Acceso No Autorizado a Servicios Informaticos PDF
-
Upload
abel -
Category
Technology
-
view
14.295 -
download
2
description
Transcript of Acceso No Autorizado a Servicios Informaticos PDF
―Año de la Unión Nacional Frente a la Crisis Externa‖
UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERÍA
Escuela académica Profesional de Ingeniería Informática y
Sistemas
Presentado por:
ESTRELLA HUANCAYO, Abel
LEON ESPINOZA, Hugo
BASURTO RAFAEL, Sandra
MUNGUIA CAMASCA, Marcos
NUÑEZ BARZOLA, Jesús
Docente:
Ing. RICSE CABALLERO, Fredy Joel
Asignatura:
DERECHO INFORMATICO
HUANCAYO – PERÚ
2009
ACCESO NO AUTORIZADO A
SERVICIOS INFORMÁTICOS
1. INTRODUCCIÓN
El fenómeno informático es una realidad incuestionable e irreversible; definitivamente, la
informática se ha instalado entre nosotros para no marcharse jamás. Ello es consecuencia del
continuo y progresivo desarrollo del campo de la informática aplicada en la actualidad a
todos los aspectos de la vida cotidiana; así, por ejemplo, la utilización de computadoras en la
industria, el comercio, la administración pública, en instituciones bancarias y financieras.
Esta verdadera invasión de la computadora en todos los ámbitos de las relaciones
socioeconómicas ha motivado que muchos hablen ya de una auténtica ―era informática‖. En
efecto, pocas dimensiones de nuestra vida no se ven afectadas, dirigidas o controladas por la
computadora, ya sea de manera directa o indirecta; incluso, en determinados casos, las
computadoras no sólo son utilizadas como medios de archivo y procesamiento de
información, sino que, además, se les concede la capacidad de adoptar automáticamente
decisiones.
2. DEFINICION
El sector de Software y Servicios Informáticos (SSI) se engloba dentro de lo que se conoce
como industrias de las ―Tecnologías de la Información‖ (TI), que, de acuerdo con la OECD
(1997) abarcan:
Hardware
Software
Servicios Informáticos (incluyen tanto los servicios profesionales vinculados a la
instalación, mantenimiento, desarrollo, integración, etc. de software, como los de
soporte técnico de hardware).
Si bien no es sencillo definir a software, la definición propuesta por la OECD, que indica que
por software se entiende la ―producción de un conjunto estructurado de instrucciones,
procedimientos, programas, reglas y documentación contenida en distintos tipos de soporte
físico con el objetivo de hacer posible el uso de equipos de procesamiento electrónico de
datos‖, nos da una idea de que sus inputs y outputs son virtualmente inmateriales y con casi
nulos costos de transporte a elevada velocidad.
El desarrollo de software y servicios relacionados son intensivos en trabajo calificado y con
requerimientos generalmente bajos en términos de capital físico.
En la industria todavía siguen subsistiendo problemas de calidad, confiabilidad,
cumplimiento de tiempos, etc. características de actividades ―artesanales‖, lo que ha llevado a
(entre otros cambios en la producción) a introducir estándares de calidad y gestión, ya sean
utilizados a nivel interindustrial (normas ISO) como también propios de esta industria
(modelo CMM y Spice). Más adelante se volverá sobre estos modelos de certificación de
calidad para el caso del cluster cordobés.
A pesar de que la tercerización es limitadas entre empresas de una misma región, debido a la
posibilidad de transferencia de conocimientos clave, es habitual que se tercericen ciertas
partes del proceso a nivel internacional, partes que son de carácter rutinario (diseño de bajo
nivel, codificación, testeo, soporte técnico), debido a los nulos costos de transporte y a las
posibilidades de reducción de costos cuando se trata de una subcontratación off-shore, con
países como la India.
El output de la industria de software puede ser clasificado como producto o como servicio.
Mientras los ingresos derivados del desarrollo de productos provienen principalmente de la
venta de licencias para su uso, los ingresos generados por los servicios provienen de
actividades diversas como el diseño y desarrollo de soluciones a medida, la implementación y
adaptación de productos de terceros, servicios de consultoría, capacitación, instalación y
mantenimiento de software, etc.
La elaboración de productos se caracteriza por bajos o nulos costos marginales de producción
(el costo de replicación es mínimo y tiende a reducirse a medida que los medios tradicionales
de distribución son reemplazados por Internet). El grueso de los costos son fijos y hundidos.
Los gastos de comercialización suelen representar una proporción considerable de las grandes
compañías.
Esta estructura de costos sugiere la presencia de rendimientos crecientes a escala en el sector
de productos de software, lo cual da lugar a una estructura de mercado concentrada. Esto se
ve acentuado por la presencia de externalidades en red.
En el sector servicios, los costos marginales son elevados. Por otra parte, la experiencia y el
conocimiento acumulados a raíz de la continua interacción con el usuario final tienen un
carácter específico y difícilmente pueden transferirse a otro cliente.
Dada esta estructura industrial, en la mayoría de los países, incluida Argentina, se observan
dos polos de empresas. Uno conformado por grandes empresas multinacionales que producen
mayoritariamente productos y exportan la producción, y otro constituido por una gran
cantidad de pequeñas firmas que producen para el mercado local, mayoritariamente servicios.
1. Situación del sector a nivel internacional
Si bien el grueso de la producción de software se concentra en los Estados Unidos, Japón y
en los países más avanzados del continente europeo, algunas naciones en desarrollo de Asia y
América Latina, así como otras de la periferia europea, han hecho significativos avances
dentro del sector. El siguiente cuadro muestra la producción de los países de entrada tardía
para el año 2001.
Fuente: Chudnovsky, et. al. (2001)
La industria de software en los países en desarrollo se caracteriza por un mayor peso del
sector servicios en relación al de productos. Entre los componentes clave para una estrategia
exitosa de avance del sector, se menciona a la capacidad de competir vía costos, buen
marketing, y mecanismos de networking con otras firmas de software y con clientes,
inversores, etc. tanto del país como del exterior.
3. TIPOS
Existen diferentes términos para definir este tipo de delitos entre los que podemos destacar:
a) Delincuencia informática
Se define como conjunto de comportamientos dignos de reproche penal que tienen por
instrumento o por objeto a los sistemas o elementos de técnica informática, o que están
en relación significativa con ésta, pudiendo presentar múltiples formas de lesión de
variados bienes jurídicos.
b) Criminalidad informática
La criminalidad informática como la realización de un tipo de actividades que,
reuniendo los requisitos que delimitan el concepto de delito, sean llevados a cabo
utilizando un elemento informático (mero instrumento del crimen) o vulnerando los
derechos del titular de un elemento informático, ya sea hardware o software (en éste
caso lo informático es finalidad).
Considera que con la expresión ―criminalidad mediante computadoras‖, se alude a
todos los actos, antijurídicos según la ley penal vigente realizados con el empleo de un
equipo automático de procesamiento de datos.
c) Delitos informáticos
Se refiere a la definición propuesta por el Departamento de Justicia Norteamericana,
según la cual Delito Informático es cualquier acto ilegal en relación con el cual el
conocimiento de la tecnología informática es esencial para su comisión, investigación
y persecución.
No parece adecuado hablar de delito informático ya que, como tal, no existe, si
atendemos a la necesidad de una tipificación en la legislación penal para que pueda
existir un delito. Ni el Código Penal de 1995 introduce el delito informático, ni admite
que exista como tal un delito informático, si bien admite la expresión por conveniencia,
para referirse a determinadas acciones y omisiones dolosas o imprudentes, penadas por
la Ley, en las que ha tenido algún tipo de relación en su comisión, directa o indirecta,
un bien o servicio informático. Define el Delito informático como, la realización de
una acción que, reuniendo las características que delimitan el concepto de delito, sea
llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los
derechos del titular de un elemento informático, ya sea hardware o software.
Determinados enfoques doctrinales subrayarán que el delito informático, más que una
forma específica de delito, supone una pluralidad de modalidades delictivas
vinculadas, de algún modo con los ordenadores.
Los delitos informáticos como todo acto intencional asociado de una manera u otra a
los ordenadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo
autor ha o habría podido obtener un beneficio.
d) Computer crimen
En el ámbito anglosajón se ha popularizado la denominación de ―Computer Crime‖ y
en el germano la expresión ―Computerkriminalität‖
e) Delincuencia de cuello blanco
La doctrina, casi unánimemente, la considera inscribible en la criminalidad ―de cuello
blanco‖
La delincuencia de cuello blanco es la violación de la ley penal por una persona de alto
nivel socio-económico en el desarrollo de su actividad profesional.
f) Abuso informático
Según la definición que adopta el mercado de la OCDE en la Recomendación número
R(81) 12 del Consejo de Europa indicando que abuso informático es todo
comportamiento ilegal o contrario a la ética o no autorizado que concierne a un
tratamiento automático de datos y/o transmisión de datos.
La misma definición aporta CORREA incidiendo en la Recomendación (89) 9,. del
Comité de Ministros del Consejo de Europa considerando que la delincuencia
informática suele tener carácter transfronterizo que exige una respuesta adecuada y
rápida y, por tanto, es necesario llevar a cabo una armonización más intensa de la
legislación y de la práctica entre todos los países respecto a la delincuencia relacionada
con el ordenador.
4. NORMATIVIDAD
4.1. EL DELITO INFORMÁTICO COMO RETO A UNA CONCEPCIÓN CLÁSICA
DEL DERECHO PENAL
La importancia del fenómeno informático es algo aceptado. El problema en cuanto a
este fenómeno se traduce en buscar fórmulas efectivas de control, respecto a las cuales
el Derecho ha de tener un marcado protagonismo, en su papel de regulador de las
relaciones y mecanismos sociales para el mantenimiento de un orden social.
Nadie duda que el fenómeno informático produce en distintas ramas del Ordenamiento
jurídico, -civil, procesal civil, mercantil, etc...-, un cierto trastorno a la hora de enfrentar
tales hechos.
Tal es la problemática generada por este fenómeno que ha motivado en la actualidad la
necesidad de recurrir al Derecho Penal a fin de disuadir del uso abusivo al que lleva el
empleo de computadoras, lo cual se ha plasmado ya en varias legislaciones extranjeras.
No obstante, ante estas situaciones no puede olvidarse el principio del Derecho Penal
como ultima ratio, según el cual la intervención penal sólo está justificada cuando otras
ramas del Ordenamiento jurídico ya no pueden resolver los problemas que genera el
fenómeno informático en la sociedad, de ahí que el Derecho Penal actúe como última
instancia de control social.
En un primer momento, las figuras delictivas tradicionales, en particular, los delitos
patrimoniales, han tenido que hacer frente a esta nueva forma de criminalidad, pero,
como veremos más adelante, éstas no ofrecen una delimitación típica completa frente a
las nuevas conductas delictivas, razón por la cual en muchas legislaciones se tiende a
crear tipos penales especiales referidos al delito informático; siguiendo esta misma
línea se encuentra nuestro Código Penal de 1991, donde, no obstante, aún resulta difícil
precisar jurídicamente tales conductas.
4.2. EL CONCEPTO DE DELITO INFORMÁTICO Y RELACIÓN CON OTRAS
FIGURAS DELICTIVAS
No existe un concepto unánimemente aceptado de lo que sea el delito informático
debido a que la delincuencia informática comprende una serie de comportamientos
difícilmente reducibles o agrupables en una sola definición.
De manera general, se puede definir el delito informático como aquél en el que, para su
comisión, se emplea un sistema automático de procesamiento de datos o de transmisión
de datos.
En nuestra legislación esta figura se encuentra descrita en el artículo 186°, inciso 3,
segundo párrafo, del Código Penal. Este hecho merece ser resaltado puesto que en otros
países se habla de delito informático en sentido de lege ferenda ya que carecen de una
tipificación expresa de estos comportamientos.
La aparición de estas nuevas conductas merece, no obstante, determinar si las figuras
delictivas tradicionales contenidas en el Código Penal son suficientes para dar acogida
al delito informático.
4.2.1. Delito de Estafa
Entre las conductas defraudatorias cometidas mediante computadora y las
defraudaciones en general, dentro de las cuales se encuentra la estafa existe una
afinidad o proximidad en los conceptos. Pero al examinar más exhaustivamente los
elementos típicos de la estafa, se acaba concluyendo que el fraude informático y el
delito de estafa prácticamente sólo tienen en común el perjuicio patrimonial que
provocan.
Dentro de las manipulaciones informáticas se distingue:
a) La fase input o entrada de datos en la cual se introducen datos falsos o se
modifican los reales añadiendo otros, o bien se omiten o suprimen datos.
b) Las manipulaciones en el programa que contiene las órdenes precisas para
el tratamiento informático.
c) La fase output o salida de datos, donde no se afecta el tratamiento
informático, sino la salida de los datos procesados al exterior, cuando van a
ser visualizados en la pantalla, se van a imprimir o registrar.
d) Las manipulaciones a distancia, en las cuales se opera desde una
computadora fuera de las instalaciones informáticas afectadas, a las que se
accede tecleando el código secreto de acceso, con la ayuda de un modem y
de las líneas telefónicas.
El punto medular de la delincuencia informática es la manipulación de la
computadora. La conducta consiste en modificaciones de datos, practicados
especialmente por empleados de las empresas perjudicadas, con el fin de obtener un
enriquecimiento personal, por ejemplo, el pago de sueldos, pagos injustificados de
subsidios, manipulaciones en el balance, etc.
El delito de estafa, previsto en el art. 196° CP, se define como el perjuicio
patrimonial ajeno, causado mediante engaño, astucia, ardid u otra forma
fraudulenta, induciendo o manteniendo prendida por el delito de estafa.
En primer lugar, y en cuanto al engaño que se requiere en la estafa, éste se refiere
de manera directa a una persona física, aunque últimamente algunos autores indican
que puede estar dirigido a una persona jurídica. Sin embargo, el problema principal
estriba en si la introducción de datos falsos en una máquina equivale al engaño
sobre una persona. La opinión unánime de la doctrina, -y a la que nos adherimos-,
rechaza tal identificación, puesto que, mientras en un extremo se encuentra el
delincuente informático, en el otro existe una computadora. En realidad, para que
exista engaño, es requisito la participación de dos personas.
Es indudable que en algunas conductas de manipulación fraudulenta sí se podrá
configurar el delito de estafa, por ejemplo, cuando el delincuente informático
engaña mediante una computadora a otra persona que se encuentra en el otro
terminal; en este caso, al haber dos personas, podrá sustentarse el engaño, en donde
el medio empleado para conseguirlo es una computadora.
También en la actualidad se puede plantear el engaño a una persona jurídica, como
en el caso en que se solicita un préstamo al banco, falseando la situación económica
real, o en el que ante una compañía de seguros se miente sobre el verdadero estado
de salud de la persona.
Desde el punto de vista del Derecho Penal, se niega la posibilidad de engañar a una
máquina. En este sentido, la computadora es sólo una máquina, un instrumento
creado por el hombre.
En cuanto al error, como elemento de la estafa, se requiere la concurrencia de dos
personas, lo cual se deduce de la descripción del tipo en el art. 196° CP, donde se
indica ―induciendo o manteniendo en error al agraviado mediante engaño‖.
Además, el error es entendido como el estado psíquico que padece el agraviado
como consecuencia del engaño. Por estas razones es que en la manipulación de
computadoras, tal y como está concebida y establecida en el Código Penal, no es
posible sustentar que existe un engaño. De otro lado, no puede sostenerse que la
computadora incurre en un error, dado que actúa conforme a los madatos o datos de
las instrucciones manipuladas.
Por tanto, no hay estafa en los casos de manipulación de máquinas automáticas,
pues no se puede hablar ni de error ni de engaño; sólo podrá plantearse hurto en el
caso que se obtenga un bien mueble, pero será un hecho impune cuando se trata de
prestación de servicios. Un problema semejante tiene lugar con la manipulación de
computadoras a través de la introducción y alteración de programas.
En referencia al acto de disposición patrimonial en el delito de estafa, éste ha de
realizarlo la persona engañada, quien se encuentra en una situación de error, de ahí
que siempre se entienda en la estafa que el acto de disposición es un acto humano,
es decir, realizado por una persona. En el caso de las manipulaciones informáticas
fraudulentas el acto de disposición lo realiza la computadora, con lo cual se rompe
el esquema planteado en el delito de estafa.
Finalmente, en cuanto al perjuicio en el delito de estafa, éste no ofrece mayor
problema para comprenderlo dentro de la manipulación de una computadora, puesto
que en ambos casos normalmente se causa un perjuicio a la persona.
En conclusión, en la legislación peruana, la casi totalidad de supuestos de
manipulación de computadoras no puede acogerse dentro del delito de estafa. La
única manera sería creando un tipo especial defraudatorio donde se prescinda de los
elementos básicos de la estafa, -el engaño a una persona y la subsiguiente
provocación del error-, tal como sucedió en Alemania con la creación del parágrafo
263 a) del Código Penal alemán.
4.2.2. El delito de Daños
El delito de daños se encuentra tipificado en el art. 205° CP. El comportamiento
consiste en dañar, destruir o inutilizar un bien.
En el sistema informático, el delito de daños existirá si usuarios, carentes de
autorización, alteran o destruyen archivos o bancos de datos a propósito.
Es importante precisar que, si los daños se producen de manera negligente,
quedarán impunes dado que el delito de daños sólo puede cometerse de manera
dolosa.
Estos hechos se conocen como ―sabotaje‖, hechos que resultan ser favorecidos
gracias a la concentración de información en un mínimo espacio. La destrucción
total de programas y datos puede poner en peligro la estabilidad de una empresa e
incluso de la economía nacional.
El modus operandi de estos actos se viene perfeccionando con el tiempovii; en
primer lugar, se realizaban con la causación de incendios, posteriormente, con la
introducción de los denominados ―programas crasch‖, virus, time bombs (la
actividad destructiva comienza luego de un plazo), cancer roudtine (los programas
destructivos tienen la particularidad de que se reproducen por sí mismos), que
borran grandes cantidades de datos en un cortísimo espacio de tiempo.
Es indudable que estos comportamientos producen un daño en el patrimonio de las
personas, por lo que no hay inconveniente en sancionar penalmente dichas
conductas.
Pero es necesario indicar que con el delito de daños sólo se protege un determinado
grupo de conductas que están comprendidas en el delito informático, quedando
fuera otras, como por ejemplo, el acceso a una información reservada sin dañar la
base de datos. De ahí que el delito de daños será de aplicación siempre que la
conducta del autor del hecho limite la capacidad de funcionamiento de la base de
datos.
4.2.3. El delito de falsedad documental
El delito de falsedad documental se encuentra tipificado en el art. 427° CP. La
conducta consiste en hacer, en todo o en parte, un documento falso o adulterar uno
verdadero que pueda dar origen a derecho u obligación o servir para probar un
hecho.
El objeto material del delito es el documento. Se entiende por documento toda
declaración materializada procedente de una persona que figura como su autor,
cuyo contenido tiene eficacia probatoria en el ámbito del tráfico jurídico.
Para que exista documento, por tanto, es preciso la materialización de un
pensamiento humano, entendida como la existencia de un soporte corporal estable,
reconocible visualmente, atribuible a una persona e individualizable en cuanto su
autor. Esto sí se puede predicar de los datos y programas de las computadoras, en
tanto la información se encuentre contenida en discos, siempre y cuando sea posible
tener acceso a ésta. De ahí que el documento informático goce, al igual que el
documento tradicional, de suficiente capacidad como medio probatorio,
característica principal en función de la cual se justifica la tipificación de conductas
tales como la falsedad documentalix. Al respecto, es necesario indicar que el art.
234° del Código Procesal Civil expresamente reconoce como documento las
microformas tanto en la modalidad de microfilm como en la modalidad de soportes
informáticos, haciendo referencia a la telemática en general, siempre y cuando
recojan, contengan o representen algún hecho, o una actividad humana o su
resultado.
Sin embargo, desde el punto de vista práctico, plantea problemas la posibilidad de
determinar al autor del documento informático, dado que se exige normalmente que
el documento sea la expresión de un pensamiento humano, situación que a veces es
difícil reconocer por cuanto incluso existen computadoras capaces de crear nuevos
mensajes a partir de los datos introducidos por el sujeto. En estos casos, la cuestión
sería determinar hasta dónde llega la autonomía de la máquina para crear su propia
fuente de información.
Por tanto, esta modalidad delictiva puede aplicarse al delincuente informático
siempre y cuando se supere la concepción tradicional de documento que mantiene
la legislación penal peruana, anclada básicamente en un papel escrito, y que se
acepten nuevas formas de expresión documental, sobre la base de disquetes, CD,
discos duros, en cuanto sistemas actuales de expresión de información.
4.2.4. Los delitos contra la propiedad intelectual
Los delitos contra la propiedad intelectual están tipificados en el art. 216° CP. El
comportamiento consiste en copiar, reproducir, exhibir o difundir al público, en
todo o en parte, por impresión, grabación, fonograma, videograma, fijación u otro
medio, una obra o producción literaria, artística, científica o técnica, sin la
autorización escrita del autor o productor o titular de los derechos.
Según esto, el sujeto se aprovecha de la creación intelectual de una persona,
reproduciéndola, por lo que se afecta tanto al derecho del autor sobre su obra, como
a los posibles titulares de este derecho, si es que ha sido cedido a otra persona.
A esta conducta los autores asimilan lo que se conoce como ―piratería de software‖
frente a la copia lícita. Estos hechos han alcanzado en la realidad una especial
gravedad dada la frecuencia con la que abundan copias piratas de todo tipo de
programas de computadoras. Inclusive, en nuestro país ello ha obligado a la
creación de una fiscalía especializada en la persecución de todas las conductas
relativas a la defraudación del derecho de autor. Estas conductas representan un
considerable perjuicio económico al autor, quien deja de percibir sus
correspondientes derechos por la información y venta del software, que es
elaborado con un considerable esfuerzo, en el cual, a menudo, se encierra un
valioso know how comercialx.
Por tanto, el delito contra la propiedad intelectual sólo comprenderá un grupo de
comportamientos incluidos en el delito informático, básicamente, los referidos a la
defraudación del derecho de autor por su creación científica en el campo del
software.
4.3. EL DELITO INFORMÁTICO EN EL CÓDIGO PENAL PERUANO: ART. 186°,
INCISO 3, 2 PÁRRAFO
La criminalidad informática en el Código Penal peruano se encuentra recogida de
manera expresa como una agravante del delito de hurto en el art. 186°, inciso 3,
segundo párrafo. De esta manera, el legislador penal opta por tipificar esta modalidad
delictiva como una forma de ataque contra el patrimonio, por cuanto éste se configura
en el bien jurídico protegido en el delito de hurto, entendiéndose el patrimonio en un
sentido jurídico-económico. Por tanto, cabe concluir que se protege un bien jurídico
individual.
Si bien, es posible que en algunos casos las referidas conductas afecten, además del
patrimonio, a la intimidad de las personas, al orden económico, etc.
4.3.1. Análisis de la conducta típica en el delito de Hurto
El comportamiento típico del delito de hurto se encuentra tipificado en el art. 185°
CP. La conducta consiste en apoderarse ilegítimamente de un bien mueble, total o
parcialmente ajeno, sustrayéndolo del lugar donde se encuentra.
En esta conducta estaremos ante un delito informático si el sujeto activo, para
apoderarse del bien mueble, emplea la utilización de sistemas de transferencia
electrónica de fondos, de la telemática en general, o la violación del empleo de claves
secretas.
4.3.2. Características particulares del delito de hurto desde el punto de vista de
la criminalidad informática
4.3.2.1. El objeto material del delito
El objeto material del delito de hurto ha de ser un bien mueble, y por tal
interpreta la doctrina un bien corporal o material, aprehensible, tangible,
entre otras cosas, porque sólo así es posible la sustracción.
Si se parte de la base de que en el uso de computadoras en realidad se
trabaja con datos archivados y se maneja únicamente información, se
suscita un grave problema a la hora de poder definir dicha información con
las mismas características que tradicionalmente se exigen en el bien mueble
a los efectos del delito de hurto.
Es evidente que la información en sí misma no es algo tangible; esto no
impide que pueda llegar a adquirir corporeidad en aquellos casos en los que
se archiva o grava en medios tangibles como puede ser una cinta, un disco,
disquete, etc., en cuyo caso no se platearía problema alguno puesto que ya
habría un concreto bien mueble corpóreo susceptible de ser aprehendido.
Por tanto, en cuanto al concepto de bien mueble, se requiere una ampliación
de los estrictos límites marcados por un concepto materialista de bien
mueble. En base a esto, no habría inconveniente en admitir a la información
computarizada como bien mueble y, por lo tanto, objeto material del delito
de hurto, en cuanto sea susceptible de gozar de un determinado valor
económico en el mercado.
4.3.2.2. La Conducta Típica
En el delito de hurto, el comportamiento típico consiste en apoderarse de un
bien mueble mediante sustracción del lugar en el que se encuentra. Por lo
tanto, y según esta descripción, sería preciso la concurrencia de un
desplazamiento físico del bien mueble.
En el ámbito de la criminalidad informática es posible, sin embargo,
sustraer información sin necesidad de proceder a un desplazamiento físico o
material. Es por ello que la noción de desplazamiento físico se ha
espiritualizado, bastando con que el bien quede de alguna forma bajo el
control del sujeto activo.
Sin embargo, en la sustracción de información, el apoderamiento puede
realizarse con una simple lectura o memorización de datos, de cuya
utilización, por lo demás, no queda excluido el titular; de ahí que muchos
autores consideren que en este delito, lo que se lesiona es el derecho al
secreto de los datos almacenados, el derecho exclusivo al control, o un
hipotético derecho a negar el acceso a terceros fuera de los que él decidaxi.
4.3.2.3. Formas de Ejecución de la Conducta Típica
Como hemos indicado anteriormente, el delito informático en el Código
Penal es un delito de hurto agravado, y se configura como tal en base a los
medios que emplea el sujeto activo. Tales son:
a) Utilización de sistemas de transferencia electrónica de fondos: La
transferencia electrónica de fondos queda definida como aquélla que es
iniciada a través de un terminal electrónico, instrumento telefónico o
computadora, para autorizar un crédito, -o un débito-, contra una cuenta
o institución financiera. Según esta definición, este sistema está referido
a la colocación de sumas de dinero de una cuenta en otra, ya sea dentro
de la misma entidad bancaria, ya a una cuenta de otra entidad, o entidad
de otro tipo, sea pública o privada.
b) Utilización de sistemas telemáticos: La telemática es definida como la
información a distancia, entendiendo por informática el tratamiento de
información. A este tipo de conductas se les denomina ―hurto de
información‖, que se produciría mediante la sustracción de información
de una empresa con la finalidad de obtener un beneficio económico.
c) Si en estos casos, la sustracción se produce con la intención de
demostrar una simple habilidad, podría constituirse un delito de hurto
de uso (art. 187° CP). Si se destruyen los datos contenidos en el
sistema, habría un delito de daños (art. 205° CP).
d) Violación de claves secretas: En la violación de claves secretas se
protege la obtención de claves por medios informáticos, para su
posterior empleo accediendo a estos sistemas.
Este es un medio que normalmente concurrirá cuando una persona tiene
acceso al password de otro, con lo cual logra ingresar a la base de datos
correspondiente y realizar transferencia de dinero o sustraer información.
Por tanto, es un medio que mayormente se empleará para configurar las
conductas anteriores, sea de transferencia electrónica de fondos o la
utilización de la telemática. Si bien, habrá conductas que no emplearán la
violación de claves secretas, como los casos del empleado de la empresa
que valiéndose de su password accede al sistema realizando las conductas
anteriormente señaladas.
5. CLASIFICACION
En todo delito de los llamados informáticos, hay que distinguir el medio y el fin. Para poder
encuadrar una acción dolosa o imprudente dentro de este tipo de delitos, el medio por el que
se cometan debe ser un elemento, bien o servicio, patrimonial del ámbito de responsabilidad
de la informática y la telemática, y el fin que se persiga debe ser la producción de un
beneficio al sujeto o autor del ilícito; una finalidad deseada que causa un perjuicio a otro, o a
un tercero.
Según diferentes fuentes se consideran de la siguiente manera:
a) BARRIUSO RUIZ
Delitos contra la intimidad
De los robos
De las estafas
De las defraudaciones
De los daños
Relativo a la protección de la propiedad industrial
Relativos al mercado y a los consumidores
b) PÉREZ LUÑO
Desde el punto de vista subjetivo
Ponen el énfasis en la pretendida peculiaridad de los delincuentes que realizan
estos supuestos de criminalidad
Desde el punto de vista objetivo
Considerando los daños económicos perpetrados por las conductas criminalistas
sobre los bienes informáticos:
Los fraudes
Manipulaciones contra los sistemas de procesamiento de datos. Podemos
citar:
los daños engañosos ( Data diddling)
los ―Caballos de Troya‖ (Troya Horses)
la técnica del salami (Salami Technique/Rounching Down)
El sabotaje informático:
Bombas lógicas (Logic Bombs)
Virus informáticos
El espionaje informático y el robo o hurto de software:
Fuga de datos (Data Leakage)
El robo de servicios:
Hurto del tiempo del ordenador.
Apropiación de informaciones residuales (Scavenging)
Parasitismo informático (Piggybacking)
Suplantación de personalidad (impersonation)
El acceso no autorizado a servicios informáticos:
Las puertas falsas (Trap Doors)
La llave maestra (Superzapping)
Pinchado de líneas (Wiretapping)
Funcionales
La insuficiencia de los planteamientos subjetivos y objetivos han aconsejado
primar otros aspectos que puedan resultar más decisivos para delimitar la
criminalidad informática.
Atentados contra la fase de entrada (input) o de salida (output) del sistema, a su
programación, elaboración, procesamiento de datos y comunicación telemática.
c) JOVER PADRÓ
El fraude informático, ilícitos patrimoniales que Jurisprudencia y Doctrina han
calificado como hurto, apropiación indebida o estafa.
La estafa se encuentra en la Sección 1ª del Capítulo VI (de las
defraudaciones) del Título XIII, del Libro II.
El hurto se encuentra en el Capítulo Y del Titulo XII, del Libro II
Los documentos informáticos y sus falsedades.
Se encuentran regulados en el Capitulo II del Título XVIII (Delas
falsedades).
Del sabotaje informático, tipificado como delito de daños y estragos.
El sabotaje informático se tipifica a través de los delitos de daños y otros
estragos.
Los delitos de daños están regulados en el Capítulo IX del Título XIII.
Los delitos de otros estragos están regulados en la Sección 2ª del Capitulo I,
del Título XVII , del Libro II.
Los ataques contra la intimidad de las personas.
Encuentran su cauce penal en relación a la informática en el descubrimiento
y revelación de secretos del Capítulo Y del Titulo X (delitos contra la
intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio).
Este apartado será el objeto del presente trabajo.
Las defraudaciones a la propiedad intelectual.
Tienen su vía penal en la Sección 1ª del Capítulo XI del Título XIII (delitos
contra el patrimonio y el orden socioeconómico).
Las faltas informáticas.
En el título III (faltas contra el patrimonio) del Libro III en relación a la
falta informática.
d) SIEBER
Hace una clasificación que responde no sólo a un criterio sistematizado vinculado al
carácter automático de datos, sino al mismo tiempo a una separación de diversos tipos
criminológicos de conducta. Las conductas más significativas desde esta perspectiva
podrían agruparse en estas cinco modalidades principales:
manipulaciones de datos y/o programas, o ―fraude informático‖,
copia ilegal de programas,
obtención y utilización ilícita de datos, o ―espionaje informático‖,
destrucción o inutilización de datos y/o programas, o ―daños o sabotaje
informático‖ y
agresiones en el hardware o soporte material informático, principalmente ―hurto
de tiempo del ordenador‖.
e) Por último, siguiendo DAVARA RODRÍGUEZ
Dentro de un apartado en el que incluye ―La informática como instrumento en la
comisión de un delito‖, distingue dentro de la manipulación mediante la informática
dos vertientes diferentes:
Acceso y manipulación de datos y
Manipulación de los programas.
Atendiendo a ello, considera que determinadas acciones que se podrían encuadrar
dentro de lo que hemos llamado el delito informático, y que para su estudio, las
clasifica, de acuerdo con el fin que persiguen, en seis apartados:
Manipulación en los datos e informaciones contenidas en los archivos o soportes
físicos informáticos ajenos,
Acceso a los datos y/o utilización de los mismos por quien no está autorizado para
ello,
Introducción de programas o rutinas en otros ordenadores para destruir
información, datos o programas,
Utilización del ordenador y/o los programas de otras persona, sin autorización,
con el fin de obtener beneficios propios y en perjuicio de otro,
Utilización del ordenador con fines fraudulentos y
Agresión a la ―privacidad‖ mediante la utilización y procesamiento de datos
personales con fin distinto al autorizado, que será objeto de éste trabajo.
6. MEDIOS DE ATAQUE
6.1. ANATOMIA DE UN ATAQUE INFORMÁTICO
Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de
información (Information Gathering) con respecto a una potencial víctima que puede ser
una persona u organización. Por lo general, durante esta fase se recurre a diferentes recursos
de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de
las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el
sniffing.
Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida
en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima
como direcciones IP, nombres de host, datos de autenticación, entre otros. Entre las
herramientas que un atacante puede emplear durante la exploración se encuentra el network
mappers, port mappers, network scanners, port scanners, y vulnerability scanners.
Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el
ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de
las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of
Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session
hijacking.
Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido
acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el
futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a
utilidades backdoors, rootkits y troyanos.
Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y
mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la
intrusión para evitar ser detectado por el profesional de seguridad o los administradores de
la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del
Sistema de Detección de Intrusos (IDS).
6.2.HERRAMIENTAS UTILIZADAS PARA ATACAR
A) AMENAZAS A SERVIDORES, SERVIDROES DE BD, APLICACIONES WEB
a) Cross-site scripting
Cross-site scripting es un atacante que se produce cuando se utiliza una aplicación
web para enviar código málicioso generalmente en JavaScript, estos ataques son
aquellos en los que el código insertado esta permanentemente almacenados en las
bases de datos de los servidores atacados. La manera de reflejar los ataques, son
aquellos en los que el código insertado toma otra ruta a la víctima, como por
ejemplo en un mensaje de correo electrónico, para la divulgación de la cookie de
sesión del usuario permite a un atacante secuestrar la sesión del usuario y hacerse
cargo de la cuenta
b) Log tampering
Los registros se mantienen a la pista de los patrones de uso de la aplicación.
Permite la manipulación de los atacantes de webs de transacción, para cubrir sus
pistas o alterar registros.
Los atacantes se esfuerzan por borrar los registros, modificar los registros, cambiar
la información del usuario, o destruir las pruebas de cualquier ataque.
c) SQL injection
En español llamada Inyección de SQL, utiliza SQL para manipular directamente
los datos de una base de datos. Donde un atacante utilizando una aplicación web
vulnerables, elude las medidas de seguridad normales y obtiene acceso directo a
los datos valiosos, estos ataques pueden ser ejecutado desde la barra de
direcciones, con cargo a la aplicación, campos, y a través de consultas y
búsquedas.
d) Command injection
Inyección de comandos defectos transmitir los códigos maliciosos a través de un
aplicación web a otro sistema. Los ataques incluyen las llamadas al sistema
operativo a través de llamadas al sistema, el uso de programas externos a través de
comandos, así como llamadas a través de las bases de datos backend SQL (es
decir, la inyección de SQL). Scripts escritos en Perl, Python, y otros idiomas puede
ser inyectado en el deficiente diseño de aplicaciones web.
e) Error message interception attack
Información en los mensajes de error a menudo es rica en sitios específicos de
información que pueden ser utilizados para:
Determinar las tecnologías utilizadas en las aplicaciones web
Determinar si el intento de ataque fue un éxito
Recibir sugerencias para métodos de ataque para próximos intentos.
f) Attack Obfuscation
Los atacantes a menudo trabajan duro para enmascarar y ocultar sus ataques de
otro modo para evitar la detección. Método más común de ataque consiste en la
ofuscación de codificación porciones del ataque con Unicode, UTF-8, o la URL de
codificación. Múltiples niveles de codificación puede ser utilizado para ocultar aún
más el ataque. Se utiliza para el robo de servicio, cuenta el secuestro, la
información divulgación, desfiguración sitio web, y así sucesivamente.
g) Cookie/session poisoning
Las cookies se utilizan para mantener el estado de la sesión, es un fragmento de
información que se almacena en el disco duro del visitante de una página web a
través de su navegador, a petición del servidor de la página. Esta información
puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones
también se le llama "huella".
El ataque de Poisoning cookie permite a un atacante inyectar el contenido
malicioso, modificar en línea al usuario y obtener la información no autorizada.
h) Parameter/form tampering
Parámetro / Forma manipulación se aprovecha de la escondida campos de trabajo
como la única medida de seguridad en algunos aplicaciones. Modificando este
campo de valor oculto, hará que la aplicación web cambie de acuerdo con los
nuevos datos incorporados. Puede causar el robo de los servicios, la escalada de
acceso, y el período de secuestro de sesiones.
i) Platform exploits
Las aplicaciones web se basan en las plataformas de aplicaciones, tales como BEA
Weblogic, ColdFusion, IBM WebSphere, Microsoft. NET, y tecnologías de Sun
Java. Estas vulnerabilidades incluyen la mala configuración de la solicitud, errores,
la inseguridad interna de las rutinas, procesos ocultos y comandos, y mejoras de
terceros. La plataforma de aplicaciones de explotar la vulnerabilidad puede
permitir:
Acceso a zonas de desarrolladores
La capacidad de actualizar la aplicación y el contenido del sitio
j) DMZ protocol attacks
DMZ (zona desmilitarizada) es un semi-red de confianza que separa la zona que no
es de confianza de Internet de la compañía en la de confianza ubicada en la red
interna. La mayoría de las empresas limita el permitir el flujo de los protocolos a
través de su zona. Un atacante que está en condiciones de comprometer un sistema
que permite a otro despeje de protocolos, tiene acceso a la zona desmilitarizada y
otros sistemas internos. Este nivel de acceso puede dar lugar a:
Compromiso de la aplicación Web y de datos.
Defacement de sitios web.
Acceso a los sistemas internos, incluidas las bases de datos, copias de
seguridad, y el código fuente.
k) Buffer overflow
Desbordamiento de búfer es la ejecución de una aplicación web, corrupción en la
pila. Desbordamiento de búfer en defectos en las aplicaciones web personalizados
donde tienen menos probabilidades de ser detectadas. Casi todos los servidores
web, servidores de aplicación servidores y aplicaciones web los entornos son
susceptibles al ataque (pero no los entornos Java y J2EE a excepción de
desbordamientos en la misma).
l) Directory traversal/forceful browsing
Directorio transversal / navegación fuerza de ataque cuando el atacante es capaz de
navegar por los directorios y archivos fuera de la aplicación con normal de acceso.
Itexposes la estructura de directorios de la solicitud, y a menudo las servidor web
y sistema operativo. Un atacante puede enumerar el contenido, el acceso seguro o
a páginas restringidas, y obtener información confidencial, localizar el código
fuente, y así sucesivamente.
m) Security management exploits
Gestión de la seguridad de los sistemas están orientados para desactivar la
seguridad ejecución. Un exploit de gestión de la seguridad puede conducir a la
modificación de las políticas de protección
n) Web services attacks
Proceso de los servicios Web permiten al proceso de comunicación entre las
aplicaciones web, donde un atacante puede inyectar una secuencia de comandos
malintencionada en un servicio web que permita la divulgación y modificación de
los datos.
o) Cryptographic interception
Mediante el u so de la criptografía, un mensaje confidencial puede ser enviado de
manera segura entre dos partes, entre los flujos de tráfico cifrado a través de la red
de cortafuegos y sistemas IDS y es que no hayan sido inspeccionados. Si un
atacante es capaz de tomar ventaja de un canal seguro, él / ella se puede explotar
de manera más eficiente que un canal abierto.
p) Cookie snooping
En un intento de proteger a las cookies, los desarrolladores del sitio a menudo
codifican los "cookies". En un intento de proteger a las cookies, sitio fácilmente
reversibles, como los métodos de codificación Base64 y ROT13 (rotación de las
letras del alfabeto 13 caracteres) dan una falsa sensación de la seguridad en
relación con el uso de cookies. Cookie usa técnicas puede utilizar un proxy local
para enumerar las cookies.
q) Zero day attack
Ataques de día cero tienen lugar entre el momento en que una vulnerabilidad es
descubierta por un investigador o atacante y el momento en que el vendedor emite
un parche corrector. La mayoría de ataques de día cero, sólo están disponibles
como artesanales explotan código, pero zeroday gusanos han causado pánico
rápidamente. Vulnerabilidad de día cero es el punto de lanzamiento para una mayor
explotación de la web aplicación y el medio ambiente.
r) Network access attacks
Todo el tráfico hacia y desde una aplicación web atraviesa las redes. Estos ataques
se aprovechan de técnicas como la suplantación de identidad, puente, ACL de
circunvalación, y pila de ataques. La inhalación del tráfico de la red permitirá la
visualización de una aplicación, información de autenticación, y la aplicación de
datos, ya que atraviesa la red.
s) Authentication hijacking
Solicita una autenticación de usuario para abastecer a la credenciales que permiten
el acceso a la aplicación. Que se puede lograr mediante:
La autenticación básica
Métodos de autenticación fuerte
Aplicaciones Web con diversos métodos de autenticación. La aplicación de una
coherente política de autenticación entre los múltiples y dispares aplicaciones
pueden demostrar ser un verdadero reto. Un lapso de seguridad puede conducir a
robo de servicios período de sesiones el secuestro, y la suplantación del usuario.
t) TCP fragmentation
Cada mensaje que se transfiere entre los ordenadores de una red de datos se
desglosa en paquetes.
A menudo, los paquetes están limitados a un tamaño predeterminado para la
interoperabilidad con el medio físico de la red.
Un ataque directo contra un servidor Web que se especifica que el "impulso" del
pabellón se establece, que obligaría a todos los paquetes en la memoria del
servidor web. De esta manera, sería un ataque emitido pieza por pieza, sin la
capacidad de detectar el ataque.
B) ATAQUE FUERZA BRUTA
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave
probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.
Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del
algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado
(respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles
combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para
que la búsqueda sea exitosa con probabilidad mejor que la par será 2n − 1 operaciones,
donde n es la longitud de la clave (también conocido como el espacio de claves).
Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de
caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos
numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como
letras, así como las que están compuestas por menos caracteres serán también más fáciles de
descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es
logarítmica. Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son
muy costosos en tiempo computacional. La fuerza bruta suele combinarse con un ataque de
diccionario.
La DES Cracking Machine construida por la EFF a un costo de USD 250.000 contiene más
de 1800 chips especialmente diseñados y puede romper por fuerza bruta una clave DES en
cuestión de días — la fotografía muestra una tarjeta de circuito impreso DES Cracker que
contiene varios chips Deep Crack.
C) ATAQUE DE DICCIONARIO
Tipo de "ataque" informático relacionado al hacking que utiliza un diccionario de palabras
para llevar a cabo su cometido. Por ejemplo, para ingresar a un sistema con contraseña, se
puede utilizar un diccionario con palabras frecuentes y un programa automáticamente irá
probando una a una para descifrarla.
D) AMENAZAS MALWARE
Malware es la abreviatura de ―Malicious software‖ (software malicioso), término que
engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema
o causar un mal funcionamiento.
a) Virus
Un virus es un programa que se replica a sí mismo, tanto exactamente, como
modificado dentro de otra porción de un código ejecutable. Los virus pueden usar
muchos tipos de anfitriones, algunos de los más comunes son:
archivos ejecutables (tales como los programas de su computadora).
el sector de inicio (las partes del código que le dicen a su computadora donde encontrar
las instrucciones para iniciarse o encenderse).
archivos scripting (tales como Windows Scripting o Visual Basic script).
las macros dentro de los documentos (esto es menos común actualmente, ya que las
macros de por ejemplo Microsoft Word no están predeterminadas para ejecutanse).
Cuando un virus "infecta" otro código ejecutable, se asegura su ejecución cuando el
código héesped se ejecute. De esta forma el virus se disemina, buscando otros
anfitriones "limpios". Algunos virus sobre-escriben los archivos originales,
destruyéndolos por completo, pero muchos simplemente se insertan de una forma que se
vuelven parte del programa anfitrión, de manera que ambos son funcionales.
Dependiendo de la forma en que están codificados, los virus pueden diseminarse en
archivos del sistema, en las redes mediante los archivos compartidos, en los documentos
y en los sectores de inicio de los discos (Boot). Aunque algunos de estos programas
dañinos se diseminan por e-mail, eso no los convierte en virus. Para ser un virus, el
código simplemente debe replicarse, no siendo necesario que el mismo provoque daño o
que se disemine masivamente.
b) Gusanos
En términos informáticos, los gusanos son en realidad un sub-conjunto de virus pero
que no necesitan un archivo anfitrión. Puesto en forma simple, los virus infectan a los
anfitriones y los gusanos infectan a los sistemas. Muchas veces los gusanos explotan
aspectos vulnerables de estos sistemas, valíendose de las vulenrabilidades para lograr su
propagación.
Tales gusanos pueden diseminarse muy rápidamente a través de las redes de sistemas
vulnerables, ya que no requieren la intervención de los usuarios para ejecutarse. El
principal medio de transporte utilizado actualmente por los gusanos es el e-mail (es
importante señalar que el e-mail no está infectado, sino que transporta los archivos del
gusano).
Estos programas generalmente aprovechan la ingenuidad del usuario (generalmente con
un tema o mensaje atractivos) para que el mismo lo ejecute por primera vez. Luego de
esto el gusano se propaga por los diferentes archivos del sistema o por la red a la que
está conectado el mismo, siguiendo su propagación.
En general, los gusanos son mucho más fáciles de eliminar de un sistema que los virus,
dado que no infectan archivos. Los gusanos muy a menudo se añaden al inicio del
sistema, modificar las claves de registro, para asegurarse que serán cargados cada vez
que el mismo se inicie.
Nuevamente, los gusanos no deben necesariamente provocar daño.
c) Adware
Es un tipo de Programa que exhibe publicidad en una manera o contexto que es
inesperado o indeseable para los usuarios. Incluso, muchas de estas aplicaciones
también realizan seguimiento de las acciones del usuario. Algunas personas pueden
desear eliminar el Adware, si no esta de acuerdo con dicho seguimiento, si no quieren
visualizar las publicidades, o si están molestos por los efectos secundarios ocasionados
sobre el funcionamiento del sistema (generalmente relentización).
Por otro lado, algunos usuarios pueden querer conservar ciertos programas de adware, si
su presencia subsidia el costo de un producto o servicio que desean o si les proveen una
publicidad que les es útil o desean, tales como publicidades que son competitivas o
complementarias de aquello que el usuario está buscando (Fuente: Coalición Anti-
Spyware).
d) Spyware
El término Spyware ha sido usado en dos formas:
En el sentido más estricto, Spyware es un término para denominar al Software Espía
implementado sin una adecuada notificación, consentimiento o control del usuario.
Usualmente, el seguimiento se realiza enviando información a terceros sobre cualquier
aspecto (historial de navegación, datos sobre tarjetas de crédito, detalles personales)
propio del sistema o del usuario del mismo.
Generalmente el Spyware es instalado como parte de otro programa o a través de sitios
web, que explotan los aspectos vulnerables en los navegadores para instalar los
programas silenciosamente en segundo plano. También hay muchos programas que
simulan ser programas Anti-Spyware (u otro tipo de aplicación de seguridad), pero que
en realidad son Spywares.
Puede consultar http://www.spywarewarrior.org para obtener una lista de programas
que simulan ser programas de seguridad pero en realidad instalan espías en el sistema.
En un sentido más amplio, el Spyware es usado como un sinónimo para lo que la
Coalición Anti-Spyware llama "Spyware y otras Tecnologías Potencialmente
Indeseables". Esto puede incluir algunos tipos de cookies, registros comerciales de tipeo
y otras tecnologías de seguimiento.
e) PayLoad
Es una función adicional, como por ejemplo robo de datos, eliminación de archivos,
sobre-escritura del disco, reemplazo del BIOS, etc., que puede ser incluida en un virus,
gusano o Caballo de Troya. Observe que el payload no tiene que ser necesariamente
dañino.
f) Phishing
Phishing (pronunciado *fishing*) es un ataque de Ingeniería Social, que intenta obtener
de forma fraudulenta información personal sensible, tal como datos personales,
contraseñas y/o datos sobre tarjetas de crédito. Generalmente, esto se consigue enviando
e-mails (o comunicaciones similares) enmascarados como una persona o empresa
confiable con una solicitud de información aparentemente legítima.
Los mensajes más comunes parecen provenir de conocidos entidades de primera línea y
generalmente contienen alguna clase de amenaza de suspender el servicio o alguna otra
consecuencia indeseable si no se siguen las instrucciones. El e-mail parece auténtico y
contiene logotipos y contenido que proviene originalmente de la fuente que se intenta
personificar.
Generalmente, hay link en el e-mail que va a conducir al receptor del mismo a un sitio
web (igual al sitio legítimo), y este sitio va a ser usado para capturar los datos que están
siendo *pescados*.
Es importante recordar que los bancos y empresas legítimas nunca van a solicitar datos
personales (como nombres de usuario y contraseñas) a través de e-mails no solicitados.
También vale la pena tener presente que los links de estos correo, aunque parecen
legítimos, siempre apuntan a otro sitio desde donde se realiza el engaño.
Siempre que quiera ingresar al sitio web de su banco o a otros servicios de internet abra
una nueva sesión del navegador y digite la dirección correcta en la barra de direcciones.
g) Rootkit
Rootkit es una una o más herramientas (aplicaciones) diseñadas para mantener en forma
encubierta el control de una computadora.
Inicialmente los rootkit aparecieron en el sistema operativo UNIX (incluyendo el Linux)
y eran una colección de una o más herramientas que le permitían al atacante conseguir y
mantener el acceso al usuario de la computadora más privilegiado (en los sistemas
UNIX, este usuario se llama *root* y de ahí su nombre).
En los sistemas basados en Windows, los rootkits se han asociado en general con
herramientas usadas para ocultar programas o procesos al usuario. Una vez que se
instala, el rootkit usa funciones del sistema operativo para ocultarse, de manera tal de no
ser detectado y es usado en general para ocultar otros programas dañinos.
h) Troyanos
Un Troyano o Caballo de Troya, es un programa que da a entender que hace una cosa,
pero en realidad hace otra. No siempre son dañinos o malignos.
Los troyanos pueden ser utilizados para muchos propósitos como por ejemplo para:
Acceso remoto (a veces llamado Herramientas de Acceso Remoto o RATs o Puertas
Traseras).
Registro de tipeo y robo de contraseñas (la mayoría del spyware cae dentro de esta
categoría).
i) Estafas
Los Scam (o estafas) son bastante parecidas al Phishing, pero generalmente no apuntan
a obtener nuestros datos, sino que apelan a la compasión o a la ambición humana. Por
ejemplo, cada desastre (terremoto, inundación, guerra, hambruna) ha generado grandes
cantidades de estafas, en general peticiones de ayuda caritativa para una causa
"valedera". Los Fraudes (a veces llamados SCAM-419) le ofrecen la oportunidad de
obtener una gran suma de dinero, supuestamente ayudando al estafador a transferir
sumas de dinero aun mayores fuera de un país (habitualmente de un país africano como
Nigeria). Estas estafas siempre terminan en que le piden a usted que le envíe al
estafador un poco de dinero para cubrir costos "administrativos" (en general varios
miles de dólares). A veces, por estas estafas la persona estafada desapareció, fue
asesinada o fue secuestrada luego de viajar al extranjero para encontrarse con el
"benefactor". En casos menos extremos, muchas personas han perdido miles y miles de
dólares en estos fraudes.
j) Hoaxes
Los Hoaxes son en general bromas tontas, una forma de correo en cadena y, muchas
veces, Leyendas Urbanas. Los hoaxes tratan de generar Miedo, Inseguridad y Duda
(FUD en sus siglas en inglés) en los receptores.
Han existido casos en donde el contenido del correo ha hecho que el receptor borrara los
archivos de su sistema.
Estos correos nos invitan a que lo enviemos a nuestros amigos creado de esta forma lo
que comunmente recibe el nombre de cadena.
.
6.3. AMENAZAS INFORMÁTICAS 2009
Entre las principales amenazas a las que deberemos enfrentarnos en 2009 se encuentran las
siguientes:
a) Web 2.0 será el blanco de los creadores de código malicioso. Los logros y metas,
así como los peligros de las aplicaciones Web 2.0 continuarán siendo un problema
en 2009. Los hackers se valdrán de técnicas, como los IFRAMES, para camuflar el
malware bajo la apariencia de código normal, y también seguirán utilizando los
navegadores de Internet y otras aplicaciones habilitadas vía web, tales como Flash
y los reproductores de medios, entre otros, como vectores de infección.
b) El lanzamiento de Google Chrome, el próximo lanzamiento oficial de Internet
Explorer y el crecimiento de las aplicaciones de navegador como plataforma, por
ejemplo, Microsoft Silverlight y Adobe Integrated Runtime, servirán como nuevos
puntos de explotación.
c) Sistemas operativos alternativos. todo lo bueno tiende a terminar, incluyendo la
supuesta seguridad de las plataformas ―alternativas‖. Las amenazas que explotan
las vulnerabilidades de los sistemas operativos alternativos experimentarán un
crecimiento, especialmente con la creciente popularidad de Mac y Linux (este
último por la explosión del mercado de los netbooks).
d) Microsoft el eterno objetivo: los autores de código malicioso tienen una especial
fijación con Microsoft y 2009 promete no ser diferente. Seguramente veremos
actividad maliciosa alrededor de la liberación de Windows 7 cuando, sin duda, los
criminales probarán cualquier afirmación de que el nuevo Windows está ―libre de
virus‖.
e) El código malicioso de prueba de concepto también explotará Microsoft Surface,
Silverlight y Azure. Asimismo, los ciber criminales seguirán empleando un método
más profesional para aprovechar la ventana de oportunidad de explotación
presentada por el calendario mensual de ―Patch Tuesday‖ (Martes de Parches) de
Microsoft, en el que las explotaciones de día cero seguirán provocando problemas
a los usuarios del gigante de Redmond.
f) La ingeniería social alcanzará su cúspide: los ciber criminales seguirán
aprovechando eventos, celebridades y figuras políticas como cebo de la ingeniería
social. El código malicioso relacionado con las elecciones en Estados Unidos
seguirá causando problemas incluso después de que el presidente electo haya
ocupado el Despacho Oval, mientas que los jugadores que esperan la llegada de
―Starcraft 2‖ y ―WoW: Wrath of the Lich King‖ deberán tener especial cuidado.
g) Por otro lado, y aprovechando la crisis financiera global, los ciber-criminales
sacarán partido del panorama económico creando correos electrónicos con el tema
de la economía como gancho, falsificarán cupones electrónicos, así como
esquemas de trabajo en casa y realizarán otros esfuerzos para aprovechar el deseo
de los consumidores de ahorrar dinero.
h) Guerras de bandas electrónicas los investigadores de seguridad son testigos de
las guerras de virus, guerras de gusanos y guerras de botnets – debido a la creciente
competencia por obtener ganancias financieras del phishing y el fraude-. Además,
están viendo la consolidación de bandas de ciber-criminales, y las mejoras en
soluciones de seguridad. Asimismo, en 2009 veremos una creciente competencia
entre Europa Oriental y China para determinar qué criminales y de qué país serán
los primeros en incluir las explotaciones más recientes en sus kits de explotación.
i) La cruda realidad de las amenazas virtuales, muchas amenazas del mundo real
también existen en el mundo virtual. Ya que los criminales necesitan grandes
audiencias para perpetrar sus crímenes, han comenzado a hacer presa a los
residentes de los mundos virtuales y a los jugadores de los juegos online. El
número y tipo de amenazas en el entorno virtual incluye una serie de
comportamientos humanos y pueden ser tan inocentes como compartir contraseñas
entre socios; tan sofisticados como un fraude en bienes raíces real; y tan malicioso
como las bandas delictivas buscando nuevas presas. Veremos que las amenazas
virtuales se convertirán en uno de los mayores problemas en 2009.
j) DNS roto, los ciber-criminales aprovecharán los huecos identificados en el
registro de DNS (sistema de nombres de dominio) para perpetrar sus delitos. Según
los expertos, ya se están utilizando técnicas como el caché DNS envenenado para
crear canales de comunicación encubiertos, medidas para eludir la seguridad y
suministrar contenido malicioso. Si bien la comunidad de fabricantes de seguridad,
incluyendo a Trend Micro, está trabajando estrechamente con los
registros/registradores hasta donde les es posible, este es un problema que la
ICANN (Corporación Internet para Nombres y Números Asignados) debe
solucionar.
k) La economía clandestina sigue floreciendo, el ciber-crimen se ha convertido en
un gran negocio y, desafortunadamente, 2009 será testigo de un crecimiento
continuo. El aumento del código malicioso que roba información personal,
bancaria y de tarjetas de crédito, continuará porque ahí es donde está el dinero y el
crimen electrónico se mueve y se promueve simple y llanamente por razones
económicas.
l) Código malicioso más inteligente al alza, los avances en tecnologías maliciosas
son una apuesta segura ya que los autores de código malicioso siguen
desarrollando y liberando código que busca evitar su detección y eliminación. Así,
encontraremos más familias de código malicioso pero menos variantes, lo que hace
más difícil que las compañías antivirus creen patrones heurísticos para detectarlos.
El mayor problema es el creciente tamaño y frecuencia de actualización de estos
archivosde patrones que, de hecho, se ha convertido en un problema mayor que el
mismo código malicioso.
m) Compromiso y buenas intenciones, no todas las noticias son malas. Los esfuerzos
de la comunidad están surtiendo efecto y se está comenzando a reducir los vectores
de amenazas. Los esfuerzos conjuntos están cada vez mejor planeados,
coordinados y dirigidos, esto supone una bocanada de aire fresco en un
movimiento que reclama actuar y no quedarse solo en el trabajo de escritorio.
7. MEDIOS DE DEFENSA
7.1. SEGURIDAD EN INTERNET
Hoy en día, muchos usuarios no confían en la seguridad del Internet. En 1996, IDC Research
realizó una encuesta en donde el 90% de los usuarios expresó gran interés sobre la seguridad del
Internet, pues temen que alguien pueda conseguir el número de su tarjeta de crédito mediante el
uso de la Red.
Ellos temen que otros descubran su código de acceso de la cuenta del banco y entonces transferir
fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupación
en dar información confidencial a personas no autorizadas. Las corporaciones también se
preocupan en dar información a los empleados, quienes no están autorizados al acceso de esa
información o quien trata de curiosear sobre una persona o empleado. Las organizaciones se
preocupan que sus competidores tengan conocimiento sobre información patentada que pueda
dañarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del término de la
seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad
significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje,
aplicación, archivo, sistema o una comunicación interactiva. "Seguro" los medios son protegidos
desde el acceso, el uso o alteración no autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
La autenticación (promesa de identidad), es decir la prevención de suplantaciones, que se
garantice que quien firma un mensaje es realmente quien dice ser.
La autorización (se da permiso a una persona o grupo de personas de poder realizar ciertas
funciones, al resto se le niega el permiso y se les sanciona si las realizan).
La privacidad o confidencialidad, es el más obvio de los aspecto y se refiere a que la
información solo puede ser conocida por individuos autorizados. Existen infinidad de
posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La
transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y
copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o
la simple intrusión directa en los equipos donde la información está físicamente almacenada.
La integridad de datos, La integridad se refiere a la seguridad de que una información no ha
sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en
su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un
paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre.
La disponibilidad de la información, se refiere a la seguridad que la información pueda ser
recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por
ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
No rechazo (la protección contra alguien que niega que ellos originaron la comunicación o
datos).
Controles de acceso, esto es quien tiene autorización y quien no para acceder a una pieza de
información determinada.
Son los requerimientos básicos para la seguridad, que deben proveerse de una manera confiable.
Los requerimientos cambian ligeramente, dependiendo de lo que se está asegurado. La
importancia de lo que se está asegurando y el riesgo potencial involucra en dejar uno de estos
requerimientos o tener que forzar niveles más altos de seguridad. Estos no son simplemente
requerimientos para el mundo de la red, sino también para el mundo físico.
En la tabla siguiente se presenta una relación de los intereses que se deben proteger y sus
requerimientos relacionados:
Intereses Requerimientos
Fraude Autenticación
Acceso no Autorizado Autorización
Curiosear Privacidad
Alteración de Mensaje Integridad de Datos
Desconocido No - Rechazo
Estos intereses no son exclusivos de Internet. La autenticación y el asegurar los objetos es una
parte de nuestra vida diaria. La comprensión de los elementos de seguridad y como ellos
trabajan en el mundo físico, puede ayudar para explicar cómo estos requerimientos se
encuentran en el mundo de la red y dónde se sitúan las dificultades.
7.2. MEDIDAS DE SEGURIDAD DE LA RED
Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe
hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes
partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y
preocuparse de hacerlas cambiar periódicamente (Evitar las passwords "por defecto" o
demasiado obvias).
a) Firewalls
Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática.
Una de las maneras drásticas de no tener invasores es la de poner murallas. Los mecanismos
más usados para la protección de la red interna de otras externas son los firewalls o
cortafuegos. Estos tienen muchas aplicaciones, entre las más usadas está:
Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que
aplica unas reglas de filtrado que le permiten discriminar el tráfico según nuestras
indicaciones.
Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que
podremos establecer serán a nivel de direcciones IP, tanto fuente como destino.
b) Cortafuegos filtro de paquetes ejemplarizado en un router
La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete
cumpla marcará la acción a realizar (descartarlo o dejarlo pasar). La aplicación de las
listas de filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o
en ambos.
La protección centralizada es la ventaja más importante del filtrado de paquetes. Con un
único enrutador con filtrado de paquetes situado estratégicamente puede protegerse toda una
red.
c) Firma digital.
El cifrado con clave pública permite generar firmas digitales que hacen posible certificar la
procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta
forma se puede evitar que alguien suplante a un usuario y envíe mensajes falsos a otro
usuario, por la imposibilidad de falsificar la firma. Además, garantizan la integridad del
mensaje, es decir, que no ha sido alterado durante la transmisión. La firma se puede aplicar
a un mensaje completo o puede ser algo añadido al mensaje.
Las firmas son especialmente útiles cuando la información debe atravesar redes sobre las
que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra
forma la procedencia de los mensajes.
Existen varios métodos para hacer uso de la firma digital, uno de ellos es el siguiente:
―quien envía el mensaje lo codifica con su clave privada. Para descifrarlo, sólo puede
hacerse con la clave pública correspondiente a dicha persona o institución. Si efectivamente
con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo
hizo‖.
Firma digital formada encriptando con la clave privada del emisor:
Firma Digital y Autentificación
E: Encriptar / D: Desencriptar.
KP : Encriptación utilizando la Clave Privada.
KV : Encriptación utilizando la Clave Pública.
M : Mensaje.
7.3. SEGURIDAD EN WWW
¿Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor seguro.
En primer lugar los formularios pueden tener "agujeros" a través de los que un hacker hábil,
incluso poco hábil, puede "colar" comandos.
La red es totalmente pública y abierta, los paquetes pasan por máquinas de las que no se tiene
conocimiento y a las que puede tener acceso la gente que le guste husmear el tráfico de la red. Si
es así (y no tienen que ser necesariamente hackers malintencionados, algunos proveedores de
servicio lo hacen) sólo se puede recurrir a encriptar el tráfico por medio, en WWW, de
servidores y clientes seguros.
7.4. POLÍTICA DE SEGURIDAD.
Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a
través de la organización, da al personal e institución muchos beneficios. Sin embargo, a mayor
acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del incremento
de vulnerabilidad.
De hecho, cada vez que se añade un nuevo sistema, acceso de red o aplicación se agregan
vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la protección. Sin
embargo, si se está dispuesto a enfrentar realmente los riesgos, es posible cosechar los
beneficios de mayor acceso mientras se minimizan los obstáculos. Para lograr esto, se necesitará
un plan complejo, así como los recursos para ejecutarlo. También se debe tener un conocimiento
detallado de los riesgos que pueden ocurrir en todos los lugares posibles, así como las medidas
que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podría muy bien serlo,
especialmente en organizaciones pequeñas que no tienen personal experto en todos los temas.
Alguien podría estar tentado para contratar un consultor de seguridad y hacerlo con él; aunque
esto puede ser una buena manera para outsourcing, todavía necesita saber lo suficiente y
observar la honestidad del consultor. Después de todo, se le va a confiar a ellos los bienes más
importantes de la organización.
Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de
las características técnicas de los protocolos de red, sistemas operativos y aplicaciones que son
accesadas, sino también lo concerniente al planeamiento. El plan es el primer paso y es la base
para asegurar que todas las bases sean cubiertas.
A) ¿Porqué se necesita una política de seguridad?
La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad está la
del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de
ataques de malévolos hackers. Aunque un firewall jugará un papel crucial, es sólo una
herramienta que debe ser parte de una estrategia más comprensiva y que será necesaria a fin
de proteger responsablemente los datos de la red. Por una parte, sabiendo cómo configurar
un firewall para permitir las comunicaciones que se quiere que ingresen, mientras
salvaguarda otros datos, es un hueso muy duro de roer.
Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall
correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar
con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos.
También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso
con la protección de firewall, no hay garantía que no se pueda desarrollar alguna
vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por
ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su
firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un
módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers,
cualquier empresa o institución que provea de conexión a Internet), por las restricciones que
el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su
firewall). Se puede proveer restricciones o "protección," que puede resultar ser innecesario
una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra
parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo.
Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las
consecuencias para añadir el riesgo, no hay mucho que hacer.
Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su
información?. Si usted está en una compañía de publicidad puede tener algunas
responsabilidades definitivas al respecto.
Asegurar sus datos involucra algo más que conectarse en un firewall con una interface
competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar
este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto
requiere educación y capacitación, conjuntamente con la explicación, claramente detallada,
de las consecuencias de las violaciones. A esto se le llama una "política de seguridad" y es
el primer paso para asegurar responsablemente la red. La política puede incluir instalar un
firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las
limitaciones del firewall.
Elaborar la política de seguridad no es una tarea trivial. Ello no solamente requiere que el
personal técnico comprenda todas las vulnerabilidades que están involucradas, también
requiere que ellos se comuniquen efectivamente con la gerencia. La gerencia debe decidir
finalmente cuánto de riesgo debe ser tomado con el activo de la compañía, y cuánto se
debería gastar en ambos, en dólares e inconvenientes, a fin de minimizar los riesgos. Es
responsabilidad del personal técnico asegurar que la gerencia comprenda las implicaciones
de añadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia
tenga la suficiente información para la toma de decisiones. Si la política de seguridad no
viene desde el inicio, será difícil imponer incluso medidas de seguridad mínimas. Por
ejemplo, si los empleados pueden llegar a alterarse si ellos imprevistamente tienen que
abastecer logins y contraseñas donde antes no lo hacían, o están prohibidos particulares
tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la
política por escrito. Las políticas pueden entonces ser comunicadas a los empleados por la
gerencia. De otra forma, los empleados no lo tomarán en serio, o se tendrán batallas de
políticas constantes dentro de la compañía con respecto a este punto. No solamente con
estas batallas tendrán un impacto negativo sobre la productividad, es menos probable que la
decisión tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las
guerras políticas.
El desarrollo de una política de seguridad comprende la identificación de los activos
organizativos, evaluación de amenazas potenciales, la evaluación del riesgo,
implementación de las herramientas y tecnologías disponibles para hacer frente a los
riesgos, y el desarrollo de una política de uso. Debe crearse un procedimiento de auditoria
que revise el uso de la red y servidores de forma periódica.
Identificación de los activos organizativos: Consiste en la creación de una lista de todas las
cosas que precisen protección.
Por ejemplo:
Hardware: ordenadores y equipos de telecomunicación
Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos,
programas de comunicaciones.
Datos: copias de seguridad, registros de auditoria, bases de datos.
B) Valoración del riesgo:
Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de
examinar todos los riesgos, y valorarlos por niveles de seguridad.
C) BDefinición de una política de uso aceptable:
Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la
política de uso aceptable debe considerar otros aspectos:
¿Quién tiene permiso para usar los recursos?
¿Quién esta autorizado a conceder acceso y a aprobar los usos?
¿Quién tiene privilegios de administración del sistema?
¿Qué hacer con la información confidencial?
¿Cuáles son los derechos y responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y responsabilidades de los usuarios:
Si los usuarios están restringidos, y cuáles son sus restricciones.
Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.
Cómo deberían mantener sus contraseñas los usuarios.
Con qué frecuencia deben cambiar sus contraseñas.
Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.
8. REPORTE SECUENCIAL DE UN ACCESO NO AUTORIZADO
DEMOSTRACION – UTILIZACION DE LA HERRAMIENTA
CHAT
En una de las máquinas ponemos el netcat en modo servidor, a la escucha. En la
otra, lo ponemos en modo cliente.
Servidor: nc -l -p 5000
Cliente: nc <ip_servidor> <puerto_servidor>
Nc NetCat
-l Indica al Netcat que debe actuar como un servidor, es decir, debe poner a la escucha un
puerto (Modo Servidor)
-p Indica el puerto por el que ponemos el servidor a la escucha. Si no se pone, Netcat
selecciona un puerto que esté libre de forma aleatoria. Es recomendable usar un puerto
superior al 1024.
Cuando lanzamos el Netcat en modo cliente, este actúa como lo hace un telnet. De hecho, se
podría lanzar la máquina cliente con un telnet (telnet <ip_servidor> <puerto_servidor>).
Podemos comprobar, haciendo un netstat, como aparece un nuevo proceso escuchando por el
puerto 5000 por todas las interfaces (0.0.0.0:5000).
Si se quiere hacer la conexión utilizando el protocolo UDP en vez de TCP, se añade
tanto a cliente como a servidor el parámetro -u. Ejemplo:
nc -l -u -p 5000 //Máquina Servidor
nc -u <ip_servidor> 5000 //Máquina Cliente
Para cerrar la conexión entre el cliente y el servidor hay que pulsar Ctrl + C en cualquiera de
las consolas. Verás entonces que ambas se cortan.
Esto se debe a que Netcat en modo servidor tiene una limitación que es que sólo admite una
conexión al mismo tiempo.
Si se desea guardar la información de la conversación mantenida, bastará con utilizar
el parámetro -o fichero. Este parámetro genera un log de las actividades del Netcat en
código Hexadecimal. Ejemplo:
Si luego editamos fileLog vemos lo siguiente:
El símbolo < indica ―De la red‖. El símbolo > indica ―Para la red‖.
ENVIAR Y RECIBIR FICHEROS
Para pasar un fichero de un cliente al servidor, hay que hacer lo siguiente: Ponemos el
servidor a la escucha:
nc -l -p 5000
Pasamos el fichero desde el cliente al servidor:
nc <ip_servidor> <puerto_servidor> < /etc/passwd
Otra forma de pasar el fichero desde el cliente:
cat /etc/passwd | nc <ip_servidor> <puerto_servidor>
Con este proceso, se mostraría el fichero de contraseñas en el servidor. Si queremos que ese
fichero se almacene, en vez de ser mostrado, deberíamos lanzar el servidor así:
nc -l -p 5000 > /home/loretahur/prueba
Ahora tenemos en el servidor un fichero llamado prueba en /home/loretahur que contiene las
contraseñas de la máquina cliente (su fichero /etc/passwd).
También se puede pasar el fichero del servidor al cliente de la siguiente forma:
cat /etc/passwd | nc -l -p 5000 //Máquina Servidora
nc localhost 5000 //Máquina Cliente que recibe el archivo
ESCANEAR PUERTOS
Para escanear los puertos de una máquina hay que ejecutar:
nc -z -v -w3 <máquina> <rango_puertos>
-z Escanear puertos
-v Modo verbose. Si sólo se pone una v, se mostrarán los puertos abiertos de
la máquina escaneada.
Si se pone -vv, se mostrarán todos los puertos escaneados, indicando para
cada uno si está abierto o cerrado <rango_puertos> Se debe introducir de qué puerto a qué puerto se quiere escanear Ejemplo:
1-1024. (1 y 1024 también incluidos en el escaneo) También se puede
poner sólo los puertos que se quiere escanear.
Ejemplo: nc -z -v localhost 25 21 80 //Escanea sólo los puertos 25, 21 y 80 -w <segundos> Especifica un tiempo para terminar. Con esta opción le especificas un
tiempo determinado para realizar conexiones
Si quisieramos enviar los resultados del escaneo a un fichero deberíamos hacerlo así:
nc -z -vv <ip_maquina> 1-5000 2> fichero
Se utiliza el 2> porque la salida del escaneo no es la estándar, sino que es la salida de errores
(STDERR).
Si no se introduce ningún parámetro más, se escanean los puertos TCP. Si lo que se quiere es
escanear los puertos UDP, habrá que añadir el parámetro -u.
Si se desea hacer un escaneo de puertos paranoico, es decir, que vaya comprobando
cada puerto cada mucho tiempo para que no seamos detectados, se puede incluir el parámetro
-i.
Con este parámetro podemos indicar cada cuanto segundo debe netcat escanear un puerto.
Ejemplo en el que se escaneará cada 10 segundos un puerto:
nc -z -vv -i 10 localhost 1-1024
Si además le añadimos el parámetro -r, le estaremos indicando que haga un escaneo
de puertos aleatorio (genera un patrón ramdom de puertos locales o remotos). Esto es muy
útil para evitar patrones lógicos de scanning.
Si queremos evitar mostrar la IP fuente del Scanning deberemos utilizar gateways
(parámetro –g <gateway>). Esta es una de las opciones más interesantes de netcat, que
permite utilizar Routers como "puentes" de conexión.
SERVIDOR WEB
Si lanzas en una consola el siguiente comando, servirás de forma puntual un solo fichero
html:
nc −l −p 80 <NombreArchivo.html
Tendrás un servidor Web en tu maquina que servirá la pagina especifica
(NombreArchivo.html) a la próxima conexión que se haga a tu IP por él. Es decir, si
después de lanzar el comando, abres una ventana de tu explorador y pones la
siguiente URL:
localhost:80\NombreArchivo.html, esta te cargara a partir del Netcat.
9. APLICACIÓN
NETCAT
NetCat lee y escribe datos a través de conexiones de red utilizando el protocolo TCP
(Protocolo de Control de Transmisión) o el protocolo UDP (Protocolo de Datagrama
de Usuario). Está diseñado para ser una herramienta "de atrás" confiable que puede ser
usada directamente o con soltura propulsada por otros programas y puede incluirse dentro de
scripts SH (en Unix) o batch (en msdos).
Esta herramienta puede abrir puertos y enlazar en ellos a cualquier programa. Así
como un hacker puede usar este programa.
NetCat también puede funcionar como un servidor, escuchando conexiones de entrada
en puertos arbitrarios y luego haciendo las mismas lecturas y escrituras. Con
limitaciones menores, a NetCat realmente no le importa si corre en modo "cliente" o
"servidor" todavía palea datos de acá para allá hasta que no quede nada más. En cualquier
modalidad, el cierre puede ser obtenido a la fuerza después de un tiempo que puede
configurarse de inactividad en el lado de la red.
EL LADO OSCURO
NetCat tiene su belleza en la simplicidad y funcionalidad con que fue creado. Hablar de los
usos que una persona conocedora le puede dar a esta utilería es como tratar de describir todo
lo que puedes hacer con tu navaja militar suiza.
Un tiempo equitativo es merecido aquí, dado que una herramienta tan versátil como ésta
puede ser útil para cualquier situación. Una persona puede usar una Victorinox para arreglar
el coche de otra persona coche o para desarmarlo, ¿correcto? Una persona cualquiera
claramente puede usar una herramienta como NetCat para atacar o defender sus frentes.
En este momento no trato de controlar el punto de vista social de nadie ni ser guía moral de
nada. NetCat simplemente se construyó como unos implementos. Sin tener en cuenta las
intenciones turbias que alguien pudiera tener, todavía debe uno ser consciente de estas
amenazas para los sistemas propios.
La primera cosa que salta a la vista es el uso de NetCat para escanear vulnerabilidades del
servicio en la red de alguien. Archivos que contienen datos preconstruídos sean exploratorios
o explotables, pueden ser alimentados como entradas de datos estándar, incluyendo
argumentos de línea de comandos a NetCat mismo. Mientras más aleatorio sea el escaneo,
más difícil será la detección por humanos, detectores de scanners o filtrado dinámico.
NetCat es tomado por Hobbit, el genio creador detrás del programa, como su Navaja Suiza.
Al mismo tiempo, considera a los numerosos programas y scripts que le acompañan como
cintas adhesivas "masking tape". Estas cintas tienen, por supuesto, su lado amable, su lado
oscuro y unen al universo por completo. Si NetCat puede considerarse un gigantesco martillo,
podremos decir que existen muchos protocolos de red que están comenzando a parecerse de
manera repentina a clavos.
Dentro de este documento recopilatorio se repasarán muchos de los fundamentos básicos y
avanzados acerca del buen uso de NetCat. También, como lector y estudioso, será necesario
por no decir imperativo, que le des una leída más tarde los ejemplos de uso y notas incluidos
que te pueden dar más ideas acerca de lo buena que es esta clase de herramienta.
UTILIDADES
Chat.
Enviar y recibir ficheros.
Escanear puertos.
Captura básica de banners.
Servidor Web.
Conseguir una shell (de forma directa o inversa).
HABILIDADES BÁSICAS
Conexiones hacia o desde el exterior, usando UDP o TCP, hacia o desde cualquier puerto.
Verificación de DNS normal o en reversa, con las advertencias correspondientes
Uso de cualquier puerto local
Uso de cualquier dirección a la que se tenga acceso en la red local
Habilidad de rastrear puertos, incluso de manera aleatoria
Capacidad de decidir qué camino tomarán los paquetes enviados, a modo de
"encaminarlos", lo que se conoce como sourcerouting.
Puede procesar comandos de programas, de scripts, y del usuario.
Capaz de enviar datos en modo de transmisión lenta, una línea cada N segundos
Monitoreo y presentación, en modo hexadecimal, de datos transmitidos y
recibidos
Capacidad de dejar que otro programa maneje conexiones ya establecidas
Opcionalmente responde a opciones características de telnet
Creación de nuevas herramientas, basándonos en los servicios de NetCat.
CONCLUSIONES
Las utilidades de este pequeño programa son enormes, de poder establecer conexión con
otras maquinas, escaneo de puertos, crear exploit, hasta realizar sniffers.
Así mismo establecer una conexión remotamente, en donde el grupo aprendió a utilizar los
comandos respectivos y/o herramientas para su conexión respectiva.
Se recomienda que se dé un buen uso de esta herramienta para fines educativos.
Que, se continúe analizando y utilizando la herramienta en mención para sacarle buen
provecho de la misma.
Tener conocimientos de sistemas operativos como Windows y Unix ya que la sintaxis de
comandos son diferentes.
Mantener en todo momento activo el Firewall del sistema operativo que se tenga instalado.
El acceso a los recursos informáticos y de comunicaciones obliga a toda institución u
organización a dotarse de normas mínimas que garanticen la seguridad y el uso de dichos
recursos en las debidas condiciones. Tales normas deben enmarcarse en el pleno respeto al
tratamiento de los datos de carácter personal en los términos señalados en la Ley Orgánica
de Protección de Datos de Carácter Personal.
Igualmente importante es optimizar las capacidades en lo relativo a la adquisición, gestión y
mantenimiento de su parque informático.
Es necesario que todo proceso de desarrollo, adquisición o implantación de aplicaciones sea
aprobado por los Servicios Informáticos. Asimismo, todo proceso de adquisición de
equipamiento informático (hardware y software) destinado al uso del personal de
administración y servicios debe ser asesorado, iniciado y supervisado por los Servicios
Informáticos.
El mayor uso plataformas informáticas, dentro de la intranet como internet por la
diversidad de empresas y para brindar tipo de servicios, donde la información tiene el papel
más importante, convirtiéndolo en la principal herramienta para su desarrollo empresarial.
También conlleva a hacer uso de aplicación de mas normas de seguridad de la información,
informática, recursos, hardware, comunicaciones, etc.,
El delito informático en el Código Penal peruano ha sido previsto como una modalidad de
hurto agravado, lo cual trae inconvenientes, teniendo en cuenta la forma tradicional de
comprender los elementos del delito de hurto.
Asimismo, existen conductas vinculadas a los delitos informáticos que, en algunos casos,
pueden configurar otro tipo de delitos, como por ejemplo, el delito de daños.
A manera de recomendación, sería conveniente la creación de un tipo autónomo que
sancione las conductas vinculadas al delito informático
REFERENCIAS
WIKIPEDIA
http://www.medicina.usmp.edu.pe/acreditacion/Documentacion/11_infraestructura/pdf/REGLA
MENTO%20DE%20LA%20UNIDAD%20DE%20COMPUTO_comp.pdf
ABC Digital
http://www.abc.com.py/suplementos/mundodigital/articulos.php?pid=342864
Ataque Informáticos
https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf
Delitos Informáticos
http://www.delitosinformaticos.com/01/2007/delitos/espionaje/el-delito-de-espionaje-por-
medios-informaticos-3
Las principales amenazas 2009
http://www.infonos.com/Las-principales-amenazas-informaticas-del-2009_i11285.html
Delitos Informáticos
http://www.asesor.com.pe/teleley/5Bramont-51.pdf
Mundo Contacto
http://www.mundo-contact.com/soluciones_detalle.php?recordID=2896
Revista de Derecho Informático
http://www.alfa-redi.org/rdi.shtml
Congreso de la República del Perú
http://www.congreso.gob.pe/
Videos
http://www.youtube.com/
Seguridad Informática / Legislación y Delitos Informáticos
http://www.segu-info.com.ar/delitos/delitos.htm
Seguridad Informática INEI
http://www.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5010/cap02.htm