FASE 3: REVISAR LEGISLACIÓN VIGENTE FRENTE AL PROBLEMA

CRISTIAN CAMILO SABOGAL BELTRÁN

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
PROGRAMA: ASPECTOS ÉTICOS Y LEGALES DE LA SEGURIDAD DE LA
INFORMACIÓN
BOGOTÁ
2020

1
 Fase 3: Revisar legislación vigente frente al problema

Cristian Camilo Sabogal Beltrán

Documento Fase 3: Aspectos éticos y Legales de la Seguridad de la

Información

Director:
Martín Camilo Cancelado

Universidad Nacional Abierta y a Distancia

Especialización en seguridad Informática
2020

2
 INDICE GENERAL

GLOSARIO............................................................................................................................4
SUMMARY............................................................................................................................5
RESUMEN.............................................................................................................................6
ABSTRACT...........................................................................................................................7
INTRODUCCIÓN..................................................................................................................8
1. OBJETIVOS.................................................................................................................10
1.1. Objetivo general.......................................................................................................10
1.2. Objetivos específicos..............................................................................................10
2. DESARROLLO DE LA ACTIVIDAD.........................................................................11
3. CONCLUSION.............................................................................................................14
WEBGRAFIA.......................................................................................................................15

3
 GLOSARIO

1. Legislación:

La legislación es un conjunto de normas y leyes que regulan las relaciones

entre las personas de un país o de un sector determinado.
https://economipedia.com/definiciones/legislacion.html

2. Normativa:
Se conoce como normativa a la norma o conjunto de normas que guían,
dirigen y ajustan el comportamiento de un individuo, organización, materia
y/o actividad.
https://www.significados.com/normativa/

4
 SUMMARY

1. Legislation:

Legislation is a set of norms and laws that regulate the relationships

between the people of a country or a certain sector.
https://economipedia.com/definiciones/legislacion.html

2. Regulations:

Normative is known as the norm or set of norms that guide, direct and adjust
the behavior of an individual, organization, matter and / or activity.
https://www.significados.com/normativa/

5
 RESUMEN

El phishing por medio de correo electrónico es una técnica que basa su accionar
en engañar a un usuario haciéndose pasar por entidades reconocidas y de esta
manera robar información confidencial como contraseñas, datos bancarios,
teléfonos, entre otros.

Los delincuentes informáticos utilizan los correos electrónicos para desplegar este
tipo de ataques, no obstante, con el uso masivo de redes sociales y teléfonos
inteligentes con acceso a internet, los medios de acceso para los ciber
delincuentes se han multiplicado.

Estos correos normalmente contienen links que direccionan a la víctima a un sitio

web entre comillas conocido, sin embargo, este es una copia del sitio original en
donde finalmente se solicita al usuario la información que pretender robar, es de
esta manera, que los usuarios más confiados suministran información sensible al
atacante y a la postre se obtienen consecuencias lamentables para el usuario.

6
 ABSTRACT

Phishing by means of email is a technique that bases its actions on deceiving a

user by posing as recognized entities and in this way stealing confidential
information such as passwords, bank details, telephone numbers, among others.

Cybercriminals use emails to deploy these types of attacks, however, with the
massive use of social networks and smartphones with internet access, the means
of access for cybercriminals have multiplied.

These emails usually contain links that direct the victim to a well-known website in
quotation marks, however, this is a copy of the original site where the user is finally
asked for the information they intend to steal, it is in this way, that users are more
Trusting individuals provide sensitive information to the attacker, and the end result
will be unfortunate consequences for the user. 

7
 INTRODUCCIÓN

El presente documento tiene como objetivo identificar la legislación y normativa de

seguridad informática vigente que aplique para el caso problema, esto con el
objetivo de identificar cuáles son las implicaciones legales que tiene una persona
que incurre en este ilícito.

Dicho lo anterior, nuestro caso problema habla de suplantación de entidad

financiera por medio de correo electrónico, técnica conocida como phishing, lo
cual nos lleva a plantearnos las siguientes preguntas:

¿Qué es el phishing? ¿Como prevenir ataques de phishing? ¿De qué manera

identificar que estoy siendo víctima de esta técnica?

Responder a estas preguntas logra abrir un poco la visión hacía el objetivo final de
identificar los aspectos ético y molares que presenta dicha situación, a
continuación, una breve respuesta de cada una de ellas.

El phishing es una técnica utilizada por delincuentes informáticos cuyo objetivo es

que las personas compartan información de carácter confidencial como
contraseñas y números de tarjetas débito o crédito.

La mejor forma para prevenir un ataque de esta característica es identificar los

mensajes de texto o correos electrónicos sospechosos de ser phishing, esto se
logra siendo riguroso a la hora de leer los correos, pues los ciber delincuentes
utilizan nombres e imágenes de empresas reales, incluyen links que direccionan a
páginas web idénticas a la original y muchas veces para atrapar el usuario se
basan en concursos o regalos por parte de la “entidad”.

8
Por otra parte, una entidad nunca solicitará a sus clientes contraseñas ni datos de
índole personal, así que este tipo de preguntas nunca se deben responder y se
debe comunicar con la entidad a validar si dicho correo si es proveniente de ellos.

Otro tip para evitar ser víctima de phishing es nunca entrar a links desde correos,
es aconsejable ingresar directamente a la página desde el navegador.

9
 1. OBJETIVOS

1.1. Objetivo general

Analizar el caso problema con el objetivo de identificar el tipo de ataque o técnica

utilizada y a raíz de este poder explicar los dilemas éticos dentro de este.

1.2. Objetivos específicos

 Identificar la legislación y normativa de seguridad informática aplicada al caso

problema

 Determinar de acuerdo con la legislación colombiana cuales son las

implicaciones legales para quien comete delitos de esta índole.

10
 2. DESARROLLO DE LA ACTIVIDAD

Problema 4.
A través de un correo electrónico a nombre de un prestigioso banco de Colombia
se envían mensajes a los correos electrónicos de los usuarios de la entidad,
informándoles a los clientes que por motivos de seguridad los servicios
contratados habían sido suspendidos temporalmente y para volver a utilizar estos
canales debían hacer clic en el link proporcionado. Apenas el cliente ingresa a la
página fraudulenta, se solicita que ingrese los datos correspondientes al usuario,
contraseña y preguntas de seguridad, con el fin de obtener información que les
pudiera alimentar una base de datos con todo lo necesario para realizar
transacciones de dinero.
Para brindar sensación de seguridad a los usuarios, los ciberdelincuentes
diseñaron un teclado exactamente igual al que realmente utiliza el banco y
obligaban a que para ingresar solo se hiciera a través del teclado virtual, de
manera que no sospechara que estaba facilitado información sensible y valiosa a
personas inescrupulosas.
Se tiene información de que con esta modalidad se ha lograron realizar un número
significativo de transacciones financieras.

Legislación y normativa de seguridad informática vigente.

En Colombia se pueden identificar varias normas y leyes contra los delitos

informáticos, en este caso problema se habla del phishing y por supuesto está
contemplada esta práctica dentro del marco legal y penal del país, a continuación,
se mencionan los artículos, leyes e implicaciones que tiene aquel ciudadano que
cometa el ilícito en mención.

Articulo 269C del código penal colombiano:

11
El artículo se titula como “interceptación de datos informáticos” en el marco de la
ley 1273 del 2009 se encuentra el articulo 269C que también aplica para el caso
problema, pues los datos del usuario final están siendo interceptados por una web
fraudulenta con el objetivo de cometer un segundo delito denominado robo.

Articulo 269F del código penal colombiano:

El artículo se titula como “violación de datos personales”, este también se

encuentra contemplado en la ley 1273 del 2009 y habla de que sin autorización y
por beneficio propio un individuo obtiene, compila, ofrece, vende, intercambia,
envía, compra, intercepte, divulga o modifica información de otro individuo, para el
caso problema se identifica que el ciber delincuente por medio de la web
fraudulenta viola los datos personales de sus víctimas, pues por medio del portal
captura datos sensibles como usuarios y contraseñas de la sucursal bancaria y
datos financieros como el bin, fecha de vencimiento y códigos de seguridad de
tarjetas que use el tarjetahabiente en su estadía en este portal que simula el de su
banco.

Articulo 269G del código penal colombiano:

El artículo se titula como “suplantación de sitios web para capturar datos

personales” y dentro del análisis del caso problema se identifica que este articulo
aplica correctamente debido a que se está clonando la página web de una entidad
financiera para capturar información sensible del cliente y robar dinero por medio
de esta página.

El articulo habla de diseñar, desarrollar, traficar, vender, ejecutar, programar o

enviar páginas web, enlaces o emergentes que guíen a un usuario a una web
fraudulenta donde se capturen sus datos sin su consentimiento, en este punto,
cabe resaltar que no solo es la clonación de una página financiera como se
menciona en el caso, sino que, por ejemplo, crear una y venderla a un tercera que

12
tenga esta intención también es considerado delito. Entrando en materia de la
pena de acuerdo a la ley colombiana se estipula que quién incurra en el delito de
suplantación de una web para capturar datos personales puede tener una pena de
presión entre los 48 y 96 meses y una multa económica de 1000 salarios mínimos
mensuales legales vigentes, estamos hablando de una multa que oscila los 850
millones de pesos colombianos, esta condena es la mínima considerando que la
conducta no constituya un delito más grave, en el caso de que por medio de esta
práctica por ejemplo se ponga en riesgo una nación la condena es mucho más
severa.

Articulo 269I del código penal colombiano:

En el marco de la ley 1273 del 2009 en el capítulo dos se contempla el artículo en

mención que se titula como “hurto por medios informáticos y semejantes”, este
articulo habla de que el ciber atacante supera las medidas de seguridad
informática con el objetivo de robar, aplica perfectamente al caso problema, pues
se menciona que con esta modalidad se han logrado un número significativo de
transacciones financieras sin el consentimiento del usuario, lo cual, en la ley
colombiana se cataloga como hurto.

13
 3. CONCLUSION

 Se analizó el caso problema en donde se logra identificar la técnica de delito

informática utilizada por los ciber delincuentes.

 Se identificó la ley colombiana que penaliza los delitos informáticos bajo la técnica de
phishing y se analizaron los respectivos artículos dando una explicación del porqué
aplican al caso problema.

14
 WEBGRAFIA

Ley 1273 de 2009 Nivel Nacional. (2009, 5 enero). Alcaldía Mayor de

Bogotá D.C. https://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?
i=34492

Código Penal Artículo 269C. Interceptación de datos informáticos. (2009,

5 enero). Leyes.co. https://leyes.co/codigo_penal/269C.htm

Código Penal Artículo 269F. Violación de datos personales. (2009, 5

enero). Leyes.co. https://leyes.co/codigo_penal/269C.htm

Código Penal Artículo 269G. Suplantación de sitios web para capturar

datos personales. (2009, 5 enero). Leyes.co.
https://leyes.co/codigo_penal/269C.htm

Código Penal Artículo 269I. Hurto por medios informáticos o semejantes.

(2009, 5 enero). Leyes.co. https://leyes.co/codigo_penal/269C.htm

Colombia, el primer país que penaliza los delitos informáticos. (2012, 30

marzo). La Patria. https://www.lapatria.com/tecnologia/colombia-el-primer-pais-
que-penaliza-los-delitos-informaticos-1980

15