Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Pontificia Universidad Católica del Perú
Escuela de Posgrado
Maestría en Integración e Innovación Educativa de las Tecnolo...
Upcoming SlideShare
Loading in …5
×

Guia didáctica curso

561 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
561
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Guia didáctica curso

  1. 1. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación GUÍA DIDÁCTICA MÓDULO I: Marco Contextual de las TIC Curso 4: Seguridad, ética y tecnología Código del Curso: TIC604 Profesor de la Unidad 1: Ms. Richard Marcelo Guardia. Profesor de la Unidad 2: Ms. Aurea Bolaños Hidalgo. 1
  2. 2. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Tecnologías de la Información y Comunicación en la Sociedad de la Información y el Conocimiento Módulo I: Marco Contextual de las TIC Cultura Digital y aprendizaje Abierto Gestión de las TIC en las Organizaciones Educativas Seguridad, Ética y Tecnología 2
  3. 3. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Índice 1. Seguridad informática: nociones y peligros 1.1 Concepto e importancia 1.2 Los peligros de Internet 1.2.1 Los rastros de los usuarios en software 1.2.2 Virus informático 1.2.3 Piratería informática 1.3 Soluciones 1.3.1 Control de acceso 1.3.2 Herramientas de protección 1.3.3 Copias de seguridad o Backup 1.3.4 Criptografía 2. Seguridad y ética 2.1 Normas y código de ética 2.2 Organismos internacionales de regulación en el uso de Internet 2.3 Derechos de autor y propiedad intelectual Plagio de material educativo. 4 5 6 8 10 15 17 18 29 32 35 44 45 51 54 56 Bibliografía 58 Lecturas 60 3
  4. 4. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Unidad 1: Seguridad informática: nociones y peligros Autor: Ms. Richard Marcelo Guardia Docente de la PUCP 4
  5. 5. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Seguridad informática: Nociones y peligros El avance de las tecnologías de la información y la comunicación se ha extendido y ha llegado casi a todos los rincones del planeta, se han tendido redes que cubren la superficie del globo terráqueo en su totalidad. Hoy en día las distancias de comunicación se han acortado y podemos estar presentes para interactuar e intercambiar peculiaridades propias de nuestra cultura con otras existentes en lugares muy distantes, que décadas atrás eran inimaginables. Todo este desarrollo y apertura de la información ha traído consigo nuevas formas de pensar y nuevas formas de actuar, es innegable adquirir una postura frente a la cultura digital que absorbe y modifica nuestros hábitos en la vida diaria. En la sociedad actual la información está cada vez más al alcance de todos y el valor que muchas veces adquiere es superior a los activos tangibles. Las políticas de seguridad definidas e implementadas por instituciones que manejan información deben ser adaptadas a los cambios actuales y entender que la seguridad informática no es un producto sino un proceso en constante cambio y práctica. Debemos cuestionarnos: ¿Qué es lo que protegemos? ¿Qué debe abarcar las políticas de seguridad informática? ¿Cuáles son las amenazas?, recordar además que Internet es una puerta amplia e insegura y no es posible concebir un sistema de seguridad absoluto de protección a todo tipo de ataques. Solo resta por tanto, definir políticas de seguridad que permitan de forma inteligente evitar daños mayores y en caso de ser víctimas de ataques tener la capacidad de responder de forma inmediata y operar nuevamente. Si somos una institución que tiene apertura a la nube de Internet, debemos ser conscientes de que no existe la privacidad como tal y que debemos aprender a vivir con la inseguridad de cada día. "El único sistema realmente seguro es aquel que está apagado, fundido en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados - y aun así tengo mis dudas" (Eugene H. Spafford). 5
  6. 6. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Revise la siguiente lectura: Quiebras de la privacidad en escenarios digitales: espionaje industrial. http://dialnet.unirioja.es/servlet/articulo?codigo=3289412 1.1 Conceptos e importancia ¿Qué es seguridad? En sentido general, cuando se habla de seguridad, se refiere a la protección de la integridad de cualquier tipo de activo, por ejemplo; la protección contra ataques a nuestras redes, desastres naturales, condiciones ambientales, fallas eléctricas, robo, vandalismo, y cualquier otro tipo de ataque que ponga en juego la integridad de tales activos. Enmarcando la seguridad en el aspecto informático Diremos que se trata de proteger datos, información y sistemas contra diversos tipos de amenazas que ponen en peligro la integridad de diversos sistemas en una institución. Según las leyes de EE.UU., se define la seguridad de la información como "la protección de la información y sistemas de información contra el acceso no autorizado, uso, divulgación, alteración, modificación o destrucción". En esencia, la seguridad informática trata sobre la protección de nuestros datos y nuestros sistemas de todos aquellos agentes internos y externos que traten de abusar y ocasionar daño a la integridad de los activos o recursos informáticos. En las instituciones educativas se cuenta con activos físicos y tangibles como la infraestructura misma del centro, los laboratorios y los equipos de cómputo, además; están los activos lógicos de naturaleza etérea como los programas o software de los equipos y la información relacionada a las actividades de las personas involucradas en los procesos de enseñanza y aprendizaje, cuyo valor es o debiera ser superior a los activos físicos. 6
  7. 7. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación También se debe tener en cuenta a la persona en sí, me refiero a los estudiantes en principio, quienes podrían estar a merced de personas con identidad falsa que buscan de manera inescrupulosa establecer los contactos para llevar a cabo actos tipificados como suplantación de identidad, abuso de menores, engaño, fraude y otras actividades que ponen en peligro la integridad física y psicológica del estudiante. Toda política de seguridad trae consigo consecuencias que se deben tener en cuenta. Por ejemplo si se implementara un sistema considerado razonablemente seguro, lo más probable es que no sea útil o sea poco productivo, por todas las restricciones y limitaciones. Lo que sucede en la práctica es que a medida que aumentamos el nivel de seguridad, por lo general disminuye el nivel de productividad. De la misma manera, se debe tener en cuenta el valor de aquello que se está protegiendo, el costo de la seguridad puesta en marcha nunca debe sobrepasar el valor de lo que está protegiendo. A continuación, tengamos en cuenta algunos términos involucrados en la seguridad informática, como son la amenaza, la vulnerabilidad y el riesgo. Amenaza Es la fuente o causa potencial de futuros incidentes no deseados que pueden provocar un mal grave a los recursos o activos informáticos de la organización. Por ejemplo, se podría citar la intrusión o el acceso no autorizado a información, software malicioso, catástrofes naturales, etc. La intensidad del efecto o daño ocasionado por estos eventos se conoce como impacto. 7
  8. 8. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Vulnerabilidad Se refiere a la existencia de algún tipo de debilidad en los recursos informáticos el cual podría ser aprovechado por las amenazas existentes. Las vulnerabilidades provienen por lo general de errores y fallas en el diseño de software, en el sistema, en políticas y procedimientos de seguridad, etc. Riesgo Es la probabilidad de ocurrencia de una situación que ocasione un daño que impacte en la organización. Los riesgos se materializan cuando una amenaza actúa sobre una vulnerabilidad causando un impacto. Los riesgos más comunes son el robo de datos personales, pérdida de información valiosa, introducción de programas maliciosos, ingeniería social, etc. Platiquemos acerca de algunos mitos de la seguridad informática en el foro abierto para este tema. Revise el enlace sobre: Algunos mitos de la seguridad en internet. En: http://www.unirioja.es/servicios/si/seguridad/difusion /mitos.shtml#1 1.2 Los peligros de internet 1.2.1 Limpieza de rastros de navegación en internet Normalmente cuando navegamos en internet realizamos actividades y tareas que van generando registros en diversos archivos, los cuales son guardados en nuestro equipo y en el mismo navegador. Normalmente la información de todo el recorrido realizado se registra en el historial del navegador, también se registran 8
  9. 9. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación las cookies, contraseñas de acceso, cuentas de usuarios y números de tarjetas de crédito, descargas realizadas y una diversidad de tipos de información. Por otro lado, muchas veces las computadoras que utilizamos no son personales, ya que más de una persona las utiliza, por ejemplo en casa, centro laboral o cabinas públicas. Esto se convierte en un peligro potencial debido a personas con principios no éticos que podrían usar dicha información registradas para fines personales. Por tanto es necesario realizar una limpieza minuciosa de nuestro computador, no solo por seguridad sino además para liberar espacio en el disco duro. Recuerde que eliminar o borrar todo el historial y las cookies del navegador no es suficiente y no asegura que nuestra privacidad se encuentre a buen recaudo. Se recomienda usar un software especializado para el borrado de cookies y todo rastro dejado al navegar en internet. Así mismo, en estos últimos tiempos se observa que los equipos de cómputo en los hogares son utilizados por casi todos los miembros de la familia, para realizar actividades diversas y guardar información cada vez más valiosa. Ya no se usa el computador exclusivamente como consola de video juegos o para navegar en internet, sino para tareas domésticas, de estudio, gestiones económicas o financieras, entre otras. Por este motivo, en ocasiones se debe proceder a ocultar carpetas o archivos con información confidencial o de interés personal en particular. Se sugiere del mismo modo hacer uso de un software para este fin de tal forma que no solo se oculte las carpetas y archivos sino, borre todo rastro generado. Si desea ampliar tus conocimientos sobre las cookies, puedes revisar la siguiente lectura: Las cookies como instrumento para la monitorización del usuario en la Red. Esta actividad resulta invasiva a nuestra intimidad. http://dialnet.unirioja.es/servlet/articulo?codigo=3772898 Sobre Los peligros invisibles de nuestra privacidad en Internet, acceda al siguiente enlace: http://dialnet.unirioja.es/servlet/articulo?codigo=2937324 9
  10. 10. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación 1.2.2 Virus informático y otros peligros Los virus Se trata de pequeños segmentos de códigos de programación que se ejecutan en el computador luego de realizar una acción determinada por parte del usuario. Una vez que este código se ejecuta su acción será entre otras autocopiarse o replicarse (“infectar”) con la finalidad de alterar el funcionamiento, modificar la estabilidad y la integridad del sistema operativo. Internet representa un riesgo alto de infección si no se toman acciones de seguridad pertinentes. Los ataques a través de los virus no están orientados a afectar solo el software sino también hay casos en los que puede ocasionar daños al hardware. A través del correo electrónico existe una diversidad de modalidades por la que nuestro computador y la información podrían verse afectados, no solo a causa de los virus sino también de otros programas maliciosos. ¿Recibe correos de personas que usted no conoce? ¿Ha encontrado archivos adjuntos en los mensajes recibidos? ¿Ha descargado estos archivos adjuntos, reconoce sus extensiones y tipos de archivos? ¿Los ha ejecutado y ha notado cambios o alteraciones en su computador? ¿Usa un antivirus? Los programas antivirus no ofrecen protección absoluta, pero hacen una buena parte del trabajo en cuestiones de seguridad, al menos evitan dejar nuestra red vulnerable a las amenazas de los virus más conocidos. No olvide realizar las actualizaciones del antivirus que por lo general agrega mejoras en su motor de escaneo, detección y acción a realizar, así como la base de datos de virus conocidos. Los virus en internet llegan por lo general a través de documentos adjuntos al correo electrónico. Tener en cuenta los archivos adjuntos con extensiones .exe .com .bat .vbs .php .class .jbs .scr .pif para sospechar y dar un tratamiento 10
  11. 11. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación especial, con mayor razón si provienen de mensajes de personas que no conocemos. Phishing Es una técnica de estafa por internet que textualmente desarrolla una estrategia indicada por su propio nombre Phishing (“pesca” en español). La estafa es llevada a cabo mediante técnicas de ingeniería social en las que el estafador, o phisher, intenta conseguir información confidencial (contraseñas, datos bancarios, etc.) de forma fraudulenta. Es claro que en este caso se suplanta la personalidad de un individuo o institución de confianza con el objetivo de obtener datos privados. Como sucede en la actividad de la pesca se lanza el anzuelo con la carnada, en este caso, un correo electrónico masivo con la intensión de que alguien pique el anzuelo. Se estima que de cada veinte emails enviados uno alcanza su cometido. Algunas veces el phiser consigue que la víctima visite una página web casi idéntica a la página web de la entidad financiera en la que el usuario tiene plena confianza e incluso presenta las secciones similares en donde se puede navegar como se hace normalmente en la página web verdadera y finalmente consigue que la víctima introduzca sus datos personales. Por otro lado este tipo de comunicaciones electrónicas supone una modalidad muy peligrosa de “spam” (comunicación comercial no deseada) que no solamente satura nuestro correo electrónico y servidores, sino que además resulta un auténtico peligro para la integridad y confidencialidad de los datos privados del receptor. Revise la siguiente lectura para complementar esta sección sobre Phishing y otros delitos informáticos: el uso ilícito de Internet. http://dialnet.unirioja.es/servlet/articulo?codigo=2719220 11
  12. 12. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Pharming Es una práctica tipificada como delito informático en donde el peligro es mayor que el phishing ya que en este caso el estafador desvía el tráfico de internet sin que la víctima se percate de ello. La victima ingresa a la página web de una institución de su confianza y sin ser consciente de que este es redireccionado hacia una página web falsa. Por lo general esta actividad se da cuando se accede a entidades financieras y el objetivo es apoderarse de datos personales de forma ilícita para concretar robos en cuentas bancarias. Hacking Es la acción de acceder a una red aprovechando las vulnerabilidades para burlarse de la seguridad establecida. La persona que realizar esta acción se denomina Hacker quien luego de descubrir situaciones de riesgo informa a los responsables para corregir y solucionar la vulnerabilidad, más que atacar, destruir o modificar, se trata de un reto por violar la seguridad y anotar un nuevo logro. En el mundo de los hacker, estos compiten por ser los más conocidos. Puede encontrar una lista de los diez más famosos en http://www.tecnologiadiaria.com/2007/05/top10-hackers-famosos.html La palabra hacker es un neologismo y en informática se refiere a un gran experto en algún área de dominio, por ello en el mundo profesional de la seguridad el término hacker es un título honorífico que hace referencia a un experto en descubrir vulnerabilidades del sistema y evitar o burlas los sistemas de seguridad informática. Por tanto, los hackers no son piratas informáticos, tampoco cometen delitos, aunque a veces se piensa lo contrario, esto es muy discutible. 12
  13. 13. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Cracking Este término proviene del vocablo inglés crack (romper). La persona que realiza esta acción se conoce como Cracker y en el mundo informático en el ámbito de la seguridad, se refiere a alguien que viola la seguridad de un sistema de forma similar a un hacker, pero éste lo hace de manera ilegal y con fines adversos. Por otro lado, este término también se puede aplicar a aquellas personas que haciendo uso de la ingeniería inversa logran romper la seguridad de los programas comerciales desprotegiéndolos, alterando su comportamiento y hasta ampliando sus funcionalidades iniciales. Por ejemplo, podemos mencionar los crackers de programas comerciales a través de los cuales se pueden romper su seguridad y sin necesidad de licencias poder proceder a su instalación ilícita. En el ámbito de la seguridad informática se pueden encontrar diversos perfiles de personas que se dedican a estas actividades, por ejemplo: newbie, que es la persona principiante; lammer, que presume tener conocimientos que realmente no posee; phreaker, que es un hacker orientado a los sistemas telefónicos; y script kiddie, quien utiliza programas creados por terceros sin conocer su funcionamiento. Malware Hace referencia al “malicious software” o “software malicioso” Dentro de este grupo de programas se tienen a los más comunes como virus, gusanos, troyanos, keyloggers y programas de spyware / adware. Tienen diversas finalidades, entre ellas: recopilar información confidencial del usuario, controlar un equipo remotamente sin autorización del propietario o dañar equipos de cómputo. 13
  14. 14. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Un gusano Los troyanos Los keyloggers El spyware Es como un virus, pero a diferencia de este, no intenta borrar o corromper la información. Por lo general los gusanos provienen a través de mensajes de correo electrónico. Se aprovechan de la vulnerabilidad de la seguridad de los sistemas operativos y se propagan a otros equipos vía la red o Internet. Son programas que se hacen pasar por software legítimo y traen consigo código malicioso oculto. No se replican pero pueden forzar al computador a que descargue un virus o ejecute una función preprogramada. Los troyanos actúan como una puerta trasera dando lugar al pleno acceso de intrusos al sistema, permitiendo ataques a programas y documentos del computador. Son programas maliciosos que registran las acciones en el computador y en Internet, a través del registro de las teclas utilizadas para enviar esta información a un intruso. El objetivo principal es revelar la información del usuario principalmente para beneficios económicos. Estos programas pueden proceder de correo electrónico o estar incrustados en programas que se instalan de dudosa procedencia. Se podría acceder a ellos simplemente al visitar una página web incorrecta. Se refiere a cualquier programa o técnica que monitorea o espía, registrando todo aquello que se haga en Internet. Existen spyware para poder vender a los anunciantes la información que obtienen sobre las actividades que un usuario realiza, los sitios que visita y lo que se hace en línea. 14
  15. 15. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Revise la siguiente lectura para complementar esta sección sobre La respuesta jurídica frente a los ataques contra la seguridad de la información. http://www.inteco.es/Seguridad/Observatorio/guias/ GuiaManual_sobre_la_respuesta_juridica_a_ataque 1.2.3 Piratería informática Consiste en la reproducción (copias no autorizadas) y distribución ilegal de software, material audiovisual y musical, que son explotados comercialmente sin tener en cuenta los derechos de autor de obras protegidas legalmente. Veamos los principales tipos de piratería: a) Piratería de Software El software está relacionado a una licencia que respalda su uso legal y cada licencia permite la instalación del software en un computador, toda acción que vaya en contra de lo estipulado en la licencia constituye una violación a los derechos de propiedad intelectual y por consiguiente es una violación a la legislación. Caer en la actividad de la piratería es muy fácil pero las consecuencias podrían ser muy drásticas más aún en nuestro medio en que cada vez se van regulando las leyes en este aspecto. 15
  16. 16. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Actividades más comunes que son considerados piratería de software:  Realizar copias de software sin autorización.  Usar una licencia para instalar un programa en varios computadores.  Hacer réplicas de discos para su instalación y distribución.  Realizar actualizaciones de una copia ilegal de un programa.  Tener una instalación de software en un servidor que es utilizado por varios usuarios sin que la licencia lo estipule. Por un lado, las consecuencias más graves de la piratería es que reprime la innovación, pues el costo de combatir esta actividad ilícita es muy alta y no hay lugar a invertir en investigaciones y desarrollos que beneficien a los usuarios de estos programas. Además, hay alta probabilidad que estos programas ilegales contengan virus y no funcionen correctamente, así mismo no se cuenta con asistencia técnica, ni actualizaciones o ampliaciones en la funcionalidad del programa. Mientras que los usuarios de software legítimo cuentan con garantías como la actualización a versiones más actuales y la seguridad de que se cuenta con un programa libre de virus. b) Piratería audiovisual y musical Actualmente es un golpe duro a la industria cinematográfica, de la música y de videojuegos. A través de las conexiones de internet y las redes avanzadas con mayor ancho de banda y alta velocidad es posible intercambiar material audiovisual por muy pesados que sean. 16
  17. 17. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación ¿Podemos hacer una copia personal de nuestros CD/DVD de música o videos? Según las leyes, se puede realizar una copia privada del material audiovisual o de software, la cual está contemplada entre los derechos de los ciudadanos siempre que sea de uso personal, de forma doméstica y no conlleve al lucro. Lectura sugerida: La piratería informática. http://www.notariado.org/liferay/c/document_librar y/get_file?folderId=12092&name=DLFE11199.pdf 1.3 Soluciones En temas de seguridad informática un aspecto importante es el método de autentificación que se usa y las políticas de seguridad que se deben implantar y respetar en una institución. Por lo general, debemos identificarnos ante una máquina (sistemas informáticos en PC, servidor, cajeros electrónicos, lectores biométricos, etc.), es decir, se debe convencer al sistema de qué somos la persona o el usuario quien tiene acceso y privilegios otorgados. Para realizar este proceso de autentificación ante un sistema, por lo general usamos alguna combinación de: algo que sabemos, algo que tenemos o algo que somos.  Algo que sabemos: por ejemplo, una contraseña.  Algo que tenemos: por ejemplo, tarjetas de cajeros electrónicos o tarjetas inteligentes. 17
  18. 18. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación  Algo que somos: por ejemplo, detección digital de la huella, iris, voz, etc. (campo de la biometría) En esta sección vamos a centrarnos en el método de autentificación basado en contraseñas y las recomendaciones que se deben tener en cuenta. 1.3.1 Control de acceso Uno de los principales problemas se seguridad comienza por el acceso a un sistema o plataforma, por ejemplo el acceso a uno de los sistemas más básicos, el de mensajería o correo electrónico. ¿Somos conscientes del nivel de seguridad que representa la contraseña de acceso que usamos? ¿Respetamos o seguimos las políticas de seguridad recomendadas en cuanto al uso de usuarios y contraseñas? En la práctica, se puede constatar que los usuarios mientras más edad y menos familiarizados se encuentren de las tecnologías (no es una regla general), no realizan buenas prácticas de seguridad en estos aspectos, llegando algunos a registrar (escribir, anotar) estos datos “secretos” en cuadernos o recordatorios que muchas veces terminan sobre el escritorio al alcance de todos. Otros usuarios pueden llegar al extremo de utilizar programas o sistemas especializados que permiten el manejo de contraseñas de forma segura. Sin embargo, el riesgo se puede minimizar simplemente si se siguen algunas recomendaciones básicas. 18
  19. 19. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Otro caso que se puede mencionar es el control de acceso de los usuarios registrados en las plataformas que administran contenidos: CMS (Content Management System) o LMS (Learning Management System), como es el caso de las instituciones educativas. Al instalar sistemas administradores de contenidos, de aprendizaje o cualquier otro sistema en general, se debe tener cuidado con las políticas de administración de usuarios, no solo en términos del rol asignado y los permisos o privilegios concedidos, sino comenzando por lo más simple: la asignación de datos de acceso a la plataforma (nombre de usuario y contraseña). En muchos casos estos sistemas tienen un nombre de usuario con rol de administrador por defecto (por ejemplo root, admin, etc.), el cual conviene cambiar debido a que este nombre de usuario genérico es conocido y predecible por personas que buscan vulnerar la seguridad del sistema y acceder sin permiso para realizar actividades en contra de la integridad del entorno de la plataforma. Si no se cambia este usuario por defecto, ya estamos facilitando la mitad del trabajo a cualquier persona que quiera violar la seguridad del sistema. Una de las formas más fáciles de obtener una contraseña es por medio del ataque de fuerza bruta, que no es más que la verificación de todas las posibilidades o combinaciones posibles, conociendo algunos parámetros iniciales para iniciar la búsqueda y así acceder de forma ilícita al sistema. Por ejemplo, si usamos una contraseña de cuatro dígitos, existirán al menos 10000 posibilidades, las cuales dependiendo del procesador del computador podría tardar en generar y verificar en cuestión de segundos. 19
  20. 20. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Mientras que si tenemos más cuidado e incluimos letras mayúsculas, minúsculas, símbolos y dígitos teniendo una longitud no muy corta, el número de posibilidades aumenta exponencialmente y en algunos casos podrían pasarse varios años hasta generar todas las posibilidades y encontrar la contraseña correcta. Este método de ataque no es inteligente, ya que usa todas las posibilidades, mientras que existen otros a través de algoritmos más avanzados e inteligentes que podrían acelerar esta búsqueda y verificación de manera sorprendente.  Buen uso de usuario y contraseña Cuando estamos conectados a las redes hay tráfico de información y mediante diversas aplicaciones es posible detectar dentro de estos paquetes de información innumerables segmentos que llevan consigo contraseñas y que a pesar de encontrase cifradas nada asegura su integridad. Todo dependerá de la metodología de cifrado aplicado y de algunos parámetros tomados en cuenta en la elección de una contraseña, muchas veces estas contraseñas elegidas son débiles. Se dice que una contraseña es: DÉBIL FUERTE Cuando a través de cualquier método es fácilmente deducible Será aquella que a través de métodos sofisticados demandará esfuerzo y tiempo para lograr desenmascararla. 20
  21. 21. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Uno de los parámetros más simples que interviene directamente en la fortaleza o debilidad de las contraseñas es la longitud de esta, otra podría ser el uso o consideración de una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Como puede ver, son parámetros que responden a criterios muy básicos en la constitución de una contraseña. Algunas recomendaciones: Actualmente, algunas plataformas orientan y alertan al usuario al momento de elegir una contraseña indicando su fortaleza o debilidad, algunas veces incluso se sugiere la longitud por ejemplo. Claves para crear contraseñas seguras: Longitud y complejidad 1. Una contraseña ideal es larga y contiene letras, signos de puntuación, símbolos y números. 2. Siempre que sea posible, use como mínimo ocho caracteres. 3. No utilice la misma contraseña para todo. Los delincuentes informáticos roban las contraseñas de los sitios web que cuentan con muy poca seguridad y, a continuación, intentan usar esas contraseñas y nombres de usuario en entornos más seguros, como sitios web de bancos. 4. Cambie sus contraseñas con regularidad. Establezca un recordatorio automático para cambiar las contraseñas de sus sitios web de correo electrónico, banca y tarjetas de crédito cada tres meses aproximadamente. 5. Cuanto mayor sea la variedad de caracteres que contiene su contraseña, mejor. Sin embargo, el software de robo de contraseñas comprueba automáticamente las conversiones comunes de letras a símbolos, como el cambio de «y» por «&» o de «más» por «+». 6. Use la totalidad del teclado, no solo las letras y los caracteres que usa Extraído frecuencia. o ve con mayor de Centro de seguridad y protección (Microsoft) http://www.microsoft.com/es-es/security/online-privacy/passwords-create.aspx 21
  22. 22. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Algunos servicios en web muestran gráficamente cuándo una contraseña es fuerte o débil, en tiempo real: Caso 1: débil Caso 2: promedio Caso 3: fuerte Caso 4: la mejor 22
  23. 23. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Puede realizar estas pruebas en la siguiente dirección:  https://www.microsoft.com/es-es/security/pcsecurity/password-checker.aspx Y usar otros comprobadores de contraseñas como las siguientes:  https://www.grc.com/haystack.htm  http://password.es/comprobador/ Si se quiere verificar la seguridad de una contraseña se puede usar uno de los enlaces dados. La búsqueda de la contraseña será como buscar una aguja en un pajar, entonces, veamos cuán grande es el pajar que en este caso dependerá de los parámetros de la contraseña elegida como longitud, símbolos, dígitos, letras mayúsculas y minúsculas que se hayan usado en la contraseña. Veamos dos casos usando el comprobador de contraseñas en https://www.grc.com/haystack.htm Si se usa una contraseña de 4 cifras (por ejemplo: 2012), puede observarse que existen unas 11,110 posibilidades y el tiempo que tardaría en este tipo de ataque en un escenario en línea sería de apenas de 11,11 segundos y en los casos fuera de línea ni siquiera tardaría 1 segundo. Mientras que si se usa una contraseña de 12 caracteres (por ejemplo: Secreto#2012), vemos que estamos usando letras mayúsculas, minúsculas, números y símbolos, y con esto se complica y aumenta increíblemente la seguridad y las posibilidades a verificar. 23
  24. 24. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación En cuanto a la gestión de contraseñas en las plataformas educativas, no olvidar las recomendaciones anteriores. Sin embargo, conviene usar el generador automático del mismo sistema y si hay la posibilidad de indicar o configurar algunos parámetros como por ejemplo el uso de letras, dígitos, longitud, etc., no dejar de hacerlo para obtener contraseñas seguras las que se enviarán de forma automática a los usuarios respectivos.  Errores comunes Una contraseña ideal es algo que usted sabe, algo que un computador o sistema puede verificar lo que usted sabe, y algo que nadie puede adivinar o deducir con facilidad. Por ello tenga en cuenta las recomendaciones anteriores y las siguientes recomendaciones básicas: - No usar palabras (direcciones, calles, nombres de hijos, mascotas, etc.) ni números (fechas de nacimiento, matrimonio, edad, teléfono, etc.) del ámbito personal. Si siente que es probable que alguien lo pueda adivinar, evite usarla. Tampoco use combinaciones de estas, ya que son las primeras pistas que se usarán en el intento de descubrir su contraseña. 24
  25. 25. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación - Algunos sistemas, obligan a cambiar sus contraseñas cada cierto tiempo. De ser ese el caso no vuelva a usar las anteriores al menos no en el mismo año. En cualquier otro caso, usted mismo recuerde cambiar su contraseña periódicamente. - No usar secuencias de caracteres tal como se encuentran en el teclado, ya que los descifradores las encuentran de inmediato. Aunque parezca mentira existe un porcentaje considerable de sistemas en los cuales se puede acceder probando con cifras consecutivas como 1234567890, por ejemplo. - No escriba sus contraseñas, ni en papel adhesivo ni en block de notas y menos las deje al alcance donde cualquiera las pueda encontrar. Si tiene sospechas acerca de la integridad de acceso a su información, cambie de inmediato su contraseña.  El elemento humano Si trabaja con un grupo de personas quienes tienen acceso al sistema y para lo cual se les ha asignado un rol y privilegios o permisos a determinadas fuentes de información, capacite y eduque en las políticas de seguridad optadas por su institución. Recuerde que hay diversas maneras de fraude a través de internet, algunas muestran su mala intensión casi de forma explícita y sin embargo podría existir algún miembro de nuestro equipo que sin darse cuenta caiga en el juego. Por otro lado, si algún miembro de la institución deja de laborar o es retirado de sus funciones por diversos motivos, se debe considerar como posible punto de inicio del ataque y se deberán tomar medidas que eviten cualquier riesgo de vulnerabilidad, por ejemplo, las siguientes recomendaciones: 25
  26. 26. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación  Captcha Diversas plataformas permiten el ingreso de información a través de votaciones, suscripciones, descarga de documentos, comentarios, etc. Un ejemplo son los Blogs muy utilizados en el ámbito de la educación, ya que permite una interacción y retroalimentación a través de su sistema de registro de comentarios. En este caso, por lo general se hace uso de sistemas de verificación para controlar el acceso, denominado Captcha. Captcha El cual permite verificar si la información (comentario) a enviar a través del Blog está siendo realizada por un humano y no se trata de un sistema automático (robot) que envía cantidades incontrolables de información. 26
  27. 27. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Algunos ejemplos de este sistema de verificación Captcha: ¿De dónde proviene la denominación CAPTCHA? Proviene de Completely Automated Public Turing test to tell Computers and Human Apart, es decir; prueba de Turing pública y automática para diferencias computadoras y humanos. ¿De qué trata el test o prueba de Turing? Es una prueba realizada para demostrar la existencia de inteligencia en una máquina, en donde la hipótesis es “Si una computadora se comporta en todos los aspectos como inteligente, entonces debe ser inteligente”. En esta prueba participa un juez, una persona y una computadora, todos aislados físicamente y comunicados la persona y la computadora con el juez. El juez debía hacer preguntas a la persona y a la computadora y este debía diferenciar si se trataba de una persona o de la computadora. 27
  28. 28. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación En la prueba que se realiza a través de CAPTCHA, interviene una computadora (como juez) y como usuarios una persona y otra computadora. Se trata de una prueba en la que la computadora (juez) debe generar una consulta o problema que debe ser resuelta por usuarios que desean pasar el control de acceso (computadora o un ser humano). En realidad se requiere inteligencia humana para resolver esta prueba, si el juez (computadora) detecta que el usuario es otra computadora, entonces no permite el acceso. En la actualidad, debido al avance de algoritmos sofisticados de inteligencia artificial y reconocimiento óptico de caracteres, es posible detectar o predecir la solución del problema presentado, es por este motivo que los sistemas CAPTCHA, presentan cada vez problemas más complejos a ser resueltos, caracteres menos definidos, con ruidos, ondeados, etc., algunos desde los más sencillos que solicitan solo el ingreso de las letras o dígitos que se visualizan, y otros que indican el ingreso de ciertos resultados en base a información que se presenta, por ejemplo: 1- Resultados de operaciones aritméticas 2- Resultados de una selección de elementos que se deben elegir bajo cierto criterio. Todo esto con la finalidad de hacer que la tarea de detección de la solución no sea inmediata e incluso a veces resulta difícil reconocer o identificar la respuesta por parte de usuarios humanos. Desde el momento en que somos usuarios de sistemas de información o usuarios de internet, bajo cualquiera de las modalidades, debemos tener en cuenta los riesgos y las amenazas existentes en el medio. Más aún, si tenemos un rol y privilegios de acceso a información valiosa de una institución debemos ser conscientes de las responsabilidades que recaen sobre nosotros en relación a las políticas de seguridad. Estudios del FBI muestran que más del 80% de los ataques de seguridad pudieron haberse evitado tan solo si se hubiese tenido en cuenta medidas de seguridad de niveles básicos, por ejemplo, el bueno uso de contraseñas. 28
  29. 29. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación 1.3.2 Herramientas de protección En el mundo informático, casi en su totalidad los ataques van dirigidos hacia la vulnerabilidad de los sistemas en búsqueda de información, información no autorizada, información privada accesibles a determinados usuarios con privilegios asignados. Una arquitectura de un sistema de seguridad de una institución va más allá de posibles soluciones informáticas. Se debe tener en cuenta aspectos físicos de infraestructura, como espacio de servidores, cableado estructurado, equipos informáticos, etc. Por otro lado existen los sistemas informáticos de seguridad, programas antivirus, antispam, programas integrales de seguridad, entre otros. Uno de los aspectos a tener en cuenta en las políticas de seguridad de una institución, son las redes de acceso, a través de la cual se pueden establecer “puertas” hacia redes que podrían constituirse en amenazas potenciales. Por tanto, establecer políticas de protección o seguridad de redes es una tarea fundamental en toda institución. Seguridad de red: firewall Algunas instituciones usan una red interna o intranet para la administración y gestión de diversos tipos de servicios y actividades propias del centro. Incluso a este nivel se deben implementar políticas de seguridad, principalmente de accesos a determinados niveles de la información. Por otro lado, estar conectados a internet es imprescindible y vemos que en este caso el riesgo de acceso a información confidencial de la institución aumenta, es decir, los riesgos de ataques están a la orden del día, de manera que es necesario establecer políticas de protección que implican la implementación de sistemas de filtrado y bloqueo ante redes consideradas no confiables. Es aquí en donde entra a tallar un sistema como el firewall. Es un sistema de protección entre dos o más redes, permitiendo o denegando las transmisiones de una red a la otra. Uno de los usos cotidianos es aplicarlo entre la red local de una institución y la red de internet. Firewall 29
  30. 30. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación El objetivo principal de este sistema de seguridad es evitar que los intrusos puedan acceder a información confidencial y hacer cumplir las políticas de control de accesos entre dos redes interconectadas. Algunas características de un sistema Firewall: Políticas La aplicación de un sistema protección firewall debe responder a las políticas de seguridad establecidas en la organización. La implementación, configuración y uso de un firewall van a depender de la política de acceso a servicios de red y de la política de diseño de un firewall. 1. Política de acceso a servicios de red Establece qué servicios están permitidos y denegados a determinadas redes restringidas, y cómo serán usados estos. Tener en cuenta de que estas medidas y soluciones deben ser realistas, de tal forma que se consiga una protección de la red y sea posible al mismo tiempo acceder a los servicios permitidos sin limitar la funcionalidad y utilidad de los usuarios. 30
  31. 31. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación 2. Política de diseño de un Firewall: Indica cómo se debe restringir el acceso a una red y cómo se debe implementar el filtrado de paquetes de acuerdo a la política de acceso a servicios. Presenta una política permisiva, ya que permite el acceso solo a los servicios identificados como permitidos en la política de acceso a servicios. La otra, política restrictiva por que restringe el acceso a los servicios que se encuentran restringidas en la política de acceso a servicios. Se deben tener en cuenta algunos aspectos como: ¿Qué se debe proteger?, ¿de quién protegerse?, ¿cómo protegerse? y ¿cuánto costará la implementación del sistema? Tráfico de correo electrónico, evitando ataques provenientes de diversos servicios de correo electrónico no definidos como confiables. Servicios conocidos por constantes problemas de intrusión, en este caso restringe y bloquea el acceso a servicios. ¿Contra qué puede proteger una red firewall? Accesos (Logins) interactivos sin autorización, para prevenir actos de vandalismo en máquinas y software de red. Además, las redes firewall son también un buen sistema de seguridad que proporciona estadísticas accesos de usuarios, denegados, no permitidos, el tráfico que ingresó, ancho de banda consumidos, proporcionando información valiosa y suficiente para realizar una auditoría de la red. ¿Contra qué no puede proteger una red firewall? Las incoherencias propias de un sistema de seguridad que no involucre en sus políticas la totalidad de amenazas posibles, que tiene que ver con el personal, la infraestructura y otros aspectos; es decir, se debe tener en cuenta la arquitectura de seguridad de la institución. Los virus o infiltración de documentos infectados, que ya tiene que ver directamente con los usuarios de la red, con el uso de dispositivos y programas que ejecutan. 31
  32. 32. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación 1.3.3 Copias de seguridad ¿Por qué hacer copias de seguridad? En la vida cotidiana, acostumbramos a tener copias de algunos documentos que consideramos importantes y las guardamos en un lugar seguro. Las copias de seguridad o Backup constituyen un proceso de duplicación de información o copia de respaldo, si hablamos en términos de seguridad. Por lo general estas copias de seguridad puedan utilizarse para restaurar sistemas originales después de un evento inesperado o catástrofe que implique pérdida de información. Es evidente, por tanto, que los respaldos o copias de seguridad permiten restaurar archivos individuales y hasta sistemas administradores de contenidos completos, o sistemas de información en general. A cualquiera de nosotros, usuarios en general, le puede pasar que luego de haber trabajado e invertido mucho tiempo en nuestros proyectos, perder de imprevisto nuestro documento de trabajo, podría constituirse en una pérdida definitiva sin posibilidad de recuperar al menos parte de él. En estos casos, contar con una copia de seguridad sería como una bendición. ¿Imaginan perder, ya sea por cuestiones de virus o por error, el avance de un proyecto de tesis de maestría o doctorado estando a puertas de una sustentación? ¿Y qué hacer si por alguna razón perdemos la información de la plataforma de nuestra institución?, datos históricos y valiosos de un plantel escolar acumulada por varios años. Por tanto está demás, tratar de convencer sobre la importancia de realizar copias de seguridad. 32
  33. 33. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Metodología de copias de seguridad Tener una copia de nuestros trabajos cotidianos cada vez que realizamos alguna modificación o actualización es una de las formas más simples, pero ¿qué sucede con las instituciones que cuentan con plataformas informáticas en donde se realizan y quedan registrados innumerables actividades y procesos a cada momento? Entonces, se deberá establecer dentro de las políticas de seguridad la tarea de copias de respaldo con ciertas frecuencias, las cuales deben ir de acuerdo a la actividad de la institución. Por ejemplo, en la plataforma de una institución educativa se llevan a cabo diversas actividades, desde el más simple, registro de asistencia hasta los resultados de actividades de aprendizaje, tanto como los cambios que se registran en una entidad financiera. El valor de la información es incalculable y en algunos casos, estas pérdidas son irrecuperables. Entre los tipos de copias de seguridad se tiene: a) Respaldos completos Se trata de un proceso de copia completa de todos los archivos del sistema. No se tiene en cuenta si estos archivos han sido actualizados o no; es decir, se duplicará la información sin ningún criterio inteligente. Este método de respaldo no es conveniente en instituciones grandes en donde los cambios representan un porcentaje pequeño de toda la información existente. Por ejemplo, si un día en particular se ingresó solo información de un cliente nuevo, no tendría sentido de hacer la copia al anochecer de toda la base de datos. Esto implicaría contar con un disco duro gigantesco, en donde la información se replica sin criterios adecuados para optimizar el espacio en disco. 33
  34. 34. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación b) Respaldos incrementales Este método realiza un análisis previo para determinar las modificaciones registradas teniendo en cuenta la fecha más reciente en relación a la fecha del último respaldo. En otras palabras, solo se realiza la copia de la información que efectivamente ha sido actualizada. Se recomienda en estos casos realizar copias de respaldo completos con frecuencias mayores y los incrementales con frecuencias menores. Por ejemplo, realizar una copia de respaldo completa cada fin de semana, pero realizar los incrementales cada día al anochecer. Una de las ventajas del respaldo incremental es que se realiza en muy poco tiempo en relación al respaldo completo, pero la desventaja es que en caso de problemas de recuperación, se deberá establecer primero la última copia completa y luego restablecer los diversos respaldos incrementales hasta llegar a la versión más reciente. Evidentemente, esto tiene un costo en tiempo de proceso hasta obtener el sistema restablecido. c) Respaldos diferenciales Al igual que el método incremental, copia solo los archivos que han sido modificados, pero este nuevo método es acumulativo; es decir, que si existe un archivo modificado, este es incluido en todos los respaldos subsecuentes. Esto quiere decir que con un respaldo diferencial contiene todos los cambios realizados después del último respaldo completo. Por tanto para un proceso de recuperación solo se requerirá restablecer el respaldo completo más reciente así como el último respaldo diferencial. Como se puede entender el proceso de restauración y recuperación implica menos recursos en momentos de algún imprevisto. Hay que mencionar que no solo es importante contar una copia de seguridad, sino que debemos tener en cuenta aspectos físicos que podrían poner en riesgo una copia de seguridad, por ejemplo: número de copias, ubicaciones geográficas, parámetros climatológicos como la humedad, accidentes como incendios, fugas de gas, agua, etc. Así mismo, no estaría demás tener una réplica espejo de todo el sistema y que funcione en paralelo, de tal forma de que si sucede una catástrofe informática, el sistema espejo pueda continuar con normalidad. 34
  35. 35. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Es recomendable tener las copias de seguridad en ubicaciones geográficas diferentes ante catástrofes físicas por ejemplo. ¿Qué sucedería si ante catástrofes informáticas contamos con copias de adecuadas que en teoría debería permitir todo el sistema, pero nos damos cuenta discos físicamente están dañados? físicas o seguridad restablecer de que los Por tanto, se recomienda que periódicamente se hagan pruebas de restablecimiento del sistema haciendo uso de los discos que usualmente se usan en las copias de seguridad. En otras palabras, no descartar detalles por más simples que perezcan. 1.3.4 Criptografía En esta sección trataremos acerca del cifrado de información, no para llegar a ser expertos en el manejo de algoritmos complejos que permitan cifrar de manera segura, sino para entender cómo se lleva a cabo este proceso y ser conscientes de lo fácil o difícil que resulta cifrar o descifrar segmentos de información. Remontándonos en el pasado, en la civilización egipcia, existía la práctica común de enterrar a sus muertos para que no sean encontrados. Esta actividad era conocida como criptografía y podemos constatar que eran muy buenos en estas prácticas ya que hasta la fecha, después de miles de años, aún se siguen encontrando nuevas criptas. La raíz griega kript significa literalmente “lugar escondido” y su origen etimológico es “oculto, secreto”. Por otro lado, del mismo griego, graphikos hace referencia a “de o para escribir, perteneciente al dibujo pintoresco” y técnicamente es el “arte de la escritura”. Por tanto, Cripto + grafía significaría "lugar de escondite para las ideas, sonidos, imágenes o palabras" Se denomina cifrado a la acción de realizar algún aspecto de la criptografía. En inglés existe el término encrypt que en el español se suele traducir erróneamente como encriptar, ya que no existe en el Diccionario de RAE (Real Academia 35
  36. 36. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Española). Sin embargo, se puede usar el término cifrar para estas acciones de la criptografía, según la RAE. Cifrar 1. tr. Transcribir en guarismos, letras o símbolos, de acuerdo con una clave, un mensaje cuyo contenido se quiere ocultar. La Criptología (con su terminación – logía) es el estudio de la criptografía. ¿Cómo se hace la criptografía? El uso de la criptografía se remonta a épocas pasadas y muy lejanas, por ejemplo el siglo primero A.C., se usó para cifrar mensajes secretos en los conflictos bélicos, como suele pasar con muchos avances tecnológicos. Por estas épocas se registra un método muy sencillo, denominado el cifrado de César que consistía simplemente en desplazar las letras tres posiciones a la derecha. Actualmente, la ciencia de la criptografía ha avanzado considerablemente ya que hace uso de métodos muy complejos y cada vez se buscan nuevas formas de optimizar estas técnicas. En la práctica, los profesionales involucrados con las Tecnologías de la Información no son muy conscientes de todo el poder de la criptografía, y solo se maneja algún conocimiento general en este tópico. Se prefiere dejar esto en manos de profesionales en seguridad ya que implementar una estrategia verdaderamente segura demandaría una inversión de muchos recursos que difícilmente estamos dispuestos a hacer. Es por este motivo que podemos experimentar diversos ataques en Internet que vulneran la seguridad en toda su amplitud. Por otro lado, hay que ser conscientes de que no existe la seguridad absoluta y tener siempre en cuenta la Ley de Murphy: “Si algo puede salir mal, saldrá mal”. Así mismo, como se dice popularmente, cada uno de nosotros tenemos un gemelo (malvado) en alguna parte del mundo (Teoría genética del espejo de Rousseau), por tanto de la misma forma que existe un buen criptógrafo entonces existirá también su contraparte que podrá descifrar cualquier algoritmo de cifrado por más complejo que este sea. En estos días, la criptografía se ha constituido en las comunicaciones, en todos los medios posibles, dando la posibilidad de cifrar el mensaje y transmitirlo. 36
  37. 37. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Por lo visto anteriormente, se puede entender a la criptografía como la ciencia de ocultar información, con el fin de ocultar un mensaje a personas no autorizadas. Por ejemplo, si se deseaba cifrar el mensaje: “CRUZAR AL ANOCHECER” con el cifrado de César se obtendría el siguiente mensaje cifrado: “FUXCDU DO DQRFKHFHU”. Veamos en las siguientes imágenes cómo se lleva a cabo el cifrado de César que consiste en desplazar las letras tres posiciones a la derecha. 1. La letra C debe ser reemplazada por la letra F: 2. La letra R debe ser reemplazada por la letra U: 3. La letra U debe ser reemplazada por la letra X: 4. La letra Z debe ser reemplazada por la letra C: Y así sucesivamente, hasta completar todo el mensaje a cifrar. Puede observarse que cuando la letra se encuentra al final, como por ejemplo la letra Z, se corre al inicio como si se tratara de una secuencia circular. 37
  38. 38. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Elementos de la criptografía El mensaje original: Es el texto plano o texto en claro sin formato o sin cifrar, puede ser literalmente un mensaje, un documento, archivo de datos, imagen, audio o cualquier otro tipo de información digital. 1. El proceso de cifrado: El texto plano se transforma en texto cifrado, mediante la cifra o clave que es el método de cifrado que se utiliza. Esta clave se usa para cifrar y descifrar el mensaje. 2. El mensaje resultante: Es el texto cifrado o criptograma. Un mensaje cifrado puede ser transmitido de forma segura a un tercero, incluso utilizando medios que pueden permitir a terceros leer el texto cifrado. 3. El proceso de descifrado: Cuando el destinatario recibe el mensaje cifrado, el destinatario descifra el mensaje, lo que da el texto original. 38
  39. 39. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Metodologías de cifrado Existen varias formas de realizar el proceso de cifrado y en la actualidad debido a la cantidad de información valiosa que se maneja, es que se están desarrollando métodos avanzados y complejos para asegurar en cierta medida la integridad de los datos. En esta sección no se pretende conocer los detalles técnicos ni llegar a nivel de programación de los algoritmos más conocidos, pero sí se espera conocer las técnicas usadas y las diferencias entre unas y otras para comprender y conocer qué medidas se pueden establecer en temas de seguridad. A continuación trataremos tres conceptos relacionados a cualquier metodología usada en los procesos de cifrado. Los métodos de cifrado Existen muchos métodos que permiten cifrar un texto plano, algunos muy simples como el cifrado de César y otros bastante complejos. Algunos métodos de simple comprensión son los siguientes: 39
  40. 40. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación a) Sustitución Es uno de los métodos más simples, se basa en la sustitución de un carácter por otro. Esto en base a una regla, patrón o algoritmo definido, el cual debe ser conocido tanto por el emisor como por el receptor. Ya antes vimos en el cifrado César, utilizado en el siglo I A.C., este tipo de cifrado por sustitución en la que los caracteres del texto plano se desplazan tres posiciones a la derecha para producir el texto cifrado. En este ejemplo, el carácter A se reemplaza por el carácter D y así sucesivamente. Otro ejemplo de este método es el ROT13 en la que las letras del alfabeto inglés se desplazan 13 posiciones a la derecha. b) Transposición. Este método también es conocido como cifrado de permutación y se basa en escribir el mensaje en una tabla de dimensiones N x M en forma horizontal (filas) y para obtener el texto cifrado se van extrayendo las palabras correspondientes a las columnas de la tabla. Para nuestro ejemplo anterior, en donde el texto en claro o texto plano es CRUZAR AL ANOCHECER, vemos que este tiene una longitud de 17 caracteres, por tanto se podría usar una tabla de 4 x 5. 40
  41. 41. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Tomando los textos en orden vertical (columnas) y teniendo en cuenta una determinada permutación, por ejemplo: 1-3-5-2-4 (orden de columnas), se obtendría lo siguiente: CROE ULH ANC RACR ZAE Como se puede observar en el mensaje cifrado, los caracteres originales aún aparecen, solo que están en orden diferente. Esto hace que este método sea vulnerable a los análisis de frecuencia llevados a cabo durante el proceso de criptoanálisis (proceso inverso a la criptografía). En este caso, la clave del cifrado sería el orden de la matriz: 4x5 y las permutaciones: 1-3-5-2-4. Si se procede con alguna técnica de criptoanálisis simple, se podría deducir lo siguiente: Primero colocar las palabras de mayor longitud en ese orden: CROE RACR ULH ANC ZAE, luego colocar en columnas: 41
  42. 42. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Finalmente, al realizar las permutaciones de columnas se puede llegar al mensaje inicial: El cifrado por transposición es un método más complejo del que se muestra en este ejemplo, pero para efectos de comprensión es totalmente válido. c) Monoalfabética. Es un método de cifrado de sustitución en donde se sustituye un carácter alfabético por otro. Por ejemplo si se rota o avanza ciertas posiciones de los caracteres como se muestra en la figura (la segunda fila). Por ejemplo, si se desea cifrar en texto SEGURIDAD, el resultado sería YKMAXOJGJ La sustitución puede ser también al azar, más que un simple desplazamiento o giro a la izquierda o a la derecha, como se muestra en la figura siguiente. 42
  43. 43. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Puede observarse que con este método muy simple, si el texto plano tiene dos caracteres iguales (la D) entonces el texto cifrado también tendrá dos caracteres iguales (la J). Por tanto este método de cifrado está sujeto también a un ataque análisis de frecuencia. Este método es vulnerable al análisis de frecuencias, por lo que existe un método de cifrado más avanzado y que usa dos o más alfabetos de sustitución para cifrar un texto plano, se trata del método Polialfabético. Otras formas más avanzadas son la de clave corrida (runing-key) y libreta de un solo uso (One time pads). Estos métodos de cifrado hacen posible que el acceso a la información en sí sea restringida y como medida de seguridad debe ser tomada siempre en cuenta. En la realidad existe una diversidad de mecanismos y herramientas que permiten interceptar información que viajan por las redes, todas ellas con diversos niveles de protección, métodos de cifrado que con una buena estrategia de criptoanálisis no hay información cifrada que se resista, solo es cuestión de tiempo. Sin embargo, un conjunto de medidas que respondan a la política de seguridad de la institución, involucra a todo el personal en temas de ética en relación a la responsabilidad que recae sobre sus funciones y los diferentes niveles de información que maneja, las copias de seguridad y los planes de contingencia, deberían permitir salir de cualquier problema ante este tipo de catástrofes no solo de origen informático sino también de accidentes o catástrofes naturales. 43
  44. 44. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Unidad 2: Seguridad y ética Autora: Ms. Aurea Bolaños Hidalgo Docente de la PUCP 44
  45. 45. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Seguridad y Ética En la red podemos encontrar un conjunto de información de todo tipo, realizar transacciones comerciales e interconectarnos con las personas de todo el mundo. Son múltiples las acciones que podemos realizar y movernos por el ciberespacio con libertad, todo ello incluye también mucha responsabilidad de nuestra parte. Como vimos en las unidades anteriores, si bien el Internet nos ha permitido cambiar la forma en la que concebimos el mundo con sus múltiples interrelaciones, también nos acerca a un conjunto de peligros y amenazas de todo tipo, por lo que nuestros hábitos y conocimientos para dar seguridad a nuestro accionar en la red y el de las personas a nuestro cargo debe asumirse con seriedad y sobre todo con ética. Recordemos cuántas veces hemos escuchado de robos a través de tarjetas de crédito o transacciones por la Web, o de situaciones en la que niños y adolescentes son acosados por pederastas. Como también nuestros correos son utilizados para enviarnos propaganda no solicitada o son “hackeados” o en alguna ocasión hemos sido víctimas. Existe por tanto, personas que al igual que nosotros participan en la red pero con motivaciones muy diferentes. Tienen objetivos que van contra las leyes, contra las normas establecidas y contra los principios que orientan nuestras relaciones con los otros. Decimos entonces, que su accionar no es ético. Nos preguntamos también si solo estas acciones son una falta de ética. Pensemos un momento en estas acciones: - El envío de mensajes con virus de manera intencional. - Utilizamos las ideas de un texto que encontramos en Internet en un texto o presentación que construimos y no colocamos las referencias. “Nos olvidamos de hacerlo”. - Leemos un texto y lo parafraseamos cambiando algunas palabras del texto original sin colocar referencias al respecto. - Revisamos los correos de nuestros hijos, alumnos o pareja sin su permiso. ¿Y el derecho a la privacidad? - Cuando nos hacemos pasar por otras personas y fingimos algo que no somos. - Cuando enviamos mensajes agresivos u obscenos y además, sin identificarse. - Cuando utilizamos la red para calumniar, insultar o agredir, por ejemplo a través de los correos y redes sociales, mensajes a través de celulares. - Colocar información falsa o incorrecta o tergiversada con el propósito de llevar al error y confusión. 45
  46. 46. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación ¿Serán también estas acciones faltas de ética en el uso de Internet? ¿O es que la libertad que existe en ella nos faculta a hacer y decir lo que pensamos sin “ver” a la otra persona que está al otro lado? ¿Son estas acciones solo propias del mundo digital o esta es una vía que nos permite llegar a más personas pero que involucran una decisión ética personal que va más allá del medio que utilizamos? ¿O es que este nuevo mundo ha facilitado que flexibilicemos nuestra conducta y nos da mayor permisibilidad para romper algunos principios al sentirnos “invisibles” frente a los otros con los que aparentemente interaccionarnos. Miremos ahora nuestro propio accionar como adultos responsables en el buen uso de Internet y analicemos también nuestro rol como docentes. ¿Generamos solo experiencias para el aprendizaje de las herramientas en Internet? ¿Dotamos a nuestro centro laboral de la tecnología de punta a fin de garantizar el mejor acceso y aprendizaje de nuestros estudiantes? ¿Generamos reflexión y propuestas de nuevas formas de aprender y enseñar con el uso de las TIC? ¿Nos capacitamos para manejar mejor las herramientas y aplicaciones que las TIC nos ofrecen? Y entre todas estas acciones que realizamos con la finalidad de brindar calidad de aprendizajes a nuestros alumnos, también nos hemos preguntado ¿los usarán correctamente desde un punto de vista ético? ¿Qué actitudes, valores y principios estamos también trabajando con nuestros alumnos para fomentar el uso ético de las nuevas tecnologías? ¿Existe en nuestro centro laborar una política que todos comparten? Para discutir sobre el uso ético de Internet revisa: Rodríguez Luño, Ángel (2006) Aspectos éticos en el uso de Internet. http://www.eticaepolitica.net/eticafondamentale/arl_us o_internet%5Bes%5D.htm 46
  47. 47. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Veamos a continuación algunos aspectos que consideramos importantes conocer para poder darnos algunas respuestas, formularnos nuevas preguntas y proponer acciones que contribuyan en nuestro centro laboral a hacer un uso ético de las TIC. 2.1 Normas y código de ética Iniciamos esta unidad preguntándonos: ¿Es necesario contar con normas o códigos de ética que regulen nuestro accionar en una organización? ¿Son realmente efectivos? ¿Quién los construye? ¿Basta con definirlos para que estos se constituyan en principios que orienten el accionar de los miembros de una organización? Un código ético es un instrumento que refleja los acuerdos que una organización tiene como lineamientos de actuación y que consideran importantes para su convivencia institucional y más aún, un accionar en el mundo. Como señala Duart (2003): “Los valores modelan nuestra conciencia y nuestro comportamiento. Sentimos su presencia en nuestras acciones cotidianas, en nuestra conciencia, y constatamos su realidad a partir de nuestras vivencias más íntimas, es decir, aquellas que marcan nuestra conducta. Los valores rompen ocasionalmente nuestra indiferencia (Reboul, 1992) marcando patrones de conducta, personales y aceptados, pero no por ello inamovibles.” Revisa estos textos para seguir reflexionando sobre el tema:  Duart Josep M. (2003) Educar en valores en entornos virtuales de aprendizaje: realidades y mitos. UOC. Recuperado de http://www.uoc.edu/dt/20173/index.html  MONTUSCHI, Luisa. Para qué sirven los códigos de ética. Revista Análisis No. 47 Año 2007. Recuperado de http://www.ambito.com/economia/informes_economico s/archivos/UCEMA%20analisis47.pdf 47
  48. 48. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Veamos entonces, algunos ejemplos de códigos éticos relacionados a las TIC que se han propuesto:  Los 10 Mandamientos de la Ética Informática, elaborados por el Computer Ethics Institute of Washington1: 1. No utilizaras la computadora para hacer daño a otros individuos. 2. No interferirás con el trabajo computadorizado de otras personas. 3. No revisarás los archivos computadorizados de otras personas 4. No utilizarás la computadora para robar. 5. No utilizarás la computadora para levantar falso testimonio. 6. No copiarás o usarás programas por los cuales no has pagado. 7. No utilizarás los recursos computadorizados de otras personas sin autorización o sin la propia compensación. 8. No te apropiaras de la producción intelectual de otras personas. 9. Pensarás acerca de las consecuencias sociales del programa que estas escribiendo o del sistema que estas diseñando. 10. Usarás las computadoras de maneras que asegures la consideración hacia otros seres humanos. 1 Tomado de: http://computerethicsinstitute.org/spanish.html 48
  49. 49. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación  Association for Computing Machinery (ACM) Code of Ethics and Professional Conduct.2 Desde el punto de vista del profesional informático. 1. Contribuiré al bienestar de la sociedad y de la humanidad. 2. Evitaré daño a otros. 3. Seré honesto/a y confiable. 4. Seré justo/a y actuaré para no discriminar. 5. Respetaré los derechos de propiedad, incluyendo las patentes y derechos de autor. 6. Reconoceré adecuadamente la propiedad intelectual. 7. Respetaré la intimidad de otros. 8. Respetaré la confidencialidad. Revisa algunos códigos de ética propuestos:   2 Fundación Global Democracia y Desarrollo (2008) Código de ética para la sociedad de la información. Primera conferencia regional, latinoamericana y del Caribe sobre infoética en el ciberespacio. Santo Domingo. Recuperado de http://www.redciberetica.org/documentos?func=startdown&id =%201 Shea, Virginia. Las 10 reglas básicas de la “Netiquette” Recuperado de http://www.eduteka.org/Netiqueta.php3 ACM. http://www.acm.org 49
  50. 50. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Será importante que estas reflexiones que se plantean a nivel mundial, también se puedan desarrollar en el ámbito de las organizaciones educativas a fin de garantizar una adecuada formación ética de los estudiantes. Esto implica que como organización educativa, sus miembros reflexione, discutan y acuerden cuáles serían las normas éticas que orientarían su accionar en el uso ético de las TIC. ¿Existe en tu centro laborar algún lineamiento, norma o reglamento que oriente el accionar de la comunidad educativa? ¿Consideras que es importante contar con este instrumento? ¿Cómo lo construirías para garantizar que sea conocido y adoptado por todos sus miembros? Revisa esta página web que además de plantearte un código de ética en el uso de Internet, brinda pautas para la construcción del mismo.  Red PaPaz (2009) Tus 10 comportamientos digitales. Bogotá. http://www.tus10comportamientosdigitales.com/ Es importante que después de haber elaborado un código ético en tu organización educativa, puedan proponer algunos mecanismos para su difusión. Además, de presentarlas en alguna reunión, es importante que se trabajen de manera permanente y de manera articulada por todos los miembros de la comunidad educativa. Se incluyan por ejemplo, en el diálogo que la organización establezca con los padres de familia. Así mismo, será importante que el código de ética sea “traducido” en frases que faciliten su recuerdo. A continuación te presentamos algunos de estos ejemplos: Dirigido a estudiantes:  Centro Internacional de Tecnologías Avanzadas. Navegación segura en la red. Salamanca. http://issuu.com/citafgsr/docs/navegacion_segura Dirigido a los padres de familia:  Centro Internacional de Tecnologías Avanzadas. Protección del ordenador en el hogar. Salamanca. http://issuu.com/citafgsr/docs/proteccion_ordenador 50
  51. 51. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación 2.2 Organismos internacionales de regulación en el uso de Internet A continuación se presenta una breve reseña de los organismos internacionales que contribuyen a la regulación en el uso de Internet. a) Organización Mundial de la Propiedad Intelectual (OMPI) Recuperada de: http://www.wipo.int/portal/index.html.es En su página Web institucional3 se define como un “organismo del sistema de organizaciones de las Naciones Unidas dedicado al uso de la propiedad intelectual (patentes, derecho de autor, marcas, diseños (dibujos y modelos), etc.) como medio de estimular la innovación y la creatividad”. Fue creada en 1967 y tiene actualmente 185 Estados miembros, siendo el Perú uno de ellos. Su sede está en Ginebra - Suiza. Así mismo, unas 250 Organizaciones No Gubernamentales que trabajan en el tema asisten a las asambleas en calidad de observadores. Siguiendo con la información que brinda su página institucional, la OMPI tiene cuatro campos de trabajo: Servicios Administra sistemas que facilitan la obtención de protección a nivel internacional para las patentes, las marcas, los diseños y las denominaciones de origen, y la solución de controversias de Propiedad Intelectual. Infraestructura Crean redes de colaboración y plataformas técnicas, entre las que figuran bases de datos y herramientas gratuitas para el intercambio de información, a fin de compartir conocimientos y simplificar las transacciones de Propiedad Intelectual. Desarrollo Fortalece las capacidades de uso de la Propiedad Intelectual en favor del desarrollo económico. Comprende: la propiedad industrial y el derecho de autor. Legislación Contribuye a desarrollar el marco jurídico internacional de la Propiedad Intelectual en concordancia con las necesidades de la sociedad a medida que ellas evolucionan. La OMPI además cuenta con dos tratados: 3 OMPI. Recuperado de http://www.wipo.int/portal/index.html.es 51
  52. 52. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Sobre el derecho de autor (WCT) El Tratado sobre Interpretación o Ejecución y Fonogramas (WPPT) entraron en vigencia en el 2002 Ambos tratados son conocidos como los “tratados de Internet” porque abordan las nuevas tecnologías digitales y actualizan los tratados anteriores. En el Perú, coordina con la Presidencia del Consejo de Ministros (PCM) y el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual (INDECOPI). Si quieres conocer un poco más acerca de los servicios que brinda la OMPI revisa:  OMPI. Servicios. http://www.wipo.int/services/es/ Si quieres acercarte a los tratados de la OMPI sobre Internet revisa:  Derecho de autor y derechos conexos. http://www.wipo.int/copyright/es/  Folleto informativo: http://www.wipo.int/export/sites/www/freepublications/es/eco mmerce/450/wipo_pub_l450in.pdf Para conocer la labor de INDECOPI, revisa su página institucional: http://www.indecopi.gob.pe/0/home.aspx?PFL=0&ARE=0 52
  53. 53. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación b) Internet Corporation for Assigned Names and Numbers (ICANN) Tiene como objetivo4 “asegurar que Internet sea segura, estable e interoperativa. Esta asociación promueve la competencia y desarrolla políticas de identificadores únicos de Internet. ICANN no controla el contenido de Internet”. Se encarga de la administración de nombres de dominio (direcciones IP) con la finalidad de que estos sean únicos y ninguna persona u organización haga uso de él. Si quiere conocer un poco más acerca de ICCAN revisa su página web: http://www.icann.org/es/about/participate/what c) Internet Society (ISOC) Como lo expresa en su página web5, “es la principal fuente independiente mundial de confianza sobre políticas, estándares tecnológicos y desarrollo futuro de Internet”. Tiene como objetivos: 4 5 ICANN. http://www.icann.org/es/about/participate/what ISOC. http://www.internetsociety.org/es 53
  54. 54. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación d) Otras organizaciones  Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) http://www.uncitral.org  Internet Assigned http://www.iana.org Numbers Authority (IANA)  LatinoamerICANN http://latinoamericann.org/ 2.3 Derechos de autor y Propiedad intelectual La propiedad intelectual representa a las creaciones de la mente en todas sus variantes y se divide en dos categorías: La propiedad industrial El derecho de autor (Invenciones, patentes, marcas, dibujos y modelos industriales.) (Obras literarias, informáticas, otros.) artísticas, ¿Qué es el derecho de autor? El derecho de autor es un término jurídico que describe los derechos concedidos a los creadores de obras de diversa índole. En el ámbito informático estas obras pueden ser los programas informáticos, bases de datos, materiales audiovisuales y otras variantes de recursos digitales. Los autores o creadores originales de obras protegidas por el derecho de autor y sus herederos gozan de ciertos derechos básicos. Poseen el derecho exclusivo de utilizar o autorizar a terceros a que utilicen la obra en condiciones convenidas de común acuerdo. El autor o creador de una obra puede prohibir o autorizar: 54
  55. 55. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación La reproducción bajo distintas formas. La interpretación o ejecución pública. La grabación en dispositivos. La transmisión por diversos medios. La traducción a otros idiomas, o su adaptación. A continuación encontrará una serie de lecturas que nos ayudarán a comprender conceptos sobre licencias y tipos de licencias.  Revisar el Capítulo 3: Copyright, copyleft y patentes. (Páginas del 17 al 33) del libro Software libre vs. software propietario. http://www.notariado.org/liferay/c/document_library/get_file? folderId=12092&name=DLFE-11199.pdf  Las licencias Creative Commons. ¿Una alternativa al copyright? http://www.uoc.edu/uocpapers/2/dt/esp/xalabarder.pdf  El copyright en la era digital. Nuevas estrategias de control y explotación de productos audiovisuales en Internet. http://ddd.uab.es/pub/analisi/02112175n32p25.pdf  Copyleft y creative commons: una alternativa para la libre difusión del conocimiento. http://redalyc.uaemex.mx/redalyc/src/inicio/ArtPdfRed.jsp?i Cve=179421210007  Creative Commons: Puede así mismo revisar la página web oficial: http://creativecommons.org/licenses/  Puede además, elegir una licencia si desea ofrecer alguna obra de su autoría bajo ciertas condiciones. http://creativecommons.org/choose/ 55
  56. 56. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación 2.4 El Plagio, ¿un problema de ética? La PUCP, en su documento Por qué y cómo combatir el Plagio, sostiene que “se plagia cuando una idea textual de otro es reproducida por nosotros sin ponerla entre comillas o sin hacer la referencia al lugar o circunstancia de la cual fue extraída. Son, por tanto, dos requisitos cuando se trata de una idea textualmente utilizada. Basta que falte uno de ellos (las comillas o la referencia) para que se produzca el plagio.”  En el mismo documento se plantean las razones por las que el plagio es condenado en el ámbito universitario: El plagio es equivalente negarnos a pensar. a Si cuando plagio no pienso, retraso el progreso. Implica pensar para hacer progresar el conocimiento y al plagiar, niego esa responsabilidad que tiene el trabajo académico. Al tomar las ideas de otros y hacerlas pasar por nuestras, se las estamos robando. Cómo concebimos el plagio? ¿Consideramos que el plagio es una falta de ética? ¿Cuántas veces también hemos realizado esta acción en diferentes circunstancias de nuestra vida? ¿Permitimos en nuestro rol docente, que exista el plagio en nuestra organización educativa? ¿Qué hacemos frente a esta situación con nuestros colegas, con nuestros estudiantes? 56
  57. 57. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Si quiere conocer más acerca del plagio y algunos planteamientos de discusión, revisa:  PUCP. Por qué y cómo debemos combatir el plagio http://www.pucp.edu.pe/documento/pucp/plagio.pdf  Díaz Becerra, Oscar. Un verdadero desafío académico: el plagio es injustificable. Blog. http://blog.pucp.edu.pe/item/95517/un-verdaderodesafio-academico-el-plagio-es-injustificable  Dirección de Informática Académica. Software antiplagio.PUCP. http://dia.pucp.edu.pe/portal/component/option,com_ remository/Itemid,85/func,select/id,78/ 57
  58. 58. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Bibliografía Andress, J. 2011. The Basics of Information Security. Understanding the Fundamentals of InfoSec in Theory and Practice. New York. Syngress Press – Elsevier. Arrieta, J. (1998). Auditoría pública: revista de los Órganos Autónomos de Control Externo (Nº. 15, 1998, págs. 59-64). Medidas para aumentar la seguridad informática en el centro de trabajo. Recuperado de 2012 http://dialnet.unirioja.es/servlet/articulo?codigo=1274688(199810_15_59.pdf) Duart Josep M. 2003. Educar en valores en entornos virtuales de aprendizaje: realidades y mitos. UOC. Recuperado de http://www.uoc.edu/dt/20173/index.html Flores, C. (2009). Reflexiones y acciones para asegurar la información en nuestras organizaciones sociales. Ciudad de México, 2a. Ed. Recuperado de http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf Gregory, P., 2010. CISSP Guide to Security Essentials. Boston, Course Technology. ICCAN. http://www.icann.org/es/about/participate/what Marrero, Y. (2003). ACIMED (v.11 n.6), La Criptografía como elemento de la seguridad informática. Ciudad de La Habana. Recuperado de http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S102494352003000600012&lng=es&nrm=iso&tlng=es MONTUSCHI, Luisa. Para qué sirven los códigos de ética. Revista Análisis No. 47 Año 2007. UCEMA. Argentina. Recuperado de http://www.ambito.com/economia/informes_economicos/archivos/UCEMA%20anali sis47.pdf MONTUSCHI, Luisa. Aspectos éticos de las tecnologías de la información y de la comunicación: la ética de la computación, internet y La world wide web. UCEMA, Argentina. Recuperado de http://www.ucema.edu.ar/u/lm/ETICA_Y_NEGOCIOS__ARTICULOS/Aspectos_eticos_TICs_-_Computer_ethics_Internet_and_the_Web.pdf OMPI. Servicios. http://www.wipo.int/services/es/ PUCP. Por qué y cómo debemos combatir el plagio http://www.pucp.edu.pe/documento/pucp/plagio.pdf 58
  59. 59. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación Red PaPaz, 2009. Tus 10 comportamientos digitales. Bogotá. Recuperado de http://www.tus10comportamientosdigitales.com/ Rodriguez Luño, Angel, 2006. Aspectos éticos en el uso de Internet. Recuperado de http://www.eticaepolitica.net/eticafondamentale/arl_uso_internet%5Bes%5D.htm Shea, Virginia. Las 10 reglas básicas de la “Netiqueta”. Recuperado de http://www.eduteka.org/Netiqueta.php3 Stamp, M., 2006. Information Security. Principle and Practice. New Jersey, John Wiley & Sons, Inc. Vacca, J., 2009. Computer and Information security Handbook. Massachusetts, Elsevier - Morgan Kaufmann Publishers. Viega, J. 2009. The Myths of Security. What the computer security industry doesn't want you to know. Cambridge, O'REILLY Media. Vitaliev, D., 2009. Seguridad y privacidad digital para los defensores de los derechos humanos. Apéndice C: ¿Cómo de larga debería ser mi contraseña? (Pág. 133). Dublín. FRONT LINE. The International Foundation for the Protection of Human Rights Defenders. Voutssas, J. (2010). Investigación Bibliotecológica (vol24-50), Preservación documental digital y seguridad informática. México, D.F., UNAM. CENTRO UNIVERSITARIO DE INVESTIGACIONES BIBLIOTECOLÓGICAS (CUIB). Recuperado de LECTURAS: TOMADO DE: Marrero, Y. (2003). ACIMED (v.11 n.6), La Criptografía como elemento de la seguridad informática. Ciudad de La Habana. En: http://scielo.sld.cu/scielo.php?script=sci_arttext&pid=S102494352003000600012&lng=es&nrm=iso&tlng=es Consultado el 2 de Mayo de 2012. (En línea) TOMADO DE: Arrieta, J. (1998). Auditoría pública: revista de los Órganos Autónomos de Control Externo (Nº. 15, 1998, págs. 59-64). Medidas para aumentar la seguridad informática en el centro de trabajo. En: http://dialnet.unirioja.es/servlet/articulo?codigo=1274688 Consultado el 2 de Mayo de 2012. (199810_15_59.pdf) 59
  60. 60. Pontificia Universidad Católica del Perú Escuela de Posgrado Maestría en Integración e Innovación Educativa de las Tecnologías de la Información y la Comunicación TOMADO DE: Voutssas, J. (2010). Investigación Bibliotecológica (vol24-50), Preservación documental digital y seguridad informática. México, D.F., UNAM. CENTRO UNIVERSITARIO DE INVESTIGACIONES BIBLIOTECOLÓGICAS (CUIB). En: http://www.ejournal.unam.mx/ibi/vol24-50/IBI002405008.pdf Consultado el 2 de Mayo de 2012. (IBI002405008.pdf) TOMADO DE: Flores, C. (2009). Reflexiones y acciones para asegurar la información en nuestras organizaciones sociales. Ciudad de México, 2a. Ed. En: http://protejete.files.wordpress.com/2009/08/pongamonos_las_pilas_2aed.pdf Consultado el 2 de Mayo de 2012. (pongamonos_las_pilas_2aed.pdf) TOMADO DE: Vitaliev, D. (2009). Seguridad y privacidad digital para los defensores de los derechos humanos. Apéndice C: ¿Cómo de larga debería ser mi contraseña? (Pág. 133). Dublín. FRONT LINE. The International Foundation for the Protection of Human Rights Defenders. 60

×