Saltar la navegación

SEG.4.1 Protegemos nuestros dispositivos y datos personales

Objetivos de la unidad

  • Analizar y valorar los riesgos de seguridad más comunes asociados al uso de tecnologías y dispositivos digitales.
  • Identificar las amenazas cibernéticas más frecuentes como el phishing, el ransomware y las botnets, y comprender sus consecuencias.
  • Reconocer los métodos y técnicas utilizados en fraudes y estafas en línea.
  • Evaluar los riesgos específicos de conectarse a redes públicas (Wi-Fi) y a otros dispositivos mediante Bluetooth.
  • Comprender los conceptos de confidencialidad, integridad y disponibilidad de la información.
  • Conocer los derechos digitales fundamentales, como la protección de datos y el derecho al olvido.
  • Tomar decisiones informadas para proteger los datos personales en diferentes contextos digitales (redes sociales, formularios, nube).
  • Identificar las graves consecuencias de la exposición de información personal, como el fraude o la suplantación de identidad.

Introducción: El Valor de la Información en el Mundo Digital

En nuestro día a día, interactuamos constantemente con la tecnología digital. Desde nuestros teléfonos hasta los ordenadores y las redes a las que nos conectamos, cada acción genera o consume datos. Esta conectividad nos ofrece innumerables ventajas, pero también nos expone a una serie de riesgos. Comprender estas amenazas es el primer paso para proteger lo más valioso que tenemos en el entorno digital: nuestros dispositivos, nuestra información y nuestra identidad.

Amenazas Cibernéticas: Los Peligros Invisibles

En el mundo digital existen múltiples amenazas diseñadas para comprometer nuestros dispositivos y robar nuestra información. Conocer las más comunes nos permite estar alerta y actuar a tiempo.

  • Phishing: Es una técnica de engaño en la que un atacante se hace pasar por una persona, empresa o servicio de confianza (un banco, una red social, un servicio de mensajería) para manipular a la víctima y conseguir que revele información confidencial, como contraseñas o datos bancarios. Generalmente, se realiza a través de correos electrónicos, SMS (smishing) o mensajes instantáneos que incluyen un enlace a una página web falsa.
  • Ransomware: Es un tipo de software malicioso (malware) que cifra los archivos de un dispositivo (documentos, fotos, vídeos) y exige el pago de un rescate (en inglés, "ransom") para poder recuperarlos. Es una de las amenazas más destructivas tanto para usuarios particulares como para empresas, ya que puede suponer la pérdida total de la información si no se dispone de copias de seguridad.
  • Accesos no autorizados: Ocurre cuando una persona logra acceder a una cuenta, dispositivo o sistema sin tener permiso para ello. Esto puede suceder por el robo de contraseñas, el uso de credenciales débiles o la explotación de una vulnerabilidad de seguridad. Las consecuencias van desde el espionaje hasta el robo de información o la suplantación de identidad.
  • Botnets: Una "botnet" o red de bots es un conjunto de dispositivos informáticos infectados por malware que son controlados de forma remota por un atacante. Estos dispositivos "zombis" pueden ser utilizados, sin que sus dueños lo sepan, para lanzar ataques a gran escala, como enviar spam masivo, realizar ataques de denegación de servicio (DDoS) o robar datos.

Fraudes y Estafas Online: No Todo es lo que Parece

Los ciberdelincuentes utilizan el engaño y la manipulación psicológica para llevar a cabo sus estafas. Reconocer sus tácticas es fundamental para no caer en la trampa.

  • Métodos frecuentes: Las estafas pueden presentarse de muchas formas: falsas ofertas de trabajo, premios de lotería inexistentes, tiendas online fraudulentas que nunca envían el producto, o supuestas oportunidades de inversión con una rentabilidad demasiado buena para ser verdad.
  • Plataformas empleadas: Los estafadores utilizan cualquier medio a su alcance: correo electrónico, redes sociales (Facebook, Instagram), aplicaciones de mensajería (WhatsApp, Telegram) y sitios web falsos que imitan a los legítimos.
  • Técnicas psicológicas: Se basan en crear un sentido de urgencia ("¡última oportunidad!"), miedo ("tu cuenta será bloqueada") o curiosidad ("mira quién ha visto tu perfil"). Apelan a nuestras emociones para que actuemos de forma impulsiva y sin reflexionar.

Riesgos de Conectividad: Wi-Fi y Bluetooth

La comodidad de conectarnos en cualquier lugar también tiene sus riesgos, especialmente cuando usamos redes que no controlamos.

  • Redes Wi-Fi públicas: Las redes abiertas en aeropuertos, cafeterías u hoteles son especialmente peligrosas. Un atacante conectado a la misma red podría interceptar toda la información que envías y recibes si no está cifrada (técnica conocida como "Man-in-the-Middle"). Esto incluye contraseñas, mensajes o datos bancarios.
  • Bluetooth: Aunque es una tecnología de corto alcance, también presenta riesgos. Amenazas como el "Bluejacking" (envío de mensajes no solicitados) o el "Bluesnarfing" (robo de información a través de una conexión Bluetooth vulnerable) pueden comprometer tus datos si mantienes el Bluetooth activado y visible innecesariamente.
pishing y amenazas
pishing y otras amenazas

Protección de Datos Personales: Tu Información, Tus Derechos

Aunque los Derechos y Deberes digitales se tratan en el Dominio Competencial de Comunicación y Colaboración, específicamente en el apartado CC.4.2 ahora vamos a profundizar en las amenazas reales y los riesgos de seguridad.

La protección de nuestra información personal es un pilar fundamental de la seguridad digital. Se basa en tres principios clave conocidos como la "tríada CIA".

  • Confidencialidad: Asegura que la información solo sea accesible para las personas autorizadas. Es la base de la privacidad.
  • Integridad: Garantiza que la información sea exacta y completa, y que no pueda ser modificada por personas no autorizadas.
  • Disponibilidad: Asegura que la información y los sistemas estén disponibles y funcionando para los usuarios autorizados cuando los necesiten.

Datos Personales y Derechos Digitales

Un dato personal es cualquier información que nos identifica o nos hace identificables (nombre, DNI, dirección, correo electrónico, una fotografía, etc.). La ley nos otorga derechos para controlar quién y cómo usa nuestros datos.

  • Protección de datos y consentimiento: Tienes derecho a saber quién recoge tus datos, para qué los va a usar y a dar tu consentimiento explícito para ello.
  • Derecho al olvido: Es el derecho a solicitar que se elimine tu información personal de los buscadores de internet y bases de datos cuando esta ya no es relevante, es inexacta o perjudica tu imagen.
  • Redes Sociales y Ciberacoso: En las redes sociales, la exposición de datos personales es muy alta. Esto puede derivar en riesgos como el ciberacoso (hostigamiento o intimidación a través de medios digitales), que es una grave amenaza a la integridad y bienestar de las personas

Amenazas a los Datos Personales y sus Consecuencias

La exposición de nuestros datos personales puede ocurrir en muchos contextos, a menudo de formas que no anticipamos, y tener consecuencias muy graves. Comprender estos escenarios es clave para protegernos eficazmente.

Contextos de Exposición:

  • Redes Sociales: Más allá de una simple publicación, la exposición en redes sociales es constante y multifacética.
    • Sobreexposición voluntaria (Oversharing): Compartir la ubicación en tiempo real, fotos de las vacaciones (indicando que la casa está vacía), imágenes de bienes valiosos o detalles íntimos de relaciones personales puede facilitar la labor a delincuentes.
    • Información del perfil: Datos como la fecha de nacimiento completa, el lugar de estudios o trabajo y los nombres de familiares pueden ser utilizados por ciberdelincuentes para suplantar la identidad o para tácticas de ingeniería social.
    • Metadatos ocultos: Las fotografías que subimos pueden contener metadatos (datos sobre los datos) que revelan la ubicación exacta (coordenadas GPS) donde se tomó la foto, el modelo de cámara o teléfono, e incluso la fecha y hora.
    • Configuraciones de privacidad débiles: Un perfil público permite que cualquiera, no solo nuestros amigos, recopile información sobre nosotros, que luego puede ser usada en nuestra contra.
  • Formularios Web y Recopilación de Datos: Cada vez que nos registramos en un nuevo servicio, participamos en una encuesta o compramos en línea, entregamos información personal.
    • Bases de datos inseguras: Los sitios web pueden sufrir brechas de seguridad, exponiendo toda la información que han recopilado, incluyendo nombres de usuario, correos electrónicos y contraseñas.
    • Venta de datos a terceros: Muchas empresas recopilan datos de usuarios para venderlos a otras compañías con fines de marketing o análisis, a menudo sin un consentimiento claro por parte del usuario.
    • Phishing a través de formularios: Los ciberdelincuentes crean formularios falsos que imitan a los de servicios legítimos (bancos, redes sociales, servicios de mensajería) para engañar a las víctimas y robar sus credenciales de acceso o datos financieros.
  • Uso de la Nube: Los servicios de almacenamiento en la nube son herramientas muy útiles, pero también centralizan una gran cantidad de nuestra información personal y profesional, convirtiéndose en un objetivo valioso para los atacantes.
    • Configuraciones de compartición incorrectas: Un error común es configurar un archivo o una carpeta como "público" o "cualquier persona con el enlace puede ver/editar", lo que puede llevar a que información sensible sea indexada por motores de búsqueda o accesible para cualquiera que obtenga el enlace.
    • Acceso no autorizado: Si un atacante obtiene la contraseña de nuestra cuenta en la nube, tendrá acceso a todos los archivos almacenados. La falta de medidas como la autenticación de dos factores facilita enormemente este tipo de ataques.
    • Vulnerabilidades del proveedor: Aunque los grandes proveedores de servicios en la nube invierten mucho en seguridad, no son invulnerables. Una brecha de seguridad en sus sistemas podría exponer los datos de millones de usuarios.

Riesgos y Consecuencias Ampliadas:

  • Fraude Económico: Es una de las consecuencias más directas y tangibles del robo de datos.
    • Clonación de tarjetas: Con los datos de una tarjeta de crédito o débito, los delincuentes pueden realizar compras en línea o crear duplicados físicos para usar en comercios.
    • Contratación de servicios: Un atacante puede usar tu identidad para solicitar préstamos, abrir cuentas bancarias o contratar líneas telefónicas a tu nombre, dejándote con la deuda.
    • Fraude fiscal: Con suficientes datos personales, un delincuente podría intentar realizar declaraciones de impuestos fraudulentas en tu nombre para cobrar devoluciones.
  • Suplantación de Personalidad (Robo de Identidad): Va más allá del fraude económico y puede afectar todos los aspectos de la vida de una persona.
    • Creación de perfiles falsos: Los delincuentes pueden usar tus fotos e información para crear perfiles en redes sociales con el fin de estafar a tus contactos, difundir desinformación o dañar tu imagen.
    • Comisión de delitos: Un usurpador podría proporcionar tus datos a las autoridades al ser detenido, lo que podría resultar en antecedentes penales a tu nombre.
    • Robo de identidad sintética: Los criminales combinan información real (como tu número de DNI) con datos falsos (un nombre diferente) para crear una identidad completamente nueva y fraudulenta.
  • Pérdida de Reputación y Acoso: La difusión de información personal puede tener un impacto devastador a nivel social y psicológico.
    • Ciberacoso (Cyberbullying): La exposición de información vergonzosa, la difusión de rumores o la creación de contenido humillante puede llevar a un acoso constante y generalizado, con graves consecuencias para la salud mental.
    • Doxing: Es la práctica de investigar y publicar en línea información privada de un individuo sin su consentimiento (dirección, lugar de trabajo, teléfono, nombres de familiares) con el objetivo de intimidar, humillar o incitar al acoso.
    • Extorsión y chantaje: Si la información expuesta es comprometedora (fotos íntimas, conversaciones privadas), puede ser utilizada para extorsionar a la víctima a cambio de dinero o favores.
    • Impacto profesional: Muchos empleadores revisan los perfiles de redes sociales de los candidatos. Publicaciones controvertidas o información personal expuesta de forma negativa puede costar oportunidades laborales.

Actividad Práctica 1: "Detectando el Phishing"

Consigna: Imagina que recibes el siguiente correo electrónico en tu bandeja de entrada. Analízalo para determinar si es legítimo o un intento de phishing.

Asunto: ALERTA DE SEGURIDAD: Acceso no autorizado a su cuenta de Netflex

De: Soporte Netflex soporte.seguridad@netflex-avisos.com

Cuerpo del mensaje:

Estimado usuario,

Hemos detectado un inicio de sesión sospechoso en su cuenta desde un dispositivo desconocido en Rusia. Por su seguridad, hemos bloqueado su cuenta temporalmente.

Para desbloquearla y verificar su identidad, por favor haga clic en el siguiente enlace y complete el formulario: http://netflex-verificar-cuenta.info/login

Si no verifica su cuenta en las próximas 24 horas, será eliminada permanentemente.

Gracias,
El equipo de Soporte Técnico


Tarea:

  1. Identifica las Señales de Alerta: Enumera al menos tres elementos en este correo que te hacen sospechar que es un intento de phishing.
  2. ¿Qué información buscan? ¿Qué datos crees que te pedirían en el formulario del enlace falso?
  3. ¿Cómo deberías actuar? Describe los pasos correctos que deberías seguir al recibir un correo como este.

Actividad Práctica 2: "Auditoría de Privacidad en Redes Sociales"

Consigna: Reflexiona sobre la información que compartes en tu red social principal (Instagram, TikTok, Facebook, etc.).

Tarea:

  • Revisa tu Perfil: Entra en la configuración de privacidad de tu perfil. ¿Tu cuenta es pública o privada? ¿Quién puede ver tus publicaciones, tus fotos y tu lista de amigos?
  • Analiza tu Información Pública: ¿Qué datos personales son visibles para cualquier persona que visite tu perfil (nombre completo, ciudad, centro de estudios, edad)?
  • Riesgos Identificados: Menciona dos riesgos a los que te podrías estar exponiendo si compartes demasiada información personal de forma pública.
  • Plan de Acción: ¿Qué cambios concretos podrías hacer en tu configuración de privacidad o en tus hábitos de publicación para proteger mejor tus datos personales?

Actividad Práctica 3: "Caso Práctico: Conexión Segura en un Lugar Público"

Consigna: Estás en una cafetería y necesitas conectarte a internet con tu portátil para consultar tu cuenta bancaria y enviar un trabajo importante por correo electrónico. La cafetería ofrece una red Wi-Fi abierta y gratuita llamada "WIFI_CAFETERIA_GRATIS".

Tarea:

  1. Identifica el Riesgo Principal: ¿Cuál es el mayor riesgo de seguridad al que te enfrentas si te conectas a esa red Wi-Fi y realizas esas gestiones?
  2. Propón una Solución Segura: Describe, paso a paso, la forma más segura de conectarte a internet para realizar esas tareas. Considera alternativas a la red Wi-Fi pública.
  3. Medida Preventiva Adicional: ¿Qué precaución deberías tomar con la conexión Bluetooth de tu portátil o tu móvil mientras estás en un lugar público concurrido? ¿Por qué?

Pregunta de examen resuelta

Estás presentando una reclamación en línea y el sistema te solicita adjuntar documentos justificativos, como una captura de pantalla del producto recibido. ¿Qué precauciones tomarías para proteger la privacidad de tus datos al adjuntar estos documentos?

Solución

Para proteger la privacidad de mis datos al adjuntar documentos en una reclamación en línea, aplicaría un proceso de tres fases basado en los principios de seguridad y protección de datos que hemos estudiado: 1) Verificación de la plataforma, 2) Preparación del documento y 3) Gestión del archivo.

1. Verificación de la Plataforma (Antes de subir nada):

Antes de adjuntar cualquier archivo, lo primero es evaluar el entorno para asegurarme de que no es un formulario web fraudulento diseñado para robar información (phishing).

  • URL Segura: Comprobaría que la dirección de la página web comience por https:// y muestre un icono de candado cerrado en la barra del navegador.
  • Fuente Fiable: Me aseguraría de haber llegado a ese formulario a través de la página web oficial de la empresa y no a través de un enlace sospechoso recibido por correo electrónico o mensaje.

2. Preparación del Documento (La precaución más importante):

El objetivo principal es aplicar el principio de mínima información, es decir, que el archivo contenga única y exclusivamente los datos necesarios para la reclamación, eliminando cualquier otra información personal. Para una captura de pantalla, haría lo siguiente:

  • Recortar la imagen: Usaría una herramienta de edición para recortar la captura de pantalla y mostrar solo la parte relevante (por ejemplo, la foto del producto defectuoso). Eliminaría todo lo demás que pueda aparecer, como la barra de tareas de mi ordenador, la barra de marcadores del navegador, otras pestañas abiertas o mi fondo de escritorio.
  • Censurar datos personales: Si en la parte visible de la captura aparece cualquier dato personal (mi nombre de usuario, mi dirección de correo electrónico, el número de pedido completo si no es estrictamente necesario), lo taparía con un cuadro negro o lo pixelaría. La sobreexposición de datos, incluso los que parecen inofensivos, es un riesgo.
  • Revisar los metadatos: Las imágenes pueden contener datos ocultos (metadatos) sobre el dispositivo con el que se hicieron o incluso la ubicación. Aunque en una captura de pantalla el riesgo es menor que en una foto, como buena práctica, guardaría el archivo usando una opción como "Guardar para web" o pasándolo por una herramienta online para limpiar metadatos antes de subirlo.

3. Gestión del Archivo (El paso final):

Finalmente, gestionaría el propio archivo de forma segura.

  • Nombre del archivo: Le daría un nombre genérico y descriptivo, como reclamacion-producto-oct2025.png, en lugar de algo personal como captura-de-Juan-Gomez.png.
  • Formato del archivo: Usaría un formato de imagen estándar y seguro como PNG o JPG.
    Siguiendo estos pasos, me aseguro de que la empresa reciba la información que necesita para mi reclamación, pero minimizo al máximo el riesgo de exponer datos personales que podrían ser utilizados para otros fines, protegiéndome así de posibles consecuencias como el fraude o la suplantación de identidad.

Creado con eXeLearning (Ventana nueva)