Seguridad Informática para
Oposiciones AGE

Botnet: red de equipos infectados (zombies) controlados remotamente. Se usa para enviar spam, ataques DDoS o minar criptomonedas sin que el usuario lo sepa.

DDoS (Distributed Denial of Service): ataque que satura un servidor con millones de peticiones hasta dejarlo inaccesible. Lanzado desde una botnet.

La ingeniería social son técnicas que manipulan psicológicamente a las personas para obtener información confidencial o que realicen acciones inseguras.

Phishing: correos fraudulentos que suplantan a bancos, empresas o administraciones para robar credenciales. El enlace lleva a una página falsa idéntica a la original.

Smishing: phishing por SMS. Mensaje con enlace malicioso o número de teléfono fraudulento. Muy usado para suplantar a empresas de paquetería o bancos.

Vishing: phishing por voz (llamada telefónica). El atacante finge ser del banco o soporte técnico para obtener datos.

Spear phishing: phishing dirigido a una persona o empresa específica, muy personalizado. Más difícil de detectar que el phishing masivo.

Cómo detectar phishing: remitente extraño, errores ortográficos, urgencia inusual, enlace que no coincide con el dominio oficial, solicitud de datos personales o contraseñas.

Contraseña segura: mínimo 12 caracteres, combinación de mayúsculas, minúsculas, números y símbolos especiales. No usar palabras del diccionario, fechas de nacimiento ni el mismo nombre de usuario.

Autenticación de dos factores (2FA / MFA): añade una segunda capa de verificación además de la contraseña. El segundo factor puede ser: SMS, app autenticadora (Google Authenticator), llave física (YubiKey), biometría.

Gestor de contraseñas: aplicación que almacena y genera contraseñas únicas y complejas para cada servicio. Solo hay que recordar una contraseña maestra. Ejemplos: Bitwarden, 1Password, KeePass.

No reutilizar contraseñas: si una web sufre una brecha, los atacantes prueban esas credenciales en otros servicios (credential stuffing). Cada cuenta debe tener una contraseña única.

CAPTCHA: prueba de que el usuario es humano (y no un bot). Puede ser un reto visual (seleccionar imágenes), un checkbox o una prueba de comportamiento.

El cifrado transforma datos legibles en datos ilegibles para quien no tiene la clave. Es fundamental para proteger la confidencialidad de la información.

Cifrado simétrico: usa la misma clave para cifrar y descifrar. Más rápido. El problema: cómo compartir la clave de forma segura. Ejemplo: AES (Advanced Encryption Standard).

Cifrado asimétrico: usa un par de claves: pública (para cifrar, se comparte libremente) y privada (para descifrar, solo la conoce el destinatario). Ejemplo: RSA. Base de HTTPS y la firma digital.

Regla de copia de seguridad 3-2-1: mantener 3 copias de los datos, en 2 tipos de soporte distintos, con 1 copia en ubicación externa (off-site). Protege contra fallos de hardware, incendios, robos y ransomware.

Cifrado de disco completo: protege todos los datos del disco. En Windows: BitLocker. En macOS: FileVault. Si el disco es robado, los datos son ilegibles sin la clave de recuperación.

La firma digital es el equivalente electrónico de la firma manuscrita. Garantiza: autenticidad (quién firmó), integridad (el documento no fue modificado) y no repudio (el firmante no puede negar haberlo firmado).

La firma digital usa criptografía asimétrica: el firmante usa su clave privada para firmar; cualquiera puede verificar la firma con su clave pública.

Un certificado digital es un documento electrónico emitido por una Autoridad de Certificación (AC) que vincula la identidad de una persona con su clave pública. En España: FNMT (Fábrica Nacional de Moneda y Timbre).

El DNI electrónico (DNIe) incorpora un chip con el certificado digital del ciudadano. Permite identificarse y firmar documentos en la Administración electrónica.

Cl@ve: sistema de identificación y firma electrónica de la Administración General del Estado. Incluye Cl@ve PIN (temporal) y Cl@ve Permanente (contraseña fija). Permite acceder a servicios de la AEAT, SEPE, Seguridad Social, etc.

SSL/TLS: protocolo de cifrado usado en HTTPS. Los certificados SSL autentican al servidor web y cifran la comunicación. El candado en el navegador indica que la conexión usa HTTPS/TLS.

El RGPD (Reglamento General de Protección de Datos, UE 2016/679) es el reglamento europeo de protección de datos. En España se complementa con la LOPDGDD (Ley Orgánica 3/2018).

Principios del RGPD: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad; responsabilidad proactiva.

Derechos ARCO-POL: Acceso (obtener copia de tus datos), Rectificación (corregir datos erróneos), Cancelación/Supresión (derecho al olvido), Oposición (oponerse al tratamiento), Portabilidad, Limitación del tratamiento.

Consentimiento: debe ser libre, específico, informado e inequívoco. Las casillas premarcadas no son válidas. El consentimiento puede retirarse en cualquier momento.

DPO (Data Protection Officer / Delegado de Protección de Datos): figura obligatoria en ciertas organizaciones. Asesora y supervisa el cumplimiento del RGPD.

Sanciones RGPD: hasta 20 millones de euros o el 4% de la facturación global anual (la cantidad que sea mayor) para las infracciones más graves. La AEPD (Agencia Española de Protección de Datos) es el organismo de control en España.