Microsoft 365. Competencias Digitales. SEXPE

Ciberseguridad

Certificado Electrónico y Firma Digital

COMPETENCIAS DIGITALES

Entorno Microsoft

Administración Electrónica

CERTIFICADO ELECTRÓNICO Y FIRMA DIGITAL

en el uso de certificados digitales. Identificación y característica

Gestión y uso de certificados

Gestión y uso de certificados

Realización a nivel usuario

(nivel usuario)

Conceptos básicos y gestión

de los interesados en el procedimiento administrativo

Garantías

Navegación segura

DNIe

Tarjeta criptográfica

Operaciones criptográficas

Firma electrónica

Identificación electrónica

Certificados electrónicos

• Identificación del titular del certificado (Nombre del titular, NIF, correo electrónico, etc.)
• Distintivos del certificado: número de serie, entidad que lo emitió, fecha de emisión, periodo de validez del certificado, etc.
• Una pareja de claves: pública y privada.
• La firma electrónica del certificado con la clave de la autoridad de certificación (AC) que lo emitió.

+ Info

Qué es un certificado electrónico

Documento emitido y firmado por una autoridad de certificación que identifica a una persona (física o jurídica) con un par de claves. Un certificado electrónico contiene información sobre:

• Certificado de Empleado Público. +info

• Certificado de Sello Electrónico. +info

• Certificado de Sede Electrónica. +info

• Certificados hardware. +info

• Certificados software. +info

• Certificado de servidor
• Certificado de pertenencia a empresa
• Certificado de representante
• Certificado de apoderado
• Certificado de sello de empresa
• Certificado de Factura Electrónica
• Certificado de Colegiado
• Etc.

• Certificados de entidad sin personalidad jurídica. +info

• Certificados de Persona Jurídica. +info

• Certificados de Persona Física. +info

Certificados de la Ley 11/2007

Certificados de software y certificados de hardware

Clasificación según el ámbito de amplicación

Clasificación según el tipo de identidad

Tipos de Certificados

• Se realiza una separación entre identificación y firma electrónica.

• Se simplifican los medios para acreditar una u otra.

Es decir, con carácter general, solamente será necesaria la identificación y se exigirá la firma electrónica cuando deba acreditarse la voluntad y el consentimiento del interesado.

La información sobre la identificación y firma de los interesados en el procedimiento administrativo se encuentra recogida en el capítulo II del título I de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las Administraciones Públicas, de los artículos 9 al 12, siendo una de las novedades más importantes de esta ley por dos motivos:

+ Info

Identificación electrónica

de los interesados en el procedimiento administrativo

Los siguientes medios disponen de un certificado válido para identificarse y acerditar quiénes somos a la hora de realizar algún trámite online en las diferentes Sedes Electrónicas.

+INFO

+INFO

+INFO

+INFO

Certificado elecrónico

Cl@ve permanente

Cl@ve PIN

DNI electrónico

Tipos de identificación en función al Certificado

El eIDAS define 3 tipos de firma electrónica

Firma electrónica

• Utiliza datos que se encuentran bajo control exclusivo del firmante.

• Está vinculada al firmante de forma única y permite su identificación.

• Creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control.

Firma Simple

Firma Cualificada

• Tipo de firma con más seguridad jurídica y la más protegida.

• Dispone de presunción de veracidad (iuris tantum).

• El certificado digital de esta firma se ha emitido en un entorno seguro de creación de firma.

• No permite exportarse.

Firma Avanzada

• Aceptación explícita por parte de un firmante de una serie de términos o condiciones.

• No recoge toda la información necesaria para identificar a alguien de forma única.

Ejemplos

Ejemplos

Ejemplos

Entre las operaciones que puede realizar un usuario relacionadas con las tarjetas criptográficas como es el caso del DNI electrónico o una tarjeta de las que ponen a disposición entidades como la FNMT, pueden citarse las siguientes:

• Sector Privado. +INFO

• Otros Organismos Públicos. +INFO

• Administración Local. +INFO

• Comunidades Autónomas. +INFO

• Administración General del Estado. +INFO

• Trámites en Sedes Electrónicas:

• Importar un certificado a una tarjeta criptográfica. +INFO

+ Info

Operaciones criptográficas

Nivel usuario

Dentro de la información del trámite de "Certificado electrónico de persona física" en juntaex.es, se explica los pasos y acceso para solicitar este tipo de certificado desde la web de la FNMT para cualquier ciudadano que lo requiera. Tras la descarga del certificado, puede exportarse a una tarjeta de este tipo.

Tarjeta criptográfica

• Tecnología. +Info

Una tarjeta criptográfica es un dispositivo físico de seguridad, del tamaño, forma y aspecto de una tarjeta de crédito, resistente a la adulteración o copia. Ofrece opciones para almacenar y procesar de manera segura determinada información como puede ser un certificado digital. Para poder utilizar una tarjeta criptográfica, es necesario disponer de un lector de tarjetas compatible y tener instalados los drivers necesarios en el equipo en el que se vaya a usar.

• Técnicas criptográficas y seguridad. +Info

Identificación electrónica

Gestión y uso de certificados

• Como medio de certificación de Integridad de un documento. Permite comprobar que el documento no ha sido modificado por ningún agente externo a la comunicación.

• Como Documento de Viaje. El DNI tiene una estructura de datos equivalente al pasaporte. En este sentido, el DNI puede realizar funciones de Documento de Viaje en los países que lo acepten como tal, y se permite su uso en los Pasos Rápidos de Frontera (ABC Systems) de forma totalmente equivalente a un pasaporte.

El DNIe contiene dos tipos de certificados:

• Certificado de Autenticación
• Certificado de Firma

• Como medio de Autenticación de la Identidad. El Certificado de Autenticación (Digital Signature) asegura al titular, en la comunicación electrónica, acreditar su identidad frente a cualquiera.

• Como medio de firma electrónica de documentos. Mediante la utilización del Certificado de Firma (non Repudition), el receptor de un mensaje firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo de esta forma demostrar la identidad del firmante sin que éste pueda repudiarlo.

DNIe

Tal y como recoge la Declaración de Prácticas de Certificación del DNI, los certificados electrónicos que contiene en su chip, podrán utilizarse:

ÁREA DE DESCARGAS DEL DNI

NFC: Near Field Communication

mediante antena sin contacto

Elementos hadwareElementos software

Mediante contacto

En España, en estos momentos, conviven dos tipos de soportes:

• DNI 3.0

• DNI 4.0

DNIe

Para poder utilizar el DNIe, es necesario contar con determinados elementos de hadware y software que van a permitir el acceso al chip de la tarjeta, y por tanto, la utilización de los certificados contenidos en él.

en el uso de certificados digitales. Identificación y característica

Los riesgos de la navegación insegura

funcionamiento de las conexiones seguras

SSL/TLS y HTTPS

+ Info

+ Info

+ Info

+ Info

Navegación segura

La navegación en Internet

Ponte a prueba

Soporte

Funcionalidad del Código Seguro de Verificación (CSV)

Certificado de sede y sello

Calendario de días inhábiles

Fecha y hora oficial

ADMINISTRACIÓN ELECTRÓNICA

Titularidad y responsabilidad

Certificados y Cl@ve

Cómo tramitar

Normativa autonómica

Normativa estatal

por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

Real Decreto 3/2010, de 8 de enero,

por el que se regula el Esquema nacional de Interoperabilidad en el ámbito de la Administración Electrónica

Real Decreto 4/2010, de 8 de enero,

por el que se aprueba el Reglamento de actualización y funcionamiento del Sector público por medios electrónicos

Real Decreto 203/2021, de 30 de marzo,

de Régimen Jurídico del Sector Público

Ley 40/2015, de 1 de octubre,

+ Info

+ Info

+ Info

+ Info

+ Info

+ código de administración electrónica

Normativa estatal

del Procedimiento Administrativo Común de las Administraciones Públicas

Ley 39/2015, de 1 de octubre,

por la que se crea la sede electrónica asociada a la sede electrónica corporativa de la Junta de Extremadura

RESOLUCIÓN de 16 de noviembre de 2023, del Consejero

+ Info

Normativa autonómica

+ Info

de régimen jurídico de administración electrónica de la Comunidad Autónoma de Extremadura

Decreto 225/2014, de 14 de octubre,

• Asistencia en el uso de medios electrónicos, facilitando el ejercicio de derechos y cumplimiento de obligaciones por medios electrónicos a los ciudadanos.

• Notificaciones por comparecencia, realizando notificaciones por comparecencia presencial tanto del interesado como de su representante.

• Expedición de copias auténticas, expidiendo copias auténticas electrónicas de documentos que presenten los interesados y que se vaya a incorporar a un expediente administrativo.

+ Info

• Registro de entrada/salida: Presentación, recepción y registro de solicitudes, escritos, comunicaciones dirigidos a la Junta de Extremadura o a cualquier otra Administración Pública, emitiendo el correspondiente recibo que acredite la fecha y hora de presentación.

• Registro electrónico de apoderamientos, tramitando la inscripción, modificación y baja de apoderamientos por los ciudadanos a favor de un representante.

• Asesoramiento y provisión de medios de identificación y firma digital, facilitando claves de identificación ligera, certificado electrónico de persona física y sistema Cl@ve.

• Identificación o firma electrónica del interesado en el procedimiento administrativo, mediante el uso de sistema de firma del que está dotado el funcionario habilitado para ello.

Tramitación

La Junta de Extremadura ofrece una serie de servicios a la hora de acceder a los diferentes trámites:

+ ACCEDER

Cómo tramitar

• Desde el buscador del catálogo de trámites o navegando por los temas y subtemas del portal se puede localizar la solicitud a tramitar.

• Una vez seleccionado el trámite, se puede consultar la información pública del mismo. Igualmente, se puede iniciar la tramitación desde el botón "Tramitar en línea" situado en la parte superior de la misma página. Finalizado el proceso de tramitación, se puede consultar y descargar el justificante electrónico generado.

• Dentro de los trámites para la obtención del certificado electrónico se exige la acreditación de la identidad del solicitante de manera presencial.

• La Junta de Extremadura ha suscrito un Convenio con la Fábrica Nacional de Moneda y Timbre (FNMT) para la prestación de servicios de certificados de firma electrónica.

+ lista de confianza de prestadores

+ SOLICITAR CERTIFICADO ELECTRÓNICO

+ OFICINAS DE ASISTENCIA A LA CIUDADANÍA

Certificados y Cl@ve

• La Sede Electrónica de la Junta de Extremadura, admite cualquier certificado reconocido o cualificado y avanzado basados en certificados electrónicos reconocidos o cualificados de firma electrónica expedidos por prestadores de los incluidos en la Lista de confianza de prestadores cualificados de servicios electrónicos de confianza, publicada por el Ministerio de Asuntos Económicos y Transformación Digital.

• Determinadas actuaciones, procedimientos y servicios que requieran la autenticación de los ciudadanos o de la Administración de la Comunidad Autónoma de Extremadura en sus relaciones con éstos por medios electrónicos.

• Otros servicios electrónicos respecto a los que se decida su inclusión en esta sede por razones de eficacia y calidad en la prestación de servicios a los ciudadanos.

Titularidad

+ dirección electrónica de la sede electrónica

Responsabilidad

Gestión tecnológica

Titularidad y responsabilidad

La Sede Electrónica de la Junta de Extremadura tiene la finalidad de posibilitar la tramitación de:

Artículo 15.2

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración electrónica

+ Info

+ Info

Artículo 31.2

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

+ Info

Fecha y hora oficial

• La fecha y hora que tendrá validez legal en cualquier gestión que se realice desde la Sede Electrónica de la Junta de Extremadura es la fecha y hora oficial y no la del equipo o dispositivo desde el que realice la gestión.

• El servicio que proporciona la fecha y hora oficial es ofrecido por el Real Instituto y Observatorio de la Armada y la Sede Electrónica de la Junta de Extremadura está sincronizada con él.

+ Info

Artículo 30.7

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

Calendario de días inhábiles

La Sede Electrónica de la Junta de Extremadura, utiliza certificados electrónicos reconocidos o cualificados para su identificación electrónica y para la realización de actuaciones administrativas automatizadas.

Certificados electrónicos de sello electrónico

Certificados electrónicos de autentificación de sitio web (Sede electrónica)

Certificado de sede y sello

+ Info

+ Info

verificación en tabul@rium

verificación en sede ELECTRÓNICA

Funcionalidad del Código Seguro de Verificación (CSV)

La aplicación requerirá los digitos que forman el CSV y devolverá el documento electrónico equivalente con las firmas electrónicas incorporadas junto a la huella de firma vinculada.

documento original

Cualquier persona que tenga en su poder un documento en formato electrónico o en papel con CSV y necesite comprobar la validez de dicho documento.

¿Quién puede acceder?

Los documentos firmados disponen de un Código Seguro de Verificación (CSV). Este código permite comprobar la autenticidad de dicho documento.

Es un código alfanumérico impreso en un documento que lo identifica de manera única y que permite su verificación y posterior recuperación online.

¿Qué es CSV?

Correo electrónico

soporte.sede@juntaex.es

Soporte técnico

Teléfono

De lunes a viernes de 9:00 a 14:00 y de 15:00 a 20:00 h

924 336 975

Horario

El entorno Microsoft es el utilizado en el Servicio Extremeño Público de Empleo. Incluye tanto el sistema operativo Windows como las diferentes aplicaciones que se usan para: generar documentos, comunicarse de forma efectiva, mejorar la productividad, etc.

Uso de programas de "Escritorio"

+info

ENTORNO MICROSOFT

+info

Uso a través de un "Navegador web"

+info

Qué es Windows

Sistema operativo

Windows es un conjunto de programas que permiten manejar tanto los recursos físicos (hardware) como los programas (software) en un dispositivo informático. El sistema operativo es el programa principal que debe tener, por ejemplo, un ordenador y sirve de base para que se puedan ejecutar los programas llamados de aplicación.

Qué es Microsoft 365

Conjunto de aplicaciones

Microsoft 365 es una plataforma de productividad con tecnología de nube. Una suscripción a Microsoft 365 puede incluir: aplicaciones como Microsoft Teams, Word, Excel, PowerPoint, Outlook, OneDrive y mucho más. Estas aplicaciones, en función del tipo de suscripción de la que dispongas en tu equipo, podrás usarlas accediendo a través de navegador web o desde el programa que tengas instalado en el mismo.

+info

Acceso a las aplicaciones

Iniciador de aplicaciones

El iniciador de aplicaciones facilita abrir y cambiar entre las aplicaciones resaltando las aplicaciones usadas recientemente y proporcionando acceso rápido a los documentos en línea de Office recientes.

• Uso de apps para simplificar, personalizar y administrar la forma de trabajar.

• Anadir archivos desde diferentes dispositivos.

• Crear nuevos archivos de diferentes formatos.

• Creación de carpetas y subcarpetas para una correcta organización.
• Recursos para encontrar la información de forma rápida.

• Sincronización automática entre el ordenador y la nube.

• Acceso desde cualquier lugar con conexión a Internet.

Servicio en la nube de Microsoft donde se guardan todos los archivos. Te permite almacenar y proteger archivos, compartirlos con otros usuarios y acceder a ellos desde distintos dispositivos.

USO COMPARTIDO

AGREGAR ELEMENTOS

ORGANIZACIÓN

+ Info

+ Info

+ Info

+ Info

Microsoft OneDrive

ALMACENAMIENTO

• Uso de apps para simplificar, personalizar y administrar la forma de trabajar.

• Conecta antes, durante y después de una reunión para su preparación y el seguimiento.

• Calendario sincronizado con el de Outlook.

• Equipos de trabajo con espacios comunes de conversaciones o archivos

• Enviar mensajes individuales o a grupos.

• Incluye ditintos elementos.

Espacio de trabajo compartido que une las soluciones de colaboración y comunicación incluidos dentro de Microsoft 365 para tener un espacio de trabajo online común entre las personas integrantes de una organización.

APLICACIONES

CALENDARIO

TEAMS

+ Info

+ Info

+ Info

+ Info

Microsoft Teams

CHAT

• Uso compartido con personas específicas o a través de vínculo.

• Opción de establecer permisos.

• Crear secciones para organizar las páginas.

• Organización visual del Bloc para acceder a diferente información.

• Incluir nuevas páginas a los blocs de notas.

• Cada página puede contener distintos elementos.

• Crear notas con distintos elementos.

• Las notas pueden ser de distintos formatos.

Aplicación de bloc de notas digital que proporciona un lugar único para todas las notas e información: todo lo que necesitas recordar y administrar.

Compartir notas

Agregar secciones

agregar páginas

+ Info

+ Info

+ Info

+ Info

Microsoft OneNote

ESCRIBIR NOTAS

• Creación de paneles interactivos.

• Toma de decisiones basadas en datos.

• Ahorro de tiempo con la automatización de tareas repetitivas.

• Mejora de la eficiencia y la productividad.

• Creación de sitios web.

• Colaboración con otras personas del equipo.

• Organización de archivos.

• Guardado de archivos y versiones.

Aplicación para compartir y administrar contenido, conocimientos y aplicaciones para impulsar el trabajo en equipo, encontrar información rápidamente y colaborar con todos los miembros de la organización.

Business Intelligence y análisis de datos

Flujos de trabajo y automatización

Intranet y colaboración

+ Info

+ Info

+ Info

+ Info

Microsoft SharePoint

Almacenamiento y gestión documental

Una suite ofimática o paquete de oficina es un conjunto de programas informáticos que permiten crear, modificar, organizar, almacenar, enviar, recibir, escanear e imprimir archivos. Entre las herramientas básicas del paquete de oficina se encuentran el procesador de textos, la hoja de cálculo, aplicación para crear presentaciones y el gestor de correo electrónico.

Windows

Outlook

Paso 4

Aplicaciones ofimáticas

Word

Excel

PowerPoint

MEDIDAS DE PROTECCIÓN EN EL PUESTO DE TRABAJO

USO SEGURO DEL CORREO CORPORATIVO

GESTIÓN DE CONTRASEÑAS

TRATAMIENTO Y GESTIÓN DE LA INFORMACIÓN

BUENAS PRÁCTICAS DE CIBERSEGURIDAD EN EL PUESTO DE TRABAJO

ciberseguridad

Malware

ver vídeo

>

>

Ingeniería social

Adware

>

Spyware

>

>

>

>

>

>

Botnets

Ransomware

Troyanos

Gusanos

Virus

¿Qué posibles peligros podemos encontrar?

En el puesto de trabajo

Medidas de protección

Para garantizar un uso adecuado de los dispositivos y medios del entorno de trabajo, y minimizar el impacto que todos estos riesgos pueden tener, se deben seguir buenas prácticas para proteger el puesto de trabajo.

Fraudes y amenazas

Política de mesas limpias

Recomendaciones de seguridad

Actualización de software

Buenas prácticas de Ciberseguridad en el puesto de trabajo

No haya usuarios ni contraseñas apuntadas en pos-it o similares

La documentación que no estemos utilizando en un momento determinado debe estar guardada correctamente, especialmente cuando dejamos nuestro puesto de trabajo al finalizar la jornada

El puesto de trabajo esté limpio y ordenado

A diario trabajamos con gran cantidad de documentación, que es habitual que esté distribuida encima de la mesa, para mayor comodidas o porque es necesaria para las tareas diarias.

Una política de mesas limpias requiere que:

Política de mesas limpias

Sin embargo, al acabar la jornadan debemos guardar la documentación que se encuentre a la vista. Esto es especialmente importante si trabajamos en entornos compartidos o públicos. De esta manera evitaremos miradas indiscretas que puedan derivar en una fuga de información, además de robo de documentos que pueden contener información confidencial.

En dispositivos móviles como smartphones o tablets se ha de establecer el bloqueo de pantalla en el menor tiempo posible y preferiblemente por contraseña o biométrico, como la huella dactilar, siempre sin interceder en la actividad laboral. También es posible que programemos en los distintos sistemas, con ayuda del soporte informático, si fuera necesario, un bloqueo automático de sesión en caso de inactividad, para que si no se detecta actividad pasado este tiempo, se bloquee el dispositivo. Y, al terminar la jornada, dejaremos siempre los equipos apagados y si fueran portátiles o móviles, bajo llave.

Control + Alt + L

Control + Opción + Q

Win + L

Linux

MacOS

Windows

Los dispositivos, como ordenadores, tablets o móviles, con los que se esté trabajando siempre deben estar bloqueados, a no ser que se esté en presencia de ellos.

En dispositivos de sobremesa y ordenadores portátiles, el bloqueo de pantalla se realiza por medio de los siguientes atajos de teclado:

Bloqueo de sesión

Todos los sistemas deben estar actualizados a la última versión disponible, de esta manera estarán protegidos ante nuevas vulnerabilidades descubiertas y contarán con las últimas funcionalidades que haya liberado el fabricante.

Siempre actualizados

Sistema operativo, programas y apps

+ Info

Software actualizado

Antivirus

Fireware o Cortafuegos

Ambas herramientas siempre deben estar activadas, ya que son complementarias, es decir, las tareas que realiza el antivirus no interfieren con las del cortafuegos y viceversa.

El antivirus y el firewall o cortafuegos son las herramientas de seguridad que protegen al equipo del software malicioso

Antivirus y firewall

Farming

Hunting

A pesar de ser múltiples y varias las técnicas utilizadas por los ciberdelincuentes para manipular a sus víctimas, suelen seguir una serie de principios básicos:

respeto social

gratis

temor a perder un servicio

voluntad de ayudar

+ Info

+ Info

+ Info

+ Info

+ Info

Fraudes y amenazas

respeto a la autoridad

gestores de contraseñas

Contraseñas seguras

Gestión de contraseñas

Crea contraseñas seguras

Paso 5. Personaliza la clave para cada servicio

Paso 4. Añade caracteres especiales

Paso 3. Sustituye letras por números

Paso 2. Alterna mayúsculas y minúsculas

Paso 1. Piensa en una frase

Paso a paso

La víctima instala el malware en su equipo al hacer clic en un enlace o descargar un archivo de Internet.

Ataque keylogger

Una de las técnicas más utilizadas por los ciberdelincuentes para robar contraseñas y nombres de usuario.

Phishing

Un software se encarga automáticamente de intentar obtener la contraseña.

Ataques de diccionario

Conocer cuáles son las estrategias que usan los ciberdelincuentes para intentar robar contraseñas nos ayuda a protegernos mejor de posibles ataques y amenazas.

+ Info

+ Info

+ Info

+ Info

Consiste en adivinar la contraseña a base de ensayo y error.

Fuerza bruta

Ataques a las contraseñas

Si accedes desde el móvil, configúralo para que al introducir contraseñas no se muestren los caracteres que pulsas

Consejo 6

Utiliza la verificación en dos pasos siempre que sea posible

Consejo 5

No compartas tus contraseñas con nadie

Consejo 4

Cambia tus contraseñas cada cierto tiempo (3 meses)

Consejo 3

No repitas las mismas contraseñas en distintas cuentas

Consejo 2

Utiliza gestores de contraseñas para controlar todas tus claves

Consejo 1

Tips y Consejos

Alertas de vulnerabilidad

Integración con los navegadores a través de plugins y autocompletado

Generación de contraseñas

Multidispositivo

Verificación en dos pasos

Acceso online y offline

Los gestores de contraseñas son aplicaciones que sirven para almacenar todas nuestras credenciales (usuarios, contraseñas, sitios web a los que corresponden, etc.) en una base de datos cifrada mediante una contraseña “maestra”. De este modo, podemos gestionar todas nuestras cuentas de usuario desde una misma herramienta, memorizando únicamente una clave maestra.

Aunque las funciones y características de este tipo de aplicaciones pueden variar en función del fabricante, las más comunes son:

Gestores de contraseñas

En la página de la OSI (Oficina de Seguridad del Internauta) encontrarás un catálogo con varias aplicaciones de gestores de contraseñas.

CONSULTAR CATÁLOGO

En el mercado existe una gran variedad de aplicaciones con esta función, tanto para dispositivos móviles como para ordenadores Windows o MacOS. También existen gestores de contraseñas que funcionan desde el navegador.

Cómo funcionan los Gestores de contraseñas

Tratamiento y gestión de la información

+ ver

+ ver

+ ver

+ ver

+ ver

Copias de seguridad

Almacenamiento en local, en red o en la nube

Borrado seguro de la información

Inventariado de los activos

+ ver

Metadatos, riesgos y cómo eliminarlos

Cifrado de la información

Criterios de clasificación

Inventariado de los activos

Tratamiento de la información

Clasificar cada activo

Clasificación de la información

VER RECOMENDACIONES

A la hora de proteger la información en formato electrónico, una de las medidas más eficaces es el cifrado de la información. Mediante esta técnica podemos ofuscar cualquier fichero y hacerlo inaccesible a otras personas que no sepan la clave de descifrado. El cifrado es una de las mejores medidas de seguridad para el almacenamiento y transmisión de información sensible, especialmente a través de soportes y dispositivos móviles o servicios de almacenamiento en la nube.

Cifrado de la información

Tenemos que tener en cuenta que cada tipo de fichero tiene sus propios metadatos. Por ejemplo, mientras que un fichero ofimático como un Word puede contener el autor del documento, una imagen puede incluir además sus dimensiones, información de dónde se tomó la foto o incluso el modelo de cámara utilizado. Aunque pueden ser muy útiles, en algunos casos pueden proporcionar información valiosa sobre nosotros a los ciberdelincuentes como nombres de usuario, fechas de creación o modificación de los documentos, ubicación de las fotografías, aplicación utilizada, etc. Por ello, debemos eliminar los metadatos antes de enviar el fichero a otra persona o empresa, o subirlos a la página web de la empresa o a un servicio de almacenamiento en la nube.

Cómo eliminar metadatos

UbicaciónGPS

Autor de fichero

Fechas de creación y modificación

Un «metadato» es aquella información que incluye ficheros digitales pero que no forma parte del contenido. Algunos ejemplos de metadatos son la fecha de creación, la fecha de modificación o el autor del fichero.

Metadatos

Una copia de seguridad es un proceso mediante el cual se duplica la información existente de un soporte a otro, con el fin de poder recuperarla. Desde el punto de vista empresarial, ante un incidente grave o un desastre, una copia de seguridad puede marcar la diferencia entre recuperarse o sufrir las consecuencias. La entidad debe contar con un sistema de copias de seguridad que proteja su información ya que en muchos casos esta es la única garantía de poder continuar con la actividad que lleva a cabo.

qué tipo de copia elegir

la estrategia 3-2-1

dónde almacenar

cada cuánto tiempo

+ Info

+ Info

+ Info

+ Info

+ Info

Copias de seguridad

qué información copiar

Pasos a seguir

Una vez llega a la última fase de su ciclo de vida, la información será necesario destruirla, de forma segura, de tal manera que no vuelva a ser accesible.

Borrado de la información

Almacenamiento en LOCAL, en RED o en la NUBE

Comprobar csv

Nube

RED

Almacenar la información usada en el día a día de la entidad, en el lugar adecuado, es importante, ya que de esta manera todos los activos estarán protegidos.

LOCAL

No reveles nunca información personal

Verifica los ficheros adjuntos y enlaces

Ten cuidado al compartir información

El mejor sistema de seguridad eres TÚ

La ingeniería social es muy utilizada por los ciberdelincuentes y se trata de técnicas de engaño, manipulación para hacerse con los datos de los usuarios.

Recomendaciones de seguridad

Uso seguro del correo corporativo

Otros riesgos derivados del uso del correo electrónico

Detección de correos fraudulentos

Tipos de correos fraudulentos

La importancia de un correcto uso del correo electrónico

El correo electrónico es una herramienta de comunicación imprescindible para el funcionamiento de una empresa. Sus beneficios son evidentes: accesibilidad, rapidez, posibilidad de enviar documentos adjuntos, etc., aunque cuando se creó, no se hizo pensando en su uso actual, ni en la seguridad. Como toda herramienta de comunicación es necesario definir su uso correcto y seguro, ya que, además de abusos y errores no intencionados el correo electrónico se ha convertido en uno de los medios más utilizados por los ciberdelincuentes para llevar a cabo sus ataques. Es habitual que a los buzones corporativos llegue spam, correos de tipo phishing o correos que suplantan entidades o personas. En estos casos utilizan técnicas de ingeniería social1 para conseguir sus fines maliciosos, por ejemplo infectar el equipo o incluso toda la red de la entidad, robar credenciales, datos bancarios o información confidencial. En un correo malicioso, tanto el remitente, como el asunto, el cuerpo, los adjuntos o los enlaces que contiene, pueden estar diseñados para engañar al receptor del mensaje.

La importancia del correo electrónico

Se trata de código malicioso que podría infectar los dispositivos.

Malware

El objetivo es extorsionar al receptor con un supuesto video privado o de contenido comprometedor

Sextorsión

Se basa en un tipo de correos electrónicos cuya única finalidad es perpetrar engaños y estafas.

Scam

El correo electrónico es la principal puerta de entrada de los ciberdelincuentes en cualquier organización. Basándose en diferentes técnicas de ingeniería social consiguen engañar a los usuarios y robar información confidencial o infectar los equipos con malware. Los tipos de fraudes más comunes son:

+ Info

+ Info

+ Info

+ Info

Engaño basado, generalmente, en la suplantación de una empresa o entidad fiable como un banco, una red social o entidades públicas.

Phishing

Tipos de correos fraudulentos

Enlaces falseados

Mala redacción

Documentos adjuntos maliciosos

Comunicaciones impersonales

Ingeniería social en el cuerpo y asunto

Remitentes falseados u firma

Remitentes desconocidos

Detección de correos fraudulentos

• Si hemos recibido un correo que parece provenir de una entidad bancaria, lo normal es que el correo provenga de una cuenta conocida o bien cuentas como contacto@banco.es, no-reply@banco.es, etc.

• Pero este correo es enviado desde una dirección que nada tiene que ver con la entidad bancaria, como por ejemplo jose_ramos@cochesymotos.es.

• Es importante revisar cada carácter, pues también son frecuentes suplantaciones cambiando alguna letra o utilizando un carácter de grafía similar o que suene igual.

• En general, hay que sospechar de los mensajes cuyo remitente sea desconocido y comprobarlo por otro medio, como por teléfono.

Comprobación

En muchas ocasiones, comprobar el remitente del correo es suficiente para saber que la comunicación es fraudulenta, ya que nada tiene que ver con la entidad a la que supuestamente representa. Los ciberdelincuentes suelen utilizar cuentas de correo de otros usuarios a los que han hackeado para enviar los correos electrónicos fraudulentos.

Remitentes desconocidos

• Una característica que puede hacer saltar las alarmas frente a un correo fraudulento es la firma del mismo, si estamos familiarizados con la firma legítima que suele ser la misma, siempre un cambio de esta o su ausencia, debe ponernos en alerta.

• En este caso, para comprobar si el correo es legítimo es necesario analizar las cabeceras del mismo.

• La cabecera, entre otra mucha información puede servir para saber si el correo procede, realmente, de la dirección que figura en el remitente o ha sido falseada.

• Esto se podría comprobar manualmente, pero es recomendable utilizar herramientas que automaticen el proceso como Messageheader.

acceder a messageheader de google

Email spoofing

Los ciberdelincuentes falsifican la dirección del remitente haciendo que, a simple vista, no se identifique el correo como fraudulento. Esta técnica se conoce como email spoofing.

Remitentes falseados y firma

• Los ciberdelincuentes suelen utilizar técnicas de ingeniería social para que las víctimas caigan en sus trampas, como abrir un adjunto malicioso, acceder a una web ilegítima que suplanta un servicio (phishing) o realizar un pago.

• Habitualmente, indican en los correos que el servicio al que representan se cancelará en varias horas o directamente que ya ha sido cancelado.

• Otro método utilizado es llamar la atención con dinero como un supuesto reembolso que espera a que sea reclamado.

Analizar el asunto

Generar un sentimiento de alerta o urgencia e instar al usuario a que realice una determinada acción, de forma inmediata, es otra técnica usada en casi todos los correos fraudulentos.

Ingeniería social en el cuerpo y asunto

• Las entidades legítimas en las comunicaciones suelen utilizar el nombre y apellidos del destinatario, haciendo que la comunicación sea más personal.

¿A quién se dirige el mensaje?

Los ciberdelincuentes cuando envían correos fraudulentos realizan comunicaciones impersonales refiriéndose al destinatario como usuario, cliente, etc.

Comunicaciones impersonales

• Ésta es la principal forma que usan los ciberdelincuentes para infectar los equipos con malware. Especialmente peligrosos son los archivos con las siguientes extensiones:

• .exe – El tradicional archivo ejecutable de Windows.
• .vbs – Archivo Visual Basic Script que también puede ser ejecutado.
• .docm – Archivo Microsoft Word con macros.
• .xlsm – Archivo Microsoft Excel con macros.
• .pptm – Archivo Microsoft PowerPoint con macros.

• Cualquier documento adjunto en un correo electrónico debe ser una señal de alerta. Por norma, ninguna entidad ya sea bancaria, pública, energética, etc., envía a sus destinatarios documentos adjuntos en el correo. Si es necesario que se descargue algún archivo se hará desde su portal web o aplicación oficial.

+ Info

Archivos adjuntos

Antes de descargar y abrir cualquier archivo, es necesario analizarlo para comprobar que no supone ningún peligro.

Documentos adjuntos maliciosos

Comprobar si el texto es una traducción con errores o flatas de ortografía.

• Cuando un correo presenta graves faltas de ortografía es una señal bastante certera de que ese mensaje es fraudulento.

• Los correos fraudulentos, en ocasiones, utilizan expresiones que no son las habituales.

• Ante un correo cuya forma de expresarse no es la común también habrá que comprobar su procedencia

Revisión del correo

Mala redacción

Antes de abrir un enlace en un correo hay que comprobar cuál es su destino.

+ Info

• Los correos electrónicos de tipo phishing o sencillamente los que pretenden redirigir al usuario a un sitio web fraudulento, suelen contar con enlaces falseados.

• Las entidades legítimas por norma no envían enlaces en sus comunicaciones oficiales y solicitan al usuario que acceda al sitio web, utilizando su navegador web o la aplicación específica.

Comprobación previa

Enlaces falseados

Otros riesgos derivados de su uso

Los ciberdelincuentes no son los únicos que pueden poner en riesgo la seguridad de las entidades y organizaciones, algunas acciones de los empleados también pueden ser el origen. La mayoría de los incidentes de seguridad que tienen que ver exclusivamente con el usuario se deben a errores involuntarios. A continuación, se detallan los más frecuentes.

CC y CCO

Descarga automática de imágenes

Función de autocompletado

+ Info

+ Info

+ Info

Ponte a prueba

¡Gracias!

Eliminar metadatos

La mayoría de programas de ofimática más utilizados incorporan funcionalidades para eliminar esta información. También se puede hacer desde el propio sistema operativo como es el caso de Windows mediante la opción de botón derecho -> Propiedades -> Detalles. A continuación, se selecciona «Quitar propiedades e información personal» y se abrirá una nueva ventana. Se selecciona la opción «Quitar las siguientes propiedades de este archivo» y posteriormente «Seleccionar todo». Por último, clic en «Aceptar» y el proceso de borrado de metadatos ha terminado.

Aplicaciones en Microsoft Teams

Las aplicaciones permiten aumentar las acciones y funcionalidades en Teams. Pueden usarse en pestañas en chats, canales y reuniones. Para encontrar nuevas aplicaciones, puede hacerse desde el icono de los recuadros o en el signo más a la izquierda de Teams, buscar la aplicación y selecccionarla si está disponible.

*Esta opción puede estar limitada según el rol de usuario del que se disponga.

La estrategia 3-2-1

Copias de seguridad

Una buena práctica a la hora de realizar copias de seguridad es adoptar la estrategia 3-2-1 que se basa en diversificar las copias de seguridad. Sus claves de actuación son:

• 3: mantener 3 copias de cualquier fichero importante: el archivo original y 2 backups.
• 2: almacenar las copias en 2 soportes distintos de almacenamiento para protegerlas ante distintos riesgos.
• 1: almacenar 1 copia de seguridad fuera de nuestra empresa, lo que también se conoce como backup offsite. La copia de seguridad en la nube es un claro ejemplo de este tipo de copia.

Certificado de Empleado Público

• Son los certificados que cada Administración Pública puede proveer a su personal para la identificación y autenticación del ejercicio de la competencia de la Administración Pública.
• Identifican de forma conjunta al titular del puesto de trabajo o cargo, y a la Administración u órgano en la que presta sus servicios.

Acceso a través de NAVEGADOR WEB

En líneas generales, se pueden identificar las siguientes características en el acceso a las aplicaciones de Microsoft 365 a través de un navegador web (nube):

El artículo 31.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

<< Publicación BOE >>

Establece que "las Administraciones de las Comunidades Autónomas, con sujeción al calendario laboral oficial, fijarán, en su respectivo ámbito, el calendario de días inhábiles a efectos de cómputo de plazos. El calendario aprobado por las Comunidades Autónomas comprenderá los días inhábiles de las Entidades Locales correspondientes a su ámbito territorial, a las que será de aplicación".

• Los ataques de ingeniería social usan como canal principal para su propagación el correo electrónico gracias a su uso masivo tanto por empresas, como por particulares. Pero no es la única vía de la que hacen uso los ciberdelincuentes, ya que pueden utilizar otros canales de comunicación como llamadas telefónicas, aplicaciones de mensajería, redes sociales, etc.

Ingeniería social

• La Ingeniería social es una técnica que emplean los ciberdelincuentes para ganarse la confianza del usuario y conseguir así que haga algo bajo su manipulación y engaño, como puede ser ejecutar un programa malicioso, facilitar sus claves privadas o comprar en sitios web fraudulentos.

2. Insertar objetos

• Insertar imágenes, vídeos, archivos de audio, gráficos, tablas, SmartArt, etc. en tus documentos.
• Editar y formatear los objetos insertados.

3. Diseño de página

• Elegir entre una variedad de plantillas predefinidas para diferentes tipos de documentos, como cartas, informes, folletos, etc.
• Personalizar el diseño de página ajustando los márgenes, el tamaño de página, la orientación, las columnas, los encabezados y pies de página, etc.

4. Colaboración y revisión:

• Compartir documentos con otras personas para que los vean, comenten o editen.
• Realizar un seguimiento de los cambios realizados en el documento y aceptarlos o rechazarlos.

Microsoft Word

PROCESADOR DE TEXTOS

Word es un software de procesamiento de textos y se utiliza para crear, editar y formatear documentos de texto. Algunas de sus funcionalidades son: 1. Edición y formateo de texto

• Escribir, editar y formatear texto con una amplia variedad de opciones, como negrita, cursiva, subrayado, tamaño de fuente, color, alineación, interlineado, etc.
• Aplicar estilos predefinidos o crear tus propios estilos para personalizar tus documentos.

Para importar un certificado digital como, por ejemplo, el obtenido a través de la FNMT, a una tarjeta criptográfica puede hacerse a través de un navegador web como Mozilla Firefox. Para hacerlo correctamente, la copia de seguridad debe tener contraseña asignada, esto es, que cuando se exportó el certificado, se le asignó dicha contraseña y no se dejó en blanco.

Importar un certificado digital a una tarjeta criptográfica

Ejemplo Mozilla firefox

Para hacer la exportación, pueden seguirse estos pasos:

• Insertar la tarjeta, abrir Mozilla Firefox y acudir al almacén de certificados del navegador: Menú Herramientas / Opciones / Privacidad y Seguridad / Certificados - botón Ver certificados, pestaña de "Sus Certificados".

• Pulsar en el botón "Importar".

• Buscar la ubicación (disco duro, cd, memoria USB, unidad de red) de la copia del certificado a importar (con extensión *.pfx o *.p12).
• Elijir el objeto TC-FNMT v2 o similar. Insertar el PIN de la tarjeta.
• Insertar la contraseña con la que se protegió la copia de seguridad.

Hunting

• Este tipo de ataques buscan afectar al mayor número de usuarios realizando, únicamente, una comunicación. Son comunes en campañas de phishing, como los realizados contra entidades energéticas o bancarias.
• También son utilizados en ataques cuyo objetivo es realizar una campaña de infección por malware, como las llevadas a cabo para realizar ataques de ransomware.

Gusanos

• Los gusanos, son un tipo de malware que se caracterizan por su capacidad de replicarse de un ordenador a otro sin que el usuario intervenga.
• Suele provocar problemas de red.

Responsabilidad

Los titulares de los centros directivos de la administración de la Junta de Extremadura y, en su caso, de los organismos públicos dependientes o adscritos a la misma en el ámbito de sus respectivas competencias serán responsables de la integridad, veracidad y actualización de la información, relativa a los servicios, procedimientos y trámites puestos a disposición de los usuarios de la sede electrónica asociada, sin perjuicio de la debida diligencia del titular de dicha sede respecto de la incorporación de los contenidos en la misma, de conformidad con lo previsto en el artículo 12.3 del Reglamento de actuación y funcionamiento del sector público por medios electrónicos, aprobado por Real Decreto 203/2021, de 30 de marzo.

<< Publicación DOE >>

RESOLUCIÓN de 16 de noviembre de 2023, del Consejero por la que se creala sede electrónica asociada a la sede electrónica corporativa de la Junta deExtremadura

En este proceso de acceso a una web, el navegador ha accedido al certificado del sitio web y ha realizado estas comprobaciones:

• Integridad del certificado: verifica que el certificado es correcto, esto lo hace descifrando la firma digital incluida y comparándola con una firma del certificado generada en ese momento, si ambas son iguales entonces el certificado es válido.
• Vigencia del certificado: revisa el periodo de validez del certificado, es decir, la fecha de emisión y la fecha de expiración incluidos en él.
• Confianza en el emisor del certificado: usa la lista de Entidades Certificadoras de confianza almacenadas en el dispositivo. Con base a esta lista, el navegador revisa que la autoridad emisora del certificado de una web sea de confianza. De no serlo, el navegador mostrará una advertencia indicando que el certificado fue emitido por una entidad en la cual no confía o que no tiene incluído en su almacén de certificados.

Funcionamiento de las conexiones seguras

Si no aparece ningún mensaje de advertencia al acceder a una web, es que el protocolo SSL/TLS funcionó correctamente y se estableció una relación de confianza entre el servidor web y el navegador.

Business Intelligence y análisis de datos

• Crea informes y paneles interactivos. Puedes crear informes y paneles interactivos con Power BI para visualizar y analizar tus datos de SharePoint.
• Toma decisiones basadas en datos. Los análisis de datos te permiten obtener información valiosa y tomar decisiones más informadas.
• Integración con Excel. Se integra con Excel para realizar análisis de datos más avanzados.

*Esta opción puede estar limitada según el rol de usuario del que se disponga.

• Elementos software
• Sistemas operativos: El DNIe puede operar en diversos entornos (Windows 7 y superiores GNU/Linux, MAC, Unix)
• Navegadores: El DNI 3.0 es compatible con todos los navegadores, como Microsoft Internet Explorer, Google Chrome, Mozilla Firefox
• Controlador del Lector:
• Para operar con un lector de tarjetas inteligentes, será necesario instalar un driver que, normalmente, se distribuye con el propio lector.
• Controladores / Módulos criptográficos de la tarjeta DNI 3.0

MEDIANTE CONTACTO

• Elementos hardware
• Requiere el siguiente equipamiento físico:
• Un Ordenador personal (Intel -a partir de Pentium III- o tecnología similar).
• Un lector de tarjetas inteligentes que cumpla el estándar ISO-7816.
• Para elegir un lector que sean compatible con el DNI 3.0, verifique que, al menos:
• Cumpla el estándar ISO 7816 (1, 2 y 3).
• Soporta tarjetas asíncronas basadas en protocolos T=0 (y T=1).
• Soporta velocidades de comunicación mínimas de 9.600 bps.
• Soporta los estándares API PC/SC (Personal Computer/Smart Card)

Descarga automática de imágenes

• Tener habilitado en el cliente de correo la descarga automática de imágenes es un riesgo para tu privacidad y seguridad. Las imágenes son usadas para monitorizar si un correo ha sido abierto o no, reduciendo así la privacidad en el uso de esta herramienta de trabajo.
• Además, dándose las circunstancias adecuadas, la carga automática de imágenes puede ser la puerta de entrada de malware a la entidad. Siempre es recomendable desactivar esta opción cuando sea posible.

Determinar la periodicidad con la que se harán las copias de seguridad dependerá de cada empresa en particular. Se ha de definir una frecuencia adecuada para que ante un problema con cualquier activo de información, no suponga una gran pérdida y no afecte negativamente a la actividad laboral.

Certificado de Sello Electrónico

• Según la Ley, es el certificado usado para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada.
• Esto quiere decir que el Sello Electrónico es el que debe usarse para todos los trámites administrativos que se realizan por medios telemáticos, tanto para la identificación de los servidores y la firma de los documentos electrónicos, como para el establecimiento de comunicaciones seguras entre máquinas.

Persona Física

• Son los que incorporan la identidad de un sujeto físico o ciudadano.
• Está orientado a ciudadanos (es decir, a terceros físicos) y están fundamentalmente pensados para trámites personales aunque, en determinadas circunstancias, pueden ser usados en el ámbito profesional.

El artículo 15.2 del Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración electrónica

<< Publicación BOE >>

Señala que "La sincronización de la fecha y la hora se realizará con el Real Instituto y Observatorio de la Armada, de conformidad con lo previsto sobre la hora legal en el Real Decreto 1308/1992, de 23 de octubre".

Sobre todo en los entornos laborales, los trabajadores, generalmente, cuentan con esta voluntad de ayudar a los compañeros en todo lo posible. Por este motivo, los ciberdelincuentes pueden hacerse pasar por un falso empleado de la entidad. Otra variante utilizada, es hacerse pasar por un técnico de informática para instalar herramientas de acceso remoto no autorizado.

• Compartir archivos y carpetas. Puedes compartir archivos y carpetas con otras personas a través de un enlace o invitación para colaborar en el mismo archivo.
• Control de permisos. Puedes controlar quién puede ver, editar y descargar los archivos compartidos.
• Vínculos de acceso directo. Puedes crear vínculos de acceso directo para compartir archivos y carpetas sin tener que dar a los demás acceso a una cuenta de OneDrive.
• Integración con Teams. Puedes compartir archivos y carpetas con tus equipos de Microsoft Teams.

Uso compartido

*Esta opción puede estar limitada según el rol de usuario del que se disponga.

DNI 3.0

• Comenzó a expedirse en diciembre de 2015, en todas las Oficinas de Expedición del territorio nacional.
• Es una tarjeta de un material plástico (concretamente policarbonato), que incorpora un chip con información digital.
• Su tamaño, es de 85,60 mm de ancho X 53,98 mm de alto).

Certificado de Sede Electrónica

• El certificado de Sede es un certificado de Servidor que identifica y autentifica al servidor como Sede Electrónica de una Administración Pública.
• Las sedes electrónicas, cuando sea necesario, dispondrán de sistemas que permiten el establecimiento de comunicaciones seguras. Además, utilizarán sistemas de firma basados en certificados de dispositivo seguro o medio equivalente para identificarse y mantener una comunicación segura.

<< Publicación DOE >>

DECRETO 225/2014, de 14 de octubre, de régimen jurídico de administración electrónica de la Comunidad Autónoma de Extremadura

Adware

• El adware hace que en el navegador salten pop-ups, ventanas con publicidad no deseada que pueden llevar a sitios fraudulentos o que cambien el buscador por defecto.

Persona Jurídica

• Incorporan una identidad jurídica.
• Su uso está pensado para todo tipo de organizaciones, ya sean empresas, administraciones u otro tipo de organizaciones, todas ellas con una identidad de tipo jurídico.

Esta técnica es habitualmente utilizada en campañas de phishing. Bajo el pretexto de existir repetidos accesos no autorizados, cambio en las políticas o cualquier otro engaño, los ciberdelincuentes fuerzan a la víctima acceder a una web fraudulenta donde roban información confidencial.

Local

• Almacenamiento en los propios dispositivos que es de rápido acceso y que siempre estará accesible a no ser que se produzca un fallo en el equipo.
• Al ser solamente accesible por los usuarios de cada equipo, se producen silos no compartidos de información y de fallar el equipo, podría perderse definitivamente.

*Esta opción puede estar limitada según el rol de usuario del que se disponga.

En Teams, el trabajo en equipo y la comunicación se producen en los canales. Un canal es un único lugar donde un equipo puede compartir mensajes, herramientas y archivos. Los canales se pueden organizar por grupo, proyecto, característica o cualquier otra cosa que sea relevante.

Teams (equipos) en Microsoft Teams

• Selecciona Comunidad en la barra de aplicaciones del lado izquierdo de la pantalla.
• Selecciona la comunidad en la que deseas crear un canal.
• Selecciona Agregar canal representado con el botón "+" o "Agregar canal" en el nombre de la comunidad.

DNI 3.0

• Comenzó a expedirse en diciembre de 2015, en todas las Oficinas de Expedición del territorio nacional.
• Es una tarjeta de un material plástico (concretamente policarbonato), que incorpora un chip con información digital.
• Su tamaño, es de 85,60 mm de ancho X 53,98 mm de alto).

El sistema europeo de reconocimiento de identidades electrónicas es un Reglamento de la Unión Europea sobre un conjunto de normas para la identificación electrónica y los servicios de confianza para transacciones electrónicas en el mercado único europeo.

Certificados software

• Un Certificado electrónico es un documento digital que se puede guardar en una memoria USB, en un ordenador (en el almacén de certificados) o en el disco duro.
• A ese Certificado se le conoce como certificado software.

Como ejemplos de firma avanzada, podemos encontrar:

Ejemplos

Firma Avanzada

• Firma en formato digital de forma manuscrita, como en solicitudes a través de sistemas que miden datos biométricos del firmante.
• Firma con certificado digital como el adquirido a través de entidades como FNMT, Camerfirma, etc.
• Puede tener varios formatos, los más conocidos: .p12 y . pfx.

Algunos de los pasos a seguir para evitar riesgos en la navegación:

• Revisar que la URL comienza por HTTPS siempre que se vaya a intercambiar algún tipo de dato con la web, como datos bancarios o personales.
• Hacer clic sobre el icono del candado de la web para asegurarnos que la URL corresponde con la entidad que afirma ser y que no se trata de una suplantación de identidad o (spoofing).
• Si tenemos dudas, podemos hacer una búsqueda rápida en Internet sobre la página y asegurarnos de que no se trata de una web fraudulenta.

Los riesgos de la navegación insegura

También podrían utilizarse marcas de agua o códigos de color.

Paso 3 - Clasificar cada activo

Clasificación de la información

El siguiente paso consiste en etiquetar cada activo de forma adecuada, un ejemplo sería añadiendo etiquetas al comienzo del nombre del archivo.

• Los soportes de almacenamiento electrónico que no funcionen o se hayan quedado obsoletos, se deberán borrar por medio de desmagnetización o destrucción física.
• Habrá que prestar especial atención a los dispositivos móviles, así como a la memoria SD que tienen algunos modelos en el momento de deshacernos de los mismos, ya que podrían contener información importante o confidencial.

Eliminar la información

borrado de información

• Para la información en soportes no electrónicos como papel y soportes magnéticos como los DVD o cintas magnéticas, se deberá utilizar el triturado como modo seguro de eliminación.
• Los dispositivos de almacenamiento que permitan su reutilización, deben ser sobrescritos múltiples veces para evitar que la información vuelva a ser accesible.
• Los teléfonos móviles que se vayan a reutilizar, se cifrarán antes de borrarlos y se restaurarán a sus valores de fábrica.

Ejemplo de sextorsión:

Sextorsión

correo electrónico

El objetivo es extorsionar al receptor con un supuesto video privado o de contenido comprometedor (que lo más probable es que no exista), amenazando con difundirlo a todos sus contactos de correo y redes sociales a no ser que realice el pago de una cantidad económica. El pago, generalmente, es solicitado en criptomonedas como el bitcoin y el destinatario parece ser el remitente cuando en realidad, no es así.

Ejemplos de avisos de malware:

correo con factura que infecta el equipo

envío de falso presupuesto en excel

Malware

correo electrónico

Los correos podrían contener algún tipo de archivo adjunto o enlaces a webs donde una vez descargado y ejecutado el fichero infectará el dispositivo. La infección también puede producirse al hacer clic en anuncios fraudulentos (malvertising) o aprovechando alguna vulnerabilidad en los navegadores (drive-bydownload). Una vez en nuestro equipo, podría distribuirse a través de la red corporativa, infectando todo tipo de dispositivos conectados a la misma, como discos duros, pero también otros sistemas de la red e incluso servicios en la nube.

Integración con los navegadores a través de plugins y autocompletado

• Esta función nos ayudará a automatizar y agilizar el proceso de insertar nuestras credenciales en la pantalla de acceso.

• Ha sido remplazado por TLS (Transport Layer Security), un protocolo más seguro que está basado en SSL, lo cual los hace totalmente compatibles. Por eso, es muy normal referirse a este conjunto de protocolos directamente como SSL/TLS. El certificado que usa SSL/TLS garantiza que la comunicación no se podrá leer ni manipular y que la información personal no caerá en las manos equivocadas.

• Para navegar en las páginas que tienen instalado en su dominio un certificado SSL/TLS, se utiliza el protocolo web HTTPS. Simplemente es una combinación del protocolo HTTP (usado tradicionalmente en cada consulta web) con el protocolo SSL/TLS usado para establecer comunicaciones cifradas en sitios web.

SSL/TLS y HTTPS

SSL (Secure Sockets Layer), traducido al español significa Capa de Conexiones Seguras, es un protocolo de cifrado que usa certificados digitales para establecer comunicaciones seguras a través de Internet y proteger la información que transita entre el servidor web y nuestro navegador.

Ir a la web

Todos los servicios se prestan desde las Oficinas de Asistencia a la Ciudadanía, en los términos establecidos en el artículo 12.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común.

Tramitación

Autenticidad

Capacidad de determinar si una lista determinada de personas ha establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico.

Integridad

Garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.

Confidencialidad

Capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas.

DNI electrónico << Visitar web >>

Adware

• El adware hace que en el navegador aparezcan pop-ups o ventanas con publicidad no deseada que pueden llevar a sitios fraudulentos o que cambien el buscador por defecto.

• A parte de las medidas de seguridad que llevaba incorporada el DNI 3.0, se le añaden los siguientes cambios:

• Aparición de la bandera de la Unión Europea con las siglas en su interior del país que emite el documento.
• Indicación del título de Documento Nacional de Identidad en al menos otra lengua oficial de la Unión.

DNI 4.0

• Cumple con el Reglamento UE 2019/1157 del Parlamento Europeo y del Consejo de 20 de junio de 2019 sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación.
• En España tiene su presentación el día 2 de junio de 2021 a cargo del Ministro del Interior en la Comisaría de Policía Nacional de Móstoles (Madrid).

Almacenamiento

• Capacidad de almacenamiento. OneDrive dispone de almacenamiento en la nube para guardar archivos. La capacidad de almacenamiento dependerá de la licencia contratada.
• Sincronización automática. OneDrive sincroniza automáticamente los archivos entre un ordenador y la nube.
• Acceso desde cualquier lugar. Puedes acceder a los archivos de OneDrive desde cualquier dispositivo con conexión a Internet, ya sea un ordenador, un teléfono móvil o una tableta.
• Seguridad. OneDrive ofrece una amplia gama de funciones de seguridad para proteger archivos, como el cifrado de datos y la autenticación en dos pasos.

Cl@ve PIN << Visitar web >>

Farming

• En los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. Algunos ejemplos de este tipo de ataques son los que buscan infundir miedo en las víctimas por medio de supuestos videos privados o futuros ataques contra una entidad o empresa.
• En otros casos, como sucede en el fraude del CEO o en el de RRHH, los ciberdelincuentes suplantan a un miembro de la empresa y utilizan diferentes técnicas de ingeniería social para conseguir su objetivo.

Agregar páginas

• Plantillas de página. Puedes elegir entre una variedad de plantillas de página prediseñadas para diferentes tipos de notas, como agendas, listas de tareas y notas de reuniones.
• Subpáginas. Puedes crear subpáginas para organizar tus notas en una estructura jerárquica.
• Combinar páginas. Puedes combinar varias páginas en una sola página.
• Mover páginas. Puedes mover páginas entre diferentes secciones y blocs de notas.

Acceso a través del Escritorio del equipo

En líneas generales, se pueden identificar las siguientes características en el acceso a las aplicaciones de Microsoft 365 a través de las aplicaciones de Escritorio.

Escribir notas

• Formato enriquecido. Puedes aplicar negrita, cursiva, subrayado, tamaño de fuente, color y mucho más a una nota de texto.
• Insertar archivos. Puedes agregar imágenes, vídeos, archivos de audio, documentos PDF y otros tipos de archivos a tus notas.
• Dibujar y escribir a mano. Puedes usar un lápiz óptico o tu dedo para dibujar en una pantalla táctil, escribir a mano o tomar notas manuscritas.
• Etiquetado. Puedes agregar etiquetas a tus notas para organizarlas y encontrarlas fácilmente.

• Incremental: solo se copiarán los datos que hayan variado desde la última copia de respaldo realizada, ya fuera incremental, diferencial o completa.

• Diferencial: únicamente se copian los archivos y directorios que han sido creados o modificados desde la última copia completa.

• Completa: consiste en hacer una copia de todos los datos de nuestro sistema en otro soporte haciendo que la recuperación, en caso de incidente, sea mucho más rápida.

• En espejo o RAID 1: mediante este método se crea una copia exacta de los datos en tiempo real, mientras se trabaja, se crea una copia espejo de la información en otra ubicación.

¿Qué tipo de copia elegir?

copia de seguridad

Existen, principalmente, cuatro formas de realizar las copias de seguridad:

Paso 1 - Inventariado de los activos

• Etapa fundamental en la que se deben tener en cuenta todos los recursos con los que cuenta la organización, tanto en formato físico, como en formato digital.
• Además, es conveniente catalogar otras características de los activos como su tamaño, ubicación o departamentos que intervienen en su gestión.

Función de autocompletado

• En ocasiones cuando se pretende enviar un correo electrónico a un usuario que habitualmente no se utiliza, puede suceder que la función de autocompletado ponga un correo similar gracias a esta función y no nos demos cuenta.
• Es recomendable deshabilitar esta función siempre que se pueda y en caso de no tener alternativa, revisar bien el destinatario antes de enviar.

Generación de contraseñas

• Crear una contraseña robusta desde cero puede llevar más tiempo del que pensamos, sobre todo si tenemos en cuenta que debemos crear una diferente para cada servicio. Por eso, estos gestores nos permiten crearlas automáticamente siguiendo una serie de criterios para que sean robustas.
• En ocasiones, pueden incluir la función de crear contraseñas de un solo uso, utilizadas en aquellos servicios de “usar y tirar”, como registrarnos en alguna promoción, leer un artículo que requiera de un registro, etc.

En algunos casos, los ciberdelincuentes basan su estrategia en el miedo que tienen los usuarios a no ser socialmente aceptados o a perder su reputación. Esto es habitual en los correos de sextorsión, donde los ciberdelincuentes amenazan con difundir un supuesto video privado que en realidad no existe.

Farming

• En los ataques de farming los ciberdelincuentes realizan varias comunicaciones con las víctimas hasta conseguir su objetivo u obtener la mayor cantidad de información posible. Algunos ejemplos de este tipo de ataques son los que buscan infundir miedo en las víctimas por medio de supuestos videos privados o futuros ataques contra una entidad o empresa.
• En otros casos, como sucede en el fraude del CEO o en el de RRHH, los ciberdelincuentes suplantan a un miembro de la empresa y utilizan diferentes técnicas de ingeniería social para conseguir su objetivo.

• Subir archivos. Puedes subir archivos a OneDrive desde un ordenador o desde un dispositivo móvil.
• Crear nuevos archivos. Puedes crear nuevos archivos de Office directamente en OneDrive, como documentos de Word, hojas de cálculo de Excel o presentaciones de PowerPoint.
• Escanear documentos. Puedes escanear documentos en papel y guardarlos como archivos PDF en OneDrive.
• Agregar fotos y vídeos. Puedes agregar fotos y vídeos a OneDrive desde dispòsitivos como ordenadores o teléfonos inteligentes.

Agregar elementos

Cl@ve permanente << Visitar web >>

La tecnología NFC se basa en la proximidad entre dispositivos. Una antena interna de radiofrecuencia conecta directamente el smartphone o tablet con el DNI 3.0 permitiendo el acceso a los distintos servicios telemáticos.

• Elementos software
• APP que utilice el DNI 3.0 para identificar al usuario y acceder a un servicio específico o para firmar electrónicamente un documento con igualdad jurídica que la firma manuscrita. Para su instalación, proceda a descargar la APP desde un repositorio oficial (Google Play/Apple Store….).

• Para elegir un lector que sean compatible con el DNI 3.0, verifique que, al menos:

• Cumpla el estándar ISO 7816 (1, 2 y 3).
• Soporta tarjetas asíncronas basadas en protocolos T=0 (y T=1).
• Soporta velocidades de comunicación mínimas de 9.600 bps.
• Soporta los estándares:
• API PC/SC (Personal Computer/Smart Card)
• CSP (Cryptographic Service Provider, Microsoft)
• API PKCS#11

MEDIANTE ANTENA SIN CONTACTO

• Elementos hardware
• Un dispositivo con NFC que cumpla el estándar ISO 14443, tipo A o B, ya que el DNI 3.0 es compatible con ambas implementaciones del estándar ISO 14443. Éste puede ser un Smartphone, una tablet o un lector NFC. Para elegir un dispositivo compatible con el DNI 3.0, verifique que cumple "ISO 14443 - Partes 1/2/3/4. Protocolo de transmisión T=CL"

Certificado electrónico << Web FNMT >>

Virus

• Los virus, son un tipo de malware que buscan alterar el correcto funcionamiento de un sistema mediante un código maligno.
• Su característica principal es que necesita de la intervención del usuario para ser ejecutado.

Titularidad

La titularidad de la sede electrónica corresponderá al titular de la Consejería que tenga atribuidas las competencias de implantación e impulso de la administración electrónica en el ámbito de la Junta de Extremadura.

Certificados hardware

• Un certificado también puede estar almacenado en una tarjeta criptográfica, que es una tarjeta que incorpora un chip electrónico.
• Un ejemplo claro de una tarjeta criptográfica es el DNI electrónico. En estas tarjetas es posible almacenar uno o varios certificados electrónicos, lo que se conoce como certificado hardware.

Técnicas criptográficas y seguridad

• Los nuevos sistemas de certificación, las aplicaciones a través de Internet y el propio comercio electrónico demandan soluciones avanzadas que permitan operar con los adecuados niveles de garantía y seguridad.
• Las técnicas criptográficas utilizadas en las tarjetas de certificación digital, por ejemplo, las de la FNMT-RCM, permiten a la Administración, al ciudadano y a la empresa realizar sus trámites y transacciones electrónicas a través de la red con garantías de máxima seguridad.

• Botnets
• Spyware
• Adware

• Virus
• Gusanos
• Troyanos
• Ransomware

Entre el malware se encuentran los siguientes tipos:

Malware

• El malware o software malicioso es cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada y sin el conocimiento del usuario.

• Persigue trastornar su funcionamiento, inutilizar sistemas y robar información.

Alertas de vulnerabilidad

• Algunos de los gestores pueden incluir esta función para alertarnos de si estamos utilizando una contraseña demasiado débil, está repetida en varios servicios o si dicho servicio ha sufrido una brecha de seguridad y debemos cambiar nuestras credenciales lo antes posible.

El primer paso, será determinar la información que se debe copiar. Para ello, se tiene que clasificar.En función de esa clasificación se identificarán aquellos activos de información sin los cuales la empresa no podría seguir con su actividad diaria.

El siguiente video muestra un ejemplo de cómo se lleva a cabo un ataque de ingeniería social por vía telefónica.

Este es un ejemplo de este tipo de estafa:

Scam

correo electrónico

Se basa en un tipo de correos electrónicos cuya única finalidad es perpetrar engaños y estafas a sus receptores y obtener tanta información personal, de la empresa o bancaria como puedan. El gancho, en este caso, suele girar en torno a falsos premios de lotería, herencias millonarias, ofertas de empleo que requieren de desembolsos, etc., aunque los ciberdelincuentes, cada día, inventan nuevas formas de engaño.

Por ejemplo, la FNMT como Autoridad de Certificación, puede emitir este tipo de certificados. +Info

• Los certificados digitales son la base que ayuda a crear la confianza que los usuarios necesitan. Son ficheros electrónicos generados para las organizaciones por un prestador oficial de servicios de certificación que están autorizados para emitirlos. Por ejemplo, en un sitio web para que las personas que naveguen en ella tengan la tranquilidad y confianza que los datos que se compartan a través de ella van a estar debidamente protegidos mediante un cifrado. Existen entidades que se encargan de certificarlo y, si efectivamente la web cumple con los requisitos, le permitirán utilizar ese “sello de confianza” en forma de certificado digital.

• En el contexto de la navegación web, los certificados digitales son la base de los protocolo SSL y HTTPS.

La navegación en Internet

El robo, la pérdida o la manipulación fraudulenta de la información son, a día de hoy, algunos de los riesgos de ciberseguridad que nos afectan como usuarios de Internet. Por ello, la digitalización y la ciberseguridad deben ir de la mano para todas aquellas organizaciones que desean ofrecer sus servicios a través del ciberespacio.

Como ejemplos de firma simple, podemos encontrar:

Ejemplos

Firma Simple

• Checkbox de páginas web de aceptación de términos y condiciones, política de privacidad, etc.
• Confirmaciones con código PIN para realizar una transferencia.

Troyanos

• Los troyanos, son un tipo de malware similares a un virus y se hacen pasar por un software legítimo, pero incluye una funcionalidad que permite el control remoto o la instalación de puertas traseras (backdoors) para acceder a los dispositivos.

Desde el iniciador de aplicaciones de Microsoft 365, selecciona un icono para ir a esa aplicación o a ese servicio. Por ejemplo, puedes elegir Outlook para ir al correo electrónico o OneDrive para ir a la biblioteca de archivos. Para ver una lista completa de todas las aplicaciones disponibles, selecciona el enlace de "Todas las aplicaciones".

Iniciador de aplicaciones

Antivirus

El antivirus es un programa informático específicamente diseñado para detectar, bloquear y eliminar código malicioso, también conocido como malware. Actualmente, incorporan otras herramientas de seguridad como detección de webs fraudulentas o protección contra ransomware.

CC y CCO

• Enviar correos electrónicos a múltiples destinatarios usando la opción de CC (Carbon Copy) o en copia, en vez de la opción de CCO o copia oculta (o BCC, Blind Carbon Copy, en algunos casos) es uno de los incidentes de fuga de información (en este caso, las direcciones de correo de los destinatarios) más comunes en una organización.
• Cuando se realiza el envío de un correo a múltiples destinatarios, siempre hay que utilizar la opción de CCO de forma que el receptor del correo no vea las direcciones del resto de destinatarios, ya que el correo electrónico es considerado un dato personal y estaríamos divulgándolo sin consentimiento del propietario.

• Firma electrónica
• Información
• Organización de la Administración del Estado
• Tecnología

Materias

• Administración electrónica
• Comunicaciones electrónicas
• Control de la información
• Equipos informáticos

Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica

<< Publicación BOE >>

• Rango: Real Decreto
• Fecha de disposición: 08/01/2010
• Fecha de publicación: 29/01/2010
• Fecha de entrada en vigor: 30/01/2010
• Fecha de derogación: 05/05/2022

• Carpetas y subcarpetas. Puedes organizar los archivos en carpetas y subcarpetas para que sea más fácil encontrarlos.
• Etiquetas. Puedes agregar etiquetas a los archivos para categorizarlos y facilitar su búsqueda.
• Favoritos. Puedes marcar los archivos favoritos para tenerlos siempre a mano.
• Historial de versiones. Puedes ver el historial de versiones de un archivo para ver quién ha hecho cambios y cuándo.

Organización

Como ejemplos de firma cualificada, podemos encontrar:

Ejemplos

Firma Cualificada

• Firma incluida en una tarjeta criptográfica como el DNI o tarjetas ACA que usan , por ejemplo, personas que ejercen la abogacía.
• Dispone de una protección legal por lo que se suele usar para ciertos trámites que puedan suponer algún riesgo legal.

Botnets

• Los botnets son redes infectadas que pueden enviar ataques como el robo de contraseñas, envío indiscriminado de spam, entre otros.
• Algunos ejecutan software de minado de criptomonedas, ralentizando y consumiendo recursos del dispositivo.

2. Edición y formateo:

• Editar texto. Modificar el contenido textual de las diapositivas.
• Formatear texto. Aplicar negrita, cursiva, tamaño de fuente, color y otros formatos al texto.

3. Animaciones y transiciones:

• Agregar animaciones. Incorporar animaciones a los elementos de las diapositivas para darles movimiento.
• Aplicar transiciones. Implementar transiciones entre diapositivas para crear una experiencia visual más atractiva.

4. Colaboración y revisión:

• Compartir presentaciones. Compartir tus presentaciones con otras personas para que las vean, comenten o editen.
• Realizar un seguimiento de los cambios. Rastrear los cambios realizados en la presentación y aceptarlos o rechazarlos.

Microsoft PowerPoint

PRESENTACIONES

PowerPoint es un software para la creación de presentaciones desarrollado por Microsoft. Algunas de las opciones que ofrece son: 1. Creación de presentaciones:

• Diseñar diapositivas. Desarrollar diapositivas con texto, imágenes, vídeos y otros elementos.
• Aplicar plantillas. Elegir entre una variedad de plantillas predefinidas para diferentes tipos de presentaciones.

Agregar secciones

• Colores de sección. Puedes asignar un color diferente a cada sección para identificarlas fácilmente.
• Grupos de secciones. Puedes agrupar secciones relacionadas para mantenerlas organizadas.
• Protección de contraseña. Puedes proteger con contraseña las secciones que contienen información confidencial.
• Compartir secciones. Puedes compartir secciones con otras personas para que puedan verlas y editarlas.

Este tipo de engaño se basa en ofrecer un producto o servicio gratis a cambio de información privada. Este tipo de fraude suele llevarse a cabo por medio de páginas web emergentes que suelen aparecer cuando se navega por sitios poco legítimos. También es común en mensajes de redes sociales o aplicaciones de mensajería.

El artículo 31.2 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

<< Publicación BOE >>

Establece que "El registro electrónico de cada Administración u Organismo se regirá a efectos de cómputo de los plazos, por la fecha y hora oficial de la sede electrónica de acceso, que deberá contar con las medidas de seguridad necesarias para garantizar su integridad y figurar de modo accesible y visible".

Chat en Microsoft Teams

En el menú principal, accede a "Chat" y busca los contactos con los que deseas comunicarte.Selecciona la opción representada como un cuadrado y una línea oblicua para abrir un nuevo chat y poder escribir, adjuntar archivos, sondeos y mucho más.

Desde la sección de Calendario también es posible:

• Unirse con un id. (identificación)
• Reunirse ahora
• Crear una nueva reunión

Al seleccionar una reunión específica en el calendario, se pueden realizar las siguientes acciones:

• Unirse a la reunión
• Ver detalles de llamadas
• Ver y chatear con participantes
• Responder a la invitación a la reunión
• Cancelar la reunión si se es el organizador

Calendario en Microsoft Teams

El calendario muestra todo lo que se programó en Teams, Exchange u Outlook.

• Firma electrónica
• Procedimiento administrativo
• Redes de telecomunicación
• Registros telemáticos

Materias

• Administración electrónica
• Administraciones Públicas
• Certificaciones
• Comunicaciones electrónicas
• Documentos

<< Publicación BOE >>

• Rango: Real Decreto
• Fecha de disposición: 08/01/2010
• Fecha de publicación: 29/01/2010
• Fecha de entrada en vigor: 30/01/2010

Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica

• Redes de telecomunicación
• Registros telemáticos
• Representación
• Seguridad informática

• Empleados públicos
• Firma electrónica
• Internet
• Inventarios
• Normalización
• Normas jurídicas
• Notificaciones telemáticas
• Procedimiento administrativo

Materias

• Acceso a la información
• Administración electrónica
• Administración General del Estado
• Administraciones Públicas
• Archivos
• Certificados telemáticos
• Comunicaciones electrónicas
• Documentos

Real Decreto 203/2021, de 30 de marzo, por el que se aprueba el Reglamento de actualización y funcionamiento del Sector público por medios electrónicos

<< Publicación BOE >>

• Rango: Real Decreto
• Fecha de disposición: 30/03/2021
• Fecha de publicación: 31/03/2021
• Fecha de entrada en vigor: 02/04/2021

Ransomware

• El ramsomware, es un tipo de malware que bloquea el sistema y cifra la información del usuario, exigiendo el pago de un rescate para recuperarla.
• Suele dirigirse sobre todo a empresas para que paguen un rescate a cambio del desbloqueo de la información.

• Los soportes de almacenamiento electrónico que no funcionen o se hayan quedado obsoletos, se deberán borrar por medio de desmagnetización o destrucción física.
• Habrá que prestar especial atención a los dispositivos móviles, así como a la memoria SD que tienen algunos modelos en el momento de deshacernos de los mismos, ya que podrían contener información importante o confidencial.

Eliminar la información

borrado de información

• Para la información en soportes no electrónicos como papel y soportes magnéticos como los DVD o cintas magnéticas, se deberá utilizar el triturado como modo seguro de eliminación.
• Los dispositivos de almacenamiento que permitan su reutilización, deben ser sobrescritos múltiples veces para evitar que la información vuelva a ser accesible.
• Los teléfonos móviles que se vayan a reutilizar, se cifrarán antes de borrarlos y se restaurarán a sus valores de fábrica.

Red

• Slmacenamiento en un equipo de la red interna de la empresa que requiere de acceso a la red y permisos para poder gestionar la información.
• En caso de que exista esta opción en la empresa, será la que debamos utilizar, ya que así toda la información estará centralizada y se podrán aplicar las medidas de seguridad de forma más eficiente.

Verificación en dos pasos

• Muchos gestores online incluyen esta función para proteger nuestras cuentas principales. En aquellos gestores que requieran una conexión a Internet, podremos vincular nuestras cuentas mediante este sistema de protección.

• A parte de las medidas de seguridad que llevaba incorporada el DNI 3.0, se le añaden los siguientes cambios:

• Aparición de la bandera de la Unión Europea con las siglas en su interior del país que emite el documento.
• Indicación del título de Documento Nacional de Identidad en al menos otra lengua oficial de la Unión.

DNI 4.0

• Cumple con el Reglamento UE 2019/1157 del Parlamento Europeo y del Consejo de 20 de junio de 2019 sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y a los miembros de sus familias que ejerzan su derecho a la libre circulación.
• En España tiene su presentación el día 2 de junio de 2021 a cargo del ministro del Interior en la Comisaría de Policía Nacional de Móstoles (Madrid).

Algunos ejemplos de avisos de seguridad de tipo phishing son:

campaña phishing suplantando a endesa

campaña phishing suplantando a la agencia tributaria

campaña phishing suplantando a ING

campaña phishing contra paypal

Phishing

correo electrónico

La finalidad es hacerse con claves de acceso o información sensible como pueden ser datos fiscales o bancarios. El canal mediante el cual se intenta perpetuar el fraude suele ser el correo electrónico, pero también pueden usarse otros como los SMS o aplicaciones de mensajería instantánea como WhatsApp. Algunos ejemplos de avisos de seguridad de tipo phishing son:

Entidad sin personalidad jurídica

• Vinculan a su suscriptor unos datos de verificación de firma y confirma su identidad para ser utilizados únicamente en las comunicaciones y transmisiones de datos por medios electrónicos, informáticos y telemáticos en el ámbito tributario.

Parte pública del certificado

Contiene el resto de datos, incluida la firma electrónica de la autoridad de certificación que lo emitió

Parte privada del certificado

Contiene la clave privada

• Limitar el acceso de personas o grupos. Se deberá llevar un control de accesos para que la información sea accesible, únicamente, por el personal que la necesite para su trabajo, según los roles o perfiles.
• Cifrado.
• Copias de seguridad.
• Medidas específicas como las indicadas en el recurso formativo anterior relativas al cumplimiento de la LOPDGDD u otra normativa que aplique a empresas del sector.
• Medidas específicas para la información sujeta a acuerdos de confidencialidad.

Paso 4 - Tratamiento de la información

Clasificación de la información

El siguiente paso consiste en elaborar un listado con los controles de seguridad que se llevarán cabo para proteger cada activo. Un ejemplo del tratamiento que recibirá cada tipo de información, en función de su confidencialidad, será:

Antivirus y firewall

El firewall o cortafuegos tienen el objetivo de permitir y limitar, el flujo de tráfico que va desde y hacia Internet evitando así que el malware pueda comunicarse con el exterior y que ataques procedentes de Internet sean bloqueados.

Tecnología

• La tarjeta de identificación electrónica proporciona todas las funciones y características de seguridad necesarias para implementar un sistema de autentificación de usuario y soporte de confidencialidad.
• Resulta una tarjeta ideal en servicios de securización de intercambio de mensajes o documentos, en aplicaciones de comercio electrónico o sistemas de certificación.
• La tarjeta criptográfica es también un documento de identificación físico y lógico y puede ser usada como un elemento de control de accesos, permitiendo aplicaciones de correo seguro y servicios de autenticación única.

Almacenamiento y gestión documental

• Organiza y guarda archivos. SharePoint te permite crear sitios web y bibliotecas de documentos para almacenar y organizar todo tipo de archivos, desde documentos de Office hasta imágenes y vídeos.
• Control de versiones y permisos. Puedes controlar las versiones de los archivos, realizar un seguimiento de los cambios y establecer permisos de acceso para garantizar la seguridad de la información.
• Colaboración en tiempo real. Permite trabajar en equipo en documentos de forma simultánea, incluso si los usuarios se encuentran en diferentes ubicaciones.

Los tipos de almacenamiento más comunes son:

• Cintas magnéticas
• Discos duros externos
• Dispositivos NAS o Network Attached Storage
• Servicios de almacenamiento en la nube
• Discos ópticos

¿Dónde almacenar la copia de seguridad?

Copias de seguridad

El tipo de soporte a elegir para almacenar las copias de seguridad dependerá de varios factores como la cantidad de información a copiar, del sistema seleccionado y la inversión a realizar.

Compartir notas

• Compartir con personas específicas. Puedes compartir tus notas con personas específicas.
• Compartir con un vínculo. Puedes crear un vínculo para compartir tus notas con cualquier persona que tenga el vínculo.
• Permisos de acceso. Puedes elegir qué permisos de acceso tienen las personas con las que compartes tus notas, cómo verlas, editarlas o descargarlas.
• Integración con Microsoft Teams. Puedes compartir tus notas con equipos de Microsoft Teams para que todos los miembros del equipo puedan acceder a ellas.

*Esta opción puede estar limitada según el rol de usuario del que se disponga.

Intranet y colaboración

• Crea sitios web y portales. Puedes crear sitios web y portales personalizados para tu equipo o departamento, con noticias, anuncios, eventos y otros recursos relevantes.
• Comunicación y colaboración. SharePoint ofrece herramientas de comunicación y colaboración como chats, grupos de discusión, foros y wikis para facilitar el trabajo en equipo.
• Integración con Office 365. Se integra perfectamente con otras aplicaciones de Office 365 como Teams, Outlook y OneDrive, lo que facilita la colaboración y el flujo de trabajo.

• Cada cierto tiempo se debe comprobar que el método criptográfico elegido no es vulnerable.
• La pérdida de la clave de descifrado imposibilitará el acceso a la información. Se debe almacenar en un lugar seguro y del que se pueda recuperar.

• La herramienta de cifrado, como sucede con todo el software, debe estar actualizada a la última versión.

Recomendaciones

Cifrado de archivos

• La clave elegida para el cifrado debe ser lo másrobusta posible.
• Se ha de escoger un algoritmo criptográficofuerte, preferiblemente de dominio público,como AES-256, evitando el uso de aquellos queya ha sido comprometida su robustez.
• Cada cierto tiempo se debe comprobar que elmétodo criptográfico elegido no es vulnerable.

2. Programar tu calendario:

• Crear y gestionar eventos. Programa citas, reuniones, eventos y tareas en tu calendario.
• Compartir tu calendario. Comparte tu calendario con otras personas para que puedan ver tu disponibilidad.

3. Administrar contactos:

• Almacenar y gestionar contactos. Crea una lista de contactos con información personal y profesional.
• Vincular contactos con correos electrónicos y eventos. Integra tus contactos con el resto de las funcionalidades de Outlook.

4. Organizar tareas:

• Crear y gestionar tareas. Organiza tus tareas y proyectos con listas de tareas personalizables.
• Sincronizar tareas con otros dispositivos. Mantén tus tareas sincronizadas entre el ordenador, móvil y otros dispositivos.

Microsoft Outlook

GESTOR DE CORREO ELECTRÓNICO

Outlook se conoce como un gestor de correo electrónico, pero ha aumentado sus funcionalidades y puede decirse que es un software de gestión de información personal (PIM). Algunas de las opciones que permite son: 1. Gestionar el correo electrónico:

• Enviar y recibir correos electrónicos. Gestionar la bandeja de entrada, envíar mensajes a contactos y organizar el correo electrónico de forma eficiente.
• Utilizar filtros y reglas. Personalizar tu experiencia con filtros y reglas para organizar automáticamente tus correos electrónicos.

• confidencial: información de gran relevancia para el futuro de la empresa;
• restringida: accesible, únicamente, para determinado personal de la organización y sin la cual no pueden desempeñar su trabajo;
• uso interno: accesible, exclusivamente, para el personal de la empresa;
• pública: información de dominio público como, por ejemplo, la publicada en la página web.

Paso 2 - Criterios de clasificación

CLASIFICACIÓN DE LA INFORMACIÓN

Cada organización debe escoger los criterios que mejor se adapten a sus circunstancias. Éstos pueden ser las necesidades o requisitos de confidencialidad, integridad y disponibilidad de cada activo para las actividades principales de la empresa. Un ejemplo orientativo sobre cómo clasificarla en base a la confidencialidad de la misma sería:

2. Visualización de datos:

• Crear gráficos y tablas. Diseñar gráficos y tablas para visualizar tus datos de forma clara y efectiva.
• Formatear gráficos y tablas. Personalizar el formato de tus gráficos y tablas para que sean más visuales y fáciles de entender.

3. Colaboración y revisión:

• Compartir tus hojas de cálculo. Compartir tus hojas de cálculo con otras personas para que las vean, comenten o editen.
• Realizar un seguimiento de los cambios. Rastrear los cambios realizados en la hoja de cálculo y aceptarlos o rechazarlos.

4. Automatización de tareas:

• Crear macros. Desarrollar macros para automatizar tareas repetitivas.
• Usar complementos. Implementar complementos para agregar nuevas funcionalidades a Excel.

Microsoft Excel

hoja de cálculo

Excel es un programa de hoja de cálculo y se utiliza para organizar, analizar y visualizar datos numéricos. Algunas de sus funcionalidades son: 1. Análisis de datos

• Realizar cálculos complejos. Usar fórmulas y funciones para realizar cálculos complejos con tus datos.
• Analizar tendencias y patrones. Emplear herramientas de análisis de datos para identificar tendencias y patrones en tus datos.

Nube

• Almacenamiento que siempre estará accesible si se cuenta con Internet y los permisos adecuados.
• Por el contrario, existe la problemática de almacenar información confidencial fuera de la entidad, por lo que será recomendable utilizar herramientas de cifrado para protegerla.

Materias

• Secretarías generales técnicas ministeriales
• Secretarios de Estado
• Subdelegaciones del Gobierno en las Comunidades Autónomas
• Subsecretarías ministeriales
• Subvenciones
• Transporte de viajeros
• Transportes marítimos

• Órganos colegiados
• Patrimonio de las Administraciones Públicas
• Patrimonio Nacional
• Presupuestos Generales del Estado
• Procedimiento administrativo
• Procedimiento concursal
• Procedimiento sancionador
• Publicidad institucional
• Responsabilidad Civil de la Administración

• Funcionarios públicos
• Fundaciones estatales
• Garantías
• Gobierno
• Iniciativa legislativa
• Instituto de Crédito Oficial
• Melilla
• Ministros
• Nombramientos
• Normas jurídicas
• Organismos autónomos
• Organización de la Administración del Estado

• Consejo de Ministros
• Consejos consultivos
• Contratación administrativa
• Delegación de atribuciones
• Delegaciones del Gobierno en las Comunidades Autónomas
• Empleados públicos
• Empresas públicas
• Encomienda de gestión
• Entidades aseguradoras
• Entidades Públicas Empresariales
• Firma electrónica

• Administración del Estado en el Exterior
• Administración electrónica
• Administración General del Estado
• Administración Local
• Administraciones Públicas
• Agencias estatales
• Altos cargos
• Baleares
• Boletín Oficial del Estado
• Canarias
• Ceuta
• Comunidades Autónomas

<< Publicación BOE >>

• Rango: Ley
• Fecha de disposición: 01/10/2015
• Fecha de publicación: 02/10/2015
• Fecha de entrada en vigor: 02/10/2016

Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público

4. Ejecución de programas. Permite que el oredenador lleve a cabo las instrucciones de diferentes programas que se ejecutan en la memoria. 5. Seguridad. Dentro de las funciones del sistema operativo, ésta se asegura de que una persona no autorizada no modifique ningún dato del sistema. 6. Almacenamiento. El sistema operativo es el que verifica y controla el espacio en disco. Se ocupa de los archivos almacenados en el sistema y de todas las carpetas del sistema informático. 7. Administrar el hardware. El sistema operativo es el que controla dispositivos de hardware (impresora, ratón, etc.) mediante software. Dentro del equipo se les conoce como drivers o controladores de dispositivo.

Principales funciones

Sistema operativo Windows

Las funciones del sistema operativo están dirigidas a poder controlar y manejar el dispositivo donde está instalado. Algunas funciones generales son: 1. Arranque. Arrancar significa iniciar el sistema del dispositivo. Esta acción inicial se encarga de activar las funciones del sistema operativo. 2. Interfaz de usuario. La interfaz de usuario es el espacio virtual donde un usuario ingresa o escribe las instrucciones de la acción que desea llevar a cabo. 3. Administrar la memoria. El sistema operativo es la herramienta encargada de administrar diferentes programas.

Por norma general, trabajadores y la ciudadanía en general, respetamos la autoridad de nuestros superiores, bien sea dentro de la organización o en la vida cotidiana. Este tipo de ataques se basa en ese respeto que tenemos a nuestros responsables y a autoridades como las Fuerzas y Cuerpos de Seguridad del Estado.

Spyware

• El spyware recopila información sobre la navegación del usuario, contraseñas y demás datos personales y bancarios.
• Un tipo son los keyloggers que registran cada tecla que se pulsa y envía la secuencia de nuestras pulsaciones al ciberdelincuente.

Software actualizado

dispositivos actualizados

Para que todos los dispositivos estén siempre actualizados es recomendable habilitar las actualizaciones automáticas, tanto en el sistema operativo como en las distintas herramientas que tengan instaladas y que dispongan de esta opción. Un dispositivo desactualizado es un riesgo para la seguridad de la entidad, ya que un ciberdelincuente puede aprovecharse de vulnerabilidades no parcheadas para acceder a la información que guarda la entidad.

El certificado de sello electrónico utilizado en la Sede Electrónica de la Junta de Extremadura se creó por la Resolución de 10 de noviembre de 2023, del Consejero, por la que se crea el "Sello Electrónico Tramita Juntaex" y se declaran las actuaciones administrativas automatizadas que se realizarán en la futura sede electrónica asociada de la Junta de Extremadura

Certificados electrónicos de sello electrónico

Para actuaciones y procedimientos administrativos automatizados gestionados por la administración de Extremadura, puede descargarse dicho certificado de sello incrustado en el documento PDF que se habrá podido generar de forma automática desde la Sede electrónica. Para verificar su validez, se puede utilizar el servicio VALIDe que el Ministerio de Presidencia ha habilitado al efecto. Una vez se haya accedido al servicio, se pueden seguir las siguientes instrucciones: 1. Acceder a la opción "Validar Certificado". 2. Seleccionar el certificado descargado previamente. 3. Introduzcir el código de seguridad que se muestra. 4. Pulsar sobre el botón "Validar".

Para la identificación y la autenticación del ejercicio de la competencia en la actuación administrativa automatizada, las Administraciones Públicas pueden utilizar sellos electrónicos basados en certificados que reúnen los requisitos exigidos por la legislación de firma electrónica. Un certificado de sello electrónico vincula unos Datos de Verificación de Firma a los datos identificativos y de autenticación de determinada Administración, organismo o entidad y la persona física representante de la Administración, organismo o entidad Titular del certificado y, en su caso, el personal en quien se delegue a efectos de la actuación administrativa automatizada.

Acceso online y offline

• Algunos gestores dependen de un servidor en la nube para almacenar y sincronizar nuestras claves, aunque es una opción que no está exenta de riesgos, como fugas de información, vulnerabilidades en la nube o brechas de seguridad.

• No obstante, la mayoría dispone de un servicio de cifrado para proteger aún más nuestras credenciales. Por otro lado, los servicios que almacenan las contraseñas offline o en local, en principio son más seguros, aunque menos prácticos, ya que es necesario tener acceso al fichero concreto almacenado en el dispositivo para la consulta de las contraseñas, mientras que los servicios online permiten obtener las contraseñas desde cualquier sitio.

Acceder a Virustotal

• Si se utiliza un cliente de correo como Outlook, al situar el ratón encima del enlace se mostrará el destino real del vínculo.
• Si se utiliza un cliente de correo web como Gmail, al situar el ratón encima del enlace se mostrará en la esquina inferior izquierda, en la mayoría de los casos, el destino real.

• En caso de utilizar un dispositivo móvil, se debe copiar el enlace y pegarlo en un bloc de notas, aplicación de mensajería o similar para comprobar cuál es el verdadero enlace.

• Si tras estas comprobaciones no se tiene la seguridad de si el destino es legítimo o no, es recomendable utilizar un analizador de sitios web como VirusTotal.

Comprobración de enlaces

Antes de acceder a ellos

Gestión tecnológica

La gestión tecnológica de la sede electrónica y la gestión de los contenidos comunes de la misma corresponderá a la Dirección General que ostente las competencias en materia de diseño, gestión, supervisión y ejecución de las políticas digitales corporativas que se establezcan para implantar la administración digital.

Materias

• Publicidad institucional
• Recurso Contencioso Administrativo
• Registros administrativos
• Registros telemáticos
• Responsabilidad Civil
• Responsabilidad Civil de la Administración
• Seguridad Social

• Iniciativa legislativa
• Juzgados de lo Social
• Normas jurídicas
• Notificaciones citaciones y emplazamientos
• Patrimonio de las Administraciones Públicas
• Procedimiento administrativo
• Procedimiento sancionador

• Boletín Oficial del Estado
• Certificados
• Comunidades Autónomas
• Conciliación
• Derechos de los ciudadanos
• Despidos
• Documentos públicos
• Enjuiciamiento Civil
• Firma electrónica

• Acceso a la información
• Actos procesales
• Administración electrónica
• Administración General del Estado
• Administración Local
• Administraciones Públicas
• Apremios
• Archivos

<< Publicación BOE >>

• Rango: Ley
• Fecha de disposición: 01/10/2015
• Fecha de publicación: 02/10/2015
• Fecha de entrada en vigor: 02/10/2016

Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas

Flujos de trabajo y automatización

• Automatiza tareas repetitivas. Puedes crear flujos de trabajo automatizados para tareas repetitivas como la aprobación de documentos, la gestión de solicitudes o la publicación de contenido.
• Personaliza formularios y procesos. Puedes crear formularios y procesos personalizados para tu organización, lo que te permite mejorar la eficiencia y la productividad.
• Integración con Power Automate. Se integra con Power Automate para crear flujos de trabajo más complejos e interconectados.

Para verificar la validez del certificado de la administración de la Junta de Extremadura, se puede utilizar el servicio VALIDe que el Ministerio de Presidencia ha habilitado al efecto. Una vez se haya accedido al servicio, pueden seguirse las siguientes instrucciones: 1. Acceder a la opción "Validar Sede Electrónica". 2. Introducir la dirección de nuestra Sede. 3. Introduzcir el código de seguridad que se muestra. 4. Pulsar sobre el botón "Validar".

Certificados electrónicos de autentificación de sitio web

Sede electrónica

De acuerdo con el artículo 38.6 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público el acceso a esta Sede electrónica se protocoliza utilizando un certificado de Sede para asegurar que las relaciones con los ciudadanos se realizan a través de un canal seguro y una oficina pública reconocida, no permitiendo la intrusión malintencionada de terceros.

Acceder a Virustotal

• También hay que tener cuidado con ficheros comprimidos como los .zip o .rar, ya que pueden contener archivos maliciosos en su interior.

• Si dudas sobre si un documento adjunto puede estar infectado, lo mejor será analizarlo con un antivirus o con servicios online como VirusTotal que utilizará varios motores antivirus para comprobar la legitimidad del mismo. Recuerda no ejecutar nunca el archivo adjunto, únicamente, descárgalo para su posterior análisis.

• Si tras realizar las comprobaciones indicadas no sabes si el documento adjunto es legítimo o no, nunca hay que abrirlo. Si es posible, hay contactar con el remitente por otro canal, como una llamada de teléfono para que confirme el mensaje y el adjunto.

Archivos adjuntos

Comprobar antes de abrir

Multidispositivo

• En algunos gestores online podremos sincronizar nuestras contraseñas con el servidor del fabricante, ya que éstas se alojarían en la nube debidamente protegidas.
• Para acceder a ellas, solamente debemos descargar una aplicación, normalmente multiplataforma, y acceder a nuestra cuenta con la cuenta maestra.