5. Seguridad de la Privacidad en Redes Informáticas¶
Módulo: Seguridad Informática (0226)
Ciclo: CFGM Sistemas Microinformáticos y Redes (SMR)
Curso: 2025-2026
Centro: IES Joan Fuster (Bellreguard)
Referencia Curricular: Resultado de Aprendizaje 4 (RA4)
¿Qué vamos a aprender en este tema?¶
Hasta ahora hemos configurado servicios de red: servidores web, FTP, acceso remoto… Pero ¿son seguros? En este tema vamos a responder a esa pregunta y aprender a proteger las comunicaciones en una red informática real.
Al finalizar esta unidad serás capaz de:
- Identificar qué protocolos son seguros y cuáles no.
- Capturar y analizar tráfico de red para detectar vulnerabilidades.
- Configurar un cortafuegos para proteger un sistema.
- Entender cómo funciona el cifrado y por qué es imprescindible.
- Securizar una red inalámbrica correctamente.
Mapa del Tema¶
TEMA 5 — Seguridad de la Privacidad en Redes
│
├── 1. Fundamentos ──────────── CIA · Protocolos seguros vs. inseguros
│
├── 2. Vulnerabilidades ─────── Tipos de ataques · Herramientas de diagnóstico
│
├── 3. Sniffing ─────────────── Wireshark · Captura de tráfico · Credenciales
│ └── Lab 1: Interceptación de credenciales con Wireshark
│
├── 4. Cortafuegos ──────────── UFW · pfSense · DMZ
│ └── Lab 2: Configuración de una DMZ virtual
│
├── 5. Cifrado y VPN ────────── Criptografía · HTTPS · SSH · VPN
│ └── Lab 3: Túneles seguros con SSH Port Forwarding
│
└── 6. Redes Inalámbricas ───── WEP/WPA2/WPA3 · Riesgos · Buenas prácticas
1. Fundamentos de la Seguridad en Comunicaciones¶
1.1. ¿Por qué importa la seguridad en red?¶
Cuando un técnico de SMR configura un servidor, su primera preocupación suele ser que funcione. Pero en un entorno profesional real, la segunda pregunta es inmediata: ¿es seguro?
Una red insegura puede provocar:
- Robo de credenciales de usuarios y administradores.
- Filtración de datos confidenciales de la empresa.
- Pérdidas económicas y sanciones legales (RGPD).
- Interrupción de servicios críticos.
Contexto profesional: Según el INCIBE, más del 70% de los incidentes de seguridad en PYMES españolas se deben a configuraciones incorrectas o uso de protocolos inseguros. Como técnico SMR, serás la primera línea de defensa.
1.2. La Tríada CIA: los tres pilares de la seguridad¶
Toda la seguridad informática se construye sobre tres principios fundamentales:
| Pilar | Pregunta clave | Cómo se garantiza |
|---|---|---|
| Confidencialidad | ¿Solo lo ven los autorizados? | Cifrado (TLS, SSH, GPG) |
| Integridad | ¿Los datos han llegado sin modificar? | Hashes (SHA-256), firmas digitales |
| Disponibilidad | ¿El servicio está accesible cuando se necesita? | Redundancia, backups, firewalls anti-DoS |
Un sistema seguro debe cumplir los tres pilares a la vez. Descuidar uno compromete toda la seguridad.
1.3. El riesgo de los datos en texto plano¶
Muchos protocolos clásicos transmiten la información sin ningún tipo de cifrado. Cualquier persona con acceso a la red puede capturar y leer esos datos con herramientas gratuitas como Wireshark.
| Servicio | Protocolo inseguro | Alternativa segura | Puertos |
|---|---|---|---|
| Navegación web | HTTP | HTTPS (TLS) | 80 → 443 |
| Transferencia de archivos | FTP | SFTP / FTPS | 21 → 22/990 |
| Administración remota | Telnet | SSH | 23 → 22 |
| Correo (recepción) | POP3 / IMAP | POP3S / IMAPS | 110/143 → 995/993 |
| Correo (envío) | SMTP | SMTPS / STARTTLS | 25 → 465/587 |
Regla práctica: Si el protocolo no lleva “S” al final o no usa el puerto 22, investiga si es seguro antes de desplegarlo.
1.4. Diferencias técnicas entre protocolos clave¶
HTTP vs. HTTPS - HTTP envía todo en texto plano: URL, cookies, formularios, contraseñas. - HTTPS añade una capa TLS que cifra toda la comunicación y autentica el servidor mediante un certificado digital.
FTP vs. SFTP - FTP transmite usuario, contraseña y datos sin cifrar por los puertos 20 y 21. - SFTP (SSH File Transfer Protocol) encapsula la transferencia dentro de un túnel SSH cifrado por el puerto 22.
Telnet vs. SSH - Telnet envía cada tecla pulsada en texto plano. Un atacante en la red ve el comando y la contraseña en tiempo real. - SSH cifra toda la sesión. Además, permite autenticación por par de claves, más segura que las contraseñas.
2. Vulnerabilidades y Amenazas en Redes Locales¶
2.1. ¿Qué es una vulnerabilidad de red?¶
Una vulnerabilidad es una debilidad en un sistema, protocolo o configuración que puede ser aprovechada por un atacante. En redes locales, las vulnerabilidades más comunes son:
- Servicios innecesarios activos y expuestos.
- Uso de protocolos sin cifrado.
- Contraseñas débiles o por defecto.
- Software desactualizado con fallos conocidos.
- Ausencia de segmentación de red (todos los equipos en la misma VLAN).
2.2. Tipología de ataques en redes locales¶
Eavesdropping (Escucha pasiva)¶
El atacante captura el tráfico de red de forma pasiva, sin modificarlo ni interrumpirlo. La víctima no nota nada. Es posible gracias a los protocolos en texto plano.
[Víctima] ──── tráfico HTTP ────► [Servidor]
│
▼
[Atacante captura
usuario y contraseña]
Man-in-the-Middle (MitM) — Envenenamiento ARP¶
El atacante se interpone entre la víctima y el servidor, interceptando y pudiendo modificar el tráfico. Se consigue mediante ARP Spoofing: el atacante envía respuestas ARP falsas para que el tráfico pase por su máquina.
[Víctima] ──► [Atacante] ──► [Servidor]
(intercepta y
puede modificar)
Spoofing (Suplantación de identidad)¶
El atacante falsifica su identidad para hacerse pasar por otro dispositivo o servicio:
| Tipo | Descripción |
|---|---|
| IP Spoofing | Falsifica la dirección IP de origen |
| MAC Spoofing | Falsifica la dirección MAC del adaptador de red |
| DNS Spoofing | Responde a consultas DNS con IPs falsas |
| ARP Spoofing | Envenena la caché ARP de los equipos de la red |
DoS / DDoS (Denegación de Servicio)¶
El atacante satura el servicio con peticiones masivas hasta dejarlo inaccesible para los usuarios legítimos. Ataca la Disponibilidad de la tríada CIA.
2.3. Herramientas de diagnóstico de vulnerabilidades¶
Como técnicos, usaremos estas herramientas para auditar nuestros propios sistemas:
| Herramienta | Función | Uso típico |
|---|---|---|
| Nmap | Escaneo de puertos y servicios | Detectar servicios expuestos |
| Wireshark | Análisis de tráfico de red | Capturar y analizar paquetes |
| Netstat / ss | Ver conexiones activas | Auditar el propio equipo |
| Nessus / OpenVAS | Escáner de vulnerabilidades | Auditorías profesionales |
# Ver puertos abiertos en nuestro equipo
ss -tulnp
# Escanear servicios en la red local
nmap -sV 192.168.1.0/24
Aviso legal: El uso de estas herramientas sobre redes o sistemas ajenos sin autorización es un delito tipificado en el Código Penal (art. 197 bis). Solo las usaremos en nuestro entorno de laboratorio.
3. Monitorización y Análisis de Tráfico (Sniffing)¶
3.1. ¿Qué es el sniffing?¶
El sniffing es la captura y análisis del tráfico que circula por una red. Es una técnica usada tanto por atacantes (para robar información) como por administradores (para diagnosticar problemas).
En una red con switch, el tráfico solo llega al destinatario correcto. Para hacer sniffing en este entorno, el atacante necesita técnicas adicionales como el ARP Spoofing.
3.2. Wireshark en Ubuntu 24¶
Wireshark es el analizador de protocolos más utilizado en el mundo. Permite capturar paquetes en tiempo real y reconstruir sesiones completas.
# Instalación
sudo apt update && sudo apt install wireshark -y
# Añadir nuestro usuario al grupo wireshark (para capturar sin sudo)
sudo usermod -aG wireshark $USER
# (Cerrar sesión y volver a entrar para que surta efecto)
Filtros esenciales de Wireshark:
| Filtro | Qué muestra |
|---|---|
http |
Todo el tráfico HTTP |
ftp |
Comandos FTP (incluye credenciales) |
tcp.port == 23 |
Tráfico Telnet |
ip.addr == 192.168.1.X |
Tráfico de una IP concreta |
http.request.method == "POST" |
Formularios enviados por HTTP |
3.3. Captura de paquetes y reconstrucción de sesiones¶
Wireshark permite reconstruir sesiones TCP completas: clic derecho sobre un paquete → “Follow TCP Stream”. En una sesión FTP o Telnet, verás las credenciales en texto plano.
3.4. Laboratorio Práctico 1¶
Interceptación de credenciales en servicios inseguros mediante Wireshark en entorno virtualizado.
En este laboratorio configuraremos una máquina virtual con un servidor FTP inseguro y capturaremos las credenciales de acceso con Wireshark desde otra máquina virtual en la misma red NAT de VirtualBox.
4. Filtrado de Tráfico mediante Cortafuegos (Firewalls)¶
4.1. ¿Qué es un cortafuegos?¶
Un cortafuegos (firewall) es un sistema que controla el tráfico de red entrante y saliente según un conjunto de reglas. Es la primera barrera de defensa de cualquier red.
4.2. Tipos de cortafuegos¶
| Tipo | Cómo filtra | Ventaja | Limitación |
|---|---|---|---|
| Por paquetes | IP origen/destino, puerto, protocolo | Rápido y simple | No analiza el contenido |
| Stateful (con estado) | Rastrea el estado de las conexiones | Más inteligente | Mayor consumo de recursos |
| De aplicación (proxy) | Analiza el contenido a nivel de aplicación | Muy preciso | Más lento |
4.3. Configuración de reglas: puertos, IPs y protocolos¶
Una regla de firewall define:
- Dirección: entrada (INPUT) o salida (OUTPUT)
- Protocolo: TCP, UDP, ICMP
- Puerto: número de puerto o rango
- IP origen/destino: dirección o rango de red
- Acción: ALLOW (permitir) o DENY (denegar)
4.4. UFW en Ubuntu 24¶
UFW (Uncomplicated Firewall) es la interfaz simplificada de iptables incluida en Ubuntu.
# Activar UFW
sudo ufw enable
# Política por defecto: denegar todo lo entrante, permitir todo lo saliente
sudo ufw default deny incoming
sudo ufw default allow outgoing
# Permitir servicios específicos
sudo ufw allow ssh # Puerto 22
sudo ufw allow https # Puerto 443
sudo ufw allow 80/tcp # Puerto 80 TCP
# Denegar un puerto concreto
sudo ufw deny 23/tcp # Bloquear Telnet
# Ver el estado y las reglas activas
sudo ufw status verbose
# Eliminar una regla
sudo ufw delete allow 80/tcp
4.5. Introducción a pfSense¶
pfSense es un sistema operativo basado en FreeBSD especializado en funciones de red: firewall, router, VPN, proxy… Es ampliamente usado en entornos empresariales y es gratuito.
En nuestro laboratorio lo instalaremos en VirtualBox para simular un cortafuegos perimetral real.
4.6. Laboratorio Práctico 2¶
Configuración de una DMZ virtual para proteger un servidor de aplicaciones web.
Crearemos una topología de red en VirtualBox con tres zonas: red interna (LAN), zona desmilitarizada (DMZ) con el servidor web, e Internet simulada (WAN). Configuraremos pfSense para que solo el tráfico HTTP/HTTPS llegue al servidor.
5. Cifrado y Privacidad de la Información¶
5.1. Introducción a la criptografía aplicada¶
El cifrado transforma los datos en un formato ilegible para cualquiera que no tenga la clave correcta. Es el mecanismo fundamental que garantiza la Confidencialidad.
| Tipo | Cómo funciona | Ejemplos | Uso típico |
|---|---|---|---|
| Simétrico | Una sola clave para cifrar y descifrar | AES-256, ChaCha20 | Cifrado de datos en masa |
| Asimétrico | Par de claves: pública (cifra) y privada (descifra) | RSA, ECC | Intercambio de claves, firmas |
| Hash | Función unidireccional, no reversible | SHA-256, bcrypt | Verificación de integridad, contraseñas |
5.2. Certificados digitales y HTTPS¶
Un certificado digital vincula una clave pública con la identidad de un servidor. Es emitido y firmado por una Autoridad Certificadora (CA) de confianza.
Cuando accedes a una web HTTPS: 1. El servidor presenta su certificado. 2. Tu navegador verifica que está firmado por una CA de confianza. 3. Se negocia una clave de sesión cifrada (handshake TLS). 4. Toda la comunicación queda cifrada.
# Ver el certificado de un servidor desde la terminal
openssl s_client -connect www.gva.es:443 -showcerts
# Verificar la fecha de expiración
echo | openssl s_client -connect www.gva.es:443 2>/dev/null | openssl x509 -noout -dates
5.3. Redes Privadas Virtuales (VPN)¶
Una VPN crea un túnel cifrado entre dos puntos a través de una red no confiable (como Internet). Todo el tráfico que pasa por ese túnel queda protegido.
Casos de uso: - Empleado en casa que accede a la red de la empresa de forma segura. - Proteger la navegación en una red Wi-Fi pública. - Conectar dos sedes de una empresa (VPN site-to-site).
Protocolos VPN más comunes:
| Protocolo | Características |
|---|---|
| OpenVPN | Open source, muy seguro, multiplataforma |
| WireGuard | Moderno, muy rápido, código simple |
| IPSec/IKEv2 | Estándar empresarial, nativo en móviles |
| L2TP/IPSec | Antiguo, en desuso progresivo |
5.4. Laboratorio Práctico 3¶
Creación de túneles seguros mediante SSH Port Forwarding para asegurar conexiones remotas.
Aprenderemos a usar SSH no solo para administración remota, sino como herramienta de tunneling: redirigiremos el tráfico de un servicio inseguro (como HTTP) a través de un túnel SSH cifrado.
# Ejemplo: acceder a un servidor web remoto de forma segura
# (redirige el puerto local 8080 al puerto 80 del servidor remoto a través de SSH)
ssh -L 8080:localhost:80 usuario@servidor-remoto
6. Seguridad en Redes Inalámbricas¶
6.1. Evolución de los estándares de seguridad Wi-Fi¶
| Estándar | Año | Cifrado | Estado actual |
|---|---|---|---|
| WEP | 1997 | RC4 (40/104 bits) | Roto — no usar nunca |
| WPA | 2003 | TKIP | Obsoleto |
| WPA2 | 2004 | AES-CCMP | Aceptable (con buena contraseña) |
| WPA3 | 2018 | SAE (Dragonfly) | Recomendado |
WEP puede romperse en menos de 5 minutos con herramientas como Aircrack-ng. Si ves un punto de acceso con WEP, es una vulnerabilidad crítica.
6.2. Riesgos específicos de las redes inalámbricas¶
- Redes abiertas: Sin cifrado, cualquiera puede capturar el tráfico.
- Evil Twin (AP falso): El atacante crea un punto de acceso con el mismo nombre (SSID) que uno legítimo para capturar credenciales.
- Ataques de diccionario al handshake WPA2: Se captura el handshake de autenticación y se ataca offline con diccionarios de contraseñas.
- PMKID Attack: Permite atacar WPA2 sin necesidad de capturar el handshake completo.
6.3. Buenas prácticas en puntos de acceso¶
- Usar WPA3 o WPA2 con AES (nunca TKIP ni WEP).
- Contraseña de al menos 12 caracteres con mayúsculas, minúsculas, números y símbolos.
- Cambiar el SSID por defecto (no revelar el modelo del router).
- Deshabilitar WPS (tiene vulnerabilidades conocidas).
- Activar el aislamiento de clientes (los dispositivos no se ven entre sí).
- Crear una red de invitados separada para dispositivos no confiables.
- Actualizar el firmware del punto de acceso regularmente.
7. Evaluación y Criterios de Calificación¶
Criterios de evaluación (RA4)¶
| Criterio | Descripción | Peso |
|---|---|---|
| A | Identificación de la necesidad de cifrado según el servicio | 20% |
| B | Instalación y configuración de herramientas de monitorización | 25% |
| C | Configuración de cortafuegos para restringir accesos no deseados | 25% |
| Proyecto | Auditoría y seguridad de una red corporativa simulada en VirtualBox | 30% |
Proyecto de Unidad: Auditoría de Red Corporativa¶
Al finalizar el tema, realizarás una auditoría completa de una red simulada en VirtualBox que incluirá:
- Reconocimiento: Escaneo de la red con Nmap para identificar todos los servicios.
- Análisis de vulnerabilidades: Identificación de protocolos inseguros y puertos innecesarios.
- Explotación controlada: Captura de credenciales en servicios inseguros con Wireshark.
- Hardening: Aplicación de medidas correctoras (UFW, migración a protocolos seguros).
- Informe técnico: Documento con los hallazgos y las soluciones aplicadas.
Recursos Técnicos del Tema¶
| Recurso | Especificación | Para qué lo usamos |
|---|---|---|
| Sistema Operativo | Ubuntu 24.04 LTS | Entorno principal de trabajo |
| Virtualización | Oracle VM VirtualBox | Laboratorios y simulaciones |
| Análisis de red | Wireshark, Nmap, tcpdump | Sniffing y auditoría |
| Cortafuegos | UFW, pfSense | Filtrado de tráfico |
| Acceso seguro | OpenSSH | Administración remota y tunneling |
| Documentación | INCIBE, Ubuntu Docs, Wireshark Wiki | Consulta y referencia |
Enlaces de referencia¶
- INCIBE — Instituto Nacional de Ciberseguridad
- Ubuntu Server Security Guide
- Wireshark — Sample Captures
- pfSense Documentation
- SSL Labs — Test de configuración HTTPS
Planificación del Tema¶
| Sesión | Contenido | Tipo |
|---|---|---|
| 1 | Fundamentos CIA · Protocolos seguros vs. inseguros | Teoría |
| 2 | Nmap · Identificación de servicios vulnerables | Práctica guiada |
| 3 | Wireshark · Captura y análisis de tráfico | Práctica guiada |
| 4 | Lab 1: Interceptación de credenciales | Laboratorio |
| 5 | Cortafuegos: conceptos · UFW en Ubuntu | Teoría + Práctica |
| 7 | Lab 2: DMZ virtual con pfSense | Laboratorio |
| 8 | Criptografía · Certificados · VPN | Teoría |
| 9 | SSH avanzado · Port Forwarding | Práctica guiada |
| 10 | Lab 3: Túneles SSH | Laboratorio |
| 11 | Seguridad Wi-Fi · WPA2/WPA3 · Buenas prácticas | Teoría + Práctica |
| 12-13 | Proyecto: Auditoría de red corporativa | Evaluación |