domingo, 28 de octubre de 2018

Seguridad informatica


Seguridad informática

1. ¿Sistemas informática o Seguridad de la información?
Uno al escuchar el termino 'Seguridad informática' cree que es lo mismo que 'Seguridad de la información', pero no la seguridad informática es un conjunto de métodos que se encargan de proteger sistemas informáticos, la información que esta en ellos y los equipos donde están, mientras que la seguridad de la información es exclusivamente para la protección de datos e información importantes para una empresa.

2. Malware


3. Legislación en Colombia
La Ley 1273 del 5 de enero de 2009, reconocida en Colombia como la Ley de Delitos Informáticos, tuvo sus propios antecedentes jurídicos, además de las condiciones de contexto analizadas en el numeral anterior. El primero de ellos se remite veinte años atrás, cuando mediante el Decreto 1360 de 1989 se reglamenta la inscripción del soporte lógico (software) en el Registro Nacional de Derecho de Autor, que sirvió como fundamento normativo para resolver aquellas reclamaciones por violación de tales derechos, propios de los desarrolladores de software. A partir de esa fecha, se comenzó a tener asidero jurídico para proteger la producción intelectual de estos nuevos creadores de aplicativos y soluciones informáticas.
En este mismo sentido y en el entendido de que el soporte lógico o software es un elemento informático, las conductas delictivas descritas en los Artículos 51 y 52 del Capítulo IV de la Ley 44 de 1993 sobre Derechos de Autor, y el mismo Decreto 1360 de 1989, Reglamentario de la inscripción del soporte lógico (software) en el Registro Nacional del Derecho de Autor, se constituyeron en las primeras normas penalmente sancionatorias de las violaciones a los citados Derechos de Autor. Al mismo tiempo, se tomaron como base para la reforma del año 2000 al Código Penal Colombiano:
    Capítulo Único del Título VII que determina los Delitos contra los Derechos de Autor: Artículo 270: Violación a los derechos morales de autor. Artículo 271: Defraudación a los derechos patrimoniales de autor. Artículo 272: Violación a los mecanismos de protección de los derechos patrimoniales de autor y otras defraudaciones.
El Código Penal colombiano (Ley 599 de 2000) en su Capítulo séptimo del Libro segundo, del Título III: Delitos contra la libertad individual y otras garantías, trata sobre la violación a la intimidad, reserva e interceptación de comunicaciones:
    Artículo 192: Violación ilícita de comunicaciones. Artículo 193: Ofrecimiento, venta o compra de instrumento apto para interceptar la comunicación privada entre personas. Artículo 194: Divulgación y empleo de documentos reservados. Artículo 195: Acceso abusivo a un sistema informático. Artículo 196: Violación ilícita de comunicaciones o correspondencia de carácter oficial. Artículo 197: Utilización ilícita de equipos transmisores o receptores. Estos artículos son concordantes con el artículo 357: Daño en obras o elementos de los servicios de comunicaciones, energía y combustibles.
Una norma posterior relacionada fue la Ley 679 de 2001, que estableció el Estatuto para prevenir y contrarrestar la explotación, la pornografía y el turismo sexual con niños menores de edad. De igual manera, consagra prohibiciones para los proveedores o servidores, administradores o usuarios de redes globales de información, respecto a alojar imágenes, textos, documentos o archivos audiovisuales que exploten a los menores en actitudes sexuales o pornográficas. Sin embargo, la norma no contiene sanciones penales, sino administrativas (Artículo 10), pues siendo simple prohibición, deja un vacío que quita eficacia a la Ley, cuando se trata de verdaderos delitos informáticos.
Para subsanar lo anterior, el 21 de julio de 2009, se sancionó la Ley 1336, "por medio de la cual se adiciona y robustece la Ley 679 de 2001, de lucha contra la explotación, la pornografía y el turismo sexual, con niños, niñas y adolescentes". En forma específica, en su Capítulo VI, sanciona los "Tipos penales de turismo sexual y almacenamiento e intercambio de pornografía infantil" con penas de prisión de diez (10) a veinte (20) años y multas de ciento cincuenta (150) a mil quinientos (1.500) salarios mínimos legales mensuales vigentes (SMLMV).
La Ley 1273 de 2009 complementa el Código Penal y crea un nuevo bien jurídico tutelado a partir del concepto de la protección de la información y de los datos, con el cual se preserva integralmente a los sistemas que utilicen las tecnologías de la información y las comunicaciones. El primer capítulo de los dos en que está dividida la Ley, trata de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. El segundo Capítulo se refiere a los atentados informáticos y otras infracciones.
A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en los siguientes términos: acceso abusivo a un sistema informático (modificado del Código Penal); obstaculización ilegítima del sistema informático o red de telecomunicación; interceptación de datos informáticos; daño informático; uso de software malicioso; hurto por medios informáticos y semejantes; violación de datos personales; suplantación de sitios web para capturar datos personales y transferencia no consentida de activos.
Este marco jurídico se ha convertido en una importante contribución y un instrumento efectivo para que las entidades públicas y privadas puedan enfrentar los "delitos informáticos", con definiciones de procedimientos y políticas de seguridad de la información; y, en consecuencia, con las acciones penales que pueden adelantar contra las personas que incurran en las conductas tipificadas en la norma. Con ella, Colombia se ubica al mismo nivel de los países miembros de la Comunidad Económica Europea (CEE), los cuales ampliaron al nivel internacional los acuerdos jurídicos relacionados con la protección de la información y los recursos informáticos de los países, mediante el Convenio 'Cibercriminalidad', suscrito en Budapest, Hungría, en 2001 y vigente desde julio de 2004.
Con los desarrollos jurídicos hasta ahora logrados acerca de "la protección de la información y de los datos y la preservación integral de los sistemas que utilicen las tecnologías de información y comunicaciones", las organizaciones pueden amparar gran parte de sus sistemas integrados de información: datos, procesos, políticas, personal, entradas, salidas, estrategias, cultura corporativa, recursos de las TIC y el entorno externo (Davenport, 1999), de manera que, además de contribuir a asegurar las características de calidad de la información, se incorpora la administración y el control, en el concepto de protección integral.
Retomando la estructura de la Ley 1273 de 2009, el capítulo I está orientado especialmente a apoyar la labor de los grupos de Auditoría de Sistemas, al apuntar al propósito de aseguramiento de las condiciones de calidad y seguridad de la información en la organización, cuando se refiere a los "atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos". Corrobora la importancia de la información como activo de valor para las organizaciones (ISO/IEC 17799/2005), que es necesario proteger adecuadamente para garantizar la continuidad del negocio, la maximización del retorno de la inversión y el aprovechamiento de las oportunidades del entorno, así como para disminuir y contrarrestar los riesgos y delitos que la amenazan.
La gestión confiable de la seguridad de la información en las organizaciones parte del establecimiento de políticas, estándares, procedimiento y controles eficientes, en natural concordancia con las características del negocio y, en ese sentido, el capítulo I de la Ley 1273 de 2009 contribuye a tal propósito, de la misma manera que los estándares nacionales e internacionales sobre administración eficiente de la información.
En las siguientes figuras se presenta un detalle del contenido de la Ley y sus características aplicables a este análisis. La figura 2 identifica las actuaciones con las cuales se tipifica el delito y la punibilidad aplicable (en su mayoría, penas de prisión entre 48 y 96 meses y multas de 100 a 1.000 SMLMV).
El artículo 1 de la Ley 1273 de 2009 incorpora al Código Penal el Artículo 269A y complementa el tema relacionado con el "acceso abusivo a un sistema informático", que se manifiesta cuando el pirata informático o hacker aprovecha la vulnerabilidad en el acceso a los sistemas de información, o las deficiencias en los procedimientos de seguridad informática establecidos por las organizaciones, para extraer beneficios económicos o para indagar o demostrar la capacidad y recursos que ofrece la tecnología de la información. Cuando se presenta este abuso, en muchos casos, se observa que proviene de los mismos usuarios del sistema, tal como se evidencia en los informes anuales de la PricewaterhouseCoopers, The global state information security y en estudios realizados por Cisco (2008), en los cuales se señala que el 42% de los tres casos de abuso más frecuentes corresponde a los detectados entre los empleados.
El artículo 269B contempla como delito la "obstaculización ilegítima del sistema informático o red de telecomunicación", y se origina cuando el hacker informático bloquea en forma ilegal un sistema o impide su ingreso por un tiempo, hasta cuando obtiene un beneficio por lo general económico. Aquí también se enmarca el acceso a cuentas de correo electrónico sin el debido consentimiento de sus propietarios y el manejo o bloqueo de las claves obtenidas de distinta forma.
El artículo 269C plantea la infracción relacionada con la "interceptación ilícita de datos informáticos", también considerada en el Artículo 3 del Título 1 de la Convención de Budapest de 2001. Se presenta cuando una persona, valiéndose de los recursos tecnológicos, obstruye datos sin autorización legal, en su sitio de origen, en el destino o en el interior de un sistema informático, o de emisiones electromagnéticas de un sistema electromagnético que los transporte.
El delito relacionado con los "daños informáticos" está contemplado en el Artículo 269D y se comete cuando una persona que sin estar autorizada, modifica, altera, daña, borra, destruye o suprime datos del programa o de documentos electrónicos, en los recursos de las TIC.
El artículo 269E contempla el delito vinculado con el "uso de software malicioso" técnicamente denominado malware, ya generalizado en internet. Se presenta cuando se producen, adquieren, venden, distribuyen, envían, introducen o extraen del país software o programas de computador que producen daños en los recursos de las TIC.
El delito sobre "violación de datos personales" (hacking) lo trata el artículo 269F y está orientado a proteger los derechos fundamentales de la persona (como dignidad humana y libertad ideológica). Se da cuando un individuo sin estar facultado, sustrae, vende, envía, compra, divulga o emplea datos personales almacenados en ficheros, archivos, bases de datos o medios similares con el fin de lograr utilidad personal o para otros.
El artículo 269G trata de la "suplantación de sitios web para capturar datos personales". Sucede cuando el suplantador (phisher) o delincuente informático crea una página y un dominio similar al de la entidad a la cual desea abordar, lo ubica en un hosting (espacio en un servidor) desde donde envía correos spam o engañosos (por ejemplo, empleos). Al no distinguir la página original de la falsa, las personas inocentemente suministran información personal y claves bancarias que el suplantador almacena en una base de datos y luego ordena la transferencia del dinero de la víctima a cuentas de terceros quienes prestan sus cuentas o servicios (testaferros), que luego reclama o distribuye.
La Figura 3 muestra las "Circunstancias de agravación punitiva", o aquellas situaciones que por agravantes aumentan la pena del delito (Artículo 269H/Ley 1273 de 2009).
Estas condiciones se dan cuando el delito se comete en redes, sistemas informáticos y de comunicaciones del Estado o del sector financiero nacional o extranjero; o cuando se origina o promueve por un funcionario público; o cuando se da a conocer información confidencial en perjuicio de otro para obtener provecho propio o de terceros; o cuando se actúa con fines terroristas para atentar contra la seguridad o defensa nacional, o cuando se usa como instrumento a un tercero de buena fe.
En la Figura 4 se trata de "Los atentados informáticos y otras infracciones"; referidos en los artículos 269I "Hurto por medios informáticos y semejantes" y 269J "Transferencia no consentida de activos", entendidos normalmente como delitos 'ordinarios' en cuya realización es importante el uso de recursos tecnológicos contemplados en el capítulo II de la Ley 1273 de 2009 analizada.
Las condiciones del contexto tecnológico de la información y las comunicaciones, sus tendencias y riesgos han generado la reacción del mundo, de sus instituciones y su justicia ante la aparición de los delitos informáticos. Frente a eso, ¿cómo están actuando las instituciones financieras colombianas?

4. Delitos informáticos, tipos

  • SUSTRACCIÓN DE DATOS
Representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.
Este delito no requiere de conocimientos técnicos de informática y puede realizar lo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.

  • MANIPULACIÓN DE PROGRAMAS
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.

  • MANIPULACIÓN DE LOS DATOS DE SALIDA
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan amplia mente  equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.

  • MANIPULACIÓN INFORMÁTICA APROVECHANDO REPETICIONES AUTOMÁTICAS DE LOS PROCESOS DE CÓMPUTO
Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra.

  • COMO OBJETO
Cuando se alteran datos de los documentos almacenados en forma computarizada.

COMO INSTRUMENTOS
Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.


  • SABOTAJE INFORMÁTICO
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:

  • VIRUS
Es una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya.

  • GUSANOS
Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse.
En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita.

  • BOMBA LÓGICA O CRONOLÓGICA
Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.


  • PIRATAS INFORMÁTICOS O HACKERS
El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.

  • REPRODUCCIÓN NO AUTORIZADA DE PROGRAMAS INFORMÁTICOS DE PROTECCIÓN LEGAL
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales.

5.Hakers
https://www.youtube.com/watch?v=7tOPsW45Xl4


Infografia

  1. https://blog.atlas.com.co/seguridad-informatica-y-seguridad-informacion
  2. https://www.youtube.com/watch?v=Md9ergKwZ3Y
  3. http://www.scielo.org.co/scielo.php?script=sci_arttext&pid=S0123-14722010000200003
  4. http://www.forodeseguridad.com/artic/discipl/disc_4016.htm
Publicadas por a la/s

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)