ING. ALEXNDER GUZMN GARCA Cdigo: 1.030.548.291 ORLANDO GMEZ BARBOZA Cdigo 1.047.364.028 DEIBY MISAEL MONTENEGRO Cdigo: 1.072.638.173 LUIS MIGUEL QUIROZ Cdigo: 1.063.151.984 ANDRS FELIPE DORIA CORCHO Cdigo: 1.067.846.426 Aspectos ticos y Legales de la Seguridad Informtica Grupo: 233005_14
Universidad Nacional Abierta y Distancia - UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Especializacin en Seguridad Informtica Bogot D.C. Colombia, 17 de Mayo de 2014
Actividad No.3 Momento Dos (2) TRABAJO MOMENTO DOS (2)
ING. ALEXNDER GUZMN GARCA Cdigo: 1.030.548.291 ORLANDO GMEZ BARBOZA Cdigo 1.047.364.028 DEIBY MISAEL MONTENEGRO Cdigo: 1.072.638.173 LUIS MIGUEL QUIROZ Cdigo: 1.063.151.984 ANDRS FELIPE DORIA CORCHO Cdigo: 1.067.846.426 Aspectos ticos y Legales de la Seguridad Informtica Grupo: 233005_14
Director del Curso ING. YINA ALEXANDRA GONZALEZ SANABRIA
Universidad Nacional Abierta y Distancia - UNAD Escuela de Ciencias Bsicas Tecnologa e Ingeniera Especializacin en Seguridad Informtica Bogot D.C. Colombia, 17 de Mayo de 2014 3 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 1. TABLA DE CONTENIDO 1. Tabla de Contenido ................................................................................................ 3 2. Lista de tablas......................................................................................................... 4 3. Introduccin ............................................................................................................ 5 4. Objetivos ................................................................................................................. 6 4.1. Objetivo General .............................................................................................. 6 4.2. Objetivos Especficos ....................................................................................... 6 5. Actividad a Desarrollar ............................................................................................ 7 6. Desarrollo de la actividad ....................................................................................... 8 6.1. Delitos informticos ms comunes ................................................................... 8 6.2. Legislacin nacional e internacional ............................................................... 13 6.3. Sistema de control para delitos informticos .................................................. 19 6.3.1. Polticas de seguridad ............................................................................. 24 7. Conclusiones ........................................................................................................ 26 8. Referencias Bibliogrficas E Infogrficas ............................................................. 27
4 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 2. LISTA DE TABLAS Tabla 1 Delitos informticos ............................................................................................... 10 Tabla 2 Leyes para delitos informticos............................................................................. 13 Tabla 3 Sistema de control para los delitos informticos ................................................... 19
5 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 3. INTRODUCCIN Actualmente la informacin es el activo de mayor valor de las empresas y organizaciones. Muchas de ellas no implementan medidas para protegerla adecuadamente o no tienen planes y polticas de seguridad de la informacin. Adicionalmente, muy pocas cuentan con planes de recuperacin en casos de emergencia evidenciando as una mala imagen corporativa, el cual es un activo intangible y al que es muy difcil establecerle un precio, ya que la prdida de la confianza del usuario hacia la entidad es invaluable o el tiempo que se gasta en restablecer un servicio. De alguna forma u otra las empresas hoy en da hacen uso de las Tecnologas de la Informacin y Comunicacin (TIC) para proveer sus productos y prestar sus servicios, siendo as blancos de intrusos individuales o de grupos organizados que perpetan ataques con fines con o sin nimo de lucro. Incluso, las vctimas son tambin personas comunes. Con el fin de frenar este tipo de delitos, diferentes pases en el mundo ya han incluido leyes en sus constituciones que castiguen estas prcticas, donde principalmente buscan proteger la confidencialidad, integridad y disponibilidad de la informacin. Colombia, mediante la promulgacin de la Ley 1273 de 2009 penaliza los delitos informticos con penas de hasta 120 meses y 1.500 salarios S.M.M.L.V. El siguiente trabajo muestra cules son los delitos informticos ms comunes a los que se ven enfrentados las organizaciones y qu leyes internacionales y nacionales aplican en estos casos. De igual manera, se propone un sistema de control basado en polticas, estrategias y controles que permitan reducir estos delitos y que sean fuertemente castigados por la ley.
6 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 4. OBJETIVOS 4.1. Objetivo General Identificar los tipos de delitos informticos cometidos ms comunes hacia las organizaciones, as como las leyes nacionales e internacionales vigentes que se aplica a los infractores. 4.2. Objetivos Especficos 4.2.1. Identificar los tipos de delitos informticos ms comunes a los que se enfrentan las organizaciones.
4.2.2. Conocer las leyes nacionales e internacionales vigentes que penalizan los delitos informticos y determinar cules son aplicables a determinados delitos.
4.2.3. Proponer sistemas de controles efectivos que minimicen la realizacin de los delitos informticos.
4.2.4. Indagar sobre los salvaguardias existentes y que se puedan utilizar en proteccin frete a cada delito informtico identificado.
7 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 5. ACTIVIDAD A DESARROLLAR 5.1. Cada integrante del grupo debe hacer la bsqueda de por lo menos cinco delitos informticos ms comunes a que se ven enfrentadas las organizaciones, puede tomarse como referencia los problemas que se han presentado dentro de las empresas donde estn laborando actualmente, o la bsqueda de la informacin en internet, con esta informacin construir un cuadro con los delitos informticos.
5.2. Teniendo en cuanta la legislacin nacional e internacional sobre legislacin informtica y de seguridad de la informacin, escribir frente a cada delito del cuadro anterior que leyes a nivel nacional o internacional, podran aplicarse para ejercer controles sobre esos delitos (artculo aplicable).
5.3. Finalmente proponer un sistema de control para los delitos mencionados basados en polticas, estrategias y controles para que no vuelvan a presentarse estos delitos y que sean severamente castigados de acuerdo a la ley vigente.
8 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 6. DESARROLLO DE LA ACTIVIDAD 6.1. Delitos informticos ms comunes Los delitos informticos se definen como "Ofensas que son cometidas contra individuos o grupos de individuos con un motivo criminal para daar intencionalmente la reputacin de la vctima o causarle dao mental o fsico directa o indirectamente, utilizando redes de telecomunicacin modernas como el Internet o telfonos mviles" (Debarati & Jaishankar, 2011). El trmino delito informtico generalmente es usado indistintamente a la palabra crimen ciberntico, a la cual en ingls se le conoce como cybercrime, donde la Organizacin de las Naciones Unidas (ONU) lo divide en dos categoras con sus respectivas definiciones (Shinder & Tittel, 2002, pg. 17): Cibercrimen en un sentido reducido (crimen computacional): Cualquier comportamiento ilegal perpetuado por medio de operaciones electrnicas que comprometa la seguridad de los sistemas computacionales y los datos procesados por ellos. Cibercrimen en un sentido amplio (crimen relacionado a las computadoras): Cualquier comportamiento ilegal cometido por cualquier medio o relacionado, a un sistema de computadoras o red, incluyendo crmenes como posesin ilegal y/u oferta o distribucin de informacin por medio de un sistema de computadoras o red. El delito informtico o cibercrimen se puede clasificar en dos grandes categoras en base a la naturaleza o grado de violacin de la integridad humana: Violentos (o potencialmente) y los No Violentos (Shinder & Tittel, 2002, pg. 19). Violentos (o potencialmente): Son aquellos donde se utilizan las computadoras o redes para causar ofensas o cualquier tipo de dao fsico a una persona o grupos de ellas. Dentro de esta categora se encuentra el Ciberterrorismo, Asaltos por Amenazas, Cyberstalking 1 y Pornografa Infantil. No Violentos: Son aquellos que no causan ofensas a la integridad personal, pero s a cualquier elemento fsico. Dentro de esta categora se encuentra el Fraude Ciberntico (Cyberfraud), Robo Ciberntico (Cybertheft), Cibercrmenes Destructivos, entre otros. Los delitos informticos son ejecutados en diversas modalidades y sus objetivos son la violacin de los tres pilares fundamentales de la Seguridad Informtica como lo son la Confidencialidad, Integridad y Disponibilidad de la informacin. Dentro de estas modalidades se encuentran los ataques de Denegacin de Servicios (DoS, Denial of Service), instalacin o propagacin de software de Cdigo Malicioso (Malware), alteracin y/o modificacin de contenido mediante ataques de Secuencias de Comandos de Sitios Cruzados (XSS, Cross-Site Scripting), inyecciones SQL (SQL Injection), envo masivo de correo fraudulento (Spamming), Suplantaciones de Identidad (Phising), Ingeniera Social (Social Engineering), interceptacin de trfico (Man in the Middle), entre otros.
1 Cyberstalking: Trmino utilizado para referirse al acoso personal en lnea. En esta se incluyen las acusaciones falsas, seguimiento, amenazas, robo de identidad y destruccin de datos. Se utilizan principalmente el correo electrnico, llamadas telefnicas u otros tipos de comunicacin (Merrit, 2014). 9 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Con el uso del Internet y las organizaciones convergiendo a proveer y prestar servicios en la web, estas prcticas han ido aumentando en el mundo y especialmente en Colombia 2 . En el pas, antes los delitos informticos se limitaban a la clonacin y robo de tarjetas de crdito y dbito de las diferentes entidades bancarias, pero con las mltiples herramientas disponibles en la web, es posible delinquir incluso sin tener grandes conocimientos en informtica. Colombia ha sido un pas pionero en el mundo en el sentido de aplicar una ley sobre los delitos informticos. Esta ley es la 1273 de 2009, donde el Congreso de la Repblica la promulg "Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado denominado "de la proteccin de la informacin y de los datos" y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones". Esta ley se descompone en dos (2) captulos con sus respectivos artculos: CAPTULO I: "De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informticos". o Artculo 269A: Acceso abusivo a un sistema informtico. o Artculo 269B: Obstaculizacin ilegtima de sistema informtico o red de telecomunicacin. o Artculo 269C: Interceptacin de datos informticos. o Artculo 269D: Dao Informtico. o Artculo 269E: Uso de software malicioso. o Artculo 269F: Violacin de datos personales. o Artculo 269G: Suplantacin de sitios web para capturar datos personales. o Artculo 269H: Circunstancias de agravacin punitiva. CAPTULO II: "De los atentados informticos y otras infracciones". o Artculo 269I: Hurto por medios informticos y semejantes. o Artculo 269J: Transferencia no consentida de activos. A continuacin se presenta un cuadro con los delitos informticos ms comunes a los que se ven enfrentados las organizaciones, qu leyes nacionales o internacionales aplican sobre ellos y los controles propuestos para reducir su prctica.
2 La Fiscala General de la Nacin revela su preocupacin de este flagelo en http://www.eluniversal.com.co/cartagena/nacional/fiscalia-advierte-aumento-de-delitos-informaticos-en- colombia-102898 10 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Tabla 1 Delitos informticos DELITO INFORMTICO DESCRIPCIN Accesos no autorizados Ocurre cuando una persona ingresa sin autorizacin alguna a una red, servidor o archivo. Manipulacin de datos entrantes La manipulacin de los datos entrantes es uno de los delitos ms comn y fcil de realizar, por lo que no requiere que la persona tenga conocimientos informtico, solo necesita que la persona tenga acceso a las funciones normales del procedimiento de datos. Interceptacin de datos no autorizada En esta parte la persona mal intencionada captura pulsos electromagnticos transmitidos por la red, obteniendo informacin que no estaba dirigida a el Suplantacin de sitios web Tal como su nombre lo dice, este delito ocurre cuando la persona mal intencionada falsifica una pgina web. Uso de software malicioso En este delito la persona mal intencionada, hace uso de virus informticos para causar daos a otra persona o entidad. Piratera Digital o Violacin de la Propiedad Intelectual Es la copia no autorizada de software, msica, pelculas, arte, libros, entre otros, que tienen derechos de autor o sin consentimiento de ste, resultando en la prdida de ganancia al dueo legtimo de la persona o ente que mantiene los derechos. Robo de Identidad Obtencin ilegal de datos personales de la vctima con el fin de asumir su identidad para cometer actos criminales u obtener dinero o bienes en nombre de ella. Desarrollo de Sitios Web Falsos Son aquellos que simulan en apariencia o causar una impresin legtima de un ente nico y confiable. Denegacin de Servicios Son aquellos en los cuales los servicios son interrumpidos que prevenga el acceso legtimo de los usuarios o que exista destruccin o corrupcin de datos. Desarrollo de Malware Es el software desarrollado que opera en nombre de un intruso potencial para ayudar a atacar un sistema o red. Venta de Informacin Empresarial (espionaje) Es aquella en la cual las personas dentro o fuera de una compaa utilicen las redes para robar secretos comerciales, datos financieros, lista de clientes, estrategias de mercadeo, u otra informacin que pueda ser usada para sabotear el negocio u ventaja competitiva. 11 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Bluesnarfing Este delito se refiere al ataque no autorizado a la informacin que se guarda en telfonos celulares, computadoras y tabletas electrnicas, El delincuente ataca por medio de la conexin Bluetooth Ciberacoso (cyberbullying) Es un tipo de agresin psicolgica que se da usando las nuevas tecnologas: telfonos celulares e Internet. Por medio de correos, mensajes o imgenes que se envan se busca herir o intimidar a otra persona. Este tipo de acoso no se hace de frente, por ello la vctima desconoce la identidad de su agresor 3 . Grooming Cuando un posible abusador o pedfilo trata de iniciar una relacin en lnea con un menor de edad, buscando involucrarlo en actos sexuales, intercambio de imgenes y en conversaciones con contenido sexual 4 . Hackear Es el ingreso ilegal a computadores, pginas y redes sociales con el objetivo de robar informacin, suplantar la identidad del dueo, beneficiarse econmicamente o protestar 5 . Hacker Es un experto informtico especialista en entrar en sistemas ajenos sin permiso, con frecuencia para mostrar la baja seguridad de los mismos o simplemente para demostrar que es capaz de hacerlo. Los Hackers son muy respetados por la comunidad tcnica de Internet, y proclaman tener una tica y unos principios contestatarios e inconformistas pero no delictivos, a diferencia de los Crackers que utilizan sus conocimientos para fines destructivos o delictivos 6 . Malware Programa creado con el fin de molestar o daar los computadores que lo tienen instalado Sextorsin Es la amenaza de enviar o publicar imgenes o videos con contenido sexual de una persona. Esto puede hacerse a travs de telfonos celulares o Internet 7 . Spam Correos no deseados con propsitos comerciales. Uso Cdigo Malicioso Es un conjunto de cdigo SQL, JAVA, entre otros que pueden disparar la ejecucin de una actividad especfica, en la cual pueden eliminar, robar y capturar archivos a travs de sentencias de programacin.
3 MINTIC. (2014). Ciberacoso (cyberbullying). [Online]. Disponible en: http://www.mintic.gov.co/portal/604/w3-article-5500.html 4 MINTIC. (2014). Grooming. [Online]. Disponible en: http://www.mintic.gov.co/portal/604/w3-article-5626.html 5 MINTIC. (2014). Hackear. [Online]. Disponible en: http://www.mintic.gov.co/portal/604/w3-article-5307.html 6 TIC. (2014). Hacker. [Online]. Disponible en: http://www.enticconfio.gov.co/index.php/component/glossary/Tipficar-1/H/Hacker-121/ 7 Security. (2014). Glosario de delitos informticos. [Online]. Disponible en: http://www.antpji.com/antpji2013/index.php/glosario-de-delitos-informaticos 12 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Software malicioso (troyanos, key logger) Es la ejecucin de los cdigos maliciosos, los cuales permiten ejecutar tareas no programadas y procesos no autorizados, donde se puede obtener privilegios, ejecutndose a nivel binario de (0,1). Violacin de datos personales El atacante sustrae informacin privada y/o confidencial de la organizacin, a travs de las diferentes herramientas, cdigos maliciosos para capturar la informacin que necesita para despus emplearlo en su beneficio. Phishing Mensajes electrnicos para suplantar transacciones bancarias. Jamming o Flooding Es una tcnica que se basa en la saturacin de los diferentes recursos del sistema, saturando el espacio disponible en disco, por otro lado puede desactivar las interfaz E/S que administra el sistema y saturar a la red con peticiones continuas. Tamppering O data Diddling Es una tcnica para modificar de forma ilcita los datos del software que se instalo, donde se puede desarrollar el borrado, alteracin de archivos confidenciales Interpretacin de reglas y filtros Es el procedimiento que realiza un atacante para descifrar las necesidades del sistema operativo a travs del firewall sin ser un usuario que tenga acceso a la informacin. Fingerpriting pasivo Es el encargado de capturar paquetes de forma masiva, los cuales son provenientes del sistema remoto, dichos paquetes se pueden capturar por medio de programas como Sniffers o husmeadores, capturando la informacin desde las IP; las cuales aportan caractersticas del sistema operativo, desarrollando procesos de anlisis. Puertas Traseras Son rutas de acceso al sistema operativo no autorizado por las administradores, previo a todas las configuraciones de seguridad que se han implementado en la organizacin, donde los atacantes pueden acceder para obtener datos e informacin.
13 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 6.2. Legislacin nacional e internacional Tabla 2 Leyes para delitos informticos DELITO INFORMTICO LEY A APLICAR Acceso no autorizado En la ley 1273 de 2009 de Colombia, referente a los delitos informticos en el artculo 269A se hace nfasis a los delitos por acceso abusivo a un sistema informtico en donde sin autorizacin una persona accede al mismo, por la que incurrir en una pena en prisin entre 48 y 96 y una multa entre 100 y 1000 salarios mnimos vigentes 8 . Manipulacin de datos entrantes En la ley 1273 de 2009 de Colombia, referente a los delitos informticos en el artculo 269D, en la que se hace nfasis al delito Dao Informtico en la que una persona, elimine, modifique o altere datos entrantes de los datos de un tratamiento de informacin, lo que incurrir en una pena entre 48 y 96 meses de prisin y entre 100 y 100 salarios mnimos legales vigente 9 . Interceptacin de datos no autorizada En la ley 1273 de 2009 de Colombia, referente a los delitos informticos en el artculo 269C, en la que se hace nfasis al delito y en la que se manifiesta que cualquier persona sin orden judicial intercepte datos informticos o la emisin electrnica de un sistema informtico, pagar una pena de prisin entre 36 y 72 meses 10 .
8 Ley. (2009). Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado - denominado "de la proteccin de la informacin y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. [Online]. Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492 9 Ibd., p. 1. 10 Ibd., p. 1. 14 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Suplantacin de sitios web En la ley 1273 de 2009 de Colombia, referente a los delitos informticos en el artculo 269G, en la que se hace nfasis al delito Suplantacin de Sitios Web para Capturar datos Personales, en la que se manifiesta que cualquier persona malintencionada y con objetivos ilcitos suplante la pgina web o desarrolle con el fin de obtener datos no autorizados tendr un apena de prisin entre 48 y 96 meses y una multa entre 100 y 1000 salarios mnimos 11 . Uso de software malicioso En la ley 1273 de 2009 de Colombia, referente a los delitos informticos en el artculo 269E hace nfasis al uso de software malicioso y en donde se establece, que la persona que sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes 12 . Piratera Digital o Violacin de la Propiedad Intelectual Ley 1273 de 2009 de Colombia, Artculo 269JTransferencia no Consentida de Activos 13 . Robo de Identidad Ley 1273 de 2009 de Colombia, Artculo 269JTransferencia no Consentida de Activos y Artculo 269IHurto por Medios Informticos y Semejantes 14 . Desarrollo de Sitios Web Falsos Ley 1273 de 2009 de Colombia, Artculo 269G Suplantacin de Sitios Web para Capturar Datos Personales 15 . Denegacin de Servicios Ley 1273 de 2009 de Colombia, Artculo 269B Obstaculizacin Ilegtima de Sistema Informtico o Red de Telecomunicacin y Artculo 269D-Dao Informtico 16 . Desarrollo de Malware Ley 1273 de 2009 de Colombia, Artculo 269EUso de Software Malicioso 17 . Venta de Informacin Empresarial (espionaje) Ley 1273 de 2009 de Colombia, Artculo 269JTransferencia no Consentida de Activos 18 .
11 Ibd., p. 1. 12 Ibd., p. 1. 13 Ibd., p. 1. 14 Ibd., p. 1. 15 Ibd., p. 1. 16 Ibd., p. 1. 17 Ibd., p. 1. 18 Ibd., p. 1. 15 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Bluesnarfing Artculo 269I: Hurto por medios informticos y semejantes. El que, superando medidas de seguridad informticas, realice la conducta sealada en el artculo 239 manipulando un sistema informtico, una red de sistema electrnico, telemtico u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticacin y de autorizacin establecidos, incurrir en las penas sealadas en el artculo 240 de este Cdigo 19 . Ciberacoso (cyberbullying) Artculo 269A: Acceso abusivo a un sistema informtico. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes 20 . Crooming Artculo 269F: Violacin de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes 21 . Hackear Artculo 269G: Suplantacin de sitios web para capturar datos personales. El que con objeto ilcito y sin estar facultado para ello, disee, desarrolle, trafique, venda, ejecute, programe o enve pginas electrnicas, enlaces o ventanas emergentes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena ms grave 22 . Hacker Artculo 269C: Interceptacin de datos informticos. El que, sin orden judicial previa intercepte datos informticos en su origen, destino o en el interior de un sistema informtico, o las emisiones electromagnticas provenientes de un sistema informtico que los transporte incurrir en pena de prisin de treinta y seis (36) a setenta y dos (72) meses 23 .
19 Ibd., p. 1. 20 Ibd., p. 1. 21 Ibd., p. 1. 22 Ibd., p. 1. 23 Ibd., p. 1. 16 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Malware Ley Colombiana 1273 de 2009 Artculo 269E: El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes 24 . Sextorsin Artculo 269F: Violacin de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes 25 . Spam: Ley 1273 Articulo 268F (Violacin de Datos Personales): Prisin 48 a 96 meses y multa de 100 a 1000 salarios mnimos legales vigentes 26 . Uso Cdigo Malicioso Ley Colombiana 1273 de 2009 Artculo 269E: El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin de efectos dainos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes 27 . Software malicioso (troyanos, key logger) Ley 1273 - Artculo 269E (Uso de Software Malicioso): Prisin de 48 a 96 meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes 28 . Violacin de datos personales 1273 De 2009 Artculo 269F 1581 de 1012 Decreto 1377 2013 El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin 48 a 96 meses y en multa de 100 a 1000 SMLMV 29 .
24 Ibd., p. 1. 25 Ibd., p. 1. 26 Ibd., p. 1. 27 Ibd., p. 1. 28 Ibd., p. 1. 29 Ibd., p. 1. 17 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Phishing Artculo 269G (Suplantacin de Sitios Web para Capturar datos Personales): Prisin de 48 a 96 meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena ms grave 30 . Jamming o Flooding Artculo 269A: Acceso abusivo a un sistema informtico. El que, sin autorizacin o por fuera de lo acordado, acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes 31 . Tamppering O data Diddling Artculo 269D: Dao Informtico. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o suprima datos informticos, o un sistema de tratamiento de informacin o sus partes o componentes lgicos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mnimos legales mensuales vigentes 32 . Interpretacin de reglas y filtros Artculo 269I: Hurto por medios informticos y semejantes. El que, superando medidas de seguridad informticas, realice la conducta sealada en el artculo 239 manipulando un sistema informtico, una red de sistema electrnico, telemtico u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticacin y de autorizacin establecidos, incurrir en las penas sealadas en el artculo 240 de este Cdigo 33 .
30 Ibd., p. 1. 31 Ibd., p. 1. 32 Ibd., p. 1. 33 Ibd., p. 1. 18 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Fingerpriting pasivo Artculo 269J: Transferencia no consentida de activos. El que, con nimo de lucro y valindose de alguna manipulacin informtica o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena ms grave, incurrir en pena de prisin de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mnimos legales mensuales vigentes. La misma sancin se le impondr a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisin del delito descrito en el inciso anterior, o de una estafa 34 . Puertas Traseras Artculo 269F: Violacin de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes 35 .
34 Ibd., p. 1. 35 Ibd., p. 1. 19 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 6.3. Sistema de control para delitos informticos Con el fin de reducir los delitos informticos en las organizaciones, a continuacin se propone un sistema de control basado en polticas, estrategias y controles. Tabla 3 Sistema de control para los delitos informticos DELITO INFORMTICO POLTICAS, ESTRATEGIAS Y CONTROLES PROPUESTOS Acceso no autorizado Aplicar medidas de control de acceso al lugar donde se encuentra instalada la aplicacin y los equipos que las utilizan. Aplicar estructura PKI. Utilizar contraseas seguras y realizar cambio peridicamente de la misma. Configuracin correcta del firewall. Tener cuidado con los mensajes de correo electrnico y los datos enviados. Educar a los funcionarios sobre las estrategias utilizadas para realizar este tipo de ataque. Manipulacin de datos entrantes Aplicar infraestructura clave pblica PKI. Copias de seguridad de la base de datos y la aplicacin. Interceptacin de datos no autorizada Encriptar la informacin transferida. Verificar los equipos conectados a la red. Suplantacin de sitios web Aplicar infraestructura clave pblica PKI. Escribir la direccin del sitio a navegar en la barra de direccin. Usar sitios web seguros Tener cuidado con los mensajes de correo electrnico y los datos enviados Proteccin contra spyware. Instalar las actualizaciones del sistema operativo. Uso de software malicioso Utilizar un buen antivirus Escanear las memorias al conectarla en el PC Configurar en forma adecuada el Firewall. 20 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Cortafuegos Software Antispam Instalar las ltimas actualizaciones del sistema operativo y dems aplicaciones.
Piratera Digital o Violacin de la Propiedad Intelectual Se crear un programa de concientizacin a las personas sobre el dao econmico y social que le hacen a la nacin en la compra y/o distribucin de material digital ilegal. El software desarrollado por la organizacin, llevar medidas de proteccin de anti- copia. Se bloquear el acceso a sitios web de reconocido contenido pirata. Se implementar un sistema de Administracin de Derechos Digitales (DRM, Digital Rights Management) en la elaboracin de material digital. Se crearn licencias de activacin de software distribuidas de acuerdo a la ubicacin geogrfica. Robo de Identidad Se implementarn mecanismos de doble autenticacin como la contrasea de un solo uso (One Time Passwords) y envo de cdigos de autenticacin a dispositivos. Se forzar el uso de contraseas fuertes con un mnimo de 8 caracteres. Empleo de minsculas y maysculas y caracteres especiales. Se emplear el uso de mnimo 2 preguntas secretas para acceder al sistema. La informacin transmitida ser encriptada utilizando canales de seguridad. Se emplearn mecanismos de deteccin de comportamiento anmalo del usuario. Desarrollo de Sitios Web Falsos Los desarrolladores de software se comprometern a cumplir los lineamientos y buenas prcticas de codificacin. Los desarrolladores de software se comprometern a utilizar fragmentos de cdigo y libreras de fuentes (sources) conocidas y aprobadas por el departamento de Sistemas de la organizacin. Las aplicaciones web validarn las entradas de usuario apropiadamente de acuerdo al OWASP XSS Prevention Cheat Sheet. Se crearn las Blacklists para bloquear la ejecucin de contenido ilegal y las Whitelist para permitir que solo el contenido conocido sea ejecutado. Se ejecutar un anlisis de vulnerabilidades mediante un Web Vulnerability Scanner antes de poner en funcionamiento una aplicacin web. 21 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Se habilitar la ejecucin de cdigo JavaScript en los navegadores web slo en los sitios de confianza. Se habilitarn los filtros XSS en los navegadores web por defecto. Denegacin de Servicios Se monitorear el trfico constantemente mediante la implementacin de Sistemas de Prevencin de Intrusos (IPS, Intrusion Prevention Systems) y Sistemas de Deteccin de Intrusos (IDS, Intrusion Detection Systems). Se mantendrn abiertos solamente los puertos estrictamente necesarios. Se configurarn las Listas de Control de Acceso (ACL, Access Control Lists) en el Router y el Firewall con el fin de bloquear paquetes IP sospechosos. Desarrollo de Malware Se activar el Firewall de cada uno de los equipos de uso organizacional. Todos los equipos contarn con el software antivirus de uso organizacional. Todos los equipos sern actualizados con las ltimas recomendaciones y actualizaciones de seguridad. Para el uso organizacional, los equipos tendrn una cuenta de administrador que slo ser utilizada por el personal de Sistemas autorizado, y otra cuenta con el mnimo privilegio y previamente con sesin iniciada en el Directorio Activo. No se permitir la instalacin de software de terceros y que no est avalado por la organizacin. Se escanear automticamente cualquier documento descargado, especialmente los archivos adjuntos en el correo electrnico. Se escanearn automticamente los dispositivos removibles como USB, CD/DVD y Diskettes. Venta de Informacin Empresarial (espionaje) Se emplearn tcnicas de encriptacin para proteger la informacin confidencial de la organizacin. Los equipos estarn protegidos fsicamente para impedir el acceso de personal no autorizado. No se permitir el uso de USB personales en los equipos. Se escanearn todos los archivos adjuntos de los correos salientes. Los equipos de bloquearn automticamente despus de 1 minuto de inactividad. Se mantendrn registros (logs) de lo realizado por los usuarios. 22 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Bluesnarfing Verificas las conexiones de internet Monitorear constantemente el trafico de paquetes por internet Registrar las actividades y tramas de datos que entran y salen del ordenador. Cifrar los datos a travs de las herramientas electrnicas Ciberacoso (cyberbullying) Conexiones seguras para el acceso a la Web como https o Ipsec Capacitar sobre la Ingeniera Social Polticas de seguridad frente al envi de correos electrnicos Cifrar los datos a travs de las herramientas electrnicas Crooming Capacitar sobre la Ingeniera Social Usar sitios web seguros Identificar las direcciones IP que hacen parte de la VPN de la organizacin Hackear Usar sitios web seguros Instalar las actualizaciones del sistema operativo. Cifrar los datos a travs de las herramientas electrnicas Hacker Encriptar la informacin transferida. Aplicar infraestructura clave pblica PKI. Usar sitios web seguros Cifrar los datos a travs de las herramientas electrnicas Malware Mantener un Antivirus en el equipo de cmputo Realizar las actualizaciones del antivirus Polticas claras del uso y mantenimiento de los equipos de cmputo, como actualizaciones del Sistema Operativo, Antispam, Antivirus, tener controles en el acceso a la red, filtro de paquetes por medio de routers avanzados, control de acceso al Sistema y control de dispositivos porttiles (USB, Celulares). Sextorsin Capacitar sobre la Ingeniera Social Identificar las direcciones IP que hacen parte de la VPN de la organizacin Spam Firma Digital de correos electrnicos remitentes. Utilizar Software Antispam. Administrar, verificar la Base de Datos de todos los contactos, sin permitir direcciones no conocidas. 23 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Uso Cdigo Malicioso Uso de: Antivirus Antispam Antispyware Software malicioso (troyanos, key logger) Polticas claras del uso y mantenimiento de los equipos de cmputo, como actualizaciones del Sistema Operativo, Antispam, Antivirus, tener controles en el acceso a la red, filtro de paquetes por medio de routers avanzados, control de acceso al Sistema y control de dispositivos porttiles (USB, Celulares). Violacin de datos personales Autorizacin o negacin de uso de informacin de los datos personales. Phishing Conexiones seguras para el acceso a la Web como https o Ipsec. La firma Digital es importante para los correos electrnicos de los remitentes. Jamming o Flooding Mantener actualizado los antivirus Realizar un escaneo de los puertos de entrada y salida de los dispositivos extrables Administrar el trfico de la red y los paquetes que se envan por medio del canal de comunicacin Tamppering O data Diddling Mantener una poltica de seguridad, en cuanto a los permisos de acceso a los equipos de cmputo. Realizar monitoreo constante de los accesos a las aplicaciones, por meido de las autentificacin de usuario Interpretacin de reglas y filtros Capacitar a los usuarios de la organizacin en los diferentes medios de ingeniera social Cifrar los datos a travs de las herramientas electrnicas Fingerpriting pasivo Monitorear cada uno de los paquetes de informacin que transitan por la red de la organizacin, identificando el emisor Mantener actualizado los antivirus Registrar las actividades y tramas de datos que entran y salen del ordenador. Identificar las direcciones IP que hacen parte de la VPN de la organizacin Puertas Traseras Realizar seguimiento a los procesos de actualizacin del sistema operativo Mantener un control sobre los procesos de programacin de software de la organizacin.
24 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2)
Para la implementacin de un sistema de control es necesario que exista compromiso y claridad en la gestin gerencial, refirindose particularmente a la implementacin de la seguridad informtica, por consiguiente se debe dar un adecuado manejo, en el empleo de los sistemas y sus aplicativos, asimismo se debe determinar polticas sobre la seguridad informtica, integrando y desarrollando el reconocimiento al rea de auditoria de sistemas, el cual ayuda a implementar y a crear conciencia del desempeo de los sistemas de informacin y as se utilice de manera adecuada las herramientas de anlisis de control. Para la Identificacin de delitos informticos a nivel mundial se requiere un esquema de cooperacin frente a las autoridades, el cual permita manejar asesoras jurdicas, conserve y mantengan actualizadas las leyes y las tcnicas de investigacin, y ante todo se reglamenten las leyes de extradicin para este tipo de delitos. 6.3.1. Polticas de seguridad Es necesario implementar polticas de seguridad desde el inicio a cualquier proyecto y as poder asegurar las mnimas medidas de certidumbre, que todo se haga de manera escrita y comunicadas a todos los empleados de la compaa.
En las polticas de seguridad se debe identificar los activos, evaluar amenazas potenciales, analizar los riesgos e implementar medidas preventivas.
Identificacin de los activos de la organizacin: Consiste en la creacin de una lista de chequeo, la cual implementa medidas de proteccin para hardware, equipos de cmputo, utilidades, programas fuente, sistemas operativos, entre otros.
Identificacin y evaluacin de amenazas potenciales: En este anlisis se ir haciendo una lista que incluya todas las cosas indeseables que pudieran ocurrirle a los activos de la organizacin, ciertamente prevalece la incertidumbre de s estar ya incluyendo todas las posibles amenazas.
Anlisis del riesgo: El objetivo de un anlisis de riesgo es el cuantificar las amenazas potenciales para que sean establecidas las bases para una apropiada seleccin de costo eficiencia de los controles de seguridad. Conlleva la determinacin de lo que se necesita proteger. No es ms que el proceso de examinar todos los riesgos y valorarlos por niveles de seguridad.
Implementacin de medidas preventivas para hacer frente a los riesgos: Se requiere que el personal tcnico como la alta gerencia comprenda los riesgos a los que pueda estar expuesto, cuantificar dicho riesgo y presupuestar lo que se est dispuesto a gastar para minimizarlo, algunas medidas preventivas son:
Incluir en todos los documentos fsicos y/o magnticos las normatividad, reglas, polticas, actividades, procesos, procedimientos de trabajo que apoyen las medidas preventivas y correctivas encaminadas a las situaciones y a la prctica del delito informtico.
25 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) Incluir en los procedimientos, procesos y actividades de trabajo todas las tecnologas y herramientas que se encuentren a disposicin para afrontar las vulnerabilidades, amenazas y riesgos que se encuentren asociados a los delitos informticos.
Implementacin de clusulas especiales en cada una de las tipologas de contratos que por su labor requieran una necesidad puntual. Capacitacin de manera continua al personal del rea de informticas, con el propsito de mitigar actitudes negligentes. Modificacin mensual de las claves de acceso a los sistemas de informacin, cumpliendo con las caractersticas de clave robusta. Diagramar y establecer un cdigo tico de carcter interno en la organizacin. Aplicacin de un examen psicomtrico al personal informtico Adoptar estrictas medidas en el acceso y control de las reas informticas de trabajo.
Adicionalmente a estos controles, se propone una serie de condiciones en los contratos en las organizaciones para los empleados, de tal manera que tengan conocimiento de las sanciones que se le aplicarn en caso tal que incurran en la prctica de los delitos informticos, ya sea dentro o fuera de la organizacin: La organizacin colabora con todo el rigor con la justicia para esclarecer los hechos que incurran en la prctica de los delitos informticos. La organizacin terminar el contrato de forma unilateral e inmediata a los empleados, as como los beneficios estipulados. La organizacin no tendr en consideracin a estas personas en sus procesos de seleccin de personal. La organizacin evala los daos en dinero y reputacin, as como el tiempo y el valor del personal para estabilizar los servicios o recuperacin de la informacin, y los tendr como soporte para la aplicacin de la ley y pena a cumplir.
26 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 7. CONCLUSIONES Mediante el presente trabajo se pudo identificar los posibles ataque de los que puede ser vctima un sistema informtico, la normas y leyes a las que se puede aferrar una organizacin para castigar el hecho ocurrido en caso se materialice un delito, y las posibles acciones que debe realizar para prevenir ser vctima de algunos de los delitos mencionados. Las organizaciones han encontrado en las TIC un apoyo esencial para el desarrollo y alcance de sus procesos misionales, y hoy en da es prcticamente impensable que exista alguna que no tenga relacin directa o indirecta con la tecnologa. Incluso, es muy comn escuchar o leer de expertos que "aquella empresa u organizacin que no emplee las TIC est condenada a desaparecer o a perder competitividad en su sector". Pero con el empleo de las TIC, las organizaciones deben enfrentar ciertas amenazas a las cules no estaban habituadas. Es por esto que es necesario que los pases implementen leyes y medidas contra los diversos delitos informticos. Colombia, mediante la Ley 1273 de 2009 ha dado un paso adelante y es un modelo a seguir en cuanto a la legislacin y castigo de este flagelo. En este trabajo se identifica cules son los delitos informticos ms comunes a los que se enfrentan las organizaciones y se pudo conocer que los intrusos han evolucionado sus mtodos para delinquir; pues a pesar de que la piratera digital y el robo de identidad (especialmente para extraer dinero ilegalmente de los bancos) siguen siendo los mtodos ms utilizados, han encontrado que con pocos conocimientos en informtica (probablemente debido a las numerosas herramientas disponibles en Internet) pueden perpetuar acciones nefastas en contra de un individuo o una organizacin, ya sea mediante Denegacin de Servicio, Falsificacin de Sitios Web, Desarrollo de Malware o Espionaje Empresarial. Por otro lado, se pudo conocer la Ley 1273 de 2009 que rige en Colombia para los delitos informticos y los artculos que se aplican a cada uno de ellos. Por ltimo, se propuso una serie de controles, estrategias y polticas que permitan de alguna manera reducir los delitos informticos mediante el apoyo y alianza de las organizaciones con el estado.
27 Aspectos ticos y Legales de la Seguridad Informtica Actividad No.3 Momento Dos (2) 8. REFERENCIAS BIBLIOGRFICAS E INFOGRFICAS Benavides Ruano, M. D., & Solarte Solarte, F. N. (2012). Mdulo riesgos y control informtico. Pasto. Blog. (2014). Delitos informticos. [Online]. Disponible en: http://myprofetecnologia.wordpress.com/2011/01/30/delitos-informaticos/ Egil E., & Aguilera, A. Los delitos informticos. Tratamiento internacional. [Online]. Disponible en: http://www.eumed.net/rev/cccss/04/rbar2.htm. El Tiempo (Guillermo Santos Caldern). (s.f.). El auge de los Delitos Informticos. [Online]. Disponible en: http://www.eltiempo.com/archivo/documento/CMS-12372657. Las TICs y la proteccin de los ni@s y adolescentes. (s.f.). Delitos Informticos. [Online]. Disponible en: http://ticsydelitos.blogspot.com/p/delitos-informaticos.html. Ley. (2009). Por medio de la cual se modifica el Cdigo Penal, se crea un nuevo bien jurdico tutelado - denominado "de la proteccin de la informacin y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras disposiciones. [Online]. Disponible en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492 Meja, K. (2011). Violacin datos personales delito informtico. [Online]. Disponible en: http://www.slideshare.net/CatherineMejia/violacion-datos-personales-delito-informatico Miguel, A. (s.f.). Los delitos informticos se sancionarn hasta con diez aos de crcel. [Online]. Disponible en: http://gestion.pe/economia/delitos-informaticos-se-sancionaran- hasta-diez-anos-carcel-2076709. MINTIC. (2014). Ciberacoso (cyberbullying). [Online]. Disponible en: http://www.mintic.gov.co/portal/604/w3-article-5500.html Networking TIC. (2009). Los delitos informticos en Colombia. [Online]. Disponible en: http://www.slideshare.net/Networking.tic/los-delitos-informticos-en-colombia Polica Nacional de Colombia. (2014). Delitos informticos. [Online]. Disponible en: http://www.policia.gov.co/portal/page/portal/UNIDADES_POLICIALES/Direcciones_tipo_O perativas/Direccion_Seguridad_Ciudadana/Planes_de_Seguridad/Recomendaciones_de_ seguridad/delitos_informaticos Security. (2014). Glosario de delitos informticos. [Online]. Disponible en: http://www.antpji.com/antpji2013/index.php/glosario-de-delitos-informaticos Solarte Solarte, F. N., & Gonzlez Sanabria, Y. A. (2013). Mdulo aspectos ticos legales de seguridad informtica. Pasto. TIC. (2014). Hacker. [Online]. Disponible en: http://www.enticconfio.gov.co/index.php/component/glossary/Tipficar-1/H/Hacker-121/