Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Grupo: No.04
RESUMEN………………………………………………………………………………………………………………….. 1
INTRODUCCION………………………………………………………………………………………………………… 2
ANTECEDENTES……………………………………………………………………………………………………….. 3
EVENTOS DESTACADOS……………………………………………………………………………………………. 7
CONCLUSION……………………………………………………………………………………………………………. 31
BIBLIOGRAFICA………………………………………………………………………………………………………… 32
ANEXOS…………………………………………………………………………………………………………………… 33
RESUMEN
1
INTRODUCIÓN
La ciberdelincuencia en las últimas 2 décadas son de los delitos que más aumentado
en gran medida a la mayor dependencia a las nuevas tecnologías que se utilizan
cotidianamente en la sociedad, en muchos países sobre todo aquellos que están en
vías de desarrollo no tienen la capacidad o existen vacíos legales para contrarrestar y
penalizar los ciberdelitos si le sumamos a esto la implementación acelerada del trabajo
remoto producto de la pandemia mundial por el COVID 2019 ha creado mayores
oportunidades para los criminales cibernéticos, Panamá no escapa de esta realidad y
si bien hay iniciativas y proyectos para afrontar este problema aun no son suficientes,
por lo cual depende de las propias organizaciones o personas, tomar las medidas
necesarias para protegerse de estos nuevos tipos de criminales, por lo cual los
auditores principalmente los especializados en sistemas informáticos tiene un nuevo rol
no solo de detectar fallos en la ciberseguridad de las organizaciones son de
desempeñar un rol de consultor al crear o recomendar soluciones.
2
I. ANTECEDENTES
El Procurador General de la Nación dio a conocer que solo basta con tener un
dispositivo móvil, plataformas o redes sociales e internet para ser blanco del
“Ciberdelito”, lo que además ha dado paso al rápido incremento de este tipo de
conductas delictivas. Ante esto el Ministerio Público, como institución encargada de
administrar justicia, considera imperante crear entre nosotros políticas personales de
prevención del delito.
3
En Panamá de enero-abril de 2021, se han registrado 794 denuncias bajo la modalidad
del “Ciberdelito”, de las cuales 655 corresponden a casos de estafa, representando una
incidencia del 68% del total de estafas comunes registradas solo en el área
Metropolitana.
Por parte del nuestra Policía Nacional, señalaron que el “Ciberdelito” no discrimina
ninguna plataforma ni redes sociales; y que nuestras redes sociales, nuestros correos
electrónicos, y plataformas debe ser espacios seguros y es necesario para eso
“incentivar una cultura de seguridad para nuestro entorno, el de nuestras familias y de
nuestras comunidades”.
Por su lado, la empresa tecnológica GBM indicó que la dinámica laboral de gran
cantidad de empresas privadas e instituciones públicas varió durante esos días y ante
la emergencia sanitaria por el coronavirus esa trasnacional “garantiza el teletrabajo de
forma segura y con una buena conexión, gracias a la implementación de tecnología
VPN, (Virtual Private Network o Red Privada Virtual)”.
En los tiempos de COVID-19, los Hackers tomaron ventaja de que la seguridad no está
entre las prioridades de las personas que utilizan el teletrabajo, razón por la cual en
4
RISCCO compartieron algunas buenas prácticas y consejos de seguridad de
información para el Teletrabajo como son las siguientes:
5
Establecer una línea de soporte técnico para ayudar a los colaboradores con
problemas técnicos”.
Además, que establecieran controles de seguridad estrictos sobre la base que
cualquier conexión remota a la red corporativa puede ser un evento hostil, no un
colaborador haciendo su trabajo. Que las conexiones de los colaboradores sean
al menos con doble factor de autenticación y que consideren dar acceso remoto
a los colaboradores en horarios específicos y no las 24 horas.
Asegurar que los dispositivos digitales utilizados para conectarse a la red
corporativa (ya sean de la organización o de los colaboradores) tengan antivirus,
antimalware y firewall actualizados.
Los virus también pueden entrar en nuestros dispositivos si no somos cuidadosos, por
eso es importante tener en cuenta estos consejos y buenas prácticas para evitar
vulnerabilidades en su organización. En tanto, GBM en su documento señalo
categóricamente que “garantiza el teletrabajo de forma segura y con una buena
conexión, gracias a la implementación de tecnología VPN, (Virtual Private Network o
Red Privada Virtual)”; Gracias a ella, la cual podemos definir, como una red de
ordenadores, con una extensión segura de la red local, sobre una red pública o no
controlada, como internet, permite encriptar y cifrar el mensaje entre la compañía y el
colaborador para almacenar información sensible de la empresa”.
6
II. EVENTOS DESTACADOS
Tal como sucede en el mundo físico, las personas cuidan sus bienes y propiedades
porque existen riesgos. Y nadie quiere ser víctima de un robo o de un delito.
En Panamá se reportan entre los delitos más frecuentes en la red los siguientes:
Estafas
Extorsión
Hurto
Robos
Delitos contra la seguridad informática.
Esto no solo sucede a personas que compran en páginas de redes sociales debe saber
que el delito llega a otras áreas. De hecho, puede alcanzarlo a usted, en su hogar o en
su trabajo. Pareciese que no hay lugar en el que se pueda estar protegido. Pero, si es
posible protegerse y de paso, enseñarle a su familia. Sea un agente de cambio, y no le
deje toda la responsabilidad al banco o a la empresa con la que hace transacciones.
7
Secuestro informático o "ramsomware", suplantación de identidad o "phishing", engaño
a menores o "grooming" y hostigamiento o "stalking", son algunos de los delitos más
comunes que se cometen a través de los medios informáticos y que en nuestro país no
están tipificados o regulados dentro del Código Penal.
Este contenido fue publicado el 11 enero 2021 - 17:4211 enero 2021 - 17:42
"El ataque inhabilitó varios servidores de ayuda social, entre los que estaba el Registro
Nacional de Beneficiarios, mismo que brinda servicios a diferentes Programas de
Transferencia Monetaria Condicionada, tales como Red de Oportunidades, Ángel
Guardián, 120 a los 65 y bono alimentario Senapan".
Representantes legales del ministerio presentaron una denuncia penal ante el Ministerio
Público y explicaron que varios equipos del Mides fueron "comprometidos a través de
un ataque informático sofisticado".
El director nacional de Inclusión del Ministerio de Desarrollo Social, informo que "fue un
golpe muy fuerte" para el despacho porque estos sistemas integrados "han permitido
agilizar los procesos de incorporación, de gestión, de monitoreo y de seguimiento de los
beneficiarios" de los programas de transferencia monetaria.
"Lo que habían secuestrado era un sistema mediante el cual estaban gestionando los
cuatro programas a la vez (...) lo que estaban buscando (los atacantes) era dinero". Por
8
esta situación "no iba a ver una afectación directa al pago" de los subsidios, de los
cuales son beneficiarios las personas que viven en pobreza o pobreza extrema.
La cual fue atacada por hackers que trataron, sin éxito, de filtrarse en sus sistemas y
precisó que el 14 de marzo del año, el grupo de Hackers Maze publicó datos
personales de miles de expedientes después de que la Institución médica del Reino
Unido Hammersmith Medicines Research (HMR).
9
A mediados de agosto de 2020 la cuenta @AnonymousOpsPTY, había divulgado unos
25,000 datos personales de miembros de la Policía Nacional. Por el momento las
autoridades judiciales no han precisado el detenido estaría ligado a esta cuenta o la
filtración del año 2020.
El mensaje decía lo siguiente: POR LOS ABUSOS y los ATROPELLOS a la libertad hoy
publicamos los datos de más de 20,500 unidades de la Policía Nacional.
Hemos hackeado sus sistemas, tenemos las contraseñas y datos de cada miembro de
@ProtegeryServir (Cambiamos los datos de su director) https://t.co/mQv4UDHDtb
pic.twitter.com/qPCUoCKv5d
En agosto del 2020 la página web del meduca fue hackeada por un grupo conocido
como anonymus Panamá que se adjudicó el ataque lo que afecto los servicios que
brindaba la página a miles de estudiantes panameños que en ese momento daban
clases remotas, la página web estuvo fuera de servicio por media hora.
10
III. ACCIONES QUE SE HAN TOMADO
Ante esta nueva forma de delinquir, las regiones del país se han preparado con algunos
tipos de regulaciones, normativas, que yo llamaría de derecho administrativo, que
regula algunas empresas.
Por ejemplo, los bancos, pueden informar respecto a operaciones sospechosas; todo
dinero o movimiento de depósito, de un monto superior a determinada cantidad, se
porta a una unidad que hace análisis de información y puede detectar movimientos de
dinero.
Sin dudas, ambas medidas son esperanzadoras e indican que hay pequeños avances
en el desarrollo de estrategias país sobre ciberseguridad. Recordemos qué el éxito
depende de que se mejoren y amplíen con el tiempo.
12
A. UN EQUIPO PARA PREVENCIÓN Y CONTINGENCIA.
Los proveedores del sector privado del país ofrecen su apoyo en una variedad de
servicios de seguridad cibernética, desde la provisión de seguridad para las bases de
datos hasta distintos tipos de capacitaciones. Además, los ciudadanos panameños
tienen la gran oportunidad de continuar con su formación terciaria en seguridad
cibernética y TI, lo cual incluye no sólo carreras de grado sino también maestrías. Para
alentar el estudio de la seguridad cibernética, la Autoridad Nacional para la Innovación
Gubernamental, en colaboración con Citi y la OEA, ha ofrecido becas para
capacitaciones en seguridad cibernética con el objetivo de disminuir la deficiencia de
profesionales de esta especialidad en la región. Además, CSIRT Panamá ofrece
formación continua en seguridad cibernética para profesionales en los departamentos
de tecnología de las instituciones gubernamentales.
13
estrategia de gobierno electrónico y otros importantes lineamientos y reglas
relacionados con la ciberseguridad y la gobernanza de las TIC, que se encuentran en
su Plan Estratégico de Gobierno 2015-2019 y en la Agenda Digital 2014-2019
Los delitos contra la Libertad e Integridad sexual contenidos dentro de los Proyectos
responden a lo descrito en el Artículo 9 del Convenio, sobre los delitos relacionados con
la pornografía infantil, como parte de los delitos relacionados con el contenido digital.
15
Por su parte, el conjunto de artículos referentes a los delitos contra la inviolabilidad del
secreto y el derecho a la intimidad son, los contenidos en los artículos 2 a 6 del
Convenio, como el acceso e interceptación ilícita, ataques a la integridad de los datos y
del sistema y abuso de los dispositivos. Los cuales dentro del Convenio se contemplan
como los delitos contra la confidencialidad, integridad y disponibilidad de datos y
sistemas informáticos.
En términos generales, los tres proyectos de Ley presentados hasta el momento se han
enfocado únicamente en modificar la legislación penal sustantiva en el sentido de
ampliar a la comisión de las conductas delictivas por medio de las nuevas tecnologías,
en algunos casos agregan otras circunstancias agravantes e incorporan nuevos tipos
penales.
Los únicos delitos que están tipificados en el Código Penal son aquellos que usan los
medios electrónicos como un fin.
El Proyecto de Ley 558, que modifica y adiciona artículos al Código Penal, relacionados
al Cibercriminal, presentado el 27 de septiembre de 2017, es el que se encuentra más
avanzado en la Asamblea Nacional. Sin embargo, carece de una adecuación integral,
ya que debería incluir la adopción de nuevos tipos penales más allá de una simple
adecuación de tipos penales ya existentes en un entorno cibernético, repercutirá en la
lucha contra la ciberdelincuencia en el país. En materia procesal, este proyecto
16
únicamente incluye un apartado sobre la evidencia digital, sin embargo, no profundiza
en otros aspectos procedimentales regulados en el Convenio de Budapest.
Las tres iniciativas de reforma al Código Penal que se han presentado como
consecuencia de la implementación del Convenio de Budapest se enfocan
principalmente en la regulación de los tipos penales con aspectos electrónicos y han
dejado atrás, las reformas en materia procesal; con excepción de una que si hace
referencia a la evidencia digital. Esto último dificultaría la adecuada implementación a
nivel nacional e internacional de los mecanismos de investigación de ciberdelincuencia,
así como el procesamiento de las personas involucradas en estos actos.
Any Connect es un software que permite a los empleados trabajar desde cualquier
lugar en las portátiles de la empresa o los dispositivos móviles personales; simplifica el
acceso seguro a las terminales y ofrece la seguridad necesaria para mantener su
organización segura y protegida. Asimismo, proporciona la visibilidad y el control que
los equipos de seguridad necesitan para identificar quién y qué dispositivos están
accediendo a su infraestructura.
17
Por otro lado, AppGate, otro software más personalizado, ofrece una prueba piloto
gratuita de 90 días del perímetro definido, para organizaciones que implementan
iniciativas de trabajo desde casa. Esta solución de perímetro definido por software (o
SDP por sus siglas en inglés), también ayuda a las empresas a implementar
rápidamente iniciativas remotas y de trabajo desde el hogar.
1. V dar por la seguridad informática de las redes y los sistemas informáticos de los
Ciudadanos y del Estado.
2. Realizar patrullaje digital y monitoreo de redes sociales en busca de delitos
informáticos.
3. Actuar como peritos especializados en todos los casos relativos a delitos
informáticos.
4. Emitir guías y boletines de ciberseguridad para el conocimiento de la ciudadanía
en general.
5. Colaborar en todas las investigaciones de los Delitos Contra la Seguridad
Jurídica de los Medios Electrónicos.
6. Colaborar en la persecución activa de delitos relacionados a pornografía infantil
en medios digitales.
18
IV. OPORTUNIDADES CONCRETAS PARA LA PROFESION DEL
AUDITOR
Las nuevas oportunidades de negocio para los auditores en ese entorno surgen de
varias necesidades. Por ejemplo, la tecnología está creando grandes cantidades de
nuevos datos ESG que las empresas deben recopilar, analizar e incorporar a sus
estrategias. Dicha información necesita ser verificada. De otra parte, es necesario
verificar de forma independiente los informes ESG que preparan las empresas y que
incluyen cifras financieras y no financieras. Las empresas deben satisfacer los
requerimientos de los reguladores para prevenir multas y sanciones.
19
El análisis de la ciberseguridad y gestión de riesgos de tecnología que se ofrecen en el
sector privado, que hay a disposición de las organizaciones y en los que puede estar
involucrados un profesional en el área de auditoría de sistemas, son los siguientes:
Ethical Hacking
Una prueba de "Ethical Hacking" o "Pentest", es la ejecución metodológica de un
conjunto de tareas, utilizando técnicas manuales y automatizadas, y cuyo objetivo es
ganar acceso a la Infraestructura Tecnológica, Servicios, Redes, Información o
Aplicaciones de la Organización, simulando la actividad de un potencial atacante
externo o interno.
20
Evaluación de riesgos de ciberseguridad
La evaluación de riesgo de ciberseguridad nos permite realizar un “GAP Análisis”
utilizando mejores prácticas para identificar los principales riesgos de ciberseguridad a
los que está expuesta nuestra empresa.
Auditoria de Sistema
Las Auditorías de Sistemas, ayudan a las organizaciones a conocer cómo se encuentra
el ambiente de control en comparación con las mejores prácticas y a mantener a la alta
gerencia informada del nivel de riesgo a la que están expuestos sus activos
tecnológicos.
Políticas de seguridad
Diseñar y documentar políticas y procedimientos de Seguridad de la Información y
Tecnología, basados en mejores prácticas, regulaciones y lineamientos internos de
cada empresa.
21
Un plan de recuperación ante desastres (DRP) es un proceso de recuperación que
cubre la información y la Infraestructura crítica, para que un negocio pueda retomar sus
operaciones en caso de un desastre.
1. Planificación de la Auditoría:
22
La planeación de Auditoría de Sistemas incluye: la naturaleza, plazos y
alcance de los procedimientos de auditoría a realizar, con el fin de obtener
evidencias apropiadas para formar una opinión. El alcance incluye las áreas a
auditar, el tipo de trabajo planificado, los objetivos de alto nivel, y alcance del
trabajo y temas como el presupuesto, asignación de recursos, fechas, público
objetivo y otros aspectos generales del trabajo. Una descripción de alto nivel
del trabajo de auditoría a realizar en un cierto periodo de tiempo.
2. Ejecución de la Auditoría:
Se realizará la auditoría de acuerdo con el plan de auditoría aprobado y se
establecerá un plan de proyecto, siguiendo los siguientes
elementos:
o Planificación y análisis de riesgos.
o Identificar los controles.
o Evaluar controles y obtener evidencias.
o Documentar el trabajo realizado y los hallazgos identificados.
o Confirmar hallazgo y las acciones correctivas.
23
4. Seguimiento:
Establecemos un proceso de seguimiento para ayudar a proporcionar garantía
razonable de que cada revisión realizada proporciona beneficio óptimo a la
empresa, requiriendo que los acuerdos sobre las conclusiones de las
revisiones se implementan de acuerdo con los compromisos de la gerencia o
la gerencia (ejecutiva) y reconoce y comprende el riesgo de retrasar o no
implementar los resultados y /o recomendaciones propuestas.
24
El valor del Auditor de Sistemas
25
VII Efectos del riesgo de la ciberdelincuencia ante el trabajo remoto .
En la guerra contra el coronavirus, el teletrabajo vuelve a surfear entre olas. Más allá de
todas sus ventajas a la hora de reducir desplazamientos y, por ende, riesgos de
contagio; entraña algunas amenazas para las empresas, entre las que destacan los
ataques informáticos dirigidos, sobre todo a quienes utilizan sus propios ordenadores,
no los corporativos, para trabajar desde casa.
Grandes compañías, como Telefónica, ya han lanzado un aviso a navegantes. Porque
si antes de la pandemia los empleados conformaban el eslabón más débil de las
empresas frente a los ciberdelincuentes, esta vulnerabilidad se agrava en esta nueva
era.
Los ataques informáticos más frecuentes que están recibiendo los tele trabajadores se
apoyan en ingeniería social, como el clásico phishing, que aprovecha el miedo y la
búsqueda de información relacionada con la COVID-19 para engañar al empleado.
Confidencialidad e integridad
Los expertos advierten de que el acceso a información y sistemas corporativos con
ordenadores personales pone en riesgo la confidencialidad e integridad de los sistemas
de la empresa. Y es que dichos equipos seguramente no cuenten con las mismas
medidas de protección (cifrado, DLP, antivirus, EDR, autenticación centralizada,
monitorización, VPN…) que tienen los ordenadores de empresa.
De esta manera, aumenta la amenaza de infección, robo de información, negación de
servicio, suplantación de identidad, etc., que podrían atentar incluso contra la
supervivencia de la compañía.
26
La pandemia pilló a medio mundo con el pie cambiado. Y aunque el grado de
digitalización varía significativamente entre empresas y sectores, lo cierto es que
muchas compañías se vieron abocadas a implantar el teletrabajo de manera acelerada
e imprevista, sin dotar a sus plantillas de los equipos informáticos necesarios para
trabajar desde casa de forma segura.
27
Además, junto con el acceso remoto, la principal amenaza son los ataques cuyo origen
se encuentra en el correo electrónico. Los ciberdelincuentes saben que es el medio de
comunicación predilecto en entornos corporativos, por lo que enfocan sus esfuerzos
mediante campañas de phishing, adjuntos o enlaces maliciosos o suplantaciones de
identidad. “También este tipo de campañas afecta a otros sistemas de mensajería en
los dispositivos móviles como WhatsApp”.
En cuanto a las videoconferencias, el experto de INCIBE explica que tratan de explotar
fragilidades no parcheadas o configuraciones de seguridad deficientes. Su objetivo es
comprometer la seguridad de la empresa y lograr el robo de información confidencial,
que puede ser utilizada para lanzar nuevos ataques dirigidos o ser vendida al mejor
postor en los mercados de la deep web.
28
considerado una herramienta de trabajo, es la empresa la que puede definir tanto los
controles de seguridad que se han de implantar como el uso aceptable que el empleado
debe hacer del mismo.
En cambio, con sus equipos particulares, los empleados no están obligados a cumplir
con todas las medidas de seguridad impuestas por la compañía. Aunque con la
tendencia de BYOD (Bring Your Own Device) -aclara Oliveri- se ha buscado lograr un
equilibrio donde el trabajador pone el ordenador, tablet, smartphone… y se adecua a
una serie de requerimientos de la empresa.
De alguna forma, “el empleado cede la gestión del dispositivo, pero debe ser capaz de
terminar en cualquier momento dicha cesión. La empresa tiene que, por un lado,
proteger la información corporativa que pudiera estar en dicho dispositivo y, por el otro,
garantizar que el empleado puede recuperar el control total del mismo”.
29
Lozano remarca que la seguridad es un proceso continuo, y que las organizaciones
tienen que incluirla en sus políticas como antes hicieron con la responsabilidad
corporativa, por ejemplo.
Desde INCIBE indican las grandes diferencias existentes entre pymes y grandes
compañías en la adopción de medidas de ciberseguridad.
Aunque las comparaciones sean odiosas y pese a la imposibilidad de generalizar,
mientras las grandes empresas son conscientes de los riesgos y disponen de más
medios y recursos para implementar mecanismos eficaces de protección y monitorizar
su actividad, en las pymes resulta habitual una cierta inconsciencia al respecto.
Virus informáticos
A esta falta de concienciación se suma en estos momentos una -en muchos casos-
crítica situación económica, lo que obliga a las pymes a reducir -cuando no a eliminar-
los recursos destinados a implementar mecanismos de ciberseguridad.
No obstante, en términos de importancia, “para las pymes la ciberseguridad debería ser
como su propia contabilidad”, puntualiza Lozano. Máxime ahora, cuando el teletrabajo
predomina entre olas y olas de un virus que, además de epidemiológico, también es
informático.
30
CONCLUSION
31
La construcción de políticas públicas y legislaciones, sustantivas y procesales, 9
adecuadas a los estándares internacionales en materia de ciberdelincuencia es una
urgencia en Panamá. Las entidades públicas que participan en los procesos de
investigación penal y de otros sectores, como el sector privado y la comunidad técnica,
deben buscar el desarrollo de capacidades para hacer frente en la lucha contra la
ciberdelincuencia.
BIBLIOGRAFIA
32
8. https://www.laestrella.com.pa/nacional/210113/detienen-persona-vinculada-
supuesto-hackeo-servidores-policia
9. https://asamblea.gob.pa/APPS/SEG_LEGIS/PDF_SEG/PDF_SEG_2020/
PDF_SEG_2021/2021_A_257.pdf
ANEXOS
Sospechoso del ciberataque a la policía nacional ya había tenido acceso previo, a los
servidores por servicios de monitoreo de señales de celular en cárceles.
33
Titulares de noticias por ataques al Mides
34
35