TUTORIA SOCIEDAD, TECNOLOGÍA INFORMACIÓN 3 DICIEMBRE

1. Aspectos generales de la seguridad

Primer mandamiento de la seguridad: 

  • Este debe ser aplicable a todos los campos donde la seguridad tenga presencia y servir de base tanto para el desarrollo de políticas de seguridad, como ser un pilar fundamental para crear mecanismos y medidas para detectar cualquier amenaza o para mitigar cualquier vulnerabilidad que pueda poner en riesgo la información, en este caso los datos personales y la privacidad.
  • No obstante, la seguridad total no existe, y además es un proceso continuo en el que intervienen muchos elementos. Debe considerarse como un proceso cíclico, continuo y dinámico.
La información entendida por datos, también tiene su propio ciclo de vida. Creamos información que en función del valor que le asignamos, clasificamos y almacenamos para darle el uso que creemos conveniente. La información se crea, se guarda y puede ser compartida con nuestro consentimiento, para ser utilizada por otros (copyleft).

Una vez que se ha utilizado, se archiva a la espera de ser utilizada de nuevo y finalmente cuando ha cumplido su cometido y deja de ser necesaria, se destruye (gráfico 1).

CREAR

ALMACENAR

USAR

COMPARTIR

ARCHIVAR

DESTRUIR

La información consta de diferentes etapas de desarrollo, todas ellas muy sencillas. Sin embargo, es necesario percatarnos que esa misma información creada puede estar amenazada en cada una de sus fases, pudiéndose explotar diferentes vulnerabilidades de no aplicar medidas de seguridad en el ciclo de vida.

A partir del análisis del ciclo de vida de la información, debemos centrarnos en el ciclo de vida de la seguridad de la información, ya que como indicábamos la información creada y en todas sus fases puede ser comprometida dentro de cualquier etapa de las que se describen dentro del siguiente gráfico 2.

Las fases de las que consta son:

  • 1. Identificar los activos, es decir, todos los elementos de información, por ejemplo un libro, la cartilla del banco, el DNI, un correo no deseado, etc...
  • 2. Clasificamos o evaluamos en función de la importancia que tiene para nosotros
  • 3. Tomamos medidas para protegerlos (por ejemplo, el DNI lo guardamos, mientras que un correo no deseado podemos destruirlo o dejarlo a la vista de los demás)
  • 4. Hay que detectar si esas medidas son efectivas y si existen amenazas nuevas (nuevos riesgos) sobre la información que consideramos relevante (por ejemplo, detectamos que nuestro DNI siga en nuestra cartera)…
  • 5. Cuando detectamos que está expuesto a nuevos riesgos, adoptamos nuevas medidas y responder para corregir ese defecto. Pero en caso de que no podamos dar respuesta…
  • 6. Denunciar la perdida en la comisaría para que nos lo hagan nuevamente y obtener uno nuevo.
  • 7. Y finalmente, debemos revisar la integridad de la información
    • No debemos olvidar que el elemento más crítico y significativo de todos los factores participantes, somos nosotros. Como se verá, el factor humano es el eslabón más débil y más fácil de atacar exitosamente.
    • Debemos diferenciar en qué ámbito queremos hacer la definición de seguridad. los términos seguridad de la información, seguridad informática y ciberseguridad, se suelen confundir o incluso interpretarse como sinónimos. 


Definición de los términos 

  • Seguridad de la información
    • Se puede definir, como el conjunto de medidas y acciones tanto activas como pasivas que persiguen proteger los activos de información buscando mantener la confidencialidad, la disponibilidad e integridad de los mismos, tratando de reducir los riesgos a un nivel aceptable e intentando mitigar cualquier amenaza latente.
    • Un activo de la información: los datos que tienen un valor tanto para nosotros como para una organización.
    • La seguridad de la información, por tanto, está orientada a una protección de los activos de información independientemente de cual sea su forma o estado y que haciendo uso de la tecnología…
    • Sería el concepto más amplio y abarcaría tanto a la seguridad informática como a la ciberseguridad.
  • Seguridad Informática
    • Puede definir como el conjunto de procesos, herramientas, técnicas y mecanismos, que tienen como objetivo la protección de los sistemas informáticos que procesan y almacenan cualquier tipo de información digital, así como su infraestructura y las redes que los componen, además de toda la información digital almacenada por estos, sin importar si están interconectados o no.
  • Ciberseguridad
    • La ciberseguridad puede definirse como: “Protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”. (Asociación de profesionales de seguridad ISACA (2014)
    • De esta definición se deduce que la ciberseguridad, está orientada a la protección de activos de información en formato digital y que circulan, y se intercambian.
    • La seguridad de la información adopta medidas defensivas
    • La ciberseguridad aplica medidas que pueden ser además ofensivas.


2. Las dimensiones de la seguridad de la información

Sintetizando todo lo anterior, la seguridad de la información tiene por objetivo mantener su confidencialidad, disponibilidad e integridad de la información (gráfico 3).

Para analizar y conocer en profundidad estas dimensiones es necesario describir cada uno de los conceptos que engloba, y con este [ejemplo] nos ayudará:

  • Si alguien dispone de una tarjeta de crédito y se aproxima a un cajero automático, o utiliza Internet para realizar una consulta del saldo de su cuenta,… deseará que nadie excepto la entidad financiera, conozca ni su contraseña de acceso, ni el importe de su saldo.
    • Tampoco querrá que la información que la entidad le ofrezca no se corresponda con la realidad de su saldo, ni que la información sobre su cuenta haya sido manipulada.
    • Por último, deseará que siempre que desee hacer una consulta de saldo, haya un cajero que funcione correctamente o que la página web de acceso a la entidad esté operativa.

2.1 Confidencialidad

  • El ejemplo anterior, cubre las [tres dimensiones] principales de la seguridad.
  • La confidencialidad asegura de que la información solo sea accesible para aquellos a quienes se autoriza a tener acceso. En este caso, autorizamos a la entidad financiera a que conozca nuestro saldo y nuestra clave de acceso.
    • Cualquier persona no autorizada sin nuestro consentimiento, estaría violando la dimensión de la confidencialidad.
  • La confidencialidad trata de prevenir la revelación no autorizada de información, intencionalmente o no, del contenido de un mensaje o de información en general.
    • No obstante, la confidencialidad es una necesidad obligatoria ya que existen regulaciones y leyes que imponen que determinada información debe ser regulada y clasificada adquiriendo la calificación de confidencial.
  • [Dos ejemplos] regulatorios de la legislación española y de mucha importancia para el tratamiento de la información:
    • Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal (LOPD) contemplando la obligatoriedad de proteger la confidencialidad de ciertos datos.
    • El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, determina la política de seguridad que se ha de aplicar en las administraciones públicas en cuanto a la utilización de los medios electrónicos.
  • La confidencialidad de la información puede tener dos orígenes: obligatorio (regulado por leyes y reglamentos) y voluntario (por ejemplo, un acuerdo de confidencialidad entre empresas).
  • En los últimos tiempos ha habido ataques muy significativos contra la confidencialidad de sistemas de información (facilidad para la vulneración de un sistema y el daño que puede ocasionar)
    • El que afectó a la compañía de comercio electrónico eBay donde en Mayo de 2014 obligó a cambiar sus contraseñas a 145 millones de personas (se habían vulnerado sus sistemas y se habían robado datos de usuarios).
    • La compañía Sony en 2011 se enfrentó al que hasta ese momento había sido el robo de información más grande de su historia, y los datos de 77 millones de cuentas de usuarios de los servicios PlayStation en todo el mundo se vieron vulnerados, especialmente los correspondientes a las tarjetas de crédito con las que los usuarios realizaban los pagos, y la compañía tuvo que realizar compensaciones a los usuarios y afrontar sanciones en varios países.
  • Pero también existen ejemplos muy significativos como los que se detallan:
  • Ashley Madison
    • En Julio de 2015 un grupo hacker logró acceder a las bases de datos del portal de contactos “Ashley Madison” y publicó información sobre sus 37 millones de usuarios. Es una web de contactos donde se han inscrito personas casadas sin conocimiento de sus parejas, el daño que la vulneración de la confidencialidad que supuso fue tremendo. Se filtró la identidad de personas relevantes y otros usuarios fueron víctimas de chantaje para que no se revelase su identidad. La compañía que estaba a punto de salir a bolsa tuvo que renunciar, tuvo que enfrentar a demandas colectivas exigiendo indemnizaciones millonarias la empresa propietaria del portal tuvo que pagar una multa de 1,66 millones de dólares a la “Comisión Federal de Comercio” de EEUU tras una investigación por sus fallos en la seguridad de los datos y violación de la privacidad de sus usuarios.
  • Los papeles de Panamá
    • Otro caso donde la confidencialidad fue quebrantada, y trajo como consecuencia un número incalculable de escándalos en todo el mundo, el conocido como caso de “los papeles de Panamá”. En abril de 2016 a través de 109 medios de comunicación de 76 países se presentó simultáneamente por medio del Consorcio Internacional de Periodistas de Investigación (ICIJ) una de las mayores filtraciones de documentos de la historia. documentos del despacho panameño “Mossack Fonseca”, uno de los mayores proveedores mundiales de paraísos fiscales y se filtraron más de 11,5 millones de archivos que desvelaron cómo miles de personas ocultaban su patrimonio o blanqueaban capitales en sociedades situadas en paraísos fiscales (falla en la confidencialidad, ha involucrado a personalidades de relevancia mundial del entorno político, cultural hasta el deportivo).
  • Celebgate e Instagram
    • A finales de Agosto de 2014 saltó la noticia del hackeo de las cuentas Apple iCloud de varias mujeres famosas (actrices, cantantes o modelos).
    • El nexo común de todas las afectadas es que utilizaban el teléfono iPhone de Apple. El ataque a la confidencialidad fue total. 
    • Apple introdujo iCloud (un servicio de cloud computing de Apple) que sirve para hacer backups (copias de respaldo) del contenido de los teléfonos iPhone y de las tabletas iPad, lo que hacía que fotos, vídeos, datos de aplicaciones, etc., fueran replicados en los servidores Apple.
    • Este servicio no utilizaba cifrado (vulnerabilidad para la privacidad personal). Si alguien era capaz de conseguir la clave del usuario, tenía acceso a absolutamente a todo. Después bastaría con localizar sus cuentas de Twitter o email y enviarles algún enlace malicioso para robarle tranquilamente las contraseñas (phishing). Simular ser Apple y enviar un correo engañoso, es algo relativamente sencillo ya que esta compañía permite recibir una alerta cuando alguien no autorizado ha intentado acceder a la cuenta y envía un enlace donde poder cambiar las credenciales de acceso. 
    • A raíz de este escándalo, Apple implementó el segundo factor de verificación. La pega es la falta de cultura de la seguridad, ya que hay que activarlo de manera voluntaria y existen millones de usuarios que o bien lo ignoran o bien no les importa. Pero no siempre es causa del usuario que la seguridad sea vulnerada.
    • En Agosto de 2017 la famosa red social para compartir fotos y videos, Instagram, sufrió un hackeo masivo de cuentas verificadas. [Una cuenta verificada garantiza que quien publica contenido es quien dice ser]. 
    • En este caso los asaltantes tuvieron acceso a todos los datos de aproximadamente unos mil famosos y unos seis millones de usuarios. 
    • En este caso el fallo que permitió el compromiso de la confidencialidad mediante el acceso a las cuentas privadas, tuvo como causa un fallo en la API de Instagram. API (Interfaz de programación de aplicaciones) es el software que permite conectar una aplicación con otros servicios y aplicaciones. Un ejemplo típico de su uso, es cuando uno puede autenticarse en un servicio concreto a través de cuentas de terceros como Facebook o Google. Este software tenía una vulnerabilidad descubierta por los hackers y que les permitían conectarse a la aplicación, acceder a los datos de los usuarios y finalmente robarlos.
    • Con ellos se puede comerciar, suplantar la identidad, extorsionar, intentar estafar, etc.
    • En este caso la empresa debería haber realizado un análisis más exhaustivo y aplicar mejores prácticas en cuanto a la seguridad.
  • Equifax Inc.
    • En la actualidad los ataques pueden afectar a cualquier usuario.
    • El Big Data que es el conjunto de datos o datos masivos que gracias a la tecnología actal se pueden encontrar patrones de procesamiento.
    • Una de las características de Big Data es que se basa en la mezcla de diferentes conjuntos de datos que provienen de diferentes fuentes con el fin de generar valor.
    • Las técnicas cuantitativas del Big Data permiten analizar estas masas amorfas de datos y establecer las características de los patrones que de ellas surgen (MANSILLA, 2017).
    • Las técnicas de Big Data y tratamiento de la información hacen que el número de datos se ha convertido en un activo muy valioso.
    • La premisa que rige estos ataques: “A mayor número de datos, mejor”.
    • En Septiembre de 2017, Equifax, una de las mayores empresas de monitorización de crédito de EEUU, reconoció un robo de datos (y por tanto una vulneración a la confidencialidad) estimados en una cifra record, se calcula en más de 143 millones de personas.
    • Hay que tener en cuenta que en ese país no existe un DNI, por lo que una serie de datos (número de la seguridad social, carnet de conducir, además de todos los datos de filiación, nacimiento, etc.) se solicitan como prueba de identificación.
    • En el informe de European Voice “Data: The New Currency?” (2014) ya alertan que las posibilidades que el Big Data brinda, [nos obliga a replantearnos los principios clave de privacidad y confidencialidad]. 
    • Esa vigilancia continuada de nuestro existir en Internet, que es nuestro existir en el mundo de hoy día, pone en jaque nuestra intimidad y privacidad (TAYLOR, 2014). 
    • El que se revele información, que debería permanecer secreta, puede parecer algo innocuo a quien afirme no tener nada que ocultar. Pero siempre tenemos algo que ocultar, es más debemos tener algo que ocultar (nuestra identidad digital, protegida ante vulneración y suplantación)
Integridad
  • La integridad se encarga de asegurar que a los datos de un sistema de información no se le realizan modificaciones ya sea por personas o procesos no autorizadas.
  • Los datos han de ser consistentes entre sí. [Es decir, la información externa solicitada (en el ejemplo, el saldo) ha de corresponderse con la información interna que posee la entidad y no otra]. En conclusión la integridad garantiza que la información es exacta, que está completa, y que no ha sufrido ningún tipo de alteración o manipulación.
  • ¿Qué ocurriría si alguien alterase el diagnostico de un informe médico? ¿Y la composición de una formula industrial antes del proceso de fabricación?
  • Espionaje ha alterado información para hacer creer al otro bando algo que no se correspondía con la realidad. A continuación unos ejemplos:
  • Societe Generale
    • Uno de los mayores desfalcos financieros de la historia ocurrió durante mediados de 2007 y principios de 2008 en el seno de “Societé Generale”, segundo banco francés por volumen de activos y negocio.
    • La falta de controles para asegurar la integridad de la información por parte de la entidad, tuvieron como consecuencia un fraude de 4.900 millones de euros cometido por un sólo hombre (el agente de bolsa Jérôme Kerviel).
    • Utilizaba los activos de la entidad para invertir de manera arriesgada.
    • Alteró información para poder disponer de más capital superando su límite asignado para invertir por un valor de 50.000 millones de euros.
    • Llegó a crear una empresa “imaginaria” para ocultar el desfalco.
    • Cuando la entidad descubre el engaño, las perdidas debidas a la falta de control llegaron a ser de casi 5000 millones de euros.
  • Ciberguerra
    • CLARK (2012) define la ciberguerra como el [“conjunto de acciones llevadas a cabo por un Estado para penetrar en los ordenadores o en las redes de otro país, con la finalidad de causar perjuicio o alteración”].
    • Si un objetivo definido, tiene un sistema de información digital y si por cualquier medio se puede acceder a él, entonces puede ser destruido.
    • El costo de esa operación será mínimo y el riesgo para el personal que lo lleve a cabo inexistente.
    • Stuxnet es el paradigma de la ciberguerra y un ejemplo que ilustra la vulneración de la integridad de la información POROSHYN, (2014).
    • Bajo esa denominación se encuentra un malware que explotaba vulnerabilidades en los sistemas operativos Windows, se trata concretamente de [un gusano informático que infectó la central nuclear Natanz, en Irán. Creado con la única finalidad de alterar, y sobre todo, retrasar el programa nuclear iraní.] Por medio de un USB infectado y una persona que manualmente abrió ese archivo de configuración para que se conectase a algún terminal de la central, el software empezó a propagarse por los equipos de la instalación.
    • En el caso concreto de Stuxnet, se centró en las centrifugadoras que servían para enriquecer uranio. Puso de manifiesto los fallos de seguridad en el control de acceso a sistemas de información demostrando que hay multitud de puntos de acceso a estos sistemas que son vulnerables y la dificultad para controlarlos todos, y también que no era necesario el uso de armas convencionales para destruir un objetivo.
    • Este malware, es considerado como una “obra maestra” de cómo alterar la integridad de un sistema de información para causar un daño al enemigo (primer “ciber arma”)
    • ¿Somos conscientes de todos los peligros y las consecuencias que acarrearía si se lograse alterar la integridad de la información que a priori no consideramos tan crítica?

Disponibilidad

  • Una falta de disponibilidad se produciría si ningún cajero automático funcionase o que el portal web de la entidad financiera no estuviese operativa (ejemplo del cajero automático).
  • De producirse esta falla, no habría manera de saber el saldo, de conocer si se ha recibido un pago o de poder realizar una transferencia.
  • La disponibilidad se encarga de asegurar que se puede acceder de manera correcta a los datos o a los recursos de cualquier sistema de información, por las personas que han sido autorizadas a ello en el momento en que lo precisen, es decir, garantiza el correcto funcionamiento de un sistema de información cuando se le necesita.
  • ¿Qué ocurriría si el portal de Amazon no se encontrará disponible? (pérdidas multimillonarias).
  • Un ejemplo típico de ataque a la disponibilidad de la información son los ataques de denegación de servicio. Existen dos tipos diferenciados:
    • Los DoS (Denegación de servicio) o
    • los DDoS (Denegación distribuida de servicio).
  • El primero [DoS] consiste en generar una cantidad masiva de peticiones al servidor, desde un nodo provocando así una sobrecarga del mismo, y en consecuencia, se impide el acceso a usuarios a los servicios que ofrezca dicho servidor. Este tipo de ataques al provenir de un único punto, se resuelven bloqueando la dirección IP.
  • Un ataque DDoS es más complejo de resolver, la diferencia principal estriba en que son varios los nodos (a veces cientos de miles), que realizan peticiones masivas y constantes al servidor, y cada uno de ellos tiene una dirección IP diferente y su ubicación está distribuida por todo el mundo.
  • Todos los dispositivos empleados para ataques DDoS son dispositivos conectados a Internet infectados con un virus informático que permite formar una red de dispositivos controlados desde un punto central y que de manera coordinada realizan peticiones masivas a los servidores objetivos con el único fin de desestabilizarlos y alterar el servicio que prestan negando el acceso al resto de usuarios. Estas redes se conocen como botnets (ELISAN, 2012)
  • Y cuando afectaban solamente a ordenadores personales cuyos propietarios desconocen estar infectados, a éstos se les conoce como ordenadores zoombie.
  • Ejemplos reales de la falta de disponibilidad y de sus consecuencias:
  • Mirai
    • En Octubre de 2016 se llevó a cabo uno de los ataques de denegación de servicio distribuido más grandes de la historia.
    • El objetivo fue atacar los servidores de la empresa Dyn, una importante empresa que ofrece servicios de DNS en los EEUU.
    • Los servidores DNS (Domain Name System) funcionan organizando e identificando los dominios de las diferentes páginas web y de las distintas aplicaciones que se pueden encontrar en Internet.
    • Un sistema DNS traduce una dirección web como “www.uned.es” en la dirección IP “62.204.192.21” y si el servidor DNS se cae, es imposible acceder a la dirección deseada.
    • Se llegaron a utilizar cientos de miles de dispositivos infectados con el troyano Mirai.
    • Casi todos los dispositivos infectados, eran cámaras IP, televisiones inteligentes y dispositivos de grabación de vídeo ubicados en casi todos los países del mundo. Era la primera vez que una botnet tan numerosa, estaba compuesta por elementos integrantes del llamado Internet de las cosas.
Ramsonware

  • Un tipo de malware que impide o limita el acceso de un usuario a su sistema, ya sea bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios a menos que se pague un rescate.
  • Los ransomware más modernos conocidos como cripto-ransomware, atentan contra la disponibilidad de la información, cifrándola, volviéndola ilegible y obligando al usuario a pagar un rescate normalmente mediante criptomonedas como bitcoin a través de Internet para obtener una clave de descifrado y recuperar el acceso a sus archivos.
  • Desde Rusia, en julio de 2016 se descubrió que un antiguo troyano bancario, consistente en mostrar a sus víctimas pantallas falsas de entidades bancarias, con el fin de robar los números de cuenta o de tarjeta y las contraseñas utilizadas para operar con las entidades financieras como las que estas envían por SMS para autenticar las transacciones, llamado FakeToken (ROJAS, 2016) empezaba a cifrar los archivos del teléfono de la víctima para pedirle un rescate.
  • De las 62 nuevas familias de ransomware aparecidas durante 2016, 47 tenían origen ruso. // WannaCry // EternalBlue


Trazabilidad

  • La trazabilidad, permite determinar todas y cada una de las acciones que realiza tanto un usuario como un procedimiento en un sistema pudiendo ser rastreadas hasta su origen.
  • Un ejemplo de aplicación lo tenemos en las compañías de transportes o de paquetería que permiten comprobar el estado de un envío desde la primera etapa hasta que se recibe.


Autenticidad

  • Se encarga de asegurar que el emisor de un mensaje, consulta o acción es quien dice ser y no un tercero que esté intentando suplantarle. 
  • Las entidades participantes en un evento son quienes dicen ser.
  • Certificados digitales avalados por una entidad certificadora como pueda ser la Fábrica Nacional de Moneda y Timbre en España.
  • Poder autenticarse (UNED, Seguridad Social > vida laboral)


No Repudio

  • Se encarga de mostrar la evidencia infalsificable de una acción. 
  • Se garantiza la participación inalterable de las partes en una comunicación.
  • Dependiendo de si afecta al emisor o al receptor, podemos distinguir dos tipos de no repudio:
    • El primero hace mención al no repudio en origen que garantiza que la persona que envía el mensaje no puede negar que lo ha emitido,
    • El no repudio en destino tiene por objetivo que el receptor no pueda negar que haya recibido el mensaje.
    • Esto se garantiza por medio de la firma digital a través de certificados electrónicos.
    • En el comercio electrónico es fundamental, para garantizar la veracidad de las transacciones.
    • El sistema de mensajería Whatsapp: el doble check que al ser leído toma el color azul.


3. El eslabón más débil

Un equipo informático a pesar de estar apagado, desconectado de cualquier red y encerrado en una caja fuerte, aun podría ser vulnerable.

  • Ese equipo y la información que contiene dependen especialmente de un ser humano. El ser humano es el eslabón más débil en cuanto a seguridad de la información se refiere.
  • [Toda persona que tenga carencias en cuanto a cultura de la seguridad], potencialmente se convierte en el vector de ataque más simple y con más garantías para ser ejecutado con éxito.
  • La mayoría de los ataques que se perpetran para obtener información se focalizan en las personas.
  • Un atacante que tuviera el conocimiento suficiente y dispusiese de los recursos necesarios, dependería del factor tiempo para alcanzar su objetivo y tener éxito en su ataque.
  • Un usuario sin una conciencia sobre la seguridad de la información, es de hecho un objetivo muy sencillo de atacar.
  • Las personas suelen aplicar contraseñas muy sencillas de adivinar por parte de un ciberdelincuente. La contraseña más utilizada de entre los diez millones que analizaron, fue la archiconocida combinación “123456” que era utilizada por el 17%. El uno por ciento de las contraseñas utilizadas por los usuarios en todo el mundo, se puede deducir en menos de diez intentos.
  • A través del uso de técnicas de ‘ingeniería social’ se puede lograr acceder a cualquier información sin necesidad de utilizar métodos informáticos.
  • La ingeniería social, no es otra cosa que “el arte del engaño”, la persuasión y la manipulación psicológica de las personas para que compartan información confidencial o realicen actos, sin tener plena consciencia de ellos, y que acaben comprometiendo la confidencialidad e integridad de sus datos, su intimidad o los sistemas a los que tienen acceso. [En resumen, se trata de “hackear” a seres humanos en lugar de computadoras. Es aprovechar la vulnerabilidad más crítica del eslabón más débil de todos los elementos que componen la seguridad de la información. Es decir, nosotros.]
  • “No tiene sentido invertir recursos en tratar de romper la seguridad de los sistemas. Es más rentable realizar ataques de ingeniería social para ganar el acceso”. (Kevin David Mitnick, uno de los hackers más famosos de la historia, en su obra “El arte de la intrusión”).
  • Uno de los métodos de ingeniería social más utilizados con el fin de obtener información confidencial es el phishing. No deja de ser un fraude y un engaño, que se aprovecha de la ingenuidad de la víctima para robarle sus datos.
    • Por ejemplo, acceder a una página falsa que simula ser su banco y robarle las credenciales de acceso.
    • Se comprobó el alto grado de ingenuidad que mostraron los entrevistados, dando todo tipo de información privada a cambio de obtener su chocolatina.
    • Más de la mitad de los encuestados afirmaron utilizar la misma contraseña para absolutamente todo. Del total, el 43 por ciento, afirmaron que nunca la habían cambiado.


4. Yo no tengo nada que ocultar
  • Y enlazado con el eslabón más débil, la persona, se encuentra el pensamiento de ésta que se centra en “yo no tengo nada que ocultar.
    • Ese pensamiento tan positivo de nosotros mismos y de lo que nos puede deparar el futuro es propio de la naturaleza humana, pero también atañe muchos peligros en cuento a la protección que debemos dar a los datos, la información y la propia identidad.
    • El reguero de datos e información que cedemos a terceros unido a nuestro rastro digital muestra muchísima más información.
    • Uno de los ejercicios que se llevaron a cabo como materia de estudio en un Master de Seguridad, consistió en obtener la mayor información posible sobre una persona completamente desconocida… en un punto de envió de paquetes perteneciente a una conocida empresa de mensajería. Simulando ir a solicitar información… el estudiante de máster se puso en el mostrador de atención al cliente mientras una mujer procedía a depositar un envió. La persona que recepcionaba, le solicitó a la mujer un número de teléfono para comunicarle cualquier incidencia en el envío, y la mujer le facilitó ese dato en voz alta. El investigador se limitó a memorizarlo y abandonar la cola. Ya tenía el primer elemento para empezar su búsqueda…
    • Al acabar el día y solamente utilizando ese número de teléfono, se pudo confeccionar un perfil de la mujer con todos los datos necesarios para poder recrear su vida. Nombre, dirección, DNI, fecha de nacimiento, matrícula y modelo de su vehículo, teléfono fijo, lugar donde trabajaba en el momento del experimento, trabajos anteriores, relaciones sentimentales pasadas y actuales, aficiones, historial de viajes, infracciones de tráfico amigos, aficiones y un conjunto de imágenes que abarcaban los últimos tres años.
    • Este fenómeno referido y las técnicas utilizadas tienen el nombre de “Doxing” (DOUGLAS, 2016). Es quizá uno de los riesgos que más desconocen los usuarios de internet, y eso lo convierte en uno de los más peligrosos, ya que todos estamos expuestos. // prudencia.
    • Tener consciencia de que estamos publicando y cómo lo estamos divulgando.
      • Debe quedar claro que nuestros datos nos pertenecen y deben ser protegidos por medio del marco jurídico y regulatorio correspondiente por las entidades a las que los cedemos para su tratamiento.

5. Privacidad y legislación

A continuación se repasará el [marco legal] que ampara algo tan importante como nuestros datos personales y que muchas veces nos tomamos a la ligera y ni siquiera sabemos que están protegidos.

  • Es importante conocer que la protección de nuestros datos personales, es un derecho que deriva directamente de la Constitución Española.
  • Por un lado, se reconoce el derecho de la dignidad de la persona (art. 10), y se dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad (art. 18.4).
  • Del desarrollo de éste último artículo, se aprobó la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD).
    • Su objetivo principal es regular el tratamiento de los datos y ficheros, de carácter personal, independientemente del soporte en el cual sean tratados.
  • Como país miembro de la Unión Europea, la Directiva 95/46/CE (Directiva sobre protección de datos) era de obligado cumplimiento y la LOPD la garantizaba al ordenamiento jurídico español.
  • Desde el 25 de Mayo de 2016, entró en vigor el nuevo Reglamento General de Protección de Datos y es de obligado cumplimiento a partir del 25 de Mayo de 2018.
    • A diferencia de las Directivas, los Reglamentos europeos son directamente aplicables en los Estados miembros, (sin necesidad de ningún trámite previo) de adaptación de la normativa propia del país.
    • En el Tratado Europeo por el que se establece una Constitución para Europa, en ésta se recoge en dos ocasiones el derecho fundamental a la protección de datos: "toda persona tiene derecho a la protección de los datos de carácter personal que le conciernan“ (Parte I, Título VI, artículo I-51). “Estos datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada y en un segundo lugar,…”, "toda persona tiene derecho a acceder a los datos recogidos que la conciernan y a obtener su rectificación” (Parte II, Título II, art. II-68).
    • Una autoridad independiente se encargará de la garantía del derecho fundamental a la protección de datos personal (la Agencia Española de Protección de Datos en España).


Trazabilidad

El 6 de octubre de 2015; el Tribunal de Justicia de la Unión Europea invalidó la decisión Safe Harbour (Puerto Seguro) (WEISS Y ARCHICK, 2016) de la Comisión, aprobada cinco años antes, que facilitaba la transferencia de datos personales desde países miembros de la Unión Europea hacia EEUU.

  • Estados Unidos antepone las exigencias para la seguridad nacional al derecho de privacidad del usuario.
  • Google, Facebook, Dropbox, Amazon, etc. tienen sus servidores principales en Estados Unidos, y si quisieran comercializar con Europa y no cumpliesen con la normativa de protección de datos, se expondrían a elevadas multas.
  • Por ello que muchas de estas empresas han derivado su servicio en Europa a través de servidores alojados en la propia Unión (Irlanda y Luxemburgo, principalmente).


Apple Vs. FBI

  • Siguiendo en EEUU, no es la primera vez que existe un choque entre la privacidad y la seguridad.
  • Un teléfono iPhone utilizado por uno de los autores del tiroteo en Diciembre de 2015 (ABC7, 2015) en la ciudad californiana de San Bernardino estaba en manos del FBI. Murieron 14 personas y 22 resultaron heridas.
    • El FBI quería acceder al contenido del teléfono y por orden judicial, Apple facilito el acceso a la nube iCloud.
    • El FBI quería que Apple le ayudase a desbloquear el dispositivo; que diseñase un software que permitiera eliminar el sistema de seguridad instalado en el teléfono. Apple se negó alegando que eso violaría la privacidad de todos sus dispositivos y que esa herramienta podría ser utilizada para violaciones de privacidad (CHAMY, 2016).
    • El hecho causo cierto revuelo en la sociedad civil americana que ve amenazada su privacidad, ya que con el software utilizado para acceder a los datos, y sin consentimiento del interesado, el gobierno puede acceder a sus datos en nombre de la Seguridad Nacional.


Facebook y Whatsapp

  • Facebook, la red social más grande de las existentes y Whatsapp una de las aplicaciones de mensajería más utilizadas en el mundo, comparten dueño (desde 2014)./ En 2º. lugar que comparten y cruzan datos./ En 3r. lugar sus lagunas en cuanto a privacidad, por el uso que hacen de los datos que disponen. 
  • La gente desconoce las regulaciones en cuanto a privacidad que se aceptan. Si bien la propiedad de las imágenes que se suben para su publicación nos pertenece, el derecho de uso que le cedemos a Facebook es total (relegados a meros autores “morales” de las imágenes).
  • A finales de 2016, Facebook compro la empresa de reconocimiento facial Faciometrics (CONSTINE, 2016). Un sistema de detección facial tan eficaz que es capaz de reconocer y etiquetar a las personas con un acierto del 97%.
  • Desde el momento en que se firma el acuerdo de utilización del servicio, autorizamos a que nuestras fotos (y el resto de la información que compartimos por esa vía) sean tratadas y almacenadas.
  • ¿Con que fin utilizan el reconocimiento facial?
    • Chema Alonso (actual Jefe de Datos de Telefónica), en su blog describe de manera analítica como las dos aplicaciones están interrelacionadas. El título no deja pie a la duda: “Como Facebook “espía” tus conversaciones con Whatsapp” (ALONSO, 2016).
    • Desde Agosto de 2017, oficialmente Facebook y Whatsapp cruzan los datos que tengan sobre ti (ADSLZONE, 2017).
    • Ese tipo de comportamientos, donde se trata al usuario como una mercancía, sin informarle de lo que se hace con sus datos, acaba acarreando consecuencias. Facebook ha sido multada por la Comisión Europea con 110 millones de Euros por facilitar información falsa en su compra de Whatsapp (SUANZES 2017).
    • La Agencia Española de Protección de Datos, ha impuesto una multa a Facebook de 1.2 Millones de Euros por usar información sin permiso y cometiendo dos infracciones graves y una muy grave en el tratamiento de los datos (EXPANSIÓN, 2017).


6. Conclusiones

  • El hecho de que terceras personas puedan acceder a toda la información que queramos o no compartir es más preocupante, de ahí surge la importancia de que seamos conscientes de la necesidad de la cultura y educación en torno a la seguridad de la información. 
  • La cultura social, en torno a la seguridad de la información es necesario que la persona, y no solo los gobiernos, tomen consciencia de este campo para poder actuar con libertad y de forma responsable dentro del nuevo escenario tecnológico que nos rodea y de los riesgos existentes que éste presenta.
  • Los problemas de seguridad de la información más comunes, son relativamente fáciles de subsanar como son:
    • Contraseñas seguras y de autorización: se deben crear contraseñas extensas y utilizar sistemas que tengan la capacidad de bloquear las cuentas después de un cierto número de intentos fallidos.
  • La seguridad de la información y la privacidad a seguridad de la información y la privacidad. Los datos personales se encuentren expuestos debe ser un motivo de preocupación, dado que los problemas de recopilación de los datos de la cuenta alcanzan a todo los sistemas, por lo que la ocultación de los mismos debe ser un criterio presente.
  • El cifrado de los datos transmitidos es insuficiente, muchas de las conexiones en la nube siguen siendo vulnerables a los ataques.
    • De ahí la importancia de contar con una encriptación correctamente configurada y para ello es necesario formarse en los últimos avances.
  • La responsabilidad hacia el usuario de un servicio de este tipo, el sentido común hace poner en duda que a una gran mayoría de usuarios no les importe que les puedan robar la contraseña y acceder al backup de su cuenta. [Un poco de información y fomentar la cultura de seguridad, ayudaría mucho a prevenir incidentes de los comentados anteriormente].


El elemento más crítico y significativo de todos los que constituyen el ciclo de la seguridad de la información, el eslabón más débil, somos nosotros. 


¿Un activo de la información debe entenderse como los datos que tienen un valor tanto para nosotros como para una organización?


La ciberseguridad NO está orientada a la protección de activos de información en formato digital, que circulan de forma no conectada. 


La confidencialidad en cuanto dimensión de la seguridad, trata de prevenir la revelación no autorizada de información. 


La confidencialidad tiene protección legal en España. 


La vulneración de la confidencial ha afectado a grandes compañías dedicadas al comercio digital. 


Los ‘backups’ son copias de respaldo, por ejemplo, de contenidos. 


¿Una cuenta verificada garantiza que quien publica contenido es ser quien dice ser? 


Una API (Interfaz de Programación de Aplicaciones) es el software que permite conectar una aplicación con otros servicios y aplicaciones


Las API tienen ciberataques contra ellas


La premisa que hay detrás de los ataques efectuados en Internet es: “a mayor númer de datos, mejor”. 


El robo de datos significa una vulneración a la confidencialidad

La vulneración de la privacidad afecta a las personas que afirman no tener nada que ocultar


La integridad de la información garantiza que no es alterada.


En el caso de la ciberguerra, si un objetivo definido tiene un sistema de información digital y se puede acceder a él, entonces puede ser destruido


La disponibilidad de la información garantiza el correcto funcionamiento de un sistema de información cuando se desea, y/o necesita


Los ataques de ‘denegación de servicio’ en Internet son ejemplos típicos de ataques a la disponibilidad de la información


Es difícil lograr descifrar un ‘ransomware’, porque se desconoce qué tipo de cifrado y qué tipo de clave utiliza


El ‘ransomware’ se ha convertido en una amenaza global que afecta sin distinción a cualquier equipo de cualquier sistema de cualquier país


Un exploit NO es un código creado para impedir una vulnerabilidad concreta


El principio del ‘no repudio’ es fundamental, por ejemplo, en el comercio electrónico, para garantizar la veracidad de las transacciones


La mayoría de los ataques perpetrados para obtener ilegítimamente información se focalizan en las personas


Un usuario sin una conciencia clara sobre la seguridad de la información es un objetivo muy sencillo de atacar


Uno de los métodos de ‘ingeniería social’ más utilizados con el fin de obtener información es el ‘phishing’


Un estudio realizado demostró que más del 50% de los encuestados accedieron a facilitar sus contraseñas a cambio de una chocolatina


En el mismo estudio anterior, más de la mitad de los encuestados reconocieron que utilizaban lamisma contraseña para todo, y/o que la intercambiaban con otras personas


La protección de nuestros datos personales es un derecho que deriva directamente de la Constitución española


¿Los Reglamentos europeos, son directamente aplicables a los estados miembros?


¿Se pueden producir choques entre la privacidad y la seguridad?


Facebook y WhatsApp comparten el mismo dueño







Según la asociación de profesionales de seguridad ISACA, la “protección de activos de información, mediante el tratamiento de las amenazas que ponen en riesgo la información que se procesa, se almacena y se transporta mediante los sistemas de información que se encuentran interconectados”, se denomina: Seguridad de la información b) Seguridad informática c) Ciberseguridad.


A diferencia de la ciberseguridad, en la seguridad de la información: a) Se adoptan medidas con una visión defensiva y se intentan proteger los activos de información, impidiendo a su acceso de manera defensiva b) Las medidas pueden ser defensivas y además ofensivas, pudiendo acabar derivando en ciberguerra c) Las medidas defensivas suelen derivar en ciberguerra.


Las tres dimensiones principales de la seguridad de la información son: a) Confidencialidad, autenticidad y disponibilidad b) Confidencialidad, autenticidad y trazabilidad c) Confidencialidad, integridad y disponibilidad.


Entre las dimensiones de la seguridad de información, la ______________ se encarga de asegurar que a los datos de un sistema de información no se le realicen modificaciones ya sea por personas o procesos no autorizados. a) Autenticidad b) Confidencialidad  c) Integridad.


En octubre de 2016 se llevó a cabo uno de los ataques de denegación de servicio más grandes de la historia. El objetivo fue atacar los servidores de la empresa Dyn, una importante empresa que ofrece servicios DNS en los Estados Unidos, siendo un claro ejemplo de la falta de: a) Disponibilidad b) Confidencialidad c) Integridad.


Un ejemplo típico de ataque a la disponibilidad de la información son los ataques de denegación de servicios. El ataque que consiste en generar una cantidad masiva de peticiones al servidor, desde un nodo provocando así una sobrecarga del mismo, y en consecuencia, se impide el acceso a usuarios a los servicios que ofrece dicho servidor, se denomina: a) DoS (denegación de servicio) b) DDoS (denegación distribuida de servicio) c) Ambos hacen referencia a la misma tipología de ataque.




Un tipo de malware que impide o limita el acceso de un usuario a su sistema, ya se bloqueando la pantalla del sistema o bloqueando los archivos de los usuarios a menos que se pague un rescate, es el denominado: a) Mydoom b) Ramsonware c) Blaster.


En la actualidad, uno de los métodos de ingeniería social más utilizados con el fin de obtener información confidencial es el __________. Basta con hacerle creer mediante un mensaje o un e-mail haciéndose pasar por su entidad bancaria, o su compañía de seguros, para que revele cierta información. a) Doxing b) Phishing c) Stuxnet.


¿Qué tienen en común Facebook, la red social más grande de las existentes y Whatsapp una de las aplicaciones de mensajería más utilizada en el mundo? a) Comparten dueño b) Comparten, cruzan datos y sus lagunas en cuanto a privacidad c) Ambas son ciertas.


La dimensión de la seguridad de la información que se encarga de mostrar la evidencia infalsificable de una acción, se denomina: a) Autenticidad b) No repudio c) Confidencialidad.


En relación con la protección de datos, a diferencia de las directivas, los reglamentos europeos: a) No son directamente aplicables en los Estados miembros, existiendo la necesidad de tratamiento previo de la normativa propia del país b) Son directamente aplicables en los Estados miembros, no existiendo la necesidad de trámite previo de la normativa propia del país. Es decir, una vez que entra en vigor pasa a ser normativa interna española además de europea c) No tienen vigor sin la adaptación de la normativa propia del país.


Señala la respuesta incorrecta, en relación con la ingeniería social: a) Se puede convencer a la víctima para que instale malware en su equipo, creyendo que éste es una actualización de un programa instalado b) Se puede conseguir que la víctima ejecute ciertos documentos aparentemente inocuos como un Word o un archivo pdf y que en realidad tienen incrustado un código malicioso c) Se puede convencer a la víctima en el uso de malware con la finalidad de mejorar su propio sistema informático.






Señala la respuesta incorrecta: se dice en torno a la seguridad de la información que un equipo informático a pesar de estar desconectado de cualquier red y encerrado en una caja fuerte, aún podría ser vulnerable. Esta afirmación se argumenta: a) Porque ese equipo y la información que contiene dependen especialmente de un ser humano b) Porque ese equipo y la información forma parte de un sistema más complejo capaz de gestionar mediante la utilización de otros dispositivos digitales c) El ser humano es el eslabón más débil en cuanto a seguridad en cuanto a la información se refiere.


Señala la respuesta incorrecta. En relación con el ataque a la confidencialidad, lo que antes parecían ataques localizados y que afectaban a un objetivo concreto o se focalizaban en un grupo de usuarios, en la actualidad la tendencia parece haberse diversificado y puede afectar a cualquier usuario. Un claro ejemplo es: a) Equifax Inc b) Ashley Madison c) Societé Genérale.




Bloquear la dirección IP y cortar el acceso al nodo que está realizando las peticiones masivas al servidor, permiten restablecer el servicio al desaparecer la sobrecarga, estas son dos formas de resolver cualquier ataque por: a) Denegación del servicio b) Denegación distribuida de servicio c) Disponibilidad.


La lucha o batalla en torno a los derechos de propiedad se libra en los sectores: a) Tecnológicos y redes sociales b) De las industrias musical y audiovisual c) Ambas son ciertas.


Frente al término copyright, que sonaba descarnadamente materialista, se impuso la denominación ________________ que invocaba cuestiones morales, destacando la figura del autor. Este ya no sólo tenía un derecho a la propiedad sobre su obra para poder venderla, sino también el derecho de que constara siempre su autoría de un modo explícito: a) Derecho intelectual b) Derecho de propiedad c) Derecho de autor.


Frente al copyrihgt que no permite hacer nada con la obra intelectual que no sea comprarla y consumirla, el ________________________, ofrece al autor la posibilidad de que quienes se hacen con su obra puedan copiarla e incluso reproducirla, si se adquirió gratis no se puede cobrar por las copia, y si se modifica, quien consiga la obra modificada puede, a su vez, modificarla: a) Dominio público b) Copyleft c) Creative Commons (CC).


A principios del siglo XXI emergieron una serie de iniciativas encaminadas a promover la accesibilidad a publicaciones científicas y académicas, conformando un movimiento denominado: “Open Access” o acceso abierto, haciendo referencia a la libre disponibilidad pública en Internet de literatura científica y académica, siendo la única restricción: a) Otorgar a los autores el control de la integridad de su trabajo y el derecho a ser debidamente reconocido y citado b) Que sus artículos tengan copyright c) Ambas son ciertas.


Una obra nueva creada a partir de otra original preexisten que significa una modificación suya, una transformación, o una adaptación, se denomina: a) Obra derivada b) Remake c) Spin off.


La visión del movimiento por una cultura libre o free culture incluye: a) La posibilidad de que todos participen en ella, que nadie quede excluido por su situación económica b) La cultura ha de ser de todos y para todos c) Se habla de libre como libertad de expresión, no necesariamente como gratis, sin más.


Señala la respuesta incorrecta en relación con Creative Commons: a) Respeta por completo el copyright y trata de crear una alternativa a esta para todos aquellos que disentían de lo que consideraban una mercantilización de la mente encarnada en la propiedad intelectual y el copyright b) Lo que gestiona con sus licencias CC es la posibilidad de un control más flexible sobre sus obras para aquellos autores a quienes, en la línea de free culture, les parece que el copyright se inserta en un tipo de cultura donde prima el dinero c) Su referente fue el movimiento de software cerrado, así como el concepto copyright.


Si un derecho es de tipo moral, significa que es: a) Inalienable y nunca prescribe b) Irrenunciable, es decir, el autor de una obra no le podría ceder la autoría a un tercero, ni gratis ni cobrando c) Ambas son ciertas.


Promover la creación artística, literaria y científica, ya que el hecho de impedir que una obra previa sirva de inspiración a otra supone poner obstáculos a esa actividad creadora, así como cuestionar la propia noción de autoría individual, son líneas argumentales de la: a) Entidad de gestión de derechos de autor b) Cultura hacker c) Free culture.


Llamamos ___________________ a lo que cuesta a la empresa producir una unidad más de su producto. a) Coste marginal b) Coste cero c) Coste añadido.


Señala la respuesta incorrecta, ¿con qué armas contaba la industria para acabar con las descargas ilegales? a) Intentar la protección del material mediante una serie de tecnologías orientadas a impedir, bien el acceso a los recursos donde se ubican los ficheros de contenidos, bien a protegerlos de la posibilidad de ser copiados b) Lograr mediante tecnologías que inhabilitan la función de copia de ficheros protegidos, conocidas globalmente como DRM (gestión de derechos digitales) c) Utilizar tecnologías digitales que impidan el uso de software libre que utilizan códigos en abierto.


El no repudio en destino tiene por objetivo que el receptor no pueda negar que haya recibido el mensaje, ya que el emisor tendrá pruebas irrebatibles sobre la recepción del mismo. Esto se garantiza por medio de la firma digital a través de certificados electrónicos. Un ejemplo es el: a) Sistema de mensajería vía e-mail b) Sistema de mensajería Whatsapp c) Sistema de mensajería auténtico.


La primera fase que consiste en identificar los activos, es decir, todos los elementos de la información, por ejemplo un libro, la cartilla del banco, el DNI…, corresponde al: a) Ciclo de vida de la seguridad de la información b) Ciclo de la vida de la información c) Ciclo de vida de la confidencialidad de la información.


La información se ha convertido en el fundamento principal del orden social, tanto en el plano económico como en el cultural. Su control y gestión es cada vez más importante y obvio. En la actualidad la llave del poder económico reside en: a) Las fábricas b) Las fuentes de energía c) El conocimiento y la creatividad.


El no repudio _________________ garantiza que la persona que envía el mensaje no puede negar que lo ha emitido, ya que el receptor dispondrá de pruebas irrefutables del envío a) En origen b) En destino c) Bidireccional.

Comentarios

Publicar un comentario

Entradas populares de este blog

TUTORIA MIES 20 MARZO 2025

GRABACIÓN TUTORÍA 13 MARZO TEMA 4 HISTORIAS DE VIDA CONTENIDOS TEMA1 TEMA2 CONCEPTOS BÁSICOS TODOS LOS TEMAS TEMA3 GUIAPROYECTO   EXAMENMIES1S24 TESTSDAYPOTEMASVARIOS TESTSDAYPORTEMAS TESTSDAYPO Unidad didáctica I. La investigación en Educación Social  El primer bloque, Investigación social desde la práctica en educación, contiene un único tema: Sentido y forma de la investigación en educación social, donde planteamos contextualizar la investigación como herramienta de trabajo cotidiana en la praxis.  Es allí donde se afianza el compromiso ético que nos mueve a plantearnos las cuestiones de investigación, susceptibles de conocer, comprender, mejorar de acuerdo con un enfoque de educación social que pone en valor el empoderamiento, la autonomía, la participación y el desarrollo comunitario como fines de la acción socioeducativa.  TRANSPARENCIAS TEMA 1 Unidad didáctica II. Metodologías de investigación  El segundo bloque se adentra en la cuestión del cómo, abriend...
Leer más

TUTORÍA TÉCNICAS DE RECOGIDA DE INFORMACIÓN 24 OCTUBRE

  TÉCNICAS Y RECOGIDA DE INFORMACIÓN EN EDUCACIÓN GRABACIÓN TUTORÍA 17 OCTUBRE: LA OBSERVACIÓN Tema 1   La Medida en Educación  Centro Asociado Illes Balears Otras transparencias  (equipo docente) Orientaciones para el estudio del Tema 1  La ciencia se apoya en instrumentos capaces de cuantificar fenómenos estableciendo relaciones funcionales obtenidas a través de modelizaciones de la realidad.  Para realizar este proceso, el investigador utiliza la medida; mediante ella, el científico es capaz de representar propiedades por medio de números. Ciertas propiedades han sido estudiadas desde hace siglos: los procesos de medida del tiempo, la longitud o el peso, son de todos conocidos, pero otras características, no menos importantes, como la inteligencia, la atención, el interés, etc. han sido investigadas recientemente.  Para algunos, la medida de ciertos atributos del acto educativo es imposible de cuantificar. Sin entrar en una polémica estéril, re...
Leer más

TUTORIA MIES 12 FEBRERO 2026

1.- MÉTODOS DE INVESTIGACIÓN EN EDUCACIÓN SOCIAL PRESENTACIÓN Y CONTEXTUALIZACIÓN   GUIACURSO2425 Tutorías Jueves de 19 a 20 horas,  Aula 210, 7 estudiantes 13 febrero 16h Presentación de laa materia La investigación constituye una tarea necesaria en la intervención y práctica en educación social. La asignatura de Métodos de Investigación en Educación Social pretende ofrecer bases y estrategias que permitan la planificación y desarrollo de investigaciones en torno a cuestiones de interés que surgen en el trabajo diario de los educadores y educadoras sociales.  La investigación se orienta a la búsqueda de alternativas, la comprensión de hechos y situaciones desde su complejidad, la consecución de soluciones, la transformación y el cambio.  Por ello, investigar, no puede concebirse como una tarea ajena que asuman especialistas; investigar la realidad socioeducativa es la vía de innovación y mejora de nuestra práctica profesional. “Métodos de Investigación en Educación ...
Leer más