TAREA 1 SAD

Adopción de Pautas de Seguridad Informática

NOMBRE Firmado digitalmente por

NOMBRE MARTINEZ DEL AMO
MARTINEZ DEL FRANCISCO JOSE - NIF 25163145H
Nombre de reconocimiento (DN):
AMO FRANCISCO c=es, o=FNMT, ou=fnmt clase 2
ca, ou=703004154, cn=NOMBRE
JOSE - NIF MARTINEZ DEL AMO FRANCISCO
JOSE - NIF 25163145H
25163145H Fecha: 2015.10.30 08:45:07 +01'00'

Francisco Martinez del Amo

27/10/2015
Seguridad y Alta Disponibilidad
Tabla de contenido
Instrucciones ................................................................................................ 2
Fortaleza de Contraseñas ................................................................................. 3
Certificados Digitales ...................................................................................... 5
Descripción para Edge, Internet Explorer o Chrome: ............................................ 5
Descripción para Firefox ............................................................................. 6
Mejorar la seguridad de un sistema ...................................................................... 8
Ejemplos de amenazas .................................................................................... 9
Interrupción ............................................................................................ 9
Intercepción ........................................................................................... 9
Modificación ........................................................................................... 9
Fabricación............................................................................................. 9
Sistemas de control de acceso........................................................................... 10
Partes de un grupo Electrógeno ......................................................................... 11
Tecnología de nanotubos ................................................................................. 12
Cifrado Simétrico .......................................................................................... 13
Certificado Digital ......................................................................................... 14
Configurar navegador................................................................................ 14
Solicitar Certificado ................................................................................. 15
Acreditar Identidad .................................................................................. 16
Descarga e instalación............................................................................... 16
Copia de Seguridad .................................................................................. 17
The Forensic ToolKit ...................................................................................... 19
Afind ................................................................................................... 20
HFind................................................................................................... 21
SFind ................................................................................................... 21
FileStat ................................................................................................ 21
Hunt .................................................................................................... 22

1
Instrucciones

Enunciado.

1. Busca en Internet alguna aplicación que muestre la fortaleza de una contraseña. Utilizando
esa aplicación determina la fortaleza de una contraseña con las siguientes características:
1. Tres caracteres en minúsculas.
2. Siete caracteres mezclando mayúsculas, minúsculas y caracteres especiales.
2. Describe detalladamente donde se pueden ver los certificados digitales que hay instalados en
un navegador.
3. Escribe tres acciones que mejorarían la seguridad de un sistema.
4. Pon un ejemplo de cada una de las siguientes amenazas:
1. Interrupción.
2. Interceptación.
3. Modificación.
4. Fabricación.
5. Investiga en Internet y enumera tres sistemas de control de acceso para personas.
6. Describe brevemente las partes más importantes de las que consta un grupo electrógeno.
7. Investiga en qué consiste la tecnología de los “nanotubos” y su aplicación a la construcción de
discos duros.
8. ¿Cuántas claves serían necesarias para que 3 personas se intercambiaran información
utilizando cifrado simétrico? ¿Y si fuesen 4 personas?
9. Describe detalladamente cómo conseguir un certificado digital para una persona jurídica.
10. Descarga la herramienta The Forensic ToolKit, instálala en tu equipo y ejecútala. Describe la
salida de un comando.

Criterios de puntuación. Total 10 puntos.

o Cada uno de los ejercicios bien resueltos se puntuará con 1 punto.

o Se pueden alcanzar 10 puntos como máximo.
o Para considerar superada la tarea habrá que conseguir 5 puntos o más.

2
Fortaleza de Contraseñas

Busca en Internet alguna aplicación que muestre la fortaleza de una contraseña.

Utilizando esa aplicación determina la fortaleza de una contraseña con las siguientes
características:
1. Tres caracteres en minúsculas.
2. Siete caracteres mezclando mayúsculas, minúsculas y caracteres especiales.

De entre las diferentes posibilidades en internet, he elegido una herramienta online de la web de
internautas.org. http://www.internautas.org/compruebapassword.html
Probamos con tres caracteres en minúscula: “wjs”

El resultado es una contraseña muy débil, obteniendo un 5% del resultado. Es una contraseña muy débil
y muy vulnerable.

3
A continuación probamos con una contraseña de siete letras mayúsculas, minúsculas y caracteres
especiales: “wIu$gR!”

Obtenemos una contraseña mucho más segura, con un resultado de un 60%, aunque aún es mejorable,
no obstante la mejora en seguridad es evidente frente a la anterior.

4
Certificados Digitales

Describe detalladamente donde se pueden ver los certificados digitales que hay instalados
en un navegador.

Descripción para Edge, Internet Explorer o Chrome:

En estos navegadores, se usan los certificados instalados en el sistema operativo. Podemos verlos desde
varias formas, la común a todos ellos es ir a panel de control, opciones de internet, a la solapa Contenido.
Allí pulsamos en Certificados.

5
Nos aparecerá una ventana donde podremos ver los diferentes certificados. En esta captura de pantalla,
en la solapa de personal, podemos ver varios certificados, entre ellos dos de la FNMT, uno de persona
física y otro de persona jurídica.

Descripción para Firefox

A diferencia de los navegadores Edge, I.E. o Chrome, Mozilla Firefox no coge los Certificados que
tengamos instalados en el sistema. Abrimos el navegador y vamos a Opciones, Avanzado.

6
Pulsamos en Certificados y allí en ver certificados.

Allí podremos ver los certificados que tengamos en ese navegador. Tendremos que importar los que
queramos añadir. En este caso aunque hay dos certificados en los otros navegadores, no tenemos ninguno
en Firefox.

7
Mejorar la seguridad de un sistema

Escribe tres acciones que mejorarían la seguridad de un sistema

Dentro de las múltiples acciones que mejorarían la seguridad de cualquier sistema de información con
un sistema informático, he escogido las más básicas. Sin embargo y a pesar de ser lo más básico, hoy en
día nos encontramos que en el mundo real, tanto empresas como particulares, carecen de dichas medidas.
Especialmente entre PYMES, Autónomos y particulares, lo normal es que no tengan implementadas estas
medidas o que, aunque pusieron en marcha alguna de ellas en su momento, no está funcionando en la
actualidad (SAIs que no funcionan, contraseña inseguras que conocen todos en la empresa, antivirus
desactualizados, copias de seguridad que no funcionan…)
• Una de las primeras acciones que mejora la seguridad de cualquier sistema es la instalación de
software antivirus y cortafuegos.
Uno de los principales problemas de seguridad actuales, las diferentes amenazas lógicas (virus,
gusanos, troyanos, malware en general). Muchos ordenadores carecen de un software de
protección, o el que tienen está sin actualizar o no funciona adecuadamente.

• Instalación de SAIs para los equipos informáticos, especialmente servidores.

Es habitual que los equipos informáticos no dispongan de ningún tipo de protección para las
sobretensiones y problemas eléctricos. Normalmente sólo empresas de dimensiones ya grandes
tienen controlado esta amenaza. Incluso muchos servidores carecen de una protección adecuada.

• Creación y puesta en funcionamiento de una política de contraseñas

Es común encontrarse ordenadores sin contraseñas por usuarios, o con contraseñas muy sencillas
y conocidas por todos los de la empresa, que no se cambian periódicamente y que no disponen
de una política de contraseñas. La entrada no autorizada al sistema es muy fácil.

• Creación y puesta en marcha de una política de copias de seguridad.

A pesar de la importancia de las copias de seguridad de la información, tanto empresarial como
personal, casi nadie tiene copias de seguridad, o si las tienen, no es completa, ni se verifican ni
se automatizan, encontrándose en cas de catástrofe por pérdida de información que no se puede
recuperar por carecer de copia o por no estar actualziada o no estar funcionando y nadie se había
dado cuenta. Es mucho más habitual de lo que podría parecernos.

Podríamos haber dicho muchas otras medidas para mejorar la seguridad, pero estas son muy relevantes
por lo básicas que son y lo poco que aún se implantan en los sistemas.

8
Ejemplos de amenazas

Pon un ejemplo de cada una de las siguientes amenazas:

1. Interrupción.
2. Interceptación.
3. Modificación.
4. Fabricación

Interrupción

Fallo en una actualización del sistema operativo o software del sistema. Aunque no es lo más frecuente,
se han dado casos en el que por un fallo de programación en una actualización o por que dicha
actualización no se instala correctamente el sistema falla y se vuelve inaccesible, causando una
interrupción del servicio e incluso pérdida de información.
Ejemplo: http://www.xatakawindows.com/windows/microsoft-retira-la-actualizacion-de-agosto-de-
windows-8-1-debido-a-los-errores-que-afectan-a-algunos-usuarios

Intercepción

Es habitual recibir correos pidiendo verificar las contraseñas de tus cuentas bancarias. Este tipo de
amenaza, el Phising es un claro ejemplo de este tipo de amenaza. Un tercero no autorizado trata de
obtener acceso al sistema por medio de la comunicación voluntarias de los usuarios, gracias a métodos
de ingeniería social.

Modificación

El ejemplo más cercano es el escándalo de la modificación que hubo en el sistema de bitcoins de MtGox.
Esta era una de las mayores casas de cambio de bitcoins, pero problemas de seguridad (cambios en los
algoritmos del software) hicieron que pequeñas cantidades en cada transacción fueran desapareciendo
poco a poco hasta hacer un montante de casi 400 millones de euros.
http://www.xataka.com/servicios/mt-gox-desaparece-y-con-ella-podrian-hacerlo-unos-400-millones-
de-dolares-en-bitcoins

Fabricación

Por ejemplo el envío de spam. La inserción de mensajes basura en una red, la inserción de hoax en redes
de comunicación y redes sociales. Todos recibimos constantemente correo no deseado y hemos recibido
en algún momento un hoax por Facebook, correo electrónico o whatsapp.

9
Sistemas de control de acceso

Investiga en Internet y enumera tres sistemas de control de acceso para personas.

Tenemos tres ejemplos:

1- Control de acceso biométrico por huella dactilar
2- Control de acceso por tarjeta magnética
3- Control de acceso por reconocimiento facial

1.- Control de acceso tipo biométrico: Control de acceso mediante huella dactilar. Ejemplo comercial de
un terminal:
http://www.syon.es/productos/control-de-presencia-y-accesos/lectores-y-terminales/terminal-tf-
1700/
Este ejemplo comercial es un control de acceso que combina lectura de huella dactilar, con sensor de
tarjetas de proximidad y teclado para códigos.

2. Control de acceso por tarjeta magnética.

Ejemplos comerciales en: http://www.directindustry.es/prod/faac-spa/product-63478-464486.html
Aquí podemos ver diversos terminales de acceso y lectura de tarjetas.

3 Control de acceso por reconocimiento facial, para hospitales, farmacéuticas, laboratorios, quirófanos,
y en general sitios que las directrices de higiene y esterilización requieran que no haya contacto entre
terminal y usuario.
Ejemplo comercial:
http://www.kimaldi.com/aplicaciones/reconocimiento_facial/reconocimiento_facial_3d_para_control
_de_acceso_y_presencia_en_hospitales_y_farmaceuticas

10
Partes de un grupo Electrógeno

Describe brevemente las partes más importantes de las que consta un grupo electrógeno

Aunque hay gran variedad de grupos electrógenos, muy dispares en su fabricación y componentes,
podríamos indicar que los principales componentes son:
• Motor
a. Motor, fuente de la energía mecánica para el alternador
b. Regulador del motor, para mantener la velocidad constante con los requisitos de la
carga.
c. Sistema eléctrico del motor, motor de arranque eléctrico, baterías, sensores, controles
y alarmas.
d. Sistema de refrigeración del motor, de agua, aceite o aire, con ventilador y/o radiador.
• Alternador, produce la energía eléctrica de salida.
• Carcasa
a. Depósito de combustible y bancada, donde van montados motor y alternador y el
depósito de combustible. Incluiría la bomba para suministrar el combustible al motor.
b. Aislamientos de ruido y vibración, para reducir las vibraciones transmitidas por el
motor y el ruido del mismo.
c. Toma de tierra
• Cuadro eléctrico
a. componentes de conexión para las diferentes salidas (monofásicas, trifásicas, según
modelos)
b. controladores eléctricos, el arranque, etc.
c. Interruptor automático de salida

11
Tecnología de nanotubos

Investiga en qué consiste la tecnología de los “nanotubos” y su aplicación a la

construcción de discos duros.

El sistema de discos duros tradicionales está llegando a sus límites físicos de almacenaje, con respecto a
la tecnología actual. Seagate fue el investigador principal de una nueva tecnología que permite aumentar
la capacidad de almacenaje. Actualmente otras empresas como Western Digital se han unido al desarrollo
de discos duros con esta nueva tecnología.
Los nanotubos de carbono aplicados a los discos duros se basan en aproximar más los cabezales a la
superficie del disco, lo que provoca que la capa de lubricante protectora se evapore debido al
calentamiento, pero para explotar esa posibilidad se necesita un lubricante que permita trabajar
correctamente a los cabezales. Los nanotubos actúan de lubricante permitiendo funcionar a estos discos
duros.
La mayor precisión de este sistema permitiría aumentar la capacidad de los discos duros
aproximadamente por 10.
Posteriormente a Seagate, Western Digital ha desarrollado una tecnología muy similar, denominada HAMR
(Heat-assited magnetic recording). Consiste en calentar durante un corto espacio de tiempo la superficie
del disco duro con un láser, mientras la aguja magnética está grabando datos. Al calentar la superficie
aumenta la densidad, pero para que sea efectiva, como ya hemos mencionado, la aguja magnética tiene
que encontrarse más cerca del plato, y para evitar el daño al evaporarse el lubricante, se utilizan los
nanotubos, que contienen el lubricante que van proporcionándolo poco a poco.
Un nanotubo de carbono es un cilindro formado por átomos de carbono con un diámetro de uno o dos
nanómetros, con propiedades especiales (mayor resistencia que el acero y mayor conductividad). En este
caso se utilizan para contener el lubricante necesario.

12
Cifrado Simétrico

¿Cuántas claves serían necesarias para que 3 personas se intercambiaran información

utilizando cifrado simétrico? ¿Y si fuesen 4 personas?

Si tenemos un número n de personas que necesitan comunicarse entre sí, se necesitan en total n(n-1)/2
claves para todas las parejas de personas que tengan que comunicarse de modo privado.
Para tres personas, necesitamos tres claves y para cuatro personas necesitamos 6 claves.

13
Certificado Digital

Describe detalladamente cómo conseguir un certificado digital para una persona jurídica.

Para solicitar un certificado digital para persona jurídica visitamos la web de la Fábrica Nacional de
Moneda y Timbre, https://www.sede.fnmt.gob.es/certificados/persona-juridica/obtener-certificado-
software
Los pasos resumidos son:
1. Configurar navegador
2. Solicitar certificado
3. Acreditar identidad
4. Descarga e instalación del certificado
5. Copia de seguridad del certificado (opcional)

Configurar navegador
Lo primero será asegurarnos que tenemos nuestro navegador bien configurado, para ello podemos usar
el configurador automático del navegador que tenemos en la misma web:

Es importante elegir el navegador adecuado ya que no todos van igual. Los recomendados son Chrome,
Firefox e Internet Explorer. El navegador Edge y otros, no están soportados.

14
Una vez que comencemos el proceso tendremos que usar el mismo ordenador, navegador y usuario en
todo momento para poder obtener y descargar dicho certificado.
Instalaremos los certificados actualizados de las autoridades de certificación, especialmente si nuestro
ordenador no hemos usado esto nunca o hace mucho tiempo. Especialmente las intermedias que no
suelen estar instaladas.
Instalaremos la librería Capicom y realizaremos las modificaciones en el registro de Windows para
configurar las opciones de seguridad del navegador, para lo cual usaremos el programa configurador
suministrado por FNMT.
Con esto terminado podemos pasar al segundo paso.

Solicitar Certificado
Iremos a la página web de solicitud: https://www.sede.fnmt.gob.es/certificados/persona-
juridica/obtener-certificado-software/solicitar-certificado

Pondremos el NIF de la persona jurídica y enviaremos la petición. Seguiremos los pasos de la solicitud,
revisaremos y confirmaremos los datos y enviaremos la solicitud. Al final del proceso nos dará un Código
de Solicitud. Es muy muy importante anotar o imprimir este código, ya que lo necesitaremos para el
paso final de descarga e instalación.

15
Acreditar Identidad

Una vez acabado el proceso anterior, imprimiremos nuestro código de solicitud y nos pasaremos por una
de las Delegaciones de la AEAT.
El primer paso sería solicitar cita previa en la web de la agencia tributaria.
Después iremos al registro mercantil para solicitar la acreditación de nuestro nombramiento como
administradores de la sociedad y de la vigencia del cargo. La última vez que lo solicité la tasa eran 5
euros. Este certificado tiene una validez de 10 días.
Iremos a la cita con la agencia tributaria llevando nuestro certificado del registro mercantil (o del registro
correspondiente si no fuera una sociedad mercantil).
Aunque no lo indica bien en la web, hay que llevar el original del DNI de la persona que o solicita y los
estatutos originales de la sociedad donde se vea la constitución y el nombramiento actual de los cargos,
junto con el certificado mencionado.
Con todo esto quedará acreditada nuestra identidad y en el plazo de 24 horas podemos descargar nuestro
certificado.

Descarga e instalación
Acabados los pasos anteriores, y usando el mismo ordenador y navegador, volveremos a la web:
https://www.sede.fnmt.gob.es/certificados/persona-juridica/obtener-certificado-software/descargar-
certificado

Rellenaremos el NIF de la empresa y el código de solicitud que nos dio el paso primero.
Se nos descargará e instalará automáticamente en nuestro navegador el certificado solicitado.

16
Copia de Seguridad
Realmente no es un paso obligatorio ni necesario para funcionar, pero es muy recomendable por si
perdemos nuestro ordenador y con el el certificado. De otra forma tendríamos que volver a realizar todo
el proceso.
Desde panel de control, opciones de seguridad, contenido, certificados

Elegimos el certificado y pulsamos en exportar. Se nos iniciará el asistente para la exportación de

certificados.

17
De todos los pasos resumo los dos más importantes: exportar la clave privada y usar formato PKCS

El resto del asistente nos dará opción a poner clave al certificado (recomendable) y elegir el sitio donde
vamos a guardarlo.
Con esto habremos generado una copia completa del certificado que podemos instalar en cualquier otro
dispositivo, fijo o móvil, incluyendo teléfonos.

18
The Forensic ToolKit

Descarga la herramienta The Forensic ToolKit, instálala en tu equipo y ejecútala.

Describe la salida de un comando.

Primero vamos a la web de Intel y descargamos este producto McAfee

Descomprimimos el producto:

Ya está listo para usarlo.

19
Con el mismo nombre y propósito tenemos otra aplicación que podemos utilizar:

Aunque en este caso nos limitaremos a la versión de Intel-McAfee que es la indicada en el tema.
Vamos a describir algunos comandos:

Afind
Buscamos los archivos que han sido accedidos en los últimos 90 minutos en el directorio
c:\windows\system32 y le decimos que no busque en los subdirectorios.

Vemos los 5 archivos que se han accedido fecha y hora.

20
HFind
Buscamos los archivos ocultos en c:\windows\system32. No encontramos ninguno.

SFind
Vemos cadenas ocultas en el directorio de la aplicación. Identificamos que son del propio programa.

FileStat
Vemos los atributos de un fichero determinado.

21
Hunt
Buscamos informacion sobre usuarios, recursos compartidos y servicios de un servidor. Como no hay
ningún servicio compartido, nos devuelve un error.

22