Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Alertas

#36. ¿Cómo ocultar los datos personales en los documentos que publicamos en internet?

Los documentos elaborados con herramientas ofimáticas como procesadores de texto, hojas de cálculo, editor de presentaciones o documentos .pdf guardan información de carácter adicional, lo que se conoce como metadatos, que son: autor, título, tema, tamaño de página, fechas relacionadas, etc. Si no queremos que esos datos sean visibles para cualquier persona que tenga acceso al documento, podemos ocultar los metadatos antes de publicar en internet o enviar por correo electrónico cualquier documento. En estos enlaces, encontrarás cómo hacerlo:

Que puedo hacer

  • Cuando no utilicemos nuestros dispositivos (móviles, ordenadores u otros), aunque sea por un instante, debemos bloquearlos para evitar que cualquiera pueda comprometer la información que contienen.
  • En el momento en que dejamos de utilizar un documento en papel hay que archivarlo de manera segura, incluso cuando tengamos que ausentarnos temporalmente. También habrá que almacenarlo bajo llave, especialmente cuando se trate de un documento confidencial o crítico.
  • Eliminar de manera segura los documentos que ya no sean útiles. En muchas ocasiones, la información que contienen puede ser crítica o muy útil para otra entidad o persona. Por este motivo, hay que destruirlos o eliminarlos, de manera que no se pueda recuperar esta información.
  • Notificar cualquier incidencia de seguridad (virus, pérdida de información o de dispositivos, etc.).
  • Cifrar la información confidencial.
  • Mantener actualizado el sistema operativo de nuestros equipos.
  • Mantener el antivirus actualizado y activo en nuestros equipos.
Protegerme
  • Las contraseñas deben seguir la complejidad, longitud y periodicidad que tenga establecida la política de contraseñas seguras de la universidad, así como ser únicas y no compartirse nuncaNo se deben apuntar en lugares que sean accesibles, como pueden ser notas pegadas a la pantalla o debajo del teclado.
  • No descuides los dispositivos externos. Es imprescindible tener todos los dispositivos siempre a la vista, cualquier descuido, pérdida o robo podría desencadenar un incidente de seguridad. Si estás en constante movilidad, guarda los dispositivos cuando no los estés usando y cifra la información que contienen.
  • No abandonar documentación sensible en impresoras o escáneres. Recoger inmediatamente aquellos documentos impresos y guarda la información una vez escaneada.
  • No revelar información a usuarios no debidamente identificados.
  • No instalar aplicaciones sin licencia ocuyo origen desconozcas.

#35. Typosquatting, el ciberataque que utiliza errores tipográficos

La suplantación por error tipográfico (o typosquatting) es un delito informático que se produce cuando los ciber atacantes registran una página web con un nombre y dirección URL muy similar, -normalmente solo cambia una letra- a los de un sitio web conocido, para suplantar su identidad. El dominio solo se diferencia del original por un error tipográfico. De esta manera, cuando el usuario escribe incorrectamente una URL en su navegador o recibe un enlace que simula el de una web conocida, puede acabar en una página maliciosa.

Que puedo hacer

  • En la medida de lo posible, asegurarse de que el sitio web visitado es fiable. La UGR implementa mecanismos de bloqueo automático en lugares que se consideran maliciosos.
  • Tener actualizado el navegador y los plugins instalados. Se recomienda configurar los navegadores de manera que se actualicen automáticamente, bien de forma transparente al usuario o mediante notificaciones que deberán ser aprobadas.
  • Instalarse plugins sólo desde lugares oficiales.
  • Verificar que los certificados remitidos por servicios HTTPS que manejan información sensible (por ejemplo, servicios de correo, banca electrónica, etc.) han sido remitidos por una autoridad de certificación (CA) de confianza.
  • Valorar el uso de extensiones o complementos adicionales que implementen funcionalidades no previstas por el navegador. Por ejemplo, las que mejoran la privacidad durante la navegación o que bloquean en la medida de lo posible anuncios, banners publicitarios y determinadas técnicas de seguimiento utilizadas por terceros.
  • Utilizar navegación privada cuando se navega desde dispositivos de los que el usuario no es su propietario.
Protegerme
  • Desactivar por defecto conectores como Adobe Flash y Java. Habilitar los mismos bajo demanda solo para aquellos servicios conocidos y que sean de confianza.
  • Deshabilitar o eliminar las extensiones en desuso.
  • Desactivar JavaScript para navegar por páginas web desconocidas.
  • Revisar las opciones de seguridad y privacidad del navegador:
  • no aceptar galletas de terceros,
  • bloquear pop-ups,
  • evitar la sincronización de contraseñas,
  • evitar el autocompletado,
  • borrar los ficheros temporales y galletas al cerrar el navegador,
  • bloquear la geo-localización,
  • filtrar ActiveX
  • No almacenar en el navegador credenciales de acceso a servicios web.

#34. ¡Alerta con los juegos online y las aplicaciones gratuitas!

Todo el mundo ha descargado alguna vez una aplicación gratuita de internet. La mayoría de las veces, la descargamos automáticamente sin fijarnos en los permisos que autorizamos y que, en algún caso, pueden comprometer la seguridad de nuestros dispositivos.

Las tiendas oficiales (Play Store, App Store…) disponen de controles que filtran el paso de aplicaciones no fiables, pero siempre se les puede escapar alguna. Descarga las aplicaciones sólo desde sitios oficiales y revisa los permisos y datos que solicitan.

Estos dos consejos sirven también para los videojuegos. El número de robos y estafas a jugadores va en aumento. Los ciberdelincuentes utilizan técnicas como el envío de mensajes al móvil o a través de redes sociales, en los que invitan al usuario a algún programa beta o premium, o envían un mensaje de recuperación de la cuenta.

Que puedo hacer

  • En la medida de lo posible, asegurarse de que el sitio web visitado es fiable. La UGR implementa mecanismos de bloqueo automático en lugares que se consideran maliciosos.
  • Tener actualizado el navegador y los plugins instalados. Se recomienda configurar los navegadores de manera que se actualicen automáticamente, bien de forma transparente al usuario o mediante notificaciones que deberán ser aprobadas.
  • Instalarse plugins sólo desde lugares oficiales.
  • Verificar que los certificados remitidos por servicios HTTPS que manejan información sensible (por ejemplo, servicios de correo, banca electrónica, etc.) han sido remitidos por una autoridad de certificación (CA) de confianza.
  • Valorar el uso de extensiones o complementos adicionales que implementen funcionalidades no previstas por el navegador. Por ejemplo, las que mejoran la privacidad durante la navegación o que bloquean en la medida de lo posible anuncios, banners publicitarios y determinadas técnicas de seguimiento utilizadas por terceros.
  • Utilizar navegación privada cuando se navega desde dispositivos de los que el usuario no es su propietario.
Protegerme
  • Desactivar por defecto conectores como Adobe Flash y Java. Habilitar los mismos bajo demanda solo para aquellos servicios conocidos y que sean de confianza.
  • Deshabilitar o eliminar las extensiones en desuso.
  • Desactivar JavaScript para navegar por páginas web desconocidas.
  • Revisar las opciones de seguridad y privacidad del navegador:
  • no aceptar galletas de terceros,
  • bloquear pop-ups,
  • evitar la sincronización de contraseñas,
  • evitar el autocompletado,
  • borrar los ficheros temporales y galletas al cerrar el navegador,
  • bloquear la geo-localización,
  • filtrar ActiveX
  • No almacenar en el navegador credenciales de acceso a servicios web.

Más información:

#33. ¿Cómo puedo saber si mis datos se han filtrado en internet?

En caso de sospecha o solo como verificación de control, existen servicios que pueden ayudarnos a saber si nuestros datos han sido expuestas a un filtración y, por lo tanto, su seguridad puede estar comprometida.

Uno de estos servicios es Have I Been Pwned, que recopila información de 670 sitios web que han sido afectados por una brecha y de más de 12.500 millones de cuentas expuestas. Basta poner nuestra dirección de correo y nos dirá si nuestra cuenta ha sido comprometida. Recuerda que es responsabilidad de cada uno utilizar contraseñas seguras y cambiarlas en caso de sufrir un incidente de seguridad. Comprueba en el siguiente enlace la seguridad de tus datos:

https://haveibeenpwned.com/

 

Que puedo hacer

  • Antes de abrir cualquier fichero descargado desde el correo asegurarse de cuál es su extensión y no fiarse solo del icono asociado al fichero.
  • Cuando se envía un mensaje a varias personas y se quiere evitar que los destinatarios puedan ver el resto de direcciones, utilizar la función de copia oculta (CCO o BCC).
  • Utilizar listas de distribución cuando se tenga que hacer un envío masivo de correos.
  • Evitar hacer clic directamente en cualquier enlace desde el propio cliente de correo. Si el enlace es desconocido es recomendable buscar información en motores de búsqueda como Google o Bing.
  • Cifrar los mensajes de correo que contengan información sensible.
Protegerme
  • No abrir ningún enlace ni descargar ningún fichero adjunto procedente de un correo electrónico que presente cualquier síntoma o patrón fuera de lo que se considera «normal» o habitual.
  • No fiarse únicamente del nombre del remitente. Comprobar que el dominio del correo recibido (el que hay después de @ de la dirección) es de confianza. Si un correo procedente de un contacto conocido solicita información inusual, contactar con el mismo usuario por teléfono, u otra vía de comunicación, para corroborar la legitimidad de la solicitud.
  • No habilitar las macros de los documentos ofimáticos descargados incluso si el propio fichero así lo solicita.
  • No hacer clic en ningún enlace que solicite datos personales ni bancarios.
  • En el caso de utilizar la versión web para acceder al correo electrónico, no almacenar las credenciales en el propio navegador. Antes de cerrar la sesión del navegador se debe asegurar cerrar la sesión de la cuenta de correo electrónico.

Más información:

#31. Protege tu información. ¡Haz copias de seguridad!

Perder archivos importantes es mucho más común de lo que piensas. La información está expuesta no solo a ciberdelincuentes o programas maliciosos, también a pequeños accidentes, fallos mecánicos, incendios o desastres naturales, y todos tenemos información que queremos proteger, guardar y conservar en el tiempo.

Realizar copias de seguridad de forma periódica es la única forma de garantizar que la información (datos, fotos, documentos) puede ser recuperada en caso de accidente o pérdida. En este caso, es importante elegir un soporte seguro para copiar y guardar la información. Por ejemplo, conviene no utilizar siempre el mismo USB, un disco duro con varios años, o el mismo dispositivo del que estamos haciendo copia.

Que puedo hacer

  • Cuando no utilicemos nuestros dispositivos (móviles, ordenadores u otros), aunque sea por un instante, debemos bloquearlos para evitar que cualquiera pueda comprometer la información que contienen.
  • En el momento en que dejamos de utilizar un documento en papel hay que archivarlo de manera segura, incluso cuando tengamos que ausentarnos temporalmente. También habrá que almacenarlo bajo llave, especialmente cuando se trate de un documento confidencial o crítico.
  • Eliminar de manera segura los documentos que ya no sean útiles. En muchas ocasiones, la información que contienen puede ser crítica o muy útil para otra entidad o persona. Por este motivo, hay que destruirlos o eliminarlos, de manera que no se pueda recuperar esta información.
  • Notificar cualquier incidencia de seguridad (virus, pérdida de información o de dispositivos, etc.).
  • Cifrar la información confidencial.
  • Mantener actualizado el sistema operativo de nuestros equipos.
  • Mantener el antivirus actualizado y activo en nuestros equipos.
Protegerme
  • Las contraseñas deben seguir la complejidad, longitud y periodicidad que tenga establecida la política de contraseñas seguras de la universidad, así como ser únicas y no compartirse nuncaNo se deben apuntar en lugares que sean accesibles, como pueden ser notas pegadas a la pantalla o debajo del teclado.
  • No descuides los dispositivos externos. Es imprescindible tener todos los dispositivos siempre a la vista, cualquier descuido, pérdida o robo podría desencadenar un incidente de seguridad. Si estás en constante movilidad, guarda los dispositivos cuando no los estés usando y cifra la información que contienen.
  • No abandonar documentación sensible en impresoras o escáneres. Recoger inmediatamente aquellos documentos impresos y guarda la información una vez escaneada.
  • No revelar información a usuarios no debidamente identificados.
  • No instalar aplicaciones sin licencia o cuyo origen desconozcas.

Más información: