SEGURIDAD INFORMTICA

EVOLUCIN DEL TRMINO SEGURIDAD

La "Seguridad es una necesidad bsica. Estando
interesada en la prevencin de la vida y las
posesiones, es tan antigua como ella".
Los primeros conceptos de seguridad se
evidencian en los inicios de la escritura con los
Sumerios (3000 AC) o el Hammurabi (2000 AC).
Tambin la Biblia, Homero, Cicern, Cesar han
sido autores de obras en donde aparecen ciertos
rasgos de la seguridad en la guerra y el gobierno.
Los descubrimientos arqueolgicos marcan, sin
duda, las ms importantes pruebas de seguridad
de los antiguos: las pirmides egipcias, el palacio
de Sargon, el templo Karnak en el valle del Nilo;
el dios egipcio Anubi representado con una llave
en su mano, etc. Se sabe que los primitivos, para
evitar amenazas, reaccionaban con los mismos
mtodos defensivos de los animales: luchando o
huyendo (fight or flight), para eliminar o evitar la
causa. As la pugna por la vida se converta en
una parte esencial y los conceptos de alertar,
evitar, detectar, alarmar y reaccionar ya fue
manejado por ellos.
Como todo concepto, la Seguridad se ha
desarrollado y ha seguido una evolucin dentro
de las organizaciones sociales. La sociedad se
conform en familias, y esto se convirti en un
elemento limitante para huir. Se tuvieron que
concebir nuevas estrategias de intimidacin y
disuasin para convencer al atacante que las
prdidas eran inaceptables contra las posibles
ganancias. La primera evidencia de una cultura y
organizacin en seguridad "madura" aparece en
los documentos de la Repblica (estado) de
Roma Imperial y Republicana. El prximo paso
de la Seguridad fue la especializacin. As nace
Seguridad Externa (aquella que se preocupa por
la amenaza de entes externos hacia la
organizacin); y la Seguridad Interna (aquella
preocupada por las amenazas de nuestra
organizacin con la organizacin misma). De
estas dos se pueden desprender la Seguridad
Privada y Pblica al aparecer el estado y
depositar su confianza en unidades armadas.
Desde el siglo XVIII, los descubrimientos
cientficos y el conocimiento resultante de la
imprenta han contribuido a la cultura de la
seguridad.

Los principios de probabilidad, prediccin y

reduccin de fallos y prdidas han trado nueva
luz a los sistemas de seguridad. La seguridad
moderna se origin con la Revolucin Industrial
para combatir los delitos y movimientos laborales,
tan comunes en aquella poca. Finalmente, un
terico y pionero del Management, Henry Fayol
en 1919 identifica Seguridad como una de las
funciones empresariales, luego de la tcnica,
comercial, financiera, contable y directiva. Al
definir el objetivo de Seguridad, Fayol dice:
"...salvaguardar propiedades y personas contra el
robo, fuego, inundacin contrarrestar huelgas y
felonas, y de forma amplia todos los disturbios
sociales que puedan poner en peligro el progreso
e incluso la vida del negocio. Es, generalmente
hablando, todas las medidas para conferir la
requerida paz y tranquilidad (Peace of Mind) al
personal".
Las medidas de seguridad a las que se refiere
Fayol, slo se restringan a los exclusivamente
fsicos de la instalacin, ya que el mayor activo
era justamente ese: los equipos, ni siquiera el
empleado. Con la aparicin de los "cerebros
electrnicos", esta mentalidad se mantuvo,
porque quin sera capaz de entender estos
complicados aparatos como para poner en
peligro la integridad de los datos por ellos
utilizados? Hoy, la seguridad, desde el punto de
vista legislativo, est en manos de los polticos, a
quienes les toca decidir sobre su importancia, los
delitos en que se pueden incurrir, y el respectivo
castigo, si correspondiera. En cambio desde el
punto de vista tcnico, la seguridad est en
manos de la direccin de las organizaciones y, en
ltima instancia, en cada uno de nosotros y en
nuestro grado de concientizacin respecto a la
importancia de la informacin y el conocimiento
en este nuevo milenio.
Es en este proceso en donde se aprecia que no
se ha aadido ningn nuevo concepto a los ya
conocidos en la antigedad; los actuales slo son
perfeccionamientos
de
aquellos:
llaves,
cerraduras, caja fuerte, puertas blindadas,
trampas, vigilancia, etc.

Conceptos como Seguridad son "borrosos" o su

definicin se maneja con cierto grado de
incertidumbre teniendo distinto significando para
distintas personas. Seguridad es hoy da una
profesin compleja con funciones especializadas,
para dar una respuesta satisfactoria es necesario
eliminar la incertidumbre y distinguir entre la
seguridad filosfica y la operacional o prctica.
Como se sabe los problemas nunca se resuelven:
la energa del problema no desaparece, slo se
transforma y la "solucin" estar dada por su
transformacin en problemas diferentes, ms
pequeos y aceptables. Por ejemplo: la
implementacin de un sistema informtico puede
solucionar el problema de velocidad de
procesamiento pero abrir problemas como el de
personal sobrante o reciclable. Estos, a su vez,
descontentos pueden generar un problema de
seguridad interno.
Analicemos en el problema planteado pueden
apreciarse tres elementos:
1. El poseedor del valor: Protector.
2. Un aspirante a poseedor: Competidor
Agresor.
3. Un elemento a proteger: Valor.
Luego, la Seguridad se definir como:
"La interrelacin dinmica (competencia) entre el
agresor y el protector para obtener (o conservar)
el valor tratado, enmarcada por la situacin
global."
Algunas aclaraciones:
1. El protector no siempre es el poseedor de
valor.
2. El agresor no siempre es el aspirante a
poseedor.
3. Ambas figuras pueden ser delegadas a
terceros por el cambio de otro valor,
generalmente dinero.
4. El valor puede no ser algo concreto. Por
ejemplo se podra querer cuidar el honor, la
intimidad, el conocimiento, etc.
5. La situacin global indica que no ser lo
mismo el robo de un comercio en Argentina
que en Andorra en donde sus habitantes se
ven obligados a robar para subsistir.
Los competidores se pueden subdividir en:
Competidor Interno: es aquel que piensa
que el inters de la organizacin est por
encima de sus intereses y, por lo tanto, acta

para sobreponer su inters personal,

provocando daos a la organizacin.
Competidor Externo: es aquel que acta
para arrebatar al poseedor lo que para l
significa un valor empresarial o personal
(clientes, mercado, informacin, etc.).

La seguridad en un problema de
antagonismo y competencia; si no existe un
competidor, amenaza el problema que no es
de seguridad".
En el plano social, comercial e industrial hemos
evolucionado tcnica y cientficamente desde una
era primitiva agrcola a una era postmoderna
tecnolgica, pero utilizando los mismos principios
(e incluso inferiores) a la poca de las cavernas
en el ambiente virtual:
"No es mi inters en el presente texto iniciar mis
argumentaciones explicando la evolucin y
cambios que ha causado la ltima de las tres
grandes revoluciones de la humanidad, la
revolucin de la era de la informacin, ("Tercera
Ola"); que sigue a las anteriores revoluciones
agrcola e industrial. Pero s est en mi inters
demostrar en qu medida nos crea un nuevo
problema, el de Seguridad Informtica. Y tambin
es mi inters demostrar que ella, como tal, para
las organizaciones y empresas, todava no
existe".
Este problema ser solucionado satisfaciendo las
necesidades de comprensin del concepto
"Seguridad" y "Sistema Informtico" en torno de
alguien (organizacin o particular) que gestiona
informacin. Para esto es necesario acoplar los
principios de Seguridad expuestos en un contexto
informtico y viceversa.
En el presente, cada vez que se mencione
Informacin se estar haciendo referencia a la
Informacin que es procesada por un Sistema
Informtico; definiendo este ltimo como el
"conjunto
formado
por
las
personas,
computadoras (hardware y software), papeles,
medios de almacenamiento digital, el entorno
donde actan y sus interacciones".
Luego: "El objetivo de la seguridad informtica
ser mantener la Integridad, Disponibilidad,
Privacidad (sus aspectos fundamentales),
Control y Autenticidad de la informacin
manejada por computadora". Contrario a lo que
se piensa, este concepto no es nuevo y naci con
los grandes centros de cmputos.

Con el pasar de los aos, y como se sabe, las

computadoras pasaron de ser grandes
monstruos, que ocupaban salas enteras, a
pequeos elementos de trabajos perfectamente
ubicables sobre un escritorio de oficina. En este
proceso de digitalizacin y miniaturizacin
llamado "downsizing" la caracterstica ms
importante que se perdi fue la seguridad. Los
especialistas de Seguridad Informtica de hoy se
basan en principios de aquellos antiguos
MainFrames (grandes computadoras).
Para comenzar el anlisis de Seguridad
Informtica se deber conocer las caractersticas
de lo que se pretende proteger: la Informacin.
As, definimos Dato como "la unidad mnima con
la que compone cierta informacin. Datum es
una palabra latina, que significa "lo que se da".
La Informacin "es una agregacin de datos que
tiene un significado especfico ms all de cada
uno de stos", y tendr un sentido particular
segn como y quien la procese.
Ejemplo:
1, 9, 8 y 7 son datos; su agregacin 1987 es
Informacin.
Establecer el valor de la informacin es algo
totalmente relativo, pues constituye un recurso
que, en muchos casos, no se valora
adecuadamente debido a su intangibilidad, cosa
que no ocurre con los equipos, las aplicaciones y
la documentacin. Existe Informacin que debe o
puede ser pblica: puede ser visualizada por
cualquier persona (por ejemplo ndice de
analfabetismo en un pas); y aquella que debe ser
privada: slo puede ser visualizada por un grupo
selecto de personas que trabaja con ella (por
ejemplo antecedentes mdicos).
En esta ltima debemos maximizar nuestros
esfuerzos para preservarla de ese modo
reconociendo las siguientes caractersticas en la
Informacin:

Es Crtica: es indispensable para

garantizar la continuidad operativa.

Es Valiosa: es un activo con valor en s

misma.

Es Sensitiva: debe ser conocida por las

personas que la procesan y slo por ellas.
Integridad de la Informacin: es la
caracterstica que hace que su contenido
permanezca inalterado a menos que sea
modificado por personal autorizado, y esta
modificacin sea registrada para posteriores
controles o auditorias. Una falla de integridad

puede estar dada por anomalas en el hardware,

software, virus informticos y/o modificacin por
personas que se infiltran en el sistema.
Disponibilidad
u
Operatividad
de
la
Informacin: es su capacidad de estar siempre
disponible para ser procesada por las personas
autorizadas. Esto requiere que la misma se
mantenga correctamente almacenada con el
hardware
y
el
software
funcionando
perfectamente y que se respeten los formatos
para su recuperacin en forma satisfactoria.
Privacidad
o
Confidencialidad
de
la
Informacin: es la necesidad de que la misma
slo sea conocida por personas autorizadas. En
casos de falta de confidencialidad, la Informacin
puede provocar severos daos a su dueo (por
ejemplo conocer antecedentes mdicos de una
persona) o volverse obsoleta (por ejemplo: los
planes de desarrollo de un producto que se
"filtran" a una empresa competidora, facilitarn a
esta ltima desarrollar un producto de
caractersticas semejantes). El Control sobre la
informacin permite asegurar que slo los
usuarios autorizados pueden decidir cundo y
cmo permitir el acceso a la misma.

Autenticidad: permite definir que la

informacin requerida es vlida y utilizable en
tiempo, forma y distribucin. Esta propiedad
tambin permite asegurar el origen de la
informacin, validando el emisor de la misma,
para evitar suplantacin de identidades.
Adicionalmente pueden considerarse algunos
aspectos adicionales, relacionados con los
anteriores, pero que incorporan algunos
aspectos particulares:
o Proteccin a la Rplica: mediante la cual
se asegura que una transaccin slo
puede realizarse una vez, a menos que se
especifique lo contrario. No se deber
poder grabar una transaccin para luego
reproducirla, con el propsito de copiar la
transaccin para que parezca que se
recibieron mltiples peticiones del mismo
remitente original.
No Repudio: mediante la cual se evita que
cualquier entidad que envi o recibi
informacin alegue, ante terceros, que no la
envi o recibi.
Consistencia: se debe poder asegurar que el
sistema se comporte como se supone que
debe hacerlo ante los usuarios que
corresponda.

Aislamiento: este aspecto, ntimamente

relacionado con la Confidencialidad, permite
regular el acceso al sistema, impidiendo que
personas no autorizadas hagan uso del
mismo.
Auditoria: es la capacidad de determinar qu
acciones o procesos se estn llevando a cabo
en el sistema, as como quin y cundo las
realiza.
Cabe definir Amenaza, en el entorno
informtico, como cualquier elemento que
comprometa al sistema. Las amenazas
pueden ser analizadas en tres momentos:
antes del ataque durante y despus del
mismo. Estos mecanismos conformarn
polticas que garantizarn la seguridad de
nuestro sistema informtico.
La Prevencin (antes): mecanismos que
aumentan la seguridad (o fiabilidad) de un
sistema durante su funcionamiento normal.
Por ejemplo el cifrado de informacin para
su posterior transmisin.
La Deteccin (durante): mecanismos
orientados a revelar violaciones a la
seguridad. Generalmente son programas
de auditora.
La
Recuperacin
(despus):
mecanismos que se aplican, cuando la
violacin del sistema ya se ha detectado,
para retornar ste a su funcionamiento
normal. Por ejemplo recuperacin desde
las copias de seguridad (backup)
realizadas.

Las preguntas que se hace un tcnico en

sistemas de informacin ante un problema de
seguridad, normalmente, estn relacionadas con
medidas defensivas que no solucionan un
problema dado, slo lo transforma o retrasa.
La amenaza o riesgo sigue all y las preguntas
que este tcnico debera hacerse son:
Cunto tardar la amenaza en superar la
"solucin" planteada?
Cmo se hace para detectarla e identificarla
a tiempo?
Cmo se hace para neutralizarla?
Para responderlas definiremos Riesgo como "la
proximidad o posibilidad de dao sobre un bien".
Ya se trate de actos naturales, errores u
omisiones humanas y actos intencionales, cada
riesgo debera ser atacado de las siguientes
maneras:

Minimizando la posibilidad de su ocurrencia.

Reduciendo al mnimo el perjuicio producido,

si no ha podido evitarse que ocurriera.
Diseo de mtodos para la ms rpida
recuperacin de los daos experimentados.
Correccin de las medidas de seguridad en
funcin de la experiencia recogida.

Luego, el Dao es el resultado de la amenaza;

aunque esto es slo la mitad del axioma, el dao
tambin es el resultado de la no accin, o accin
defectuosa, del protector. El dao puede
producirse porque el protector no supo identificar
adecuadamente la amenaza y, si lo hizo, se
impusieron criterios comerciales por encima de
los de seguridad.
De all que se deriven responsabilidades para la
amenaza (por supuesto) pero tambin para la
figura del protector. Luego, el protector ser el
encargado de detectar cada una de las
Vulnerabilidades (debilidades) del sistema que
pueden ser explotadas y empleadas, por la
amenaza, para comprometerlo. Tambin ser el
encargado de aplicar las Contramedidas
(tcnicas de proteccin) adecuadas.
Seguridad indicar el ndice en que un Sistema
Informtico est libre de todo peligro, dao o
riesgo. Esta caracterstica es muy difcil de
conseguir (segn los especialistas imposible) en
un 100% por lo que slo se habla de Fiabilidad y
se la define como "la probabilidad de que un
sistema se comporte tal y como se espera de l",
y se habla de Sistema Fiable en vez de sistema
seguro.
Luego para garantizar que un sistema sea fiable
se deber garantizar las caractersticas ya
mencionadas de Integridad, Operatividad,
Privacidad, Control y Autenticidad.
Se deber conocer "qu es lo que queremos
proteger", "de quin lo queremos proteger",
"cmo se puede lograr esto legislativa y
tcnicamente"; para luego concluir con la
formulacin de estrategias adecuadas de
seguridad
tendientes
a
la
disminucin
(anulacin?) de los riesgos. Comprender
y
conocer de seguridad ayudar a llevar a cabo
anlisis sobre los Riesgos, las Vulnerabilidades,
Amenazas y Contramedidas; evaluar las ventajas
o desventajas de la situacin; a decidir medidas
tcnicas y tcticas metodolgicas, fsicas, e
informticas, en base de las necesidades de
seguridad.

SISTEMA DE SEGURIDAD
En los siguientes captulos se estudiarn las
distintas funciones que se deben asegurar en un
sistema informtico.
1. Reconocimiento: cada usuario deber
identificarse al usar el sistema y cada
operacin del mismo ser registrada con esta
identificacin. En este proceso se quiere
conseguir que no se produzca un acceso y/o
manipulacin indebida de los datos o que en
su defecto, esta quede registrada.
2. Integridad: un sistema integro es aquel en el
que todas las partes que lo constituyen
funcionan en forma correcta y en su totalidad.
3. Aislamiento: Los datos utilizados por un
usuario deben ser independientes de los de
otro fsica y lgicamente (usando tcnicas de
ocultacin y/o compartimiento). Tambin se
debe lograr independencia entre los datos
accesibles y los considerados crticos.
4. Auditabilidad: procedimiento utilizado en la
elaboracin de exmenes, demostraciones,
verificaciones o comprobaciones del sistema.
Estas comprobaciones deben ser peridicas y
tales que brinden datos precisos y aporten
confianza a la direccin. Deben apuntar a
contestar preguntas como:
El uso del sistema es adecuado?
El sistema se ajusta a las normas internas
y externas vigentes?
Los datos arrojados por el sistema se
ajustan a las expectativas creadas?
Todas las transacciones realizadas por el
sistema
pueden
ser
registradas
adecuadamente?
Contienen informacin referente al
entorno: tiempo, lugar, autoridad, recurso,
empleado, etc.?

5. Controlabilidad: todos los sistemas y

subsistemas deben estar bajo control
permanente.
6. Recuperabilidad: en caso de emergencia,
debe existir la posibilidad de recuperar los
recursos perdidos o daados.
7. Administracin y Custodia: la vigilancia nos
permitir conocer, en todo momento,
cualquier suceso, para luego realizar un
seguimiento de los hechos y permitir una
realimentacin del sistema de seguridad, de
forma tal de mantenerlo actualizado contra
nuevas amenazas.
Se llama Intruso o Atacante a la persona que
accede (o intenta acceder) sin autorizacin a un
sistema ajeno, ya sea en forma intencional o no.
Ante la pregunta de los tipos de intrusos
existentes actualmente, contesta lo siguiente:
"Los tipos de Intrusos podramos caracterizarlos
desde el punto de vista del nivel de conocimiento,
formando una pirmide.
1. Clase A: el 80% en la base son los nuevos
intrusos que bajan programas de Internet y
prueban, estn jugando (...) son pequeos
grupitos que se juntan y dicen vamos a probar.
2. Clase B: es el 12% son ms peligroso, saben
compilar programas aunque no saben
programar. Prueban programas, conocen
como detectar que sistema operativo que est
usando
la
vctima,
testean
las
vulnerabilidades del mismo e ingresan por
ellas.

3. Clase C: es el 5%. Es gente que sabe, que

conoce y define sus objetivos. A partir de aqu
buscan todos los accesos remotos e intentan
ingresar.
4. Clase D: el 3% restante. Cuando entran a
determinados sistemas buscan la informacin
que necesitan.

Para llegar desde la base hasta el ltimo nivel se

tarda desde 4 a 6 aos, por el nivel de
conocimiento que se requiere asimilar. Es
prctica, conocer, programar, mucha tarea y
mucho trabajo". En cualquier sistema informtico
existen tres elementos bsicos a proteger: el
hardware, el software y los datos.
Por hardware entendemos el conjunto de todos
los sistemas fsicos del sistema informtico: CPU,
cableado,
impresoras,
CD-ROM,
cintas,
componentes de comunicacin. El software son
todos los elementos lgicos que hacen funcional
al hardware: sistema operativo, aplicaciones,
utilidades.
Entendemos por datos al conjunto de
informacin lgica que maneja el software y el
hardware: bases de datos, documentos,
archivos. Adems, generalmente se habla de un
cuarto elemento llamado fungible; que son los
aquellos que se gastan o desgastan con el uso
continuo: papel, tner, tinta, cintas magnticas,
disquetes.
De los cuatro, los datos que maneja el sistema
sern los ms importantes ya que son el
resultado del trabajo realizado. Si existiera dao
del hardware, software o de los elementos
fungibles, estos pueden adquirirse nuevamente
desde su medio original; pero los datos obtenidos

en el transcurso del tiempo por el sistema son

imposibles de recuperar: hemos de pasar
obligatoriamente por un sistema de copias de
seguridad, y aun as es difcil de devolver los
datos a su forma anterior al dao.
Para cualquiera de los elementos descriptos
existen multitud de amenazas y ataques que se
los puede clasificar en:
Ataques Pasivos: el atacante no altera la
comunicacin, sino que nicamente la
"escucha" o monitoriza, para obtener
informacin que est siendo transmitida. Sus
objetivos son la intercepcin de datos y el
anlisis de trfico. Generalmente se emplean
para:
o Obtencin del origen y destinatario de la
comunicacin, a travs de la lectura de
las cabeceras de los paquetes
monitorizados.
o Control
del
volumen
de
trfico
intercambiado entre las entidades
monitorizadas,
obteniendo
as
informacin acerca de actividad o
inactividad inusuales.
o Control de las horas habituales de
intercambio de datos entre las entidades
de la comunicacin, para extraer
informacin acerca de los perodos de
actividad. Es posible evitar el xito, si
bien no el ataque, mediante el cifrado de
la informacin y otros mecanismos que
se vern posteriormente.
Ataques Activos: estos ataques implican
algn tipo de modificacin del flujo de datos
transmitido o la creacin de un falso flujo de
datos. Generalmente son realizados por
hackers, piratas informticos o intrusos
remunerados y se los puede subdividir en
cuatro categoras:
o Interrupcin: si hace que un objeto
del sistema se pierda, quede
inutilizable o no disponible.
o Intercepcin: si un elemento no
autorizado consigue el acceso a un
determinado objeto del sistema.
o Modificacin:
si adems
de
conseguir el acceso consigue
modificar el objeto.
o Fabricacin: se consigue un objeto
similar al original atacado de forma
que es difcil distinguirlos entre s.
o Destruccin: es una modificacin
que inutiliza el objeto.

Con demasiada frecuencia se cree que los

piratas son los nicos que amenazan nuestro
sistema, siendo pocos los administradores que
consideran todos los dems riesgos analizados
en el presente.
Seleccionar las medidas de seguridad a implantar
requiere considerar el equilibrio entre los
intereses referidos a la seguridad, los
requerimientos operacionales y la "amigabilidad"
para el usuario.
o
o
o

pero slo el 33% indic su capacidad para la

deteccin de dichos ataques.
Slo el 39% hace uso de software estndar
de seguridad y el 20% de este total hace uso
avanzado de estas herramientas.

El 40% de las empresas estudiadas

consideran como un problema grave la
seguridad informtica.
El 83% de las empresas reconoce no haber
emprendido nunca acciones legales despus
de un ataque.
El 79% cree que existen mayores
probabilidades de sufrir un ataque informtico
procedente del exterior. Esto, como se ver
posteriormente es un error.
El 66% consideran a la Seguridad y
Privacidad de la informacin el impedimento
principal para el crecimiento del comercio
electrnico.
El 80% manifest no haber experimentado un
ataque por intrusin durante el ao anterior;
SEGURIDAD FSICA

Es muy importante ser consciente que por ms

que nuestra empresa sea la ms segura desde el
punto de vista de ataques externos, Hackers,
virus, etc. (conceptos luego tratados); la
seguridad de la misma ser nula si no se ha
previsto como combatir un incendio.
La seguridad fsica es uno de los aspectos ms
olvidados a la hora del diseo de un sistema
informtico.
Si bien algunos de los aspectos tratados a
continuacin se prevn, otros, como la deteccin
de un atacante interno a la empresa que intenta
acceder fsicamente a una sala de operaciones
de la misma, no.

Esto puede derivar en que para un atacante sea

ms fcil lograr tomar y copiar una cinta de la
sala, que intentar acceder va lgica a la misma.
As, la Seguridad Fsica consiste en la "aplicacin
de barreras fsicas y procedimientos de control,
como medidas de prevencin y contramedidas
ante amenazas a los recursos e informacin
confidencial".
Se refiere a los controles y mecanismos de
seguridad dentro y alrededor del Centro de
Cmputo as como los medios de acceso remoto
al y desde el mismo; implementados para
proteger
el
hardware
y
medios
de
almacenamiento de datos.

TIPOS DE DESASTRES
No ser la primera vez que se mencione en este
trabajo, que cada sistema es nico y por lo tanto
la poltica de seguridad a implementar no ser
nica. Este concepto vale, tambin, para el
edificio en el que nos encontramos. Es por ello
que siempre se recomendarn pautas de
aplicacin general y no procedimientos
especficos. Para ejemplificar esto: valdr de
poco tener en cuenta aqu, en Entre Ros,

tcnicas de seguridad ante terremotos; pero s

ser de mxima utilidad en Los ngeles, EE.UU.
Este tipo de seguridad est enfocado a cubrir las
amenazas ocasionadas tanto por el hombre
como por la naturaleza del medio fsico en que se
encuentra ubicado el centro.
Las principales amenazas que se prevn en la
seguridad fsica son:

o
o
o

Desastres
naturales,
incendios
accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos
deliberados.

No hace falta recurrir a pelculas de espionaje

para sacar ideas de cmo obtener la mxima
seguridad en un sistema informtico, adems de
que la solucin sera extremadamente cara.

A veces basta recurrir al sentido comn para

darse cuenta que cerrar una puerta con llave o
cortar la electricidad en ciertas reas siguen
siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms
importantes que se corren en un centro de
procesamiento; con el objetivo de mantener una
serie de acciones a seguir en forma eficaz y
oportuna para la prevencin, reduccin,
recuperacin y correccin de los diferentes tipos
de riesgos.

INCENDIOS
Los incendios son causados por el uso
inadecuado de combustibles, fallas de
instalaciones elctricas defectuosas y el
inadecuado almacenamiento y traslado de
sustancias peligrosas. El fuego es una de las
principales amenazas contra la seguridad. Es
considerado el enemigo nmero uno de las
computadoras ya que puede destruir fcilmente
los archivos de informacin y programas.
Desgraciadamente los sistemas antifuego dejan
mucho que desear, causando casi igual dao que
el propio fuego, sobre todo a los elementos
electrnicos. El dixido de carbono, actual
alternativa del agua, resulta peligroso para los
propios empleados si quedan atrapados en la
sala de cmputos.
Los diversos factores a contemplar para reducir
los riesgos de incendio a los que se encuentra
sometido un centro de cmputos son:
El rea en la que se encuentran las
computadoras debe estar en un local que
no sea combustible o inflamable.
El local no debe situarse encima, debajo
o adyacente a reas donde se procesen,
fabriquen o almacenen materiales

Para protegerlos se debe tener en cuenta que:

La temperatura no debe sobrepasar los 18
C y el lmite de humedad no debe superar
el 65% para evitar el deterioro.
Los centros de cmputos deben estar
provistos de equipo para la extincin de
incendios en relacin al grado de riesgo y
la clase de fuego que sea posible en ese
mbito.
Deben instalarse extintores manuales
(porttiles) y/o automticos (rociadores).

inflamables, explosivos, gases txicos o

sustancias radioactivas.
Las paredes deben hacerse de
materiales incombustibles y extenderse
desde el suelo al techo.
Debe construirse un "falso piso" instalado
sobre el piso real, con materiales
incombustibles y resistentes al fuego.
No debe estar permitido fumar en el rea
de proceso.
Deben
emplearse
muebles
incombustibles, y cestos metlicos para
papeles. Deben evitarse los materiales
plsticos e inflamables.
El piso y el techo en el recinto del centro
de cmputo y de almacenamiento de los
medios
magnticos
deben
ser
impermeables.

Es necesario proteger los equipos de cmputo

instalndolos en reas en las cuales el acceso a
los mismos slo sea para personal autorizado.
Adems, es necesario que estas reas cuenten
con los mecanismos de ventilacin y deteccin de
incendios adecuados.

Recomendaciones: El personal designado para

usar extinguidores de fuego debe ser entrenado
en su uso. Si hay sistemas de deteccin de fuego
que activan el sistema de extincin, todo el
personal de esa rea debe estar entrenado para
no interferir con este proceso automtico.
Implementar paredes protectoras de fuego
alrededor de las reas que se desea proteger del
incendio que podra originarse en las reas
adyacentes. Proteger el sistema contra daos
causados por el humo. Este, en particular la clase
que es principalmente espeso, negro y de

materiales especiales, puede ser muy daino y

requiere una lenta y costosa operacin de
limpieza. Mantener procedimientos planeados
para recibir y almacenar abastecimientos de
papel. Suministrar informacin, del centro de
cmputo, al departamento local de bomberos,
antes de que ellos sean llamados en una

emergencia. Hacer que este departamento est

consciente
de
las
particularidades
y
vulnerabilidades del sistema, por excesivas
cantidades de agua y la conveniencia de una
salida para el humo, es importante. Adems, ellos
pueden ofrecer excelentes consejos como
precauciones para prevenir incendios.

INUNDACIONES
Se las define como la invasin de agua por
exceso de escurrimientos superficiales o por
acumulacin en terrenos planos, ocasionada por
falta de drenaje ya sea natural o artificial. Esta es
una de las causas de mayores desastres en
centros de cmputos. Adems de las causas
naturales de inundaciones, puede existir la
posibilidad de una inundacin provocada por la

necesidad de apagar un incendio en un piso

superior. Para evitar este inconveniente se
pueden tomar las siguientes medidas: construir
un techo impermeable para evitar el paso de agua
desde un nivel superior y acondicionar las
puertas para contener el agua que bajase por las
escaleras.

CONDICIONES CLIMATOLGICAS
Normalmente se reciben por anticipado los avisos
de tormentas, tempestades, tifones y catstrofes
ssmicas similares. Las condiciones atmosfricas
severas se asocian a ciertas partes del mundo y
la probabilidad
de
que
ocurran
est
documentada. La frecuencia y severidad de su
ocurrencia deben ser tenidas en cuenta al decidir
la construccin de un edificio. La comprobacin
de los informes climatolgicos o la existencia de
un servicio que notifique la proximidad de una
tormenta severa, permite que se tomen
precauciones adicionales, tales como la retirada

de objetos mviles, la provisin de calor,

iluminacin o combustible para la emergencia.
Por ejemplo los terremotos, estos fenmenos
ssmicos pueden ser tan poco intensos que
solamente instrumentos muy sensibles los
detectan o tan intensos que causan la
destruccin de edificios y hasta la prdida de
vidas humanas. El problema es que en la
actualidad, estos fenmenos estn ocurriendo en
lugares donde no se los asociaba. Por fortuna los
daos en las zonas improbables suelen ser
ligeros.

SEALES DE RADAR
La influencia de las seales o rayos de radar
sobre el funcionamiento de una computadora ha
sido exhaustivamente estudiado desde hace
varios
aos.
Los
resultados
de
las
investigaciones ms recientes son que las
seales muy fuertes de radar pueden inferir en el
procesamiento electrnico de la informacin,

pero nicamente si la seal que alcanza el equipo

es de 5 Volts/Metro, o mayor. Ello podra ocurrir
slo si la antena respectiva fuera visible desde
una ventana del centro de procesamiento
respectivo y, en algn momento, estuviera
apuntando directamente hacia dicha ventana.

INSTALACIN ELCTRICA
Trabajar con computadoras implica trabajar con
electricidad. Por lo tanto esta una de las
principales reas a considerar en la seguridad
fsica. Adems, es una problemtica que abarca
desde el usuario hogareo hasta la gran
empresa. En la medida que los sistemas se
vuelven ms complicados se hace ms necesaria
la presencia de un especialista para evaluar
riesgos particulares y aplicar soluciones que

estn de acuerdo con una norma de seguridad

industrial.
Emisiones electromagnticas: desde hace tiempo
se sospecha que las emisiones, de muy baja
frecuencia que generan algunos perifricos, son
dainas para el ser humano. Segn
recomendaciones cientficas estas emisiones
podran reducirse mediante filtros adecuados al
rango de las radiofrecuencias, siendo estas
totalmente seguras para las personas.

ERGOMETRA
"La Ergonoma es una disciplina que se ocupa de
estudiar la forma en que interacta el cuerpo
humano con los artefactos y elementos que lo
rodean, buscando que esa interaccin sea lo
menos agresiva y traumtica posible". El enfoque
ergonmico plantea la adaptacin de los
mtodos, los objetos, las maquinarias,
herramientas e instrumentos o medios y las
condiciones de trabajo a la anatoma, la fisiologa
y la psicologa del operador. Entre los fines de su
aplicacin se encuentra, fundamentalmente, la
proteccin de los trabajadores contra problemas
tales como el agotamiento, las sobrecargas y el
envejecimiento prematuro.

TRASTORNOS SEOS Y/O MUSCULARES:

Una de las maneras de provocar una lesin
sea o muscular es obligar al cuerpo a
ejecutar movimientos repetitivos y rutinarios, y
esta posibilidad se agrava enormemente si
dichos movimientos se realizan en una
posicin incorrecta o antinatural. En el
ambiente informtico, la operacin del teclado
es un movimiento repetitivo y continuo, si a
esto le sumamos el hecho de trabajar con una
distribucin ineficiente de las teclas, el diseo
antinatural del teclado y la ausencia (ahora
atenuada por el uso del Mouse) de
movimientos alternativos al de tecleado,
tenemos un potencial riesgo de enfermedades
o lesiones en los msculos, nervios y huesos
de manos y brazos. En resumen, el lugar de
trabajo debe estar diseado de manera que
permita que el usuario se coloque en la
posicin ms natural posible. Como esta
posicin variar de acuerdo a los distintos
usuarios, lo fundamental en todo esto es que
el puesto de trabajo sea ajustable, para que
pueda adaptarse a las medidas y posiciones
naturales propias de cada operador.
TRASTORNOS VISUALES: Los ojos, sin
duda, son las partes ms afectadas por el
trabajo con computadoras. La pantalla es una
fuente de luz que incide directamente sobre el
ojo del operador, provocando, luego de
exposiciones prolongadas el tpico cansancio
visual, irritacin y lagrimeo, cefalea y visin
borrosa. Si a esto le sumamos un monitor
cuya definicin no sea la adecuada, se debe
considerar la exigencia a la que se sometern
los ojos del usuario al intentar descifrar el
contenido de la pantalla. Adems de la fatiga
del resto del cuerpo al tener que cambiar la

posicin de la cabeza y el cuello para acercar

los ojos a la misma.
SALUD MENTAL: La carga fsica del trabajo
adopta modalidades diferentes en los puestos
informatizados. De hecho, disminuye los
desplazamientos de los trabajadores y las
tareas requieren un menor esfuerzo muscular
dinmico, pero aumenta, al mismo tiempo, la
carga esttica de acuerdo con las posturas
inadecuadas asumidas. Por su parte, la
estandarizacin y racionalizacin que tiende a
acompaar la aplicacin de las PCs en las
tareas de ingreso de datos, puede llevar a la
transformacin del trabajo en una rutina
inflexible que inhibe la iniciativa personal,
promueve sensaciones de hasto y monotona
y conduce a una prdida de significado del
trabajo. Los efectos del estrs pueden
encuadrarse dentro de varias categoras:
o Los efectos fisiolgicos inmediatos,
caracterizados por el incremento de la
presin
arterial, el aumento de la
frecuencia cardiaca, etc.
o Los efectos psicolgicos inmediatos
hacen referencia a la tensin, irritabilidad,
clera, agresividad, etc.
Estos sentimientos pueden, a su vez,
inducir
ciertos
efectos
en
el
comportamiento como el consumo de
alcohol y psicofrmacos, el hbito de
fumar, etc.
o Tambin existen consecuencias mdicas
a largo plazo, tales como enfermedades
coronarias, hipertensin arterial, lceras
ppticas, agotamiento; mientras que las
consecuencias psicolgicas a largo plazo
pueden sealar neurosis, insomnio,
estados crnicos de ansiedad y/o
depresin, etc.
o La apata, sensaciones generales de
insatisfaccin ante la vida, la prdida de
la
propia
estima,
etc.,
alteran
profundamente la vida personal, familiar
y social del trabajador llevndolo,
eventualmente, al aislamiento, al
ausentismo laboral y la prdida de la
solidaridad social.
AMBIENTE LUMINOSO: Se parte de la base
que las oficinas mal iluminadas son la principal
causa de la prdida de la productividad en las
empresas y de un gasto energtico excesivo.
Una iluminacin deficiente provoca dolores de
cabeza y perjudica a los ojos.

AMBIENTE CLIMTICO: En cuanto al

ambiente climtico, la temperatura de una
oficina con computadoras debe estar
comprendida entre 18 y 21 grados centgrados
y la humedad relativa del aire debe estar
comprendida entre el 45% y el 65%. En todos
los lugares hay que contar con sistemas que

renueven el aire peridicamente. No menos

importante es el ambiente sonoro por lo que
se recomienda no adquirir equipos que
superen los 55 decibeles, sobre todo cuando
trabajan muchas personas en un mismo
espacio.

ACCIONES HOSTILES
ROBO
Las computadoras son posesiones valiosas de
las empresas y estn expuestas, de la misma
forma que lo estn las piezas de stock e incluso
el dinero. Es frecuente que los operadores
utilicen la computadora de la empresa para
realizar trabajos privados o para otras
organizaciones y, de esta manera, robar tiempo
de mquina. La informacin importante o

confidencial puede ser fcilmente copiada.

Muchas empresas invierten millones de dlares
en programas y archivos de informacin, a los
que dan menor proteccin que la que otorgan a
una mquina de escribir o una calculadora. El
software, es una propiedad muy fcilmente
sustrable y las cintas y discos son fcilmente
copiados sin dejar ningn rastro.

FRAUDE
Cada ao, millones de dlares son sustrados de
empresas y, en muchas ocasiones, las
computadoras han sido utilizadas como
instrumento para dichos fines. Sin embargo,
debido a que ninguna de las partes implicadas

(compaa, empleados, fabricantes, auditores,

etc.), tienen algo que ganar, sino que ms bien
pierden en imagen, no se da ninguna publicidad
a este tipo de situaciones.

SABOTAJE
El peligro ms temido en los centros de
procesamiento de datos, es el sabotaje.
Empresas que han intentado implementar
programas de seguridad de alto nivel, han
encontrado que la proteccin contra el
saboteador es uno de los retos ms duros. Este
puede ser un empleado o un sujeto ajeno a la
propia empresa. Fsicamente, los imanes son las
herramientas a las que se recurre, ya que con una
ligera pasada la informacin desaparece, aunque

las cintas estn almacenadas en el interior de su

funda de proteccin. Una habitacin llena de
cintas puede ser destruida en pocos minutos y los
centros de procesamiento de datos pueden ser
destruidos sin entrar en ellos. Adems, suciedad,
partculas de metal o gasolina pueden ser
introducidos por los conductos de aire
acondicionado. Las lneas de comunicaciones y
elctricas pueden ser cortadas, etc.

ACTIVIDAD DE INDICADOR
Instrucciones: Proceda a crear un esquema en el siguiente espacio cul sera su
propuesta de mantener una seguridad fsica como medida ante lo expuesto
anteriormente?

[Tecnologa Vocacional III]

-Sexto Informtica-

CONTROL DE ACCESOS
El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o
cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro
de una empresa o institucin.
UTILIZACIN DE GUARDIAS
El Servicio de Vigilancia es el encargado del
control de acceso de todas las personas al
edificio. Este servicio es el encargado de colocar
los guardias en lugares estratgicos para cumplir
con sus objetivos y controlar el acceso del
personal. A cualquier personal ajeno a la planta
se le solicitar completar un formulario de datos
personales, los motivos de la visita, hora de
ingreso y de egreso, etc.

Estas credenciales se pueden clasificar de la

siguiente manera:

El uso de credenciales de identificacin es uno de

los puntos ms importantes del sistema de
seguridad, a fin de poder efectuar un control
eficaz del ingreso y egreso del personal a los
distintos sectores de la empresa. En este caso la
persona se identifica por algo que posee, por
ejemplo una tarjeta de identificacin. Cada una
de ellas tiene un PIN (Personal Identification
Number) nico, siendo este el que se almacena
en una base de datos para su posterior
seguimiento, si fuera necesario. Su mayor
desventaja es que estas tarjetas pueden ser
copiadas, robadas, etc., permitiendo ingresar a
cualquier persona que la posea.

Normal o definitiva: para el personal

permanente de planta.
Temporaria: para personal recin ingresado.
Contratistas: personas ajenas a la empresa,
que por razones de servicio deben ingresar a
la misma.
Visitas.

Las personas tambin pueden acceder mediante

algo que saben (por ejemplo un nmero de
identificacin o una password) que se solicitar a
su ingreso. Al igual que el caso de las tarjetas de
identificacin
los
datos
ingresados
se
contrastarn contra una base donde se almacena
los datos de las personas autorizadas. Este
sistema tiene la desventaja que generalmente se
eligen identificaciones sencillas, bien se olvidan
dichas identificaciones o incluso las bases de
datos pueden verse alteradas o robadas por
personas no autorizadas.

CONTROL DE VEHCULOS
Para controlar el ingreso y egreso de vehculos,
el personal de vigilancia debe asentar en una
planilla los datos personales de los ocupantes del
vehculo, la marca y patente del mismo, y la hora
de ingreso y egreso de la empresa.

ser sobornado por un tercero para lograr el

acceso a sectores donde no est habilitado,
como as tambin para poder ingresar o egresar
de la planta con materiales no autorizados.
Esta situacin de soborno es muy frecuente, por
lo que es recomendable la utilizacin de sistemas
biomtricos para el control de accesos.

La principal desventaja de la aplicacin de

personal de guardia es que ste puede llegar a

DETECTORES DE METALES
El detector de metales es un elemento
sumamente prctico para la revisin de personas,
ofreciendo grandes ventajas sobre el sistema de
palpacin manual. La sensibilidad del detector es
regulable, permitiendo de esta manera establecer

un volumen metlico mnimo, a partir del cual se

activar la alarma. La utilizacin de este tipo de
detectores debe hacerse conocer a todo el
personal. De este modo, actuar como elemento
disuasivo.

12

[Tecnologa Vocacional III]

-Sexto Informtica-

SISTEMAS BIOMTRICOS

Definimos Biometra como "la parte de la biologa

que estudia en forma cuantitativa la variabilidad
individual de los seres vivos utilizando mtodos
estadsticos". Biometra es una tecnologa que
realiza mediciones en forma electrnica, guarda
y compara caractersticas nicas para la
identificacin de personas. La forma de
identificacin consiste en la comparacin de
caractersticas fsicas de cada persona con un
patrn conocido y almacenado en una base de
datos. Los lectores biomtricos identifican a la
persona por lo que es (manos, ojos, huellas
digitales y voz).
Beneficios de una tecnologa biomtrica: pueden
eliminar la necesidad de poseer una tarjeta para
acceder. Aunque las reducciones de precios han
disminuido el costo inicial de las tarjetas en los
ltimos aos, el verdadero beneficio de
eliminarlas consiste en la reduccin del trabajo
concerniente a su administracin. Utilizando un
dispositivo
biomtrico
los
costos
de
administracin son ms pequeos, se realiza el
mantenimiento del lector, y una persona se
encarga de mantener la base de datos
actualizada. Sumado a esto, las caractersticas
biomtricas de una persona son intransferibles a
otra.
Emisin de calor: se mide la emisin de calor
del cuerpo (termograma), realizando un mapa
de valores sobre la forma de cada persona.

Huella digital: basado en el principio de que

no existen dos huellas dactilares iguales, este
sistema viene siendo utilizado desde el siglo
pasado con excelentes resultados. Cada
huella digital posee pequeos arcos, ngulos,
bucles, remolinos, etc. (llamados minucias)
caractersticas y la posicin relativa de cada
una de ellas es lo analizado para establecer la
identificacin de una persona. Esta aceptado
que dos personas no tienen ms de ocho
minucias iguales y cada una posee ms de 30,
lo que hace al mtodo sumamente confiable.
Verificacin de voz: la diccin de una (o ms)
frase es grabada y en el acceso se compara
la vos (entonacin, diptongos, agudeza, etc.).
Este sistema es muy sensible a factores
externos como el ruido, el estado de nimo y
enfermedades
de
la
persona,
el
envejecimiento, etc.
Verificacin de patrones oculares: estos
modelos pueden estar basados en los
patrones del iris o de la retina y hasta el
momento son los considerados ms efectivos
(en 200 millones de personas la probabilidad
de coincidencia es casi 0). Su principal
desventaja reside en la resistencia por parte
de las personas a que les analicen los ojos,
por revelarse en los mismos, enfermedades
que en ocasiones se prefiere mantener en
secreto.

VERIFICACIN AUTOMTICA DE FIRMAS (VAF)

En este caso lo que se considera es lo que el
usuario es capaz de hacer, aunque tambin
podra encuadrarse dentro de las verificaciones
biomtricas. Mientras es posible para un
falsificador producir una buena copia visual o
facsmile, es extremadamente difcil reproducir
las dinmicas de una persona: por ejemplo la
firma genuina con exactitud. VAF, usando
emisiones acsticas toma datos del proceso
dinmico de firmar o de escribir. La secuencia

sonora de emisin acstica generada por el

proceso de escribir constituye un patrn que es
nico en cada individuo. El patrn contiene
informacin extensa sobre la manera en que la
escritura es ejecutada. El equipamiento de
coleccin de firmas es inherentemente de bajo
costo y robusto. Esencialmente, consta de un
bloque de metal (o algn otro material con
propiedades acsticas similares) y una
computadora barata.

SEGURIDAD CON ANIMALES

Sirven para grandes extensiones de terreno, y
adems tienen rganos sensitivos mucho ms
sensibles que los de cualquier dispositivo y,
generalmente, el costo de cuidado y
mantenimiento
se
disminuyen

considerablemente utilizando este tipo de

sistema. As mismo, este sistema posee la
desventaja de que los animales pueden ser
engaados para lograr el acceso deseado.

13

[Tecnologa Vocacional III]

-Sexto Informtica-

PROTECCIN ELECTRNICA
Se llama as a la deteccin de robo, intrusin,
asalto e incendios mediante la utilizacin de
sensores conectados a centrales de alarmas.
Estas centrales tienen conectadas los elementos
de sealizacin que son los encargados de
hacerles saber al personal de una situacin de
emergencia. Cuando uno de los elementos
sensores detectan una situacin de riesgo, stos
transmiten inmediatamente el aviso a la central;
sta procesa la informacin recibida y ordena en
respuesta la emisin de seales sonoras o
luminosas alertando de la situacin.

informacin de control. Los siguientes estn

incluidos dentro de este tipo de detectores:
o
o

Barreras infrarrojas y de micro-ondas:

transmiten y reciben haces de luces infrarrojas
y de microondas respectivamente. Se
codifican por medio de pulsos con el fin de
evadir los intentos de sabotaje. Estas barreras
estn compuestas por un transmisor y un
receptor de igual tamao y apariencia externa.
Cuando el haz es interrumpido, se activa el
sistema de alarma, y luego vuelve al estado
de alerta. Estas barreras son inmunes a
fenmenos aleatorios como calefaccin, luz
ambiental, vibraciones, movimientos de
masas de aire, etc. Las invisibles barreras
fotoelctricas pueden llegar a cubrir reas de
hasta 150 metros de longitud (distancias
exteriores). Pueden reflejar sus rayos por
medio de espejos infrarrojos con el fin de
cubrir con una misma barrera diferentes
sectores. Las microondas son ondas de radio
de frecuencia muy elevada. Otra ventaja
importante es la capacidad de atravesar
ciertos materiales como son el vidrio, lana de
vidrio, plstico, tabiques de madera, revoques
sobre madera, mampostera y hormign.

Detector ultrasnico: este equipo utiliza

ultrasonidos para crear un campo de ondas.
De esta manera, cualquier movimiento que
realice un cuerpo dentro del espacio
protegido, generar una perturbacin en dicho
campo que accionar la alarma. Este sistema
posee un circuito refinado que elimina las
falsas alarmas. La cobertura de este sistema
puede llegar a un mximo de 40 metros
cuadrados.

Detectores pasivos sin alimentacin: estos

elementos no requieren alimentacin extra de
ningn tipo, slo van conectados a la central
de control de alarmas para mandar la
14

Detector de aberturas: contactos

magnticos externos o de embutir.
Detector de roturas de vidrios:
inmune
a
falsas
alarmas
provocadas por sonidos de baja
frecuencia; sensibilidad regulable.
Detector de vibraciones: golpes o
manipulaciones extraas sobre la
superficie controlada.

Sonorizacin y dispositivos luminosos:

Dentro de los elementos de sonorizacin se
encuentran las sirenas, campanas, timbres,
etc. Algunos dispositivos luminosos son los
faros rotativos, las balizas, las luces
intermitentes, etc. Estos deben estar
colocados de modo que sean efectivamente
odos o vistos por aquellos a quienes estn
dirigidos. Los elementos de sonorizacin
deben estar bien identificados para poder
determinar rpidamente si el estado de alarma
es de robo, intrusin, asalto o aviso de
incendio. Se pueden usar transmisores de
radio a corto alcance para las instalaciones de
alarmas locales. Los sensores se conectan a
un transmisor que enva la seal de radio a un
receptor conectado a la central de control de
alarmas encargada de procesar la informacin
recibida.

Circuitos cerrados de televisin: Permiten

el control de todo lo que sucede en la planta
segn lo captado por las cmaras
estratgicamente colocadas. Los monitores
de estos circuitos deben estar ubicados en un
sector de alta seguridad. Las cmaras pueden
estar a la vista (para ser utilizada como
medida disuasiva) u ocultas (para evitar que el
intruso sepa que est siendo captado por el
personal de seguridad). Todos los elementos
anteriormente descriptos poseen un control
contra sabotaje, de manera que si en algn
momento se corta la alimentacin o se
produce la rotura de alguno de sus
componentes, se enviar una seal a la
central de alarma para que sta accione los
elementos de sealizacin correspondientes.

[Tecnologa Vocacional III]

-Sexto Informtica-

Edificios inteligentes: La infraestructura

inmobiliaria no poda quedarse rezagada en lo
que se refiere a avances tecnolgicos. El
Edificio Inteligente (surgido hace unos 10
aos) se define como una estructura que
facilita a usuarios y administradores,
herramientas y servicios integrados a la
administracin y comunicacin. Este concepto
propone la integracin de todos los sistemas
existentes dentro del edificio, tales como

telfonos, comunicaciones por computadora,

seguridad, control de todos los subsistemas
del edificio (gas, calefaccin, ventilacin y aire
acondicionado, etc.) y todas las formas de
administracin de energa. Una caracterstica
comn de los Edificios Inteligentes es la
flexibilidad que deben tener para asumir
modificaciones de manera conveniente y
econmica.

ACTIVIDAD DE INDICADOR
Instrucciones: Reconoce la funcionalidad y toda la era de la Seguridad y dems temas
asociados a este trmino. En el siguiente espacio haga una lista de los sistemas de seguridad
que podra optar una empresa, sin contar con la ayuda de los animales y describa si conoce
su funcionamiento.

15

[Tecnologa Vocacional III]

-Sexto Informtica-

SEGURIDAD LGICA
Luego de ver como nuestro sistema puede verse
afectado por la falta de Seguridad Fsica, es
importante recalcar que la mayora de los daos
que puede sufrir un centro de cmputo no ser
sobre los medios fsicos sino contra informacin
por l almacenada y procesada.
As, la
Seguridad Fsica, slo es una parte del amplio
espectro que se debe cubrir para no vivir con una
sensacin ficticia de seguridad. Como ya se ha
mencionado, el activo ms importante que se
posee es la informacin, y por lo tanto deben
existir tcnicas, ms all de la seguridad fsica,
que la aseguren. Estas tcnicas las brinda la
Seguridad Lgica. Es decir que la Seguridad
Lgica consiste en la "aplicacin de barreras y
procedimientos que resguarden el acceso a los
datos y slo se permita acceder a ellos a las
personas autorizadas para hacerlo". Existe un
viejo dicho en la seguridad informtica que dicta
que "todo lo que no est permitido debe estar
prohibido" y esto es lo que debe asegurar la
Seguridad Lgica.

Los objetivos que se plantean sern:

Restringir el acceso a los programas y
archivos.
Asegurar que los operadores puedan trabajar
sin una supervisin minuciosa y no puedan
modificar los programas ni los archivos que no
correspondan.
Asegurar que se estn utilizados los datos,
archivos y programas correctos en y por el
procedimiento correcto.
Que la informacin transmitida sea recibida
slo por el destinatario al cual ha sido enviada
y no a otro.
Que la informacin recibida sea la misma que
ha sido transmitida.
Que
existan
sistemas
alternativos
secundarios de transmisin entre diferentes
puntos.
Que se disponga de pasos alternativos de
emergencia
para
la
transmisin
de
informacin.

CONTROLES DE ACCESO
Estos controles pueden implementarse en el
Sistema Operativo, sobre los sistemas de
aplicacin, en bases de datos, en un paquete
especfico de seguridad o en cualquier otro
utilitario. Constituyen una importante ayuda para
proteger al sistema operativo de la red, al sistema
de aplicacin y dems software de la utilizacin o
modificaciones no autorizadas; para mantener la
integridad de la informacin (restringiendo la
cantidad de usuarios y procesos con acceso

permitido) y para resguardar la informacin

confidencial de accesos no autorizados.
Asimismo, es conveniente tener en cuenta otras
consideraciones referidas a la seguridad lgica,
como por ejemplo las relacionadas al
procedimiento que se lleva a cabo para
determinar si corresponde un permiso de acceso
(solicitado por un usuario) a un determinado
recurso.

IDENTIFICACIN Y AUTENTIFICACIN
Es la primera lnea de defensa para la mayora de los sistemas computarizados, permitiendo prevenir el
ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el
seguimiento de las actividades de los usuarios. Se denomina Identificacin al momento en que el usuario
se da a conocer en el sistema; y Autenticacin a la verificacin que realiza el sistema sobre esta
identificacin. Al igual que se consider para la seguridad fsica, y basada en ella, existen cuatro tipos de
tcnicas que permiten realizar la autenticacin de la identidad del usuario, las cuales pueden ser utilizadas
individualmente o combinadas:

Algo que solamente el individuo conoce: por

ejemplo una clave secreta de acceso o
password, una clave criptogrfica, un nmero
de identificacin personal o PIN, etc.

16

Algo que la persona posee: por ejemplo una

tarjeta magntica.

Algo que el individuo es y que lo identifica

unvocamente: por ejemplo las huellas
digitales o la voz.

[Tecnologa Vocacional III]

-Sexto Informtica-

Algo que el individuo es capaz de hacer: por

ejemplo los patrones de escritura. Para cada
una de estas tcnicas vale lo mencionado en
el caso de la seguridad fsica en cuanto a sus
ventajas y desventajas. Se destaca que en los
dos primeros casos enunciados, es frecuente
que las claves sean olvidadas o que las
tarjetas o dispositivos se pierdan, mientras
que por otro lado, los controles de
autenticacin biomtricos seran los ms
apropiados y fciles de administrar,
resultando ser tambin, los ms costosos por
lo dificultosos de su implementacin eficiente.

Las mismas deben encararse desde el punto

de vista del sistema operativo, y aplicacin por
aplicacin, pudiendo ser llevadas a cabo por
personal de auditora o por la gerencia
propietaria del sistema; siempre sobre la base
de que cada usuario disponga del mnimo
permiso que requiera de acuerdo con sus
funciones.

Desde el punto de vista de la eficiencia, es

conveniente que los usuarios sean identificados y
autenticados solamente una vez, pudiendo
acceder a partir de all, a todas las aplicaciones y
datos a los que su perfil les permita, tanto en
sistemas locales como en sistemas a los que
deba acceder en forma remota.

Las revisiones deben orientarse a verificar la

adecuacin de los permisos de acceso de
cada individuo de acuerdo con sus
necesidades operativas, la actividad de las
cuentas de usuarios o la autorizacin de cada
habilitacin de acceso. Para esto, deben
analizarse las cuentas en busca de perodos
de inactividad o cualquier otro aspecto
anormal que permita una redefinicin de la
necesidad de acceso.

Deteccin de actividades no autorizadas.

Adems de realizar auditoras o efectuar el
seguimiento de los registros de transacciones
(pistas), existen otras medidas que ayudan a
detectar la ocurrencia de actividades no
autorizadas. Algunas de ellas se basan en
evitar la dependencia hacia personas
determinadas, estableciendo la obligatoriedad
de tomar vacaciones o efectuando rotaciones
peridicas a las funciones asignadas a cada
una.

Nuevas consideraciones relacionadas con

cambios en la asignacin de funciones del
empleado. Para implementar la rotacin de
funciones, o en caso de reasignar funciones
por ausencias temporales de algunos
empleados, es necesario considerar la
importancia de mantener actualizados los
permisos de acceso.

Procedimientos a tener en cuenta en caso de

desvinculaciones de personal con la
organizacin, llevadas a cabo en forma
amistosa o no. Los despidos del personal de
sistemas presentan altos riesgos ya que en
general se trata de empleados con capacidad
para modificar aplicaciones o la configuracin
del sistema, dejando "bombas lgicas" o
destruyendo
sistemas
o
recursos
informticos. No obstante, el personal de otras
reas usuarias de los sistemas tambin puede
causar daos, por ejemplo, introduciendo
informacin errnea a las aplicaciones
intencionalmente.

Esto se denomina "single log-in" o sincronizacin

de passwords. Este servidor de autenticaciones
no debe ser necesariamente un equipo
independiente y puede tener sus funciones
distribuidas tanto geogrfica como lgicamente,
de acuerdo con los requerimientos de carga de
tareas.
La Seguridad Informtica se basa, en gran
medida, en la efectiva administracin de los
permisos de acceso a los recursos informticos,
basados en la identificacin, autenticacin y
autorizacin de accesos. Esta administracin
abarca:

Proceso de solicitud, establecimiento, manejo,

seguimiento y cierre de las cuentas de
usuarios. Es necesario considerar que la
solicitud de habilitacin de un permiso de
acceso para un usuario determinado, debe
provenir de su superior y, de acuerdo con sus
requerimientos especficos de acceso, debe
generarse el perfil en el sistema de seguridad,
en el sistema operativo o en la aplicacin
segn corresponda.

Adems, la identificacin de los usuarios debe

definirse de acuerdo con una norma
homognea para toda la organizacin.

Revisiones peridicas sobre la administracin

de las cuentas y los permisos de acceso
establecidos.

17

[Tecnologa Vocacional III]

-Sexto Informtica-

ROLES, TRANSACCIONES Y LIMITACIONES

El acceso a la informacin tambin puede
controlarse a travs de la funcin o rol del usuario
que requiere dicho acceso. Algunos ejemplos de
roles seran los siguientes: programador, lder de
proyecto, gerente de un rea usuaria,
administrador del sistema, etc. En este caso los
derechos de acceso pueden agruparse de
acuerdo con el rol de los usuarios. Estos
controles se refieren a las restricciones que
dependen de parmetros propios de la utilizacin
de la aplicacin o preestablecidos por el
administrador del sistema. Un ejemplo podra ser
que en la organizacin se disponga de licencias
para la utilizacin simultnea de un determinado
producto de software para cinco personas, en
donde exista un control a nivel sistema que no
permita la utilizacin del producto a un sexto
usuario.

de los usuarios a determinadas horas de da o

a determinados das de la semana. De esta
forma se mantiene un control ms restringido
de los usuarios y zonas de ingreso.

Modalidad de acceso: Se refiere al modo de

acceso que se permite al usuario sobre los
recursos y a la informacin. Esta modalidad
puede ser:
o Lectura: El usuario puede nicamente
leer o visualizar la informacin pero no
puede alterarla. Debe considerarse que
la informacin puede ser copiada o
impresa.
o Escritura: Este tipo de acceso permite
agregar datos, modificar o borrar
informacin.
o Ejecucin: Este acceso otorga al usuario
el privilegio de ejecutar programas.
o Borrado: Permite al usuario eliminar
recursos del sistema (como programas,
campos de datos o archivos). El borrado
es
considerado
una
forma
de
modificacin.
Adems existen otras modalidades de
acceso especiales, que generalmente se
incluyen en los sistemas de aplicacin:
o Creacin: Permite al usuario crear
nuevos archivos, registros o campos.
o Bsqueda: Permite listar los archivos de
un directorio determinado.
Ubicacin y horario: El acceso a
determinados recursos del sistema puede
estar basado en la ubicacin fsica o lgica de
los datos o personas. En cuanto a los horarios,
este tipo de controles permite limitar el acceso

18

Palabras
claves
(passwords):
Generalmente se utilizan para realizar la
autenticacin del usuario y sirven para
proteger los datos y aplicaciones. Los
controles implementados a travs de la
utilizacin de palabras clave resultan de muy
bajo costo. Sin embargo cuando el usuario se
ve en la necesidad de utilizar varias palabras
clave para acceder a diversos sistemas
encuentra
dificultoso
recordarlas
y
probablemente las escriba o elija palabras
fcilmente deducibles, con lo que se ve
disminuida la utilidad de esta tcnica. Se
podr, por aos, seguir creando sistemas
altamente seguros, pero en ltima instancia
cada uno de ellos se romper por este
eslabn: la eleccin de passwords dbiles.

Sincronizacin de passwords: Consiste en

permitir que un usuario acceda con la misma
password
a
diferentes
sistemas
interrelacionados
y,
su
actualizacin
automtica en todos ellos en caso de ser
modificada. Podra pensarse que esta es una
caracterstica negativa para la seguridad de
un sistema, ya que una vez descubierta la
clave de un usuario, se podra tener acceso a
los mltiples sistemas a los que tiene acceso
dicho usuario. Sin embargo, estudios hechos
muestran que las personas normalmente
suelen manejar una sola password para todos
los sitios a los que tengan acceso, y que si se
los fuerza a elegir diferentes passwords
tienden a guardarlas escritas para no
olvidarlas, lo cual significa un riesgo an
mayor. Para implementar la sincronizacin de
passwords entre sistemas es necesario que
todos ellos tengan un alto nivel de seguridad.

Caducidad y control: Este mecanismo

controla cundo pueden y/o deben cambiar
sus passwords los usuarios. Se define el
perodo mnimo que debe pasar para que los
usuarios puedan cambiar sus passwords, y un
perodo mximo que puede transcurrir para
que stas caduquen.

[Tecnologa Vocacional III]

-Sexto Informtica

Listas de control de accesos: Se refiere a

un registro donde se encuentran los nombres
de los usuarios que obtuvieron el permiso de
acceso a un determinado recurso del sistema,
as como la modalidad de acceso permitido.
Este tipo de listas varan considerablemente
en su capacidad y flexibilidad.
Lmites sobre la interface de usuario: Esto
lmites, generalmente, son utilizados en
conjunto con las listas de control de accesos y
restringen a los usuarios a funciones
especficas. Bsicamente pueden ser de tres
tipos: mens, vistas sobre la base de datos y
lmites fsicos sobre la interface de usuario.
Por ejemplo los cajeros automticos donde el
usuario slo puede ejecutar ciertas funciones
presionando teclas especficas.
Etiquetas de seguridad: Consiste en
designaciones otorgadas a los recursos
(como por ejemplo un archivo) que pueden
utilizarse para varios propsitos como control
de accesos, especificacin de medidas de
proteccin, etc. Estas etiquetas no son
modificables.
Dispositivos de control de puertos: Estos
dispositivos autorizan el acceso a un puerto
determinado y pueden estar fsicamente
separados o incluidos en otro dispositivo de
comunicaciones, como por ejemplo un
mdem.

Firewalls o puertas de seguridad: Permiten

bloquear o filtrar el acceso entre dos redes,
usualmente una privada y otra externa (por
ejemplo Internet). Los firewalls permiten que
los usuarios internos se conecten a la red
exterior al mismo tiempo que previenen la
intromisin de atacantes o virus a los sistemas
de la organizacin. Este tema ser abordado
con posterioridad.
Acceso de personal contratado o
consultores: Debido a que este tipo de
personal en general presta servicios
temporarios,
debe
ponerse
especial
consideracin en la poltica y administracin
de sus perfiles de acceso.
Accesos pblicos: Para los sistemas de
informacin consultados por el pblico en
general, o los utilizados para distribuir o recibir
informacin computarizada (mediante, por
ejemplo, la distribucin y recepcin de
formularios en soporte magntico, o la
consulta y recepcin de informacin a travs
del correo electrnico) deben tenerse en
cuenta medidas especiales de seguridad, ya
que se incrementa el riesgo y se dificulta su
administracin. Debe considerarse para estos
casos de sistemas pblicos, que un ataque
externo o interno puede acarrear un impacto
negativo en la imagen de la organizacin.

ADMINISTRACIN
Una vez establecidos los controles de acceso
sobre los sistemas y la aplicacin, es necesario
realizar una eficiente administracin de estas
medidas de seguridad lgica, lo que involucra la
implementacin, seguimientos, pruebas y
modificaciones sobre los accesos de los usuarios
de los sistemas. La poltica de seguridad que se
desarrolle respecto a la seguridad lgica debe
guiar a las decisiones referidas a la
determinacin de los controles de accesos y
especificando las consideraciones necesarias
para el establecimiento de perfiles de usuarios.
La definicin de los permisos de acceso requiere
determinar cul ser el nivel de seguridad
necesario sobre los datos, por lo que es
imprescindible
clasificar
la
informacin,
determinando el riesgo que producira una
eventual exposicin de la misma a usuarios no
autorizados. Para empezar la implementacin, es
conveniente comenzar definiendo las medidas de
seguridad sobre la informacin ms sensible o las

aplicaciones ms crticas, y avanzar de acuerdo

a un orden de prioridad descendiente,
establecido alrededor de las aplicaciones. Un
programa especfico para la administracin de los
usuarios informticos desarrollado sobre la base
de las consideraciones expuestas, puede
constituir un compromiso vaco, si no existe una
conciencia de la seguridad organizacional por
parte de todos los empleados. Esta conciencia de
la seguridad puede alcanzarse mediante el
ejemplo del personal directivo en el cumplimiento
de las polticas y el establecimiento de
compromisos firmados por el personal, donde se
especifique la responsabilidad de cada uno. Pero
adems de este compromiso debe existir una
concientizacin por parte de la administracin
hacia el personal en donde se remarque la
importancia
de
la
informacin
y
las
consecuencias posibles de su prdida o
apropiacin de la misma por agentes extraos a
la organizacin.

19

[Tecnologa Vocacional III]

-Sexto Informtica-

Organizacin del personal: Este proceso

lleva generalmente cuatro pasos:
o

Definicin
de
puestos:
debe
contemplarse la mxima separacin de
funciones posibles y el otorgamiento del
mnimo permiso de acceso requerido por
cada puesto para la ejecucin de las
tareas asignadas.

Determinacin de la sensibilidad del

puesto: para esto es necesario
determinar si la funcin requiere
permisos riesgosos que le permitan
alterar procesos, perpetrar fraudes o
visualizar informacin confidencial.

Eleccin de la persona para cada puesto:

requiere considerar los requerimientos de
experiencia y conocimientos tcnicos
necesarios para cada puesto. Asimismo,
para los puestos definidos como crticos
puede requerirse una verificacin de los
antecedentes personales.

Entrenamiento inicial y continuo del

empleado:
cuando
la
persona

seleccionada ingresa a la organizacin,

adems de sus responsabilidades
individuales para la ejecucin de las tares
que se asignen, deben comunicrseles
las polticas organizacionales, haciendo
hincapi en la poltica de seguridad. El
individuo debe conocer las disposiciones
organizacionales, su responsabilidad en
cuanto a la seguridad informtica y lo que
se espera de l. Esta capacitacin debe
orientarse a incrementar la conciencia de
la necesidad de proteger los recursos
informticos y a entrenar a los usuarios
en la utilizacin de los sistemas y equipos
para que ellos puedan llevar a cabo sus
funciones en forma segura, minimizando
la ocurrencia de errores (principal riesgo
relativo a la tecnologa informtica). Slo
cuando los usuarios estn capacitados y
tienen una conciencia formada respecto
de la seguridad pueden asumir su
responsabilidad individual. Para esto, el
ejemplo de la gerencia constituye la base
fundamental para que el entrenamiento
sea efectivo: el personal debe sentir que
la seguridad es un elemento prioritario
dentro de la organizacin.

ACTIVIDAD DE INDICADOR
Instrucciones: Aplica apropiadamente los conceptos bsicos de seguridad lgica, ya que
es la parte ms delicada de un sistema. Usando la tecnologa que posee, (celular),
proceda a colocar clave de chip y la clave al mismo aparato, y escriba en el siguiente
espacio cual es el objetivo de una clave con otra. (Recomendacin: usen claves fciles de
memorizar, por ejemplo 123 o ABC, etc).

20

[Tecnologa Vocacional III]

-Sexto Informtica-

NIVELES DE SEGURIDAD INFORMTICA

El estndar de niveles de seguridad ms utilizado
internacionalmente es el TCSEC Orange Book,
desarrollado en 1983 de acuerdo a las normas de
seguridad en computadoras del Departamento de
Defensa de los Estados Unidos. Los niveles
describen diferentes tipos de seguridad del
Sistema Operativo y se enumeran desde el
mnimo grado de seguridad al mximo. Estos
niveles han sido la base de desarrollo de
estndares europeos (ITSEC/ITSEM) y luego
internacionales (ISO/IEC). Cabe aclarar que cada
nivel requiere todos los niveles definidos
anteriormente: as el subnivel B2 abarca los
subniveles B1, C2, C1 y el D. Los TCSEC tienen
por objetivo aplicar la poltica de seguridad del
Departamento de Defensa estadounidense. Esta

poltica se preocupa fundamentalmente del

mantenimiento de la confidencialidad de la
informacin clasificada a nivel nacional. Los
TCSEC definen siete conjuntos de criterios de
evaluacin denominados clases (D, C1, C2, B1,
B2, B3 y A1).
Cada clase de criterios cubre cuatro aspectos de
la
evaluacin:
poltica
de
seguridad,
imputabilidad, aseguramiento y documentacin.
Los criterios correspondientes a estas cuatro
reas van ganando en detalle de una clase a otra,
constituyendo una jerarqua en la que D es el
nivel ms bajo y A1 l ms elevado.
Todas las clases incluyen requisitos tanto de
funcionalidad como de confianza.

LIBRO NARANJA (ORANGE BOOK)

El Libro Naranja fue desarrollado por el NCSC (National Computer
Security Center) de la NSA (National Security Agency) del
Departamento de Defensa de EEUU. Actualmente, la
responsabilidad sobre la seguridad de SI la ostenta un organismo
civil, el NIST (National Institute of Standards and Technology). El
Libro Naranja es consecuencia de la creciente conciencia de la
seguridad por parte el gobierno de los Estados Unidos y de la
industria, ambos con la creciente necesidad de estandarizar el
propsito y el uso de las computadoras por el gobierno federal. El
Libro Naranja define cuatro extensas divisiones jerrquicas de
seguridad para la proteccin. Se tienen seis requisitos
fundamentales, los cuales se derivan de esta declaracin bsica;
cuatro de ellos parten de la necesidad de proporcionar un control de
acceso a la informacin y los dos restantes de cmo puede
obtenerse una seguridad demostrable, logrando as un sistema
informtico confiable.
Requisito 1 - POLTICA DE SEGURIDAD - Debe
existir una poltica de seguridad explcita y bien
definida reforzada por el sistema. Identificados
los eventos y los objetos, debe haber un conjunto
de reglas que son utilizadas por el sistema para
determinar si un evento dado se puede permitir
para acceder a un objeto especfico. Los
sistemas informticos de inters deben hacer
cumplir una poltica obligatoria de seguridad, en
la cual puedan implementarse eficientemente
reglas del acceso para manejo de informacin
sensitiva (p.e. clasificaciones)
estas reglas
deben de incluir requisitos tales como: Ninguna
persona que carezca de los permisos apropiados
obtendr el acceso a la informacin clasificada.
Adems, los controles de seguridad discrecional
se requieren para asegurar que solamente los

usuarios o los grupos seleccionados de usuarios

puedan obtener el acceso a los datos.(p.e.,
basarse en una necesidad de conocimientos
especficos).
Requisito 2 - MARCAS - El control de acceso por
etiquetas debe de estar asociado a los objetos.
Para controlar el acceso a la informacin
almacenada en una computadora, segn las
reglas de una poltica obligada de seguridad,
debe de ser posible el marcar cada objeto con
uno
una
etiqueta
que
identifique
confiablemente el nivel de la sensibilidad del
objeto (p.e., clasificacin), y/o los modos de
obtener acceso y acordar quien puede tener
acceso potencial al objeto.

21

[Tecnologa Vocacional III]

-Sexto Informtica-

Requisito 3 - IDENTIFICACIN - los eventos

individuales deben de ser identificados. Cada
acceso a la informacin debe ser registrado
teniendo como base quin est teniendo acceso
a la informacin y qu autorizacin posee para
ocupar cierta clase de informacin. La
informacin de la identificacin y la autorizacin
debe ser administrada con seguridad por el
sistema informtico y asociar cierta seguridad a
cada elemento activo que realice una cierta
accin relevante en el sistema.
Requisito 4 - RESPONSABILIDAD - Las
auditorias de la informacin deben ser
selectivamente guardadas y protegidas de las
acciones que puedan afectar la seguridad y de
esta forma poder rastrear al responsable. Un
sistema confiable debe tener la capacidad de
registrar la ocurrencia de acontecimientos
relevantes sobre seguridad en una bitcora
auditable. Adems de poseer la capacidad de
seleccionar los eventos a auditar para ser
registrados, es necesario para reducir al mnimo
el costo de la revisin y permitir un anlisis
eficiente. Este tipo de registros o bitcoras, deben
de estar protegidos contra la modificacin y la
destruccin no autorizada, y deben permitir la
deteccin y la investigacin posterior de las
violaciones de seguridad.

independientemente para proporcionar una

seguridad suficiente que el sistema haga cumplir
los requisitos 1 a 4 mencionados anteriormente.
Para asegurar que los requisitos de poltica de
seguridad,
marcas,
identificacin,
y
responsabilidad de la seguridad son hechos
cumplir por un sistema de cmputo, deben ser
identificados como una coleccin unificada de
hardware y software que controle y ejecute esas
funciones. Estos mecanismos son tpicamente
incluidos en el sistema operativo y se disean
para realizar las tareas asignadas de una manera
segura. La base para confiar en tales
mecanismos del sistema operativo, radica en su
configuracin operacional, la cual debe ser
claramente documentada a fin de hacer posible el
examinar independientemente los eventos para
su evaluacin.
Requisito 6 - PROTECCIN CONTINUA - los
mecanismos de seguridad que hacen cumplir
estos requisitos bsicos, se deben de proteger
continuamente contra cambios no autorizados
o modificaciones que traten de alterarlos. Ningn
sistema de cmputo puede ser considerado
verdaderamente seguro si los mecanismos que
hacen cumplir las polticas de seguridad, estn
sujetos a modificaciones no autorizadas. El
requisito
de
proteccin
continua
tiene
implicaciones directas a travs del ciclo de vida
de los sistemas.

Requisito 5 - ASEGURAMIENTO - el sistema

informtico debe contener los mecanismos de
hardware/software que puedan ser evaluados

Propsito del libro naranja: de acuerdo con el texto mismo, el criterio de evaluacin se desarrolla con 3
objetivos bsicos:

Medicin: Para proporcionar de elementos cuantificables al Departamento de Defensa (DoD, por sus
siglas en ingls: Departament of Defense) con los cuales poder evaluar el grado de confianza que se
puede tener en los sistemas informticos seguros, para el proceso de clasificacin de informacin
sensitiva. El proveer a los usuarios con un criterio con el cual se evale la confianza que se
puede tener en un sistema de cmputo para el procesamiento de la seguridad o clasificacin de
informacin sensitiva. Por ejemplo, un usuario puede confiar que un sistema B2 es ms seguro que un
sistema C2.
Direccin: Para proporcionar un estndar a los fabricantes en cuanto a las caractersticas de
seguridad que deben de implementar en sus productos nuevos y planearla con anticipacin, para
aplicarla en sus productos comerciales y as ofrecer sistemas que satisfacen requisitos de seguridad
(con nfasis determinado en la prevencin del acceso de datos) para las aplicaciones sensitivas.
Adquisicin: El proporcionar las bases para especificar los requerimientos de seguridad en
adquisiciones determinadas. Ms que una especificacin de requerimientos de seguridad, y tener
vendedores que respondan con una gama de piezas. El libro naranja proporciona una va clara de
especificaciones en un juego coordinado de funciones de seguridad. Un cliente puede estar seguro
que el sistema que va a adquirir fue realmente verificado para los distintos grados de seguridad. Las
categoras de seguridad del DoD van desde D (Proteccin Mnima) hasta A (Proteccin Verificada).

22

[Tecnologa Vocacional III]

-Sexto Informtica-

A continuacin se presenta un breve resumen las caractersticas de cada una de estas categoras y los
niveles que tiene cada una.
NIVEL D
Este nivel contiene slo una divisin y est
reservada para sistemas que han sido evaluados
y no cumplen con ninguna especificacin de
seguridad. Sin sistemas no confiables, no hay
proteccin para el hardware, el sistema operativo

es inestable y no hay autentificacin con

respecto a los usuarios y sus derechos en el
acceso a la informacin. Los sistemas operativos
que responden a este nivel son MS-DOS y
System 7.0 de Macintosh.

C- PROTECCIN DISCRECIONAL
Las clases en esta divisin proporcionan una Proteccin discrecional (necesidad de - identificacin) y, a
travs de inclusin de capacidades de auditora, exige la responsabilidad de los usuarios de las acciones
que realiza. La proteccin discrecional se aplica a una Base de Computadoras Confiables (TCB, por sus
siglas en ingls: Trusted Computers Bases) con proteccin de objetos optativos (p.e. archivo, directorio,
dispositivos, etc.).
NIVEL C1: PROTECCIN DISCRECIONAL

Se requiere identificacin de usuarios que

permite el acceso a distinta informacin. Cada
usuario puede manejar su informacin privada y
se hace la distincin entre los usuarios y el
administrador del sistema, quien tiene control
total de acceso. Muchas de las tareas cotidianas
de administracin del sistema slo pueden ser
realizadas por este "sper usuario"; quien tiene
gran responsabilidad en la seguridad del mismo.
A continuacin se enumeran los requerimientos
mnimos que debe cumplir la clase C1:

Acceso de control discrecional: Distincin

entre usuarios y recursos. Se podrn definir
grupos de usuarios (con los mismos
privilegios) y grupos de objetos (archivos,
directorios, disco) sobre los cuales podrn
actuar usuarios o grupos de ellos.
Identificacin y Autentificacin: Se requiere
que un usuario se identifique antes de
comenzar a ejecutar acciones sobre el
sistema. El dato de un usuario no podr ser
accedido por un usuario sin autorizacin o
identificacin.

Los requisitos mnimos para los sistemas con asignacin de la clase C1 son:

Proteccin de archivos optativa, por ejemplo

Control de Listas de Acceso (ACL3s),
Proteccin a Usuario/Grupo/Pblico.
Usualmente para usuarios que estn todos
en el mismo nivel de seguridad.
Proteccin de la contrasea y banco de
datos seguro de autorizaciones (ADB4).
Proteccin del modo de operacin del
sistema. Verificacin de Integridad del TCB.

Documentacin de Seguridad del Usuario.

Documentacin de Seguridad de la
Administracin del Sistema.
Documentacin para Comprobacin de la
Seguridad. Diseo de documentacin de
TCB.
Tpicamente para usuarios en el mismo nivel
de seguridad. Ejemplo de estos sistemas son
las primeras versiones de Unix.

NIVEL C2: PROT. ACCESO CONTROLADO

Este subnivel fue diseado para solucionar las
debilidades del C1. Cuenta con caractersticas
adicionales que crean un ambiente de acceso
controlado. Se debe llevar una auditoria de
accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir an ms el que
los usuarios ejecuten ciertos comandos o tengan
acceso a ciertos archivos, permitir o denegar

datos a usuarios en concreto, con base no slo

en los permisos, sino tambin en los niveles de
autorizacin. Requiere que se audite el sistema.
Esta auditora es utilizada para llevar registros de
todas las acciones relacionadas con la seguridad,
como las actividades efectuadas por el
administrador del sistema y sus usuarios.

23

[Tecnologa Vocacional III]

-Sexto Informtica

La auditora requiere de autenticacin adicional

para estar seguros de que la persona que ejecuta
el comando es quien dice ser. Su mayor
desventaja reside en los recursos adicionales
requeridos por el procesador y el subsistema de
discos. Los usuarios de un sistema C2 tienen la
autorizacin para realizar algunas tareas de
administracin del sistema sin necesidad de ser
administradores. Permite llevar mejor cuenta de
las tareas relacionadas con la administracin del
sistema, ya que es cada usuario quien ejecuta el
trabajo y no el administrador del sistema.
Los siguientes son requisitos mnimos para los
sistemas con asignacin de clase (C2):

La proteccin de objetos puede estar con

base al usuario, ej. De un ACL o una base de
datos del administrador.
La autorizacin para accesar slo puede ser
asignada por usuarios autorizados.
Proteccin de rehso de objetos (p.e. para
evitar
reasignacin de permisos de
seguridad de objetos borrados).
Identificacin obligatoria y procedimientos de
autorizacin para los usuarios, p.e.
contraseas.
Auditoria de eventos de seguridad.
Proteccin del modo de operacin del
sistema.
Agrega proteccin para autorizaciones y
auditora de datos.

B- PROTECCIN OBLIGATORIA
La divisin B especifica que el sistema de
proteccin del TCB debe ser obligatorio, no solo
discrecional. La nocin de un TCB que preserve
la integridad de etiquetas de sensibilidad de la
informacin y se utilizan para hacer cumplir
un conjunto de reglas obligatorias del control de
acceso, es un requisito importante en esta
divisin. Los sistemas en esta divisin deben
llevar las etiquetas de sensibilidad en las

estructuras de datos importantes del sistema. El

desarrollador del sistema tambin debe
proporcionar un modelo de poltica de seguridad
en el cual se basa el TCB y equipar por medio de
una serie de especificaciones al TCB.
Evidentemente debe ser proporcionada una
demostracin que sirva para aclarar el concepto
del monitor de referencia y su forma de
implementarlo.

NIVEL B1: SEGURIDAD ETIQUETADA

Este subnivel, es el primero de los tres con que
cuenta el nivel B. Soporta seguridad multinivel,
como la secreta y ultra secreta. Se establece que
el dueo del archivo no puede modificar los
permisos de un objeto que est bajo control de
acceso obligatorio. A cada objeto del sistema
(usuario, dato, etc.) se le asigna una etiqueta, con
un nivel de seguridad jerrquico (alto secreto,
secreto, reservado, etc.) y con unas categoras
(contabilidad, nminas, ventas, etc.). Cada
usuario que accede a un objeto debe poseer un
permiso expreso para hacerlo y viceversa.
Tambin se establecen controles para limitar la
propagacin de derecho de accesos a los

distintos objetos. Los siguientes son los

requisitos mnimos para los sistemas con
asignaron de grado de la clase B1:
Seguridad obligatoria y acceso por etiquetas
a todos los objetos, ej. archivos, procesos,
dispositivos, etc.
Verificacin de la Integridad de las etiquetas.
Auditoria de objetos Etiquetados.
Control de acceso obligatorio.
Habilidad de especificar el nivel de seguridad
impreso en salidas legibles al humano (ej.
impresiones.).

NIVEL B2: PROTECCIN ESTRUCTURADA

Requiere que se etiquete cada objeto de nivel
superior por ser padre de un objeto inferior,
Proteccin Estructurada es la primera que
empieza a referirse al problema de un objeto a un
nivel ms elevado de seguridad en comunicacin
con otro objeto a un nivel inferior. El sistema es
capaz de alertar a los usuarios si sus condiciones
de accesibilidad y seguridad son modificadas; y

el administrador es el encargado de fijar los

canales de almacenamiento y ancho de banda a
utilizar por los dems usuarios. Los siguientes
son requisitos mnimos para los sistemas con
asignacin de grado de la clase B2:
Notificacin de cambios del nivel de
seguridad que afecten interactivamente a
los usuarios.
24

[Tecnologa Vocacional III]

-Sexto Informtica

Etiquetas de dispositivos jerrquicas.

Acceso obligatorio sobre todos los objetos y
dispositivos.
Rutas Confiables de comunicaciones entre
usuario y sistema.
Rastreo de los canales secretos de
almacenamiento.

Modo de operacin del sistema ms firme en

multinivel en unidades independientes.
Anlisis de canales seguros. Comprobacin
de la seguridad mejorada. Modelos formales
de TCB.
Versin, actualizacin y anlisis de parches y
auditoria. Un ejemplo de estos sistemas
operativos es el Honeywell Multics.

NIVEL B3: DOMINIOS DE SEGURIDAD

Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de
memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de
objetos de diferentes dominios de seguridad. Todas las estructuras de seguridad deben ser lo
suficientemente pequeas como para permitir anlisis y testeos ante posibles violaciones.
Este nivel requiere que la Terminal del usuario se conecte al sistema por medio de una conexin segura.
Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Los siguientes son requisitos mnimos para los sistemas con asignacin de un grado de clase B3:

ACLs adicionales basado en grupos e identificadores.

Rutas de acceso confiables y autentificacin.
Anlisis automtico de la seguridad.
Modelos ms formales de TCB.
Auditora de eventos de seguridad.
Recuperacin confiable despus de baja del sistema y documentacin relevante.
Cero defectos del diseo del TCB, y mnima ejecucin de errores.
PROTECCIN VERIFICADA

Esta divisin se caracteriza por el uso de mtodos formales para la verificacin de seguridad y as garantizar
que los controles de seguridad obligatoria y discrecional empleados en el sistema pueden proteger con
eficacia la informacin clasificada o sensitiva almacenada o procesada por el sistema. Se requiere de
amplia documentacin para demostrar que el TCB resuelve los requisitos de seguridad en todos los
aspectos del diseo, desarrollo e implementacin
NIVEL A: PROTECCIN VERIFICADA
agrega ningunas caractersticas o requisitos
Es el nivel ms elevado, incluye un proceso de
arquitectnicos adicionales de la poltica de
diseo, control y verificacin, mediante mtodos
seguridad. La caracterstica que distingue los
formales (matemticos) para asegurar todos los
sistemas en esta clase es el anlisis derivado de
procesos que realiza un usuario sobre el sistema.
tcnicas formales de especificacin y la
Para llegar a este nivel de seguridad, todos los
verificacin del diseo, y el alto grado de
componentes de los niveles inferiores deben
confiabilidad que resulta de la correcta
incluirse. El diseo requiere ser verificado de
implementacin del TCB.
forma matemtica y tambin se deben realizar
anlisis de canales encubiertos y de distribucin
Esta garanta se desarrolla naturalmente,
confiable. El software y el hardware son
comenzando con un modelo formal de la poltica
protegidos para evitar infiltraciones ante traslados
de la seguridad y una especificacin formal de
alto nivel (FTLS, por sus siglas en ingls: Formal
o movimientos del equipamiento.
Top Level Specification) del diseo.
Se deben de cubrir todos los requisitos de B3 ms
otros criterios adicionales:
Independiente del lenguaje determinado de la
especificacin o sistema de la verificacin usado,
Los sistemas en la clase (A1) son funcionalmente
hay cinco criterios importantes para la verificacin
equivalentes a los de la clase B3 en que no se
del diseo de la clase (A1).
25

[Tecnologa Vocacional III]

-Sexto Informtica-

Un modelo formal de la poltica de seguridad

debe ser claramente identificado y documentar,
incluyendo una prueba matemtica que el modelo
es constante con sus axiomas y es suficiente para
soportar la poltica de la seguridad.

informales, que correspondan a los elementos del

TCB.
El FTLS debe expresar un mecanismo unificado
de proteccin, necesario para satisfacer la
poltica de seguridad, y todos los elementos de
este mecanismo de proteccin deben estar
asociados a los elementos del TCB.

Un FTLS debe ser proporcionado que incluya las

definiciones abstractas de las funciones que el
TCB se realiza y de los mecanismos de la
dotacin fsica y/o de los firmwares que se utilizan
para utilizar dominios separados de la ejecucin.
Se debe demostrar que el FTLS del TCB es
constante y consistente con el modelo por
tcnicas formales en lo posible (es decir, donde
existen las herramientas de verificacin) y las
informales de otra manera.

Deben de
utilizarse tcnicas de anlisis
formal para identificar y analizar los canales
secretos. Las tcnicas informales se pueden
utilizar para identificar los canales secretos de
sincronizacin. La continua existencia de canales
secretos identificados en el sistema debe ser
justificada.
A2 en adelante: la propuesta hecha para los
ms altos niveles de seguridad se denomina
como A2, aunque sus requerimientos an no
han sido definidos formalmente.

La implementacin del TCB (p.e., en Hardware,

firmware, y software) debe mostrar informalmente
que es consistente con el FTLS. Los elementos
del FTLS deben ser mostrados, usando tcnicas

La figura siguiente compara las clases de evaluacin del libro naranja, mostrando las caractersticas
requeridas para cada clase y en trminos generales, como se incrementan los requerimientos de clase a
clase.
Significado de los claves
NR
R
NTR

= No requerido para esta clase.

= Requerimiento nuevo o mejorado para esta clase
= No se tienen requerimientos adicionales para esta clase
C1

C2

B1

B2

NTR

NTR

NTR

Reutilizacin de Objetos

NR

NTR

NTR

NTR

NTR

Etiquetas

NR

NR

NTR

NTR

Integridad de Etiquetas

NR

NR

NTR

NTR

NTR

Exportacin de informacin etiquetada

NR

NR

NTR

NTR

NTR

Exportacin de Dispositivos multinivel.

NR

NR

NTR

NTR

NTR

Exportacin de Dispositivos de nivel nico

NR

NR

NTR

NTR

NTR

Etiquetado de salidas legibles a la persona

NR

NR

NTR

NTR

NTR

Etiquetas sensitivas de eventos

NR

NR

NR

NTR

NTR

Dispositivos etiquetados

NR

NR

NR

NTR

NTR

Control de acceso obligatorio

NR

NR

NTR

NTR

Identificacin y autentificacin

NTR

NTR

NTR

Rutas seguras

NR

NR

NR

NTR

Auditoria

NR

NTR

Arquitectura del sistema

NTR

Integridad del sistema

NTR

NTR

NTR

NTR

NTR

Control de acceso discrecional

26

B3

A1

[Tecnologa Vocacional III]

-Sexto Informtica-

Diseo de especificaciones y verificacin

NR

NR

Anlisis de canales secretos

NR

NR

NR

Facilidad de administracin de la seguridad

NR

NR

NR

NTR

Administracin de configuracin

NR

NR

NR

NTR

Recuperacin confiable

NR

NR

NR

NR

NTR

Distribucin confiable

NR

NR

NR

NR

NR

Gua del usuario sobre caractersticas de seguridad

NTR

NTR

NTR

NTR

NTR

Facilidades del manual de seguridad

NTR

Pruebas de documentacin

NTR

NTR

NTR

Diseo de documentacin

NTR

Pruebas de seguridad

Evaluacin de clases y ejemplo de sistemas:

Nivel
D

Clase

C1

C2
B

B1

Nombre

Ejemplo

Proteccin Mnima
Proteccin de Seguridad
discrecional

Sistemas operativos bsicos: MS-DOS

IBM MVS/RACF
UNIX ordinaria, que no ha sido enviada a una evaluacin formal

Proteccin de Acceso
Controlado

Computer Associates International: ACF/2/MVS

Proteccin de seguridad por

AT&T System V/MLS UNISIS, OS 1100, SecuryWare: CMW+ IBM

MVS/ESA

etiquetas

Digital Equipment Corporation: VAX/VMS 4.3 y HP: MPE V/E

Honeywell Information System: Multics

B2

Proteccin Estructurada

B3
A1

Proteccin por Dominios

Honeywell Federal System XTS-200

Proteccin Verificada

Honeywell Information System SCOMP Boeing Aerospace : SNS

Trusted Information System XENIX

A

27

[Tecnologa Vocacional III]

-Sexto Informtica-

ACTIVIDAD DE INDICADOR
Instrucciones: Aplica las funciones de los programas de seguridad en la creacin de
producciones de proteccin. Proceda a rellenar en el siguiente cuadro, los niveles de
seguridad que posee como ente fsico de proteccin.
C1
Control de acceso discrecional
Reutilizacin de Objetos
Etiquetas
Integridad de Etiquetas
Exportacin de informacin etiquetada
Exportacin de Dispositivos multinivel.
Exportacin de Dispositivos de nivel nico
Etiquetado de salidas legibles a la persona
Etiquetas sensitivas de eventos
Dispositivos etiquetados
Control de acceso obligatorio
Identificacin y autentificacin
Rutas seguras
Auditoria
Arquitectura del sistema
Integridad del sistema
Pruebas de seguridad
Diseo de especificaciones y verificacin
Anlisis de canales secretos
Facilidad de administracin de la seguridad
Administracin de configuracin
Recuperacin confiable
Distribucin confiable
Gua del usuario sobre caractersticas de seguridad
Facilidades del manual de seguridad
Pruebas de documentacin
Diseo de documentacin

28

C2

B1

B2

B3

A1

[Tecnologa Vocacional III]

-Sexto Informtica-

DELITOS INFORMTICOS
INFORMACIN Y DELITO
Entre el Derecho y la Informtica se podran apreciar dos tipos de interrelaciones. Si se toma como enfoque
el aspecto netamente instrumental, se est haciendo referencia a la informtica jurdica. Pero al considerar
a la informtica como objeto del Derecho, se hace alusin al Derecho de la Informtica o simplemente
Derecho Informtico.
La ciberntica juega un papel bastante importante en estas relaciones establecidas en el prrafo anterior.
Por cuanto sabemos que la ciberntica es la ciencia de las ciencias, y surge como necesidad de obtener
una ciencia general que estudie y trate la relacin de las dems ciencias.
De esta manera, tenemos a la ciencia informtica y por otro lado a la ciencia del derecho; ambas disciplinas
interrelacionadas funcionan ms eficiente y eficazmente, por cuanto el derecho en su aplicacin, es
ayudado por la informtica; pero resulta que sta debe de estar estructurada por ciertas reglas y criterios
que aseguren el cumplimiento y respeto de las pautas informticas; as pues, nace el derecho informtico
como una ciencia que surge a raz de la ciberntica, como una ciencia que trata la relacin derecho e
informtica desde el punto de vista del conjunto de normas, doctrina y jurisprudencia, que van a establecer,
regular las acciones, procesos, aplicaciones, relaciones jurdicas, en su complejidad, de la informtica.
Pero del otro lado encontramos a la informtica jurdica que ayudada por el derecho informtico hace vlida
esa cooperacin de la informtica al derecho. En efecto, la informtica no puede juzgarse en su simple
exterioridad, como utilizacin de aparatos o elementos fsicos electrnicos, pura y llanamente; sino que, en
el modo de proceder se crean unas relaciones inter subjetivas de las personas naturales o jurdicas y de
entes morales del Estado, y surgen entonces un conjunto de reglas tcnicas conectadas con el Derecho,
que vienen a constituir medios para la realizacin de sus fines, tica y legalmente permitidos; creando
principios y conceptos que institucionalizan la Ciencia informtica, con autonoma propia.
Constituyen el Derecho Informtico y la Informtica Jurdica verdaderas ciencias?
Para contestar esta pregunta es necesario hacer un anlisis de los conceptos: Ciencia, Informtica jurdica
y Derecho Informtico.
QU ES EL DERECHO INFORMTICO O DERECHO DE LA INFORMTICA?
El derecho informtico es la otra cara de la moneda. En esta moneda encontramos por un lado a la
informtica jurdica, y por otro entre otras disciplinas encontramos el derecho informtico; que ya no se
dedica al estudio del uso de los aparatos informticos como ayuda al derecho, sino que constituye el
conjunto de normas, aplicaciones, procesos, relaciones jurdicas que surgen como consecuencia de la
aplicacin y desarrollo de la informtica. Es decir, que la informtica en general desde este punto de vista
es objeto regulado por el derecho.
Ahora bien, la informtica jurdica constituye una ciencia que forma parte del mbito informtico,
demostrando de esta manera que la informtica ha penetrado en infinidad de sistemas, instituciones,
etctera; y prueba de ello es que ha penetrado en el campo jurdico para servirle de ayuda y servirle de
fuente. Por lo tanto, la informtica jurdica puede ser considerada como fuente del derecho, criterio propio
que tal vez encuentre muchos tropiezos debido a la falta de cultura informtica que existe en nuestro pas.
Al penetrar en el campo del derecho informtico, se obtiene que tambin constituya una ciencia, que estudia
la regulacin normativa de la informtica y su aplicacin en todos los campos. Pero, cuando se dice derecho
informtico, entonces se analiza si esta ciencia forma parte del derecho como rama jurdica autnoma ; as
como el derecho es una ciencia general integrada por ciencias especficas que resultan de las ramas
jurdicas autnomas, tal es el caso de la civil, penal y contencioso administrativa.

29

[Tecnologa Vocacional III]

-Sexto Informtica-

QU ES UNA CIENCIA?
Segn la Real Academia Espaola la Ciencia es: "El conocimiento cierto de las cosas por sus principios y
causas. Cuerpo de doctrina metdicamente formado y ordenado que constituye un ramo particular del
humano saber. Habilidad, maestra, conjunto de conocimientos en cualquier cosa".
QU ES LA INFORMTICA JURDICA?
Es una ciencia que estudia la utilizacin de aparatos o elementos fsicos electrnicos, como la
computadora, en el derecho; es decir, la ayuda que este uso presta al desarrollo y aplicacin del derecho.
En otras palabras, es ver el aspecto instrumental dado a raz de la informtica en el derecho.
ES EL DERECHO INFORMTICO UNA RAMA DEL DERECHO?
Al respecto, segn encuentros sobre informtica realizadas en Facultades de Derecho en Espaa a partir
de 1.987, organizados por ICADE, siempre surgan problemas a la hora de catalogar al Derecho Informtico
como rama jurdica autnoma del derecho o simplemente si el derecho informtico debe diluirse entre las
distintas ramas del derecho, asumiendo cada una de estas la parte que le correspondiese. Por exigencias
cientficas, por cuanto un conjunto de conocimientos especficos conllevan a su organizacin u ordenacin,
o por razones prcticas que llevan a la separacin del trabajo en vas de su organizacin, se encuentra una
serie de material de normas legales, doctrina, jurisprudencia, que han sido catalogadas y ubicadas en
diversos sectores o ramas. Dicha ordenacin u organizacin del derecho en diversas ramas, tiene en su
formacin la influencia del carcter de las relaciones sociales o del contenido de las normas, entonces se
van formando y delimitando en sectores o ramas, como la del derecho civil, penal, constitucional,
contencioso administrativo..., sin poderse establecer lmites entre una rama jurdica y otra por cuanto, existe
una zona comn a todas ellas, que integran a esos campos limtrofes. De manera que esta agrupacin u
ordenacin en sectores o ramas da origen a determinadas Ciencias Jurdicas, que se encargan de estudiar
a ese particular sector que les compete. Para analizar esta situacin, es necesario mencionar las bases
que sustentan a una rama jurdica autnoma, y al respecto se encuentran:

Una legislacin especificada (campo normativo).

Estudio particularizado de la materia (campo docente).
Investigaciones, doctrinas que traten la materia (campo cientfico).
Instituciones propias que no se encuentren en otras reas del derecho (campo institucional).

Ahora bien, qu sucede con el derecho informtico?: Generalmente el nacimiento de una rama jurdica
surge a consecuencia de cambios sociales reflejados en las soluciones normativas al transcurso de los
aos. Pero resulta que, en el caso de la informtica no hubo ese transcurrir del tiempo en los cambios
sociales, sino que el cambio fue brusco y en poco tiempo, se lograron de esta manera sociedades altamente
informatizadas, que sin la ayuda actual de la informtica colapsaran. No obstante, a pesar de esta situacin
existen pases desarrollados como Espaa en los que s se puede hablar de una verdadera autonoma en
el derecho informtico, haciendo la salvedad de que esta ciencia como rama jurdica apenas nace y se est
desarrollando, pero se est desarrollando como una rama jurdica autnoma. En el caso de Venezuela,
son muy pocos los sustentos que encontramos para el estudio de esta materia, tal vez su aplicacin se
limita fundamentalmente a la aparicin de libros con normativas (doctrina), y comentarios de derecho
informtico.
Resulta, sin embargo, que esta situacin no se acopla con la realidad informtica del mundo, ya que existen
otras figuras como los contratos electrnicos y documentos electrnicos, que llaman a instituciones que
pertenezcan a una rama autnoma del derecho. En este orden de ideas, es menester entonces concluir
que en el derecho informtico si existe legislacin especfica, que protege al campo informtico. Tal vez no
con tanta trayectoria y evolucin como la legislacin que comprenden otras ramas del derecho, pero si
existe en el derecho informtico, legislacin basada en leyes, tratados y convenios internacionales, adems
de los distintos proyectos que se llevan a cabo en los entes legislativos de nuestras naciones, con la
finalidad del control y aplicacin lcita de los instrumentos informticos.

30

[Tecnologa Vocacional III]

-Sexto Informtica-

Con respecto a las instituciones propias que no se encuentren en otras reas del derecho (campo
institucional), se encuentra el contrato informtico, el documento electrnico, el comercio electrnico, entre
otras, que llevan a la necesidad de un estudio particularizado de la materia ( campo docente), dando como
resultado las Investigaciones, doctrinas que traten la materia (campo cientfico). En efecto, se pueden
conseguir actualmente grandes cantidades de investigaciones, artculos, libros, e inclusive jurisprudencia
que est enmarcada en la interrelacin entre el derecho y la informtica, como se ha constatado en los
Congresos Iberoamericanos de Derecho e Informtica.
TIPOS DE DELITOS INFORMTICOS

El constante progreso tecnolgico que

experimenta la sociedad, supone una evolucin
en las formas de delinquir, dando lugar, tanto a la
diversificacin de los delitos tradicionales como a
la aparicin de nuevos actos ilcitos. Esta realidad
ha originado un debate, entorno a la necesidad
de distinguir o no los delitos informticos del
resto. Diversos autores y organismos han
propuesto definiciones de los delitos informticos,
aportando distintas perspectivas y matices al
concepto. De hecho, el Cdigo Penal espaol, no
contempla los delitos informticos como tal.
Aunque los delitos informticos no estn
contemplados como un tipo especial de delito en
la legislacin espaola, existen varias normas
relacionadas con este tipo de conductas:

Ley General de Telecomunicaciones.

Ley de Propiedad Intelectual.
Ley de Firma Electrnica.

Partiendo de esta compleja situacin y tomando

como
referencia
el
Convenio
de
Ciberdelincuencia del Consejo de Europa,
podemos definir los delitos informticos como:
los actos dirigidos contra la confidencialidad, la
integridad y la disponibilidad de los sistemas
informticos, redes y datos informticos, as
como el abuso de dichos sistemas, redes y
datos. Son delitos difciles de demostrar ya que,
en muchos casos, es complicado encontrar las
pruebas.
Son actos que pueden llevarse a cabo de forma
rpida y sencilla. En ocasiones estos delitos
pueden cometerse en cuestin de segundos,
utilizando slo un equipo informtico y sin estar
presente fsicamente en el lugar de los hechos.
Los delitos informticos tienden a proliferar y
evolucionar, lo que complica an ms la
identificacin y persecucin de los mismos.

Ley Orgnica de Proteccin de Datos de

Carcter Personal.
Ley de Servicios de la Sociedad de la
Informacin y Comercio Electrnico.
Reglamento de medidas de seguridad de los
ficheros automatizados que contengan datos
de carcter personal.

La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informticos:
Manipulacin de Datos de Entrada
Este tipo de fraude informtico conocido tambin como sustraccin de datos, representa el delito
informtico ms comn ya que es fcil de cometer y difcil de descubrir.
o Como objeto: cuando se alteran datos de los documentos almacenados en forma computarizada.
o Como instrumento: las computadoras pueden utilizarse tambin para efectuar falsificaciones de
documentos de uso comercial.
Manipulacin de Programas
Consiste en modificar los programas existentes
en el sistema o en insertar nuevos programas o
rutinas. Es muy difcil de descubrir y a menudo
pasa inadvertida debido a que el delincuente
tiene conocimientos tcnicos concretos de
informtica y programacin.
o Fraude
efectuado
por
manipulacin
informtica: aprovecha las repeticiones
automticas de los procesos de cmputo. Es

una tcnica especializada que se denomina

"tcnica del salchichn" en la que "rodajas
muy finas" apenas perceptibles, de
transacciones financieras, se van sacando
repetidamente de una cuenta y se
transfieren a otra. Se basa en el principio de
que 10,66 es igual a 10,65 pasando 0,01
centavos a la cuenta del ladrn n veces.

31

[Tecnologa Vocacional III]

-Sexto Informtica-

Manipulacin de Datos de Salida

Se efecta fijando un objetivo al funcionamiento
del sistema informtico. El ejemplo ms comn es
el fraude del que se hace objeto a los cajeros
automticos mediante la falsificacin de
instrucciones para la computadora en la fase de
adquisicin de datos.
o Sabotaje informtico: es el acto de borrar,
suprimir o modificar sin autorizacin
funciones o datos de computadora con
intencin de obstaculizar el funcionamiento
normal del sistema.
o Acceso no autorizado a servicios y
sistemas informticos: estos accesos se
pueden realizar por diversos motivos, desde
la simple curiosidad hasta el sabotaje o
espionaje informtico.
o Reproduccin
no
autorizada
de
programas informticos de proteccin
legal: esta puede entraar una prdida
econmica sustancial para los propietarios
legtimos. Algunas jurisdicciones han
tipificado como delito esta clase de actividad
y la han sometido a sanciones penales. Al

respecto, se considera, que la reproduccin

no autorizada de programas informticos no
es un delito informtico debido a que el bien
jurdico a tutelar es la propiedad intelectual.
Adicionalmente a estos tipos de delitos
reconocidos, el XV Congreso Internacional de
Derecho ha propuesto todas las formas de
conductas lesivas de la que puede ser objeto la
informacin. Ellas son:
Fraude en el campo de la informtica.
Falsificacin en materia informtica.
Sabotaje informtico y daos a datos
computarizados o programas informticos.
Acceso no autorizado.
Intercepcin sin autorizacin.
Reproduccin no autorizada de un programa
informtico protegido.
Espionaje informtico.
Uso no autorizado de una computadora.
Trfico de claves informticas obtenidas por
medio ilcito.
Distribucin de virus o programas delictivos.

DELINCUENTE Y VICTIMA
SUJETO ACTIVO
Son aquellas que poseen ciertas caractersticas
que no presentan el denominador comn de los
delincuentes, esto es, los sujetos activos tienen
habilidades para el manejo de los sistemas
informticos y generalmente por su situacin
laboral se encuentran en lugares estratgicos
donde se maneja informacin de carcter
sensible, o bien son hbiles en el uso de los
sistemas informatizados, aun cuando, en muchos
de los casos, no desarrollen actividades laborales
que faciliten la comisin de este tipo de delitos.
Con el tiempo se ha podido comprobar que los

autores de los delitos informticos son muy

diversos y que lo que los diferencia entre s es la
naturaleza de los delitos cometidos. El nivel tpico
de aptitudes del delincuente informtico es tema
de controversia ya que para algunos el nivel de
aptitudes no es indicador de delincuencia
informtica en tanto que otros aducen que los
posibles delincuentes informticos son personas
listas, decididas, motivadas y dispuestas a
aceptar un reto tecnolgico, caractersticas que
pudieran encontrarse en un empleado del sector
de procesamiento de datos.

Sin embargo, teniendo en cuenta las

caractersticas ya mencionadas de las personas
que cometen los delitos informticos, estudiosos
en la materia los han catalogado como delitos de
"cuello blanco" trmino introducido por primera
vez por el criminlogo norteamericano Edwin
Sutherland en el ao de 1943. La "cifra negra" es
muy alta; no es fcil descubrirlos ni sancionarlos,
en razn del poder econmico de quienes los
cometen, pero los daos econmicos son

altsimos; existe una gran indiferencia de la

opinin pblica sobre los daos ocasionados a la
sociedad. A los sujetos que cometen este tipo de
delitos no se considera delincuentes, no se los
segrega, no se los desprecia, ni se los
desvaloriza; por el contrario, es considerado y se
considera a s mismo "respetable". Estos tipos de
delitos, generalmente, son objeto de medidas o
sanciones de carcter administrativo y no
privativo de la libertad.

32

[Tecnologa Vocacional III]

-Sexto Informtica-

SUJETO PASIVO
Este, la vctima del delito, es el ente sobre el cual
recae la conducta de accin u omisin que realiza
el sujeto activo. Las vctimas pueden ser
individuos, instituciones crediticias, instituciones
militares, gobiernos, etc. que usan sistemas
automatizados de informacin, generalmente
conectados a otros. El sujeto pasivo del delito que
nos ocupa, es sumamente importante para el
estudio de los delitos informticos, ya que
mediante l podemos conocer los diferentes
ilcitos
que
cometen
los
delincuentes
informticos.

potenciales conozcan las correspondientes

tcnicas de manipulacin, as como sus formas
de encubrimiento. En el mismo sentido, podemos
decir que con:

Es imposible conocer la verdadera magnitud de

los delitos informticos, ya que la mayor parte no
son descubiertos o no son denunciados a las
autoridades responsables y si a esto se suma la
falta de leyes que protejan a las vctimas de estos
delitos; la falta de preparacin por parte de las
autoridades para comprender, investigar y aplicar
el tratamiento jurdico adecuado; el temor por
parte de las empresas de denunciar este tipo de
ilcitos por el desprestigio que esto pudiera
ocasionar a su empresa y las consecuentes
prdidas econmicas, trae como consecuencia
que las estadsticas sobre este tipo de conductas
se mantenga bajo la llamada "cifra negra".

La divulgacin de las posibles conductas

ilcitas
derivadas
del
uso
de
las
computadoras;

Alertas a las potenciales vctimas, para que

tomen las medidas pertinentes a fin de
prevenir la delincuencia informtica;

Creacin de una adecuada legislacin que

proteja los intereses de las vctimas;

Una eficiente preparacin por parte del

personal encargado de la procuracin,
administracin y la imparticin de justicia
para atender e investigar estas conductas
ilcitas; se estara avanzando mucho en el
camino de la lucha contra la delincuencia
informtica, que cada da tiende a expandirse
ms.

Adems, se debe destacar que los organismos

internacionales han adoptado resoluciones
similares en el sentido de que educando a la
comunidad de vctimas y estimulando la denuncia
de los delitos, se promovera la confianza pblica
en la capacidad de los encargados de hacer
cumplir la ley y de las autoridades judiciales para
detectar, investigar y prevenir los delitos
informticos.

Por lo anterior, se reconoce que para conseguir

una prevencin efectiva de la criminalidad
informtica se requiere, en primer lugar, un
anlisis objetivo de las necesidades de
proteccin y de las fuentes de peligro.
Una proteccin eficaz contra la criminalidad
informtica presupone ante todo que las vctimas

LEGISLACIN NACIONAL
REPBLICA DE GUATEMALA

Cdigo Penal. Decreto 17/73 de 5 de julio de

1973. Reformas: El Decreto nm. 21/2006,
reforma el artculo 398 y 396, Decreto nm.
14/2005 por el que se reforma el artculo 194,
Decreto nm. 57/2002, Decreto nm.
27/2002, Decreto nm. 23/2001, Decreto
nm. 30/2001, Decreto nm. 58/90.
La Constitucin de 1985
incorpor la
proteccin
de
datos
personales
informatizados. Asimismo recoge el derecho
de acceso, unido a los de rectificacin o
cancelacin en su artculo 31. Reforma de
1993.

33

Ley de Patentes de Invencin, Modelos de

Utilidad, Dibujos y Diseos Industriales,
Decreto Ley 153/85, 30 de diciembre de
1985.
Decreto Nmero 94/1996 del Congreso de la
Repblica, sobre la Ley General de
Telecomunicaciones. Reformado por el
Decreto 115/1997 del Congreso de la
Repblica. (Publicacin Diario de Centro
Amrica, 18 de noviembre de 1996).
Decreto Nmero 115/1997 del Congreso de
la Repblica. Reforma el Decreto 94/1996
(Publicacin Diario de Centro Amrica, 21 de
noviembre de 1997).

Ley de Derecho de Autor y Derechos

Conexos de 28 de abril de 1998, Decreto
33/98 del Congreso de la Repblica.
Ley de Propiedad Industrial. Decreto 57/2000
de 31 de agosto del 2000.
Decreto Nmero 56/2000 del Congreso de la
Repblica, publicado en el Diario Oficial el 27
de septiembre del 2000. Modifica, Adiciona y
Deroga artculos de la Ley de Derecho de
Autor y Derechos Conexos de 28 de abril de
1998.
Decreto Nmero 33/1998 del Congreso de la
Repblica, de 1 de noviembre de 2000, sobre
la Ley de Derecho de autor y Derechos
conexos.

Proyecto de Ley para la promocin del

comercio electrnico y proteccin de la firma
digital, de 21 de enero de 2001.
Acuerdo
Gubernativo
n
89/2002.
Reglamento de la Ley de Propiedad Industrial
de 18 de m
Proyecto de Ley para el Reconocimiento de
La Firma Digital de 14 de agosto de 2002.
Proyecto de Ley para el Reconocimiento de
las Comunicaciones y Firmas Electrnicas de
2007.
Ley para el Reconocimiento de las
Comunicaciones y Firmas Electrnicas de 25
de agosto de 2008.

ACTIVIDAD DE INDICADOR
Instrucciones: Identifica los tipos de legislaciones, nacionales como
internacionales en base de criterios, contenidos y sus dimensiones. Escriba en la
parte inferior un reporte de acuerdo a las leyes que rigen en nuestro pas comparada
con lo de otros pases para los casos de delito informtico, consultar, Cdigo Penal.
Decreto 17/73 de 5 de julio de 1973. Reformas, capitulo VII, De los delitos contra el
derecho de autor, la propiedad industrial y delitos informticos, artculos del 274 al
275 y sus incisos.
ACTITUD DEL HACKER
El status y reputacin se gana no mediante la
dominacin de otras personas, no por ser
hermoso/a, ni por tener cosas que las otras
personas desean, sino por donar cosas:
especficamente su tiempo, su creatividad y el
resultado de sus habilidades. Especficamente, el
hackerismo es lo que los antroplogos
denominan "cultura de la donacin". Existen
bsicamente cinco clases de cosas que un
hacker puede hacer para obtener el respeto de
otros hackers:
Lo primero (el aspecto central y ms
tradicional) es escribir programas que los
otros hackers opinen son divertidos y/o tiles,
y donar los fuentes del programa a la cultura
hacker para que sean utilizados. Los ms
reverenciados y con grandes capacidades
para que satisfacen necesidades de largo
alcance, y los donan, de tal manera que
cualquiera pueda utilizarlos (free).
Ayudar a probar y depurar software libre. Son
reconocidas aquellas personas que depuran
los errores del software libre. Es considerado
un buen Beta-Tester aquel que sabe cmo
describir claramente los sntomas, que puede
localizar correctamente los problemas, que
tolera los errores en una entrega apurada, y

que est dispuesto a aplicar unas cuantas

rutinas sencillas de diagnstico.
Recolectar y filtrar informacin til e
interesante y construir pginas Web o
documentos como FAQ (trmino preguntas
frecuentes o preguntas ms frecuentes,
acrnimo del ingls Frequently Asked
Questions) y ponerlos a disposicin de los
dems.
Ayudar a mantener en funcionamiento la
infraestructura. La cultura hacker funciona
gracias al trabajo voluntario. Llevar adelante
este trabajo demuestra mucha dedicacin.
Hacer algo por la cultura hacker en s misma.
Esta cultura no tiene lderes exactamente,
pero tiene hroes culturales, historiadores
tribales y voceros. La bsqueda visible de esa
clase de fama es peligrosa, por lo que la
modestia es siempre recomendada.

AMENAZAS HUMANAS
En el presente slo se tratar de exponer el perfil de la persona encargada de una de las principales,
(publicitariamente), si bien no la mayor amenaza que asechan nuestro sistema informtico; para luego s
entrar en las formas de ataques propiamente dichos.
PATAS DE PALO Y PARCHES
Carta de presentacin:

Se mueven en una delgada e indefinida barrera

que separa lo legal de lo ilegal. Las instituciones
y las multinacionales del software les temen, la
polica los persigue y hay quien los busca para
contratarlos. Se pasean libremente por las
mayores computadoras y redes del mundo sin
que ellas tengan secretos.

Como expresa Cybor, hay quienes los llaman

piratas y delincuentes. Ellos reivindican su
situacin e intentan aclarar las diferencias entre
los distintos clanes del Underground asegurando
que sus acciones se rigen por un cdigo tico.
Alguien asegur que el que no usa su PC para
escribir cartas, lleva un hacker dentro.

Esta afirmacin es una falacia si entendemos

como hacker a un pirata informtico; o quizs
despus de aclarar lo que significa este trmino,
el resultado sea que existan mayores
cuestionamientos que respuestas pero, sin duda,
estos sern de una ndole radicalmente distinta a
la planteada hasta ahora. "La polica quiere creer
que todos los hackers son ladrones. Es una
accin tortuosa y casi insoportable por parte del
sistema judicial, poner a la gente en la crcel,
simplemente porque quieren aprender cosas que
les esta prohibido saber...". La familia es grande,
y el trmino ms conocido es hacker. Pero, qu
son?, quines son?, qu persiguen?,
existen?, cuntos son?, dnde estn?... Los
aos han hecho que esta palabra sea
prcticamente intraducible, dando esto diversos
resultados negativos y casi siempre acusadores
sobre la persona que realiza hacking.
Actualmente el trmino acepta, segn la "jergon"
(Jerga Hacker) hasta siete definiciones y variados
orgenes de la palabra. En el presente se maneja
la etimologa ms ampliamente aceptada en el
Underground digital. La palabra inglesa "hack"
literalmente significa "golpear" o "hachear" y
proviene de los tiempos en que los tcnicos en
telefona "arreglaban" algunas mquinas con un
golpe seco y certero: es decir que estos tcnicos
eran "Hackers" y se dedicaban a "hackear"
mquinas. Estos inocentes golpes no parecen
tener nada en comn con las fechoras que hoy
se les atribuyen. Estos hackers tampoco parecen
ser el estereotipo formado en la actualidad de
ellos: un chico con gruesos lentes, con acn y
ojeroso por estar todo el da delante de su
computadora, vagando por Internet tratando de
esconder su ltimo golpe y gastando cifras
astronmicas en cuentas de telfono que pagar
su vecino, alguien en otro continente o nadie.
Estudiemos historia y veamos los puntos en
comn que hacen que un tcnico en telefona sea
hacker al igual que un chico curioso; y hace que
cada uno de nosotros sea un pirata al fotocopiar
un libro o copiar el ltimo procesador de palabras
del mercado. En el MIT (Massachussets Institute
of Technology) existen diferentes grupos con
intereses especiales, fraternidades y similares
que cada ao intentan reclutar a los nuevos
estudiantes para sus filas. En el otoo de 1958,
durante su primera semana en el MIT, Meter
Samson, que siempre haba estado fascinado por
los trenes y en especial por los metros, fue a ver
la espectacular maqueta que el TMRC (Tech
Model Railroad Club) tena instalada en el Edificio
20 del Instituto, y se qued inmediatamente
prendado de la parte tcnica de la instalacin.

En el TMRC existan dos facciones claramente

diferenciadas: aquellos que se encargaban de
construir los modelos de los trenes, edificios y
paisajes que formaban la parte visible de la
instalacin y; el Subcomit de Seales y Energa
que tena a su cargo el diseo, mantenimiento y
mejora de "el sistema", todo aquello que quedaba
bajo los tableros, haca funcionar los trenes y que
permita controlarlos. El TMRC daba una llave de
sus instalaciones a sus miembros cuando estos
acumulaban 40 horas de trabajo en las
instalaciones, y Samson obtuvo la suya en un fin
de semana. Los miembros del Subcomit de
Seales y Energa no se limitaban a trabajar en
las instalaciones del TMRC, sino que no era
extrao encontrarlos a altas horas de la
madrugada recorriendo edificios y tneles de
servicio intentando averiguar cmo funcionaba el
complejo sistema telefnico del MIT, sistema que
llegaron a conocer mejor que quienes lo haban
instalado. En la primavera de 1959, se dictaba el
primer curso de programacin al que se podan
apuntar alumnos en su primer ao. Samson y
otros miembros del TMRC estaban en l (...). Fue
en aquel entonces, cuando un antiguo miembro
del TMRC y entonces profesor del MIT hizo una
visita al club y le pregunt a los miembros del
Subcomit de Seales y Energa si les apetecera
usar el TX-0. Este era uno de las primeras
computadoras que funcionaban con transistores
en lugar de con lmparas de vaco. El TX-0 no
usaba tarjetas sino que dispona de un teclado en
el que el propio usuario tecleaba sus programas,
que quedaban codificados en una cinta perforada
que luego se introduca en el ordenador. El
programa era entonces ejecutado, y si algo iba
mal, el mismo usuario se poda sentar en la
consola del TX-0 e intentar corregir el problema
directamente usando una serie de interruptores y
controles. Dado que slo se dispona un
equivalente a 9 KB de memoria, era fundamental
optimizar al mximo los programas que se
hacan, por lo que una de las obsesiones
fundamentales de los que lo usaban y se
consideraban hbiles era hacer los programas
tan pequeos como fuera posible, eliminando
alguna instruccin aqu y all, o creando formas
ingeniosas de hacer las cosas. A estos apaos
ingeniosos se les llamaba "hacks" y de ah es de
dnde viene el trmino "Hacker", denominacin
que uno reciba de sus compaeros (...). De esta
historia podemos obtener el perfil principal:
Un hacker es a todas luces, alguien con
profundos conocimientos sobre la tecnologa.
Tiene ansias de saberlo todo, de obtener
conocimiento.

Le gusta (apasiona) la investigacin.

Disfruta del reto intelectual y de rodear las
limitaciones en forma creativa.
Busca la forma de comprender las
caractersticas del sistema estudiado,
aprovechar sus posibilidades y por ltimo
modificarlo y observar los resultados.
Dicen NO a la sociedad de la informacin y SI
a la sociedad informada.
Hoy los hackers se sienten maltratados por la
opinin pblica, incomprendidos por una
sociedad que no es capaz de comprender su
mundo y, paradjicamente, perseguidos por las
fuerzas del orden y por multinacionales que
desean contratarlos. La polica compara su
incursin en una computadora ajena con la de un
ladrn en un domicilio privado; pero para ellos la
definicin valida es: "... no rompemos la cerradura
de la puerta ni les robamos nada de sus casas,

nosotros buscamos puertas abiertas, entramos,

miramos y salimos... eso lo pintes como lo pintes,
no puede ser un delito". La opinin de un experto
en delito informtico, parece coincidir con esta
ltima posicin al decir: "... si un Hacker entra en
un sistema, sin romper puertas y sin modificar los
contenidos no se puede penalizar su actuacin" y
va ms all al afirmar: "...que tampoco sera delito
hacerse con contraseas, siempre y cuando se
demuestre que stas no han sido utilizadas...
pero ser delito, en cambio, el robo de bases de
datos privadas con informacin confidencial y...
tambin es denunciable la "dejadez" que
cometen algunas empresas que disponen de
informacin y datos privados de usuarios y, sin
embargo, no tienen sus sistemas de seguridad
suficientemente preparados para evitar el
robo...".

DEFINICIN DE HACKER
Un Hacker es una persona que est siempre en
una continua bsqueda de informacin, vive para
aprender y todo para l es un reto; no existen
barreras, y lucha por la difusin libre de
informacin (Free Information), distribucin de
software sin costo y la globalizacin de la
comunicacin.

El concepto de hacker, generalmente es

confundido errneamente con los mitos que
existen acerca de este tema:

Un hacker es pirata. Esto no es as ya que los

piratas comercian con la informacin que
obtienen, entre otras cosas, y un verdadero
hacker solo obtiene esa informacin para su
uso personal.
Un hacker es el que entra en los sistemas
ajenos y se dedica a destruir la informacin
almacenada en ellos. El error consiste en que
el que destruye informacin y sistemas
ajenos, no es el hackers sino el Cracker.

Pero entonces veamos que s es un Hacker:

Un verdadero Hacker es curioso y paciente. Si

no fuera as terminaran por hartarse en el
intento de entrar en el mismo sistema una y
otra vez, abandonando el objetivo.
Un verdadero Hacker no se mete en el
sistema para borrarlo todo o para vender lo
que consiga. Quiere aprender y satisfacer su
curiosidad. Esa es la nica finalidad de
introducirse en el sistema. Buscan dentro de

un lugar en el que nunca han estado, exploran

todos los pequeos rincones de un mundo
diferente del que ya conocen y que les aburre.
Por qu destruir algo y perderse el placer de
decir a los dems que hemos estado en un
lugar donde ellos no han estado?
Un Hacker es inconformista, por qu pagar
por una conexin que actualmente cuesta
mucho dinero, y adems es limitada? Por
qu pagar por una informacin que solo van a
utilizar una vez?
Un Hacker es discreto, es decir que cuando
entra en un sistema es para su propia
satisfaccin, no van por ah cantndolo a los
cuatro vientos. La mayora de los casos de
"Hackers" escuchados son en realidad
"Fantasming". Esto quiere decir, que si un
amigo se entera que se ha entrado en cierto
sistema; "el ruido de los canales de
comunicacin" har que se termine sabiendo
que se ha entrado en un sistema cinco veces
mayor, que haba destruido miles de ficheros
y que haba inutilizado el sistema.
Un Hacker disfruta con la exploracin de los
detalles de los sistemas programables y
aprovecha sus posibilidades; al contrario de la
mayora de los usuarios, que prefieren
aprender slo lo imprescindible.
Un Hacker programa de forma entusiasta
(incluso obsesiva), rpido y bien.
Un Hacker es experto en un programa en
particular, o realiza trabajos frecuentemente
usando cierto programa. Por ejemplo "un
Hacker de Unix programador en C".

Los Hackers suelen congregarse. Tiende a

connotar participacin como miembro en la
comunidad global definida como "La Red".
Un Hacker disfruta del reto intelectual de
superar o rodear las limitaciones de forma
creativa.
Antiguamente en esta lista se inclua: Persona
maliciosa que intenta descubrir informacin
sensible: contraseas, acceso a redes, etc.
Pero para este caso en particular los
verdaderos Hackers han optado por el trmino
Cracker y siempre se espera (quizs
intilmente) que se los diferencie.

"Ntese que ninguna definicin define al Hacker

como un criminal. En el mejor de los casos, los
Hackers cambian precisamente la fabricacin de
la informacin en la que se sustenta la sociedad

y contribuyen al flujo de tecnologa. En el peor,

los Hackers pueden ser traviesos perversos o
exploradores curiosos.
Los Hackers NO escriben dainos virus de
computadora. Quienes lo hacen son los
programadores tristes, inseguros y mediocres.
Los virus dainos estn completamente en contra
de la tica de los Hackers".
En el presente se usar la palabra Intruso para
definir a las personas que ingresan a un sistema
sin autorizacin y preservar la palabra Hacker;
evitando producir falsos conceptos que
contribuyan a la confusin aportada por el
amarillismo de la prensa, la mitologa y la
mitomana de algunas personas.

LA CONEXIN HACKER - NERD

Contrariamente al mito popular, no es necesario
ser un nerd para ser un hacker. Ayuda, sin
embargo, y muchos hackers son nerds. Al ser un
marginado social, el nerd puede mantenerse
concentrado en las cosas realmente importantes,
como pensar y hackear. Por esta razn, muchos

hackers han adoptado la etiqueta nerd" e incluso

utilizan el trmino "Geek" como insignia de
orgullo: es una forma de declarar su propia
independencia de las expectativas sociales
normales.

CRACKERS Y PHREAKERS
Los Crackers, en realidad, son hackers cuyas
intenciones van ms all de la investigacin. Es
una persona que tiene fines maliciosos o de
venganza, quiere demostrar sus habilidades pero
de la manera equivocada o simplemente
personas que hacen dao solo por diversin. Los
hackers opinan de ellos que son "... Hackers
mediocres, no demasiados brillantes, que buscan
violar (literalmente "break") un sistema".
Otro personaje en el Underground es el conocido
como Phreaker. El Phreaking, es la actividad por
medio de la cual algunas personas con ciertos
conocimientos y herramientas de hardware y
software, pueden engaar a las compaas
telefnicas para que stas no cobren las
llamadas que se hacen. La realidad indica que lo
Phreakers son Cracker de las redes de
comunicacin. Personas con amplios (a veces
mayor que el de los mismos empleados de las
compaas telefnicas) conocimientos en
telefona. Se dice que el Phreaking es el
antecesor del Hacking ya que es mucho ms
antiguo. Comenz en los albores de la dcada de
los 60s cuando un tal Mark Bernay descubri
como aprovechar un error de seguridad de Bell9

basaba en la utilizacin de los mecanismos para

la realizacin de llamadas gratuitas. Lo que
Bernay descubri, fue que dentro de Bell existan
unos nmeros de prueba que servan para que
los operarios comprobaran las conexiones. Hasta
aqu todos eran simples adolescentes que hacan
llamadas gratuitas a sus padres en otro estado.
La situacin cambi cuando se descubri que
Mama Bell (como suele llamarse a Bell) era un
universo sin explorar y al que se le podra sacar
ms partido que el de unas simples llamadas. Se
comenzaron a
utilizar
ciertos aparatos
electrnicos, los cuales son conocidos como
"Boxes" (cajas). La primera fue la "Blue Box" que
fue hallada en 1961 en el Washington State
College, y era un aparato con una carcasa
metlica que estaba conectada al telfono. Estas
Boxes lo que hacan era usar el nuevo sistema de
Bell (los tonos) para redirigir las llamadas.
Cuando se marcaba un nmero, Bell lo
identificaba como una combinacin de notas
musicales que eran creadas por seis tonos
maestros, los cuales eran los que controlaban
Bell y por lo tanto eran secretas (al menos eso
pretenda y crean los directivos de Bell).

El cmo los Phreakers llegaron a enterarse del

funcionamiento de estos tonos fue algo muy
simple: Bell, orgullosa de su nuevo sistema, lo
public detalladamente en revistas que iban
dirigidas nica y exclusivamente a los operarios
de la compaa telefnica.
Lo que Fusin de las palabras Freak, Phone y
Free: Monstruo de los Telfonos Libres (intento
de traduccin literal) Compaa telefnica
fundada por Alexander Graham Bell sucedi es
que no cayeron en la cuenta de que todo
suscriptor de esa revista recibi tambin en su
casa un ejemplar que narraba el funcionamiento
del nuevo sistema. Al poco tiempo hubo en la
calle variaciones de la Blue Box inicial que fueron
llamadas Red Box y Black Box, la cuales
permitan realizar llamadas gratis desde telfonos
pblicos.
Joe aprendi como potenciar su habilidad para
silbar 2600 Hz y ya con 20 aos era capaz de
producir los 2600 Hz con su boca y silbar los
tonos del nmero con el que quera conectarse.
Otro Phreaker que utilizaba el mtodo de
Engressia, fue John Draper, ms conocido por
Capitn Crunch, que cre un silbato que
regalaban con la marca de cereales Capitn
Crunch, el cual, podra utilizarse como
instrumento para hacer Phreaking. Draper hacia
algo parecido a lo que haca Joe Engressia:
soplaba su silbato y la lnea se quedaba libre.
Muchos Phreakers evolucionaron ms tarde al

Las Blue Boxes no solo servan para realizar

llamadas gratuitas, sino que proporcionaban a
sus usuarios los mismos privilegios que los
operadores de Bell. Lo realmente curioso, y
desastroso para Bell, es que algunas personas
eran capaces de silbar 2600 ciclos (lo cual
significa que la lnea est preparada para recibir
una llamada) de forma completamente natural. El
primer Phreaker que utiliz este mtodo fue Joe
Engressia, quien era ciego. A los 8 aos, y por
azar, silb por el auricular de su telfono cuando
escuchaba un mensaje pregrabado y la llamada
se cort. Realizo esto varias veces y en todas se
le cortaba. La razn es un fenmeno llamado
Talk-Off, que consiste en que cuando alguien
silba y alcanza casualmente los 2600 Hz, la
llamada se corta, como si fuera una Blue Box
orgnica.
Hacking, como es el caso del pionero Mark
Bernay, que bajo el nick de The Midnight Skulker
(El Vigilante de Medianoche) se ri de todos los
fallos de seguridad de muchas empresas. Hoy, el
Hacking y el Phreaking viven en perfecta armona
y en pleno auge con las nuevas tecnologas
existentes. Es difcil delimitar el terreno de cada
uno, ya que un hacker necesitara, tarde o
temprano, hacer Phreaking si desea utilizar la
lnea telefnica mucho tiempo en forma gratuita
y; de la misma forma un Phreaker necesitar del
Hacking si desea conocer en profundidad
cualquier sistema de comunicaciones.

CARDING - TRASHING
Entre las personas que dedicaban sus esfuerzos
a romper la seguridad como reto intelectual hubo
un grupo (con no tan buenas intenciones) que
trabajaba para conseguir una tarjeta de crdito
ajena. As naci:
Carding, es el uso (o generacin) ilegitimo de
las tarjetas de crdito (o sus nmeros),
pertenecientes a otras personas con el fin de

obtener los bienes realizando fraude con ellas.

Se relaciona mucho con el Hacking y el
Cracking, mediante los cuales se consiguen
los nmeros de las tarjetas.
Trashing, que consiste en rastrear en las
papeleras en busca de informacin,
contraseas o directorios.

DESAFOS/HABILIDADES DE HACKER

El mundo est lleno de problemas fascinantes

que esperan ser resueltos.

El esfuerzo requiere motivacin. Los atletas

exitosos obtienen su motivacin a partir de
una clase de placer fsico que surge de
trabajar su cuerpo, al forzarse a s mismos
ms all de sus propios lmites fsicos. De
manera similar, un hacker siente un
estremecimiento de tipo primitivo cuando

resuelve un problema, agudiza

habilidades, y ejercita su inteligencia.

sus

Nadie debera tener que resolver un problema

dos veces.

Los cerebros creativos son un recurso valioso

y limitado. No deben desperdiciarse
reinventando la rueda cuando hay tantos y tan
fascinantes problemas nuevos esperando por
all.

Lo aburrido y lo rutinario es malo.

Los hackers (y las personas creativas en

general) no deberan ser sometidas a trabajos
rutinarios, porque cuando esto sucede
significa que no estn resolviendo nuevos
problemas.

La libertad es buena.

Los hackers son naturalmente antiautoritarias.

Cualquiera que le pueda dar rdenes, puede
hacer que deba dejar de resolver ese
problema con el cual est fascinado.

La actitud no es sustituto para la competencia.

Tener la actitud para ser hacker no alcanza, como

tampoco alcanza para transformarse en un atleta
campen o en estrella del rock. Para
transformarse en hacker necesitar inteligencia,
prctica, dedicacin, y trabajo pesado. Por lo
tanto, debe respetar la competencia en todas sus
formas. El conjunto de habilidades cambia
lentamente a lo largo del tiempo a medida que la
tecnologa crea nuevas tecnologas y descarta
otras por obsoletas. Por ejemplo, hace tiempo, se
inclua la programacin en lenguaje de mquina
y Assembler, y no se hablaba de HTML. Un buen
hacker incluye las siguientes reglas en su
itinerario:

Aprender a programar. Esta es, por supuesto,

la habilidad fundamental del hacker. Se
deber aprender como pensar en los
problemas de programacin de una manera
general, independiente de cualquier lenguaje.
Se debe llegar al punto en el cual se pueda
aprender un lenguaje nuevo en das,
relacionando lo que est en el manual con lo
que ya sabe de antes. Se debe aprender
varios lenguajes muy diferentes entre s. Es
una habilidad compleja y la mayora de los
mejores hackers lo hacen de forma
autodidacta.
Aprender Unix. El paso ms importante es
obtener un Unix libre, instalarlo en una
mquina personal, y hacerlo funcionar. Si bien
se puede aprender a usar Internet sin saber
Unix, nunca se podr ser hacker en Internet
sin conocerlo. Por este motivo, la cultura
hacker actual est centrada fuertemente en
Unix.

Quizs esta sea la pregunta ms escuchada

cuando se habla de hackers y los ataques por
ellos perpetrados (ver Anexo I). Para contestarla
debemos ser conscientes de cada una las
caractersticas de los hackers entre las que se
destacan la paciencia y la perseverancia ante el
desafo planteado. Ser comn ver a algunos de
ellos fisgonear durante meses a la vctima para
luego recin intentar un ataque que adems de
efectivo debe ser invisible.

TICA DEL HACKER: Desde el principio los hackers desarrollaron un cdigo de tica o una serie de
principios que eran tomados como un acuerdo implcito y no como algo escrito o fijo:
I.
II.
III.
IV.
V.
VI.

El acceso a las computadoras debe ser ilimitado y total.

El acceso a la informacin debe ser libre y gratuito.
Desconfen de la autoridad, promuevan la descentralizacin.
Los hackers deben ser juzgados por su habilidad, no por criterios absurdos como ttulos, edad,
raza o posicin social.
Se puede crear arte y belleza en una computadora.
Las computadoras pueden cambiar tu vida para mejor.

As tambin se desarrollaron los algunos "Mandamientos" en los cuales se basa un hacker a la hora de
actuar sobre los sistemas que ataca:
I.
II.

Nunca destroces nada intencionadamente en la PC que ests hackeando.

Modifica solo los ficheros que hagan falta para evitar tu deteccin y asegurar tu acceso futuro al
sistema.
III. Nunca dejes tus datos reales, tu nombre o tu telfono en ningn sistema, por muy seguro que creas
que es.
IV. Ten cuidado a quien le pasas informacin. A ser posible no pases nada a nadie que no conozcas
su voz, nmero de telfono y nombre real.

V.
VI.
VII.
VIII.
IX.
X.

Nunca dejes tus datos personales en un BBS, si no conoces al SysOp, djale un mensaje con la
lista de gente que pueda responder por ti.
Nunca hackees en computadoras del gobierno. El gobierno puede permitirse gastar fondos en
buscarte, mientras que las universidades y las empresas particulares no.
No uses Blue Box a menos que no tengas un PAD local o nmero gratuito al que conectarte, si se
abusa de la Blue Box, puedes ser cazado.
No dejes en mucha informacin del sistema que estas hackeando. Di sencillamente "estoy
trabajando en..." pero no digas a quien pertenece, ni el nmero de telfono, direccin, etc.
No te preocupes en preguntar, nadie te contestara. Piensa que por responderte a una pregunta,
pueden cazarte a ti, al que te contesta o a ambos.
Punto final. Hasta que no ests realmente hackeando, no sabrs que es...

MANIFIESTO HACKER: En los principios, un grupo hackers llamado Legin of Doom, dirigido por The
Mentor, quera demostrar hasta donde era capaz de llegar. Para ello modificaron la pgina principal del
sitio web de la NASA, durante media hora, con el siguiente "manifiesto":

Fermn (alias) es un estudiante universitario espaol, trabaja en una empresa de seguridad informtica
ganando un sueldo impactante. Este trabajo lo consigui siendo hacker y segn dice l por "... nacer y ser
curioso, por hacer del hacking una forma de vida, un espritu de superacin y un reto de intelectual continuo
(...)". Tambin declara que en la red hay gente con los mismos conocimientos que l que los utilizan para
delinquir e incluso son buscados y pagados para ello, "... pero este no es un hacker."
OTROS HABITANTES DEL CIBERESPACIO
GURS: Son considerados los maestros y los
encargados de "formar" a los futuros hackers.
Generalmente no estn activos pero son
identificados y reconocidos por la importancia de
sus hackeos, de los cuales slo ensean las
tcnicas bsicas.
LAMERS O SCRIPT KIDDERS: Son
aficionados jactosos. Prueban todos los
programas (con el ttulo "como ser un hacker en
21 das") que llegan a sus manos. Generalmente
son los responsables de soltar virus y bombas

lgicas en la red slo con el fin de molestar y que

otros se enteren que usa tal o cual programa. Son
aprendices que presumen de lo que no son
aprovechando los conocimientos del hacker y lo
ponen en prctica sin saber.
BUCANEROS: Son comerciantes sucios que
venden los productos crackeados por otros.
Generalmente comercian con tarjetas de crdito
y de acceso y compran a los copyhackers. Son
personas sin ningn (o escaso) conocimiento de
informtica y electrnica.

NEWBIE: Son los novatos del hacker. Se

introducen en sistemas de fcil acceso y fracasan
en muchos intentos, slo con el objetivo de
aprender las tcnicas que puedan hacer de l, un
hacker reconocido.
WANNABER: Es aquella persona que desea ser
hacker pero estos consideran que su coeficiente
no da para tal fin. A pesar de su actitud positiva
difcilmente consiga avanzar en sus propsitos.
SAMURAI: Son lo ms parecido a una amenaza
pura. Sabe lo que busca, donde encontrarlo y
cmo lograrlo. Hace su trabajo por encargo y a
cambio de dinero. Estos personajes, a diferencia
de los anteriores, no tienen conciencia de
comunidad y no forman parte de los clanes
reconocidos por los hackers. Se basan en el
principio de que cualquiera puede ser atacado y
saboteado, solo basta que alguien lo desee y
tenga el dinero para pagarlo.
COPY-HACKERS:
Literalmente
son
falsificadores sin escrpulos que comercializan
todo lo copiado (robado).
PIRATAS INFORMTICOS: Este personaje
(generalmente confundido con el hacker) es el
realmente peligroso desde el punto de vista del
Copyright, ya que copia soportes audiovisuales
(discos compactos, cassettes, DVD, etc.) y los
vende ilegalmente.
CREADORES DE VIRUS: Si de daos y mala
fama se trata estos personajes se llevan todos los
premios. Aqu, una vez ms, se debe hacer la
diferencia entre los creadores: que se consideran
a s mismos desarrolladores de software; y los
que infectan los sistemas con los virus creados.
Sin embargo es difcil imaginar que cualquier
"desarrollador" no se vea complacido al ver que
su "creacin" ha sido ampliamente "adquirida por
el pblico".
PERSONAL (INSIDERS): Hasta aqu se ha
presentado al personal como vctima de
atacantes externos; sin embargo, de los robos,
sabotajes o accidentes relacionados con los
sistemas informticos, el 70% son causados por
el propio personal de la organizacin propietaria
de dichos sistemas ("Inside Factor"). Hablando
de los Insiders se explica que "desde mitad de
1996 hasta 1999 la empresa tuvo dos casos de
intrusiones pero en el 2000 registramos siete, de
las cuales 5 eran intrusos internos o exempleados".

Esto es realmente preocupante, ya que, una

persona que trabaje con el administrador, el
programador o el encargado de una mquina
conoce perfectamente el sistema, sus puntos
fuertes y dbiles; de manera que un ataque
realizado por esa persona podr ser ms directo,
difcil de detectar y ms efectivo que el que un
atacante externo pueda realizar. Como ya se ha
mencionado los ataques pueden ser del tipo
pasivos o activos, y el personal realiza ambos
indistintamente dependiendo de la situacin
concreta. Dentro de este espectro podemos
encontrar: personal interno, ex-empleado,
curiosos, terroristas, intrusos remunerados.
PERSONAL INTERNO: Las amenazas a la
seguridad de un sistema, provenientes del
personal del propio sistema informtico, rara vez
es tomada en cuenta porque se supone un mbito
de confianza muchas veces inexistente.
Generalmente estos ataques son accidentes por
desconocimiento o inexistencia de las normas
bsicas de seguridad; pero tambin pueden ser
del tipo intencional. Al evaluar la situacin, se
ver que aqu el dao no es intencionado pero
ello no est en discusin; el dao existi y esto es
lo que compete a la seguridad informtica.
TERRORISTAS: Bajo esta definicin se engloba
a cualquier persona que ataca el sistema para
causar dao de cualquier ndole en l; y no slo
a la persona que coloca bombas o quema
automviles. Son ejemplos concretos de este
tipo, ataque de modificacin de los datos de
clientes entre empresa competidoras, o de
servidores que albergan pginas Web, bases de
datos entre partidos polticos contrarios, etc.
INTRUSOS REMUNERADOS: Este es, sin duda,
el grupo de atacantes ms peligroso, aunque
tambin el menos habitual. Se trata de crackers o
piratas con grandes conocimientos y experiencia,
pagados por una tercera parte para robar
"secretos" (cdigo fuente de programas, bases
de datos de clientes, informacin confidencial de
satlites, diseo de un nuevo producto, etc.) o
simplemente para daar, de alguna manera la
imagen de la entidad atacada. Suele darse, slo,
en
grandes
multinacionales
donde
la
competencia puede darse el lujo de un gran gasto
para realizar este tipo de contratos y contar con
los medios necesarios para realizar el ataque.

EX-EMPLEADO: Este grupo puede estar

especialmente interesado en violar la seguridad
de nuestra empresa, sobre todo aquellos que han
sido despedidos y no han quedado conformes; o
bien aquellos que han renunciado para pasar a
trabajar en la competencia. Tambin han existido
casos donde el ex-empleado deja Bombas
Lgicas que "explotan" tiempo despus de
marcharse.

CURIOSOS: Suelen ser los atacantes ms

habituales del sistema. Son personas que tienen
un alto inters en las nuevas tecnologas, pero
an no tienen los conocimientos ni experiencia
bsicos para considerarlos hackers o crackers
(podran ser Newbies). Generalmente no se trata
de ataques de dao pero afectan el entorno de
fiabilidad con confiabilidad generado en un
sistema.

ACTIVIDAD DE INDICADOR
Instrucciones: Identifica a los personajes de quien debemos de protegernos y de las
distintas funciones de los delitos. En el siguiente espacio desarrolle un pequeo
resumen de lo que pudo observar del video de Piratas del Valle del Silicio.