Unidad 1.

Conceptos bsicos de la seguridad informtica

t
Impacto: la empresa podra llegar a la quiebra, puesto

que no dispone de datos de clientes ni de proveedores,
ni tampoco de las facturas ya realizadas.
t
Vulnerabilidad: se genera por el hecho de no tener instalado un antivirus.

Unidad 1. Conceptos
bsicos de la seguridad
informtica

En consecuencia, puesto que el impacto es mayor, el riesgo

aumenta.

Materiales y recursos
Para llevar a cabo las actividades y ejercicios propuestos se
necesita:

Cuando el impacto se incrementa, aunque la vulnerabilidad

sea la misma, existe ms riesgo. Por ejemplo, aunque nuestro porttil personal y el ordenador que controla el piloto
automtico de un avin tengan la misma vulnerabilidad, el
riesgo que est corriendo la empresa de aviacin es mucho
mayor que la nuestra.

t
0SEFOBEPS
DPO
BDDFTP
B
*OUFSOFU
t
-QJ[
Z
QBQFM

Actividades

3. Analiza si aumenta o disminuye el riesgo en caso de

que se instale un cortafuegos y se mantenga un antivirus actualizado en el porttil del director de SiTour.

1. Asocia los mecanismos con los objetivos de la seguridad informtica.

Segn se ha estudiado en la unidad, los objetivos de la seguridad informtica son cuatro: confidencialidad, integridad,
disponibilidad y no repudio. Existen numerosos mecanismos
para conseguir estos objetivos, entre los que destacan las
leyes de proteccin de datos, la autenticacin, la autorizacin, la encriptacin, etctera. En la siguiente tabla se relacionan los mecanismos con los objetivos correspondientes.
Mecanismos

Si se dispone de un antivirus actualizado y de un cortafuegos, las vulnerabilidades disminuyen, por lo que el riesgo
es menor.
Es decir, cuanto menos vulnerable sea el equipo, menor
riesgo habr.
4. Supn que en el ordenador porttil con cmara web
integrada que tienes en tu habitacin, no tiene cortafuegos activo, no hay instalado un antivirus y lo tienes
siempre conectado a Internet. Un desconocido toma el
control de tu porttil y te das cuenta porque te encuentras la cmara web encendida y t no la has conectado.

Objetivos

Autenticacin

No repudio

Autorizacin

Condencialidad

Auditora

Disponibilidad

Encriptacin

Condencialidad e integridad

Copias de seguridad

Disponibilidad

Imgenes de respaldo

Disponibilidad

Antivirus

Integridad y disponibilidad

Cortafuegos

Integridad

Servidores proxy

Integridad

Firma electrnica
y certicados

No repudio y condencialidad

LOPD

Condencialidad

Analiza activos, vulnerabilidades y riesgos, y detalla

cules podran ser los daos producidos y el impacto
de los mismos.
t
Activos: el porttil, as como los programas y datos que
hay en l.
t
Vulnerabilidades: el hecho de tener conectado el ordeOBEPS
B
*OUFSOFU
Z
TJO
EJTQPOFS
EF
BOUJWJSVT
OJ
DPSUBGVFgos supone una vulnerabilidad para el equipo.
t
Daos: el atacante desconocido podra, por ejemplo, eliminar cualquier dato del disco duro o realizar operacioOFT
JMFHBMFT
EFTEF
UV
PSEFOBEPS
5BNCJO
QPESB
HSBCBS

con la cmara lo que ocurre en tu habitacin y publicarlo
EFTQVT
FO
*OUFSOFU
t
Impacto: es muy alto, ya que las consecuencias pueden
ser importantes.
t
Riesgos: tambin son altos, ya que el equipo es muy
vulnerable y el impacto muy alto.

Tabla 1.1. Relacin de mecanismos y objetivos.

2. Analiza si aumenta o disminuye el riesgo en caso

de que el dao sufrido por SiTour sea, adems de la
prdida de datos de los clientes, la prdida de facturas
y datos de proveedores. Identifica previamente activos,
daos, impactos y vulnerabilidades.

5. Imagina ahora que la persona que ha tomado el control de tu ordenador no hace nada en tu ordenador y t
no te das cuenta de esta situacin. Un da te dejas conectado tu DNI electrnico en el lector del ordenador.

&O
DBTP
EF
RVF
MB
FNQSFTB
4J5PVS
UBNCJO
UVWJFSB
MPT
EBUPT

de las facturas y de los proveedores (adems de los datos de
los clientes) solamente en el porttil del director:
t

Activos: los datos de los clientes y proveedores, el equipo porttil y las facturas.
t
Daos: la prdida de los datos de facturas de proveedores y clientes.
11

Analiza los posibles riesgos y el impacto de los mismos.

t
Impacto:
FM
BUBDBOUF
QPESB
mSNBS
PQFSBDJPOFT
FO
*OUFSnet con tu nombre. Podra, por ejemplo, rmar contratos,
acceder a datos bancarios o solicitar tu vida laboral. Para
ello, tambin tendra que conocer tu contrasea, pero
con un poco de tiempo, empeo y conocimientos podra
conseguirla.

Unidad 1. Conceptos bsicos de la seguridad informtica

QBSB
8JOEPXT
91
UFOESBNPT
FTUB
WVMOFSBCJMJEBE
FO
OVFTUSP

sistema para siempre.

t
Riesgos: en este caso el impacto de los daos producidos

es mucho mayor y, aunque la vulnerabilidad sea la misma, esto signica que el riesgo que estamos corriendo es
mucho mayor.

8. Analiza el artculo del primer apartado de la unidad

e identifica el tipo de atacante del que hablan y el tipo
de ataque que realiza.

6. Que clasificacin de las que hemos estudiado en la

Tabla 1.6 han dado a la vulnerabilidad que se comenta
en el Sabas que? de esta misma pgina?

En el titular de la noticia se habla de un hacker, pero despus se dice que se trata de un grupo organizado dedicado
a vulnerar la seguridad de sistemas... con el fin de utilizar la informacin para fines ilegtimos. Es decir, en realidad se trata de un cracker, porque intentar obtener algn
beneficio de sus acciones.

Para saber qu tipo de clasificacin tiene el boletn MS09027 hay que acceder a l poniendo en el navegador boletn MS09-027. En el ttulo del artculo se indica su clasificacin que, en este caso, es crtica.
7. Busca una de las ltimas vulnerabilidades publicadas
por Microsoft que afecte a uno de sus sistemas operativos.
Haz un informe con los siguientes puntos:
t
la descripcin de la vulnerabilidad,
t
B
RV
TPGUXBSF
BGFDUB
t
RV
DMBTJmDBDJO
MF
IB
EBEP
.JDSPTPGU

t

RV
JNQBDUP
QPESB
UFOFS
TJ
FO
UV
PQJOJO
BGFDUB
B

nuestros sistemas (los de clase),
t

RV
NFEJEBT
UFOFNPT
RVF
UPNBS
QBSB
DPSSFHJS
FTUB

vulnerabilidad.

En cuanto al tipo de ataque, dada la magnitud de las acciones, probablemente se hayan utilizado varios (en realidad
muchos) de los tipos explicados en la unidad, pero en el
texto no se detalla el procedimiento seguido para llevarlo
a cabo.
9. Analiza cules de las pautas no cumple el sistema
que tienes en tu casa.
Los alumnos deben analizar las circunstancias en que se
encuentran los ordenadores de sus casas y comprobar cules, de las recomendaciones explicadas, cumplen.

Cada alumno puede buscar una vulnerabilidad diferente.

Despus se puede hacer una puesta en comn en la que
cada alumno haga un resumen y una exposicin de la vulnerabilidad elegida.

Se podra aadir una segunda parte a esta actividad que

consistira en analizar el coste (en esfuerzo de instalacin y
configuracin, econmico, de conocimientos, etctera) que
supondra cumplir las pautas que an no se han activado.

5PNBSFNPT
DPNP
FKFNQMP
FM
CPMFUO
EF
TFHVSJEBE
EF
.JDSPsoft MS09-001, en el que se define una actualizacin de

seguridad que afecta al mdulo SMB de varias versiones de
Windows y que permite a un atacante ejecutar un cdigo
dentro del ordenador atacado y, en consecuencia, admite la
instalacin de programas, creacin de usuarios, etctera.

10. Dadas las siguientes situaciones, identifica el tipo

de infraccin que SiTour est cometiendo. Para ello consulta el artculo 43 de la LOPD:

t
4J5PVS
SFBMJ[B
FM
FOWP
EF
PGFSUBT
Z
QSPNPDJPOFT
TJO

solicitar la creacin del chero de datos de sus clientes.
t

4J5PVS
OP
FTU
SFBMJ[BOEP
DPQJBT
EF
TFHVSJEBE
EFM
mchero de datos.

t
4J5PVS
SFBMJ[B
MB
SFDPHJEB
EF
EBUPT
B
TVT
DMJFOUFT
TJO

informarles de la nalidad del chero.

El protocolo SMB lo utilizan los equipos de Microsoft para

compartir archivos e impresoras en la red.
t
$MBTJmDBDJO
crtica.
t
"GFDUB
B Windows Server 2000, 2003 y 2008, Windows
7JTUB
Z
8JOEPXT
91
t
*NQBDUP
Suponiendo que nuestra red est protegida del
exterior, un usuario de la red local podra ejecutar un cdigo determinado, crearse cuentas de usuario e instalar
programas en todos los ordenadores de la red. En el caso
de un instituto esto no representara un impacto muy
alto, porque la informacin y los programas que hay en
los equipos de las aulas de un instituto no son crticos.
Sin embargo, si el instituto tuviera un servidor desde el
que gestionaran de forma centralizada las cuentas de los
usuarios, las chas de los alumnos y otros datos crticos,
sera necesario solventar esta vulnerabilidad lo antes posible, porque el impacto sera mayor (por ejemplo, un
da entero sin poder utilizar ningn ordenador del instituto).
t
.FEJEBT
B
UPNBS Microsoft recomienda a sus clientes
que apliquen inmediatamente la actualizacin.

En el artculo 44 de la LOPD se identifican los tipos de

infraccin, se especifican una serie de infracciones y se
catalogan como leves, graves o muy graves. Los alumnos
deberan investigar en el artculo e identificar si las infracDJPOFT
DPNFUJEBT
QPS
4J5PVS
FO
MPT
DBTPT
EFTDSJUPT
TPO

leves, graves o muy graves:

Se puede recordar a los alumnos la importancia del soporte

EF
.JDSPTPGU
B
VO
TJTUFNB
PQFSBUJWP
FM
41
EF
8JOEPXT
91

por ejemplo, no soluciona esta vulnerabilidad, lo que significa que si desde Microsoft hubieran retirado el soporte
12

t
&O
FM
DBTP
EF
OP
TPMJDJUBS
MB
DSFBDJO
EFM
mDIFSP
EF
EBUPT

dentro del punto 2 de infracciones leves (art. 44), en el
apartado c) se indica: no solicitar la inscripcin del chero de datos de carcter personal en el registro... cuando
no sea constitutivo de infraccin grave. Si no se cumple
ninguno de los supuestos descritos en el apartado 3, esta
situacin se clasicar como una infraccin leve.
t
&O
DVBOUP
B
OP
IBDFS
DPQJBT
EF
TFHVSJEBE
EFM
mDIFSP
EF

datos de carcter personal, como ya se ha especicado
en el Caso prctico 9, el nivel de seguridad de los datos
RVF
4J5PVS
EFTFB
SFDPHFS
FT
CTJDP
1BSB
FTUF
OJWFM
VOB

de las medidas de seguridad que hay que llevar a cabo es
realizar copias de seguridad, como mnimo una vez por
semana. En el apartado h) del punto 3 del mismo artculo se especica mantener los cheros... sin las debidas

Unidad 1. Conceptos bsicos de la seguridad informtica

condiciones de seguridad. En consecuencia, se trata de

una infraccin grave.
t
'JOBMNFOUF
QPS
SFBMJ[BS
MB
SFDPHJEB
EF
EBUPT
TJO
JOGPSNBS
B

los clientes de la nalidad, en el apartado d) del punto 2 del
artculo 44, se indica: proceder a la recogida de datos...
de los propios sin proporcionarles la informacin que seala el artculo 5... . El artculo 5 especica de qu deben ser informados los afectados. Entre esa informacin
consta el objetivo de la recogida de datos. As pues, se
trata de una infraccin leve.

3. Comprueba la seguridad de las contraseas que habitualmente utilizas en el comprobador de contraseas de

Microsoft: http://www.microsoft.com/latam/athome/
security/privacy/password_checker.mspx.
Accedemos a la pgina web indicada en el enunciado. Como
ejemplo, tomaremos una contrasea de 6 dgitos y la Escribiremos. El resultado es el que se muestra en la siguiente Figura:

11. Las infracciones de la actividad anterior tienen

asignada una sancin econmica en el artculo 45 de la
LOPD. Bscala e indica cul es en cada caso.
El artculo 45 de la LOPD especifica que las sanciones econmicas de las infracciones sern:
t
*OGSBDDJPOFT
MFWFT

B

QFTFUBT
t
*OGSBDDJPOFT
HSBWFT

B

QFTFUBT
t
*OGSBDDJPOFT
NVZ
HSBWFT

B

QFsetas.

Fig. 1.1. Comprobador de contraseas de Microsoft.

Podemos comprobar que el programa considera la contrasea poco segura.

En consecuencia, las sanciones que corresponden a las

situaciones planteadas en la actividad anterior son:

A continuacin, probaremos la seguridad de una contrasea

de trece caracteres alfanumricos, en los que se combinen
caracteres en maysculas, letras en minsculas, nmeros
y caracteres especiales. El resultado es una contrasea
segura, como ilustra la Figura 1.2.

t
1SJNFS
DBTP

B

QFTFUBT
t
4FHVOEP
DBTP

B

QFTFUBT
t
5FSDFS
DBTP

B

QFTFUBT
(Hay que tener en cuenta que la ley es anterior al euro.)

Comprueba tu aprendizaje
1. Analiza los perjuicios que puede ocasionarte la conexin a una red Wi-Fi que no pide ningn tipo de contrasea.
Al conectarnos a una red Wi-Fi sin ningn tipo de contrasea nos exponemos a que la persona que paga la conexin
nos espe. Por ejemplo, si consultramos el saldo del nuestra
cuenta bancaria en la red, el espa podra ver el nombre de
usuario y contrasea que utilizamos para acceder al banco y,
posteriormente, podra entrar en nuestra cuenta y saquearla.

Fig. 1.2. Resultado de la comprobacin de una contrasea segura.

2. Analiza la seguridad que tendran las claves formadas exclusivamente por nmeros.

4. Escribe en un papel tu nombre, apellidos, nmero

de telfono mvil, nmero fijo, fecha de nacimiento,
direccin postal, nombre de familiares y mascotas y
nombres de usuario para el equipo de tu casa, el correo electrnico y otros servicios a los que accedes por
Internet. Intercambia tu papel con el de un compaero
e intenta, haciendo combinaciones de estos datos, descubrir sus contraseas.

Si solamente se utilizan nmeros en la creacin de contraseas, la cantidad de combinaciones posibles se reduce

drsticamente y, en consecuencia, el tiempo necesario para
descifrarlas. La siguiente tabla ilustra el estudio de probabilidades y el tiempo estimado para descifrar una contrasea mediante algoritmos de fuerza bruta.
N. dgitos

Probabilidades

Muchas veces evitamos memorizar contraseas complicadas usando datos ms o menos personales (el telfono, la
fecha de nacimiento, etctera) para formar las contraseas
pero, en realidad, esto supone una grave vulnerabilidad en
la seguridad de la contrasea.

Tiempo

100

Un suspiro

10 000

Un suspiro

1 milln

Un suspiro

Mil millones

1,8 minutos

5. En esta actividad vamos a trabajar con Chrome, navegador gratuito diseado por la compaa Google. En
caso de que no lo tengas descrgatelo de Internet. Vete

Tabla 1.2. Comparativa de seguridad en contraseas numricas.

13

Unidad 1. Conceptos bsicos de la seguridad informtica

t
6UJMJ[BS
DPOUSBTFBT
t
6TP
EF
TJTUFNBT
UPMFSBOUFT
B
GBMMPT
FMFDDJO
EFM
TJTUFNB

de cheros del sistema operativo adecuado.
t
&NQMFBS
mSNBT
Z
DFSUJmDBEPT
EJHJUBMFT
t
6TBS
BOUJWJSVT
t
5FOFS
VO
DPSUBGVFHPT
BDUJWBEP
t
$POUBS
DPO
TFSWJEPSFT
QSPYZT
t
6UJMJ[BS
MJTUBT
EF
DPOUSPM
EF
BDDFTP

a la pgina de Gmail, es decir, al correo electrnico de

Google, y busca en ella el certificado que utiliza Gmail.
Debemos acceder a la pgina de Gmail y comprobar el certificado, que se encuentra cerca de la esquina derecha, representado por un candado. Si hacemos clic sobre l aparecer
el certificado (Fig. 1.3).

Lgica pasiva:
t

Realizar copias de seguridad para poder restaurar la informacin en caso de prdida.
t
Uso de conjunto de discos redundantes.
7. Indica los pasos que debemos realizar para conseguir
mejorar la seguridad informtica.
En el epgrafe 4.4 del libro del alumno (Pautas de proteccin para nuestro sistema), se dan algunas ideas para
resolver esta cuestin. Los alumnos deben indicar, como
mnimo, los puntos que se especifican en este apartado, y
pueden ampliar la respuesta con otras medidas y consejos
RVF

FODVFOUSFO
FO
MJCSPT
P
FO
*OUFSOFU

Fig. 1.3. Certicado de Gmail.

6. Rellena la siguiente tabla:

Mecanismos de Seguridad
Fsica
activa

Fsica
pasiva

Lgica
activa

Lgica
pasiva

8. Imagina que la empresa en la que eres responsable

de seguridad sufre un ataque a travs del servidor Web
utilizando una vulnerabilidad conocida. Qu medidas
tomaras?
Lo ms complejo en esta situacin es detectar cul es la
vulnerabilidad que han aprovechado los atacantes para provocar el dao.

Mecanismos de seguridad
Fsica activa:
t
&WJUBS
TJUVBS
FM
DFOUSP
EF
QSPDFTBNJFOUP
EF
EBUPT
DFSDB

de zonas donde se manejen o almacenen sustancias inamables o explosivos.
t
&WJUBS
MB
VCJDBDJO
EF
MPT
DFOUSPT
EF
DMDVMP
FO
MBT
QMBOtas bajas de los edicios, para protegerlos de la posible
entrada de aguas superciales.
t
&WJUBS
DPMPDBS
MPT
DFOUSPT
EF
DMDVMP
DFSDB
EF
MVHBSFT

con gran radiacin de seales electromagnticas, pues
pueden interferir en el correcto funcionamiento de los
equipos informticos y del cableado de red.
t
*NQFSNFBCJMJ[BS
MBT
QBSFEFT
Z
UFDIPT
EFM
$1%
Z
TFMMBS
MBT

puertas, para evitar la posible entrada de agua proveniente de las plantas superiores.
t
1SPUFHFS
MPT
DFOUSPT
EF
DMDVMP
NFEJBOUF
QVFSUBT
DPO

medidas biomtricas, cmaras de seguridad, vigilantes
jurados, etctera, para evitar la entrada de personal no
autorizado.
Fsica pasiva:
t
&M
NPCJMJBSJP
EF
MPT
DFOUSPT
EF
DMDVMP
EFCF
TFS
JHOGVHP
t
4JTUFNBT
BOUJJODFOEJPT
EFUFDUPSFT
EF
IVNP
SPDJBEPSFT
EF

gas, extintores, etctera para sofocar un incendio en el
menor tiempo posible y as evitar que se propague, ya que
esto podra ocasionar numerosas prdidas materiales.
Lgica activa:
t
$JGSBS
MB
JOGPSNBDJO
BMNBDFOBEB
FO
MPT
TPQPSUFT
QBSB

que, en caso de robo, no sea legible.
14

Una vez se ha averiguado y sabemos a qu programa pertenece, debemos acceder a la pgina web de la compaa y
comprobar que la empresa est al tanto de esta vulnerabilidad.
Como en el enunciado se nos especifica que es conocida,
debemos proceder siguiendo las indicaciones que nos facilite la compaa. Lo ms usual es que exista un parche
para solucionarlo, que simplemente tendremos que instalar
en nuestro sistema.
/P
FTU
EF
NT
SFDPSEBS
RVF
FM
BENJOJTUSBEPS
EFM
TJTtema debe estar al da de las listas de noticias en las que
las empresas publican sus propias vulnerabilidades y sus
correspondientes soluciones. En este caso, si hubiramos
instalado el parche antes del ataque, no hubiramos sido
tan vulnerables.
Por ejemplo, si utilizamos el servidor web Apache, como
responsables del departamento de seguridad deberamos
estar suscritos a su lista de correo de seguridad (security@
apache.org) y una o varias personas del departamento
deberan leer los correos, analizar si las vulnerabilidades
afectan o no a nuestro sistema y tomar medidas en caso de
que sea necesario.
De esta manera, el departamento hubiera podido conocer la
vulnerabilidad el mismo da que fue publicada por Apache.
9. Pon un ejemplo de sistema en el que los riesgos
estn asociados a impactos altos y otro ejemplo en el
que estn asociados a mayor probabilidad de vulnerabilidades.

Unidad 1. Conceptos bsicos de la seguridad informtica

da para recibir en tu correo electrnico una noticia

cada da sobre problemas de seguridad que afecten a
cualquier sistema. Elige una noticia que afecte a un
sistema que conozcas y haz un resumen del problema
de seguridad en tu cuaderno.

En general, los impactos ms altos se asocian a sistemas

de los que dependen vidas humanas, as que un ejemplo de
este tipo seran los equipos que controlan el trfico areo.
Aunque tengan un nivel de vulnerabilidad bajo su impacto
es muy alto, porque un fallo en estos equipos podra provocar, por ejemplo, un choque entre aviones.
Un caso de riesgos provocados por alta vulnerabilidad es
la prdida de datos en el hogar. Por ejemplo, si en casa
tenemos un ordenador en el que guardamos las fotos de
nuestras vacaciones y es el mismo desde el que nos conecUBNPT
TJO
BOUJWJSVT
B
*OUFSOFU
Z
BM
FNVMF
QPEFNPT
QFSEFS

las fotos si entra un virus que formatea el disco duro.

Estar suscrito a esta lista permite informarse de algunas

noticias de seguridad que afectan a los programas y sistemas operativos ms importantes.
En cuanto a la segunda parte de esta actividad, cada
alumno deber elegir una noticia de la lista que en ese
momento tenga publicada Hispasec.
Un complemento a esta actividad podra ser que un alumno
leyera su resumen y que, despus, el resto de compaeros
comentaran y discutieran la noticia.

En este caso, el impacto no es muy alto, porque solo se

perderan fotos personales. El riesgo, pues, viene provocado
fundamentalmente por la vulnerabilidad del equipo, que no
tiene instalado antivirus y es el que utilizamos para instalar
programas y abrir ficheros de dudosa procedencia (no de la
pgina oficial).

14. Busca informacin sobre las listas Robinson y averigua en qu consisten, cmo funcionan, quin puede
entrar a formar parte de ellas y cul es el procedimiento para que una persona sea incluida en ellas.

10. Busca una noticia en un peridico sobre seguridad

informtica e identifica los tipos de atacantes y los tipos de ataques. Crees que el ataque se pudo llevar a
cabo debido a una mala planificacin de la seguridad?

En la seccin Qu es? de la pgina www.listarobinson.es

se puede encontrar gran parte de la informacin solicitada.
Se trata de un servicio de exclusin publicitaria gestionado por la Federacin de Comercio Electrnico y Marketing
Directo, creado de acuerdo con la LOPD. Es, pues, una base
de datos comn en la que los ciudadanos pueden inscribirse
para ser excluidos de determinados procesos publicitarios
que lleven a cabo las empresas. Estas, antes de realizar
una campaa publicitaria dirigida a personas que no sean
sus clientes, tienen la obligacin de consultar esta base de
datos.

Para localizar una noticia sobre seguridad podemos acceder a Google noticias http://news.google.com/nwshp?hl
=es&tab=wn y buscar la palabra hacker.
Es una gran motivacin para los alumnos constatar que los
conocimientos en informtica les permiten hacer y controlar muchas cosas. Sera bueno que cada uno eligiera una
noticia diferente para que despus puedan comentar entre
todos las ms impactantes.
11. Infrmate en la pgina de Microsoft sobre la vulnerabilidad MS07-041 que afecta al servidor Web de
Microsoft Internet Information Server.
&TUB
WVMOFSBCJMJEBE
BGFDUB
B
TFSWJEPSFT
XFC
**4
*OUFSOFU

*OGPSNBUJPO
4FSWFS

W
JOTUBMBEPT
TPCSF
FM
TJTUFNB
PQFSBUJWP
8JOEPXT
91
CJUT
41
Un posible atacante podra utilizar esta vulnerabilidad para
obtener el control completo sobre la mquina afectada.
12. Busca un boletn de seguridad de Microsoft en el
que se publique una vulnerabilidad de Windows 7. Escribe en tu cuaderno un resumen, cmo ha sido clasificado, a qu sistemas afecta, si crees que nos afectara y
cmo pueden protegerse los equipos afectados de esta
vulnerabilidad.
Sera interesante que los alumnos buscaran boletines diferentes. Un ejemplo sera el MS09-056, en el que se habla de
una vulnerabilidad clasificada como importante en WinEPXT
$SZQUP"1*
RVF
QFSNJUJSB
B
VO
BUBDBOUF
PCUFOFS
FM

certificado de un usuario y suplantar su identidad. Afecta a
.JDSPTPGU
8JOEPXT

91
7JTUB
Z

Z
B
8JOEPXT
4FSWFS

2003 y 2008.
Microsoft recomienda instalar la actualizacin correspondiente para solucionar el problema.

Cualquier persona puede inscribirse en la lista, solo tiene

que rellenar un formulario en el que debe indicar sus datos
y las direcciones y medios a travs de los cuales no desea
recibir publicidad.
15. En el Caso prctico 9 vimos el procedimiento que
seguido por SiTour para almacenar y gestionar los datos
de sus clientes segn la normativa vigente. Una vez que
ha realizado todo este proceso, SiTour enva a SiCon,
una empresa de construccin con la que tiene acuerdos
comerciales, los datos de su fichero de clientes pero no
informa a estos del envo. Responde a las siguientes
preguntas:
t
Cul es el organismo que se ocupa de controlar y
multar estas infracciones?
t
{&O
RV
MFZ
TF
SFDPHFO
MBT
TBODJPOFT
B
BQMJDBS
t
{$VM
FT
MB
HSBWFEBE
EF
MB
JOGSBDDJO
RVF
FTU
DPNFtiendo?
t
{2V
NVMUB
QVFEFO
UFOFS
Nota: Es la primera vez que se sanciona a estas empresas y el volumen de datos afectados no es muy alto,
por lo que las sanciones a aplicar sern las mnimas
posibles.
t
-B
"HFODJB
EF
QSPUFDDJO
EF
EBUPT
t
&O
MB
MFZ
EF
QSPUFDDJO
EF
EBUPT
MFZ
PSHOJDB

t
&M
BQBSUBEP
C

EFM
QVOUP

EFM
BSUDVMP

TF
FTQFDJmDB

que la comunicacin o cesin de los datos de carcter

13. Accede a la pgina de Hispasec Sistemas http://

www.hispasec.com/index_html y suscrbete a Una al
15

Unidad 1. Conceptos bsicos de la seguridad informtica

personal, fuera de los casos en que estn permitidas

supone una falta muy grave. Puesto que el artculo 27
establece que en caso de cesin de datos es necesario
informar al afectado, esto supone una infraccin muy
grave.
t
-BT
TBODJPOFT
QBSB
FTUF
UJQP
EF
JOGSBDDJO
QVFEFO
WBSJBS

de 50.000.000 a 100.000.000 de pesetas. Puesto que se
especica en el ejercicio que la sancin debe ser la mnima, esta ser de 50.000.000 de pesetas.
16. Terminado este curso y con la formacin adquirida,
decides montar una empresa en Internet que se va a
dedicar a ofrecer un disco duro on-line. Necesitas de
cada usuario: nombre, apellido, telfono y direccin de

16

correo electrnico. En qu afectan estos datos a la formacin de tu empresa? Qu medidas de seguridad tendrs que tomar cuando almacenas esta informacin?
Al pedir informacin personal a los clientes, tenemos la
obligacin de solicitar la creacin de un fichero de datos de
carcter personal.
Puesto que la informacin obtenida (nombre, apellidos,
telfono y direccin de correo electrnico) no est especialmente protegida ni son datos relativos a la salud, deberemos aplicar un nivel de seguridad bsico, y las medidas
que tendremos que establecer son las mnimas (consultar
5BCMB

EFM
MJCSP
EFM
BMVNOP