1

II. DELITOS INFORMTICOS QUE COMNMENTE SE PRESENTAN

Controles polticas, procesos y procedimientos que

aplican para mejorar la seguridad de la
informacin
(05 May 2015)

Abierta
a DistanciaPiedrahita
-UNADNelson EnriqueUniversidad
HernndezNacional
Barrera,
Elkiny Mauricio
Villarraga, Eduardo Adolfo Carrillo
Nelson3499@gmail.com, st.mauricio@hotmail.com,
eacarrilloq@unadvirtual.edu.co,
henryg8909@gmail.com
Quintero, Henry Alfonso Garzn Pinzn

ResumenLas empresas, legalmente constituidas, diariamente

enfrentan riesgos informticos que perjudican su funcionamiento
y pueden poner en riesgo a las personas que en ella laboran. Para
contrarrestar en gran porcentaje situaciones de vulnerabilidad,
deben conocer la ley que protege su estructura. Para un completo
beneficio, la empresa debe capacitar a sus empleados hacindoles
conocer dicha ley, sus deberes, sanciones y la confianza que en
ellos se deposita. Tambin se debe tener en cuenta los controles
para mitigar los riesgos

EN UNA ORGANIZACIN

Teniendo en cuenta la LEY 1273 DE 2009 [1], Por medio

de la cual se modifica el Cdigo Penal, se crea un nuevo bien
jurdico tutelado - denominado "de la proteccin de la
informacin y de los datos", se hace referencia delitos que
pueden suceder en una empresa, es de anotar que en muchas
ocasiones no se denuncia la conducta.
Cdigo Penal [2]

Palabras clave Delito informtico, datos personales, dao

informtico, Controles.

I. INTRODUCCIN

ontroles polticas, procesos y procedimientos que

aplican para mejorar la seguridad de la informacin, es
un documento en el cual se muestran algunas
estrategias que se pueden aplicar en el estado colombiano con
el fin de disminuirlos o castigarlos de acuerdo a la legislacin
vigente en Colombia.
Luego teniendo en cuenta la legislacin nacional e
internacional, se proponen controles para los delitos que se
mencionan los cual se basa en estrategias polticas y controles
para que no vuelvan a repetirse y sean castigados.
Es importante aclarar que un delito es una accin
antijurdica, realizada por un ser humano. Si bien es cierto los
computadores realizan actividades automticas, antes de
presentarse hay intervencin accin o configuracin de un ser
humano, tipificado. Es decir es decir que van en contra de una
norma, culpable y sancionado por una pena.
Tambin es importante tener en cuenta que en muchas
ocasiones los delitos informticos se efectan desde un pas y
afectan a los miembros de otros pases, en este caso se
presentan algunos vacos jurdicos y se hace necesario que las
diferentes naciones realicen un esfuerzo conjunto orientado a
mitigar estas conductas.

A. Artculo 269:
informtico.

Acceso

abusivo

un

sistema

Se presenta cuando sin autorizacin o por fuera de lo

acordado, se accede en todo o en parte a un sistema
informtico protegido o no con una medida de seguridad, o se
mantenga dentro del mismo en contra de la voluntad de quien
tenga el legtimo derecho a excluirlo, puede ser una persona
para obtener informacin de la empresa.
B. Artculo 269D: Dao Informtico.
Puede suceder que una persona sin estar facultado para ello,
destruya, dae, borre, deteriore, altere o suprima datos
informticos, o un sistema de tratamiento de informacin o sus
partes o componentes lgicos, por ejemplo eliminar la
informacin comercial de la empresa.
C. Artculo 269F: Violacin de datos personales.
Cuando una persona sin estar facultado para ello, con
provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, enve, compre, intercepte,
divulgue, modifique o emplee cdigos personales, datos
personales contenidos en ficheros, archivos, bases de datos o
medios semejantes, como por ejemplo enviar los datos de
todos los empleados a una cooperativa.

D. Artculo 271. Defraudacin

patrimoniales de autor.

los

derechos

Se presenta cuando por cualquier medio o procedimiento,

sin autorizacin previa y expresa del titular, se reproduce
programa de ordenador, o transporte, almacene, conserve,
distribuya, importe, venda, ofrezca, adquiera para la venta o
distribucin, o suministre a cualquier ttulo dichas
reproducciones.
E. Artculo 272. Violacin a los mecanismos de
proteccin de los derechos patrimoniales de autor y
otras defraudaciones.
Cuando las personas eluden las medidas tecnolgicas
adoptadas para restringir los usos no autorizados, como por
ejemplo utilizar software para evitar comprar licencias.
F.

Art. 427.- Falsificacin de documentos electrnicos.

Este tipo de delito puede presentarse cuando un empleado

quiere modificar los acuerdos establecidos con un tercero para
el beneficio de la compaa o de l mismo.
G. Artculo 269C: Interceptacin de datos informticos.
Las interceptaciones de trfico pueden ser realizadas a travs
de analizadores de trfico que pueden inspeccionar la
informacin en una red cableada o inalmbrica, ms
comnmente presentado en redes inalmbricas
H. Artculo 269G: Suplantacin en sitios web para
capturar datos personales.
Este tipo de situaciones pueden presentarse cuando un hacker
suplanta un sitio de una compaa y trata de robar informacin
al hacer que un usuario entre a ese portal falso.
I.

Artculo 269J: Transferencia no consentida de activos.

Puede presentarse con un robo de credenciales, por ejemplo en

una entidad bancaria un empleado quiere trasferir fondos de
un cliente a su cuenta propia.
J.

Art. 157.- Uso indebido de archivos computarizados

(Base).

Este tipo de casos se pueden presentarse en cualquier

compaa que tenga una base de datos con informacin
personal de sus clientes, y esta informacin que debe ser
confidencial se proporciona a otra empresa sin el
consentimiento del usuario.
Algunos de los delitos antes mencionados tambin son
tipificados en otros pases lo que permite a las naciones
realizar esfuerzos conjuntos para evitar que un delito cometido
en una nacin y dirigido hacia otra quede en la impunidad.
A continuacin se presenta un cuadro resumen, con los delitos
antes mencionados:

TABLA I
DELITOS INFORMTICOS

Delito
Acceso
abusivo
a
sistema informtico.

Legislacin
un

Ley 1273 de 2009

Artculo 269A

Dao Informtico

Ley 1273 de 2009

Artculo 269D

Violacin de datos
personales

Ley 1273 de 2009

Artculo 269F

Defraudacin a los
derechos patrimoniales de
autor
Violacin a los mecanismos
de proteccin de los
derechos patrimoniales de
autor y otras
defraudaciones.
Falsificacin de
documentos electrnicos

Artculo 271

Interceptacin de datos
informticos

Ley 1273 de 2009

Artculo 269C

Suplantacin en sitios web

para capturar datos
personales.
Transferencia no consentida
de activos

Ley 1273 de 2009

Artculo 269G

Uso indebido de archivos

computarizados

Artculo 157

Artculo 272

Artculo 427

Ley 1273 de 2009

Artculo 269J

III. SISTEMA DE CONTROL PARA LOS DELITOS MENCIONADOS

BASADOS EN POLTICAS, ESTRATEGIAS Y CONTROLES DE
ACUERDO A LA LEY VIGENTE EN COLOMBIA.
Teniendo en cuenta la legislacin nacional e internacional, se
proponen controles para los delitos mencionados basados en
polticas, estrategias y controles de acuerdo a la ley vigente en
Colombia, por cada uno de los anteriores:
A. Artculo 269:
informtico.

Acceso

abusivo

un

sistema

Para evitar esto es una empresa lo primero que se propone son

capacitaciones y entrenamientos para las personas donde se les d
a conocer la norma, a fin de evitar que suceda.
De igual forma se propone que dentro del proceso de
contratacin se firmen acuerdos de confidencialidad que incluyan
parmetros, procedimientos y sanciones en caso de incumplir con
el acuerdo.
B. Artculo 269D: Dao Informtico.
Se pueden generar algunas acciones preventivas como
controles de acceso y perfiles para los empleados de tal forma que
cuando accedan a la informacin no sea posible modificar,
eliminar datos informticos.
Crear registros de auditoria donde se incluya nombre, nmero

de identificacin sobre las acciones que se efectan sobre los

datos informticos, con el fin de poder tener evidencias de las
posibles conductas irregulares y evitar el no repudio.
C. Artculo 269F: Violacin de datos personales.

actualidad esto sucede debera ser un proceso ms corto a fin

de castigar a los culpables, pero garantizando el debido
proceso.
H. Cultura ciudadana

En este caso lo primero es entrenar a las personas que

tienen acceso a datos personales y concientizarlas de su
responsabilidad, luego se pueden colocar controles donde
quede registro de quien hace copias de informacin.

Una buena estrategia del gobierno es crear campaa donde

se le muestre a las personas que es un delito informtico y cul
es la pena con la comisin del mismo.
IV. INFORME DE CONTROLES A APLICAR PARA MEJORAR S.I.

De igual forma cuando una persona se contrata en una

empresa se debe dar una induccin donde se le ensee sobre la
clasificacin de la informacin que va a manejar y sea
totalmente consiente de sus restricciones.
D. Artculo 271. Defraudacin
patrimoniales de autor.

los

SEGN DELITOS EXPUESTOS

Fig 1. Logo ISO 27001

derechos

En esta actividad ms all de los mbitos de la empresa se

propone es que el gobierno cree planes, programas y campaas a
fin de disminuir los costos del software, como sucede con la
msica desde que se utilizan herramientas que cobran uno o dos
dlares por cada descarga, lo que es ms barato que comprar todo
un CD que puede valer entre 30 y 40 mil pesos.
Realizar campaas en medios de comunicacin masiva donde
se muestre los beneficios de usar software legal y de las
repercusiones que hay por uso del software ilegal.
E. Artculo 272. Violacin a los mecanismos de
proteccin de los derechos patrimoniales de autor y
otras defraudaciones.
Una buena estrategia es capacitar a los jvenes que tienen
habilidades en la programacin, en desarrollo de aplicaciones
a fin que sus habilidades se enfoquen y se usen para cosas
buenas y no se desperdicien.
Se puede generar concursos a nivel nacional como el
Defcon [3], que consiste en una reunin de personas expertos
en seguridad, pueden ser empricos o profesionales de distintas
reas, quienes que compiten por unas serie de premios, o en
algunos casos son contratados para trabajar con empresas y
desarrollar sus conocimientos.
F. Denunciar
Es de anotar que dentro de la empresa una buena idea es
denunciar estas conductas, puesto que en muchas ocasiones no
son conocidas por las autoridades y por eso se presenta la
impunidad.
G. Tarjetas Profesionales
En todos los casos que sean profesionales se debe crear
una reglamentacin a fin de retirar la tarjeta profesional por
cometer actividades en contra de la tica, aunque en la

Fuente http://www.whoa.com/
.

La norma idnea para generar un sistema de control

informtico idneo y completo es la Norma ISO 27001:2013 y
su asociada, la norma ISO 27002:2013. Segn [4], la
diferencia radica en que La nica norma a certificar es la ISO
27001, no as la ISO 27002, que slo establece
recomendaciones.
Pues bien, concerniente a los delitos informticos expuestos y
para controlar desde los activos informaticos, pasando por el
talento humano y por los procesos de la organizacin se
plantean los siguientes controles expuestos en dichas normas
[5]:
A. Polticas Seguridad
1) Directrices de la Direccin en seguridad de la
informacin
a) Polticas para la seguridad de la informacin: Se
definen un conjunto de polticas para la seguridad de la
informacin, aprobado por la direccin, publicado y
comunicado a los empleados as como a todas las partes
externas relevantes.
B. Aspectos Organizativos SI
1) Organizacin interna
a) Asignacin de responsabilidades para la SI:
Se definen y asignan claramente todas las responsabilidades
para la seguridad de la informacin.

b) Segregacin de tareas:

E. Control de Accesos
1) Responsabilidades del usuario

Se segregan tareas y las reas de responsabilidad ante posibles

conflictos de inters con el fin de reducir las oportunidades de
una modificacin no autorizada o no intencionada, o el de un
mal uso de los activos de la organizacin.

a) Uso de informacin confidencial para la

autenticacin

c) Seguridad de la informacin en la gestin de

proyectos

Se exige a los usuarios el uso de las buenas prcticas de

seguridad de la organizacin en el uso de informacin
confidencial para la autenticacin.

Se contempla la seguridad de la informacin en la gestin de

proyectos e independientemente del tipo de proyecto a
desarrollar por la organizacin.
C. Seguridad Ligada a los recursos humanos
1) Antes de la contratacin
a) Trminos y condiciones de contratacin
Como parte de su obligacin contractual, empleados,
contratistas y terceros deberan aceptar y firmar los trminos y
condiciones del contrato de empleo, el cual establecer sus
obligaciones y las obligaciones de la organizacin para la
seguridad de informacin.
2) Durante la contratacin
a) Responsabilidades de gestin
La Direccin requiere a empleados, contratistas y usuarios de
terceras partes que apliquen la seguridad en concordancia con
las polticas y los procedimientos.
3) Cese o cambio de puesto de trabajo
a) Cese o cambio de puesto de trabajo:
Las responsabilidades para ejecutar la finalizacin de un
empleo o el cambio de ste deberan estar claramente
definidas, comunicadas a empleado o contratista y asignadas
efectivamente.
D. Gestin Activos
1) Responsabilidad sobre los activos
a) Inventario de activos
Todos los activos estn claramente identificados, manteniendo
un inventario con los ms importantes.
b) Propiedad de los activos
Toda la informacin y activos del inventario asociados a los
recursos para el tratamiento de la informacin pertenecen a
una parte designada de la Organizacin.

2) Control de acceso a sistemas y aplicaciones

a) Uso de herramientas de administracin de sistemas
Se hace uso de utilidades de software que son capaces de
anular o evitar controles en aplicaciones.
b) Control de acceso al cdigo fuente de los
programas
Se restringe el acceso al cdigo fuente de las aplicaciones de
software.
F. Seguridad fsica y Ambiental
1) reas seguras
a) reas de acceso pblico, carga y descarga
Se controlan puntos de acceso a la organizacin como las
reas de entrega y carga/descarga (entre otros) para evitar el
ingreso de personas no autorizadas a las dependencias
aislando estos puntos, en la medida de lo posible, de las
instalaciones de procesamiento de informacin.
b) El trabajo en reas seguras
Se disean y aplican procedimientos para el desarrollo de
trabajos y actividades en reas seguras.
2) Seguridad de los equipos
a) Mantenimiento de los equipos
Los equipos se mantienen adecuamente con el objeto de
garantizar su disponibilidad e integridad continuas.
b) Poltica de puesto de trabajo despejado y bloqueo
de pantalla
Se adopta una poltica de puesto de trabajo despejado para
documentacin en papel y para medios de almacenamiento
extrables y una poltica de monitores sin informacin para las
instalaciones de procesamiento de informacin.
G. Seguridad en la Operativa
1) Responsabilidades y procedimientos de operacin

a) Gestin de capacidades
Se monitorea y ajusta el uso de los recursos junto a
proyecciones necesarias de requisitos de capacidad en el
futuro con el objetivo de garantizar el rendimiento adecuado
en los sistemas.

a) Responsabilidades y procedimientos
Se establecen las responsabilidades y procedimientos de
gestin para garantizar una respuesta rpida, eficaz y ordenada
a los incidentes de seguridad de la informacin.

b) Separacin de entornos de desarrollo, prueba y

produccin
Los entornos de desarrollo, pruebas y operacionales
permanecen separados para reducir los riesgos de acceso o de
cambios no autorizados en el entorno operacional.
H. Seguridad en las Telecomunicaciones

V. PROCESOS DISCIPLINARIOS QUE PUEDEN SER

IMPLEMENTADOS EN LAS ORGANIZACIONES

La norma ISO 27001:2013 e ISO 27002:2013 tambin

establecen un control especfico denominado Proceso
disciplinario, el cual se aplica a la Seguridad Ligada a los
recursos humanos y que es aplicado Durante la contratacin.
Un ejemplo de proceso disciplinario que puede ser aplicado y
que se expone en el artculo presentado por [6] es el siguiente:

1) Gestin de la seguridad en las redes

a) Controles de red
Se administran y controlan las redes para proteger la
informacin en sistemas y aplicaciones.

Llamado
de atencin
Llamado de
atencin
por
escrito al
al
por escrito
infractor
infractor

Memorndum
Memorndum
especificando
especificando hecho
hecho
realizado
y
realizado y
consecuencia
consecuencia del
del
mismo
mismo

Acciones
establecidas
Acciones establecidas
de
de acuerdo
acuerdo a
a la
la
organizacin
organizacin y
ya
a la
la
legislacin
sobre
el
legislacin sobre el
infractor
infractor

b) Mecanismos de seguridad asociados a servicios en

red

Fig 2. Ejemplo de proceso disciplinario

Se identifican e incluyen en los acuerdos de servicio (SLA) los

mecanismos de seguridad, los niveles de servicio y los
requisitos de administracin de todos los servicios de red,
independientemente de si estos servicios se entregan de
manera interna o estn externalizados.
c) Segregacin de redes
Se segregan las redes en funcin de los grupos de servicios,
usuarios y sistemas de informacin.
I. Aquisicin, desarrollo y Mantenimiento de los sistemas
de informacin
1) Seguridad en los procesos de desarrollo y soporte
a) Poltica de desarrollo seguro de software
Se establecen y aplican reglas para el desarrollo de software y
sistemas dentro de la organizacin.

Igualmente en dicho artculo se exponen los siguientes

procesos, que pueden ser ajustados de acuerdo a las
necesidades o nivel de impacto en la organizacin, tmese
como ejemplo. Tomado de [6]
A. Infraccin o Violacin de Polticas de Seguridad
Procedimiento Disciplinario
1) Alteracin, destruccin, divulgacin y cambio de
ubicacin de informacin (Dentro y fuera de la compaa):

2) Uso inapropiado de los diferentes recursos (Acceso no

autorizado).

b) Pruebas de aceptacin
Se establecen programas de prueba y criterios relacionados
para la aceptacin de nuevos sistemas de informacin,
actualizaciones y/o nuevas versiones.

Capacitacin acerca de los recursos de la empresa y

su uso autorizado.

3) Usurpacin de identidad

J. Gestin de Incidentes
1) Gestin de incidentes de seguridad de la informacin y
mejoras

Llamado de atencin en la hoja de vida.

Capacitacin acerca de activos de informacin y su
proteccin.

Llamado de atencin grave en la hoja de vida.

Reunin directa con el Gerente Regional y la Jefe
Nacional Administrativa.

4) Manipulacin de credenciales de acceso (Ingreso del

trabajo)

Llamado de atencin grave en la hoja de vida.

Reunin directa con el Gerente Regional y la Jefe

Nacional Administrativa.

5) Manipulacin de la configuracin de los aplicativos y

recursos de las estaciones de trabajo.

Capacitacin acerca de recursos informticos de la

compaa, a cargo de delegado de Jefe de rea
Sistemas.

6) Errores de administracin aplicados al software

informtico.

Reunin con el Jefe de rea Sistemas.

Revisin
del
Manual
de
Funciones
Responsabilidades del rea Sistemas.

VII. BIOGRAFA
y

7) Abuso de privilegios de acceso

Llamado de atencin en la hoja de vida.

Capacitacin acerca de recursos informticos de la
compaa, a cargo de delegado de Jefe de rea
Sistemas.

8) Desconocimiento de sus funciones y responsabilidades

dentro de la empresa.

Villamarn, IMPLEMENTACIN DE SISTEMA DE

GESTIN DE SEGURIDAD DE LA INFORMACIN
APLICADA AL REA DE RECUSRSOS HUMANOS
DE LA EMPRESA DECEVALE, 2014. [En lnea].
Available:
http://www.dspace.espol.edu.ec/bitstream/123456789/242
04/1/1PROYECTO%20DE%20GRADUACION
%20IMPLEMENTACION%20DE%20SGSI%20A
%20LA%20EMPRESA.docx.

Llamado de atencin en la hoja de vida.

Reunin con el Jefe de rea para revisin de Manual
de Funciones y Responsabilidad del rea al cual
pertenezca el infractor.

9) Extorsin
Separacin de la empresa.

Nelson Enrique Hernndez Barrera naci en

Bogot, Colombia, el 20 de enero de 1980. Se
gradu en la Universidad Autnoma de
Colombia, Ingeniero de Sistemas, y estudio en la
misma universidad su especializacin en
Gerencia de Tecnologa.
Ejerci profesionalmente en el Departamento Administrativo de Seguridad,
como coordinador del grupo de Aseguramiento Tecnolgico y en la Unidad
Especial Migracin Colombia como coordinador del Grupo de Polticas y
Lineamientos para el Manejo de la Informacin.
Tuvo reconocimiento por el Ministerio de Tecnologas de la Informacin
como caso de xito en la implementacin del Sistema de Gestin de Seguridad
de la Informacin SGSI en Migracin Colombia,
entre otros reconocimientos.
Henry Alfonso Garzn Pinzn naci en la ciudad
de Bogot (Colombia), el 9 de septiembre de 1989.
Es Ingeniero de Sistemas egresado de la Universidad
Nacional Abierta y a Distancia UNAD con
formacin en especializacin en Seguridad
Informtica como opcin de grado.Su experiencia
profesional abarca roles correspondientes a Analista
de Calidad (QA), Analista de Requerimientos y
Desarrollo de Software, actualmente labora como Lder Tcnico de Desarrollo
en HITSS para el cliente Claro Colombia Soluciones Mviles.

VI. BIBLIOGRAFA
[1] Senado de la Republica de Colombia, Alcaldia de
Bogot, 05 01 2009. [En lnea]. Available:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.j
sp?i=34492. [ltimo acceso: 29 04 2015].
[2] Senado de la Repblica de Colombia, Alcaldia de
Bogot, 24 07 2000. [En lnea]. Available:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.j
sp?i=6388#VIIBIS. [ltimo acceso: 29 05 2015].
[3] Defcon, Defcon, 2015. [En lnea]. Available:
https://www.defcon.org/. [ltimo acceso: 07 05 2015].
[4] O. Benjumea, Sabes diferenciar la ISO 27001 y la ISO
27002?, [En lnea]. Available:
http://www.redseguridad.com/opinion/articulos/sabesdiferenciar-la-iso-27001-y-la-iso-27002.
[5] ISO 27002.es, El portal de ISO 27002 en Espaol,
2012. [En lnea]. Available:
http://iso27000.es/iso27002.html.
[6] D. Caldern Onofre, M. Estrella Ochoa y M. Flores

Elkin Mauricio Piedrahita naci en Bogot,

Colombia, el 19 de mayo de 1986. Actualmente,
realiza una especializacin en seguridad informtica
en la UNAD desde el ao 2014, en 2012 se gradu
de magister en Ciencias de la Informacin y de las
Telecomunicaciones en la Universidad Distrital, en
2008 se gradu como ingeniero electrnico en la
Universidad Santo Toms. A nivel profesional
actualmente se desempea como Consultor IT en Telefonica Movistar.

Eduardo Carrillo naci en Bucaramanga Colombia, el

29 de Octubre de 1982. Se gradu como Ingeniero de
Sistemas de la Universidad Nacional Abierta y a
Distancia UNAD y es estudiante de la
Especializacin en Seguridad Informtica en la
misma universidad.
Su
experiencia profesional se ha enfocado principalmente al
rea de desarrollo de Software, cuenta con 8 aos de experiencia en el
desarrollo de aplicaciones a la medida orientadas a las necesidades del sector
pblico y defensa. Tiene experiencia en el desarrollo de sistemas de
informacin geogrfica y en el anlisis e implementacin de sistemas de
Inteligencia de Negocios. Actualmente trabaja como gerente de proyecto en la
empresa Soluciones Integradas de Tecnologa S.A.S.