Fundamentos de Ciberseguridad y Protección de Datos: Conceptos Esenciales

Conceptos Fundamentales de Seguridad de la Información

Según ISO 27002, la seguridad de la información se caracteriza por la preservación de:

  • Confidencialidad: Asegurar que la información solo sea accesible para aquellos autorizados.
  • Integridad: Mantener la exactitud y completitud de la información y los métodos de procesamiento.
  • Disponibilidad: Garantizar que los usuarios autorizados tengan acceso a la información y los activos asociados cuando lo requieran.

Objetivos de la Seguridad Informática

Los objetivos principales de la seguridad informática son:

  • Confidencialidad
  • Disponibilidad
  • Integridad
  • No Repudio: Asegurar que una parte no pueda negar la autoría de una acción o comunicación.

Mecanismos para Lograr los Objetivos de Seguridad

Para alcanzar los objetivos de seguridad, se emplean diversos mecanismos:

  • Autenticación: Verificación de la identidad de un usuario o sistema.
  • Autorización: Concesión de permisos para acceder a recursos específicos.
  • Auditoría: Registro y revisión de eventos para detectar actividades sospechosas.
  • Encriptación: Transformación de datos para proteger su confidencialidad.
  • Copias de seguridad: Creación de duplicados de datos para recuperación ante pérdidas.
  • Antivirus: Software para detectar y eliminar programas maliciosos.
  • Cortafuegos (Firewalls): Barreras de seguridad que controlan el tráfico de red.
  • Servidor proxy: Intermediario para solicitudes de recursos, mejorando seguridad y rendimiento.
  • Firma electrónica: Mecanismo para garantizar la autenticidad e integridad de documentos digitales.
  • Leyes y normativas: Marcos legales que regulan la protección de la información.

La seguridad es el resultado de la combinación de Tecnología + Pautas de comportamiento.

Amenazas en Ciberseguridad

Las amenazas a la seguridad de la información pueden clasificarse en varias categorías:

  • Personas:
    • Pasivos: Hackers (exploran sistemas sin intención maliciosa).
    • Activos: Crackers (buscan explotar vulnerabilidades con fines dañinos).
  • Físicas y ambientales: Afectan las instalaciones y el hardware (incendios, inundaciones, robos, desastres naturales).
  • Lógicas: Software que afecta a nuestro sistema, incluyendo:
    • Herramientas de seguridad maliciosas.
    • Falsos programas de seguridad.
    • Puertas traseras (backdoors).
    • Virus, gusanos, troyanos.
    • Programas «conejo» (fork bombs).
    • Canales cubiertos.

Técnicas de Ataque Comunes

Entre las técnicas de ataque más frecuentes se encuentran:

  • Malware: Software malicioso (virus, gusanos, troyanos, ransomware).
  • Ingeniería social: Manipulación psicológica para obtener información confidencial.
  • Scam: Estafas en línea.
  • Spam: Envío masivo de mensajes no solicitados.
  • Sniffing: Interceptación de tráfico de red.
  • Spoofing: Suplantación de identidad (IP, email, DNS).
  • Pharming: Redirección de tráfico web a sitios falsos.
  • Phishing: Obtención de información sensible mediante engaño.
  • Password cracking: Descifrado de contraseñas.
  • Keyloggers: Programas que registran las pulsaciones del teclado.
  • Botnet: Red de ordenadores comprometidos controlados remotamente.
  • Denegación de Servicio (DoS/DDoS): Sobrecarga de un sistema para impedir su funcionamiento normal.

Protección y Auditoría de Seguridad

¿Qué es una Auditoría de Seguridad?

La auditoría de seguridad es un estudio que comprende el análisis y la gestión de sistemas para identificar y, posteriormente, corregir diversas vulnerabilidades. Una vez obtenidos los resultados, estos se detallan, archivan y entregan a los responsables, quienes deberán establecer medidas preventivas de refuerzo.

Objetivos de la Auditoría de Seguridad

  • Revisar la seguridad de los entornos y sistemas informáticos.
  • Verificar el cumplimiento de la normativa y legislación vigentes.
  • Elaborar un informe independiente sobre el estado de la seguridad.

Fases de una Auditoría de Seguridad

  1. Enumeración de sistemas operativos, servicios, aplicaciones, topologías y protocolos de red.
  2. Detección, comprobación y evaluación de vulnerabilidades.
  3. Definición de medidas específicas de corrección.
  4. Recomendaciones sobre la implantación de medidas preventivas.

Tipos de Auditoría de Seguridad

  • Seguridad interna: Evaluación desde dentro de la red.
  • Seguridad perimetral: Evaluación de las defensas externas de la red.
  • Test de intrusión (Penetration Testing): Simulación de un ataque real para encontrar vulnerabilidades.
  • Análisis forense: Investigación de incidentes de seguridad para determinar la causa y el alcance del daño.
  • Auditoría de código de aplicaciones: Revisión del código fuente para identificar fallos de seguridad.

Medidas de Seguridad Informática

Las medidas de seguridad pueden clasificarse según el recurso a proteger o según su funcionamiento.

Según el Recurso a Proteger

  • Seguridad Física: Protege el hardware y las instalaciones de amenazas como:
    • Incendios
    • Inundaciones
    • Robos
    • Señales electromagnéticas
    • Apagones y sobrecargas eléctricas
    • Desastres naturales
  • Seguridad Lógica: Protege el software y los datos de amenazas como:
    • Robos de información
    • Pérdida de información
    • Pérdida de integridad en la información
    • Virus y malware
    • Ataques de la red
    • Modificaciones no autorizadas

Según el Funcionamiento de la Medida de Seguridad

  • Seguridad Activa: Medidas preventivas que evitan grandes daños. Ejemplos:
    • Uso de contraseñas robustas.
    • Listas de control de acceso (ACL).
    • Encriptación de datos.
    • Uso de software de seguridad informática (antivirus, antimalware).
    • Firmas y certificados digitales.
    • Sistemas de ficheros con tolerancia a fallos (RAID).
    • Cuotas de disco.
  • Seguridad Pasiva: Medidas que minimizan el impacto y los efectos causados por accidentes o ataques. Ejemplos:
    • Conjunto de discos redundantes (RAID).
    • Sistemas de Alimentación Ininterrumpida (SAI/UPS).
    • Copias de seguridad (backups).

Tratamiento y Protección de Datos Personales

Tratamiento de los Datos

El tratamiento de los datos engloba todas las operaciones y procedimientos mediante los que se recogen, almacenan, modifican y cancelan los datos, así como las cesiones que se llevan a cabo de los mismos.

Recogida de los Datos

Los datos personales se pueden obtener de las siguientes maneras:

  • A través del propio interesado o sus representantes legales.
  • A través de terceras personas que hayan cedido los datos obtenidos con anterioridad a sus titulares.
  • De fuentes accesibles al público.

Obligaciones al Solicitar Datos Personales

Cuando las empresas solicitan datos a una persona en un cuestionario, deben informar de:

  • La existencia del fichero o tratamiento y su finalidad.
  • La identidad y dirección del responsable del fichero.
  • Los derechos que tiene el afectado (acceso, rectificación, cancelación, oposición).
  • Las consecuencias que tendría la negativa a facilitar los datos.

Gestión de Ficheros con Datos Personales en Empresas

Si los ficheros de una empresa contienen datos personales, deben cumplir con las siguientes obligaciones:

  • Inscribirlos en el Registro de Protección de Datos.
  • Informar a los afectados de que sus datos figuran en un archivo, indicando dónde está y su finalidad.
  • No ceder los datos sin el consentimiento de los titulares.
  • Adoptar las medidas de seguridad exigidas por la normativa.
  • Permitir a los titulares el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición (derechos ARCO).

Elementos Personales que Intervienen en el Tratamiento de Datos

  • Afectado: La persona física titular de los datos.
  • Responsable del fichero: La persona física o jurídica que decide sobre la finalidad y el contenido del tratamiento.
  • Encargado del tratamiento: La persona física o jurídica que trata los datos por cuenta del responsable.
  • Cesionario: La persona a la que se ceden los datos.
  • Tercero: Cualquier persona distinta del afectado, responsable o encargado.

Derechos del Afectado (RGPD)

Los derechos de los afectados, en el marco del Reglamento General de Protección de Datos (RGPD), incluyen:

  • Derecho de consulta al RGPD.
  • Derecho de acceso a sus datos.
  • Derecho de oposición al tratamiento.
  • Derecho de rectificación y cancelación (supresión).
  • Derecho a indemnización por daños y perjuicios.

Marco Legal: LOPD y LSSICE

Ley Orgánica de Protección de Datos (LOPD)

La LOPD es un ente de derecho público, con personalidad jurídica y plena capacidad, que actúa con independencia de las Administraciones Públicas en el ejercicio de sus funciones.

Funciones de la LOPD

  • Vigila el cumplimiento de la legislación sobre protección de datos.
  • Se encarga de recoger las peticiones y reclamaciones de los afectados.
  • Emite las autorizaciones previstas en la ley para las transferencias internacionales de datos.
  • Informa sobre las normas y vela por los derechos y garantías de los ciudadanos.
  • Coopera con otros países en materia de protección de datos.

Niveles de Protección de Datos (según la LOPD)

La LOPD establece diferentes niveles de protección según la sensibilidad de los datos:

  • Nivel Medio: Datos relacionados con multas, Hacienda, servicios financieros, etc.
  • Nivel Alto: Datos especialmente protegidos como ideología, afiliación sindical, religión, creencias, raza, salud o vida sexual.

Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSICE)

La LSSICE es la legislación sobre los servicios de la sociedad de la información y el comercio electrónico.

Objetivo de la LSSICE

Su objetivo principal es determinar el régimen jurídico aplicable a los servicios de la sociedad de la información.