1.
INTRODUCCIÓN
El presente documento está pensado para servirle de ayuda e información en todo
lo referido a las medidas de seguridad que se deben tener en cuenta cuando se
utiliza una conexión a internet.
Le informaremos de los problemas de seguridad que se puede encontrar de forma
general y de cómo el sitio web www.iagro.org
tiene cubiertas dichas medidas. Se le darán consejos para aumentar aún más las
medidas por su parte, siendo éstos extensibles a cualquier sitio web que desee
utilizar.
El documento se estructura, por tanto, en los siguientes capítulos:
SEGURIDAD
POR PARTE DEL USUARIO
Consejos que debe seguir el usuario para garantizar la integridad del equipo
desde el que accede a la www.iagro.org. Estos consejos son tanto para su PC habitual como
cuando utilice un PC compartido.
SEGURIDAD
EN EL ACCESO A INTERNET
Las medidas de seguridad aplicadas en los accesos a Internet de www.iagro.org.
SEGURIDAD
EN LOS SERVIDORES WEB
Características de seguridad del servidor web de www.iagro.org.
2.
SEGURIDAD POR PARTE DEL USUARIO
Cada día son mayores los peligros que acechan a cualquier internauta, siendo la
seguridad, en la mayoría de los casos, el punto más vulnerable.
Los proveedores de servicio, en mayor o menor medida, se preocupan por mantener
actualizados sus servidores, cortafuegos y aplicaciones para protegerse de los
posibles ataques. Sin embargo, aún no existe un suficiente grado de
sensibilización por parte de los usuarios de Internet.
La gran mayoría de los usuarios son particulares que utilizan su PC de casa
tanto para navegar por Internet, correo electrónico personal, como para el
acceso en este caso a una aplicación web. No suelen ser conscientes de los
peligros que tiene la Red, tales como virus, hackers, keyloggers,
dialers, (ver glosario) etc... por lo que la mayoría no tiene una versión
actualizada de antivirus, ni utiliza un cortafuegos, ni pasa controles
periódicos a su ordenador para asegurarse de la no existencia de dialers,
keyloggers, (ver glosario) etc.
Para terminar y como recomendación para fomentar la seguridad por parte del
usuario, se aconseja visitar la web de la Asociación de Internautas, apartado
Seguridad, donde se dan prácticas recomendaciones para evitar cualquier amenaza.
http://www.seguridadenlared.org/es/index.php
2.1 SEGURIDAD EN EL PC
Tal y como se indicaba en el apartado de introducción del presente capítulo, la
seguridad en las aplicaciones comienza por el propio usuario de las mismas. No
por el hecho de estar concebidas como aplicaciones en servidor, accesibles desde
un simple navegador, con seguridad SSL (ver glosario) en las comunicaciones, se
garantiza que desde cualquier PC se puede acceder sin riesgos.
El hecho de utilizar el PC desde el que se accede a
www.iagro.org para navegar por Internet o
leer el correo, puede provocar que se instalen en el mismo ordenador,
keyloggers(ver glosario) que capturen todo que se teclee. También es posible
recibir virus que cambien la configuración del navegador u obtener las páginas
de la caché del navegador donde están las últimas páginas visitadas,
haciendo que el atacante pueda obtener códigos de usuario y claves.
Otro aspecto a tener en cuenta es que a medida que se van descubriendo
vulnerabilidades en los Sistemas Operativos y en los navegadores, los
fabricantes, principalmente Microsoft, lanzan nuevos parches ó Service Packs
(ver glosario) para corregir los problemas. Los hackers, por su parte, se
dedican a rastrear la Red en busca de vulnerabilidades conocidas para acceder a
los PCs .
Los navegadores, por cuestiones de eficiencia, guardan de forma automática unos
archivos temporales de todo lo que se van descargando de los servidores a los
que acceden (páginas HTML, imágenes, hojas de estilo, ficheros javascript,
etc.), y guardan en el historial todas las páginas que se han ido visitando
durante la navegación. Esta información se guarda en archivos en el disco duro
del PC, por lo que están accesibles a cualquier persona que, posteriormente
utiliza el PC o a cualquier programa instalado en el mismo.
Si utilizamos habitualmente nuestro ordenador privado y se sigue las normas
elementales de seguridad, este asunto no
es demasiado problemático, pero si se utiliza un
ordenador compartido, hay que ser
precavidos y eliminar toda esta información al finalizar nuestra sesión en el
PC.
Por otro lado, los servidores web pueden alojar en el navegador cookies.
(ver glosario). Estas cookies son ficheros que se reenvían al servidor
con cada petición HTTP, y son utilizadas generalmente para identificar al
usuario, controlar su navegación, etc. Al igual que en el caso anterior, si
utilizamos nuestro ordenador privado, esto no supone un problema.
Pero si se utiliza un ordenador público o compartido, cualquier persona podrá
analizar estos ficheros y obtener información personal nuestra, de cómo hemos
navegado, etc.
Tampoco debemos obsesionarnos con todo lo indicado anteriormente, pero sí son
recomendaciones e información que queremos facilitar a nuestros clientes.
RECOMENDACIONES
En resumen, las recomendaciones en materia de seguridad a los usuarios de
www.iagro.org son las siguientes:
1. Instalar y mantener actualizado un programa antivirus
2. Si el antivirus no lo incorpora, se recomienda instalar un Cortafuegos o
Firewall (ver
glosario).
3. Pasar controles periódicos de programas Spyware (ver glosario).
4. Mantener actualizados el Sistema Operativo y el navegador a las últimas
versiones y parches disponibles.
5. Realizar periódicamente copias de seguridad que permitan restaurar una
versión
correcta ante cualquier desconfiguración o ataque.
6. Si se trabaja en un ordenador de uso privado:
a. Borrar periódicamente las cookies (ver glosario)
b. Borrar periódicamente los archivos temporales o caché (ver glosario)
del
navegador.
7. Si se trabaja en un ordenador de uso público o compartido, se recomienda
realizar lo siguiente al terminar la sesión, especialmente si se ha accedido a
la Banca Electrónica:
a. Borrar las cookies.
b. Borrar el historial de conexiones a Internet en el navegador.
c. Borrar los archivos temporales o caché del navegador.
8. Revisar la configuración de nuestro PC para asegurarnos que no tenemos
carpetas
como archivos compartidos, y si es así, que no se trate de información relevante
de
nuestro equipo.
9. Seleccionar la opción del navegador que indica no guardar páginas cifradas
en la caché (ver glosario).
2.2
SEGURIDAD EN LA NAVEGACIÓN
El hecho de utilizar el mismo PC para navegar por Internet y para acceder a
www.iagro.org hace que el usuario esté
continuamente en peligro y que un atacante pueda conseguir los códigos de
usuario y clave de acceso a www.iagro.org.
Esta amenaza se hace más palpable cuando utilizamos un ordenador de uso
compartido, como los situados en un cibercafé, universidad, biblioteca ó
empresa, ya que se desconocen las medidas de seguridad del equipo (antivirus,
cortafuegos, parches instalados, etc.) y cualquier persona que haya dejado un
virus o programa malintencionado, o que comparta la red y acceda a información
como los archivos temporales, podría llegar a ver nuestros datos
dewww.iagro.org, incluso averiguar
nuestras claves de acceso.
Una de las formas más comunes de introducción de virus, keyloggers,
dialers, (ver glosario) etc. en nuestro PC es navegar por sitios web
desconocidos, en los que en determinadas páginas se activa de forma automática
la descarga e instalación de un software. En estos sitios se utilizan técnicas
de ingeniería social para hacer que el usuario “pique” y acepte la instalación,
con atractivos reclamos como la consecución de premios o la visualización de
contenidos restringidos.
RECOMENDACIONES
Por lo tanto, las recomendaciones que deben seguirse para una navegación segura
son:
1. No navegar por páginas de potencial riesgo, y hacerlo, a poder ser, por
sitios web
conocidos.
2. Nunca aceptar la instalación de ningún software obtenido de Internet sin
estar completamente seguros de su procedencia y fin, y desconfiar de manera
especial de todo aquel software cuya instalación se inicie de forma no
solicitada. No obstante, en
caso de decidir continuar adelante, se recomienda la verificación con el
antivirus como paso previo a su instalación.
3. Mientras se navegue por las páginas de www.iagro.org, asegurarse siempre que
se encuentra cerrado el candado del navegador, que indica que todo el contenido
se ha obtenido cifrado de un servidor.
4. Evitar la utilización de ordenadores de uso público o compartido para
acceder a páginas o servicios de uso privado, como puede ser
www.iagro.org.
2.3
SEGURIDAD EN LAS CLAVES DE ACCESO
Un tema muy utilizado por los atacantes son las técnicas de ingeniería social
para obtener claves de usuario. Ejemplo de ello es la tendencia que tenemos
todos los usuarios a poner una clave de acceso fácil de recordar, por lo que un
atacante podría probar con una palabra clave fija y variar el código de usuario
que seguro que va a encontrar alguno que la ha elegido (por ejemplo “1111”,
“2222”, etc.)
Un poco más sofisticado puede ser el atacante que conoce alguna característica
personal del usuario, y prueba con su día-mes de nacimiento, matrícula del
coche, etc.
RECOMENDACIONES
Por lo tanto, las recomendaciones en este sentido son las siguientes:
1. Poner una contraseña que no contenga todos los dígitos iguales.
2. Que la contraseña no contenga información personal: DNI, matrícula del coche,
fechas de nacimiento, etc.
3. Cambiar la clave de acceso cada cierto tiempo.
4. Que la clave de acceso nunca coincida con el PIN de cualquiera de las
tarjetas de crédito o débito que tengamos.
5. Jamás debemos tener escritas en un papel la contraseña de acceso, ni el
Usuario.
6. De la misma forma, se recomienda no guardarlas en ningún archivo dentro del
propio PC.
7. No utilizar las mismas claves para sitios web “desconocidos”
2.4 SEGURIDAD EN LAS CONEXIONES
Como ya se ha comentado, el usuario debe observar una serie de normas de
seguridad en las conexiones que realiza a www.iagro.org, pero de manera especial
si utiliza un PC de uso público o compartido.
Los navegadores o sistema operativo tienen una utilidad que permite almacenar
claves, de forma que ante sucesivas introducciones, el PC puede autocompletar el
código de usuario y rellenado de la clave, sin necesidad de ser introducida por
el usuario. Esto supone un riesgo evidente en el caso de utilizar ordenadores
públicos, ya que posteriores usuarios que utilicen el mismo PC utilizado para
acceder a la plataforma podrían llegar a suplantar al cliente, aún sin conocer
su clave de acceso.
Si además, se tiene habilitada la opción de “Autocompletar formularios”, opción
que hace mucho más cómoda la navegación y la reiteración de datos, los usuarios
son fácilmente identificables y con ello sus contraseñas.
Otro error muy común es no cerrar la sesión en un sitio web cuando hemos dado
por finalizada la navegación, ya que si nos levantamos del puesto, otro usuario
puede encontrarse la sesión activa y consultar nuestra información operar. No es
suficiente con abandonar la sesión cualquier sitio web visitando otro sitio
web, ya que pulsando el botón “Atrás” del navegador, puede llegarse de nuevo al
servidor y continuar en sesión si no se ha ordenado la desconexión de forma
explícita.
Por lo tanto, sirvan como recomendaciones de seguridad en cuanto a las
conexiones en ordenadores públicos o compartidos, las siguientes medidas:
1.
Asegurarse que está deshabilitada la opción de “Autocompletar contraseñas”. Es
una recomendación de obligado cumplimiento en ordenadores de uso público, pero
muy aconsejable incluso en ordenadores privados.
2. No olvidar pulsar el botón de cerrar sesión una vez finalizada la navegación
en elservicio de www.iagro.org
3. SEGURIDAD EN EL ACCESO A INTERNET
Ante la necesidad de garantizar la absoluta confidencialidad de las
comunicaciones entre iAGRO y sus clientes, toda operación de transmisión de
información se realiza a través de un entorno seguro, utilizando el Protocolo
SSL (ver glosario), mediante un mecanismo que utiliza algoritmos de 128 bits.
Dicha transmisión se realiza mediante un mecanismo de claves públicas y
privadas, que utiliza los algoritmos de encriptación más potentes del mercado,
evitando que los datos puedan ser conocidos o manipulados por terceros,
garantizando igualmente que el cliente está comunicando sus datos al servidor de
iAGRO, y no a otro que intente hacerse pasar por éste.
El navegador utilizado para alcanzar este nivel de seguridad ha de ser Internet
Explorer 5.0 o superior. Es posible comprobar que se encuentra bajo una conexión
segura, mediante la dirección del servidor (URL), ya que en este entorno
comienza por https (cuando lo habituales que la dirección comience por http), y
con el indicador que aparece en la parte inferior de la ventana de una llave
entera o un candado cerrado.
4. SEGURIDAD EN EL SERVIDOR WEB
En el presente apartado se aborda la seguridad desde el siguiente elemento que
interviene en el servicio de iAGRO, que es el servidor web. El servidor web de
iAGRO utilizado en el servicio de www.iagro.org es un servidor web seguro. Esto
significa que hay instalado un certificado, emitido a nombre de iAGRO, por una
autoridad certificadora de confianza, que permite al usuario comprobar con qué
servidor está dialogando, y que se utiliza para cifrar toda la comunicación HTTP
entre el navegador y el servidor web, mediante SSL, evitando que terceras
personas puedan ver la información intercambiada.
Para el cifrado se utilizan claves de 128 bits, que en el momento actual de la
tecnología hace casi imposible su violación por fuerza bruta.
La autoridad de certificación que emite todos los certificados de los servidores
es RapisSSL Inc., empresa de amplio reconocimiento y prestigio en todo el mundo.
Por lo tanto, en el servicio de Gestión online de iAGRO se puede garantizar la
seguridad, privacidad y autenticidad.
GLOSARIO
En el presente apartado se dan las definiciones de alguno de los términos
utilizados a lo largo del documento.
Antivirus / Programas antivirus:
Son todos aquellos programas que permiten analizar la
memoria, las unidades de disco y otros elementos de un ordenador, en busca de
virus.
Bug:
Este término se emplea para indicar un fallo o error en un programa informático.
Cuando uno de ellos tiene errores, se dice que tiene bugs.
Caché:
Es una pequeña sección correspondiente a la memoria de un ordenador.
Cookie:
Es un fichero de texto que, en ocasiones, se envía a un usuario cuando éste
visita una página Web. Su objetivo es registrar la visita del usuario y guardar
cierta información al respecto.
Cracker:
Es una persona interesada en saltarse la seguridad de un sistema informático.
Dialer:
Es un programa que suele ser utilizado para redirigir, de forma maliciosa, las
conexiones mientras se navega por Internet. Su objetivo es colgar la conexión
telefónica que se está utilizando en ese momento (la que permite el acceso a
Internet, mediante el marcado de un determinado número de teléfono) y establecer
otra, marcando un número
de teléfono de tarificación especial. Esto supondrá un notable aumento del
importe en la factura telefónica.
Firewall / Cortafuegos:
Su traducción literal es muro de fuego, también conocido a nivel técnico
como cortafuegos. Es una barrera o protección que permite a un
sistema salvaguardar la información al acceder a otras redes, como por ejemplo
Internet.
Hacker:
Persona que accede a un ordenador de forma no autorizada e ilegal.
HTTP (HyperText Transfer Protocol): Es un sistema de comunicación que permite la
visualización de páginas Web, desde un navegador.
ISP (Internet Service Provider):
Una empresa que brinda acceso y servicios de Internet en alguna forma,
normalmente por dinero.
JavaScript:
Es un lenguaje de programación que aporta características dinámicas (datos
variables en función del tiempo y el modo de acceso, interactividad con el
usuario, personalización, etc.) a las páginas Web, escritas en lenguaje HTML.
Keylogger (Capturador de teclado):
Programa que recoge y guarda una lista de todas las teclas pulsadas por un
usuario. Dicho programa puede hacer pública la lista, permitiendo que terceras
personas conozcan estos datos -lo que ha escrito el usuario afectado
(información introducida por teclado: contraseñas, texto escrito en documentos,
mensajes de correo, combinaciones de teclas, etc.).
Navegador:
Un navegador Web o navegador de Internet es el programa que permite visualizar
los contenidos de las páginas Web en Internet. También se conoce con el nombre
de browser. Algunos ejemplos de navegadores Web o browsers son:
Internet Explorer, Netscape Navigator, Opera, etc.
Router:
Un dispositivo (o programa de software) que maneja la conexión entre dos o más
redes. Se encargan de buscar la dirección de destino de los paquetes que pasan
por ellos y deciden hacia qué ruta enviarlos.
Shareware:
Son versiones de evaluación de un producto software, de uso gratuito, que sirven
básicamente para probar el producto antes de adquirirlo definitivamente.
SMIME (Secure Multi Propose Mail Extensión):
protocolo seguro de intercambio de
correo electrónico.
SNMP (Simple Network Management Protocol):
Es un conjunto de estándares de
comunicación entre dispositivos conectados a la red sobre TCP/IP. Ejemplos de
estos dispositivos pueden ser: routers, hubs y switches. Se dice que un
dispositivo es "compatible con SNMP " si este puede ser monitoreado y/o
controlado usando mensajes SNMP. Los mensajes SNMP son conocidos como "PDU's" -
Protocol Data Units, o traps.
Los dispositivos compatibles con SNMP contienen un software "agente" para
recibir, enviar y actuar sobre los mensajes SNMP. Existen programas de software
para la administración de dispositivos vía SNMP que están disponibles para cada
una de las plataformas más comunes y por lo regular se incluyen con el
dispositivo a administrar. Algunos programas de software SNMP están diseñados
para administrar y monitorear una amplia variedad de dispositivos.
Spam:
Es correo electrónico no solicitado, normalmente con contenido publicitario, que
se
envía de forma masiva. Este tipo de mensajes puede causar graves molestias y
provocar pérdidas de tiempo y recursos.
Spyware (Software de espionaje):
Son programas que rastrean los hábitos de comportamiento del usuario y su
información personal para luego enviar esta información a terceros sin la
autorización o conocimiento del mismo.
SSL (Secure Socket Layer):
Se trata de un protocolo de seguridad estándar que transmite la información
cifrada entre el navegador y el servidor web a través de Internet. SSL
proporciona privacidad para datos y mensajes, así como autenticación de los
datos. De acuerdo con la convención establecida, la dirección de las páginas Web
que requieren
una conexión SSL comienza con https: en lugar de http:.
URL (Uniform Resource Locator):
Dirección a través de la cual se accede a las páginas Web en Internet (o a otros
ordenadores).
Virus:
Los virus son programas que se pueden introducir en los ordenadores y sistemas
informáticos de formas muy diversas, produciendo efectos molestos, nocivos e
incluso destructivos e irreparables.