Mòdul 0226 — Seguretat Informàtica

Cicle formatiu: Sistemes Microinformàtics i Xarxes (SMX)

Durada total: 132 hores (99 al centre + 33 a l’empresa)

RA1 — Seguretat Passiva

1.1. Conceptes bàsics de seguretat informàtica

La seguretat informàtica és la disciplina que dissenya normes, procediments, mètodes i tècniques per aconseguir que un Sistema d’Informació (SI) sigui segur i confiable.

Elements a protegir d’un SI

Element Descripció Exemples
Maquinari Components físics Ordinadors, perifèrics, cables, discos
Programari Elements lògics Sistema operatiu, aplicacions, webs
Informació Les dades processades Fitxers, bases de dades, documents
Usuaris Persones que interactuen amb el sistema Empleats, administradors, clients

Propietats d’un SI segur (CIA + No repudi)

Classificació dels mecanismes de seguretat

Segons el que protegeixen:

Segons quan actuen:

Classificació dels mecanismes de seguretat

Recorda: La seguretat activa prevé; la seguretat passiva recupera.

1.2. Seguretat física: el CPD i les instal·lacions

La seguretat física protegeix el maquinari de les amenaces com desastres naturals, incendis, sobrecàrregues elèctriques, robatoris i accessos no autoritzats.

El Centre de Processament de Dades (CPD / Data Center)

Un CPD centralitza les operacions i infraestructura d’una organització: s’hi emmagatzemen, processen i gestionen les dades i aplicacions del SI.

Avantatges d’un CPD:

Ubicació de les instal·lacions

A l’hora de triar on ubicar un CPD cal tenir en compte:

Control ambiental

Factor Valor recomanat Risc si no es compleix
Temperatura 24 °C estable Sobreescalfament dels equips
Humitat relativa 50% Alta → corrosió / Baixa → curtcircuits
Pols Neteja periòdica Acumulació i fallada de components
EM Apantallament de cables / fibra òptica Interferències que corromprien dades

La ventilació als CPD s’organitza en passadissos freds i calents per gestionar eficientment la temperatura als racks.

Instal·lacions elèctriques

Sistemes d’extinció d’incendis

Nota: Mai s’utilitza aigua en CPD per risc de curtcircuit.

Control d’accessos

1.3. Sistemes d’Alimentació Ininterrompuda (SAI)

Un SAI és un conjunt de bateries que alimenta una instal·lació elèctrica. En cas de tall, els equips connectats continuen funcionant gràcies a les bateries.

Preguntes clau per triar un SAI

  1. Quants watts consumeixen els equips a protegir?
  2. Quant de temps necessito mantenir-los operatius?

Problemes que soluciona un SAI

Tipus de SAI

Tipus Protecció Temps de transferència Ús típic
Off-line / Stand-By Bàsica (talls i variacions) 2–10 ms PC domèstics, monitors, TV
In-line / Interactiva Intermèdia (+ sorolls, analitza qualitat) 2–10 ms Routers, commutadors, càmeres
On-line Alta (sempre actiu, sense temps de transferència) 0 ms CPD, telecomunicacions, indústria

Els SAI on-line requereixen substitució de bateries més sovint, però ofereixen la millor protecció.

Fórmules bàsiques

Watts = Volts × Amperis
VA = Watts / 0,7          (factor de conversió)
Marge de seguretat = +25% (per a futures ampliacions)

Minuts extra del SAI = Temps del SAI × (VA_SAI / VA_dispositius) × Factor de temps
  Factor de temps: fins a 3 min → 1,3 | més de 3 min → 1,5
💡
Nota

El factor 0,7 és una aproximació orientativa per a equips de consum. En entorns de CPD el factor de potència real sol ser 0,9–0,99; consulta sempre les especificacions dels equips.

Exemple: Equips que consumeixen 230 V × 1,5 A = 345 W → VA = 345 / 0,7 ≈ 493 VA. Amb marge del 25% → SAI mínim de 616 VA.

Manteniment del SAI

Alternativa econòmica: Les regletes protectores protegeixen de pujades de tensió i soroll elèctric, però no protegeixen dels talls d’energia.

1.4. Seguretat lògica: control d’accés i contrasenyes

La seguretat lògica controla l’accés als equips informàtics verificant la identitat de les persones.

Conceptes clau

Funcions del control d’accés

Autenticació: verificar la identitat de l’usuari.

Autorització: concedir permisos per accedir a un recurs concret.

Política de contrasenyes

Una política de contrasenyes regula les normes de creació, protecció i renovació.

Requisits d’una contrasenya robusta:

Normes de protecció:

Sistemes biomètrics

Els sistemes biomètrics verifiquen la identitat analitzant atributs físics o comportamentals de l’usuari.

Tipus més comuns:

Errors possibles:

Els sistemes biomètrics són molt més robustos que les contrasenyes, però també més costosos i poden generar problemes de privadesa.

RA2 — Gestió de Dispositius d’Emmagatzematge

2.1. Tipus d’emmagatzematge

Classificació de la memòria

Principals sistemes d’emmagatzematge

Sistema Característiques
Local Discos durs, SSD, mòbils, tauletes
Servidors en xarxa Informació centralitzada al servidor
Dispositius externs Cintes, HDD extern, CD/DVD, USB
Còpies de seguretat Automàtiques o manuals
Núvol (Cloud) Dropbox, Google Drive, OneDrive, NextCloud…

Arquitectures d’emmagatzematge en xarxa

DAS (Direct Attached Storage)

NAS (Network Attached Storage)

SAN (Storage Area Network)

Arquitectures d’emmagatzematge

Destrucció segura de dades

Quan cal eliminar dades de forma permanent:

  1. Programari d’esborrament: substitueix cada bit per zeros o dades aleatòries (Algoritme Gutmann: 35 passades).
  2. Desmagnetització: camp magnètic potent que desimanta els dominis magnètics.
  3. Destrucció física: triturar el disc en fragments molt petits.

2.2. RAID: emmagatzematge redundant

RAID (Redundant Array of Independent Disks) utilitza diversos discos físics configurats com una única unitat lògica per aconseguir major capacitat, seguretat i menor cost.

Implementació

Tipus de RAID

RAID 0 — Striping (distribució)

Disc 1: [A1][A3][A5]
Disc 2: [A2][A4][A6]   ← Les dades es reparteixen en tires (stripes)

RAID 1 — Mirror (mirall)

Disc 1: [A][B][C]
Disc 2: [A][B][C]   ← Còpia exacta

RAID 5 — Striping amb paritat

RAID 6 — Striping amb doble paritat

RAID 10 (0+1) — Striping + Mirror

RAID Discos mínims Redundància Velocitat Capacitat útil Ús típic
0 2 Cap Molt alta 100% Usuari domèstic
1 2 Total Alta 50% Servidors
5 3 Un disc Alta (n-1)/n Empreses
6 4 Dos discos Mitja (n-2)/n CPD
10 4 Total (mirall) Molt alta 50% CPD crític

2.3. Còpies de seguretat

Per què fer còpies?

L’Agència Espanyola de Protecció de Dades (AEPD) obliga les empreses a realitzar còpies de seguretat de les dades personals.

Classificació de la informació

Mètodes de còpia per granularitat

Mètode Descripció Restauració Espai usat
Còpia completa (Total) Còpia de totes les dades seleccionades Ràpida (un sol suport) Màxim
Còpia diferencial Dades modificades des de l’última còpia completa Mitja (completa + diferencial) Intermedi
Còpia incremental Dades modificades des de l’última còpia (de qualsevol mena) Lenta (completa + totes les incrementals) Mínim
EXEMPLE D'ESTRATÈGIA SETMANAL:

Dilluns:   Còpia COMPLETA     (T)
Dimarts:   Còpia INCREMENTAL  (I1) ← canvis des de T
Dimecres:  Còpia INCREMENTAL  (I2) ← canvis des de I1
Dijous:    Còpia INCREMENTAL  (I3) ← canvis des de I2

Restauració divendres: T + I1 + I2 + I3

Estratègies recomanades

Paràmetres de temps

Ubicació de les còpies

Còpies en calent vs. en fred

Eines i conceptes addicionals

2.4. Criptografia

Concepte

La criptografia (kriptós = ocult + graphos = escriptura) transforma un document original mitjançant un algorisme per obtenir un document il·legible. El destinatari aplica el procés invers amb la clau correcta.

Objectiu: si algú intercepta el missatge, no en pugui entendre el contingut.

Vegeu GNU Privacy Guard (GPG)

Criptografia simètrica

La mateixa clau K xifra i desxifra

Criptografia asimètrica (clau pública/privada)

Procés d’enviament d’un missatge xifrat:

  1. El receptor genera el parell de claus i publica la clau pública.
  2. L’emissor xifra el missatge amb la clau pública del receptor.
  3. El receptor desxifra amb la seva clau privada.
Xifrat amb clau pública del receptor
⚠️
Avís

Els ordinadors quàntics podrien posar en risc els sistemes actuals de criptografia asimètrica pel seu enorme poder de càlcul.

Eines pràctiques

RA3 — Seguretat Activa

3.1. Programari maliciós (Malware)

El malware (malicious software) és qualsevol programa dissenyat per infiltrar-se en un dispositiu sense el consentiment de l’usuari, amb l’objectiu de robar, xifrar, esborrar dades o prendre el control del sistema.

Tipus principals de malware

Virus

Cucs (Worms)

Troians (Cavalls de Troia)

Ransomware

Virus Cuc Troià Ransomware
Com es propaga Fitxer portador + acció usuari Xarxa, autònom Engany a l’usuari Via troià o cuc
Es replica sol No No
Objectiu principal Infectar fitxers Col·lapsar xarxes Control remot / robatori Rescat econòmic

Vies d’entrada del malware

Signes d’alerta en un correu maliciós:

Símptomes d’infecció

  1. Lentitud inusual del sistema o la xarxa.
  2. Allau d’anuncis emergents (pop-ups).
  3. Bloquejos i errors freqüents sense causa aparent.
  4. Canvis inesperats (pàgina d’inici del navegador, barres d’eines noves, fitxers desapareguts).
  5. L’antivirus es desactiva sol.

Mesures de protecció

Recursos en cas d’infecció (Espanya)

Passos en cas d’infecció:

  1. Desconnectar de la xarxa.
  2. Escanejar i eliminar el programari maliciós amb un programa de seguretat.
  3. Canviar totes les contrasenyes (correu, bancs, xarxes socials).
  4. Restaurar el sistema des d’una còpia de seguretat neta.
  5. Contactar amb l’INCIBE si cal ajuda especialitzada.

3.2. Tallafocs (Firewall) amb iptables

Un tallafocs és un dispositiu de seguretat (físic o programari) que filtra el trànsit entre xarxes a partir de regles definides. Pot ser un router, una màquina dedicada o un programa al sistema operatiu.

Funció del tallafocs

Decideix si un paquet de xarxa:

Tipus d’arquitectures

Tallafocs en encaminador (router)

Tallafocs en una màquina (DMZ)

Tallafocs de tres direccions

Tallafocs de múltiples màquines

Polítiques del tallafocs

Política Descripció Avantatge Risc
Per defecte ACCEPTAR Tot passa excepte el que es denega explícitament Fàcil de gestionar Ports oberts per desconeixement
Per defecte DENEGAR Tot bloquejat excepte el que es permet explícitament Màxima seguretat Configuració complexa
Consell

Recomanació: política per defecte DENEGAR. Però cal dominar el sistema per no bloquejar serveis essencials.

⚠️
Avís

Importantíssim: l’ordre de les regles és determinant. Es comprova cada regla en ordre i s’aplica la primera que coincideix. Les regles posteriors no s’avaluen per a aquell paquet.

iptables a Linux

iptables és l’eina estàndard per gestionar el tallafocs al nucli Linux.

Tres tipus de regles:

Comandes bàsiques:

# Veure les regles actuals
iptables -L -v -n

# Establir política per defecte DENEGAR (recomanat)
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Permetre trànsit des d'una IP concreta
iptables -A INPUT -s 195.65.34.234 -j ACCEPT

# Permetre accés a MySQL des d'una IP específica
iptables -A INPUT -s 231.45.134.23 -p tcp --dport 3306 -j ACCEPT

# Obrir el port 80 (HTTP) per a tothom
iptables -A INPUT -p tcp --dport 80 -j ACCEPT


# Amb política INPUT DROP, les línies DROP següents són redundants
# però s'inclouen per claredat pedagògica (mostren que estos ports estan tancats)
# Bloquejar la resta de ports sensibles
iptables -A INPUT -p tcp --dport 22 -j DROP
iptables -A INPUT -p tcp --dport 3306 -j DROP
iptables -A INPUT -p tcp --dport 10000 -j DROP

# Eliminar totes les regles (COMPTE: deixa la màquina oberta)
iptables -F

# Guardar les regles (Debian/Ubuntu)
iptables-save > /etc/iptables/rules.v4

Regles NAT (exemple de redireccions):

# Activar NAT per a tota la xarxa sortint per eth0
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Redirigir el port 80 extern al port 8080 intern
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 8080

3.3. Política de contrasenyes i recuperació de dades

Gestors de contrasenyes

Per als entorns professionals es recomana l’ús de gestors de contrasenyes (Bitwarden, KeePass, etc.) en lloc de memòries o papers. Permeten generar i emmagatzemar contrasenyes llargues i aleatòries per a cada servei.

Autenticació multifactor (MFA)

Combina dos o més factors d’autenticació:

Recuperació de dades

RA4 — Privadesa a les Xarxes

4.1. Monitoratge de xarxes i sniffers

Gestió de la seguretat a la xarxa

Implica: planificar instal·lacions, documentar, indicar procediments, monitorar i auditar.

El monitoratge de xarxa usa programari per conèixer l’estat i fiabilitat de la xarxa: detecta dispositius que fallen, recursos sobrecarregats i analitza el flux de trànsit.

Inventari i control de serveis

Per controlar els serveis d’una xarxa cal:

Dispositius de control de xarxa

Dispositiu Funció
Encaminadors/Commutadors Fan circular la informació per la xarxa
Tallafocs Permeten o deneguen paquets segons regles
IDS (Intrusion Detection System) Detecten paquets que indiquen possible atac
Sistemes de monitoratge Avaluen rendiment, envien alertes (ex: ping als servidors)

Sniffers (detectores de paquets)

Un sniffer és qualsevol programa que monitora i analitza els paquets que circulen per una xarxa.

Com protegir-se dels sniffers:

4.2. Seguretat en xarxes sense fils

Les xarxes WiFi transmeten dades per radiofreqüència (ones electromagnètiques), la qual cosa les fa intrínsecament més exposades que les xarxes cablejades.

Protocols de seguretat WiFi

Protocol Seguretat Característiques
WEP Insegur Primer protocol WiFi. La clau es pot esbrinar fàcilment.
WPA Segur Soluciona autenticació i confidencialitat. Modes: WPA-PSK i 802.1X.
WPA2 Segur Afegeix xifratge AES. Àmpliament desplegat, però WPA3 ja és el nou estàndard.
WPA3 Molt segur Estàndard actual des de 2020. Recomanat en tots els nous desplegaments.
Consell

Mai usar WEP. Usar WPA2 com a mínim, preferentment WPA3.

Mesures de seguretat WiFi recomanades

4.3. Signatura electrònica i certificats digitals

Signatura electrònica

La signatura electrònica garanteix:

Funciona amb criptografia asimètrica: el signant xifra un resum (hash) del document amb la seva clau privada. El receptor el verifica amb la clau pública del signant.

Certificat digital

Un certificat digital és un document electrònic que:

Usos del certificat digital:

Enginyeria social

L’enginyeria social és la manipulació psicològica dels usuaris per obtenir informació confidencial o accés a sistemes, sense necessitat de vulnerar cap sistema tècnic.

Tècniques habituals:

Defensa: formació i conscienciació dels usuaris. Cap sistema tècnic és suficient si l’usuari pot ser enganyat.

RA5 — Legislació i Normativa

5.1. Protecció de dades: RGPD i LOPDGD

Marc normatiu

Nivell europeu:

Nivell espanyol:

Nivell català:

Dades personals: definició

Qualsevol informació sobre una persona física identificada o identificable:

La protecció afecta només persones físiques, no empreses o persones jurídiques.

Categories especials (requereixen protecció reforçada): origen racial, afiliació sindical, opinions polítiques, salut, dades genètiques.

Figures responsables

Figura Rol
Responsable del tractament Persona/empresa que decideix les finalitats i mitjans del tractament. Ha de garantir el compliment del RGPD.
Encarregat del tractament Empresa externa que tracta dades per compte del responsable, seguint les seves instruccions.
Delegat de Protecció de Dades (DPO) Obligatori en organismes públics i empreses que tracten dades a gran escala. Assessora i supervisa el compliment.

Principis del RGPD

Drets de les persones (ARCO+)

Seguretat tècnica requerida

5.2. LSSI: comerç electrònic i correu

Àmbit d’aplicació

La LSSI (Llei 34/2002) s’aplica a qualsevol servei prestat a títol onerós, a distància i per via electrònica: comerç en línia, diaris digitals, motors de cerca, accés a la xarxa.

Obligacions dels prestadors de serveis

Deure d’informació: qualsevol web amb activitat econòmica ha de mostrar de forma permanent i gratuïta:

Deure de col·laboració: han de col·laborar amb les autoritats per interrompre serveis o retirar continguts il·lícits.

Retenció de dades: han de retenir dades de trànsit de comunicacions fins a 12 mesos per a investigacions judicials.

Comerç electrònic

Correu comercial i spam

Privadesa del correu electrònic

Cookies

La normativa obliga a:

Normes de gestió de la seguretat de la informació

ISO/IEC 27001: estàndard internacional per a sistemes de gestió de la seguretat de la informació (SGSI). Proporciona un marc sistemàtic per protegir informació confidencial.

Esquema Nacional de Seguretat (ENS): obligatori per a les administracions públiques espanyoles. Estableix els principis i requisits de seguretat dels sistemes d’informació públics.

Recursos addicionals

Versions d’aquest document

Domini Públic (CC0)