lunes, 10 de febrero de 2020

Programación estructurada

Lenguajes, compiladores e intérpretes.

  •  Lenguajes de bajo nivel y de alto nivel 
Un programa es una secuencia de instrucciones. Un lenguaje de programación se conoce como algoritmo o secuencia de pasos para resolver un problema.
Hay dos tipos de lenguaje de progamación:

-Bajo nivel: parecido al código máquina (ceros y unos), difícil de entender.
-Alto nivel: lenguaje parecido al de los humanos, fácil de entender.

  • Compiladores e intérpretes
Los compiladores son las herramientas encargadas de convertir nuestro programa escrito en lenguaje de alto nivel(=programa fuente) a código máquina, a través de lo cual se obtiene un programa ejecutable.

Los intérpretes son otro tipo de traductor, pero éstos no crean ningún programa ejecutable capaz de funcionar por sí mismo.

Por lo tanto, un programa interpretado comenzará a funcionar antes que un programa compilado (pues no es necesario traducir todo el programa para empezar), pero será más lento en los programas de cálculo intenso (porque cada orden se tiene que traducir tantas veces como se ejecute).

  • Pseudocódigo 
A pesar de quje los lenguajes de alto nivel se asemejan al lenguaje natural que los seres humanos empleamos para hablar, es habitual no usar ningún lenguaje de programación concreto cuando queremos plantear inicialmente los pasos necesarios para resolver un problema , sino emplear un lenguaje de programación ficticio , no tan escrito , en muchos casos escrito incluso en lenguaje castellano. Este lenjuaje recibe el nombre de pseudocódigo.

ej: Pedir número 1
     Pedir número 2
     si número 2 es distinto de 0
     Escribir "su división es", número 1/ número 2
     Si no
     Escribir "no se puede dividir entre cero"

martes, 4 de febrero de 2020

Esquema.UD4



1. La seguridad de la información

-Confidencialidad
-Integridad
-Disponibilidad
-Autentificación
-Autorización
-Cifrado
-No repudio
-Vulnerabilidad
-Seguridad de la información

2. Amenazas a la seguridad

-Tipos de amenazas:

Humanas 

·Ataques pasivos: Usuarios con conociminetos básicos
Hackers

·Ataques activos: Antiguos empleados de una organización
Crackers y otros atacantes


Lógicas 

·Software malicioso
·Vulnerabilidades del software

Físicas

·Fallos en los dispositivos
·Accidentes
·Catástrofes Naturales

-Conductas a la seguridad:

·Activa:

-Control de acceso
-Encriptación
-Software de seguridad informática
-Firmas y certificados digitales
-Protocolos seguros

·Pasiva:

-Herramientas delimpieza
-Copias de seguridad
-Sistemas de alimentación ininterrumpida
-Dispositivos NAS
-Sistemas redundantes

 
3. Malware

-Tipos de Malware:

·Virus
·Gusano
·Troyano
·Spyware
·Adware
·Ransomware
·Rogue
·Rootkit


-Otros tipos:

·Phishing
·Pharming
·Spam
·Hoax

4.Ataques a los sistemas informáticos:

-Tipos de ataques

·Interrupción
·Intercepción 
·Modifiación
·Suplantación

-Ingienería social

-Ataques remotos

·Inyección de código
·Escaneo de puertos
·Denegación de servico
·Escuchas de red
·Spooting
·Fuerza bruta
·Elevación de privilegios

5. Protección contra el malware

-Políticas de seguridad
-Antivirus

6. Cifrado de la información 

-Criptografía , Criptología y Criptoanálisis

-Tipos de criptología:

·Simétrica
·Asimétrica
·Pública

7.Firma eléctronica y certificado digital

La firma electrónica 
Certificado digital
Autroridades de certificación

8.Navegación segura:

-Buenas prácticas de navegación ...
-Navegación privada
-Navegación anónima
-Navegación Proxy

9.Privacidad de la información:

-Amenazas a la privacidad:
-Antiespías

10. Protección de las conexiones en red

-Cortafuegos
-Red privada virtual
-Certificados SSL/TLS de servidor web y HTTPS


domingo, 2 de febrero de 2020

Seguridad en las comunicaciones

Las redes inalámbricas ofrecen soluciones para compartir información sin hacer uso de cables , posibilitando la trtansferencia de datos.Los másutilizados son Bluetooth y Wifi.
  • Seguridad en Bluetooth:
Bluetooth es la especificaciób que define un estándar global de comunicaciones inalámbricas para redes de área personal y que permite la transmisión de voz y de datos entre diferentes equipos por medio de un enlace por radiofrecuencia en entornos de comunicaciones móviles.
Tiene un alcance de 10 metros. Algunos de los ataques que se realizan por medio de estas comunicaciones son:

-Bluejacking: consiste en el envío de spam al usuario por medio del intercambio con este de una vCard, de una nota o de un contacto en cuyo nombre aparezca el mensaje de spam
-Bluesnarfing: aprovecha las vulnerabilidades del protocolo para sustraer información del dispositivo atacado.
-Bluebugging:utiliza técnicas de ingienería social para que la víctima acepte una conexión inicial para infectar el dispositivo con malware de control remoto.

  •  Seguridad en Wifi
 utilizan una tecnología inalá,brica que realiza la conexión entre dispositivos situados en un área relativamente pequeña a través de ondas electromágneticas .La señal suele tener un alcance de 100 metros, aunque cualquier ataque podría captar la señal a varios kms.
Para mantener la seguridad de red wifi se toman las siguientes medidas:

-Personalizar la contraseña de acceso: suelen ser muy vulnerables y se averiguan rapidamente
-Cambiar el SSID: es el identificador con el que se etiqueta la red inalámbrica para que cada usuario pueda localizarla
-Revisar el cifrado:es necesario utilizar estándares de cifrado como WPA2 para que nopueda ser interceptada tan facilmente.
-Desactivar el acceso por WPS: facilita la configuración de red segura con WPA2 a sus usuarios.
-Filtrar las MAC: las direcciones MAC son establecidas por el fabricante y únicas para cada dispositivo.
-Actualizar el firmware:  es el software que controla los circuitos de los dispositivos eléctronicos.
-Comprobar el historial de actividad: la actividad de router puede desvelar información sobre posibles intrusiones.
-Utilizar software de auditoría : para detectar sus posibles vulnerabilidades.















viernes, 31 de enero de 2020

Protección de las conexiones en red

  • Cortafuegos
También denominado "firewall", es un dispositivo hardware o software cuya finalidad es controlar la comunicación entre un equipo y la red, por lo que se ha convertido en una de las principales defensas contra ataques informáticos y en una pieza clave para bloquear la salida de información del ordenador a Internet.

Todos los mensajes que entran o salen por el cortafuegos son examinaods , de modo que aquellos que no cumplen los criterios de seguridad especificados son bloqueados, con el próposito de evitar los ataques de intrusos , los accesos de empleados a sitios no autorizados , la descarga de software dañino o que los equipos infectados de malware envíen datos sin autorización fuera de la red.
  



  • Redes privadas virtuales
Son conexiones punto apunto a ravés de una red privada o pública insegura , como Internet. Los clientes usan protocolos especiales basados en TCP/IP, para realizar conexiones con una red privada y una vez que el servidor VPN autentifica al usuario, se establece una conexión cifrada. Existen dos tipos de conexiones:

-VPN de acceso remoto: se utilizan par que los usuarios  tengan acceso a un servidor de una red privada con la infraestructura proporcionada por una red pública. 

-VPN de sitio a sitio: permiten a las organizaciones conectar redes a través de Internet utilizando comunicaciones entre ellas.

  • Certificados SSL/TLS de servidor web y HTTPS
El SSL es un protocolo criptográfico desarrollado por Nestcape hasta la versión 3.0, cuando fue estandarizado y pasó a denominarse TLS.
Dichos estándares se utilizan para emitir certificados de sitios web , por lo que son una pieza fundamental en la seguridad , ya que grantizan la integridad  y la confidencialidad de las comunicaciones. 
Cuando se utiliza el cifrado SSL/TLS junto al protocolo de navegación web HTTP, se crea un canal cifrado seguro denominado "HTTPS".Etse canal utiliza una clave de 128 bits de longitud,conocida únicamente por el dispositivo conectado y por el servidor que facilita la conexión , de modo que encripta los datos convirtiéndolo en un medio seguro.
 

















miércoles, 29 de enero de 2020

Privacidad de la información

Se considera información privada aquella información protegida por la LOPD o aquella que otros usuarios o entidades no desean que sea conocida.
  • Amenazas a la privacidad
Algunas de ellas son las siguientes:

-Sistemas operativos: la mayoría de dispositivos que se conectan a Internet utilizan un sistema opertativo que, para funcionar, reúne la información confidencial del usuario, como sus datos de identificación biométrica, sus idioma, su ubicación, sus búsquedas habituales...Los atacantes podrían aproovechar alguna vulnerabilidad en ese software para obtener todos estos datos.

-Contraseñas: el método más extendido para la identificación de los usuarios es el uso de contraseñas .Para evitar que otros usuarios consigan apoderarse de esta información secreta, es importante utilizar autentificaciones biométricas o en su defecto, generar contraseñas fuertes con distintos tipos de caracteres y con una longitud mínima de ocho caracteres 

-Registro de visitas web: cada vez que se accede a una página web, el navegador proporciona datos sobre el navegador .Estos datos pueden ser utilizados fraudulentamente para obtener información de los usuarios y lanzar ciberataques .

-Sesiones del navegador: algunos navegadores permiten gestionar el historial o los marcadores desde cualquier lugar 

-Cookies: algunos sitios web utilizan cookies para obtener información acerca de los hábitos de navegación del usuario o sus datos personales , para realizar seguimientos de compras el línea ,etc. En la mayoría de los casos esta información se utiliza para fines publicitarios, aunque en otras ocasiones las cookies pueden ser manipuladas con intenciones fraudulentas 

-Formularios: la web 2.0 ofrece multitud de servicios online , que, en la mayoría de casos, requieren que el usuario se registre a través de un formulario . En caso de contener campos con información confidencial , es necesario verificar la legitimidad del sitio .Una buena estrategia es corroborar el dominio y el uso del protocolo HTTPS.

-Redes sociales: las publicaciones en redes sociales, como instagram,facebook....,esconden más peligros de lo que la mayoría de usuarios sospechan. Para los ciberataques , las redes sociales constituyen un mñetodo sencillo y rápido con el que acceder a todo tipo de información personal .

-Google: la principal fuente de ingresos de Google está relacionada con la publicidad adaptada a los gustos y necesidades del usuario.


  • Antiespías
El espionaje se define como la obtención encubierta de datos o de información confidencial.
Los programas espías o spyware se introducen en los dispositivos en forma de pequeñas aplicaciones que recopilan información del sistema  y de los usuarios para enviarla a los ciberataques.
 Los programas antiespías funcionan de manera similar a los antivirus , a saber: comparan los archivos analizados con una base de datos software  espía.

  • Borrar archivos de forma segura 
Cuando se elimina un archivo de la papelera es posible recuperarlo si se utiliza el software adecuado.
Esto compromete la privacidad cuando el usuario quiere eliminar archivos sin que nadie pueda tener acceso a ellos y por ello tambien existen programas para eliminar la información de forma segura para que sean irrecuperables

lunes, 27 de enero de 2020

Navegación segura

  • Buenas prácticas de navegación segura
El uso adecuado del navegador, de las herramientas de seguridad y del sentido común son las mejores armas para no convertirse en víctima de ciberataques, Algunas pautas son:

Configurar el navegador adecuadamente: el navegador permite configurar diferentes niveles de seguridad, lo que posibilita usar filtros contra la suplantación de identidad, bloquear elementos emergentes y activar el control parental. Además, es recomendable eliminar el historial y la memoria caché.
No acceder a sitios web de dudosa reputación y evitar enlaces sospechosos: los vínculos contenidos en páginas web, mensajes de correo electrónico o mensajería instantánea pueden direccionar a las víctimas a sitios web maliciosos.
Aceptar únicamente las cookies deseadas: las cookies son archivos con meta datos de una visita: identificadores de sesión, procedencia de la visita. duración de ella, ...
Proteger los datos personales: no se deben facilitar datos personales en las páginas que no sean de absoluta confianza y que no estén bajo protocolo seguro (HTTPS).
Revisar el correo electrónico: utilizarlo con cautela, sospechando de los mensajes no esperados, es recomendable activar la detección de spam y revisarla.
Actualizar el sistema operativo y sus aplicaciones: es recomendable configurar las actualizaciones automáticas del equipo.

  •  Navegación privada
Es una medida de privacidad para que el navegador no almacene la información que se genera en relación con la navegación. Es recomendable su uso al compartir el equipo con otra personas. Su uso permite alejar a curiosos, pero no a atacantes expertos. Para activarla, hay que utilizar la opción nueva ventana de incógnito, navegación privada o navegación inPrivative.

  •  Proteger la privacidad en la red con un proxy
Los servicios proxy actúan como intermediarios entre los equipos de los usuarios y los sitios web que visitan. De este modo las páginas visitadas solo pueden captar datos del proxy. Algunos ejemplos son Anonymouse o hide.me.
Funcionan correctamente para buscar información pero lentos para acceder a contenidos myltimedia o para descargar ficheros.

  •  Navegación anónima
Evita el seguimiento de sitios web que intentan obtener información de los usuarios y mantener el anonimato en comunicaciones que requieren la máxima privacidad. Estas redes anónimas están diseñadas para proteger la privacidad de los internautas frente a las amenazas de la red pero estos quedan registrados en los servidores anónimos igual que los operadores pueden identificar cualquier llamada oculta.En caso, de que un malhechor utilice las redes para cometer un delito, este puede ser identificado por las autoridades con la misma facilidad que con un navegador tradicional.
Un ejemplo de navegador anónimo es Tor. Otra opción es instalar complementos de navegación anónima como anonymaoX.

viernes, 24 de enero de 2020

Firma electrónica y certificado digital

  • La firma electrónica 
Se define como el conjunto de datos asociados a un documento welectrónico que permite realizar las siguientes acciones:

-Identificar al firmante de forma inequívoca. Requiere el uso de una clave privada que únicamente conoce el firmante

-Asegurar la integridad del documento firmado .Proporciona mecanismos para comprobar que el documento  firmado es exactamente el mismo que el original y que no ha sufrido alteración ni manipulación

-No repudio. Certifica que los datos utilizados por el firmante para realizar la firma son únicos y exclusivos, y por lo tanto , no puede argüir a posteriori que no ha firmado el documento en cuestión.

Al firmar digitalmente un documento electrónico , se le confiere una validez jurídica equivalente a la que proporciona la firma manuscrita , con la ventaja de que este procedimiento no requiere de la presencia física del firmante , y además no se puede falsificar. Este documento debe conservarse , y cualquier impresión debe contener un código seguro de verificación (CSV) que permita contrastar la copia impresa con el original electrónico.

1.Firma de documentos electrónicos

El firmante genera, mediante una función hash , un resumen que es utilizado como huella digital del mensaje. El resultado que se obtiene de este resumen , que se cifra con su clave privada, se denomina "firma digital" y se enviará adjunta al mensaje original 
Cualquier receptor del mensaje puede comprobar su autoría descifrando la dirma digital con la clave pública del firmante, lo que dará como resultado el resumen del mensaje.
Para comprobar que el contenido no ha sido modificado desde su creación , se aplica la función hash al documento original por medio de la comprobación del resultado obtenido con el resumen cifrado que se ha recibido. Si ambos coinciden , el documento queda verificado ; en caso contario, se considera que el documento es erróneo o ha sido modificado.

2.¿Cómo se firma un documento?

Para realizar la firma electrónica de un documento, se pueden seguir dos métodos:

-Utilizar una aplicación en el dispositivo. Son aplicaciones de firma que se descargan en el equipo.Existen programas cotidianos, como Adibe Acrobat o Microsoft Office Word , que permite firmar documentos, aunque es conveniente recurrir a aplicaciones ofrecidas por las Administraciones públicas, como Autofirma, eCofirma y @firma.

-Firmar directamente en Internet. Esta opción se utiliza habitualmente al firmar formularios o solicitudes, por ejemplo, en relación con las Administraciones Públicas. El usuario también puede firmar sus propios documentos en Internet a través de del servicio ofrecido en el d¡sitio oficial de VALIDe.


  • El certificado digital
Es un documento electrónico ,expedido por una autoridad de certificación, cuya misión es validar y certificar que una firma electrónica se corresponde con una persona , con una empresa o con un organismo público.Contiene la información necesaria para firmar electrónicamente e identificar a su propietario con sus datos 

El certificado digital identifica a una persona o entidad con dos claves: una pública y otra privada, de modo que los datos cifrados con una sola se pueden descifrar con la otra . Se diferencian en la clave privada que está pensada para estar siempre bajo el control del firmante y, en cambio la pública se puede repartir o enviar a otros usuarios.

1. Autoridades de certificación.

Son aquellas instituciones de confianza responsables de emitir y revocar los certificados digitales utilizados en la firma electrónica, ya que, de otro modo. no contarían con las garantías de seguridad para los que han sido diseñadas.