Universidad de Granada

Seguridad Informática - Recopilación de información relevante sobre ciberseguridad para el personal de la Universidad de Granada

Inicio >> Archivo de Buenas Prácticas

[INFOGRAFÍA] Protección de datos en vacaciones: cómo mantener tu información segura.

Las vacaciones son una época para relajarse y desconectar de las preocupaciones diarias. Sin embargo, en un mundo digitalizado es importante no bajar la guardia en lo que respecta la protección de datos y la seguridad de la información. Por esa razón, la Oficina de Protección de Datos junto con el Responsable de Seguridad de la Información presentan en forma de infografía las indicaciones básicas de como evitar situaciones de riesgo para la protección de datos personales en vacaciones:

Screenshot

Mensaje de nuestro CISO en el día internacional de internet.

Querida comunidad universitaria:

Hoy, 17 de mayo, celebramos, entre otras conmemoraciones, el Día Mundial de Internet. Somos conscientes de que los nuevos medios de comunicación y, en concreto Internet, han supuesto suponen un gran avance tanto en nuestra actividad personal como laboral. No obstante, debemos tener siempre presentes los peligros a los que nos enfrentamos cuando se usan.

Si en un correo anterior, abordábamos buenos hábitos de navegación, en este comentan dos de las amenazas más relevantes en el uso de Internet y algunos breves consejos para evitarlas/mitigarlas:

  • Ataques de phishing: Este tipo de ataque intenta obtener datos sensibles, como credenciales, a través de una solicitud fraudulenta en un correo o sitio web, en la que se suplanta una persona organismo legítimo. Otras formas de este ataque son el smishing (phishing por SMS) o el vishing (phishingmediante VoIP).
  •   Consejos de protección:
    •     Verificar la legitimidad del emisor del mensaje.
    •     Habilitar los filtros antispam y reportar cualquier correo fraudulento.
    •     En caso que el correo suministre un enlace, no pinchar en el (verificar antes la veracidad de la URL).
    •     No suministrar datos sensibles, especialmente contraseñas, en respuesta al mismo.
  • Infección de malware: Los programas maliciosos suponen una amenazas significativa que pueden suponer pérdidas/robo de datos o daños al sistema. Este tipo de programas pueden alcanzar nuestro sistema de varias formas: adjuntos de correos, sitios web infectados, descargas de Internet, etc.
  •     Consejos de protección:
    •    Mantener el dispositivo actualizado
    •    Usar antivirus y no desinstalarlo. Complementariamente, podemos usar microClaudia para frente a infecciones de ransomware.
    •    Precaución con los archivos que descarguemos.
    •    Hacer copias de seguridad para mitigar el impacto potencial de una infección.

Para cualquier aclaración o consulta podéis dirigiros a los correos de seguridadinformatica@ugr.es o csirc@ugr.es.

Que paséis un buen (seguro) día. Un cordial saludo.

Responsable de Seguridad de la Información

 

La Universidad de Granada se protege contra filtraciones de contraseñas.

La Universidad de Granada, en colaboración con el CCN, es usuaria de la plataforma Trillion. Esta plataforma analiza las filtraciones de contraseñas y correos que se producen en la red cada día y gestiona las alertas relacionadas con la institución.

Si te ha llegado un correo de ellos, contacta con Seguridad Informática (seguridadinformatica@ugr.es) para verificar la procedencia y nunca facilites tu contraseña en el proceso. Trillion jamás te pedirá tu contraseña para acceder.

Una vez que estés seguro de que el mensaje es verídico, tendrás que pinchar en el enlace que aparece en él. Se abrirá una página en el navegador con el siguiente aspecto:

Al clicar en empezar, se abrirá un menú como el de la imagen de abajo. En él se puede ver en cuantas filtraciones aparece el correo afectado, en cuantas de estas filtraciones aparece la contraseña sin ningún tipo de cifrado, cuantas se han filtrado con la contraseña cifrada, nombres de usuario expuestos y apariciones del correo institucional.
En el resto de campos también pueden verse expuestos ciertos datos menos relevantes como el país, fecha de nacimiento o número de teléfono.

Una vez haya sido vista esta información, haremos click en “Empezar” y se nos mostrará una pantalla como la siguiente, donde pulsando en el botón de revelar contraseña podremos ver cual es la clave filtrada. Es posible que no reconozcamos dicha contraseña, ya que hay hackers que no filtran toda la información de manera verídica.

Tanto si la contraseña es la habitual como si no, deberemos responder a las cuestiones que aparecen a continuación para identificar los pasos a seguir.

 

 

En cualquier caso, recomendamos encarecidamente modificar la contraseña del correo institucional si existe el mínimo indicio de filtración.

Recuerda que todos los datos filtrados van a intentar ser utilizados en tu contra por los ciberdelincuentes. Todos los datos son importantes, ya que permiten a estos individuos dirigir campañas de phishing o spam dirigidas a un usuario concreto. Si además, la contraseña la tienen disponible podrían suplantar tu identidad en correos, foros o redes sociales de una manera prácticamente indetectable.

 Si tienes alguna duda con la plataforma o crees que tu contraseña ha sido expuesta no dudes en contactar con el área de seguridad informática de la universidad.

 

Más Ciberconsejos, ahora del CCN.

El Centro Criptológico Nacional, a través de su plataforma de formación Ángeles, nos dejan estos ciberconsejos https://angeles-privado.ccn-cert.cni.es/files/Ciberconsejos.pdf 

En la plataforma Ángeles tenéis mas información sobre ciberseguridad, si os dais de alta como funcionarios os dejaran hacer algunos cursos gratuitos con certificado del CCN, espero que los aprovechéis.

 

Cómo agregar un certificado a tu web de UGR.

Un certificado SSL es un certificado digital que autentica la identidad de un sitio web y permite una conexión cifrada. Por defecto las webs creadas no poseen este tipo de certificados, y ello supone un problema tanto para la seguridad como para la indexación en buscadores.

A continuación, os dejamos una breve guía sobre cómo solicitar e instalar los certificados en los dominios de la Universidad de Granada.

En primer lugar, deberás solicitar la generación del certificado a seguridadinformatica@ugr.es especificando la URL de la web de la cual debes ser titular/responsable.

Acto seguido, recibirás un correo solicitando que aceptes las condiciones y una vez hecho esto recibirás dos correos, uno con la clave pública (remitido por la empresa emisora de certificados, es un mensaje en inglés con varios enlaces de diferentes formatos de certificados) y otro con la clave privada (remitido por seguridadinformatica@ugr.es).

Deberá  guardar del email que se le ha enviado el archivo de la clave privada con el nombre “nombre_de_dominio_privatekey.pem” y el archivo del primer enlace del correo de la clave pública “nombre_de_dominio_cert.cer”.

Una vez haya obtenido ambos ficheros deberá subirlos a su sitio web a través de FTP a los servidores ftp://ftpweb.ugr.es o ftp://ftpwpd.ugr.es.

Dentro del servidor ftp correspondiente deberá crear una carpeta llamada “cert” en la carpeta raíz de su usuario (/).

Subir a dicha carpeta los archivos de los certificados previamente descargados.

Finalmente, debe solicitar la activación de los certificados a csirc@ugr.es o llame al CAU (36000), indicando su nombre de usuario, la web a la que le quiere activar la Web Segura, y que desea que se le activen los certificados que ha subido previamente a su espacio web.

Los certificados tienen una caducidad de un año. Su renovación puede ser  automática, 30 días antes de la caducidad le llegará un correo con una nueva clave pública, la clave privada no caduca.