1.   INTRODUCCIÓN

 

El presente documento está pensado para servirle de ayuda e información en todo lo referido a las medidas de seguridad que se deben tener en cuenta cuando se utiliza una conexión a internet.

 

Le informaremos de los problemas de seguridad que se puede encontrar de forma general y de cómo el sitio web www.iagro.org tiene cubiertas dichas medidas. Se le darán consejos para aumentar aún más las medidas por su parte, siendo éstos extensibles a cualquier sitio web que desee utilizar.

 

El documento se estructura, por tanto, en los siguientes capítulos:

 

 SEGURIDAD POR PARTE DEL USUARIO

     Consejos que debe seguir el usuario para garantizar la integridad del equipo desde el que accede a la www.iagro.org. Estos consejos son tanto para su PC habitual como cuando utilice un PC compartido.

 SEGURIDAD EN EL ACCESO A INTERNET

Las medidas de seguridad aplicadas en los accesos a Internet de www.iagro.org.

 SEGURIDAD EN LOS SERVIDORES WEB

Características de seguridad del servidor web de www.iagro.org.

 

2.   SEGURIDAD POR PARTE DEL USUARIO

 

Cada día son mayores los peligros que acechan a cualquier internauta, siendo la seguridad, en la mayoría de los casos, el punto más vulnerable.

 

Los proveedores de servicio, en mayor o menor medida, se preocupan por mantener actualizados sus servidores, cortafuegos y aplicaciones para protegerse de los posibles ataques. Sin embargo, aún no existe un suficiente grado de sensibilización por parte de los usuarios de Internet.

 

La gran mayoría de los usuarios son particulares que utilizan su PC de casa tanto para navegar por Internet, correo electrónico personal, como para el acceso en este caso a una aplicación web. No suelen ser conscientes de los peligros que tiene la Red, tales como virus, hackers, keyloggers, dialers, (ver glosario) etc... por lo que la mayoría no tiene una versión actualizada de antivirus, ni utiliza un cortafuegos, ni pasa controles periódicos a su ordenador para asegurarse de la no existencia de dialers, keyloggers, (ver glosario) etc.

 

Para terminar y como recomendación para fomentar la seguridad por parte del usuario, se aconseja visitar la web de la Asociación de Internautas, apartado Seguridad, donde se dan prácticas recomendaciones para evitar cualquier amenaza.

http://www.seguridadenlared.org/es/index.php

 

2.1 SEGURIDAD EN EL PC

Tal y como se indicaba en el apartado de introducción del presente capítulo, la seguridad en las aplicaciones comienza por el propio usuario de las mismas. No por el hecho de estar concebidas como aplicaciones en servidor, accesibles desde un simple navegador, con seguridad SSL (ver glosario) en las comunicaciones, se garantiza que desde cualquier PC se puede acceder sin riesgos.

 

           El hecho de utilizar el PC desde el que se accede a www.iagro.org para navegar por Internet o leer el correo, puede provocar que se instalen en el mismo ordenador, keyloggers(ver glosario) que capturen todo que se teclee. También es posible recibir virus que cambien la configuración del navegador u obtener las páginas de la caché del navegador donde están las últimas páginas visitadas, haciendo que el atacante pueda obtener códigos de usuario y claves.

 

Otro aspecto a tener en cuenta es que a medida que se van descubriendo vulnerabilidades en los Sistemas Operativos y en los navegadores, los fabricantes, principalmente Microsoft, lanzan nuevos parches ó Service Packs (ver glosario) para corregir los problemas. Los hackers, por su parte, se dedican a rastrear la Red en busca de vulnerabilidades conocidas para acceder a los PCs .

 

Los navegadores, por cuestiones de eficiencia, guardan de forma automática unos archivos temporales de todo lo que se van descargando de los servidores a los que acceden (páginas HTML, imágenes, hojas de estilo, ficheros javascript, etc.), y guardan en el historial todas las páginas que se han ido visitando durante la navegación. Esta información se guarda en archivos en el disco duro del PC, por lo que están accesibles a cualquier persona que, posteriormente utiliza el PC o a cualquier programa instalado en el mismo.

 

Si utilizamos habitualmente nuestro ordenador privado y se sigue las normas elementales de seguridad, este asunto no es demasiado problemático, pero si se utiliza un ordenador compartido, hay que ser precavidos y eliminar toda esta información al finalizar nuestra sesión en el PC.

 

Por otro lado, los servidores web pueden alojar en el navegador cookies. (ver glosario). Estas cookies son ficheros que se reenvían al servidor con cada petición HTTP, y son utilizadas generalmente para identificar al usuario, controlar su navegación, etc. Al igual que en el caso anterior, si utilizamos nuestro ordenador privado, esto no supone un problema.

 

Pero si se utiliza un ordenador público o compartido, cualquier persona podrá analizar estos ficheros y obtener información personal nuestra, de cómo hemos navegado, etc.

 

 

Tampoco debemos obsesionarnos con todo lo indicado anteriormente, pero sí son recomendaciones e información que queremos facilitar a nuestros clientes.

 

RECOMENDACIONES

 

En resumen, las recomendaciones en materia de seguridad a los usuarios de www.iagro.org son las siguientes:

 

1. Instalar y mantener actualizado un programa antivirus

2. Si el antivirus no lo incorpora, se recomienda instalar un Cortafuegos o Firewall (ver

glosario).

3. Pasar controles periódicos de programas Spyware (ver glosario).

4. Mantener actualizados el Sistema Operativo y el navegador a las últimas versiones y parches disponibles.

5. Realizar periódicamente copias de seguridad que permitan restaurar una versión

correcta ante cualquier desconfiguración o ataque.

6. Si se trabaja en un ordenador de uso privado:

a. Borrar periódicamente las cookies (ver glosario)

b. Borrar periódicamente los archivos temporales o caché (ver glosario) del

navegador.

7. Si se trabaja en un ordenador de uso público o compartido, se recomienda realizar lo siguiente al terminar la sesión, especialmente si se ha accedido a la Banca Electrónica:

a. Borrar las cookies.

b. Borrar el historial de conexiones a Internet en el navegador.

c. Borrar los archivos temporales o caché del navegador.

8. Revisar la configuración de nuestro PC para asegurarnos que no tenemos carpetas

como archivos compartidos, y si es así, que no se trate de información relevante de

nuestro equipo.

9. Seleccionar la opción del navegador que indica no guardar páginas cifradas

en la caché (ver glosario).

 

2.2          SEGURIDAD EN LA NAVEGACIÓN

 

El hecho de utilizar el mismo PC para navegar por Internet y para acceder a www.iagro.org hace que el usuario esté continuamente en peligro y que un atacante pueda conseguir los códigos de usuario y clave de acceso a www.iagro.org.

 

Esta amenaza se hace más palpable cuando utilizamos un ordenador de uso compartido, como los situados en un cibercafé, universidad, biblioteca ó empresa, ya que se desconocen las medidas de seguridad del equipo (antivirus, cortafuegos, parches instalados, etc.) y cualquier persona que haya dejado un virus o programa malintencionado, o que comparta la red y acceda a información como los archivos temporales, podría llegar a ver nuestros datos dewww.iagro.org, incluso  averiguar nuestras claves de acceso.

 

Una de las formas más comunes de introducción de virus, keyloggers, dialers, (ver glosario) etc. en nuestro PC es navegar por sitios web desconocidos, en los que en determinadas páginas se activa de forma automática la descarga e instalación de un software. En estos sitios se utilizan técnicas de ingeniería social para hacer que el usuario “pique” y acepte la instalación, con atractivos reclamos como la consecución de premios o la visualización de contenidos restringidos.

 

RECOMENDACIONES

Por lo tanto, las recomendaciones que deben seguirse para una navegación segura son:

1. No navegar por páginas de potencial riesgo, y hacerlo, a poder ser, por sitios web

conocidos.

2. Nunca aceptar la instalación de ningún software obtenido de Internet sin estar completamente seguros de su procedencia y fin, y desconfiar de manera especial de todo aquel software cuya instalación se inicie de forma no solicitada. No obstante, en caso de decidir continuar adelante, se recomienda la verificación con el antivirus como paso previo a su instalación.

3. Mientras se navegue por las páginas de www.iagro.org, asegurarse siempre que

se encuentra cerrado el candado del navegador, que indica que todo el contenido se ha obtenido cifrado de un servidor.

 4. Evitar la utilización de ordenadores de uso público o compartido para acceder a páginas o servicios de uso privado, como puede ser www.iagro.org.

 

2.3          SEGURIDAD EN LAS CLAVES DE ACCESO

 

Un tema muy utilizado por los atacantes son las técnicas de ingeniería social para obtener claves de usuario. Ejemplo de ello es la tendencia que tenemos todos los usuarios a poner una clave de acceso fácil de recordar, por lo que un atacante podría probar con una palabra clave fija y variar el código de usuario que seguro que va a encontrar alguno que la ha elegido (por ejemplo “1111”, “2222”, etc.)

 

Un poco más sofisticado puede ser el atacante que conoce alguna característica personal del usuario, y prueba con su día-mes de nacimiento, matrícula del coche, etc.

 

RECOMENDACIONES

Por lo tanto, las recomendaciones en este sentido son las siguientes:

1. Poner una contraseña que no contenga todos los dígitos iguales.

2. Que la contraseña no contenga información personal: DNI, matrícula del coche, fechas de nacimiento, etc.

3. Cambiar la clave de acceso cada cierto tiempo.

4. Que la clave de acceso nunca coincida con el PIN de cualquiera de las tarjetas de crédito o débito que tengamos.

5. Jamás debemos tener escritas en un papel la contraseña de acceso, ni el Usuario.

6. De la misma forma, se recomienda no guardarlas en ningún archivo dentro del propio PC.

7. No utilizar las mismas claves para sitios web “desconocidos”

 

2.4 SEGURIDAD EN LAS CONEXIONES

 

Como ya se ha comentado, el usuario debe observar una serie de normas de seguridad en las conexiones que realiza a www.iagro.org, pero de manera especial si utiliza un PC de uso público o compartido.

 

Los navegadores o sistema operativo tienen una utilidad que permite almacenar claves, de forma que ante sucesivas introducciones, el PC puede autocompletar el código de usuario y rellenado de la clave, sin necesidad de ser introducida por el usuario. Esto supone un riesgo evidente en el caso de utilizar ordenadores públicos, ya que posteriores usuarios que utilicen el mismo PC utilizado para acceder a la plataforma podrían llegar a suplantar al cliente, aún sin conocer su clave de acceso.

 

Si además, se tiene habilitada la opción de “Autocompletar formularios”, opción que hace mucho más cómoda la navegación y la reiteración de datos, los usuarios son fácilmente identificables y con ello sus contraseñas.

 

Otro error muy común es no cerrar la sesión en un sitio web cuando hemos dado por finalizada la navegación, ya que si nos levantamos del puesto, otro usuario puede encontrarse la sesión activa y consultar nuestra información operar. No es suficiente con abandonar la sesión cualquier sitio web visitando otro sitio

web, ya que pulsando el botón “Atrás” del navegador, puede llegarse de nuevo al servidor y continuar en sesión si no se ha ordenado la desconexión de forma

explícita.

 

Por lo tanto, sirvan como recomendaciones de seguridad en cuanto a las conexiones en ordenadores públicos o compartidos, las siguientes medidas:

1.     Asegurarse que está deshabilitada la opción de “Autocompletar contraseñas”. Es una recomendación de obligado cumplimiento en ordenadores de uso público, pero muy aconsejable incluso en ordenadores privados.

2. No olvidar pulsar el botón de cerrar sesión una vez finalizada la navegación en elservicio de www.iagro.org

 

3. SEGURIDAD EN EL ACCESO A INTERNET

 

Ante la necesidad de garantizar la absoluta confidencialidad de las comunicaciones entre iAGRO y sus clientes, toda operación de transmisión de información se realiza a través de un entorno seguro, utilizando el Protocolo SSL (ver glosario), mediante un mecanismo que utiliza algoritmos de 128 bits.

 

Dicha transmisión se realiza mediante un mecanismo de claves públicas y privadas, que utiliza los algoritmos de encriptación más potentes del mercado, evitando que los datos puedan ser conocidos o manipulados por terceros, garantizando igualmente que el cliente está comunicando sus datos al servidor de iAGRO, y no a otro que intente hacerse pasar por éste.

 

El navegador utilizado para alcanzar este nivel de seguridad ha de ser Internet Explorer 5.0 o superior. Es posible comprobar que se encuentra bajo una conexión segura, mediante la dirección del servidor (URL), ya que en este entorno comienza por https (cuando lo habituales que la dirección comience por http), y con el indicador que aparece en la parte inferior de la ventana de una llave entera o un candado cerrado.

 

4. SEGURIDAD EN EL SERVIDOR WEB

 

En el presente apartado se aborda la seguridad desde el siguiente elemento que interviene en el servicio de iAGRO, que es el servidor web. El servidor web de iAGRO utilizado en el servicio de www.iagro.org es un servidor web seguro. Esto significa que hay instalado un certificado, emitido a nombre de iAGRO, por una autoridad certificadora de confianza, que permite al usuario comprobar con qué servidor está dialogando, y que se utiliza para cifrar toda la comunicación HTTP entre el navegador y el servidor web, mediante SSL, evitando que terceras personas puedan ver la información intercambiada.

 

Para el cifrado se utilizan claves de 128 bits, que en el momento actual de la tecnología hace casi imposible su violación por fuerza bruta.

 

La autoridad de certificación que emite todos los certificados de los servidores es RapisSSL Inc., empresa de amplio reconocimiento y prestigio en todo el mundo. Por lo tanto, en el servicio de Gestión online de iAGRO se puede garantizar la seguridad, privacidad y autenticidad.

 

GLOSARIO

 

En el presente apartado se dan las definiciones de alguno de los términos utilizados a lo largo del documento.

􀀹 Antivirus / Programas antivirus: Son todos aquellos programas que permiten analizar la memoria, las unidades de disco y otros elementos de un ordenador, en busca de virus.

􀀹 Bug: Este término se emplea para indicar un fallo o error en un programa informático. Cuando uno de ellos tiene errores, se dice que tiene bugs.

􀀹 Caché: Es una pequeña sección correspondiente a la memoria de un ordenador.

􀀹 Cookie: Es un fichero de texto que, en ocasiones, se envía a un usuario cuando éste visita una página Web. Su objetivo es registrar la visita del usuario y guardar cierta información al respecto.

􀀹 Cracker: Es una persona interesada en saltarse la seguridad de un sistema informático.

􀀹 Dialer: Es un programa que suele ser utilizado para redirigir, de forma maliciosa, las conexiones mientras se navega por Internet. Su objetivo es colgar la conexión telefónica que se está utilizando en ese momento (la que permite el acceso a Internet, mediante el marcado de un determinado número de teléfono) y establecer otra, marcando un número

de teléfono de tarificación especial. Esto supondrá un notable aumento del importe en la factura telefónica.

􀀹 Firewall / Cortafuegos: Su traducción literal es muro de fuego, también conocido a nivel técnico como cortafuegos. Es una barrera o protección que permite a un sistema salvaguardar la información al acceder a otras redes, como por ejemplo Internet.

􀀹 Hacker: Persona que accede a un ordenador de forma no autorizada e ilegal.

􀀹 HTTP (HyperText Transfer Protocol): Es un sistema de comunicación que permite la visualización de páginas Web, desde un navegador.

􀀹 ISP (Internet Service Provider): Una empresa que brinda acceso y servicios de Internet en alguna forma, normalmente por dinero.

􀀹 JavaScript: Es un lenguaje de programación que aporta características dinámicas (datos variables en función del tiempo y el modo de acceso, interactividad con el usuario, personalización, etc.) a las páginas Web, escritas en lenguaje HTML.

􀀹 Keylogger (Capturador de teclado): Programa que recoge y guarda una lista de todas las teclas pulsadas por un usuario. Dicho programa puede hacer pública la lista, permitiendo que terceras personas conozcan estos datos -lo que ha escrito el usuario afectado (información introducida por teclado: contraseñas, texto escrito en documentos,

mensajes de correo, combinaciones de teclas, etc.).

􀀹 Navegador: Un navegador Web o navegador de Internet es el programa que permite visualizar los contenidos de las páginas Web en Internet. También se conoce con el nombre de browser. Algunos ejemplos de navegadores Web o browsers son: Internet Explorer, Netscape Navigator, Opera, etc.

􀀹 Router: Un dispositivo (o programa de software) que maneja la conexión entre dos o más redes. Se encargan de buscar la dirección de destino de los paquetes que pasan por ellos y deciden hacia qué ruta enviarlos.

􀀹 Shareware: Son versiones de evaluación de un producto software, de uso gratuito, que sirven básicamente para probar el producto antes de adquirirlo definitivamente.

􀀹 SMIME (Secure Multi Propose Mail Extensión): protocolo seguro de intercambio de correo electrónico.

􀀹 SNMP (Simple Network Management Protocol): Es un conjunto de estándares de

comunicación entre dispositivos conectados a la red sobre TCP/IP. Ejemplos de estos dispositivos pueden ser: routers, hubs y switches. Se dice que un dispositivo es "compatible con SNMP " si este puede ser monitoreado y/o controlado usando mensajes SNMP. Los mensajes SNMP son conocidos como "PDU's" - Protocol Data Units, o traps.

Los dispositivos compatibles con SNMP contienen un software "agente" para recibir, enviar y actuar sobre los mensajes SNMP. Existen programas de software para la administración de dispositivos vía SNMP que están disponibles para cada una de las plataformas más comunes y por lo regular se incluyen con el dispositivo a administrar. Algunos programas de software SNMP están diseñados para administrar y monitorear una amplia variedad de dispositivos.

􀀹 Spam: Es correo electrónico no solicitado, normalmente con contenido publicitario, que se envía de forma masiva. Este tipo de mensajes puede causar graves molestias y provocar pérdidas de tiempo y recursos.

􀀹 Spyware (Software de espionaje): Son programas que rastrean los hábitos de comportamiento del usuario y su información personal para luego enviar esta información a terceros sin la autorización o conocimiento del mismo.

􀀹 SSL (Secure Socket Layer): Se trata de un protocolo de seguridad estándar que transmite la información cifrada entre el navegador y el servidor web a través de Internet. SSL proporciona privacidad para datos y mensajes, así como autenticación de los datos. De acuerdo con la convención establecida, la dirección de las páginas Web que requieren

una conexión SSL comienza con https: en lugar de http:.

􀀹 URL (Uniform Resource Locator): Dirección a través de la cual se accede a las páginas Web en Internet (o a otros ordenadores).

􀀹 Virus: Los virus son programas que se pueden introducir en los ordenadores y sistemas informáticos de formas muy diversas, produciendo efectos molestos, nocivos e incluso destructivos e irreparables.