Las claves no deben ser similares al nombre o login del usuario, ni tampoco deberían ser
parecidas al DNI, a la fecha de nacimiento, ni referirse a nombres de familiares, números de
teléfono, direcciones habituales, matrículas de coche, ni nada que pueda ser fácilmente
relacionado con nosotros.
Jamás deberían enviarse por Internet o el correo electrónico, y tampoco es conveniente
compartirlas. Cada persona debe tener las suyas propias. Del mismo modo deberíamos cambiarlas
con la frecuencia suficiente para que no las consideremos un trastorno (al menos una vez al año) y
para que no se nos haga tan difícil el recordar cada nueva contraseña que terminemos por
apuntarla en un papel o agenda.
Como veremos más adelante, cifrar o proteger archivos por contraseña tiene sus riesgos,
pues perder la contraseña implica perder la información que protege, es decir, no poder acceder
nunca más a dichos archivos. Aquí no habrá nadie que pueda ayudarnos.
Algunos programas permiten añadir una nueva contraseña para acceder a los datos
cifrados, pero preservando la validez de la anterior. De tal modo, que cuando llevamos bastante
tiempo con una contraseña y la cambiamos, si olvidamos la nueva, es más que probable que no se
nos haya olvidado la anterior, porque ha estado en uso un tiempo lo suficientemente largo.
Esta operativa garantiza el acceso a la información cifrada sin asumir el riesgo de olvidar la
clave y perder el acceso a nuestros archivos. Se trata de mantener una lista de contraseñas válidas,
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
45 | P á g i n a
de tal modo, que las N últimas pueden servirnos para acceder a nuestros datos protegidos. Lo que
sucede es que al haber varias contraseñas válidas es necesario que se cambien más veces en el
tiempo, porque cada contraseña permanece en la lista hasta que detrás de ella entran otras
adicionales y la sacan de la lista. Eso quiere decir que si la lista es de 3 contraseñas y la cambiamos
mensualmente, hasta pasado tres meses, la primera contraseña no deja de funcionar.
Otra posibilidad que emplean algunas personas es pensar una nueva contraseña antes de
que sea necesaria y repetirla todas las mañanas durante un par de semanas, para que se quede
definitivamente grabada en la memoria. Es entonces, cuando estando ya consolidada, puede ser
utilizada sin miedo a que se nos olvide justo al día siguiente de haberla cambiado.
Hay quien emplea un sencillo sistema de recuperación. Por ejemplo eligen la clave de un
libro, y recuerdan en qué libro y en qué página está la palabra clave. Si la olvidan, saben que podrán
utilizar el libro para recuperarla. Es lo mismo que emplear un libro como el “Refranero Español” y
recordar la página donde está la frase que hemos usado como clave.
Las palabras que solemos emplear como claves suelen tener sentido, al menos parcial. Por
ejemplo “0electrovalvula.+”, es por eso que dichas claves intentan ser descubiertas mediante
diccionario. Los hackers crean herramientas que intentan romper la seguridad de un archivo
cifrado, y las claves que van probando las sacan de un diccionario con algunas modificaciones. La
mayoría de usuarios ponen texto en el centro y añaden caracteres extraños o símbolos especiales al
principio o al final de la palabra.
Cita de la Wikipedia:
En una conferencia de seguridad en 2005, un experto de Microsoft declaró: "Creo que la
política sobre contraseñas debería decir que ustedes deban escribir sus contraseñas en algún
lugar para recordarlas posteriormente. Yo tengo 68 contraseñas diferentes. Si no se me permite
escribirlas en algún lugar, ¿adivinen que es lo que voy a hacer? Voy a usar la misma contraseña
en cada una de mis cuentas."
Como veremos existen programas que permiten proteger todas las contraseñas de un
usuario y acceder a ellas mediante una sola contraseña. Sin embargo, si decidimos emplear este
sistema, y trabajamos en alguna empresa, es recomendable pedir el visto bueno de la empresa
porque de no hacerlo, podríamos estar incumpliendo su política de seguridad, y eso podría ser
causa justificada de despido.
Una herramienta puede disponer de los mejores sistemas de cifrado, de los algoritmos más
complejos creados por los mejores matemáticos, pero si las contraseñas son débiles, ciertos
ataques que podrían durar siglos, pueden reducirse a días u horas para tener éxito.
El usuario es la parte principal del sistema de seguridad. Como suele decirse: “Una cadena
es tan fuerte como el más débil de sus eslabones.”. Por eso muchos sistemas operativos exigen al
usuario contraseñas de una longitud mínima, que incluyan ciertos caracteres o le impiden repetir
una contraseña para evitar que alterne varias conocidas y se vea obligado a emplear otras nuevas.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
46 | P á g i n a
Para muchos usuarios, resulta difícil valorar si una contraseña que se les ha ocurrido, se
puede considerar demasiado fácil de averiguar o si tiene un nivel de seguridad aceptable, bueno o
excelente.
Existen aplicaciones en Internet que valoran estos aspectos. Por ejemplo, si introduzco mi
DNI seguido de mi nombre, el programa no sabe que esos son mis datos personales y es probable
que vea una secuencia de números y letras y la acepte como una buena contraseña.
Así que podemos utilizar estas herramientas como apoyo complementario a nuestro
sentido común. Del mismo modo, no es recomendable teclear en Internet la contraseña que
realmente queremos utilizar con el de que alguna de estas aplicaciones nos diga si es segura, pero
podemos teclear otra que sea parecida, y si es considerada segura, la que en verdad hemos
pensado inicialmente, también lo será. Por ejemplo, si deseo validar esta contraseña:
8134g00dw1ne, podemos probar esta otra: 9012woodd1rk.
En este enlace sobre Seguridad de las contraseñas, podemos ver el coste en tiempo de
quebrarlas (averiguarlas) en función de cómo estén compuestas: solo por números, por letras y
números, con símbolos especiales, etc.
Existen herramientas que permiten generar contraseñas automáticamente con criterios
técnicos de seguridad. Durante el curso veremos algunas como:
• https://identitysafe.norton.com/es/password-generator
• http://passcreator.com/sp
• http://passwordsgenerator.net/
• https://www.random.org/passwords/
• https://strongpasswordgenerator.com/
Al final del manual, se citan diversos sitios web donde probar la fortaleza de passwords y
frases de paso para ver si hemos elegido una adecuadamente. Aquí citamos algunos:
• http://password.es/comprobador/
• http://www.segu-info.com.ar/proteccion/fortaleza_clave.htm
• https://howsecureismypassword.net/
Las contraseñas difíciles de averiguar suelen ser largas, ininteligibles, formadas por todos
los signos que hay en el teclado de un ordenador, y no solo por letras y números. Ante la dificultad
que supone recordar una clave y el hecho de que los usuarios no suelen emplear claves largas (lo
recomendable son al menos 16 caracteres), nacieron las frases de paso, que por defecto, con la
misma longitud que una clave, son más inseguras, pero como suelen ser más largas y se busca que
sean fáciles de recordar, terminan por ser más seguras. Sobre todo si el usuario no termina por
apuntarlas debajo del teclado porque siempre se le olvida, como suele pasar con las contraseñas.
Así se intenta evitar el uso de contraseñas evidentes.
De hecho, muchos sistemas memorizan las claves que han ido dando históricamente los
usuarios con la intención de que no las repitan o de que solo cambien una letra o añadan cualquier
otro símbolo en un intento de no cambiarla.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
47 | P á g i n a
Idealmente una clave o frase de paso larga, se hace más difícil de averiguar, dado que los
programas que intentan descifrar nuestras claves operan muchas veces por fuerza bruta, es decir,
probando todas las posibles combinaciones existentes de letras, números y demás símbolos del
teclado con la intención de averiguar nuestra clave.
Esta operación suele ser más fácil de lo que parece, porque muchos usuarios emplean
claves cortas, palabras conocidas o nombres propios. Así claves como “1234”, “qwerty”, “aaaaaa” y
demás ejemplos similares suelen ser bastante utilizados.
Algunos programas de hackers disponen de un diccionario, o de una lista conocida de
palabras que tienen una probabilidad alta de ser empleadas como claves. Esto acelera el proceso de
búsqueda para averiguar la password de determinado documento, acceso a una web, clave de
email, etc.
Las claves tienen que estar pensadas para el entorno en que van a ser utilizadas. Una clave
que teclearemos delante de mucha gente tiene que teclearse aprisa, no puede estar formada por
pulsaciones demasiado alejadas unas de otras, sobre todo si somos poco hábiles con el teclado.
Si solemos viajar y a veces empleamos teclados en español y otras veces en inglés debemos
tener en cuenta que el teclado español y el inglés no coinciden plenamente, así que contraseñas
con tildes, eñes, y símbolos que varíen su posición al seleccionar otro idioma, no son
recomendables.
Algunas personas prefieren no teclear la clave y emplean una tarjeta para acceder a los
datos de su ordenador, la huella dactilar o un lápiz USB especial que genera una clave y que nada
tiene que ver con uno normal. Sin embargo estos dispositivos tienen que ser configurados
previamente en esos ordenadores, por lo que se usan más bien en entornos de oficina o en equipos
propios con los que se viaja, no en instalaciones ajenas.
Algunos sistemas y programas permiten destruir la información tras un número
determinado de veces tecleando la clave erróneamente. Tal práctica no se recomienda
habitualmente si no se trata de entornos críticos.
Entre las frases de paso es típico emplear:
- Títulos de películas
- Citas famosas
- Eslóganes
- Frases hechas
- Títulos nobiliarios o nombres de personajes históricos
- Refranes populares
- Estribillos y trabalenguas.
- Títulos de obras literarias.
El problema que entraña esto es que los hackers pueden componer su propia base de datos
con toda esta información y construir un diccionario con la intención de acceder a sus datos. Es por
eso que no resulta recomendable emplear como frase de paso un texto llano, solo formado por
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
48 | P á g i n a
letras o números, sino que es recomendable sustituir espacios, vocales, alguna letra por algún
símbolo, y del mismo modo añadir algún dígito, alguna letra en mayúsculas o minúsculas, etc.
Longitud y complejidad.
Para el ser humano, recordar números o letras es relativamente fácil. No sucede lo mismo
con caracteres como &, {, }, ^, *, ¡, #, etc. La realidad es que nos cuesta hasta teclearlos o
localizarlos en el teclado. Dado que los programas de ataque empleados por los hackers siempre
disponen del ataque por fuerza bruta, es decir, de la posibilidad de emplear todas las posibles
combinaciones de estos símbolos para localizar nuestra clave, es recomendable que ésta sea
relativamente larga y no abarque solo cifras y letras.
Con el tiempo, y conforme va creciendo la capacidad de los ordenadores para generar y
probar claves contra un archivo cifrado, las claves deben ser más largas y más complejas. Eso
dificulta su memorización por parte de la persona. Además está el hecho de que las mismas deben
cambiarse cada cierto tiempo y eso también complica la tarea de recordarlas.
Preguntas recordatorio del tipo “¿Cuántos hijos tienes?”, no son tampoco adecuadas para
recordarnos la clave en caso de olvido. Pues pueden ser demasiado sencillas para el atacante. La
obligación de cambiar las claves para todo el personal tampoco suele seguirse, porque si se fija un
período máximo obligatorio es posible que a más de uno le expiren las contraseñas (pierdan su
validez) y no pueda o sepa cambiarlas.
En Internet existen hackers que tienen a su disposición redes de hasta 20.000 ordenadores.
Les basta con aprovechar algún fallo de seguridad en esos ordenadores para instalarles un
programa que les permita utilizar esos equipos remotamente cuando les interese cometer
fechorías. Una clave puede parecer difícil cuando trabajamos con un solo ordenador, pero
pensemos en que alguien pueda disponer instantáneamente de una red de 20.000 equipos, con
toda su potencia de cálculo, para romper nuestra clave en un instante dado. La potencia de cálculo
se multiplica y la dificultad para quebrar la clave disminuye.
Artículos recomendados sobre botnets:
• http://hipertextual.com/2011/06/tld4-la-botnet-indestructible
• http://www.elmundo.es/espana/2015/04/14/552c00e7268e3e11278b456c.html
• https://blog.kaspersky.es/simda-botnet-check/5781/
• http://www.welivesecurity.com/la-es/2015/02/27/desmantelan-botnet-ramnit-fbi-sigue-zeus/
• http://www.welivesecurity.com/la-es/2014/10/29/top-5-botnets-zombi/
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
49 | P á g i n a
Por eso es recomendable emplear claves largas. Recordarlas no es necesariamente difícil.
Ejemplos de claves podrían ser éstas:
- ##195+100=295##
- ./MeLoCoToNton/.
- {vvienda+rrustica++}
- _Rafael_&_Carmen_=2*2
- (rana_gustavo)5+o-
- El5%de100€=5€
- Másde110km/h=MULTA!
- Tra/mon/ta/na/0.
- 98¡guada-lajara!
- [75]taxi$verde$()
- Pavia152502+/0/+
Ejemplos de frases de paso:
- Dios+salve+a+la+reina!
- (--Loqueelviento|sellevo++)
- 3lr3t0rn0d3lj3di—10 (El retorno del jedi)
- Hrzntsdgrndz90veces!. (Horizontes de Grandeza)
- L4hum4nid4d no suprime l4 b4rb4rie l4 perfeccion4! Volt4ire.
- 12mesas=48sillas+12manteles.
- 14159265358979eseespi!
- 2chiegos+1cojo=3hombre
- Elmejoroeste(clintistbud!){}
- S1y2n3r4b5b6!+ (sayonara baby)
- Jncrlsprmr__rdspñ (juan carlos primero rey de España)
Como veremos posteriormente existen en Internet programas capaces de decirnos si
nuestra clave es lo suficientemente buena, aunque no deberemos introducir la clave que queramos
utilizar realmente, sino una parecida, ya que la web podría estar registrando las claves introducidas
para posteriormente atacar los ordenadores desde los que navegamos por ellas.
Un experto en seguridad postuló hace algún tiempo que la mayoría de usuarios emplean la
misma clave para todo. Así que basta con darles un servicio gratuito e interesante, obligarles a
registrarse y dar sus datos, para luego intentar acceder a información de sus empresas con esas
mismas claves.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
50 | P á g i n a
Agrupar servicios por contraseña.
Si nos vemos en la necesidad de recordar muchas claves, lo más recomendable es disponer
de un grupo de ellas, y utilizar cada clave para varias ocasiones. Por ejemplo, si habitualmente
compramos comida por Internet, podemos tener una clave para todos los lugares de comestibles;
podemos tener otra clave para los bancos; otra para acceder a sitios deportivos si somos
aficionados; a librerías, etc.
Organizar las claves así, nos permite reducir el número de ellas que deberemos memorizar.
El inconveniente está claro. Si descubren nuestra clave para un determinado servicio, podrían
intentar entrar en otros con la misma contraseña. Eso mismo es aplicable al cifrado de datos. Si
todas las unidades o dispositivos de almacenamiento tienen la misma clave, existe el riesgo de que
si nos capturan una de ellas, prueben a ver si pueden utilizarla en otros medios o lugares.
Es precisamente por eso por lo que algunas personas emplean una única clave y con ella
acceden a un archivo donde se almacenan todas las claves de todos los servicios a los que acceden
en Internet, en casa o en la oficina. El objetivo es que cada lugar al que acceden tenga una clave
diferente y ellos solamente necesitan otra adicional para acceder a todas. Ejemplos de programas
que funcionan de esa manera y que almacenan una lista de claves, además de facilitar su
protección, hacer copias de seguridad de esas claves, añadir información adicional y agruparla por
categorías, serían el Password Safe o el KeePass, ambos muy parecidos.
Reglas nemotécnicas
Para recordar las contraseñas es recomendable emplear reglas nemotécnicas que nos
permiten recordar cosas difíciles con relativa facilidad. Cuando se busca crear una contraseña con
varias palabras o sílabas que no tienen significado ni conexión, es posible recurrir a trucos o
esquemas de pensamiento que facilitan su memorización al principio (luego, de tanto teclearlas se
nos quedan grabadas en la memoria).
Para aprender un poco más sobre las reglas nemotécnicas podemos consultar el siguiente
enlace: http://www.aulafacil.com/Tecestud/Lecciones/Lecc17.htm
El objetivo de las reglas nemotécnicas es establecer una relación entre los objetos que
queramos recordar, de modo que memoricemos solo la idea o concepto que los relaciona.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
51 | P á g i n a
Reglas de incremento de la complejidad
Puede interesarnos memorizar o recordar contraseñas claras, formadas por letras, y luego
aplicar diferentes reglas para cifrarlas e introducirlas cuando queremos acceder a sitios con acceso
restringido o a nuestros datos.
Por ejemplo, podríamos decidir que en las contraseñas, la vocal “a” siempre se cambiara
por “4%”, la “e” por “3#”, la “i” por 1, la “o” por cero y la “u” por el símbolo menos. También podría
decidir que no teclearé las siguientes letras: g, m, r y n. Y puedo sustituir siempre un carácter por
dos o tres, lo que hará la clave más larga. Así puedo recordar contraseñas de 10 caracteres y
asegurarme que midan 20. Evidentemente esto requiere memorizar una tabla de conversiones,
pero que me servirá siempre.
Supongamos que mi clave es: “Estoy harta de ganarme la vida sola”, codificada según los
cambios que hemos citado arriba quedaría: “3#st0yh4%t4%d3#4%4%3#l4%v1d4%s0l4%”.
3#st0y h4%t4% d3# 4%4%3# l4% v1d4% s0l4%.
Contraseñas relativamente sencillas se complican según estas reglas. Me basta recordar la
contraseña inicial y el conjunto de reglas que la modifican. En la práctica, conseguimos generar
contraseñas mucho más complejas que las que seríamos capaces de recordar estableciendo una
tabla de conversiones que permite que la contraseña o frase de paso crezca por una parte, y por
otra, incorpore elementos o símbolos especiales lo que suele ser difícil de recordar.
En realidad lo que estamos haciendo es conociendo la clave, aplicamos una conversión
previa y luego introducimos esa nueva clave, obtenida tras la conversión, para acceder a nuestros
datos. Así podemos establecer contraseñas que sean fácilmente memorizables y posteriormente
modificarlas y convertirlas en estructuras más complejas que serán las que protegerán nuestros
datos realmente.
Otra posibilidad es conocer una única clave maestra, que sea únicamente nuestra y tener
un algoritmo al que darle la clave maestra y como segundo dato o entrada, darle la URL del sitio
web donde empleamos esa clave, por ejemplo: http://www.dsic.upv.es y el programa generará una
clave, que para la misma clave maestra y el mismo sitio web siempre será la misma, el resultado es
que no tendremos que recordar todas las claves. Y como dicho algoritmo existe y es posible
ejecutarlo en cualquier navegador dentro de nuestro PC (sin que nadie pueda por tanto acceder a
lo que hacemos), la tarea de recordar todas las claves se vuelve mucho más sencilla. En esta
dirección http://passwordmaker.org/ se explica cómo funciona este método. Desde la sección
Downloads puede descargarse una extensión para usarlo en Firefox.
Y la página con el algoritmo para utilizarlo vía web, con la posibilidad de descargarlo también y
usarlo en casa está en http://passwordmaker.org/passwordmaker.html.
Otro programa que nos permitirá convertir claves es Password Chart. La idea consiste en
proporcionar una frase para crear una tabla de conversiones entre caracteres; y posteriormente al
teclear nuestra clave en claro, la misma será convertida empleando la tabla de conversiones
anterior. Puedes ver cómo funciona en http://www.passwordchart.com/.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
52 | P á g i n a
Limitaciones de los portales web.
En muchos de los servicios que podemos encontrar en Internet la longitud o la complejidad
de las contraseñas está limitada a un número fijo de dígitos o de caracteres y pueden no aceptarse
símbolos especiales del teclado. Hay sitios donde las claves quedan establecidas en minúsculas
aunque las introduzcamos inicialmente en mayúsculas.
Aunque parezca increíble, algunos de los principales bancos no permiten claves largas o lo
suficientemente complejas a la hora de acceder a nuestros datos bancarios para consultarlos. Es
cierto que para manipular nuestro dinero sí que se requieren medidas de seguridad adicionales,
pero acceder a la cuenta es relativamente fácil con los criterios de clave que se permiten.
Uno de los problemas que está intentándose resolver desde hace algún tiempo es la
necesidad de un sistema de acceso que nos permita entrar y registrarnos o validarnos en diferentes
servicios de Internet con los mismos datos o credenciales, de tal modo que una empresa externa
valide nuestra identidad y las demás empresas de Internet confíen en ella.
A fecha de hoy no se ha dado ninguna iniciativa que haya tenido el suficiente éxito como
para que en un futuro próximo los usuarios dejemos de tener decenas de contraseñas, cada una
específica de un portal web.
No es que no se hayan intentado soluciones al respecto, el problema radica en quien asume
esa responsabilidad y en si los demás se fían de la citada empresa, de su reputación o de su
capacidad para gestionar la identidad de todos los usuarios que empleen sus servicios.
DNI digital
En España ya es posible acceder con el DNI digital a información bancaria, a determinados
servicios de la Agencia Tributaria y Tráfico y a otras gestiones de carácter administrativo.
http://www.dnielectronico.es/
Sin embargo el DNI digital no se ha extendido más allá de estas funciones y todavía la
validación a través de Internet es muy lenta para acceder a algunos bancos, y no funciona en la
mayoría de casos con otros navegadores que no sean el Internet Explorer.
En definitiva, que como solución de acceso está bastante restringida y no se emplea para
cifrar o proteger información de carácter privado, solo para acceso a servicios.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
53 | P á g i n a
Herramientas
Entre las herramientas disponibles en este apartado, tenemos las que nos permiten valorar
la fortaleza de nuestra clave, password o frase de paso (todas son online); las que permiten generar
claves según los criterios de robustez que especifiquemos; las que estiman en función de su
estructura y composición cuanto tiempo haría falta para quebrarlas y las que nos permiten
almacenar todas nuestras contraseñas en un archivo cifrado y protegido por una contraseña.
Todo esto lo veremos durante las prácticas. Además las citadas herramientas se enumeran
al final de este libro.
Herramientas para almacenar nuestras claves protegidas con otra maestra, como Password
Safe o KeePass también disponen de algoritmos propios para generarnos contraseñas
automáticamente.
En Internet también existen muchas herramientas para valorar la complejidad de una clave,
para generar claves de una determinada longitud o hacerlo siguiendo determinados criterios.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
54 | P á g i n a
Tema 8. Protección de nuestros datos.
Hasta el momento hemos visto la importancia de no perder nuestros datos y de evitar
accesos no autorizados por pérdida o robo. Hemos visto donde se almacena la información, cuales
son las ubicaciones temporales donde los programas dejan nuestros archivos, cómo localizarlos,
cómo ver su distribución en función del espacio que ocupan y del tipo de archivos, hemos
aprendido a racionalizar su uso eliminando duplicados e indexando nuestros datos, cómo hacer las
copias de seguridad y qué son las réplicas y como se deben gestionar.
Pero después de esto, nos falta ver como se protege cada almacén de datos, cada ubicación
física (medio) que contiene información crítica para nosotros.
A la hora de proteger la información podemos proteger todo el medio, como sería cifrar
todo el disco duro de un ordenador; podemos proteger la ubicación donde se almacena la
información y no todo el disco; o podemos proteger los archivos y ficheros de manera individual.
Como ya dijimos anteriormente, cifrar la información por procedimientos hardware, de tal
modo que al encender el PC se nos pida una contraseña y en caso de robo, con el ordenador
apagado, no se pueda extraer nada útil del equipo es una solución concreta para cada ordenador.
Este sistema es el más transparente para el usuario, pero no el más flexible.
Además cifrar todo el disco duro de un ordenador, de un portátil o cifrar medios extraíbles
como lápices USB o discos duros portátiles, supone pagar un sobreprecio porque se necesita un
hardware que cifre y descifre la información en tiempo real. Por otra parte, como ya dijimos
anteriormente, algunos productos han demostrado posteriormente no ser tan seguros como
parecían.
Es cierto que cifrarlo todo, también protege a los datos temporales que se almacenan en la
memoria virtual, como es el caso de los ficheros de paginación o de hibernación de Windows, pero
requiere el cifrado de todo el sistema operativo y en caso de avería del sistema de cifrado, puede
ser complejo poner de nuevo el equipo en funcionamiento.
Otra posibilidad es crear volúmenes cifrados. En la práctica, un volumen cifrado es un
archivo muy grande dentro de nuestro disco duro. Si queremos que tenga una capacidad de 10Gb
de espacio por ejemplo, creamos un fichero muy grande de ese tamaño. El inconveniente es claro.
Independientemente de cuanto espacio ocupen nuestros datos, al crear la unidad o el espacio que
los habrá de contener, llamado volumen, hemos de reservar todo ese espacio en nuestro disco
duro de golpe.
Ese enorme fichero puede montarse y desmontarse. En el primer caso, se nos pedirá la
contraseña y todos los ficheros que contiene quedarán accesibles y desprotegidos mientras los
empleamos; al desmontar el volumen, también llamado contenedor o container, los ficheros que
estaban dentro de él y por tanto protegidos, quedarán de nuevo inaccesibles.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
55 | P á g i n a
Cuando montamos dicho volumen, como se dice en la jerga informática, nos aparecerá en
Mi PC o en el explorador de Windows una nueva unidad. Si antes aparecía la unidad C o la unidad
D, ahora veremos otra unidad nueva, a la que podremos asignar la letra que queramos, por ejemplo
la E:.
Esta unidad funciona exactamente igual que cualquier otra, y contiene todos nuestros
datos. Al introducir la clave todos quedan como disponibles. Si bloqueamos la sesión y nos vamos a
almorzar, y alguien es capaz de conectarse a nuestro PC, los datos están disponibles, porque no
hemos desconectado el volumen, la unidad o el contenedor (todo es lo mismo).
El tercer y último método de protección consiste en proteger o cifrar cada archivo con una
contraseña, así evitamos que sea accesible. En ocasiones emplearemos una contraseña para
archivos muy delicados y otra contraseña para el resto de archivos.
Incluso podemos guardar todos nuestros archivos dentro de una unidad cifrada, y al
montarla, dando una clave al programa, podría ser que todavía fuera necesario teclear una segunda
clave para desproteger archivos que son especialmente importantes. Al hecho de que sea necesario
introducir dos claves para acceder a algunos ficheros, y solamente una para otros, es a los que nos
referimos con que podemos emplear diferentes niveles de seguridad. Unos están protegidos por
una capa de seguridad (se mete una sola password) y los otros por dos capas o niveles de seguridad
(son necesarias dos claves para acceder a esos ficheros).
Cifrado de archivos. Herramientas
Para el cifrado de archivos veremos la herramienta Axcrypt, que es completamente
transparente al usuario y tiene la posibilidad de reforzar la seguridad mediante el empleo de una
segunda contraseña para cifrar un archivo. Y que además es capaz de recordar contraseñas para
que al abrir un archivo protegido por la misma contraseña que el anterior no la requiera. Este
programa de carácter gratuito puede también crear archivos protegidos por contraseña que se auto
descifran al introducir una clave, por si queremos enviarle a alguien documentos cifrados. Le
acompaña una herramienta para borrar del disco duro archivos que no deseamos mantener (pero
dificultando su recuperación posterior) y hace una excelente gestión de los temporales generados
durante la apertura de un archivo cifrado, que luego elimina completamente para que nadie pueda
recuperar información.
El objetivo de esta herramienta es que al hacer doble clic sobre un archivo el mismo se abra
exactamente igual que si no estuviera cifrado. Del archivo original se crea una copia descifrada que
es la que es abierta por el programa correspondiente. Posteriormente Axcrypt se asegura de que
los temporales que puedan quedar sean completamente eliminados.
Existen otras herramientas que permiten cifrar un archivo o descifrarlo, pero no actúan de
manera transparente, es decir, si deseas trabajar con el archivo es necesario descifrarlo, para
posteriormente y tras haber accedido al mismo o hecho cambios, volver a cifrarlo dejándolo así
inaccesible para otros usuarios o programas. Sin embargo, en este tipo de aplicativos es necesario
acordarse de volver a cifrar el archivo, cosa que se deja a cargo del usuario.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
56 | P á g i n a
Unidades de disco cifradas. Herramientas.
Las unidades cifradas no son más que archivos muy grandes que dentro contienen otros
muchos. Sin embargo, para acceder a ellos como una unidad más del PC es necesario teclear una
clave que solo el propietario de esos ficheros conoce. La misma clave cifra todos los archivos de la
unidad de disco, por lo que una sola clave da acceso a todos esos archivos. Aunque es posible
posteriormente cifrar cada archivo individualmente con alguna herramienta específica para ello,
como Axcrypt, dando un nivel adicional de seguridad a los archivos que consideremos más críticos.
En ocasiones es posible cambiar la contraseña del volumen o unidad cifrada; en otros casos
cambiar la clave supone crear un volumen o unidad cifrada nueva y trasvasar todos los datos. Esta
opción puede ser muy costosa para volúmenes de datos importantes.
Al tratarse de archivos aparentemente corrientes, pueden borrarse desde el sistema
operativo. Por eso algunos productos incorporan herramientas o servicios que evitan que eso
pueda suceder por error del usuario.
Además cada producto o solución implementa diferentes algoritmos de cifrado, diferentes
sistemas de conexión de unidades cifradas e incluso la posibilidad de hacer un borrado seguro de
archivos contenidos en la unidad cifrada o exteriores a ella.
La ventaja de algunos de estos productos es que están disponibles para todos los sistemas
operativos, cuestión que debemos plantearnos dependiendo del entorno de trabajo que
empleemos: siempre Mac, siempre Linux, siempre Windows, un mix de todo, etcétera.
Intercambio de documentos. Herramientas.
A la hora de intercambiar archivos o ficheros entre personas por email, ya es habitual que
muchas personas empaqueten todos los archivos en un archivo comprimido por Winzip, Winrar,
7zip o algún otro compresor de mercado que disponga de algoritmos de cifrado potentes y que sea
capaz de descifrar posteriormente estos documentos mediante una contraseña.
Algunos de estos compresores (sino todos) permiten que cuando alguien recibe el archivo
lo ejecute y él mismo se descomprima y muestre todos los archivos que contiene tras introducir el
usuario la correspondiente clave.
En el caso de documentos con contenido privado como cartas o declaraciones, es posible
generar pdfs o documentos en Word que no pueden leerse o imprimirse sin conocer la clave.
También para compartir archivos o documentos a través de Google Drive, Dropbox y otros
sistemas es posible previamente protegerlos mediante una clave propia del servicio desde dónde
puede descargarse el archivo y otra si adicionalmente es necesario descifrarlo.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
57 | P á g i n a
Tema 9. Borrado seguro. Herramientas.
Las herramientas de borrado seguro pueden emplearse para eliminar ficheros del
ordenador de forma que no puedan ser recuperados, o podemos emplear herramientas que
borrarán y destruirán toda la información del disco duro o del medio de almacenamiento que
queramos “limpiar”.
Normalmente se requieren tres tipos de herramientas de borrado:
• Las que periódicamente borran todos los espacios libres del disco duro para
cerciorarse de que cualquier documento que puntualmente pudo haber allí en un
pasado reciente no deja información que pueda comprometernos.
• Las que permiten eliminar y destruir archivos que ya no deseamos conservar y
queremos tener la certeza de que no podrán ser recuperados.
• Las que permiten borrar todo el contenido del disco cuando vamos a cambiarlo por
otro mayor o deseamos deshacernos del PC con la tranquilidad de que los datos
anteriores no podrán recuperarse.
En ninguno de los tres casos anteriores el disco duro se verá dañado o inutilizado y podrá
volver a ser utilizado tras un formateo estándar previo para posteriormente instalarle un sistema
operativo.
Cuantas más veces se sobrescribe el contenido de un disco más seguridad hay de que el
archivo o los datos del disco nunca puedan recuperarse. Es precisamente por esto que existen
diferentes métodos establecidos por los gobiernos o agencias de diferentes países que se
consideran seguros como puedan ser los métodos del Dpto. de Defensa de los EEUU, la OTAN o el
de Peter Guttman.
Un borrado sencillo será siempre suficiente para evitar que los archivos puedan
recuperarse con herramientas software habituales o disponibles por Internet. Sin embargo existen
otras herramientas, disponibles para personal especializado y agencias de seguridad, que permitiría
recuperar los datos si solamente se hubiera ejercido sobre ellos un borrado sencillo. Por esto
aparecieron otros métodos más sofisticados de borrado, aunque también muchísimo más lentos.
Cuando una aplicación en Windows XP o superior se inicia en el sistema operativo y
reclama memoria, el sistema operativo se la proporciona. Sin embargo, la aplicación podrá usarla,
pero no leer lo que había en ella antes de que le fuera entregada para su uso. Esto es porque
Windows 2000 y XP cumplen la normativa de seguridad C2.
Este mismo procedimiento que se aplica a la memoria RAM o memoria temporal, se aplica
también al espacio en disco. Cuando una aplicación intenta escribir en disco, lo hace a través de
Windows y no tiene acceso directo al disco duro. Así, si los bloques de información en el disco duro
son por ejemplo de 4096 bytes, y el programa en cuestión escribe 4000, no tiene acceso a leer los
otros 96 bytes, que contendrán información previa a que Windows asignara ese bloque. El propio
Windows no permite acceder a esos datos viejos que están grabados en restos de bloques que
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
58 | P á g i n a
fueron sobrescritos. Pero si arrancamos el ordenador sin usar el sistema operativo y empleamos
herramientas especiales, es posible ver esas áreas y recuperar restos de información que pueden
ser muy útiles.
La única forma de evitar esta actividad, es sobrescribir los finales de bloques no utilizados
por las aplicaciones, del mismo modo que el resto de bloques que actualmente no se usan, pero
que se usaron alguna vez y contienen información borrada.
Wiping es el proceso de sobrescribir un fichero o determinados bloques del disco, en
ocasiones, múltiples veces, para asegurar su borrado total.
Para hacer esto, que ya no es un borrado completo, se utilizan herramientas que
sobrescriben ficheros o todo el espacio vacío de un disco duro. Sin embargo, si se intenta hacer con
el sistema operativo encendido, y sobre todo cuando intentamos sobrescribir bloques del disco
parcialmente ocupados por el sistema operativo, éste se puede desestabilizar, lo que hace
aconsejable hacerlo cuando no está activo.
Borrar un bloque que está parcialmente ocupado es sencillo. Supongamos el caso anterior,
donde el bloque contiene 4096 caracteres, pero los datos solo ocupan 4000. El programa de
borrado o wiping leerá el bloque de 4000 caracteres, borrará los 4096 caracteres y volverá a
escribir los 4000. Sin embargo si los bloques que borramos están ocupados parcialmente por el
sistema operativo, el sistema puede detectar esta actividad como sospechosa y puede intentar
bloquear este mecanismo. De nuevo, es aconsejable hacerlo sin que el sistema operativo esté
activo.
La forma más cómoda de garantizar que podremos borrar todos los datos de un disco tanto
en áreas libres, como ocupadas por archivos que ya no queremos conservar, es dedicar una parte
del mismo a crear una unidad virtual cifrada o una partición de datos cifrada, que posteriormente,
cuando deje de usarse puede ser eliminada como si se tratara de un gran fichero. Naturalmente, al
borrarla de manera tradicional podría ser recuperada si antes de destruirla no hacemos un proceso
de wiping. Pero aunque pudiera recuperarse, y al estar toda la información cifrada, de nada serviría
hacerlo.
Es por eso que en nuestras máquinas deberíamos tener unas unidades dedicadas en
exclusiva a los datos, que deberían estar cifradas y separadas de la partición o disco donde están las
aplicaciones, el sistema operativo o los ficheros de swap.
En definitiva, y simplificando la cuestión: De vez en cuando deberíamos programar nuestro
PC para que todo el espacio del disco duro que está vacío sea sobrescrito, con la intención de que
cualquier cosa que hubiera en él no pudiera ser recuperada por si fuera información confidencial.
Es posible que no podamos garantizar al 100% que hemos borrado todo aquello que pueda ser
considerado confidencial, por eso, es una buena idea utilizar alguna herramienta cada cierto
tiempo, que permita arrancar el ordenador sin emplear el sistema operativo del disco duro para
hacer la misma tarea de manera más eficaz y con más garantías.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
59 | P á g i n a
Sin embargo, hacer esto, solamente palía el problema de que muchas aplicaciones generan
archivos temporales por el disco duro y el hecho de que almacenamos los datos o documentos
importantes sin ninguna seguridad y en cualquier lugar del disco. Eso se puede evitar si utilizamos
técnicas de cifrado, generando unidades virtuales encriptadas que contendrán todos nuestros
documentos, lo cual garantiza que ni recuperándolos, puedan ser leídos o entendidos.
Si deseas leer más acerca de por qué es posible recuperar información que ha sido
sobrescrita y las causas teóricas puedes leer el artículo de Peter Guttman en
http://www.cs.auckland.ac.nz/~pgut001/pubs/secure_del.html.
También podemos leer este artículo sobre la persistencia de los datos y sus resistencia a
desaparecer en la Wikipedia: http://es.wikipedia.org/wiki/Persistencia_de_datos.
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
60 | P á g i n a
Bibliografía
Riesgos para tu información
Tendencias 2010: la madurez del crimeware
http://www.eset-la.com/pdf/prensa/informe/tendencias_2010.pdf
Internet como plataforma de infección.
http://www.eset-la.com/pdf/prensa/informe/tendencias_2009.pdf
Estado de la cyberseguridad en 2015 (U-Tad)
https://www.u-tad.com/pdfs/resumen-ejecutivo-ciberseguridad-2015-u_tad.pdf
Botnets
http://hipertextual.com/2011/06/tld4-la-botnet-indestructible
http://www.elmundo.es/espana/2015/04/14/552c00e7268e3e11278b456c.html
https://blog.kaspersky.es/simda-botnet-check/5781/
http://www.welivesecurity.com/la-es/2015/02/27/desmantelan-botnet-ramnit-fbi-sigue-
zeus/
http://www.welivesecurity.com/la-es/2014/10/29/top-5-botnets-zombi/
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
61 | P á g i n a
Programas recomendados
Eliminación de temporales
Temp File Cleaner:
https://addpcs.com/software/tfc
Moo0 Disk Cleaner:
http://www.moo0.com/?top=http://www.moo0.com/software/DiskCleaner/
Ccleaner:
http://www.piriform.com/ccleaner
http://www.filehippo.com/es/download_ccleaner
Bleachvit:
http://bleachbit.sourceforge.net/
Wise Disk Cleaner Free:
http://www.wisecleaner.com/wise-disk-cleaner.html
Internet Privacy Eraser:
http://www.cybertronsoft.com/download/
Privacy Mantra:
http://www.codeode.com/privacymantra.html
Herramientas de búsqueda, localización y ocupación de disco.
Tree Size:
http://www.jam-software.com/treesize_free/
Windirstat:
http://windirstat.info/
RidNacs:
http://www.splashsoft.de/
SpaceSniffer:
http://www.uderzo.it/main_products/space_sniffer/features.html
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
62 | P á g i n a
Localización de Duplicados
Easy Duplicate File Finder:
http://www.easyduplicatefinder.com/download.html
Primitive Duplicate Finder:
http://www.primitivezone.com/primitive-duplicate-finder.html
Duplicate Files Finder:
http://doubles.sourceforge.net/
Duplicate Cleaner:
http://www.digitalvolcano.co.uk/content/duplicate-cleaner
Double Killer:
http://www.bigbangenterprises.de/en/doublekiller/
AllDup:
http://www.alldup.info/
Herramientas de Indización / Indexación
DocFetcher:
http://docfetcher.sourceforge.net/en/index.html
Copernic Desktop Search:
http://www.copernic.com/en/products/desktop-search/
Google Desktop:
http://desktop.google.com/es/
Insight Desktop Search:
http://www.insightdesktopsearch.com/
Herramientas para acelerar las copias
Teracopy:
http://www.codesector.com/teracopy.php
CopyHandler:
http://www.copyhandler.com/
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
63 | P á g i n a
Herramientas de sincronización
FreeFileSync:
http://freefilesync.sourceforge.net/
AllWaySync:
http://allwaysync.com/
SyncBack:
http://www.2brightsparks.com/syncback/syncback-hub.html
MS SyncToy:
http://www.microsoft.com/downloads/en/details.aspx?familyid=C26EFA36-98E0-4EE9-
A7C5-98D0592D8C52&displaylang=en
Directory Synchronize Pro:
http://www.dirsyncpro.org/
Generar contraseñas
https://identitysafe.norton.com/es/password-generator
http://passcreator.com/sp
http://passwordsgenerator.net/
https://www.random.org/passwords/
https://strongpasswordgenerator.com/
Medir la fortaleza de una contraseña
Password Meter:
http://www.passwordmeter.com/
En español: http://password.es/comprobador/
o http://www.segu-info.com.ar/proteccion/fortaleza_clave.htm
How Secure is my password?
http://howsecureismypassword.net/
YAPM - Yet Another Password Meter:
http://www.yetanotherpasswordmeter.com/
Javascript Password Strength Meter:
http://www.geekwisdom.com/dyn/passwdmeter
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
64 | P á g i n a
Contraseñas basadas en clave maestra
Password Chart:
http://www.passwordchart.com/
Password Maker:
http://passwordmaker.org/
http://passwordmaker.org/passwordmaker.html
Almacenes de claves secretas protegidos por password
Password Safe:
http://passwordsafe.sourceforge.net/
KeePass:
http://keepass.sourceforge.net/
Editores de texto cifrados
Steganos Locknote:
https://www.steganos.com/us/products/for-free/locknote/overview/
Herramientas de cifrado de archivos
Axcrypt
http://axcrypt.sourceforge.net/
http://www.axantum.com/
Kryptel:
http://www.kryptel.com/products/freesoftware.php
Encrypt Files:
http://www.encryptfiles.net/
Challenger:
http://www.encryption-software.de/challenger/en/index.html
Paranoia File Encryption:
http://www.paranoiaworks.mobi/sse/about.html
Herramientas de cifrado en la Nube
http://www.securitybydefault.com/2015/09/cifrado-de-archivos-en-la-nube.html
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
65 | P á g i n a
Herramientas de cifrado de unidades de disco
TrueCrypt:
http://truecrypt.sourceforge.net/downloads.php
http://www.truecrypt.org/
VeraCrypt
https://veracrypt.codeplex.com/
Bestcrypt:
http://www.jetico.com/
http://www.jetico.com/bcarchive.htm
Cryptainer LE:
http://www.cypherix.co.uk/cryptainerle/
CryptoExpert 2011 Lite:
http://www.cryptoexpert.com/lite/
FreeOTFE:
http://www.freeotfe.org/
http://www.sdean12.org/
http://sourceforge.net/projects/freeotfe.mirror/
Dekart Private Disk Light:
http://www.dekart.com/products/encryption/private_disk_light/
Herramientas de borrado de archivos y carpetas
AxCrypt
http://axcrypt.sourceforge.net/
http://www.axantum.com/
Free Eraser:
http://www.freeraser.com/
Blank and Secure:
http://www.softwareok.com/?seite=Microsoft/BlankAndSecure
Cylog Cybershredder:
http://www.cylog.org/utilities/cybershredder.jsp
Moo0 File Shredder:
http://www.moo0.com/software/FileShredder/#FileShredder
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
66 | P á g i n a
Encrypt Files:
http://www.encryptfiles.net/
Sdelete de MS:
http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx
Herramientas de borrado de espacio libre
Eraser:
http://www.tolvanen.com/eraser/
http://eraser.heidi.ie/
http://sourceforge.net/projects/eraser/
http://portableapps.com/apps/utilities/eraser_portable
Ccleaner
http://www.piriform.com/ccleaner
http://www.filehippo.com/es/download_ccleaner
Sdelete de MS:
http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx
Disk Redactor:
http://www.cezeo.com/products/disk-redactor/
Prevent Restore:
http://privacyroot.com/programs/info/spanish/wfds.html
Cursoprácticoonlinedeprotección,privacidadyseguridaddelainformación(COPPS)
67 | P á g i n a
Borrado completo de discos duros
DBAN:
http://www.dban.org/download
http://www.hirensbootcd.org/download/
http://sourceforge.net/projects/dban/
Active Kill Disk:
http://www.killdisk.com/
Sdelete de MS:
http://technet.microsoft.com/en-us/sysinternals/bb897443.aspx
Eraser:
http://www.tolvanen.com/eraser/
http://eraser.heidi.ie/
http://sourceforge.net/projects/eraser/
http://portableapps.com/apps/utilities/eraser_portable
Disk Wipe:
http://www.diskwipe.org/
HardDrive Eraser:
http://www.harddriveeraser.org/