56 CIBERSEGURIDAD que las transacciones formateadas adecuadamente. Integra tres reglas: (i) Los sujetos sólo pueden acceder a los objetos a través de programas autorizados (triple acceso). (ii) Se aplica la separa- ción de responsabilidades. (iii) Se requiere la auditoría. • Modelo de flujo de información. La información se restringe en su flujo sólo para ir y desde las entidades de forma que no niegue la política de seguridad. • Modelo de no interferencia. Los comandos y las actividades rea- lizadas en un nivel de seguridad no deberían verse o afectar a los sujetos u objetos a diferente nivel de seguridad. • Modelo de Brewer y Nash. Un modelo que permite controles de acceso que cambian dinámicamente que protege contra conflic- tos de interés. • Modelo de Graham-Denning. Un modelo que crea los derechos para los sujetos que correlaciona las operaciones que puede ser ejecutado sobre los objetos. • Modelo de Harrison-Ullman. Un modelo que permite los dere- chos de acceso ser cambiados y especifica como los sujetos y objetos deberían crearse y borrarse. Protocolo genérico de buenas prácticas en ciberseguridad-privacidad Una lista de buenas prácticas para proteger los datos y usuarios en su interacción con Internet son: 1) A nivel de Web. Evitar guardar información de la cuenta como contraseñas o información de tarjetas de crédito en los nave- gadores Web o extensiones de dichos navegadores Web. Evitar utilizar computadores públicos y conexiones WiFi públicas para abrir sesión (logearse) en cuentas y para acceder a información sensible. Asegurarse que cualquier sitio Web que pida la inser- ción de credenciales de cuenta y las utilizadas para realizar transacciones online se cifren con un certificado digital (clave pública firmada por una Autoridad de Certificación y estandari- zado bajo X.509v3-ITU-T) válido para asegurar que sus datos se encuentren seguros. Las direcciones de estos sitios Web deberán estar marcados en verde y en el campo URL debe empezar por HTTPS y nunca por HTTP. Utilizar siempre que se pueda exten- siones del navegador ad-blocking, script-blocking, coin-blocking para proteger los sistemas contra ataques maliciosos de anuncios (adware), de scripts diseñados para lanzar malware o para minar criptomonedas (como bitcoin) de forma no autorizada. Se deben cerrar las cuentas y apagar los dispositivos de computación y dispositivos móviles cuando no se utilicen. Emplear programas y dispositivos para automáticamente bloquear la sesión activa después de un cierto período de inactividad. 2) A nivel de los dispositivos. Ejecutar aplicaciones de antivirus/ antimalware profesional (de reputación) en todos los dispo- sitivos y manténgalas actualizadas (de forma automatizada y manual) con las últimas versiones. Mantener todo el hard- ware y software actualizado con las últimas versiones de parches. Crear múltiples backups redundantes de todos los datos y código críticos-sensibles y guardarlos fuera de la red para el caso de una infección ransomware/ART u otro incidente malware de destrucción. Esto le permitirá recuperar los fiche- ros perdidos cuando se necesite. 3) A nivel de correo electrónico. Se debe evitar abrir correos electrónicos, descargar ficheros adjuntos o hacer clic en enlaces (link) sospechosos enviados de fuentes desconoci- das o no confiables (tener en cuenta que se puede falsificar el remitente de un correo electrónico lo cual puede conducir al fraude denominado phishing de CEOs). Verificar los adjuntos o links no esperados de emisores conocidos contactando con ellos vía otro método de comunicación. Evitar proporcionar la dirección de correo electrónico, número de teléfono u otras informaciones personales a fuentes desconocidas. Evitar pro- porcionar información sensible a cualquiera a través de correo electrónico. Si debes hacerlo asegurarse de cifrarlo antes de enviar. Desconfiar de los correos electrónicos escritos con un sentido de la urgencia y que piden una respuesta inmediata como los que empiezan diciendo que su cuenta se cerrará si no haces clic en un link embebido o proporcionar al emisor infor- mación sensible. Ser consciente de que los correos electrónicos con pobre gramática, diseño y deletreo suelen ser maliciosos. Asegurarse que el nombre del remitente corresponde con una dirección de correo electrónico correcta para identificar tác- ticas de spoofing de correo electrónico comunes. Nunca abrir