UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

PROGRAMA INGENIERÍA DE SISTEMAS

PROYECTO DE GRADO

COLABORATIVO 1

ESTUDIANTES LUIS CARLOS OSPINA - 1151949568

FERNANDO ANDRES MENESES MAYRA ALEXANDRA GONGORA CAICEDO - 1059445081

RODOLFO GUTI JAIR GUERRERO SNACHEZ

GRUPO: 26

TUTOR

ANDRES FELIPE MILLAN

SEPTIEMBRE DE 2015

A todos aquellos que sin tener nada lo dan todo; a todo llegan y ciñen las cumbres de la Espiritualidad.

L. Rampa

INTRODUCCIÓN

En el siguiente documento se presenta la propuesta “Estrategias virtuales usando

herramientas OVAS que permitan mitigar los riesgos de robo de credenciales

mediante pishing en las plataformas tecnológicas de la UNAD” idea que ha bien

como grupo colaborativo hemos querido trabajar para disminuir el

desconocimiento o desinformación que existe en la comunidad Unadista frente al

tema de la seguridad en la nube, sus riesgos y vulnerabilidades.

Adicional a lo anterior se cita el planteamiento del problema, su justificación y la

solución identificada por el grupo colaborativo para minimizar las consecuencias

que se presentan alrededor de este tema.

DESARROLLO DEL TRABAJO

RUTA URL DEL BLOG

http://proyectogradogrupo20101426.blogspot.com.co

Punto A)

Título: Estrategias virtuales usando herramientas OVA que permitan mitigar los

riesgos de robo de credenciales mediante pishing en las plataformas tecnológicas

de la UNAD.

Planteamiento del problema

La Universidad Nacional Abierta y a Distancia - UNAD como ente universitario, ha

recorrido ya varias décadas de educación a distancia a nivel nacional y hace unos

pocos años a nivel internacional, lo que ha implicado ampliar su oferta o propuesta

educativa utilizando a internet como medio y camino para impartir educación,

reduciendo la brecha educativa en muchas zonas y lugares debido a que ha

logrado que sean más las personas que accedan a cada uno de los programas

que dicha institución dentro de su currículo ofrece.

Este nuevo escenario de formación y capacitación exige que tanto estudiantes y

profesores manejen herramientas computacionales, aplicaciones, servicios que

serán indispensables para desempeñar de manera adecuada su rol como parte

integrante de la comunidad Unadista y a su vez que conozcan de posibles riesgos

y vulnerabilidades a los cuales se está expuesto cuando navega por la web, o

accede a la plataforma virtual de la Unad.

La comunidad académica, incluyendo nuestro grupo colaborativo, usa una

modalidad de la computacion en la nube como es el Moodle y para acceder al

campus se debe suministrar una identificación y una contraseña para posibilitar la

autenticación del usuario y el posterior ingreso y así acceder a los contenidos,

aplicaciones, herramientas y servicios dispuestos para cada curso y proceso.

Todos accedemos a la plataforma virtual sin preocupación alguna sobre el manejo,

seguridad y riesgos que existen o pueden existir por este nuevo entorno educativo,

sumado a lo anterior hay un desconocimiento de estas nuevas tendencias

tecnológicas y hoy por hoy la universidad no imparte ninguna clase de

información, que permitan a la comunidad UNADISTA evitar el Phishing, o riesgos

de seguridad y vulnerabilidad, se desconocen las diferencias estrategias utilizadas

para el robo de información que se puede estar produciendo, lo cual consideramos

necesario y urgente abordarlo desde nuestro campo de formación.

La UNAD, deja abierta la opción de velar por la seguridad de las comunicaciones

entre estudiantes, profesores, personal administrativo y la plataforma; deja en

manos de posibles desconocedores de los peligros de la computación en la nube,

a personas que la UNAD no ha capacitado, no ha medido, ni tan siquiera ha

mandado o mostrado los caminos de la capacitación y reconocimiento de lo que

puede ocurrir cuando se conecta a la plataforma.

La UNAD no establece normas, caminos, ni orientaciones para velar por nuestra

seguridad en la nube, pretende que el usuario lo conoce todo y bajo esa premisa

se comporta.

Conocer las posibles dificultades, los estándares de comportamiento, las normas

de etiqueta, los alcances de nuestra Plataforma, sus debilidades, la forma

adecuada de ingresar, la forma inadecuada de ingresar, la forma correcta y la

incorrecta de salir, quien nos brinda capacitación de seguridad en la nube, quien

provee el conocimiento aplicado a este respecto.

En fin la UNAD, deberá marcar los derroteros adecuados para establecer

confiabilidad máxima al ingresar a la Plataforma y para lograr esto, nosotros

estamos poniendo la primera piedra, que ayudará a hacer una realidad la

seguridad en la Nube con la Plataforma de la UNAD.

Las únicas referencias a seguridad que imparte la UNAD, tiene que ver con el

ingreso, lo que sube, y sobre violación de derechos de Autor. Encontradas en la

siguiente dirección:

http://datateca.unad.edu.co/contenidos/70004/._Politicas_PTI_.htm

Nosotros lo que proponemos es la Seguridad en la Nube que tiene que ver con el

Pishing, que no es otra cosa que una técnica de robo mediante la cual el atacante

suplanta la identificación de la empresa creando alguna página web o correo falso

para que la víctima entregue sus credenciales.

Síntomas:

1. Visualización de páginas pishing en la nube suplantando la identidad de la

paginar real (UNAD).

2. Ingreso no autorizado a los espacios virtuales de los miembros del plantel

educativo.

Causa:

1. Falta de formación, documentación y capacitación en riesgos,

vulnerabilidades y seguridad de la computación en la nube.

2. El desconocimiento en la identificación de página real de la UNAD.

Pronostico: De continuar este suceso, los usuarios que capturan estas credenciales, tendrían

accesos a todo tipo de documento entre ellos el material intelectual, exámenes,

investigaciones, construido por los estudiantes y docentes de la universidad,

personal administrativo en general, ocasionando alteraciones en sus contenidos.

Control al pronóstico. Crear herramientas virtuales (OVAS), como medio de formación e instrucción que

sirva de base y guía a la comunidad Unadista para reconocer e identificar la

veracidad de las plataformas de la UNAD, para no caer en páginas Phishing y

crear capacidades que favorezcan la disminución de riesgos y vulnerabilidades en

el entorno de aprendizaje.

La UNAD como ente universitario, tiene su organización que podemos ver:

MISIÓN

La Universidad Nacional Abierta y a Distancia (UNAD) tiene como misión contribuir

a la educación para todos a través de la modalidad abierta, a distancia y en

ambientes virtuales de aprendizaje, mediante la acción pedagógica, la proyección

social, el desarrollo regional y la proyección comunitaria, la inclusión, la

investigación, la internacionalización y las innovaciones metodológicas y

didácticas, con la utilización de las tecnologías de la información y las

comunicaciones para fomentar y acompañar el aprendizaje autónomo, generador

de cultura y espíritu emprendedor que, en el marco de la sociedad global y del

conocimiento, propicie el desarrollo económico, social y humano sostenible de las

comunidades locales, regionales y globales con calidad, eficiencia y equidad

social1.

VISIÓN

Se proyecta como una organización líder en Educación Abierta y a Distancia,

reconocida a nivel nacional e internacional por la calidad innovadora y pertinencia 1Fuente:http://informacion.unad.edu.co/acerca-de-la-unad/mision-y-vision

de sus ofertas y servicios educativos y por su compromiso y aporte de su

comunidad académica al desarrollo humano sostenible, de las comunidades

locales y globales2.

2Fuente:http://informacion.unad.edu.co/acerca-de-la-unad/mision-y-vision

ORGANIGRAMA DE LA UNAD3

3http://informacion.unad.edu.co/acerca-de-la-unad/estructura-organizacional?showall=&start=1

PUNTO B)

Justificación del problema y presentación de la propuesta

La seguridad en los entornos web aunque es un tema que atañe a todo usuario,

no se le ha otorgado la atención e importancia que merece aun cuando son los

datos e información personal, institucional, organizacional y corporativa la que se

encuentra en riesgo; no obstante y en aras de ayudar a minimizarlos al interior de

la comunidad Unadista hemos como grupo de trabajo colaborativo optado por una

propuesta formativa frente a este nuevo flagelo la cual se denomina Estrategias

virtuales usando herramientas OVAS que permitan mitigar los riesgos de robo de

credenciales mediante pishing en las plataformas tecnológicas de la UNAD.

No obstante, se pretende que la comunidad Unadista enfrente los nuevos desafíos

tecnológicos en cuanto al tema de pishing se refiere con la intencionalidad clara de

poder brindar herramientas formativas que involucren a todos en este tema que a

pesar de ser nuevo requiere ser tratado y abordado con inmediatez y más aún

cuando el punto de encuentro permanente lo hacemos a través de internet.

Las técnicas empleadas para suplantar o interceptar son variadas de ahí en la

importancia de conocer el modo operativo y las posibles respuestas técnicas para

evitar el aumento de daños causados.

• Politicas PTI Recuperado el 22 de Septiembre de 2015

http://datateca.unad.edu.co/contenidos/70004/._Politicas_PTI_.htm

• Phising Recuperado el 23 de Septiembre de 2015

http://www.itservices.manchester.ac.uk/secure-it/phishing

• What is Pishing? recuperado el 19 de septiembre de 2015 de

http://www.webopedia.com/TERM/P/phishing.html

• Email Pishing in University recuperado el 23 de septiembre de 2015 de

http://www.itservices.manchester.ac.uk/secure-it/phishing

PUNTO C)

Cómo se utilizará la tecnología escogida en la resolución del problema. La tecnología escogida fue SEGURIDAD EN LA NUBE. Esta intenta investigar

todo lo concerniente a las vulnerabilidades que nos encontramos en todos los

servicios ofrecidos en la red, pero como el tema en cuestión es muy general y

como la investigación se trata de entrar en detalle, decidimos trabajar con una

vulnerabilidad muy conocida denominada el PISHING.

El “Phishing o suplantación de identidad es un término informático que denomina

un modelo de abuso informático y que se comete mediante el uso de un tipo de

ingeniería social caracterizado por intentar adquirir información confidencial de

forma fraudulenta (como puede ser una contraseña o información detallada sobre

tarjetas de crédito u otra información bancaria). El cibercriminal, conocido como

phisher, se hace pasar por una persona o empresa de confianza en una aparente

comunicación oficial electrónica, por lo común un correo electrónico, o algún

sistema de mensajería instantánea o incluso utilizando también llamadas

telefónicas.1” Extraido de https://es.wikipedia.org/wiki/Phishing.

La anterior practica es una vulnerabilidad informática de la seguridad en la nube

pero no obstante requiere de una ingeniería social por parte del atacante, esto

quiere decir que se necesita alguna técnica social para que la victima acceda a

una pagina igual a la original pero que finalmente desvía las credenciales a otro

servidor de datos.

Detectar una pagina fraudulenta es muy fácil pero por el desconocimiento de la

comunidad, muchas personas han perdido valiosos datos y en otras ocasiones

altas sumas de dinero. Es ahí en donde debemos trabajar, pues se intentara

mediante Herramientas OVA, educar a las personas para que distingan las formas

de identificar cuando una pagina es real o no y así prevenir robos de datos.

Se tiene como objetivo, desarrollar dichas herramientas OVA mediante

aplicaciones como Adobe Flash, que con conocimientos básicos de ActionScript

nos permiten desarrollar Objetos de Aprendizajes Virtuales fáciles e intuitivos. Esta

a su vez nos permiten educar a las personas de la comunidad UNAD para que no

caiga en páginas fraudulentas y así darle solución al problema planteado.

PUNTO D)

Cómo se evidencia la innovación tecnológica o apropiación de conocimiento luego de dar solución a la problemática aplicando la tecnología moderna escogida. Se evidencia la apropiación de conocimiento disminuyendo el robo de credenciales mediante la modalidad de PISHING ya que la comunidad educativa de la UNAD podría detectar fácilmente las páginas fraudulentas. Todo esto a través de la creación de Objetos Virtuales de Aprendizaje desarrollados en AdobeFlash(ActionScript).

CONCLUSIONES

• Como grupo de trabajo de colaborativo se logra identificar una idea y a su

vez una propuesta de trabajo para dar solución a un problema real de

nuestro campo de formación disciplinar como es el caso de la computación

en la nube.

• Se identifican herramientas y aplicaciones que sirvan de base y apoyo para

dar solución al problema identificado.

• Se adquieren conocimientos para elaborar y construir un anteproyecto.

BIBLIOGRAFIA

• Asociación de internautas Comisión de seguridad en la red Recuperado el

20 de Septiembre de 2015 http://seguridad.internautas.org/html/451.html

• Wikipedia a enciclopedia libre. Recuperado el 18 de Septiembre de 2015

Fuente: https://es.wikipedia.org/wiki/Phishing

• Pishing Recuperado el 18 de Septiembre de 2015

http://www.webopedia.com/TERM/P/phishing.html

• Panda. Fuente: Recuperado el 20 de Septiembre de 2015

http://www.pandasecurity.com/colombia/homeusers/security-

info/cybercrime/phishing/

• Que es el pishing Recuperado el 21 de Septiembre de 2015

https://www.infospyware.com/articulos/que-es-el-phishing/

• Politicas PTI Recuperado el 22 de Septiembre de 2015

http://datateca.unad.edu.co/contenidos/70004/._Politicas_PTI_.htm

• Phising Recuperado el 23 de Septiembre de 2015

http://www.itservices.manchester.ac.uk/secure-it/phishing

• What is Pishing? recuperado el 19 de septiembre de 2015 de

http://www.webopedia.com/TERM/P/phishing.html

• Email Pishing in University recuperado el 23 de septiembre de 2015 de

http://www.itservices.manchester.ac.uk/secure-it/phishing