Laboratorio: Crear y almacenar contraseñas seguras

Objetivos
Comprender los conceptos correspondientes a una contraseña segura.
Parte 1: Explore los conceptos relacionados con la creación de una contraseña segura.
Parte 2: ¿Desea explorar los conceptos relacionados con el almacenamiento seguro de sus
contraseñas?

Aspectos básicos/situación
Las contraseñas se usan mucho para reforzar el acceso a los recursos. Los atacantes usarán muchas técnicas para
descubrir las contraseñas de los usuarios y conseguir acceso no autorizado a recursos o datos.
Para protegerse mejor, es importante que entienda en qué consiste una contraseña segura y cómo almacenarla
en forma segura.

Recursos necesarios
 Computadora o dispositivo móvil con acceso a Internet

Parte 1: Creación de una contraseña segura

Las contraseñas seguras tienen cuatro requisitos principales que se detallan a continuación por orden de importancia:
1) El usuario debe poder recordar la contraseña fácilmente.
2) Otra persona no debe poder adivinar la contraseña.
3) Un programa no debe poder adivinar ni descubrir la contraseña.
4) Debe ser compleja, incluyendo números, símbolos y una combinación de letras mayúsculas y
minúsculas.
Basándose en la lista anterior, el primer requisito, probablemente, sea el más importante porque usted debe poder
recordar su contraseña. Por ejemplo, la contraseña #4sFrX^-aartPOknx25_70!xAdk<d! se considera una contraseña
segura porque satisface los tres últimos requisitos, pero es muy difícil de recordar.
Muchas organizaciones requieren contraseñas que contengan una combinación de números, símbolos y letras
mayúsculas y minúsculas. Las contraseñas que cumplen con esta política están bien siempre y cuando los usuarios
puedan recordarlas. Abajo hay un ejemplo de un conjunto de directivas de contraseña en una organización típica:
 La contraseña debe tener una longitud de, al menos, 8 caracteres.
 La contraseña debe contener letras mayúsculas y minúsculas.
 La contraseña debe contener un número.
 La contraseña debe contener un carácter especial.

© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de 3
Laboratorio: Crear y almacenar contraseñas

Tómese un momento para analizar las características de una contraseña segura y el conjunto común de directivas de
contraseña antes mencionado. ¿Por qué el conjunto de políticas deja de lado los dos primeros puntos? Explique.

Una excelente forma de crear contraseñas seguras es elegir cuatro o más palabras al azar y concatenarlas. La contraseña
televisionranabotasiglesia es más segura que J0n@que#81. Observe que, si bien la segunda contraseña cumple
con las políticas antes descritas, los programas descifradores de contraseñas (cracks) son muy eficientes para detectar este
tipo de contraseña. Aunque muchos conjuntos de directivas de contraseña no aceptarán la primera contraseña,
televisionranabotasiglesia, esta es mucho más segura que la segunda. Es mucho más fácil de recordar para el
usuario (especialmente, si está asociada con una imagen), es muy larga y su factor aleatorio hace que sea más difícil de
adivinar para los programas descifradores de contraseñas.
Con una herramienta de creación de contraseñas en línea, cree contraseñas basadas en el conjunto común de directivas de
contraseña para empresas antes descrito.
a. Abra un navegador web y vaya a http://passwordsgenerator.net.
b. Seleccione las opciones para cumplir con el conjunto de directivas de contraseña.
c. Genere la contraseña.
¿La contraseña generada es fácil de recordar?

Mediante una herramienta de creación de contraseñas en línea, cree contraseñas basadas en palabras al azar.
Tenga en cuenta que, como las palabras se escriben unidas, no se consideran como palabras del diccionario.
d. Abra un navegador web y vaya a http://preshing.com/20110811/xkcd-password-generator/.
e. Genere una contraseña de palabras al azar haciendo clic en Generate Another! en la parte superior de la página
web.
f. ¿La contraseña generada es fácil de recordar?

Parte 2: Almacenamiento seguro de contraseñas

Si el usuario elige usar un administrador de contraseñas, la primera característica de una contraseña segura puede
ignorarse porque el usuario tiene acceso al administrador de contraseñas en todo momento. Tenga presente que algunos
usuarios solo confían en su propia memoria para guardar sus contraseñas. Los administradores de contraseñas, tanto
locales como remotos, deben tener un almacén de contraseñas, que podría verse comprometido.
El almacén de contraseñas del administrador de contraseñas debe tener un cifrado seguro y el acceso a este debe
controlarse estrictamente. Gracias a aplicaciones de teléfonos móviles e interfaces web, los administradores de
contraseñas basados en la nube ofrecen acceso ininterrumpido y en cualquier momento a los usuarios.

© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de
Laboratorio: Crear y almacenar contraseñas

Un administrador de contraseñas popular es LastPass. Cree

una cuenta de LastPass de prueba:
a. Abra un navegador web y vaya a https://lastpass.com/.
b. Haga clic en Start Trial para crear una cuenta de prueba.
c. Complete los campos, según las instrucciones.
d. Establezca una contraseña maestra. Esta contraseña le da acceso a su cuenta de LastPass.
e. Descargue e instale el cliente LastPass para su sistema operativo.
f. Abra el cliente e inicie sesión con su contraseña maestra de LastPass.
g. Explore el administrador de contraseñas de LastPass.
A medida que agrega contraseñas a LastPass, ¿en dónde se almacenan las contraseñas?

Además de usted, al menos una entidad más tiene acceso a sus contraseñas. ¿Cuál es esa entidad?

Si bien puede ser conveniente tener todas sus contraseñas almacenadas en el mismo lugar, también tiene
desventajas. ¿Puede pensar en algunas?

Parte 3: Entonces, ¿qué es una contraseña segura?

Teniendo presentes las características de contraseña segura provistas al inicio de este laboratorio, elija una contraseña
que sea fácil de recordar pero difícil de adivinar. Está bien usar contraseñas complejas siempre que no afecten
requisitos más importantes como la capacidad para recordarlas fácilmente.
Si se usa un administrador de contraseñas, la necesidad de que puedan recordarse fácilmente puede omitirse.
A continuación, se proporciona un resumen rápido:
Elija una contraseña que pueda recordar.
Elija una contraseña que otra persona no pueda asociar con usted.
Elija contraseñas diferentes y nunca use la misma contraseña para servicios diferentes. Está bien usar
contraseñas complejas siempre que esto no las haga difíciles de recordar.

© 2022 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de
Laboratorio: Descubra su propio comportamiento riesgoso en línea
Objetivos
Explore las acciones realizadas en línea que pueden comprometer su seguridad o privacidad.

Antecedentes/Escenarios
Internet es un entorno hostil y usted debe estar atento para asegurarse de que sus datos no estén en riesgo. Los atacantes
son creativos e intentarán muchas técnicas diferentes para engañar a los usuarios. Esta práctica de laboratorio le permite
identificar comportamientos en línea riesgosos y le proporciona sugerencias sobre cómo aumentar su seguridad en línea.

Parte 1: Explore los términos de la política de servicio

Responda las siguientes preguntas con sinceridad y tome nota de los puntos que le corresponden por pregunta. Sume
todos los puntos para determinar una puntuación total y continúe con la Parte 2 para realizar un análisis de su
comportamiento en línea.
a. ¿Qué tipo de información comparte con los sitios de redes sociales?
1) Todo; dependo de las redes sociales para mantenerme en contacto con mis amigos y familiares. (3 puntos)
2) Artículos o noticias que encuentro o leo (2 puntos)
3) Depende; filtro lo que comparto y con quiénes lo comparto. (1 punto)
4) Nada; no uso redes sociales. (0 puntos)
b. Cuando crea una cuenta nueva en un servicio en línea:
1) Vuelve a usar la misma contraseña que usa en otros servicios para recordarla fácilmente. (3 puntos)
2) Crea una contraseña lo más fácil posible para poder recordarla. (3 puntos)
3) Crea una contraseña muy compleja y la almacena en un servicio de administrador de contraseñas. (1 punto)
4) Crea una contraseña nueva similar a, pero diferente de, una contraseña que usa en otro servicio. (1 punto)
5) Crea una contraseña segura totalmente nueva. (0 puntos)
c. Cuando recibe un correo electrónico con enlaces a otros sitios:
1) No hace clic en el enlace porque nunca sigue los enlaces que le envían por correo electrónico. (0 puntos)
2) Hace clic en los enlaces porque el servidor del correo electrónico ya escaneó el correo electrónico. (3 puntos)
3) Hace clic en todos los enlaces si el correo electrónico es de personas que usted conoce. (2 puntos)
4) Antes de hacer clic, pasa el cursor sobre los enlaces para comprobar la URL de destino. (1 punto)
d. Cuando visita un sitio web, aparece una ventana emergente. En ella se le indica que su equipo está en riesgo y
que debe descargar e instalar un programa de diagnóstico para garantizar su seguridad:

1) Hace clic en el programa, lo descarga y lo instala para mantener su equipo seguro. (3 puntos)
2) Inspecciona las ventanas emergentes y pasa el cursor sobre el enlace para comprobar su validez. (3 puntos)

© 2023 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de
Laboratorio: Descubra su propio comportamiento riesgoso en

3) Ignora el mensaje y se asegura de no hacer clic en este o de no descargar el programa y cierra el sitio web.
(0 puntos)
e. Cuando necesita iniciar sesión en el sitio web de su institución financiera para realizar una tarea:

1) Ingresa la información de inicio de sesión de inmediato. (3 puntos)

2) Verifica la URL para confirmar que se trata de la institución que buscaba antes de ingresar la
información. (0 puntos)
3) No usa servicios financieros o de banca en línea. (0 puntos)
f. Lee sobre un programa y decide probarlo. Está navegando en Internet y encuentra una versión de prueba de
un sitio desconocido:
1) Rápidamente descarga e instala el programa. (3 puntos)
2) Busca más información sobre el creador del programa antes de descargarlo. (1 puntos)
3) No descarga ni instala el programa. (0 puntos)
g. Encuentra una unidad USB de camino al trabajo:
1) Lo recoge y lo conecta a su equipo para mirar el contenido. (3 puntos)
2) Lo recoge y lo conecta a su equipo para borrar por completo el contenido antes de reutilizarlo. (3
puntos)
3) Lo recoge y lo conecta a su equipo para ejecutar un análisis de antivirus antes de reutilizarlo para sus
propios archivos (3 puntos)
4) No lo recoge. (0 puntos)
h. Necesita conectarse a Internet y encuentra una zona de cobertura wifi abierta. Usted:
1) Se conecta y usa Internet. (3 puntos)
2) No se conecta y espera hasta tener una conexión de confianza. (0 puntos)
3) Se conecta y establece una VPN a un servidor confiable antes de enviar información. (0 puntos)

Parte 2: Analice su comportamiento en línea

Cuanto mayor es su puntuación, menos seguros son sus comportamientos en línea. La meta es ser
100% seguro al prestar atención a todas sus interacciones en línea. Esto es muy importante, dado que solo basta un
error para comprometer su equipo y sus datos.
Sume los puntos de la Parte 1. Registre su puntuación.
0: usted es muy seguro en línea.
0 – 3: usted es medianamente seguro en línea pero aún debe cambiar su comportamiento para que sea totalmente
seguro.
3 – 17: tiene un comportamiento poco seguro en línea y un alto riesgo de ser comprometido.
18 o más: es muy poco seguro en línea y será comprometido.
A continuación, se indican algunas sugerencias de seguridad en línea importantes.
a. Cuanta más información comparte en las redes sociales, más permite que un atacante lo conozca. Con más
conocimientos, un atacante puede diseñar un ataque mucho más dirigido. Por ejemplo, al compartir con el mundo
que fue a una carrera de autos, un atacante puede generar un correo electrónico malicioso de la empresa responsable
de la venta de entradas para el evento. Dado que usted acaba de asistir a la carrera, el correo electrónico parece más
creíble.

© 2023 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de
Laboratorio: Descubra su propio comportamiento riesgoso en

b. Reutilizar contraseñas es una mala práctica. Si reutiliza una contraseña en un servicio bajo el control de los
atacantes, probablemente tengan éxito al intentar iniciar sesión como usted en otros servicios.
c. Los correos electrónicos pueden ser fácilmente falsificados para parecer legítimos. A menudo, los correos
electrónicos falsificados contienen enlaces a malware o sitios maliciosos. Como regla general, no haga clic en
enlaces incrustados recibidos mediante correo electrónico.
d. No acepte ningún software no solicitado, especialmente, si proviene de una página web. Es muy improbable que
una página web tenga una actualización de software legítima para usted. Le recomendamos que cierre el navegador
y que use las herramientas del sistema operativo para consultar las actualizaciones.
e. Las páginas web maliciosas se pueden desarrollar fácilmente para parecerse a un sitio web de una institución
bancaria o financiera. Antes de hacer clic en los enlaces o de proporcionar información, haga doble clic en la URL
para asegurarse de estar en la página web correcta.
f. Cuando permite que un programa se ejecute en su equipo, le otorga mucho poder. Piense bien antes de permitir que
un programa se ejecute. Investigue para asegurarse de que la empresa o la persona detrás del programa es un autor
serio y legítimo. Además, solo descargue el programa del sitio web oficial de la empresa o de la persona.
g. Las unidades USB y los dispositivos de memoria incluyen un pequeño controlador que permite que los equipos se
comuniquen con ellos. Es posible infectar dicho controlador e indicarle que instale software malicioso en el
equipo host. Dado que el malware está alojado en el mismo controlador USB y no en el área de datos, no importa
cuántas veces se borre, ningún análisis de antivirus detectará el malware.
h. Con frecuencia, los atacantes implementan zonas de cobertura wifi falsas para atraer a los usuarios. Dado que el
atacante tiene acceso a toda la información intercambiada mediante la zona de cobertura comprometida, los usuarios
conectados a dicha zona de cobertura están en riesgo. Nunca use zonas de cobertura wifi desconocidas sin cifrar su
tráfico a través de una VPN. Nunca proporcione información confidencial como números de tarjeta de crédito
cuando usa una red desconocida (cableada o inalámbrica).

Reflexión
Después de analizar su comportamiento en línea, ¿qué cambios implementaría para protegerse en línea?

© 2023 Cisco y/o sus afiliados. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de
Práctica de laboratorio: uso de firmas digitales
Objetivos
Comprender los conceptos detrás de la firma digital. Parte 1:
demostrar el uso de las firmas digitales. Parte 2:
demostrar la verificación de una firma digital.

Aspectos básicos/situación
Una firma digital es una técnica matemática utilizada para validar la autenticidad y la integridad de un mensaje digital.
Una firma digital es el equivalente de una firma manuscrita. Las firmas digitales realmente pueden ser mucho más
seguras. El propósito de una firma digital es evitar la manipulación y la suplantación de identidad en las comunicaciones
digitales. En muchos países, incluido Estados Unidos, las firmas digitales tienen la misma importancia legal que las
formas tradicionales de documentos firmados. El gobierno de los Estados Unidos actualmente publica las versiones
electrónicas de presupuestos, leyes y proyectos parlamentarios con firmas digitales.

Recursos necesarios
 Equipo de escritorio o dispositivo móvil con acceso a Internet

Parte 1: Uso de firmas digitales

En esta parte, utilizará una página web para verificar la firma de un documento entre Alice y Bob. Alice y Bob
comparten un par de claves RSA privadas y públicas. Cada uno de ellos usa la clave privada para firmar un documento
jurídico. Luego se envían los documentos entre sí. Alice y Bob pueden verificar la firma de cada uno con la clave
pública. También deben acordar un exponente público compartido para el cálculo.
Tabla:1 claves RSA públicas y privadas

Clave RSA d94d889e88853dd89769a18015a0a2e6bf82bf356fe14f251fb4f5e2df0d9f9a94a68a3

0c428b39e3362fb3779a497eceaea37100f264d7fb9fb1a97fbf621133de55fdcb9b1ad
pública
0d7a31b379216d79252f5c527b9bc63d83d4ecf4d1d45cbf843e8474babc655e9bb67
99cba77a47eafa838296474afc24beb9c825b73ebf549

Clave RSA 47b9cfde843176b88741d68cf096952e950813151058ce46f2b048791a26e507a1095

privada 793c12bae1e09d82213ad9326928cf7c2350acb19c98f19d32d577d666cd7bb8b2b5b
a629d25ccf72a5ceb8a8da038906c84dcdb1fe677dffb2c029fd8926318eede1b58272
af22bda5c5232be066839398e42f5352df58848adad11a1

Exponente 10001
público

© 2023 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 1 de
 Práctica de laboratorio: uso de firmas

Paso 1: Firme el documento

Alice firma un documento jurídico y lo envía a Bob mediante las claves públicas y privadas RSA que se muestran
en la tabla anterior. Ahora Bob tendrá que verificar la firma digital de Alice para confiar en la autenticidad de los
documentos electrónicos.

Paso 2: Verifique la firma digital.

Bob recibe el documento con una firma digital que se muestra en la siguiente tabla.
Tabla:2 firma digital de Alice

Firma digital de Alice

0xc8 0x93 0xa9 0x0d 0x8f 0x4e 0xc5 0xc3 0x64 0xec 0x86 0x9d 0x2b 0x2e 0xc9 0x21 0xe3 0x8b 0xab 0x23 0x4a 0x4f 0x45 0xe8 0x96
Haga clic aquí para usar la herramienta en línea RSA a fin de verificar la autenticidad de la firma digital de Alice.

© 2023 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 2 de
 Práctica de laboratorio: uso de firmas

Tabla:3 herramienta de firma digital en línea

a. Copie y pegue las claves públicas y privadas de la Tabla 1 arriba en los cuadros Módulo público y
Exponente privado en el sitio web, como se muestra en la imagen anterior.
b. Asegúrese de que el Exponente público sea 10001.
c. Pegue la firma digital de Alice de la Tabla 2 en el cuadro llamado Texto de la página web, como se muestra
arriba.
d. Ahora BOB puede verificar la firma digital al hacer clic en el botón Verificar cerca del centro de la parte inferior
de la página web. ¿Qué firma se identifica?

© 2023 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 3 de
 Práctica de laboratorio: uso de firmas

Paso 3: Generar una firma de respuesta.

Bob recibe y verifica el documento electrónico y la firma digital de Alice. Ahora Bob crea un documento electrónico y
genera su propia firma digital con la clave RSA privada de la Tabla 1. (Nota: el nombre de Bob aparece en letras
mayúsculas).
Tabla: 4 firma digital de BOB

Firma digital de BOB

Bob envía el documento electrónico y la firma digital a Alice.

Paso 4: Verifique la firma digital.

a. Copie y pegue las claves públicas y privadas de la Tabla 1 arriba en los cuadros Módulo público y
Exponente privado en el sitio web, como se muestra en la imagen anterior.
b. Asegúrese de que el Exponente público sea 10001.
c. Pegue la firma digital de Bob de la Tabla 4 en el cuadro llamado Texto de la página web, como se muestra
arriba.
d. Ahora Alice puede verificar la firma digital al hacer clic en el botón Verificar cerca del centro de la parte inferior
de la página web. ¿Qué firma se identifica?

Parte 2: Cree su propia firma digital

Ahora que ve cómo funcionan las firmas digitales, puede crear su propia firma digital.

Paso 1: Generar un nuevo par de claves RSA.

Vaya a la herramienta del sitio web y genere un nuevo conjunto de claves públicas y privadas RSA.
a. Borre el contenido de los cuadros llamados Módulo público,Módulo privado yTexto. Solo use el mouse para
resaltar el texto y presione la tecla Eliminar en su teclado.
b. Asegúrese de que la casilla “Exponente público” tenga 10001.
c. Genere un nuevo conjunto de claves RSA haciendo clic en el botón Generar cerca del extremo inferior derecho
de la página web.
d. Copie las nuevas claves en la Tabla 5.

© 2023 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 4 de
 Práctica de laboratorio: uso de firmas

Tabla:5 nuevas claves RSA

Clave pública

Clave privada

e. Ahora escriba su nombre completo en el cuadro llamado Texto y haga clic en Firmar.
Tabla: 6 firma digital personal

Firma digital personal

Parte 3: Intercambie y verifique las firmas digitales

Ahora puede utilizar esta firma digital.

Paso 1: Intercambie sus nuevas claves públicas y privadas en la Tabla 5 con su compañero.
a. Registre las claves RSA públicas y privadas de su compañero en la Tabla 5.
b. Registre ambas claves en la siguiente tabla.
Tabla: 7 claves RSA de sus compañeros

Clave pública

Clave privada

c. Ahora intercambie su firma digital de la Tabla-6. Registre la firma digital en la siguiente tabla.

Firma digital del

compañero

Paso 2: Verifique la firma digital de sus compañeros

a. Para verificar la firma digital de su compañero, pegue las claves públicas y privadas en los cuadros
correspondientes llamados Módulos públicos y privados en la página web.
b. Ahora pegue la firma digital en el cuadro llamado Texto.
c. Ahora verifique su firma digital al hacer clic en el botón Verificar.
d. ¿Qué aparece en el cuadro llamado Texto?

© 2023 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es información pública de Cisco. Página 5 de