Delitos Informáticos

Delito informático, crimen genérico o crimen electrónico, que

agobia con operaciones ilícitas realizadas por medio de Internet o
que tienen como objetivo destruir y dañar ordenadores, medios
electrónicos y redes de Internet.

Sin embargo, las categorías que definen un delito informático son

aún mayores y complejas, pueden incluir delitos tradicionales
como el fraude, el robo, chantaje, falsificación y la malversación
de caudales públicos y privados, en los cuales ordenadores y
redes han sido utilizados.

Con el desarrollo de la programación y de Internet, los delitos

informáticos se han vuelto más frecuentes y sofisticados.

Curso: Seguridad de Sistemas 1

 Delitos Informáticos

Existen actividades delictivas que se realizan por medio de

estructuras electrónicas, que van ligadas a un sin número de
herramientas delictivas, que buscan infringir y dañar todo lo que
encuentren en el ámbito informático:
➢Ingreso ilegal a sistemas,
➢Intercepción ilegal de redes,
➢Interferencias,
➢Daños en la información (borrado, dañado, alteración o
supresión),
➢Mal uso de artefactos, chantajes, fraude electrónico,
➢Ataques a sistemas, robo de bancos,
➢Ataques realizados por hackers,
➢Violación de los derechos de autor,
➢Pornografía infantil, pedofilia en Internet,
➢Violación de información confidencial,
➢Muchos otros.

Curso: Seguridad de Sistemas 2

 Delitos Informáticos

Generalidades

El delito informático incluye una amplia variedad de categorías de

crímenes. Generalmente este puede ser dividido en dos grupos:

➢Crímenes que tienen como objetivo redes de computadoras, por

ejemplo, con la instalación de códigos, gusanos y archivos
maliciosos (Spam), ataque masivos a servidores de Internet y
generación de virus,
➢Crímenes realizados por medio de ordenadores y de Internet, por
ejemplo, espionaje, fraude y robo, pornografía infantil, pedofilia,
etc.

Un ejemplo común es cuando una persona comienza a robar

información de websites o causa daños a redes o servidores. Estas
actividades pueden ser absolutamente virtuales, porque la
información se encuentra en forma digital y el daño, aunque real
no tiene consecuencias físicas distintas a los daños causados
sobre los ordenadores o servidores.

Curso: Seguridad de Sistemas 3

 Delitos Informáticos

Generalidades (cont.)

En algunos sistemas judiciales la propiedad intangible no puede

ser robada y el daño debe ser visible.
Un ordenador puede ser fuente de evidencia y aunque el
ordenador no haya sido directamente utilizado para cometer el
crimen, es un excelente artefacto que guarda los registros,
especialmente en su posibilidad de codificar los datos.

Esto ha hecho que los datos codificados de un ordenador o

servidor tengan el valor absoluto de evidencia ante cualquier
corte del mundo.

Los diferentes países suelen tener policía especializada en la

investigación de estos complejos delitos, que al ser cometidos a
través de internet, en un gran porcentaje de casos excede las
fronteras de un único país, complicando su esclarecimiento
viéndose dificultado por la diferente legislación de cada país o
simplemente la inexistencia de ésta.

Curso: Seguridad de Sistemas 4

 Delitos Informáticos

Crímenes específicos

Spam:
El Spam o los correos electrónicos no solicitados para propósito
comercial, es ilegal en diferentes grados.

La regulación de la ley en cuanto al Spam en el mundo es

relativamente nueva y por lo general impone normas que
permiten la legalidad del Spam en diferentes niveles.

El Spam legal debe cumplir estrictamente con ciertos requisitos

como permitir que el usuario pueda escoger el no recibir dicho
mensaje publicitario o ser retirado de listas de destinatarios de
email.

Curso: Seguridad de Sistemas 5

 Delitos Informáticos

Crímenes específicos (cont.)

Fraude:
El fraude informático es inducir a otro a hacer o a restringirse en hacer
alguna cosa, de lo cual el criminal obtendrá un beneficio por lo siguiente:

1.Alterar el ingreso de datos de manera ilegal. Esto requiere que el

criminal posea un alto nivel de técnica y por lo mismo es común en
empleados de una empresa que conocen bien las redes de información de
la misma y pueden ingresar a ella para alterar datos, como generar
información falsa que los beneficie, crear instrucciones y procesos no
autorizados o dañar los sistemas,
2.Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil
de detectar,
3.Alterar o borrar archivos,
4.Alterar o dar un mal uso a sistemas o software, alterar o reescribir
códigos con propósitos fraudulentos. Estos eventos requieren de un alto
nivel de conocimiento.

Otras formas de fraude informático incluye la utilización de sistemas de

computadoras para robar bancos, realizar extorsiones o robar
información clasificada.

Curso: Seguridad de Sistemas 6

 Delitos Informáticos

Crímenes específicos (cont.)

Contenido obsceno u ofensivo:

El contenido de un website o de otro medio de comunicación
electrónico, puede ser obsceno u ofensivo por una gran gama de
razones. En ciertos casos dicho contenido puede ser ilegal.
Igualmente, no existe una normativa legal universal y la
regulación judicial puede variar de país a país, aunque existen
ciertos elementos comunes.

Sin embargo, en muchas ocasiones, los tribunales terminan siendo

árbitros, cuando algunos grupos se enfrentan a causa de
contenidos que en un país no tienen problemas judiciales, pero sí
en otros. Un contenido puede ser ofensivo u obsceno, pero no
necesariamente por ello es ilegal.

Algunas jurisdicciones limitan ciertos discursos y prohíben

explícitamente el racismo, la subversión política, la promoción de
la violencia, los sediciosos y el material que incite al odio y al
crimen.
Curso: Seguridad de Sistemas 7
 Delitos Informáticos

Crímenes específicos (cont.)

Hostigamiento / Acoso:
El hostigamiento o acoso es un contenido que se dirige de manera
específica a un individuo o grupo, con comentarios derogativos a
causa de su sexo, raza, religión, nacionalidad, orientación sexual,
etc.

Esto ocurre por lo general en canales de conversación, grupos o

con el envío de correos electrónicos destinados en exclusiva a
ofender. Todo comentario que sea derogatorio u ofensivo es
considerado como hostigamiento o acoso.

Curso: Seguridad de Sistemas 8

 Delitos Informáticos

Crímenes específicos (cont.)

Tráfico de drogas:
El narcotráfico se ha beneficiado especialmente de los avances del
Internet y a través de éste, promocionan y venden drogas ilegales
a través de emails codificados y otros instrumentos tecnológicos.

Muchos narcotraficantes organizan citas en cafés Internet. Como

el Internet facilita la comunicación de manera que la gente no se
ve las caras, las mafias han ganado también su espacio en el
mismo, haciendo que los posibles clientes se sientan más seguros
con este tipo de contacto.

Además, el Internet posee toda la información alternativa sobre

cada droga, lo que hace que el cliente busque por sí mismo la
información antes de cada compra.

Curso: Seguridad de Sistemas 9

 Delitos Informáticos

Crímenes específicos (cont.)

Terrorismo virtual:
Desde 2001 el terrorismo virtual se ha convertido en uno de los
novedosos delitos de los criminales informáticos, los cuales
deciden atacar masivamente el sistema de ordenadores de una
empresa, compañía, centro de estudios, oficinas oficiales, etc.

Un ejemplo de ello lo ofrece un hacker de Nueva Zelandia, Owen

Thor Walker (AKILL), quien en compañía de otros hackers, dirigió
un ataque en contra del sistema de ordenadores de la Universidad
de Pennsylvania en 2008.

La difusión de noticias falsas en Internet (por ejemplo decir que

va a explotar una bomba en el Metro), es considerado terrorismo
informático y es procesable.

Curso: Seguridad de Sistemas 10

 Delitos Informáticos

Sujetos activos y pasivos

Muchas de las personas que cometen los delitos informáticos poseen

ciertas características específicas tales como la habilidad para el manejo
de los sistemas informáticos o la realización de tareas laborales que le
facilitan el acceso a información de carácter sensible.
En algunos casos la motivación del delito informático no es económica,
sino que se relaciona con el deseo de ejercitar y a veces hacer conocer a
otras personas, los conocimientos o habilidades del delincuente en ese
campo.

Muchos de los "delitos informáticos" encuadran dentro del concepto de

"delitos de cuello blanco", término introducido por primera vez por el
criminólogo estadounidense Edwin Sutherland en 1943.
Esta categoría requiere que:
(1) el sujeto activo del delito sea una persona de cierto estatus
socioeconómico,
(2) su comisión no pueda explicarse por falta de medios económicos,
carencia de recreación, poca educación, poca inteligencia, ni por
inestabilidad emocional.

Curso: Seguridad de Sistemas 11

 Delitos Informáticos

Sujetos activos y pasivos (cont.)

El sujeto pasivo en el caso de los delitos informáticos puede ser

individuos, instituciones crediticias, órganos estatales, etc. que
utilicen sistemas automatizados de información, generalmente
conectados a otros equipos o sistemas externos.

Para la labor de prevención de estos delitos es importante el

aporte de los damnificados, que puede ayudar en la determinación
del modus operandi, esto es de las maniobras usadas por los
delincuentes informáticos.

Curso: Seguridad de Sistemas 12

 Delitos Informáticos

Regulaciones legales

Análisis de la situación de la legislación local, regional,

convenciones adoptadas por el país.

Análisis del grado de probabilidad de ocurrencia de situaciones

calificables como delitos informáticos, conforme el nivel de
regulación de país.

Curso: Seguridad de Sistemas 13

 Hacking Ético

Hacker

Un hacker es alguien que descubre las debilidades de una

computadora o de una red informática, aunque el término puede
aplicarse también a alguien con un conocimiento avanzado de
computadoras y de redes informáticas.
1. Los hackers pueden estar motivados por una multitud de
razones, incluyendo fines de lucro, protesta o por el desafío.
2. La subcultura que se ha desarrollado en torno a los hackers a
menudo se refiere a la cultura underground de computadoras,
pero ahora es una comunidad abierta.

Aunque existen otros usos de la palabra «hacker» que no están

relacionados con la seguridad informática, rara vez se utilizan
en el contexto general.
Están sujetos a la antigua controversia de la definición de hacker
sobre el verdadero significado del término.

Curso: Seguridad de Sistemas 14

 Hacking Ético

Hacker (cont.)

En esta controversia, el término hacker es reclamado por los

programadores, quienes argumentan que alguien que irrumpe en
las computadoras se denomina «cracker»,
3. sin hacer diferenciación:
➢entre los delincuentes informáticos —sombreros negros—
➢y los expertos en seguridad informática —sombreros blancos—.

Algunos hackers de sombrero blanco afirman que ellos también

merecen el título de hackers, y que solo los de sombrero negro
deben ser llamados crackers.

Curso: Seguridad de Sistemas 15

 Hacking Ético

Principales clasificaciones

Sombrero blanco:
Un hacker de sombrero blanco rompe la seguridad por razones no
maliciosas, quizás para poner a prueba la seguridad de su propio
sistema o mientras trabaja para una compañía de software que
fabrica software de seguridad.

El término sombrero blanco en la jerga de Internet se refiere a un

hacker ético.

Esta clasificación también incluye a personas que llevan a cabo

pruebas de penetración y evaluaciones de vulnerabilidad dentro
de un acuerdo contractual.

El Consejo Internacional de Consultores de Comercio Electrónico,

también conocido como EC-Council, ha desarrollado
certificaciones, cursos, clases y capacitaciones en línea cubriendo
toda la esfera del hacker ético.
Curso: Seguridad de Sistemas 16
 Hacking Ético

Principales clasificaciones (cont.)

Sombrero negro:
Un hacker de sombrero negro es un hacker que viola la seguridad
informática por razones más allá de la malicia o para beneficio
personal.

Los hackers de sombrero negro son la personificación de todo lo

que el público teme de un criminal informático.

Los hackers de sombrero negro entran a redes seguras para

destruir los datos o hacerlas inutilizables para aquellos que
tengan acceso autorizado.

Curso: Seguridad de Sistemas 17

 Hacking Ético

Principales clasificaciones (cont.)

Sombrero negro:
La forma en que eligen las redes a las que van a entrar, es un
proceso que puede ser dividido en tres partes:
1. Elección de un objetivo: El hacker determina a cuál red irrumpir
durante esta fase. El objetivo puede ser de especial interés para el
hacker, ya sea política o personalmente, o puede ser elegido al
azar.
2. Recopilación de información e investigación: Es en esta etapa que
el hacker visita o hace contacto con el objetivo de alguna manera
con la esperanza de descubrir información vital que le ayudará a
acceder al sistema. La principal forma en que los hackers obtienen
los resultados deseados durante esta etapa es la de la ingeniería
social.
3. Finalización del ataque: Esta es la etapa en la que el hacher
invadirá al objetivo preliminar que había planeado atacar o robar.
En este punto, muchos hackers pueden ser atraídos o atrapados
por cualquier dato, también conocido como honeypot —una trampa
colocada por el personal de seguridad informática.

Curso: Seguridad de Sistemas 18

 Hacking Ético

Principales clasificaciones (cont.)

Sombrero gris:
Un hacker de sombrero gris es una combinación de un hacker de
sombrero negro con uno de sombrero blanco.
Un hacker de sombrero gris puede navegar por la Internet y
hackear un sistema informático con el único propósito de notificar
al administrador que su sistema ha sido hackeado, por ejemplo.
Luego se puede ofrecer para reparar su sistema por un módico
precio.

Hacker de elite:
Como nivel social entre los hackers, elite se utiliza para describir
a los expertos.
Los exploits recientemente descubiertos circularán entre estos
hackers.
Grupos de elite como Masters of Deception confieren una especie
de credibilidad a sus miembros.

Curso: Seguridad de Sistemas 19

 Hacking Ético

Principales clasificaciones (cont.)

Sombrero azul:
Un hacker de sombrero azul es una persona fuera de las empresas
de consultoría informática de seguridad, que es utilizado para
hacer una prueba de errores de un sistema antes de su
lanzamiento, en busca de exploits para que puedan ser cerrados.
Microsoft también utiliza el término sombrero azul (en inglés:
BlueHat) para representar una serie de eventos de información de
seguridad.

Hacktivista:
Un hacktivista es un hacker que utiliza la tecnología para anunciar
un mensaje social, ideológico, religioso o político. En general, la
mayoría de hacktivismo implica la desfiguración de cibersitios o
ataques de denegación de servicio.

Estado de la Nación:
Se refiere a los servicios de inteligencia y a los operativos de
guerra informática.
Curso: Seguridad de Sistemas 20
 Hacking Ético

Certified Ethical Hacker

Certified Ethical Hacker es una certificación profesional promovida

por el Consorcio Internacional de Consultas de Comercio
Electrónico.

Un hacker ético es el nombre adoptado para la realización de

pruebas de penetración o intrusión a redes informáticas. Un
hacker ético usualmente es un empleado o persona perteneciente
a una organización, el cual intenta introducirse a una red
informática o un sistema informático, utilizando métodos y
técnicas hacker, pero su propósito principal es la búsqueda y
resolución de vulnerabilidades de seguridad que permitieron la
intrusión.

La Certificación de Hacker Ético CEH actualmente se encuentra en

su versión 6.

Curso: Seguridad de Sistemas 22

 Proyectos

Propuestas de Prácticas a desarrollar al finalizar este Tema:

1. Propuestas de Proyectos:
➢ Aplicando los principios establecidos en este documento, realice
un análisis general de 2 áreas o funciones, donde pueda
realizarse un análisis de Hacking Ético.
➢ La propuesta debe contener:
➢ Justificación,
➢ Objetivos generales y específicos,
➢ Alcances y limitaciones,
➢ Expectativas de resultados a obtener,
➢ Acuerdo de confidencialidad con la entidad contratada,
➢ Presupuesto económico,
➢ Gantt para la planificación de la ejecución.
➢ Este escenario debe hacer referencia a su ambiente de trabajo
actual (sin anotar detalles específicos de su trabajo, que le
comprometan)

Curso: Seguridad de Sistemas 23