Seguridad, privacidad e identidad digital en el entorno escolar

Esta página, basada en el curso del mismo nombre del aula virtual de la consejería de educación, tiene como objetivos fundamentales la sensibilización y formación de los docentes y alumnos, sobre seguridad, privacidad e identidad digital.

Este curso consta de 3 módulos, el primero "Protección de dispositivos y de contenido digital", el segundo "Protección de datos personales e identidad digital" y el tercero "Protección de la salud y el bienestar".

Actividad Inicial. Observa detenidamente el cartel, saca las ideas principales, escribiéndolas en un un documento.

1. Protección de dispositivos y de contenido digital

MISIÓN 1: protección de dispositivos

Riesgos a los que nos exponemos

Pérdidas de confidencialidad: En datos personales (fotos, archivos, etc) y en información extraible (geolocalizaciones, control de nuestra cámara, etc), a través de un ciberataque a nuestro dispositivo.

Pérdidas económicas: En datos bancarios, claves de apps de compras, complementos o mejoras de video juegos, etc.

Pérdidas de datos: En muchas ocasiones, no tenemos una copia de la información de nuestros dispositivos en ningún otro medio. Por este motivo, en caso de que se vean afectados por amenazas que nos imposibiliten acceder a los datos, los habremos perdido para siempre.

Daños a la reputación: Se puede utilizar la información en nuestra contra para efectuar daños personales o en nuestro entorno social. También podemos ser víctimas de una suplantación de identidad y que se realicen, por ejemplo, delitos en nuestro nombre.

Implicaciones para los entornos profesionales: Pueden ser datos académicos, rutinas de los alumnos, datos médicos, información psicopedagógica, sin olvidarnos de las fotografías.

Tratar esta información de forma adecuada se convierte en un objetivo de una importancia primordial. Debido a que un tratamiento inadecuado de la información del alumnado en esta fase de su vida, en la que todavía se están formando, puede acabar afectando al desarrollo de su personalidad en esta etapa y en etapas posteriores de sus vidas.

Conoce a tu enemigo. Principales amenazas

¿Qué es una amenaza? Todo aquello que pone en riesgo la seguridad, en este caso, de nuestros dispositivos. Cualquier posible daño, circunstancia o evento que pueda explotar las vulnerabilidades de nuestros dispositivos, ya sea intencionadamente o no, es una amenaza de la que podemos vernos afectados; y por tanto debemos poner los medios pertinentes para evitarlas. Pero antes, vamos a ver cuáles son estas amenazas:

Malware y fraudes: El malware, apodado comúnmente como virus, se trata de un programa malicioso capaz de colarse en los dispositivos con el fin de, por ejemplo, robar datos privados, hacer que el dispositivo deje de funcionar correctamente o tomar su control para llevar a cabo otras acciones maliciosas.

Tipos de Malware: https://www.osi.es/sites/default/files/actualidad/blog/infografia_fauna_y_flora_de_los_virus.png

¿Cómo consiguen engañarnos? La ingeniería social: La ingeniería social es el conjunto de trucos y estrategias que los ciberdelincuentes utilizan con el fin de engañar a un usuario para que éste infecte su dispositivo, facilite información privada o simplemente acabe haciendo algo que no desea.

¿Y cómo lo hacen? Muchas veces, aprovechando la curiosidad o el morbo que nos produce conocer y manejar cierta información, consiguen manipularnos y hacernos actuar de la forma que ellos quieren. Por ejemplo, nos convencen de la necesidad de reenviar un correo electrónico a toda nuestra lista de contactos, descargar y abrir un archivo que se adjunta en un correo bajo alguna excusa, suscribirnos a un servicio de pago o nos incitan a proporcionar información sensible, como pueden ser nuestras claves de acceso a un determinado servicio o nuestros datos bancarios.

Ejemplos:

Desastres naturales/accidentes, por ejemplo, difundir páginas fraudulentas de donaciones.

Celebración de olimpiadas, mundiales, festivales, congresos..., una buena excusa para poner en circulación falsos sorteos, entradas, descuentos que todo el mundo querrá obtener. Para ello, a cambio de conseguir algo gratis, el usuario solo tiene que introducir sus datos personales.

Noticias sobre famosos: Escándalos, controversias, muertes... El problema es que detrás de esta supuesta información se suele esconder algún tipo de malware.

Situaciones que generan alarma: Multas, denuncias, notificaciones, problemas de seguridad. En este caso, a través de un email, se alerta al usuario de que debe realizar una acción de forma inmediata, lo que se denomina como phising (será estudiando más adelante en este módulo). Su principal objetivo es robar datos personales y bancarios de los usuarios e infectar los dispositivos para obtener un beneficio económico.

Lanzamiento de nuevos producto o servicios: La presentación de un nuevo dispositivo móvil, las actualizaciones de un sistema operativo o cualquier lanzamiento de un producto o servicio de interés general, puede ayudar a propagar correos, mensajes, noticias, vídeos, imágenes con malware.

Situación política del país: Difundir bulos sobre los políticos y sus partidos, es perfecto para recopilar direcciones de correo electrónico de usuarios así como otros posibles datos personales gracias al reenvío de los mensajes.

Principales vías de infección y engaño

¿Pero cómo podemos llegar a infectarnos? La multitud de servicios y dispositivos que utilizamos a diario hace que las vías de entrada de malware hayan aumentado. A continuación te exponemos las principales vías de infección y engaño.

Correos electrónicos: mediante ficheros adjuntos maliciosos o enlaces a páginas web maliciosas. Puede ocurrir que procedan de un contacto conocido. Esto puede deberse a que el ordenador del remitente está infectado o que se ha falsificado la dirección de origen del correo. Generalmente los adjuntos son un programa ejecutable (.exe), un fichero (.pdf) o un fichero comprimido (.zip o .rar). No obstante, siempre tenemos que estar precavidos ante cualquier tipo de archivo, en ocasiones llegan en forma de documentos que nos resultan más familiares, como Word, Excel, etc.

Enlaces: Cualquier enlace que aparezca en el contenido de un correo electrónico, podría redirigirnos, con la excusa de un contenido de interés, a una web maliciosa que contenga malware con el fin de infectarnos.

Phishing: El phishing es una técnica de suplantación de una entidad legítima, como entidades bancarias, medios de pago online, redes sociales, servicios, entidades públicas, etc.su apariencia es exactamente igual a la del servicio que suplanta. Allí se solicita la información a la víctima, normalmente sus credenciales de acceso.

Aplicaciones maliciosas (apps): A pesar de los esfuerzos realizados, se siguen encontrando casos de aplicaciones maliciosas en los mercados de Google y Apple. Entre las aplicaciones maliciosas nos podemos encontrar con las que muestran publicidad molesta, las que capturan información personal (ej. Imágenes o conversaciones de WhatsApp), las que convierten el dispositivo en un zombie a la espera de órdenes del atacante, etc; o las que solicitan más permisos de uso de los necesarios. Por ejemplo, si estamos instalando una aplicación con la finalidad de linterna y nos solicita permisos de acceso a la cámara o a los contactos, será cuanto menos sospechoso.

Recuerda que los ciberdelincuentes también ponen a disposición del público sus apps de juegos con las que manipular y embaucar a los más jóvenes.

Páginas web maliciosas: Algunas páginas web pueden infectar al usuario aprovechando los problemas de seguridad de un navegador no actualizado o de los complementos instalados, como: Java, Flash, etc. La forma de llegar a estas páginas web puede ser a través de enlaces acortados en redes sociales, haciendo búsquedas de programas o enlaces en correos electrónicos fraudulentos.

Descarga de ficheros: Al abrir o ejecutar ficheros descargados de Internet (programas, contenido multimedia, documentos, etc.) debemos ser precavidos ya que pueden traer camuflado algún tipo de malware.

Redes sociales: Las redes sociales también son utilizadas para infectar los dispositivos debido a la gran cantidad de usuarios que las frecuentan y el alto grado de propagación.

Vulnerabilidades y fallos de seguridad de un programa, aplicación, complemento o sistema operativo. Frecuentemente estas vulnerabilidades son aprovechadas por los ciberdelincuentes para infectar los equipos. Para evitar que esto suceda, los fabricantes generan actualizaciones que solucionan los problemas de seguridad.

Dispositivos de almacenamiento externos: La infección a través de dispositivos de almacenamiento externo, como pueden ser dispositivos USB o tarjetas de memoria, se realiza principalmente al copiar archivos infectados desde ellos a nuestros dispositivos. En ocasiones, podemos resultar infectados simplemente por el hecho de conectar a nuestro equipo un dispositivo de almacenamiento que contenga un virus, sin realizar ninguna otra acción. Esto es debido a que algunos tipos de malware tienen la capacidad de auto ejecutarse.

Aquí tienes una infografía sobre lo que nunca debes hacer:

https://www.osi.es/sites/default/files/actualidad/blog/2017/Septiembre/infografia-lo-que-no-debes-hacer-v02.png

Medidas de protección:

Configuración segura de dispositivos:

Contraseña, PIN y otras medidas de protección

Contraseña: La contraseña siempre tiene que ser secreta y lo más robusta posible
PIN: Para evitar que dicha tarjeta sea utilizada por otros para realizar llamadas telefónicas, enviar mensajes o navegar por Internet es necesario establecer un PIN a la tarjeta SIM, de al menos 4 dígitos. Si se olvida, hay que recurrir al PUK (ambos vienen con la tarjeta, y deben guardarse o copiarse en lugar seguro).
Otras medidas: Bloqueo de pantalla con patrón de desbloqueo, sistemas biométricos (facial, huella digital, etc).

Antivirus: Los antivirus buscan, detectan y eliminan malware instalado en los dispositivos, además de analizar correos electrónicos, funciones de cortafuegos y analizar URLs) que sirven para preservar la seguridad de los dispositivos y de nuestra información.

Independientemente del sistema operativo que se tenga instalado siempre es recomendable instalar un antivirus ya que no existe sistema operativo infalible al malware.

Actualizaciones de seguridad: Además de añadir nuevas funcionalidades o mejorar las ya existentes, también sirven para mejorar la seguridad de los dispositivos.

Cuentas de Usuario: Es común, generalmente por comodidad, utilizar un usuario con privilegios de administrador para todo. Esta forma de proceder no es recomendable. Si se diera el caso de ser objeto de una infección por malware este causará muchos más daños al ejecutarse con privilegios de administrador que si hubiese sido ejecutado con un usuario con mínimos privilegios.

Infografía Tipos de cuentas de usuario: https://www.osi.es/sites/default/files/actualidad/blog/infografia-cuentas-de-usuario.png

Descarga segura de aplicaciones: Recomendaciones para la descarga de aplicaciones

- Descargar aplicaciones de las tiendas oficiales: Para Android, Google Play y en el caso de iOS Apple Store.

- Observar la procedencia de la aplicación: Si los desarrolladores son populares, si tienen buenos comentarios, etc.

Revisión de permisos en aplicaciones: Antes de descargar una aplicación revisa siempre que los permisos que te solicita son adecuados y acordes a la finalidad de la aplicación.

Infografía Peligros del uso de las páginas de descarga directa: https://www.osi.es/sites/default/files/actualidad/blog/infografia_m14_v2.png

Gestión segura de contraseñas: Si detectamos cualquier anomalía en el funcionamiento de alguno de nuestros servicios (correo electrónico, redes sociales, blog, foro, etc.), deberemos cambiar la contraseña inmediatamente, y si fuese necesario, contactar con los administradores del servicio en cuestión a través de los mecanismos que faciliten para tal fin.

Infografía Consecuencias de compartir contraseñas: https://www.osi.es/sites/default/files/actualidad/blog/201503/infografia-consecuencias-compartir-claves-diferentes-entornos.png

Para crear una contraseña segura y robusta, deben tenerse en cuenta los siguientes factores:

Debemos asegurarnos que la contraseña tenga: una longitud mínima de ocho caracteres, que combine mayúsculas, minúsculas, números y símbolos.

No debemos utilizar como claves: palabras sencillas en cualquier idioma, nombres propios, lugares, combinaciones excesivamente cortas, fechas de nacimiento, por último, No debemos usar claves formadas únicamente a partir de la concatenación de varios elementos Por ejemplo: “Juan1985” (nombre + fecha de nacimiento).

Vídeo que nos enseña a generar contraseñas seguras: https://www.youtube.com/watch?v=l0nnL4xr3k0&feature=emb_logo

Enlaces de Interés:

Internet segura for Kids (IS4K): Página interesantísima para el aprendizaje y desarrollo del tema: https://www.is4k.es/

Internet Segura for Kids

Y aquí, las pizarras del tema...

Resumen del tema impartido en el curso 20/21 en lla materia de Alfabetización digital.

Pizarra de la videoconferencia de seguridad impartida en el IES el 24/03/22.

Trabajos del profesor y alumnos sobre Seguridad en internet.

Seguridad en internet

Seguridad en Internet Noelia Besada

Seguridad en Internet- Aida Rodríguez Sierra

Trabajos de Noelia Besada y aida Rodríguez para la materia de Computación y Robótica 21/22.