Saltar la navegación

2. Ciberseguridad

Introducción

logotipo de ciberseguridad
Pixabay / harshahars. Ciberseguridad (Pixabay License)

El segundo bloque, Ciberseguridad, se centra en los peligros reales con los que se puede encontrar el alumnado cuando hace uso de sus dispositivos en condiciones poco seguras y qué herramientas hay a su disposición para hacerles frente. 

La Ingeniería Social pone de manifiesto la creatividad y recursos de los ciberdelincuentes para engañar a la ciudadanía y conseguir información con el fin de extorsionarles y reclamarles el pago de un rescate (económico, material o sexual) o, simplemente, con la intención de controlar sus dispositivos para cometer estos y otros delitos. Es nuestro deber como docentes concienciar a los estudiantes de la realidad de estas prácticas y ayudarles a identificarlas para no caer en sus redes.

En este sentido, la protección de dispositivos y cuentas es fundamental, pues no siempre estaremos libres de ser víctimas de un ciberataque. En este apartado, encontrarás algunas formas de enseñar a tus alumnos a protegerse contra la ciberdelincuencia a través de la adopción de hábitos seguros de navegación, gestión de sus dispositivos y de sus redes sociales.

Como puedes observar, el punto 5 Aplicación en el aula, recoge todas las actividades o propuestas que puedes realizar con tu alumnado, referidas a los temas que se van a ir viendo. Sin embargo, para hacerte la tarea más sencilla, se ha incorporado al final de cada apartado el listado de las actividades que están relacionadas directamente con él, de manera que las puedas ir consultando a medida que avanzas en los temas. Cuando hayas finalizado un apartado, consulta este listado y busca la actividad correspondiente en el punto 5 con ayuda del menú que se encuentra al inicio de cada categoría:

  • Actividades que pueden realizar a partir de Educación Primaria.
  • Actividades para FP, Educación Secundaria y Bachillerato.

2.1. Ingeniería social

Ciberdelincuente
Pixabay / Pete Linforth. Ciberdelincuente (Pixabay License)

¿Qué es? 

La ingeniería social es el conjunto de técnicas utilizadas por los ciberdelincuentes para conseguir información personal de los usuarios, como contraseñas y datos bancarios, o para obtener el acceso a sus equipos con el fin de instalar software malicioso o malware sin que la víctima se percate de ello. 

Los ciberdelincuentes utilizan la ingeniería social porque resulta más sencillo o barato dedicar tiempo y esfuerzo a engañarte que vulnerar tus sistemas de seguridad. La vulnerabilidad pasa, de estar en los equipos a estar en las personas, pero puedes evitarlo. De forma sistemática, los ciberdelincuentes emplean la ingeniería social para ofrecerte algo que capte tu interés sin que puedas sospechar que ellos están detrás. 

Pueden incitarte a abrir ficheros adjuntos en el correo electrónico, se harán pasar por otras personas que te puedan resultar de confianza para conseguir acceso a información privilegiada o tratar de hacerte creer que tu equipo está infectado con malware (virus) para ofrecerte una solución que, supuestamente, lo desinfecte.  

Los ataques de ingeniería social son cada vez más frecuentes y sofisticados, ya que no se trata solo de caer en una trampa, sino de la personalización que hacen los ciberdelincuentes de esta. Por poner un ejemplo, el 93% de las brechas de seguridad comienza a partir de una llamada telefónica o de un correo electrónico. 

¿Cómo reconocerla? 

Todo consejo o ayuda no solicitada debe considerarse, a priori, con precaución, especialmente si se trata de clicar en un enlace o descargar algún programa bajo cualquier excusa, porque probablemente te encuentres ante un intento de fraude por ingeniería social. De la misma forma, cualquier petición de tus contraseñas o información bancaria es un truco, ya que las instituciones legítimas nunca te van a pedir una contraseña a través de correo electrónico, SMS, redes sociales, teléfono, etc. 

En el punto siguiente hablaremos de cómo protegerte frente a estos ataques. 

Técnicas de ingeniería social 

 Estas técnicas son las formas más habituales que tienen los ciberdelincuentes para conseguir tus datos:

  1. Pretexting: es la base de cualquier ataque de ingeniería social. Consiste en elaborar una historia falsa con la que el atacante tratará de convencerte para que compartas información que, en circunstancias normales, no compartirías. 
  2. Sextorsion: chantaje donde te amenazan con revelar o distribuir a tus contactos contenido comprometido para ti, generalmente, imágenes de contenido sexual, si no accedes a las peticiones del ciberdelincuente. 
  3. Phishing: se emplean correos electrónicos con archivos adjuntos infectados o enlaces a páginas fraudulentas con el objetivo de tomar el control de tu equipo, bien para crear una botnet (para atacar a otros objetivos, realizar envío de spam, etc.) o para robarte información confidencial. 
  4. Smishing: es una variante del phishing pero que se realiza a través de SMS. 
  5. Baiting: aquí el cebo es la descarga de un programa que pretende hacer maravillas y, además, de forma gratuita. Lo habitual es que el programa no cumpla con su cometido, aparte de instalar en segundo plano otra serie de programas que otorgan el control de tu equipo al ciberdelincuente. 
  6. Vishing: recibes una llamada telefónica en la que el atacante se hace pasar por un organismo legítimo (Microsoft, por ejemplo) o persona de confianza. 
  7. Shoulder Surfing: consiste en mirar "por encima del hombro". Al atacante le basta con observar lo que escribes o tienes en pantalla para obtener información muy útil. 
  8. Quid pro quo: te prometen un beneficio sustancioso (dinero, acceso gratuito a programas de pago, regalos exclusivos) a cambio de tu información personal (dirección de correo, DNI, teléfono, etc.). 
  9. Dumpster diving: se refiere al acto de buscar en la basura (papelera de reciclaje) para obtener documentos con información. Este mecanismo es muy habitual en salas de informática de los centros educativos y los ciber-cafés. 
  10. Redes Sociales: las técnicas de engaño más comunes a través de las redes sociales se realizan mediante cupones descuento, juegos y concursos donde crees poder ganar algo. 
  11. Browser in the Browser: es la última y más novedosa. Los ciberdelincuentes crean una ventana emergente que aparece cuando estamos visitando una web legítima, pero esta ventana emergente es falsa. Esta ventana no se encuentra dentro de la web, sino del navegador.

Ahora que ya sabes en qué consiste esta práctica, te interesa conocer las excusas que más utilizan los ingenieros sociales (ciberdelincuentes) para engañarte y conseguir sus objetivos: 

  • Desastres naturales/accidentes: por ejemplo para difundir páginas fraudulentas de donaciones. 
  • Celebración de olimpiadas, mundiales, festivales… para poner en circulación falsos sorteos, entradas, descuentos...
  • Noticias sobre famosos: escándalos, controversias, muertes… captan la atención de los usuarios. Los ciberdelincuentes utilizan toda su imaginación para conseguir que cliques en vídeos o enlaces que te darán detalles escabrosos. El problema es que detrás de esa supuesta información se suele esconder algún virus. 
  • Situaciones que generan alarma: multas, denuncias, notificaciones de la policía, problemas de seguridad. En este grupo, estarían clasificados los ya más que conocidos phishing, en los que, a través de un email, se te alerta de que debes realizar una acción de forma inmediata. Ejemplos muy típicos son: 
    • Tu móvil tiene un virus. 
    • Notificación de la Policía. 
    • Bloqueo de cuenta de Facebook, Instagram o proveedor de telefonía móvil. 
    • Envío de una factura. 
    • Problemas con un pedido a una tienda online. 
  • Lanzamiento de nuevos productos y servicios: la presentación del nuevo iPhone, actualizaciones de Android, videojuegos, etc. 

Aplicación en el aula

Algunas de las tareas que puedes realizar en el aula con tu alumnado y que puedes consultar en el punto cinco, son:

  • A partir de Educación Primaria:

Actividad nº 2. Cómo sé si es phishing / Detecta el fraude

  • Para FP, Educación Secundaria y Bachillerato:

Actividad nº 5. Prueba de detección de ingeniería social

Una botnet o red zombi es un grupo de ordenadores o dispositivos que están bajo el control de un atacante, y que se usan para perpetrar actividades malintencionadas contra una víctima.

2.2. Protección de dispositivos y cuentas

Logotipo de seguridad con un candado
Pixabay / Pete Linforth. Ciberseguridad (Pixabay License)

Protección de dispositivos 

En primer lugar, se proponen unas normas o claves para configurar los dispositivos de forma segura y, así, tratar de evitar estos ataques de ciberdelincuentes que se han visto en el bloque anterior:

  1. Comprobar la configuración de tu red WI-FI. Se trata de la puerta de entrada/salida desde y a Internet. En este sentido, en los centros escolares no tienes ningún problema porque se trata de una red privada (hablamos de la red de Escuelas Conectadas) a la que solo puedes acceder con tus credenciales de Educacyl. Pero, en tu hogar, además de cambiar el nombre de la red (SSID) y la contraseña de la red WI-FI que viene apuntada en el router, dicha contraseña debe ser robusta, es decir, tiene que contar con mayúsculas, minúsculas, números y símbolos intercalados y nunca debe incluir información personal, como la fecha de cumpleaños, por ejemplo. 
  2. Revisar las contraseñas y sistemas de seguridad de acceso a tus dispositivos: utiliza una contraseña distinta para cada uno de ellos (ordenador de sobremesa, portátil, teléfono móvil, tableta, Smart TV…). Esto garantiza que, si uno de los equipos conectados se ve comprometido, no estarán en riesgo el resto. Además, muchos dispositivos cuentan con sistemas de acceso biométrico: Touch-Id (huella dactilar), Face-Id (rostro), pin, patrón, Windows Hello, etc., que añaden una capa más de seguridad a tus dispositivos. 
  3. Activar las actualizaciones automáticas de tus dispositivos: tanto las actualizaciones de software como las de firmware. Ambas son la clave para que estén cubiertos contra posibles agujeros de seguridad. 
  4. Revisar las aplicaciones o skills de los dispositivos móviles, tabletas e IoT: al instalar una nueva opción o aplicación le concedes permisos (seguimiento, notificaciones, ubicación, contactos, etc.). Es posible revisarlos y desactivar los que no te interesen. Así mismo, cuando instales estas herramientas o aplicaciones debes hacerlo siempre desde las tiendas oficiales; hacerlo desde otro lugar suele ser la causa de una infección por malware (virus).
  5. Cifrar tu dispositivo: esto dependerá de tu sistema operativo.
    • El sistema operativo iOS (iPhone, iPad...) cifra el contenido de forma predeterminada cuando este se encuentra con acceso bloqueado.
    • Android, por el contrario, requerirá que lo hagas de forma manual para cifrar tanto la memoria interna como las tarjetas SD insertadas en él. Cada modelo de teléfono/tableta o versión de Android puede presentar itinerarios de acceso diferentes: debes consultar las características de tu dispositivo.
    • También existen programas que realizan estas funciones en ordenadores de sobremesa y portátiles, como BitLocker para Windows o File Vault para macOS. 
      Atenciónla pérdida de las contraseñas de encriptado supondrá, irremediablemente, la pérdida de toda la información contenida en estos dispositivos. 
  6. Firewall: Se trata de un software integrado en tu sistema operativo, y activo por defecto, que gestiona tanto las conexiones entrantes como las salientes. Puedes y debes comprobar que este firewall esté activado en todo momento. 
  7. Internet Security: muchos antivirus cuentan con una versión de Seguridad en Internet. Estas versiones suelen incluir un firewall propio que sustituye al del sistema operativo y que puedes administrar y controlar de manera más efectiva, por ejemplo, para controlar qué programas, servicios o páginas web tienen acceso a tu webcam, independientemente de los permisos que tenga el navegador. 

Protección de cuentas 

De igual manera que en el apartado anterior, se platean algunas normas básicas para la protección de tus cuentas: 

  1. Establecer contraseñas robustas: como ya has visto anteriormente, se trata de un requisito indispensable, además de procurar que cada cuenta en la que te registres tenga una contraseña diferente. En este sentido, resultan de gran utilidad los gestores de contraseñas de los que hemos hablado. 
  2. Verificación de doble factor: también se ha mencionado anteriormente esta medida de seguridad. Casi todas las redes sociales y servicios de correo electrónico te permiten usar la autenticación de doble factor (que no en dos pasos, recuerda). 
  3. Configurar los diferentes aspectos de seguridad y privacidad de tus redes sociales (o RRSS): se trata de un requisito fundamental. Las redes sociales son uno de los principales medios a través de los que se lanzan ciberataques. Por suerte, también te puedes encontrar con varias herramientas que te ayudan a mantener tu seguridad. Pero la herramienta fundamental es el sentido común. Nuestro primer consejo en cuanto a estas RRSS es hacer tus perfiles privados y visibles solo para tus amigos (amigos de verdad y no desconocidos que añado a mi lista), los cuales deberán solicitarte permiso para que el sistema los reconozca como tales. Esto significa que nadie más allá de tus contactos tendrá acceso a tu información.
  4. Cuidar la cantidad de información personal: es decir, debes evitar mostrar más información personal de la estrictamente necesaria. Debes limitarte a lo mínimo posible y, de esta forma, tu privacidad estará mucho más protegida en Internet y tu huella digital será menos visible.
  5. Restringir tus contactos: es aconsejable no agregar a cualquier contacto. Debes limitarte a aquellos que realmente conoces y que sabes realmente quiénes son. De otra manera, corres el riesgo de que esa persona, en realidad, sea un ciberdelincuente o un bot, para espiarte, recopilar tus datos personales, tus fotos, etc., lo que puede servir para realizar un ataque de phishing personalizado. 

Para profundizar más en este tema puedes consultar la Guía de privacidad y seguridad en Internet realizada por la Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE) y la Oficina de Seguridad del Internauta (OSI) aquí.

Aplicación en el aula

Algunas de las tareas que puedes realizar en el aula con tu alumnado y que puedes consultar en el punto cinco, son:

  • A partir de Educación Primaria:

Actividad nº 3. Qué datos no debes compartir nunca en Internet

Actividad nº 4. Comparte tus fotos y tu información de forma segura (WhatsApp y Tik Tok)

  • Para FP, Educación Secundaria y Bachillerato:

Actividad nº 6. Revisa tus ajustes de seguridad y privacidad en Instagram

Nombre que identifica una red local inalámbrica. Son las siglas de Service Set Identifier.
El firmware o soporte lógico inalterable es un programa informático que establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo de cualquier tipo.
El término IoT (Internet of Things), o Internet de las cosas, se refiere a la red colectiva de dispositivos conectados y a la tecnología que facilita la comunicación entre los dispositivos y la nube, así como entre los propios dispositivos: bombillas, persianas, termostatos, cámaras de vigilancia, videoconsolas, vehículos, electrodomésticos...

Información que queda como resultado de la navegación web de un usuario y de la publicación de contenido en redes sociales. Esta información se almacena de diferentes formas. El término generalmente se aplica a una persona individual, pero también puede referirse a un negocio, organización y corporación.

Programa informático que suplanta o asemeja la identidad de una persona.