MECANISMOS DE SEGURIDAD DE RED ENFOCADO A LA SEGURIDAD DE LA

INFORMACIÓN

Las empresas están interesadas en fortalecer sus sistemas a la luz de las vulnerabilidades y de los
ataques cibernéticos que se conocen día a día. Para esto, la seguridad informática contribuye al
desarrollo, mientras mitiga el riesgo de pérdida de la información al utilizar dispositivos avanzados para
la protección de datos, conocen las tecnologías actuales y se mantienen a la vanguardia. Lo anterior
conlleva a ejecutar medidas de seguridad en búsqueda de ataques de software malicioso del lado del
usuario final, con el fin de establecer un marco de seguridad en sistemas de información como parte
fundamental en una organización, tal como expresan, los cuales, por medio de la aplicación, que buscan
la efectividad de la Información en un marco de Seguridad para reducir ataques cibernéticos sobre el
Sistema de Gestión en la Cadena de Suministro en organizaciones.
Sin embargo, así como crecen los mecanismos de la seguridad informática, aumentan el número de
amenazas que se encuentran en el entorno virtual, las cuales evolucionan para lograr su objetivo, esto
hace que surjan nuevos retos que se afrontan mediante la seguridad informática. Existen dos tipos de
seguridad con respecto a la naturaleza de la amenaza: Seguridad lógica, que hace referencia a la
aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información
dentro de un sistema informático; y seguridad física: dentro de la seguridad informática hace referencia
a las barreras físicas y mecanismos de control en el entorno de un sistema informático, para proteger el
hardware de amenazas físicas. Los mecanismos de seguridad física deben resguardar de amenazas
producidas tanto por el hombre como por la naturaleza.
La seguridad lógica para la protección de la información es vital, porque permite: restringir el acceso a
programas y archivos mediante claves y/o encriptación; asignar las limitaciones correspondientes a cada
usuario del sistema informático, esto significa, no dar privilegios extra a un usuario, sino solo los que
necesita para realizar su trabajo; asegurarse de que los archivos y programas que se emplean son los
correctos y se usan correctamente, por ejemplo, el mal uso de una aplicación puede ocasionar agujeros
en la seguridad de un sistema informático; control de los flujos de entrada/salida de la información, esto
incluye que la información enviada llegue al destino deseado, pero no cuenta con un modelo con el cual
se guíen para la creación de un sistema de seguridad informático a nivel lógico, lo que no permite medir
el nivel de protección que tiene una organización.
La aplicación de modelos de seguridad a nivel organizacional, para apoyar la toma de decisiones y la
mejora en los procesos dentro de una organización, ha llevado a estudios como el de, el cual demuestra
que la gestión de riesgo y controles en sistemas de información no son una tarea exclusiva de expertos
en tecnología de la información e ingenieros de software, sino, una labor que requiere de una
perspectiva amplia, que aporte al aprendizaje y apropiación de procesos de cambio organizacional. A
pesar de lo anterior, la política concerniente a la gestión de riesgos y controles de los sistemas de
información, no logra tener la recepción adecuada por parte de la gerencia organizacional, debido a la
falta de entendimiento de su sentido o propósito, y a la ausencia de procesos necesarios para la
implementación adecuada.
Se estudia cómo el hecho de poseer una certificación en ISO 27001, puede influir en la decisión de
seleccionar un proveedor entre las empresas que participen u oferten en una licitación; esto ha llevado a
que las organizaciones que deseen ganar nuevos negocios a través de licitaciones y ofertas, estén bajo
presión para dar información clara sobre procesos internos en la gobernanza y seguridad de la
información, ya que se podría elegir un proveedor sobre otro, basado únicamente en el cumplimiento de
la normativa aplicable o el hecho de que posee la certificación.
También se estudia la importancia en los procesos de TI, para un efectivo control interno sobre la
información financiera en las organizaciones. De igual forma, concluyen que los procesos son
importantes para mantener un control interno efectivo sobre la fiabilidad de la información financiera, el
cual es objeto de interés y relevancia para ejecutivos, gerentes, y auditores en cualquier organización;
mientras que, presenta el enfoque metodológico de la asignatura Servicios y Seguridad del Grado de
Informática y Servicios; proponen un enfoque basado en estrategias de ataque y defensa utilizadas en
sistemas informáticos. A través del enfoque se aprende a diferenciar y a valorar el uso de las técnicas de
seguridad conociendo qué aporta cada una en el cuadro global de la seguridad del sistema y de la
información de la empresa. Teniendo en cuenta los estudios anteriores, se destaca la importancia que
representan las PSI en las organizaciones, por lo tanto, se realiza la presente investigación orientada a la
seguridad lógica.

CONCEPTO
Para proteger la información de nuestras empresas, debemos mantener su confidencialidad,
disponibilidad e integridad. Se deben crear políticas de seguridad que incluyan, tanto las medidas
preventivas como las acciones a tomar, para proteger esta y los soportes donde se almacena, durante
todo su ciclo de vida, desde que se crea hasta que se destruye. De esta forma evitaremos robo,
manipulación y fugas de información.
Las nuevas tecnologías, han hecho que podamos manejar y rentabilizar mejor la información para el
desarrollo de nuestro negocio, pero también ha aumentado la exposición a nuevas amenazas, que hacen
más fácil la fuga de información confidencial, ya sea por agentes internos (descuidos, empleados
descontentos, etc.) o externos (ataques con malware o intrusiones de ciberdelincuentes).
Por este motivo, las políticas de uso de la información deben contemplar tanto la protección ante los
riesgos físicos como incendio, inundaciones, etc. como ante los riesgos derivados de los sistemas donde
se almacena y manipula la información (malware, espionaje industrial, intrusión en los sistemas, etc.)

¿QUÉ ES LA SEGURIDAD DE LA INFORMACIÓN?

Tal y como indicamos, la seguridad de la información engloba un conjunto de técnicas y medidas para
controlar todos los datos que se manejan dentro de una institución y asegurar que no salgan de ese
sistema establecido por la empresa. Principalmente este tipo de sistemas se basan en las nuevas
tecnologías, por tanto, la seguridad de la información resguardará los datos que están disponibles en
dicho sistema y a los que solo tendrán acceso usuarios autorizados. Por otro lado, tampoco se podrán
hacer modificaciones en la información a no ser que sea de la mano de los usuarios que tengan los
permisos correspondientes.
La seguridad de la información debe responder a tres cualidades principales:
 Crítica
 Valiosa
 Sensible
Por un lado, debe ser crítica, ya que es una pieza fundamental para que la empresa pueda llevar a cabo
sus operaciones sin asumir demasiados riesgos. También debe ser valiosa, puesto que los datos que se
manejan son esenciales para el devenir del negocio y finalmente tiene que ser sensible, ya que al
sistema solo podrán acceder las personas que estén debidamente autorizadas. Además, también hay que
tener en cuenta que la seguridad de la información debe hacer frente a los riesgos, analizarlos,
prevenirlos y encontrar soluciones rápidas para eliminarlos si se diera el caso.
EL OBJETIVO DE LA SEGURIDAD DE LA INFORMACIÓN:
CARACTERÍSTICAS
La seguridad de la información tiene como objetivo principal proteger los datos de las empresas. Pero
este concepto es en términos generales, puesto que el sistema lo que va a hacer es asegurar tres aspectos
fundamentales: la confidencialidad, la disponibilidad y la integridad. Para llevar a cabo estas acciones
se deberán establecer estrategias donde se redacten las políticas de actuación para cada uno de estos
casos. También habrá que establecer el uso de las tecnologías, incluir controles de seguridad y todos los
procesos que se van a llevar a cabo para detectar los riesgos a los que se puede ver expuesto el sistema.
Teniendo en cuenta todas estas cosas: ¿en qué consisten esos tres aspectos fundamentales?

Figura 2: Dimensiones de la seguridad de la información

 CONFIDENCIALIDAD
La confidencialidad implica que la información es accesible únicamente por el personal autorizado. Es
lo que se conoce como need-to-know. Con este término se hace referencia a que la información solo
debe ponerse en conocimiento de las personas, entidades o sistemas autorizados para su acceso.
Ejemplos de falta de confidencialidad, son el robo de información confidencial por parte de un atacante
a través de Internet, la divulgación no autorizada a través de las redes sociales de información
confidencial o el acceso por parte de un empleado a información crítica de la compañía ubicada en
carpetas sin permisos asignados, a la que no debería tener acceso.
 DISPONIBILIDAD
La disponibilidad de la información hace referencia a que la información esté accesible cuando la
necesitemos. Algunos ejemplos de falta de disponibilidad de la información son: cuando nos es
imposible acceder al correo electrónico corporativo debido a un error de configuración, o bien, cuando
se sufre un ataque de denegación de servicio, en el que el sistema «cae» impidiendo accesos legítimos.
Ambos tienen implicaciones serias para la seguridad de la información.
 INTEGRIDAD
La integridad de la información hace referencia a que la información sea correcta y esté libre de
modificaciones y errores. La información ha podido ser alterada intencionadamente o ser incorrecta y
nosotros podemos basar nuestras decisiones en ella. Ejemplos de ataques contra la integridad de la
información son la alteración malintencionada en los ficheros del sistema informático mediante la
explotación de una vulnerabilidad, o la modificación de un informe de ventas por un empleado
malintencionado o por error humano.
La evaluación de los activos de información de la organización en relación a estas tres dimensiones de
la seguridad determina la dirección a seguir en la implantación y selección de medidas, también
denominadas controles o salvaguardas. También debemos tener en cuenta que la adopción de un
determinado control para mejorar la seguridad en una dimensión, puede afectar de forma negativa o
positiva a otra de las dimensiones, por ello, es esencial conocer cuál de estas dimensiones es más
importante proteger en cada sistema de información. Por ejemplo, implantar un control de acceso para
proteger la confidencialidad en un aparato médico de una sala de operaciones, puede producir un
retardo en el acceso a la información afectando a su disponibilidad, lo cual no sería lo más adecuado.
LOS SERVICIOS QUE OFRECE LA SEGURIDAD DE LA INFORMACIÓN
Ya tenemos claro que la seguridad de la información vela por el buen funcionamiento de los datos de
las empresas y la transmisión de información de unos usuarios a otros siempre que estén autorizados.
Pero además gracias a esta seguridad garantizamos que todos los mensajes que se lleven a cabo los
enviará un emisor acreditado y que los recibirá el receptor correspondiente sin ningún tipo de
interrupciones.
Además, se trata de un sistema que utiliza diferentes protocolos para poder realizar su función
correctamente. Hablamos, por ejemplo, de la criptografía, que utiliza un código cifrado, la
identificación, para validar el proceso e incluso una secuenciación lógica por la que se lleva a cabo
todos los pasos de envío de mensajes.
También hay que tener en cuenta que dentro de la seguridad de la información otro aspecto muy
importante es conocer las técnicas para prevenir los riesgos. Hay empresas que intentan evitarlos a toda
costa, otras que los reducen al nivel más bajo e incluso aquellas que los aceptan e intentar solucionar el
problema o por el contrario compartir el riesgo.
Aunque las medidas de seguridad, deben adaptarse a las características concretas de cada empresa,
existen una serie de medidas básicas que deben aplicarse independientemente de su tamaño o actividad.
Control de acceso a la información
Aplicar el principio del mínimo privilegio, permitiendo el acceso a la información únicamente a
aquellos empleados que la necesitan. Estableciendo quién puede acceder a cada tipo de información.
Este tipo de medidas deben ser revisadas y actualizadas de forma periódica para actualizar los permisos
a medida que sea necesario, o eliminar los perfiles de usuario de empleados que ya no pertenezcan a la
empresa. Asimismo, esta información debe ser destruida de forma segura una vez que llega al final de
su vida útil.
Actualizaciones de seguridad
Las aplicaciones y sistemas utilizados, deben estar correctamente actualizados a sus últimas versiones, y
con todos los parches de seguridad que distribuyen los fabricantes. Estas actualizaciones, se deben hacer
de forma periódica y se pueden programar para que se realicen en horarios que no interfieran con la
actividad profesional de la empresa.
Copias de seguridad
Es imprescindible realizar copias de seguridad periódicas de los datos relevantes y aplicaciones de la
empresa, conservándolas en un lugar seguro alejado de la fuente de datos original. Igual de importante
que hacer una buena copia de seguridad, es asegurarnos que esta funciona correctamente y podemos
restaurarla sin problemas, dado el caso.
Cifrado de información
Se puede proteger la confidencialidad y el acceso no deseado a la información mediante el cifrado de
esta, de los soportes que los almacenan y de las comunicaciones donde la transmitimos. Esto es
especialmente importante cuando hagamos uso de soportes de almacenamiento externos, dispositivos
móviles y conexiones a redes inseguras como wifis públicas, que aumentan el riesgo de filtraciones de
información confidencial.
Utilización de contraseñas robustas
El acceso a la información y a las herramientas que las manejan, deben estar protegidas
mediante contraseñas robustas y personalizadas para cada usuario o aplicación. Estas deben cambiarse
cada cierto tiempo y, si es posible, utilizar un doble factor de autenticación para servicios críticos como
perfiles de administración.
En la empresa estos son los principales errores en el tratamiento de la información y la forma de
evitarlos:
SELECCIÓN DE SALVAGUARDAS
Las salvaguardas son las medidas necesarias para proteger la información de nuestro negocio. Para la
selección de estas medidas tendremos que fijarnos en los siguientes aspectos:
► Determinar la importancia de la información que manejamos. El sector de negocio puede
afectar a la naturaleza de la información que tratamos, en particular en lo relativo a la privacidad
de los datos personales de nuestros usuarios y por la existencia de información confidencial,
cuya pérdida o deterioro pueda causar graves daños económicos o de imagen a la empresa.
► Identificar, clasificar y valorar la información según las dimensiones de seguridad son los
pasos previos que van a dirigir la selección de las salvaguardas. Así, algunos activos de
información serán muy confidenciales (estrategias, contraseñas, …), mientras que otros, como la
página web o la tienda online, no podremos permitir que no estén disponibles.
► Tendremos también que conocer la naturaleza de los controles que podemos implantar. No
sólo tendremos que considerar medidas técnicas como la instalación de un cortafuegos, sino que
consideraremos también medidas organizativas, por ejemplo, implantar un plan de formación,
establecer responsables de los activos o adaptarnos para cumplir con la legislación.
► El coste de las medidas será también un factor a considerar, pues ha de ser proporcional al
riesgo que se quiere evitar.
IMPORTANCIA DE LA INFORMACIÓN PARA LA EMPRESA
La importancia de la información que manejamos será, en gran medida, relativa a nuestro sector de
negocio, así:
► En el ámbito sanitario se maneja un gran volumen de información personal de pacientes, a la que se
deben aplicar todas las medidas de seguridad para evitar que se pierda, modifique o se acceda a ella sin
autorización. Además, suele ser necesario llevar un registro de los accesos y modificaciones.
► En el sector financiero se maneja información confidencial tanto de clientes como de operaciones
financieras de compras y ventas de activos cuya difusión puede suponer una importante pérdida
económica o un perjuicio para nuestros clientes.
► En sectores industriales o de desarrollo de productos es importante velar por la confidencialidad de
los procesos y procedimientos que nos pueden aportar una mejora de productividad sobre la
competencia.
► En hostelería y restauración se maneja, además de un volumen de datos de carácter personal muy
significativo, información sobre reservas, cuya pérdida nos podría poner en una situación muy
complicada con nuestros clientes.

Existen categorías especiales de datos, los denominados datos sensibles que exigen una protección
reforzada y que están sujetos a un régimen jurídico especial. Estos datos son:
► Datos personales que revelan ideología, afiliación sindical, opiniones políticas, creencias
religiosas y otras creencias.
► Datos personales que revelan el origen racial o étnico y los relativos a la salud o la vida
sexual y orientación sexual, datos genéticos y biométricos.
► Datos de condenas penales o administrativas. La nueva legislación de protección de datos de
carácter personal se basa en un enfoque de riesgos y en la responsabilidad proactiva. Esto
implica que se han de aplicar las medidas técnicas y organizativas adecuadas y necesarias para
garantizar los derechos y la privacidad de las personas cuyos datos personales tratemos, en base
a un análisis de riesgos y para poder demostrarlo.
PASOS PREVIOS A LA SELECCIÓN DE SALVAGUARDAS
En primer lugar, revisaremos qué información tratamos (bases de datos, archivos, aplicaciones,
programas, …) y seleccionaremos la más crítica, la que está sujeta a la ley, la que si nos faltara, por su
confidencialidad o si se corrompiera, paralizaría nuestra actividad y nos acarrearía pérdidas de imagen o
económicas. En esta clasificación de la información podemos establecer varios niveles en función de su
importancia para la empresa.
Una vez hayamos clasificado y valorado la criticidad de la información, debemos determinar su riesgo
específico para así enfocar las medidas a evitarlo o subsanarlo. Así, serán diferentes las medidas para
evitar riesgos de fuga de información, de las necesarias para evitar que sea alterada por personas no
autorizadas.
En este punto se puede realizar un análisis de riesgos como se indica en la Guía de Gestión de Riesgos.
Este análisis permite valorar el coste de los posibles incidentes de seguridad que afecten a la
información y priorizar las medidas que se tomen para evitarlos. Este análisis de riesgos será necesario
si se tratan datos de carácter personal pues es esencial para determinar las medidas técnicas y
organizativas necesarias para proteger la privacidad.Para escoger e implantar aquellos controles que nos
ayuden a mejorar la seguridad de la información, tendremos que atender a:
Existe un gran número de salvaguardas, definidas en múltiples estándares y normativas internacionales.
Algunas de estas normativas, como la ISO 27002 [5], son de carácter general, mientras que otras cubren
ámbitos y propósitos específicos como, por ejemplo, la continuidad del negocio. Las medidas de
seguridad a aplicar dependerán del tipo de sistemas a proteger, de la información que contienen, de las
condiciones particulares de cada emplazamiento y de las amenazas a las que se exponen. A
continuación, mostramos aquellas que cualquier empresa debería tener en cuenta independientemente
de su actividad.
CONTROL DE ACCESO A LA INFORMACIÓN
Por defecto, toda organización debe seguir el principio del mínimo privilegio. Este principio se traduce
en que un usuario sólo debe tener acceso a aquella información estrictamente necesaria para
desempeñar sus funciones diarias. Para conseguir este objetivo, previo a la implementación de medidas
técnicas o salvaguardas, debemos realizar los siguientes pasos:
► Definir los diferentes tipos de información que existen en nuestra organización: datos de
recursos humanos, contabilidad, clientes, marketing, producción, etc.
► Establecer quién puede acceder a cada tipo de información. Para acometer esta tarea puede
ser útil, si la estructura organizativa lo permite, realizar una matriz que cruce información con
áreas o departamentos que tienen necesidad de acceso a dicha información.
► Establecer quién y cómo debe autorizar el acceso a los diferentes tipos de información. Es
necesario responder, al menos, a las siguientes preguntas:
» ¿Cómo se realiza la solicitud para acceder a un determinado tipo de información?, ¿a través de
una aplicación de incidencias, un correo electrónico, un formulario en papel?
» En el caso de utilizar alguno de los anteriores, ¿es suficiente con la solicitud electrónica, o es
necesaria una firma manuscrita?
» ¿Qué flujo seguirá la solicitud hasta que es autorizada o denegada?
» ¿Quién tendrá permisos funcionales para autorizar o denegar el acceso?
» ¿Quién realizará los cambios a nivel técnico?
» ¿Será un acceso temporal o con permanencia en el tiempo?
Es vital escoger medios que permitan la trazabilidad y que sean proporcionales al volumen de
información y tamaño de nuestra organización. Debemos buscar un equilibrio para que, garantizando la
seguridad, el acceso a una información por parte de un nuevo usuario autorizado se realice de manera
ágil. Es importante evitar malas prácticas como el uso de «atajos» que, aunque nos faciliten el trabajo
supongan un problema de seguridad. Por ejemplo, mover información de carpetas protegidas a otras no
protegidas, lo que pueden suponer un control de accesos ineficaz, con graves consecuencias en la
confidencialidad de la información.
Una vez hemos establecido quién y cómo debe acceder a qué información; y quién y cómo debe
autorizar ese acceso; debemos garantizar que esto se cumple. Para ello es imprescindible:
► Establecer mecanismos para revisar periódicamente que los permisos concedidos son adecuados,
haciendo énfasis en los usuarios cuyos accesos han sido eliminados o modificados.
» Comprobar, anualmente o con la periodicidad establecida en función de cada organización, la
correcta asignación de los permisos. En caso de utilizar permisos por perfiles, verificar por un
lado los permisos concedidos a cada perfil y por otro, los usuarios asignados a cada perfil.
» Prestar especial atención a los servicios accesibles desde el exterior, como el uso del correo
electrónico corporativo desde fuera de la empresa o el acceso de usuarios a nuestra
infraestructura a través de VPN (red privada virtual).
► No limitarse al control de acceso lógico e incluir, cuando sea necesario, controles de acceso físico.
COPIAS DE SEGURIDAD
Las copias de seguridad son la salvaguarda básica para proteger la información. Dependiendo del
tamaño y necesidades de la empresa, los soportes, la frecuencia y los procedimientos para realizar las
copias de seguridad pueden ser distintos.
El soporte escogido dependerá del sistema de copia seleccionado, de la fiabilidad que sea necesaria y de
la inversión que deseemos realizar. Estas tres variables van estrechamente unidas y deben estar en
consonancia con la estrategia de nuestra organización.
En la implantación de un sistema de copias debemos tener en cuenta al menos las siguientes
consideraciones:
► El primer paso es analizar la información de la que se va a realizar la copia, así como los sistemas y
repositorios donde se encuentra. Debemos tener en cuenta aspectos como las configuraciones de
dispositivos de red, los equipos de los usuarios o incluso información en smartphones. Este paso debe
permitirnos descartar información sin relación directa con el negocio o ficheros históricos de los que ya
existen copias.
► Debemos definir formalmente el número de versiones que vamos a almacenar de cada elemento
guardado, y su periodo de conservación. Esto es lo que se conoce como política de copias de seguridad.
En esta decisión influyen las necesidades del negocio y la capacidad de almacenamiento disponible.
► En cualquier caso, la política dependerá de la complejidad de la organización y el volumen de los
datos. Si el volumen de información es bajo, puede ser factible realizar una copia total diaria.
► La principal diferencia entre la copia completa y los otros dos tipos de copia es la información que se
almacena en cada iteración del proceso de copia de seguridad.
► Deben hacerse pruebas de restauración periódicas, para garantizar que no se producirán problemas
en caso de necesitar recuperar la información. Esto es especialmente importante si no se solicitan
restauraciones con frecuencia. Los sistemas de copia o los soportes pueden fallar y es fundamental
detectarlo antes de que sean necesarios.
► Debe llevarse un control de los soportes de copia, mediante un etiquetado y un registro de la
ubicación de los soportes. Las copias de seguridad tienen que estar en un lugar protegido, por ejemplo
en un una caja ignífuga bajo llave. Esto implica también llevar el control de la vida útil de los mismos,
para evitar que el deterioro físico afecte a la integridad de los datos.
► Si la información almacenada en las copias es confidencial, debemos valorar la posibilidad de
cifrarlas, para evitar que ante una pérdida o sustracción de un soporte, sea posible acceder a ésta. Por
ejemplo, se puede considerar información confidencial nuestros planes de negocio, la facturación de los
clientes, ofertas que presentemos a clientes, datos de contabilidad, gastos y beneficios de la empresa,
etc.
► Esta medida debe abordarse con especial cuidado para evitar la pérdida de información en caso de
pérdida de las claves. Puede ser preferible que el cifrado se realice en el origen sobre archivos
específicos y no en la copia de seguridad, especialmente en caso de utilizar servicios de
almacenamiento «en la nube».
► Debemos disponer de una copia de seguridad fuera de la organización, para evitar la pérdida de la
información en caso de incendio, inundación, robo o ser víctima de un malware que rastree nuestra red
buscando estas copias de seguridad. Es necesaria una selección adecuada de la localización de dichas
copias. Especialmente si decidimos realizar dicho almacenamiento en nuestro domicilio y éstas
contienen datos de carácter personal, podemos estar infringiendo la legislación en materia de protección
de datos. De manera alternativa y más segura, existen empresas de guarda y custodia que garantizan la
seguridad de los soportes que les confiemos. Si utilizamos los servicios de otras empresas, el cifrado de
la información puede servirnos para evitar el acceso no autorizado en caso de robo de la información.
► Por último, se debe documentar el proceso de realización y restauración de copias. Esto permitirá
agilizar el proceso de recuperación ante una contingencia o ausencia del personal habitual.
► En caso de que utilicemos el almacenamiento en la nube para las copias de seguridad, debemos
considerar la posibilidad de que no podamos acceder a la información de manera temporal, por un fallo
del servicio o de nuestra conexión a Internet. Adicionalmente, deben considerarse los costes implicados
y leer las políticas de privacidad y seguridad del servicio, especialmente si vamos a almacenar
información con datos de carácter personal.