CIBERSEGURIDAD PARA FUERZAS Y

CUERPOS DE SEGURIDAD
Introducción a la Ciberseguridad

1
ÍNDICE
1. INTRODUCCIÓN A LA CIBERSEGURIDAD .................................................. 3
1.1. ¿Qué es la seguridad informática? ........................................................... 3
1.2. ¿Por qué es importante la seguridad informática? .................................... 4
2. PILARES DE LA SEGURIDAD DE LA INFORMMACIÓN .............................. 5
2.1. ¿Qué es la seguridad informática? ........................................................... 5
2.2. Principios de la seguridad informática ....................................................... 5
3. AMENAZA, RIESGO Y VULNERABILIDAD ................................................... 7
3.1. Medidas de seguridad ............................................................................... 7
3.1.1. Seguridad Perimetral .................................................................................................. 8
4. AMENAZAS MÁS HABITUALES ................................................................. 10
4.1. Entrada de software malicioso (malware) ............................................... 10
4.1.1. Cómo podemos evitarlo disminuir el riesgo ............................................................. 10
4.2. Entrada de software malicioso (keylogger) ............................................. 11
4.3. Entrada de software malicioso – Stealer ................................................. 11
4.4. Robo de información confidencial ........................................................... 11
4.5. Ingeniería Social ..................................................................................... 12
4.6. Robo de credenciales de acceso ............................................................ 12
4.6.1. Seguridad de las contraseñas .................................................................................. 13
4.7. Pérdida de dispositivos móviles .............................................................. 14
4.7.1. Proteger el acceso e información en nuestros dispositivos móviles ........................ 14
4.8. Pérdida de dispositivos de almacenamiento externos............................. 15
4.9. Conexión a redes inalámbricas inseguras............................................... 15
4.10. Ser observados trabajando en sitios públicos ......................................... 15
4.11. Amenazas más habituales – enlaces ...................................................... 16

2
1. INTRODUCCIÓN A LA CIBERSEGURIDAD

1.1. ¿Qué es la seguridad informática?

Cuando se habla de seguridad informática se tiende generalmente a pensar en una
cuestión técnica cuya responsabilidad recae únicamente en los responsables
informáticos.
La seguridad informática es una cuestión que afecta a toda la sociedad. Y por ello como
integrantes de las Fuerzas y cuerpos de seguridad, es importante adquirir los
conocimientos esenciales en materia de Ciberseguridad relacionados con la persecución
de ciberdelitos, orientación a ciudadanos víctimas de los mismos, concienciación con el fin
de prevenirlos, etc.
Es importante tener en cuenta que la seguridad nunca puede garantizarse al 100%. Sin
embargo, si hay una serie de pautas y medidas que se deben tomar para disminuir la
posibilidad de vernos afectados por este tipo de amenazas.
Los usuarios suelen cuestionar por qué tienen que invertir esfuerzos en mejorar su
seguridad digital, y como fuerzas y cuerpos de seguridad debemos de poder dar respuesta
a estas preguntas.
Un aspecto que preocupa a la mayoría de usuarios y que tiene una relación directa con la
seguridad es la privacidad.
Los usuarios acostumbramos a tener almacenados en nuestros equipos fotos, vídeos,
documentos personales y cualquier otro tipo de información personal o incluso confidencial.
¿Qué sucedería si alguien pudiera acceder a todos estos datos? Si un intruso accede a tus
datos privados podrían publicarlos en Internet, hacernos chantaje para no hacerlos
públicos, borrar todos tus datos, etc.
¿Y qué sucedería si por ejemplo, entre esos datos privados, hubiera datos bancarios? Si
un intruso tuviera acceso a nuestros datos bancarios, podría robarnos, hacer operaciones
en nuestro nombre, etc. Por lo tanto, es muy importante, que como fuerzas y cuerpos de
seguridad podamos transmitir la importancia de establecer los mecanismos de seguridad
óptimos para prevenir que todo esto suceda. “Protege tu privacidad para evitar sufrir una
pérdida de dinero, un fraude o un chantaje.”
Por otro lado las empresas deben cumplir con requisitos legales, especialmente: los
relacionados con la LOPD (Ley Orgánica de Protección de Datos). Esta ley protege a los
ciudadanos contra el uso no autorizado de sus datos personales por lo que como agentes
de FCSE debemos de conocer cuáles son estos derechos y sus sanciones:
o Cumplir con la ley de protección de datos =>
¿Qué podría suceder si a una empresa le roban los datos privados de sus
clientes?
Además de una pérdida de imagen, la confianza cuesta ganarla, pero se pierde
en un momento, podría suponer una sanción grave.
Esta son las sanciones por incumplimiento de la LOPD:
* Son infracciones muy graves: Sanciones entre 300.506,25 y 601.012,21 €
* Son infracciones graves: Sanciones entre 60.101,21 y 300.506,25 €
* Son infracciones leves: Sanciones entre 601,01 y 60.101,21 €

3
 o LOPD, derechos del ciudadano =>
Derecho de información
En el momento en que se procede a la recogida de los datos personales, el
interesado debe ser informado previamente de modo expreso, preciso e
inequívoco de, entre otros, la existencia de un fichero, de la posibilidad de
ejercitar sus derechos y del responsable del tratamiento.
Derecho de acceso
El derecho de acceso permite al ciudadano conocer y obtener gratuitamente
información sobre sus datos de carácter personal sometidos a tratamiento.
Derecho de rectificación
Este derecho se caracteriza porque permite corregir errores, modificar los datos
que resulten ser inexactos o incompletos y garantizar la certeza de la información
objeto de tratamiento.
Derecho de cancelación
El derecho de cancelación permite que se supriman los datos que resulten ser
inadecuados o excesivos sin perjuicio del deber de bloqueo recogido en la LOPD.
Derecho de oposición
El derecho de oposición es el derecho del afectado a que no se lleve a cabo el
tratamiento de sus datos de carácter personal o se cese en el mismo.

1.2. ¿Por qué es importante la seguridad informática?

A todos los ciudadanos debería de preocuparles su privacidad.
Para ello deberíamos de ser precavidos para evitar que:
 Un extraño pueda acceder a nuestros mensajes, contactos o fotografías.
 Que alguien publique sin nuestro consentimiento información personal.
 Especialmente importante es proteger nuestras credenciales de acceso bancarias
o la información de nuestra tarjeta de crédito.

Es evidente que como fuerzas y cuerpos de seguridad debemos estar alerta ante estas
situaciones, ya que los ciudadanos pueden ser víctimas de un robo, un fraude o incluso un
chantaje o extorsión.
Este tipo de delitos no son nuevos, pero hoy en día los que ahora son mencionados como
“ciberdelincuentes” simplemente se aprovechan de las nuevas tecnologías como medio por
el cual cometer los delitos.

4
2. PILARES DE LA SEGURIDAD DE LA INFORMMACIÓN

2.1. ¿Qué es la seguridad informática?

Se entiende por seguridad informática al conjunto de normas que tiene como objetivo
proteger los equipos informáticos y especialmente, la información que contienen. Sus tres
pilares son:
 Necesitamos tener esta información disponible siempre que la necesitemos
(Disponibilidad).
 Accesible únicamente a las personas autorizadas para ello (Confidencialidad).
 Garantizar que nada ni nadie la haya modificado sin nuestro consentimiento
(Integridad).

Actualmente, utilizamos el término de Ciberseguridad, relacionado con la utilización de

dispositivos electrónicos, conectados permanentemente a Internet.

2.2. Principios de la seguridad informática

Para entender con claridad los conceptos anteriores (disponibilidad, confidencialidad e
integridad) podemos hacer un símil con las cartas (la información) que recibimos en
nuestro buzón de correos.
 Necesitamos poder acceder al buzón y su contenido (disponibilidad).
 ¿Tenemos la llave que abre el buzón?
 ¿Funciona la cerradura?

 Tenemos que evitar que otras personas puedan acceder a su contenido

(confidencialidad).
 ¿Hay copias de la llave?
 ¿Puede abrirse el buzón sin ella?

 Confiamos que las cartas contengan el contenido original (integridad).

 ¿Han podido acceder a las cartas y modificarlas?

Se entiende por Identificación y Autenticación los procesos en los que presentamos

alguna credencial y demostramos que somos la persona autorizada.
Se entiende por No Repudio no poder negar la autoría de una acción tras la correcta
identificación y autenticación anterior.

5
Un ejemplo cotidiano es la recepción de una “carta certificada”
 Debemos de presentar nuestro DNI al cartero (Identificación).
 Se valida nuestra identidad a través de la foto (Autenticación).
 Se firma el acuse de recibo (No repudio).

6
3. AMENAZA, RIESGO Y VULNERABILIDAD
 Se entiende por amenaza cualquier suceso del que no podemos evitar su
ocurrencia y que representa un riesgo para el sistema.
 Una vulnerabilidad es una debilidad en nuestro sistema que permite que una
amenaza puede materializarse.
 El riesgo es el resultado de la probabilidad de que una amenaza se materialice
asociado al impacto negativo que puede ocasionar.
Vamos a explicar estos conceptos con el ejemplo de una alerta meteorológica:
 La llegada de una “tormenta” (o un ciclón) es una amenaza que no podemos evitar.
 El “mapa de previsión del tiempo” fija el riesgo, es decir la probabilidad de que nos
afecte y su intensidad.
 Una vivienda en mal estado, supone una “vulnerabilidad” ya que el ciclón causará
mayores daños en este tipo de construcciones.
En el mundo informático, las vulnerabilidades son el resultado de errores en el diseño de
los programas, o en el propio dispositivo que deben de ser corregidas por los fabricantes.

3.1. Medidas de seguridad

A los procedimientos utilizados para reducir los riesgos o minimizar su impacto se les
denomina “mecanismos o medidas de seguridad”.
Se dividen en tres grandes grupos:
 Controles preventivos: eliminan o reducen la posibilidad de que las amenazas
lleguen a materializarse. Por ejemplo: un firewall o un sistema de autenticación.

 Controles de detección: permiten detectar un suceso no deseado. Por ejemplo un

IDS (Sistema de Detección de Intrusos).

 Medidas de reacción y recuperación: reducen el impacto en caso de haberse

materializado las amenazas. Por ejemplo: disponer de dispositivos redundantes
(duplicado) para poder sustituirlo en caso de un problema o recuperan un sistema
al estado más próximo previo a la ocurrencia de una amenaza. Por ejemplo:
Realizar un backup, o copia de seguridad de nuestros datos.

7
Podemos ver un ejemplo de cómo se aplican estas medidas en seguridad vial
 El buen estado de los neumáticos “Prevención”

 Los sensores de proximidad “detección”

 Los airbags “reacción”

 El control de tracción en curva “recuperación”

3.1.1. Seguridad Perimetral

En un entorno empresarial, se establece lo que se conoce como Seguridad Perimetral.
Su objetivo es proteger el acceso a nuestra red de confianza (intranet) desde el exterior
(Internet) o evitar la fugar de información desde el interior.

Entre los elementos utilizados para ello, los más empleados son:
Cortafuegos: mediante la aplicación de reglas establecen una barrera entre la red interna
y la red externa.

8
IDS o Sistema de Detección de intrusos: para detectar tráfico no deseado.

Sistemas Antivirus, Anti Spyware, Anti Malware: para detectar cualquier tipo de software
malicioso.

Sistemas de Autenticación y control de acceso: Para identificar, autenticar a las

personas autorizadas.

La seguridad perimetral se complementa con la aplicación de la seguridad en

profundidad añadiendo varias capas de seguridad que dificulten la materialización de una
amenaza.
Por ejemplo, podemos tener instalado un Antivirus Corporativo que controle la posible
descarga de malware desde el exterior (Internet) y a su vez un antivirus en cada uno de los
equipos para proteger de la entrada de virus por otros medios como un pendrive.

9
4. AMENAZAS MÁS HABITUALES
En nuestra campaña de protección a la ciudadanía el primer requisito es conocer las
amenazas más habituales relacionadas con la utilización de las nuevas tecnologías que se
producen. Podemos destacar entre ellas:
 Entrada de software malicioso (malware) a nuestro dispositivo
 Robo de información confidencial enviada por medios electrónicos
 Robo de nuestras credenciales de acceso
 Pérdida de nuestros dispositivos móviles
 Perdida de dispositivos de almacenamiento externos
 Conexión a redes inalámbricas inseguras
 Ser observados trabajando en sitios públicos
Veamos a continuación una explicación más detallada de estas amenazas.

4.1. Entrada de software malicioso (malware)

Un malware es un programa malicioso que se instala sin nuestro conocimiento en nuestro
dispositivo generalmente con el objetivo de:
 Robo de información: como los datos de nuestra tarjeta bancaria o nuestras
contraseñas de acceso.
 Extorsión: bloquear el funcionamiento de nuestro equipo o el acceso a nuestros
documentos, solicitando posteriormente el pago de una suma de dinero para
desbloquearlo.
 Formar parte de una Red Zombie: utilizar nuestro equipo para usarlo en ataques
masivos dirigidos contra otros equipos o redes.

4.1.1. Cómo podemos evitarlo disminuir el riesgo

Para reducir el riesgo de ser víctimas de este software malicioso, debemos recordar a los
ciudadanos la importancia de seguir estas normas de seguridad:
 Tener instalado y actualizado un antivirus en nuestro dispositivo.
 No abrir y menos aún ejecutar (archivos con extensión .exe, o .com) ningún archivo
adjunto incluido en correos recibidos de personas desconocidas.
 No descargar programas desde lugares no confiables como pueden ser las redes
de recursos compartidos como las redes torrent o similares.
 En el caso de dispositivos móviles, no instalar aplicaciones desde ”markets” no
oficiales.

10
 4.2. Entrada de software malicioso (keylogger)
Un ejemplo especial de software malicioso son los keyloggers.
Un keylogger es un tipo de software o un dispositivo hardware específico que se encarga
de registrar las pulsaciones que se realizan en el teclado, para posteriormente
memorizarlas en un fichero o enviarlas a través de internet.
El registro de lo que se teclea puede hacerse tanto con medios de hardware como de
software.
 Los Keyloggers físicos o de hardware son pequeños dispositivos que se instalan
entre nuestro ordenador y el teclado. Son difíciles de identificar para un usuario
inexperto pero si se presta atención es posible reconocerlos a simple vista.
 Con respecto a las keyloggers por software, actualmente son los más comunes,
muy utilizados por el malware orientado a robar datos confidenciales o privados del
usuario. La información obtenida es todo lo que el usuario ingrese en su teclado
como por ejemplo documentos, nombres de usuarios, contraseñas, números de
tarjetas, PINs, etc. Y toda esta información es proporcionada por el malware al
atacante.

4.3. Entrada de software malicioso – Stealer

Otro ejemplo de software malicioso serían los Stealer.
Stealer es un software malicioso, que se introduce a través de internet en un ordenador
con el propósito de obtener de forma fraudulenta información confidencial del propietario,
tal como su nombre de acceso a sitios web, contraseñas o números de tarjeta de créditos.
Roba información privada, pero sólo la que se encuentra guardada en el equipo. Al
ejecutarse comprueba los programas instalados en el equipo y si tiene contraseñas
recordadas, descifran esa información y la envían al creador.

4.4. Robo de información confidencial

A diario utilizamos los medios de comunicación digital como: correos electrónicos,
mensajes, fax, etc.
 ¿Sabemos cómo son de seguros estos sistemas para enviar la información a través
de ellos?
 ¿Tienen en cuenta nuestra privacidad y confidencialidad?

Un correo electrónico por ejemplo:

 Envía la información “en claro”: es decir, si fuera interceptado cualquiera podría leer
su contenido.
 No asegura la identidad del remitente: no se requieren demasiados conocimientos
para “falsificar” el remitente.
 Puede llegar a un destinatario equivocado: si por ejemplo indicamos por error un
destinatario erróneo.
No comuniques por ello información sensible a través de medios electrónicos no
seguros.

11
 4.5. Ingeniería Social

Una de las técnicas por las que un atacante puede obtener información confidencial o
nuestras claves de acceso se basa en conseguir engañarnos para hacernos creer que
debemos facilitar esa información.
A este comportamiento se le conoce como “Ingeniería Social”.
Algún ejemplo de ello son los correos o llamadas de teléfono que aparentando ser de
nuestro banco, argumentan por cualquier motivo técnico que debemos facilitar nuestras
credenciales de acceso.
Para evitarlo:
 No confíes en todo el mundo.
 Nunca des ninguna información confidencial a menos que estés completamente
seguro de la identidad de la persona.
 En ningún caso comuniques tus claves de acceso.
Para comprender mejor en qué consiste la Ingeniería Social te mostramos los siguientes
enlaces que pueden ser recomendados a cualquier ciudadano para evitar ser víctimas de
este tipo de engaño.
 https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios
/ingenieria_social_en_empresas
 https://www.osi.es/es/actualidad/avisos/2015/07/factura-falsa-recibida-por-email-
puede-infectar-tu-ordenador)

4.6. Robo de credenciales de acceso

Existen varios métodos de autenticación para mostrar nuestra identidad:
 Algo que se conoce: usuario y contraseña.

 Algo que se tiene: como una tarjeta de coordenadas, token.

 Algo que se es: la huella dactilar.

12
Reforzar la seguridad combinando al menos dos métodos de autenticación, se conoce
como doble factor de autenticación. Es el caso por ejemplo de los cajeros automáticos,
donde se necesita una tarjeta (algo que tenemos) más un PIN (algo que conocemos).
Sin embargo el sistema de identificación más utilizado continúa siendo la utilización
únicamente de usuario y contraseña:
¿Qué ocurre entonces si un extraño conoce nuestro usuario y contraseña para acceder al
correo electrónico?
Esta persona podrá acceder a nuestros mensajes sin que el sistema pueda detectar que
se trata de un intruso.

4.6.1. Seguridad de las contraseñas

Un consejo a seguir a la hora de seleccionar una contraseña es el siguiente indicado por
INCIBE:
Utiliza siempre contraseñas robustas, difíciles de adivinar por otras personas y nunca las
compartas o las pongas a la vista
Seleccionar y gestionar correctamente una buena contraseña es una de las medidas de
seguridad prioritarias.
Las recomendaciones que deberíamos de comunicar a los ciudadanos para el uso de las
contraseñas son:
 Deben cambiarse periódicamente.
 Deben de contener, idealmente, una mezcla de letras, números y otros caracteres
combinando mayúsculas y minúsculas.
 Deben de tener un tamaño al menos de 8 caracteres, cuanto más cortas, más
fáciles de descubrir.
 No deben de contener información personal.
 No se debe usar la misma contraseña en diferentes servicios.
 No debe ser reconocida como una palabra de ningún idioma
La siguiente contraseña: Ec,nc9psA. cumple con los requisitos de complejidad esperados
pero
 ¿Crees que será fácil recordarla?
 Pero, ¿Y sí la relacionas con esta frase? “Esta contraseña, no creo que pueda ser
Adivinada.”
Si seguimos la técnica de pensar una frase y utilizar para nuestra contraseña la primera
letra de cada palabra, nos resultará sencillo recordarla, mientras que para un intruso, que
no sabe la regla que hemos seguido, será muy difícil adivinarla o recordarla si nos la viera
teclear.

13
 4.7. Pérdida de dispositivos móviles
Los dispositivos móviles como tablets o smartphones son utilizados cada vez más
frecuentemente como auténticas “oficinas móviles” realizándose actividades y tareas como
si de un ordenador más se tratara.
En caso de extraviar el dispositivo podemos poner en riesgo información importante como
contactos, direcciones de email, mensajes de correo o documentos de todo tipo.
Debemos de tener por ello muy en cuenta su seguridad.
Como primera medida debemos de configurar el bloqueo del terminal. Las opciones más
habituales son:
 Definir un patrón de bloqueo.

 Definir un PIN.

 Definir una contraseña.

Por su facilidad, las opciones de patrón de bloqueo o PIN, son las más utilizadas.
Pero, si alguien nos observa, le resultará muy sencillo recordarlo y acceder a toda nuestra
información.
Si valoramos la información guardada en nuestro móvil se recomienda utilizar en su lugar
una contraseña compleja para bloquear el dispositivo.

4.7.1. Proteger el acceso e información en nuestros dispositivos móviles

Para protegerlos adecuadamente, además de bloquear nuestros dispositivos con una
contraseña, se recomienda:
Si vas a intercambiar información confidencial con clientes y proveedores, es
recomendable que utilices alguna herramienta para cifrar la información. Algo tan sencillo
como un fichero comprimido con contraseña puede ser suficiente para evitar miradas
indiscretas.

14
  Proteger (cifrar) la información confidencial almacenada en estos dispositivos, tanto
en su almacenamiento interno como en tarjetas de memoria externas utilizadas.
 Si debemos enviar información confidencial debe hacerse por un canal seguro,
como conexiones https o aplicaciones que nos ofrezcan seguridad.

4.8. Pérdida de dispositivos de almacenamiento externos

Los dispositivos de almacenamiento extraíble como pendrive o discos USB, por su propia
naturaleza pueden ser extraviados fácilmente y por ello debemos de proteger la
información confidencial que pueden contener.
Consejo: Ten cuidado cuando utilices dispositivos USB, ya que es fácil perderlos y que
sean sustraídos. Evita utilizarlos para almacenar información confidencial y si lo haces,
asegúrate de que van cifrados.
El proceso de cifrado generalmente utiliza una contraseña como control de acceso, por lo
que una vez más la elección de una contraseña robusta es un requisito fundamental.

4.9. Conexión a redes inalámbricas inseguras

¡Cuidado con las conexiones Wifi desconocidas!
Cuando fuera de nuestro trabajo nos conectamos a redes Wifi desconocidas:
 ¿Estás seguro que la red Wifi mostrada es de confianza?
 ¿Crees que porque su nombre sea similar al del lugar en el que te encuentras es
auténtica?
Hoy es posible crear un punto de acceso Wifi desde la mayoría de smartphones. A esta
conexión podemos nombrarla como deseemos y por tanto engañar a otras personas de
que se trata de una red conocida (por ejemplo: un Centro Comercial).
Un atacante puede usar esta técnica para ofrecer una “falsa red Wifi” interceptando toda la
información que los usuarios que se conectan a ella transmiten (usuarios y contraseñas,
datos bancarios, etc.).
Nuestro consejo es:
Nunca utilices redes inalámbricas públicas (hoteles, restaurantes, cafeterías, etc.) para
tareas relacionadas con tu trabajo o si debes enviar información confidencial (datos de
tarjeta bancaria, contraseñas, etc.). Utiliza estas conexiones únicamente como ocio o para
búsquedas y consultas.

4.10. Ser observados trabajando en sitios públicos

Además, si realizamos tareas personales desde lugares públicos, al igual que se advierte
a los usuarios en los cajeros automáticos, debemos comprobar que no estemos siendo
vigilados y ser muy cautelosos con las tareas que estemos realizando.

15
Una buena medida para ello puede ser la utilización de filtros de privacidad que evitan la
visión de la pantalla a excepción de encontrarnos completamente frente a ella.

4.11. Amenazas más habituales – enlaces

Para comprender cómo pueden llegar a producirse algunas de estas amenazas, te
recomendamos los siguientes artículos de la Oficina de Seguridad del Internauta
(www.osi.es).
Ejemplo de FRAUDE: www.osi.es/es/banca-electrónica, www.osi.es/es/fraude-online
Infección por MALWARE: www.osi.es/es/contra-virus
CORREO MALICIOSO: www.osi.es/es/correo-electronico
INFORMACIÓN PERSONAL: www.osi.es/es/tu-informacion-personal

16
17