Cristian Camilo Forero Montaña

Andrés Fabian Alvarado

METODO SKRAM

1. SISTEMA DE INFORMACIÓN

El sistema de información seleccionado es una base de datos que pertenece a la Universidad

Católica del Norte, la cual contiene información de los estudiantes cuyo promedio académico es
muy bajo, las notas y materias en donde el estudiante presenta mayor afectación, esta base de
datos es accedida y actualizada personas, que cuentan con los privilegios de lecto-escritura sobre
la base de datos, la Jefe de área y 3 practicantes

2. VULNERABILIDADES ENCONTRADAS

· La base de datos se encuentra local en un pc tipo servidor.

· La base de datos no cuenta con actividades automatizadas de backup, sino que es realizada
por una de las personas con privilegios de lectoescritura, este proceso es manual y conlleva
a fallas en su complimiento.

· El backup es realizado en un disco externo que puede presentar fallas físicas y perder toda la
información.

Este sistema de información no cuenta con autenticación frente al Directorio Activo

 3. CUESTIONARIO

Se realiza entrevista a la administradora del área donde sucedieron los hechos Diana Restrepo,
quien manifiesta no haber eliminado el archivo, informa que ella debe velar por la actualización de
las bases de datos y el almacenamiento de estos en el servidor destinado para tal fin. El dispositivo
de Hardware involucrado en el proceso se encuentra alojado en la sala de Servidores, donde ella
y 3 estudiantes en práctica (Sebastián Martínez, Mike Moreno y Jonathan Bermúdez), y personal
del aseo tienen acceso al sitio. se entrevistan a los estudiantes de práctica y a la señora del aseo,
se les consulta sobre sus actividades y el hechos sucedido, ellos e informan que no borraron
ningún archivo.

La señora Diana Restrepo dice que estuvo por fuera de la sala de sistemas, donde se encuentra
alojado el servidor por un lapso de tiempo de cinco (5) horas aproximadamente (entre la 01:00
p.m. y 06:00 p.m.) del día sábado 23 de enero del año 2016, tiempo en el cual pudo suceder el
incidente de seguridad; en el tiempo en que la administradora estuvo por fuera, quedaron los tres
estudiantes de practica: Sebastián Martínez , Mike Moreno y Jonathan Bermúdez, cuando se les
consultó a ellos sobre que hicieron el día 23 de enero, informaron que ese día fueron a una
actividad lúdica la cual finalizó a las 02:00 p.m. y se confirmó que 2 de ellos Mike Moreno y
Jonathan Bermúdez, regresaron a la oficina a terminar unas tareas pendientes hasta las 05:00 p.m.
aproximadamente, se confirmó también que la señora Leticia Díaz de oficios varios ingreso a las
06:00 p.m. a realizar el aseo al sitio y volvió a salir a las 06:30 p.m. El registro de estas entradas y
salidas se confirmó con la ficha de control del personal de vigilancia de la Universidad y las
bitácoras de aseo del área de limpieza.

Preguntas realizadas a la administradora del área afectada

a) Cada cuanto cambia la contraseña de acceso?

Respuesta: hace 30 días aproximadamente

b) Amarra contraseñas a su perfil de red?

Respuesta: Si a veces para no tener que digitarlas a toda hora

c) Accede el PC desde otra estación vía escritorio remoto?

Respuesta: no, no lo hago

d) En algún momento ha compartido su contraseña con otras personas?

Respuesta: no recuerdo, pero creo que no

e) Como es el desempeño del practicante?

Respuesta: es muy callado, no habla mucho, en algunos momentos se ausenta y conversa mucho
con los estudiantes.

f) Cuando no está en la oficina quienes permanecen en ella?

Respuesta: si, accede el practicante para realizar actividades laborales

g) Solicita informe de actividades al practicante durante su ausencia, audita sus actividades?

Respuesta: no, él me dice que laboro mucho pero no me dice que hizo

Teniendo en cuenta las respuestas se descarta a la señora Leticia Díaz de oficios varios, ya que ésta
no cuenta con los conocimientos, habilidades y motivos para realizar el incidente de seguridad
presentado, mientras que el personal practicante si cuenta con los conocimientos, la motivación y
recursos para realizarlo.

1. CRITERIOS DE EVALUACIÓN BASADOS EL MODELO SKRAM

CRITERIO DETALLE
Habilidades (Skill) Tecnólogo de sistemas
Cursos de redes
Cursos de Seguridad
Programación en Java
Conocimientos (Knowledge) • Conoce los horarios de trabajo de los
coordinadores y jefe de área
• Conoce las herramientas/agentes de
auditoría de accesos
• Conoce la importancia de la base de datos
a nivel estudiantil
• Sabe que puede acceder los fines de
semana a las instalaciones y no existe
restricción
Recursos (Resources) • Cuenta con permisos de navegación en
internet
• Tiene permisos de correo corporativo
• Cuenta con permisos vpn para laborar
desde afuera de la oficina
• Tiene permisos de lectoescritura en los
archivos residentes en el pc tipo servidor.
Autoridad (Authority) • Es conocido el permiso y acceso a la base
de datos borrada
• Cuenta con la autoridad para ingresar a las
instalaciones en horario no hábil
Motivacion (Motivation) • Posible motivación económica por parte
de las personas interesadas en desaparecer
la información
• Inicios de actividades de hackeo para
darse a conocer en el gremio

2. CALIFICACION DE RIESGOS
# Riesgos Basados en los criterios de evaluación del Criterios de Puntos
modelo SKRAM Asignación Asignad
os
1 Utiliza las habilidades necesarias para el ataque 1 por cada 3
habilidad
empleada
2 Tiene formación en cuanto al conocimiento y manejo 1 por cada 2
de tecnologías y métodos usados en el ataque tecnología/mét
odo
3 Tiene conocimiento de la infraestructura de sistema 1 si es 1
afectado afirmativo
4 Trabaja frecuentemente con el sistema afectado 1 si es 1
afirmativo
5 Está familiarizado con el sistema operativo como con 1 si es 1
el entorno afectado afirmativo
6 Tiene acceso al sistema involucrado y afectado 1 si es 1
afirmativo
7 Tiene acceso al software necesario y utilizado en el 1 si es 1
ataque afirmativo
8 Tiene funciones administrativas sobre quienes se 1 si es 1
realiza el ataque afirmativo
9 Tiene los permisos y accesos a los niveles de seguridad 1 si es 1
necesarios para efectuar el ataque afirmativo
1 Tiene conocimiento del sistema y del ambiente de red 1 si es 1
0 afectados afirmativo
1 Tiene identificados posibles beneficios monetarios 1 por cada 0
1 producto del ataque beneficio
identificado
1 No demuestra preocupación o no denuncia o reclama 1 si es 1
2 perdidas ocasionada por el ataque afirmativo
 1 Tiene planes o señales de retiro, renuncia, abandono 1 si es 0
3 de la compañía donde se encuentra el sistema afirmativo
involucrado
1 Tiene conductas problemáticas por violaciones de 1 si es 0
4 acceso informático afirmativo

TOTAL PUNTOS ASIGNADOS 14, de acuerdo a la escala de valoración se identifica un

riesgo Alto

3. ESCALA DE VALORACION
TIPO DE
CRITERIOS VALORACIÓN
RIESGO
RIESGO ALTO 12 PUNTOS O MAS Se valora como riesgo alto
RIESGO MEDIO 6-11 PUNTOS Se valora como riesgo medio
BAJO RIESGO 0-5 PUNTOS Se valora como riesgo bajo

NUM RIESGOS BASADOS PTOS ASIGNADOS SUSTENTACIÓN

EN LOS CRITERIOS
DE EVALUACIÓN
DEL MODELO
SKRAM
1 Utiliza las habilidades 3 Se identifica que el
necesarias para el sospechoso posee las
ataque habilidades necesarias
para realizar el ataque,
dada su formación
profesional y su
experiencia laboral en el
ramo del soporte técnico
3 Tiene formación en 2 Formación académica en
cuanto al conocimiento el manejo de la
y manejo de plataforma de correo
tecnologías y métodos usada en la empresa,
usados en el ataque conocimiento en los
procesos de crear,
modificar y eliminar
las contraseñas y cuentas
de correo electrónico.
4 Tiene conocimiento de 1 Como persona de soporte
la infraestructura de conoce los ítems de
sistema afectado configuración que
componen el sistema de
correo afectado y la
forma de acceder a ellos
5 Trabaja frecuentemente 1 Si, dado que es el soporte
con el sistema afectado On Site es la persona
capacitada para atender
los casos presentados por
los usuarios de la
compañía diariamente
6 Está familiarizado con 1 Por el desarrollo de su
el sistema operativo cargo está familiarizado
como con el entorno con el entorno del
afectado sistema de correo
7 Tiene acceso al sistema 1 Tiene acceso como
involucrado y afectado usuario privilegiado con
nivel de acceso tipo
administrativo
8 Tiene acceso al 1 Como persona de soporte
software necesario y cuenta con el acceso y
utilizado en el ataque conocimiento de la
herramienta de control
remoto de los equipos de
la compañía
9 Tiene funciones 1 Si, como persona de
administrativas sobre soporte e sitio atiende
quienes se realiza el todas las solicitudes de
ataque los usuarios a nivel
ofimático.
10 Tiene los permisos y 1 Si, tiene acceso a dos
accesos a los niveles de usuarios administrativos
seguridad necesarios del sistema de
para efectuar el ataque información del correo
11 Tiene conocimiento del 1 Si, hace parte de sus
sistema y del ambiente actividades laborales
de red afectados
14 No demuestra 1 El sospechoso no
preocupación o no demuestra ser afectado
denuncia o reclama por el ataque
perdidas ocasionada por identificado.
el ataque
Ley 1273

Ley de Delitos Informáticos en Colombia

¿PARA QUE SIRVE?

La ley 1273 de 2009 creó nuevos tipos penales relacionados

con delitos informáticos y la protección de la información y de los
datos con penas de prisión de hasta 120 meses y multas de hasta
1500 salarios mínimos legales mensuales vigentes

ARTICULOS Y EJEMPLOS

1-Raúl Cáceres es un ingeniero de sistemas que se desempeña

como
administrador de la red en una empresa llamada Proexport.LTDA, este
señor es
amigo de Carlos García quien fuera novio de María Martínez funcionaria
de la empresa. Un día cualquiera Carlos le dice a Raúl que desea saber los
números
de teléfono y la dirección de María, para lo cual Raúl aprovechando su
perfil, le entrega en una memoria USB dicha información, así mismo le hace
entrega de unas fotografías de la señora María que posteriormente son
publicadas por internet.
De acuerdo con la LEY 1273 DE 2009, los artículos que hacen referencia
con respecto a este caso son los siguientes:

• ARTICULO 269A
• ARTICULO 269F
• ARTICULO 269H

Estos artículos son aplicados tanto para Raúl como para Carlos
Se le aplica el artículo 269A, ya que este habla sobre el acceso abusivo a
un sistema informático, porque él pueda que sea ingeniero de sistemas pero
su papel es administrador de la empresa y no debería
de estar utilizando su conocimiento en sacar información que no debe, para
dársela a otra persona y mucho menos sin consentimiento del gerente o
dueño de la empresa

Para Carlos se le aplica el articulo 269F, ya que este habla de la

violación de datos personales, porque el en vez de guardar esa información
y datos de María para él solo, lo que hizo fue publicarlas,
independientemente de las razones por las cuales lo
hizo, y el artículo 269H, habla de las agravaciones que tienen cada una de
sus acciones tanto de Raúl como de Carlos, las cuales son

Carlos incurre en los siguientes delitos:

• Aprovechando la confianza depositada por el poseedor de la

información o por quien tuviere un vínculo contractual con este

• Revelando o dando a conocer el contenido de la información en

perjuicio de otro
Pedro incurre en los siguientes delitos:

Si quien incurre en estas conductas es el responsable de la

administración, manejo o control de dicha información, además se le
impondrá hasta tres años, la pena de inhabilitación para el ejercicio de
profesión relacionada con sistemas de información procesada con
equipos computacionales

2- Patricia Rodríguez es la amiga de toda la vida de Santiago Romero, un

día cualquiera Patricia le presta el computador portátil para realizar una hoja
de vida, en este trayecto Patricia le instala un software malicioso para que
desde su casa pueda recibir toda la información que realiza Santiago.
Posteriormente a Santiago le cambian su contraseña de correo.

De acuerdo con la LEY 1273 DE 2009 los artículos que hacen referencia
con respecto a este caso son los siguientes:

ARTICULO 269B
ARTICULO 269D
ARTICULO 269E
ARTICULO 269F
ARTICULO 269I
ARTICULO 269H

Estos artículos son aplicados a patricia, por eso se le tipifican esos artículos
los cuales dicen:

Articulo 269B, habla de la obstaculización ilegitima de sistemas o redes de

telecomunicaciones

Articulo 269D, habla del daño informático.

Articulo 269E, habla del uso del software malicioso.

Articulo 269F, habla de la violación de datos personales.

Articulo 269I, habla de los hurtos por medios informáticos y semejantes.

Articulo 269H, habla de las agravaciones de acuerdo a sus conductas o
acciones que cometió. Las cuales son:

• Aprovechando la confianza depositada por el poseedor de la

información o por quien tuviere un vínculo contractual con este.

• Obteniendo un provecho para sí o para un tercero.

Todos estos artículos y agravaciones son producto de su conducta, puesto

que ella aprovecho de la confianza que le dio su amigo y de hacer las cosas
sin el consentimiento de él, además de que jugó con la amistad que tenían

3- ARTICULO 269A: ACCESO ABUSIVO A UN SISTEMA INFORMATICO,

un administrador de red que tenga acceso a las claves de los usuarios y
acceda sin autorización a los datos personales de una persona

ARTICULO 269BOBSTACULIZACION ILEGITIMA DE SISTEMA

INFORMATICO O RED DE TELECOMUNICACION, cualquier
personal que realice denegación del servicio con el fin de no permitir el
ingreso al sistema o desvío de la información para su posterior utilización

ARTICULO 269C: INTERCEPTACION DE DATOS INFORMATICOS

copia y distribución de programas informáticos o piratería informática

ARTICULO 269D:DAÑO INFORMATICO envío intencional de virus que

afecten el sistema o los datos

ARTICULO 269E: USO DE SOFTWARE MALICIOSO virus y spyware

que se instalan en la computadora, teléfono o aparato móvil si n su
consentimiento
ARTICULO 269F: VIOLACION DE DATOS INFORMATICOS
cualquier persona que sin tener permiso obtenga, sustraiga, venda
intercambie, divulgue, modifique datos personales

ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA

CAPTURAR DATOS PERSONALES: PHISHING y el posterior robo de
identidades, con el ánimo de obtener datos sensibles (passwords, números
de tarjetas de crédito).

ARTÍCULO 269H: CIRCUNSTANCIAS DE AGRAVACÍÓN PUNITIVA:

Infiltración en el sistema de seguridad nacional de un país con fines
terroristas.

ARTÍCULO 269I: HURTO POR MEDIOS INFORMÁTICOS Y

SEMEJANTES: Robo de credenciales de usuarios que pertenecen a una
entidad bancaria.

ARTÍCULO 269J:TRANSFERENCIA NO CONSENTIDA DE ACTIVOS:

Estafa en la compra y venta de artículos online.