• Descripción

Esta asignatura introduce la problemática de la seguridad informática y lo hace describiendo y estudiando una parte concreta de ella, las vulnerabilidades que presentan los sistemas informáticos. La existencia de una vulnerabilidad en un sistema informático es lo que posibilita que este sistema pueda ser atacado. En esta la asignatura estudiaremos las definiciones básicas de las vulnerabilidades, qué tipos hay y cómo se identifican y etiquetan.

Una vez entendidos los conceptos básicos, pasaremos a ver algunos ejemplos de diferentes tipos de vulnerabilidades presentes en diferentes niveles. Se ha optado por hacer una clasificación de las vulnerabilidades en base al tipo de sistema que afecta a la vulnerabilidad. Así, la asignatura presenta vulnerabilidades de bajo nivel, vulnerabilidades de redes y vulnerabilidades en aplicaciones web.

Por otra parte, también analizaremos uno de los factores a menudo más vulnerable cuando se analizan los sistemas informáticos: los usuarios. Haremos un estudio de diferentes técnicas de ingeniería social, cuáles son sus objetivos y cómo se pueden identificar los elementos vulnerables de estos factores.

Finalmente, la asignatura introduce la problemática de las botnets. Como se verá, las botnets se pueden considerar como un sistema complejo que subsiste gracias a la explotación de diferentes vulnerabilidades en diferentes niveles que les permite pasar desapercibidas. Además, a menudo las botnets utilizan técnicas de ingeniería social para conseguir parte de sus objetivos.

Por último, es importante destacar que la asignatura no pretende dar una visión exhaustiva de todas las vulnerabilidades existentes en los sistemas informáticos, ya que obviamente esto requeriría unos conocimientos y una concreción que va mucho más allá de una asignatura. El objetivo principal de la asignatura es dar al estudiante un mapa general de diferentes vulnerabilidades existentes para que sea consciente de la problemática que suponen y tenga conocimientos suficientes para desarrollar técnicas que permitan detectarlas y minimizar su impacto .

• Información previa a la matrícula

Para poder matricularse del TFM, el estudiante deberá tener superados al menos 30 créditos ECTS del programa.

Las áreas de TFM que se ofrecen son las siguientes:

-          Aspectos legales de la seguridad informática

-          Sistemas de gestión de la seguridad de la información

-          Seguridad en sistemas operativos

-          Seguridad en bases de datos

-          Seguridad en redes y aplicaciones distribuidas

-          Criptografía

-          Seguridad en aplicaciones web

-          Seguridad en sistemas biométricos

-          Ad hoc^*

* Proyectos que no se enmarcan en ninguna de las áreas predefinidas (p.e. proyectos a través de un convenio universidad-emprendida)

• Objetivos y competencias

Los objetivos principales de la asignatura son los siguientes:

• Entender el concepto de vulnerabilidad y conocer como estas se identifican y se catalogan.
• Analizar algunas vulnerabilidades a nivel de sistema y ver cómo éstas son explotadas por software malicioso.
• Entender la complejidad y la diversidad de las vulnerabilidades de red.
• Conocer las diferentes técnicas de escaneo de vulnerabilidades para permitir su detección.
• Tener conocimiento de la diversidad y especificidad de las vulnerabilidades de aplicaciones web.
• Saber identificar las estrategias, las técnicas y los medios más comunes utilizados en la ingeniería social.
• Conocer el concepto de botnet como sistema complejo que se basa en la existencia de vulnerabilidades para su gestión y propagación.

• Contenidos

Los contenidos de la asignatura se agrupan en seis módulos didácticos que presentan las siguientes temáticas:

M1 - Introducción a las vulnerabilidades (0,5 créditos)

1. Nociones básicas.
2. Gestión de vulnerabilidades.
3. Clasificación de vulnerabilidades.

M2 - Vulnerabilidad de bajo nivel y software malicioso (1 crédito)

1. Vulnerabilidades de bajo nivel.
2. Software malicioso.
3. Detección de malware.
4. Mecanismos de evasión.

M3 - Vulnerabilidades en redes (1 crédito)

1. Conceptos básicos.
2. Protocolos locales.
3. Interconexión de redes.
4. Protocolos extremo a extremo.
5. Escáneres de vulnerabilidades.

M4 - Ataques a aplicaciones web (1,5 créditos)

1. Ataques de inyección de scripts.
2. Ataques de inyección de código.
3. Ataques de inyección de ficheros.

M5 - Ingeniería social (1 crédito)

1. El proceso de la ingeniería social.
2. Estrategias y técnicas.
3. Casos prácticos.
4. Casos especiales de ingeniería social.
5. Análisis.
6. Prevención y reflexiones.

M6 - Botnets (1 crédito)

1. Antecedentes e inicios de la amenaza.
2. Fases previas al despliegue de una botnet.
3. Coordinación y gestión básica de robots.
4. Mayor redundancia y protección en las comunicaciones.
5. Modelo económico asociado a las botnets.

• Consulta de los recursos de aprendizaje de los que dispone la asignatura

• Recursos de aprendizaje y herramientas de apoyo

El material didáctico de la asignatura se compone de 6 módulos didácticos en formato papel. Para realizar algunas de las actividades prácticas se utilizará material complementario, que el estudiante podrá encontrar en el espacio de recursos del aula.

• Informaciones sobre la evaluación en la UOC

La Normativa académica de la UOC dispone que el proceso de evaluación se fundamenta en el trabajo personal del estudiante y presupone la autenticidad de la autoría y la originalidad de los ejercicios realizados.

La falta de originalidad en la autoría o el mal uso de las condiciones en las que se hace la evaluación de la asignatura es una infracción que puede tener consecuencias académicas graves.

Se calificará al estudiante con un suspenso (D/0) si se detecta falta de originalidad en la autoría de alguna actividad evaluable (práctica, prueba de evaluación continua (PEC) o final (PEF), o la que se defina en el plan docente), ya sea porque ha utilizado material o dispositivos no autorizados, ya sea porque ha copiado de forma textual de internet, o ha copiado de apuntes, de materiales, manuales o artículos (sin la citación correspondiente) o de otro estudiante, o por cualquier otra conducta irregular.

La calificación de suspenso (D/0) en la evaluación continua (EC) puede conllevar la obligación de hacer el examen presencial para superar la asignatura (si hay examen y si superarlo es suficiente para superar la asignatura según indique este plan docente).

Cuando esta mala conducta se produzca durante la realización de las pruebas de evaluación finales presenciales, el estudiante puede ser expulsado del aula, y el examinador hará constar todos los elementos y la información relativos al caso.

Además, esta conducta puede dar lugar a la incoación de un procedimiento disciplinario y la aplicación, si procede, de la sanción que corresponda.

La UOC habilitará los mecanismos que considere oportunos para velar por la calidad de sus titulaciones y garantizar la excelencia y la calidad de su modelo educativo.

• Consulta del modelo de evaluación