Introducción a la

Seguridad Informática
Módulo 2

Introducción a la Seguridad Informática

 Mecanismos de
autenticación

Introducción a la Seguridad Informática

 Mecanismos de autenticación
La autenticación es el proceso de verificar que algo o
alguien es quien dice ser. En la actualidad existen varios
métodos para llevar a cabo esta tarea, entre ellos
podemos mencionar:
● Algo que el usuario sabe: Contraseñas, PIN, Patrón, etc.
● Algo que el usuario tiene: Tarjeta de coordenadas,
códigos de Token, USB keys.
● Algo que el usuario es: Reconocimiento facial, dactilar,
de iris, de voz, etc.

Introducción a la Seguridad Informática

 Contraseñas
Uno de los principales problemas de las personas que
utilizan tecnología es el hecho de la cantidad de cuentas
de usuario que deben administrar. Si se suman redes
sociales, emails, homebanking, servicios en la nube, etc.,
probablemente estemos hablando de más de 15 cuentas.
Resulta muy complicado gestionar tanta cantidad de
usuarios y más cuando los sistemas de seguridad piden
cambiar las contraseñas con frecuencia, que además sean
complejas y que no se repitan las últimas
6 - 12 utilizadas… ☹

Introducción a la Seguridad Informática

 Este tipo de situaciones termina generando Este tipo de incidentes de seguridad suceden
situaciones poco seguras como las siguientes: con mucha frecuencia. La última gran
filtración de usuarios y contraseñas llamada
● Se termina repitiendo la misma clave en
Collection #1 dejó expuestas públicamente
todos lados.
en Internet más de 700 millones de cuentas y
● Se almacenan de forma errónea en lugar de sus respectivas passwords.
fácil acceso.
Conociendo esta situación, resulta vital
● Dificultad para poder recordarlas. poder tomar conciencia de la importancia
que representa cuidar nuestras contraseñas
Sumado a lo antes mencionado, también existe en un medio tan hostil como resulta Internet.
otro problema que no es generado por los
usuarios, sino por las empresas que prestan
servicios. Los datos como el usuario y la
contraseña se almacenan en una base de datos,
si esta no está protegida como corresponde se
corre el riesgo de que alguien la pueda
vulnerar y robar los datos allí almacenados.

Introducción a la Seguridad Informática

 Filtraciones de datos
Lo primero que vamos a hacer es verificar si hemos sido víctimas de una filtración, y si
nuestros datos personales, como usuarios y contraseña, están públicos en Internet.

Para realizar esta comprobación

utilizaremos el sitio
haveibeenpwned.com
Una vez en el sitio, ingresamos
nuestro correo electrónico y
hacemos clic en el botón “pwned?”.

Introducción a la Seguridad Informática

 Si el resultado aparece en rojo, significa que se
han filtrado datos personales en Internet.
Bajando en la misma página podemos saber en
qué plataforma o servicio ocurrió y cuándo.
Si el resultado está en rojo, es muy importante
cambiar la contraseña de ese correo y de todos ejemplo@mail.com

aquellos servicios o plataformas donde

estemos utilizando ese correo y su contraseña.
Si el resultado que aparece está en verde,
significa que por el momento no hemos sido
víctimas de una filtración de datos. Esto no
implica que en un futuro lo podremos ser, por
ese motivo, conviene regularmente verificar
con esta plataforma si existen filtraciones o no
de nuestras cuentas de correo. ejemplo@mail.org

Introducción a la Seguridad Informática

 Complejidad de las contraseñas
Algo a tener en cuenta en relación a las Una forma muy sencilla es diseñarlas a
contraseñas es su robustez. Es necesario crear través de frases en vez de usar palabras
contraseñas que sean complejas para evitar que sueltas. Por ejemplo, una clave compleja
un atacante pueda adivinarlas u obtenerlas podría ser: “Me gusta Soda Stereo”. Ahí
mediante un ataque de fuerza bruta o diccionario. tenemos cuatro palabras, usamos
Cuanto más difícil sean, más compleja será la mayúsculas, minúsculas, más de 10
tarea de poder obtenerla y así aseguraremos caracteres y encima tenemos caracteres
nuestras cuentas de usuario. especiales como el espacio. Crearlas de
esta manera se vuelve muy fácil y nada
Para que una clave sea compleja debemos tener
difícil de recordar.
en cuenta las siguientes características:
1. Tener más de 10 caracteres
2. Utilizar letras, números y caracteres especiales.
3. Utilizar mayúsculas y minúsculas.
4. No utilizar datos personales como nombres,
fechas, etc.
Introducción a la Seguridad Informática
 Podemos probar su complejidad desde la
plataforma https://password.kaspersky.com/es/
que nos indica cuánto tiempo se tardaría en
descubrir una clave que probemos ingresar.
Es importante no ingresar claves reales,
siempre es conveniente utilizar la misma
nomenclatura que manejaremos con nuestras
claves y probar con ejemplos pero no con
datos verídicos.

Introducción a la Seguridad Informática

 Gestores de contraseñas
locales y de nube

Introducción a la Seguridad Informática

 Gestores de contraseñas
locales y de nube
Además de crear contraseñas robustas debemos Entre ellos podemos mencionar Keepass,
pensar en cómo los usuarios podrán manejar tanta LastPass, entre otros. La forma de
cantidad de contraseñas. Entonces, no podemos funcionamiento es la siguiente:
pedirle al usuario que recuerde o administre 15
El programa solicita la creación de una
contraseñas y no se le ocurra repetir la misma o
contraseña “Maestra” la cual tendrá que
escribirlas en un papel y tenerlo cerca de su equipo.
ser muy robusta porque será la única que
Para evitar estos problemas, podemos utilizar los tendremos que utilizar para acceder a la
Gestores de Contraseñas. Estos programas base donde tenemos almacenadas el
permiten almacenar passwords y guardarlas de resto. Entonces, cuando ingresamos esta
forma segura porque se crea una base de datos contraseña, podemos utilizar las que
cifrada que asegura el resguardo de las contraseñas tenemos allí guardadas.
y garantiza el principio de la confidencialidad. Existe
una amplia gama de programas que cumplen esta
función.
Introducción a la Seguridad Informática
 Ingreso al sistema con la
contraseña “Maestra”

Introducción a la Seguridad Informática

 Base de Datos con los
usuarios y contraseñas
almacenadas.

Introducción a la Seguridad Informática

 Este archivo, la base de datos, podemos guardarla en
nuestro dispositivo, tenerla en la nube, o en algún
soporte como discos externos o pendrives y llevarlo
donde lo necesitemos.

Este programa tiene una versión portable, lo cual

permitiría que abramos la base desde cualquier
computadora sin la necesidad de instalar el software.
Para los usuarios será de gran utilidad ya que podrán
almacenar allí todas sus contraseñas con una alta
seguridad.
Los usuarios de Windows pueden utilizar Keepass,
KeepassXC que también funciona en sistemas Linux y
MAC (https://keepassxc.org/)

Introducción a la Seguridad Informática

 Otra alternativa recomendable para usuarios Al estar toda la información almacenada
no técnicos que es gratuita, de código abierto en la nube de Bitwarden (o el programa
y multiplataforma, es decir, que funciona en que se desee utilizar) no será necesario
Windows, OSX, Android y Linux es Bitwarden. estar respaldando esa información.
En este caso, no se genera una base de datos
local en el equipo sino que dispone de base
en la nube de Bitwarden para acceder vía App
en nuestro móvil o desde cualquier navegador
web. De esta manera lo único que tenemos
que recordar es la contraseña maestra para
iniciar sesión.
Este tipo de servicios cloud para almacenar
contraseñas es muy práctico y evita que el
usuario tenga que estar respaldando sus
claves en algún soporte externo como cuando
se trabaja con gestores locales como Keepass.

Introducción a la Seguridad Informática

Introducción a la Seguridad Informática
 Autenticación de
Dos Factores (2FA)

Introducción a la Seguridad Informática

 Autenticación de
Dos Factores (2FA)
Si bien el uso de una contraseña robusta y de los Su función es agregar una capa más de
gestores de contraseñas mejoran notablemente protección solicitando además del usuario
la forma de preservar nuestros datos y contraseña, un código de token que se
personales, podemos ser víctimas de un envía al dueño de la cuenta para que lo
ciberdelincuente que robe nuestras passwords e ingrese cuando vaya a iniciar sesión. Este
ingrese en nuestras cuentas de usuario. token se envía a través de una aplicación
móvil que tiene instalada el usuario y que
Por este motivo, últimamente se ha
tiene que colocar si quiere ingresar en su
implementado una medida adicional de
cuenta o servicio donde lo quiera habilitar.
seguridad que impide el ingreso ilegal por parte
de delincuentes a nuestros datos. A este nuevo
sistema de seguridad se le denomina 2FA –
Autenticación de Dos Factores.

Introducción a la Seguridad Informática

 Existen muchas aplicaciones de 2FA en el mercado,
entre las mejores podemos mencionar:
1. Authy
Si se quiere proteger de verdad, es
2. Google Authenticator
necesario activar el 2FA en aquellos
3. Latch servicios, plataformas y redes sociales
que se consideren importantes.
4. Microsoft Authenticator
No hay que esperar que algo suceda.
En caso de utilizar un 2FA, es recomendable
hacerlo a través de alguna de las aplicaciones
mencionadas y evitar, en la medida de lo posible,
los códigos de token enviados por medio del SMS,
ya que este es un canal de comunicación que no
cifra los datos y podrían quedar expuestos a un
tercero que los podría leer.

Introducción a la Seguridad Informática

 ¡Muchas gracias!
¡Sigamos trabajando!

Introducción a la Seguridad Informática