Con la aparicin de Internet y su ubicuidad en la vida profesional y privada de las personas, aparecen asociados nuevos riesgos que es necesario

evitar o al menos, minimizar. Emerge as el asunto de la Seguridad Informtica, que no existe en trminos absolutos, se debe tener bien en claro que slo es posible reducir las oportunidades de que un sistema sea comprometido o minimizar la duracin y daos provocados a raz de un ataque. Cuando se produce un ataque entran en juego tres elementos clave: la confidencialidad, la integridad y la disponibilidad de los datos, junto al impacto en los equipos fsicos y en un tema no menor, la reputacin de la persona o de la institucin. El impacto incluye temas desde posibles prdidas econmicas hasta implicancias legales. Si bien el tema est internalizado en el ambiente del personal informtico capacitado, en muchas oportunidades no se cuenta en las instituciones con una poltica escrita, formal, de Seguridad Informtica. Adems, los usuarios finales no estn suficientemente concientizados de este asunto. Se hace necesario fortalecer una campaa de alfabetizacin al respecto. Los profesionales de la informacin, no necesariamente estn bien instruidos en asuntos de la tecnologa de la informacin. En mi opinin, sera importante que los mismos contaran, al menos, con una capacitacin bsica sobre estos temas para poder as enfrentar adecuadamente las situaciones que puedan presentarse durante el desarrollo de sus tareas. Asimismo estaran en mejores condiciones de poder interaccionar con los sectores de informtica, sistemas o como se los denomine en cada institucin y reclamar la implantacin de una poltica de seguridad formal, en aquellos lugares donde no la hubiera, ya que la misma, siempre y cuando se cumpla, permite estar en una mejor posicin para evitar o al menos mitigar, los impactos negativos de un ataque informtico.

Si se busca la definicin de seguridad en el diccionario de la Real Academia de la Lengua Espaola, sta mostrara algo como: libre y exento de todo peligro o riesgo. Una definicin de seguridad informtica es la siguiente: son las medidas que permiten evitar la realizacin de acciones no autorizadas que afecten de alguna manera la confidencialidad, autenticidad o integridad de la informacin y que de la misma forma garanticen el funcionamiento correcto del equipo y la disponibilidad de ste para los usuarios legtimos. En lneas generales la seguridad informtica es el rea de

la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta (incluyendo la informacin contenida). Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software, bases de datos, metadatos, archivos y todo lo que la organizacin valore (activo) y signifique un riesgo si sta llega a manos de otras personas. Este tipo de informacin se conoce como informacin privilegiada o confidencial. El concepto de seguridad de la informacin no debe ser confundido con el de seguridad informtica, ya que este ltimo slo se encarga de la seguridad en el medio informtico, pudiendo encontrar informacin en diferentes medios o formas. Es lamentable decir que la informacin nunca va a estar libre de riesgo. La seguridad no trata sobre cmo estar libre de peligro, ms bien se refiere a una buena administracin del riesgo. As fundamentalmente la seguridad es la mejor manera para llevar a cabo la administracin de la prdida o riesgo. Por lo tanto, la definicin de seguridad informtica queda como: La administracin de la prdida o riesgo en la informacin y del costo que resulte de esa prdida.En este apartado no se pretende tratar a gran detalle los factores que influyen en la seguridad, pero se da una breve explicacin de los conceptos utilizados para lograr tener una idea ms clara de la seguridad informtica.

Caractersticas e importancia de la seguridad informtica Los objetivos primordiales de la seguridad informtica son mantener la integridad, disponibilidad, privacidad, control y autenticidad de la informacin. Esto debe cumplirse en los equipos utilizados para la manipulacin de la informacin. Existen muchas maneras para poner en funcionamiento distintas medidas de seguridad, mundialmente es reconocido que la trada de la seguridad confidencialidad, integridad y disponibilidad (CIA: confidentiality, integrity and availability) forma la base de una buena iniciativa de seguridad.

a. Aprendizaje de la Seguridad Informtica Existen procesos usados en la enseanza de la seguridad informtica que no son muy buenos, algunos son muy superficiales o demasiado detallados dejando al estudiante con una gran desventaja. Suponiendo que el estudiante tuviera una buena formacin, algunos destacarn ms que otros debido a sus habilidades inherentes, existen muchas personas con habilidades innatas que sin necesidad de revisar o estudiar el tema lo dominan. Esto supone un mayor esfuerzo para las personas que carecen de habilidades naturales. Otro factor importante es el gusto por el campo de estudio, una persona que se apasiona con el tema va a mostrar mejores resultados que alguien a quien el tema le produce indiferencia. Y el ltimo factor que destaca a un experto es la prctica, si alguien no practica lo estudiado en el mundo real terminar por olvidarlo Necesita una persona ser realmente un experto para introducirse en este campo? la respuesta es No, citando un ejemplo: No se necesita ser un Ingeniero Automotriz para manejar un auto. No es necesario ser expertos en Seguridad Informtica para asegurar su propia computadora, se tenga o no la habilidad natural. Lo que la gente necesita hacer es tener la capacitacin bsica y comprender el proceso de asegurar una computadora. Teniendo esto se puede

comenzar a asegurar las computadoras, aunque no se tenga la habilidad natural, se necesita implementar y practicar el proceso. Para implementar la seguridad informtica de una forma amplia, se deben tomar en cuenta diversos factores que pueden influir directamente en el comportamiento de sta. Algunos de estos factores son los siguientes: 1) La perspectiva que tengan los directivos de la empresa respecto a la seguridad informtica, se deben considerar los aspectos positivos de la seguridad informtica (la disminucin del riesgo) y no considerarla como otro gasto. Se debe hacer una adecuada valoracin del riesgo para tomar en cuenta su importancia y dedicarle as los recursos financieros necesarios. 2) Que el personal encargado de administrar los equipos tenga el conocimiento suficiente, as como una mentalidad adecuada sobre la importancia del manejo y la proteccin de la informacin. 3) Concientizar a todos los usuarios del sistema y realizar la asignacin de responsabilidades. 4) Mantener los sistemas actualizados ya sea software o hardware, instalando las posibles correcciones de seguridad proporcionadas por el fabricante o proveedor. 5) Realizacin de polticas de seguridad que se apliquen al caso especfico de la empresa. 6) Mantener el control de usuarios y privilegios para las personas que utilicen los sistemas. 7) Considerar las amenazas tanto internas como externas.

b. La seguridad es un Debe ser seguro La seguridad debe tomarse como un Debe ser seguro y evitar utilizar el Debera ser seguro. Por ejemplo, cuando se realiza alguna compra en Amazon , se tiene que proporcionar el nmero de la tarjeta de crdito y el sistema debe brindar un proceso lo ms seguro posible para llevar a cabo la transaccin, no brindar simplemente un proceso de transaccin. La seguridad debe ser considerada una

parte de todas las operaciones. No se pretende mencionar que la seguridad es la prioridad ms alta, pero s se quiere resaltar que debe ser integrada en todos los requerimientos de informacin, ya que brinda la administracin del riesgo. Objetivos de la seguridad informtica Generalmente, los sistemas de informacin incluyen todos los datos de una compaa y tambin en el material y los recursos de software que permiten a una compaa almacenar y hacer circular estos datos. Los sistemas de informacin son fundamentales para las compaas y deben ser protegidos. La seguridad informtica se resume, por lo general, en cinco objetivos principales:
y y

Integridad: garantizar que los datos sean los que se supone que son Confidencialidad: asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian Disponibilidad: garantizar el correcto funcionamiento de los sistemas de informacin Evitar el rechazo: garantizar de que no pueda negar una operacin realizada. Autenticacin: asegurar que slo los individuos autorizados tengan acceso a los recursos.

Cul puede ser el valor de los datos? Establecer el valor de los datos es algo totalmente relativo, pues la informacin constituye un recurso que, en muchos casos, no se valora adecuadamente debido a su intangibilidad, cosa que no ocurre con los equipos, la documentacin o las aplicaciones. Adems, las medidas de seguridad no influyen en la productividad del sistema por lo que las organizaciones son reticentes a dedicar recursos a esta tarea. Cuando hablamos del valor de la informacin nos referimos, por ejemplo, a qu tan peligroso es enviar la informacin de mi tarjeta de crdito a travs de Internet para

hacer una compra, en una red gigantesca donde viajan no nicamente los dgitos de mi tarjeta de crdito sino millones de datos ms , grficas, voz y vdeo. De hecho, este tema es complejo. Algunos expertos opinan que se corre ms peligro cuando se entrega una tarjeta de crdito al empleado de un restaurante o cuando se la emplea telefnicamente para efectivizar alguna compra. El peligro ms grande radica no en enviar la informacin sino una vez que esta informacin, unida a la de miles de clientes ms, reposa en una base de datos de la compaa con las que se concret el negocio. Con un nico acceso no autorizado a esta base de datos, es posible que alguien obtenga no nicamente mis datos y los de mi tarjeta, sino que tendr acceso a los datos y tarjetas de todos los clientes de esta compaa. En efecto, el tema no est restringido nicamente a Internet. Aunque no se est conectado a Internet, una red est expuesta a distintos tipos de ataques electrnicos, incluidos los virus. Para tratar de asignar un valor al costo del delito electrnico podramos mencionar el reporte de la agencia norteamericana Defense Information Systems Agency titulado Defending the Defense Information Infrastructure- Defense Information Systems Agency, del 9 de julio de 1996. En dicho informe las corporaciones ms grandes de los Estados Unidos reportan haber experimentado prdidas estimadas en U$S 800 millones dlares en 1996 debido a ataques a la red. Asimismo el informe de marzo de 1997 de The Computer Security Institute (CSI) indica que el crimen de cmputo contina en alza y se reportan prdidas superiores a los U$S 100 millones de dlares y esto es tan solo durante el primer cuarto del ao 1997. Si, adems, tenemos en cuenta que segn las estadsticas de estas agencias norteamericanas slo 1 de cada 500 ataques son detectadas y reportadas, ya es posible hacerse una idea de los valores involucrados en este tipo de delito.

Sistemas de seguridad informtica Tal como se ha mencionado anteriormente la seguridad es una de las piezas fundamentales para evitar la mayora de los problemas que se producen en el sistema informtico de un entorno de la organizacin. Este hecho, se acenta ms a medida que la organizacin crece, puesto que el libre acceso a Internet, el incremento en el volumen de datos y los bajos conocimientos de los usuarios en temas informticos, hace que inconscientemente se exponga a los equipos y datos de la empresa a todo tipo de peligros:

AMENAZAS PARA LOS SISTEMAS INFORMTICOS

y y y

Virus, troyanos, spyware, phising, malware, etc... Programas de descarga de archivos o P2P: e-mule, Ares, etc... Robo de datos e informacin tanto de personas ajenas a la empresa como de propios empleados. Aplicaciones "No productivas": Messenger, Youtube, Facebook, etc.... Prdida de datos por error humano o por fallo fsico o lgico. Empleados que destintan su tiempo a "no trabajar".

y y y

Por este motivo es importante contar con un sistema que garantice la seguridad de los equipos y de los datos que stos contienen.

Es por ello que nos debemos preguntar Qu es el riesgo? El riesgo es una prdida potencial que depende de algunos factores. Se define al riesgo con una frmula:

Riesgo = (Amenaza * Vulnerabilidades / Medidas de prevencin) * Valor Usualmente el riesgo va a estar dado en trminos monetarios, en algunos casos puede ser en vidas, personalmente creo que la vida no tiene un precio, aunque lamentablemente existen empresas que consideran el riesgo de perder la vida solamente como una prdida monetaria. La autenticacin suele realizarse mediante una contrasea, an cuando sera ms lgico - si bien los costes resultan todava altos para la mayora de sistemas - que se pudiera combinar con caractersticas biomtricas del usuario para impedir la suplantacin. Entre stas pueden estar: la realizacin de la firma con reconocimiento automtico por ordenador, el anlisis del fondo de ojo, la huella digital u otras. Al margen de la seguridad, nos parece que el mayor riesgo, an teniendo un entorno muy seguro, es que la Informtica y la Tecnologa de la Informacin en general no cubran las necesidades de la entidad; o que no estn alineadas con las finalidades de la organizacin. Limitndonos a la seguridad propiamente dicha, los riesgos pueden ser mltiples. El primer paso es conocerlos y el segundo es tomar decisiones al respecto; conocerlos y no tomar decisiones no tiene sentido y debiera crearnos una situacin de desasosiego. Dado que las medidas tienen un costo, a veces, los funcionarios se preguntan cul es el riesgo mximo que podra soportar su organizacin. La respuesta no es fcil porque depende de la criticidad del sector y de la entidad misma, de su dependencia respecto de la informacin, y del impacto que su no disponibilidad pudiera tener en la entidad. Si nos basamos en el impacto nunca debera aceptarse un riesgo que pudiera

Riesgos: clasificacin de Shirey 4 clases: .- Revelacin (disclosure): Acceso no autorizado a la informacin .- Engao (deception): Admisin de datos falsos .- Perturbacin (disruption): Interrupcin o prevencin de correcta operacin .- Usurpacin: Control no autorizado de las partes del sistema Riesgos comunes  Fisgoneo (snooping): Captura no autorizada de informacin (forma pasiva de revelacin). .- Modificacin: cambio no autorizado de informacin (engao, perturbacin, usurpacin). Enmascaramiento: una entidad hace pasarse por otra (engao, usurpacin). b. Valor Es el componente ms importante del riesgo, sin el valor no hay riesgo. Tcnicamente sin valor no se tendra una prdida. c. Amenaza Es esencialmente Qu o Quin puede causar algn dao si le dan la oportunidad. d. Vulnerabilidad Las vulnerabilidades son bsicamente las debilidades que permiten a la amenaza e. Contramedidas Son las precauciones que una organizacin toma para reducir el riesgo.

Qu es un anlisis de riesgos? Un anlisis de riesgos es simplemente una cuidadosa exanimacin de que si una tarea a realizar en el trabajo podra causar dao lesin a los trabajadores, entonces poder analizar si se han tomado todas las precauciones si es necesario realizar ms para prevenir accidentes. Los trabajadores y otras personas tienen el derecho a ser protegidas contra una lesin causada por una falla tomando las medidas razonables de control. Los accidentes y enfermedades profesionales pueden arruinar vidas y afectar seriamente su negocio si los

resultados son afectados, la maquinaria es daada, los costos de los seguros se incrementan o si usted es demandado. Es la identificacin de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de informacin (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organizacin. Una fase fundamental en la seguridad informtica es la etapa de anlisis de riesgos. Sin importar cual sea el proceso que se siga, el anlisis de riesgos comprende los siguientes pasos: 1. Definir los activos informticos a analizar. 2. Identificar las amenazas que pueden comprometer la seguridad de los activos. 3. Determinar la probabilidad de ocurrencia de las amenazas. 4. Determinar el impacto de las amenaza, con el objeto de establecer una priorizacin de las mismas. 5. Recomendar controles que disminuyan la probabilidad de los riesgos. 6. Documentar el proceso. Las metodologas de anlisis de riesgo difieren esencialmente en la manera de estimar la probabilidad de ocurrencia de una amenaza y en la forma de determinar el impacto en la organizacin. Las metodologas ms utilizadas son cualitativas, en el sentido de que dan una caracterizacin de alta/media/baja a la posibilidad de contingencia ms que una probabilidad especfica. El estndar ISO/IEC 27001 adopta una metodologa de anlisis de riesgos cualitativa. El ISO/IEC 27001 es un estndar internacional para los sistemas de gestin de la seguridad informtica, que est estrechamente relacionado al estndar de controles recomendados de seguridad informtica.

Bases Legales La Organizacin de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informticos: y
y

Fraudes cometidos mediante manipulacin de computadoras Manipulacin de los datos de entrada: este tipo de fraude informtico conocido tambin como sustraccin de datos, representa el delito informtico ms comn ya que es fcil de cometer y difcil de descubrir. La manipulacin de programas: consiste en modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas. Es muy difcil de descubrir y a menudo pasa inadvertida debido a que el delincuente tiene conocimientos tcnicos concretos de informtica y programacin. Manipulacin de los datos de salida: se efecta fijando un objetivo al funcionamiento del sistema informtico. El ejemplo ms comn es el fraude del que se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones para la computadora en la fase de adquisicin de datos. Fraude efectuado por manipulacin informtica: aprovecha las repeticiones automticas de los procesos de cmputo. Es una tcnica especializada que se denomina "tcnica del salchichn" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del ladrn n veces.

Estndares Internacionales El estndar para la seguridad de la informacin ISO/IEC 27001 (Information technology - Security techniques - Information security management systems Requirements) fue aprobado y publicado como estndar internacional en octubre

de

2005

por International

Organization

for

Standardization y

por

la

comisin International Electrotechnical Commission. ISO/IEC 17799 Estndar de Gestin de Seguridad de la Informacin en redes informticas y otros medios donde fluye la informacin de la Organizacin Internacional de Estndares (ISO). IEEE P1363 Estndar de manejos de Claves de acceso y seguridad Informtica del Institute of Electrical and Eletronics Engineers (IEEE) Leyes Nacionales Ley Especial Contra Delitos Informticos promulgada en Gaceta Oficial N 37.313 de fecha 30 de octubre de 2001 por la Asamblea Nacional Ley Sobre Mensajes de Datos y Firmas 10 de febrero de 2001 Ley Orgnica de Telecomunicaciones, promulgada en Gaceta Oficial N 37.148 de fecha 28 de febrero de 2001 por Decreto N 1.024 - 10 de febrero de 2001 Legislacin Internacional Estas son algunas de las legislaciones en otros pases. Chile fue el primer pas latinoamericano en sancionar una Ley contra Delitos Informticos. La ley 19223 publicada en el Diario Oficial (equivalente del Boletn Oficial argentino) el 7 de junio de 1993 seala que la destruccin o inutilizacin de Electrnicas promulgada en

Gaceta Oficial N 37.148 de fecha 28 de febrero de 2001, por Decreto N 1.024

un sistema de tratamiento de informacin puede ser castigado con prisin de un ao y medio a cinco. En Alemania, para hacer frente a la delincuencia relacionada con la informtica, el 15 de mayo de 1986 se adopt la Segunda Ley contra la Criminalidad Econmica. Esta ley reforma el Cdigo Penal (art. 148 del 22 de diciembre de 1987) Espaa quizs sea el que mayor experiencia ha obtenido en casos de delitos informticos, en Europa. Su actual Ley Orgnica de Proteccin de Datos de Carcter Personal (LOPDCP) aprobada el 15 de diciembre de 1999, la cual reemplaza una veintena de leyes anteriores de la misma ndole, contempla la mayor cantidad de acciones lesivas sobre la informacin. Se sanciona en forma detallada la obtencin o violacin de secretos, el espionaje, la divulgacin de datos privados, las estafas electrnicas, el hacking maligno o militar, el phreacking, la introduccin de virus, etc.; aplicando pena de prisin y multa, agravndolas cuando existe una intencin dolosa o cuando el hecho es cometido por parte de funcionarios pblicos. Estados Unidos en 1994 adopt el Acta Federal de Abuso Computacional (18 U.S.C. Sec 1030), modificando el Acta de 1986. Aqu se contempla la regulacin de los virus (computer contaminant) conceptualizndolos aunque no los limita a los comnmente llamados virus o gusanos sino que contempla a otras instrucciones designadas a contaminar otros grupos de programas o bases de datos. Modificar, destruir, copiar, transmitir datos o alterar la operacin normal de las computadoras, los sistemas o las redes informticas es considerado delito. As, esta ley es un acercamiento real al problema, alejado de argumentos tcnicos para dar cabida a una nueva era de ataques tecnolgicos. El FCIC (Federal Computers Investigation Commitee), es la organizacin ms importante e influyente en lo referente a delitos computacionales: los investigadores estatales y locales, los agentes federales, abogados, auditores financieros, programadores de

seguridad y policas de la calle trabajan all comunitariamente. El FCIC es la entrenadora del resto de las fuerzas policiales en cuanto a delitos informticos, y el primer organismo establecido en el nivel nacional. En Holanda el da 1 de marzo de 1993, entr en vigencia la Ley de Delitos Informticos, Holanda era un paraso para los hackers. Esta ley contempla con artculos especficos sobre tcnicas de Hacking y Phreacking. El mero hecho de entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de crcel. Si se us esa computadora hackeada para acceder a otra, la pena sube a cuatro aos aunque el crimen, a simple vista, no parece ser peor que el anterior. Copiar archivos de la mquina hackeada o procesar datos en ella tambin conlleva un castigo de cuatro aos en la crcel. Publicar la informacin obtenida es ilegal si son datos que deban permanecer en secreto, pero si son de inters pblico es legal. En Inglaterra En agosto de 1990 comenz a regir la Computer Misuse Act (Ley de Abusos Informticos) por la cual cualquier intento, exitoso o no de alterar datos informticos con intencin criminal se castiga con hasta cinco aos de crcel o multas sin lmite. Vulnerar Para Proteger Los intrusos utilizan diversas tcnicas para quebrar los sistemas de seguridad de una red. Bsicamente buscan los puntos dbiles del sistema para poder colarse en ella. El trabajo de los Administradores y Testers no difiere mucho de esto. En lo que s se diferencia, y por completo, es en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigacin, dao, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad. En palabras de Julio C. Ardita: "(...) los intrusos cuentan con grandes herramientas como los Scanners, los cracking de passwords, software de anlisis de vulnerabilidades y los exploits(...) un administrador cuenta con todas ellas empleadas para bien, los Logs, los sistemas de deteccin de intrusos y los

sistemas de rastreo de intrusiones". Al conjunto de tcnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos ms poderosos con los que se cuenta hoy para generar barreras cada vez ms eficaces. Un test est totalmente relacionado con el tipo de informacin que se maneja en cada organizacin. Por consiguiente, segn la informacin que deba ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa. El software y el Hardware utilizados son una parte importante, pero no la nica. A ella se agrega lo que se denomina "polticas de seguridad internas" que cada organizacin (y usuario) debe generar e implementar. Principales Amenazas Las amenazas a la seguridad de la informacin atentan contra su confidencialidad, integridad y disponibilidad. Existen amenazas relacionadas con falla humanas, con ataques malintencionados o con catstrofes naturales. Mediante la materializacin de una amenaza podra ocurrir el acceso modificacin o eliminacin de informacin no autorizada; la interrupcin de un servicio o el procesamiento de un sistema; daos fsicos o robo del equipamiento y medios de almacenamiento de informacin. Ante todo esto nos debemos hacer la siguiente pregunta De qu nos queremos proteger? Y Como nos debemos proteger? Atendiendo a la primera interrogante tenemos: y y y Amenazas Lgicas Personas Catstrofes

Amenazas lgicas Se entiende por amenaza a la seguridad de la informacin, una condicin del entorno del sistema de informacin que dada una oportunidad, podra producir una violacin de la seguridad (confidencialidad, integridad, disponibilidad). Bajo la etiqueta de `amenazas lgicas' encontramos todo tipo de programas que de una forma u otra pueden daar a nuestro sistema, creados de forma intencionada para ello (software malicioso, tambin conocido como malware) o simplemente por error (bugs o agujeros) 1. Software incorrecto 2. Herramientas de seguridad 3. Puertas traseras 4. Bombas lgicas 5. Canales cubiertos 6. Virus 7. Gusanos 8. Caballos de Troya 9. Programas conejo o bacteria 10. Tcnicas salami Software incorrecto: Defectos de instalacin o programacin Eliminacin o sustitucin de bibliotecas comunes a ms de un programa o del sistema (DLL Hell).Reiniciar arbitrariamente la sesin de un usuario para que la instalacin tenga efecto.Presuponer que el usuario tiene una conexin permanente a internet. Herramientas de seguridad: El mal uso de estas herramientas puede concluir en situaciones de bloqueo, enlentecimiento e incluso denegacin de servicio de las mquinas analizadas. Estas herramientas slo deben ser lanzadas contra

mquinas ajenas nica y exclusivamente cuando sus responsables nos hayan autorizado a ello. Bajo ninguna circunstancia deben ser empleadas contra mquinas que no sean de nuestra propiedad sin consentimiento expreso por parte de sus propietarios, informando en cada caso de la actividad que vayamos a realizar. Puertas traseras: Lo peor que puede pasarle cuando est en el Messenger o en el ICQ no es que contraiga su PC un virus informtico. Lo peor es que alguien instale un backdoor en su PC. Las puertas traseras son fciles de entender. Como todo en Internet se basa en la arquitectura cliente / servidor, slo se necesita instalar un programa servidor en una mquina para poder controlarla a distancia desde otro equipo, si se cuenta con el cliente adecuado, sta puede bien ser la computadora de un usuario descuidado o poco informado. Bombas lgicas: Ejemplos de acciones que puede realizar una bomba lgica: Borrar informacin del disco duro, mostrar un mensaje, reproducir una cancin, enviar un correo electrnico, apagar el Monitor provoca alucinaciones Canales cubiertos: Ruido Como cualquier canal de comunicacin, oculto o no, los canales cubiertos pueden ser ruidosos o inmunes al ruido; idealmente, un canal inmune al ruido es aqul en que la probabilidad de que el receptor escuche exactamente lo que el emisor ha transmitido es 1: sin importar factores externos, no hay interferencias en la transmisin. Evidentemente, en la prctica es muy difcil conseguir estos canales tan perfectos, por lo que es habitual aplicar cdigos de correccin de errores aunque stos reduzcan el ancho de banda del canal. Flujos de informacin De la misma forma que en las lneas convencionales de transmisin de datos se aplican tcnicas (multiplexacin en el tiempo, multiplexacin en frecuencia...) para maximizar el ancho de banda efectivo, en los canales cubiertos se puede hacer algo parecido. A los canales en los que se transmiten varios flujos de informacin entre emisor y receptor se les denomina agregados, y dependiendo de cmo se inicialicen, lean y reseteen las variables

enviadas podemos hablar de agregacin serie, paralela o hbrida; los canales con un nico flujo de informacin se llaman no agregados. Virus Amenazas: Un virus es una secuencia de cdigo que se inserta en un

fichero ejecutable (denominado husped), de forma que cuando el archivo se ejecuta, el virus tambin lo hace, insertndose a s mismo en otros programas. Mostrar en la pantalla mensajes o imgenes humorsticas,
generalmente molestas. Ralentizar o bloquear el ordenador. Destruir la informacin almacenada en el disco, en algunos casos vital para el sistema, que impedir el funcionamiento del equipo. Reducir el espacio en el disco. Molestar al usuario cerrando ventanas, moviendo el ratn. Gusanos: Un gusano es un programa capaz de ejecutarse y propagarse por s mismo a travs de redes, en ocasiones portando virus o aprovechando bugs de los sistemas a los que conecta para daarlos. Al ser difciles de programar su nmero no es muy elevado, pero el dao que pueden causar es muy grande: el mayor incidente de seguridad en Internet fue precisamente el Internet Worm, un gusano que en 1988 caus prdidas millonarias al infectar y detener ms de 6000 mquinas conectadas a la red. Los gusanos se basan en una red de computadoras para enviar copias de s mismos a otros nodos (es decir, a otras terminales en la red) y son capaces de llevar esto a cabo sin intervencin del usuario propagndose, utilizando Internet, basndose en diversos mtodos, como SMTP, IRC, P2P entre otros. Hemos de pensar que un gusano puede automatizar y ejecutar en unos segundos todos los pasos que seguira un atacante humano para acceder a nuestro sistema: mientras que una persona, por muchos conocimientos y medios que posea, tardara como mnimo horas en controlar nuestra red completa (un tiempo ms que razonable para detectarlo), un gusano puede hacer eso mismo en pocos minutos: de ah su enorme peligro y sus devastadores efectos. Caballos de Troya: Los troyanos o caballos de Troya son instrucciones escondidas en un programa de forma que ste parezca realizar las tareas que un

usuario espera de l, pero que realmente ejecute funciones ocultas (generalmente en detrimento de la seguridad) sin el conocimiento del usuario; como el Caballo de Troya de la mitologa griega, al que deben su nombre, ocultan su funcin real bajo la apariencia de un programa inofensivo que a primera vista funciona correctamente. Evitar la infeccin de un troyano es difcil, algunas de las formas ms comunes de infectarse son: Descarga de programas de redes p2p y sitios web que no son de confianza. Pginas web que contienen contenido ejecutable (por ejemplo controles ActiveX o aplicaciones Java). Exploits para aplicaciones no actualizadas (navegadores, reproductores multimedia, clientes de mensajera instantnea).Ingeniera social (por ejemplo un cracker manda directamente el troyano a la vctima a travs de la mensajera instantnea).Archivos adjuntos en correos electrnicos y archivos enviados por mensajera instantnea. Programa conejo o bacteria: Por s mismos no hacen ningn dao, sino que lo que realmente perjudica es el gran nmero de copias suyas en el sistema, que en algunas situaciones pueden llegar a provocar la parada total de la mquina. Hemos de pensar hay ciertos programas que pueden actuar como conejos sin proponrselo; ejemplos tpicos se suelen encontrar en los sistemas Unix destinados a prcticas en las que se ensea a programar al alumnado: es muy comn que un bucle que por error se convierte en infinito contenga entre sus instrucciones algunas de reserva de memoria, lo que implica que si el sistema no presenta una correcta poltica de cuotas para procesos de usuario pueda venirse abajo o degradar enormemente sus prestaciones. Programas conejo o bacterias Bajo este nombre se conoce a los programas que no hacen nada til, sino que simplemente se dedican a reproducirse hasta que el nmero de copias acaba con los recursos del sistema (memoria, procesador, disco...), produciendo una negacin de servicio. Por s mismos no hacen ningn dao, sino que lo que realmente perjudica es el gran nmero de copias suyas en el sistema, que en algunas situaciones pueden llegar a provocar la parada total de la mquina. Tcnicas salami: Por tcnica salami se conoce al robo automatizado de pequeas cantidades de bienes (generalmente dinero) de una gran cantidad

origen. El hecho de que la cantidad inicial sea grande y la robada pequea hace extremadamente difcil su deteccin: si de una cuenta con varios millones de Bolivares se roban unos cntimos, nadie va a darse cuenta de ello; si esto se automatiza para, por ejemplo, descontar unos centimos de cada nmina pagada en la universidad o de cada beca concedida, tras un mes de actividad seguramente se habr robado una enorme cantidad de dinero sin que nadie se haya percatado de este hecho, ya que de cada origen se ha tomado una cantidad nfima. Las tcnicas salami no se suelen utilizar para atacar sistemas normales, sino que su uso ms habitual es en sistemas bancarios; sin embargo, como en una red con requerimientos de seguridad medios es posible que haya ordenadores dedicados a contabilidad, facturacin de un departamento o gestin de nminas del personal, comentamos esta potencial amenaza contra el software encargado de estas tareas. Amenazas Humanas

Polticas generales de seguridad

Qu son las polticas de seguridad informtica (PSI)? Una poltica de seguridad informtica es una forma de comunicarse con los usuarios y los gerentes. Las PSI establecen el canal formal de actuacin del personal, en relacin con los recursos y servicios informticos, importantes de la organizacin. No se trata de una descripcin tcnica de mecanismos de seguridad, ni de una expresin legal que involucre sanciones a conductas de los empleados. Es ms bien una descripcin de los que deseamos proteger y el por qu de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informticos crticos de la compaa. Elementos de una poltica de seguridad informtica Como mencionbamos en el apartado anterior, una PSI debe orientar las decisiones que se toman en relacin con la seguridad. Por tanto, requiere de una disposicin por parte de cada uno de los miembros de la empresa para lograr una visin conjunta de lo que se considera importante. Las PSI deben considerar entre otros, los siguientes elementos: y Alcance de las polticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una invitacin de la organizacin a cada uno de sus miembros a reconocer la informacin como uno de sus principales activos as como, un motor de intercambio y desarrollo en el mbito de sus negocios. Invitacin que debe concluir en una posicin. y Objetivos de la poltica y descripcin clara de los elementos involucrados en su definicin. y Responsabilidades por cada uno de los servicios y recursos informticos a todos los niveles de la organizacin.

Requerimientos mnimos para configuracin de la seguridad de los sistemas que cobija el alcance de la poltica.

Definicin de violaciones y de las consecuencias del no cumplimiento de la poltica.

Responsabilidades de los usuarios con respecto a la informacin a la que ella tiene acceso.

Las PSI deben ofrecer explicaciones comprensibles acerca de por qu deben tomarse ciertas decisiones, transmitir por qu son importantes estos u otros recursos o servicios.

Algunos parmetros para establecer polticas de seguridad Si bien las caractersticas de la PSI que hemos mencionado hasta el momento, nos muestran una perspectiva de las implicaciones en la formulacin de estas directrices, revisaremos a continuacin, algunos aspectos generales recomendados para la formulacin de las mismas: y Considere efectuar un ejercicio de anlisis de riesgos informtico, a travs del cual valore sus activos, el cual le permitir afinar las PSI de su organizacin. y Involucre a las reas propietarias de los recursos o servicios, pues ellos poseen la experiencia y son fuente principal para establecer el alcance y las definiciones de violaciones a la PSI. y Comunique a todo el personal involucrado en el desarrollo de las PSI, los beneficios y riesgos relacionados con los recursos y bienes, y sus elementos de seguridad. y Recuerde que es necesario identificar quin tiene la autoridad para tomar decisiones, pues son ellos los responsables de salvaguardar los activos crticos de la funcionalidad de su rea u organizacin.

Desarrolle un proceso de monitoreo peridico de las directrices en el hacer de la organizacin, que permita una actualizacin oportuna de las mismas.

Por qu las polticas de seguridad informtica generalmente no consiguen implantarse? Muchas veces, las organizaciones realizan grandes esfuerzos para definir sus directrices de seguridad y concretarlas en documentos que orienten las acciones de las mismas, con relativo xito. Segn algunos estudios [5] resulta una labor ardua convencer a los altos ejecutivos de la necesidad de buenas polticas y prcticas de seguridad informtica. Muchos de los inconvenientes se inician por los tecnicismos informticos y por la falta de una estrategia de mercadeo de los especialistas en seguridad que, llevan a los altos directivos a pensamientos como: "ms dinero para los juguetes de los ingenieros". Esta situacin ha llevado a que muchas empresas con activos muy importantes, se encuentren expuestas a graves problemas de seguridad que, en muchos de los casos, lleva a comprometer su informacin sensible y por ende su imagen corporativa. Ante esta encrucijada, los encargados de la seguridad deben asegurarse de que las personas relevantes entienden los asuntos importantes de la seguridad, conocen sus alcances y estn de acuerdo con las decisiones tomadas en relacin con esos asuntos. En particular, la gente debe conocer las consecuencias de sus decisiones, incluyendo lo mejor y lo peor que podra ocurrir. Una intrusin o una travesura pueden convertir a las personas que no entendieron, en blanco de las polticas o en seuelos de los verdaderos vndalos. Luego, para que las PSI logren abrirse espacio en el interior de una organizacin deben integrarse a las estrategias del negocio, a su misin y visin, con el propsito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y

utilidades de la compaa. Seguridad en Redes De igual forma, las PSI deben ir acompaadas de la compaa. De igual forma, las PSI deben ir acompaadas de una visin de negocio que promueva actividades que involucren a las personas en su hacer diario, donde se identifiquen las necesidades y acciones que materializan las polticas. En este contexto, entender la organizacin, sus elementos culturales y comportamientos nos debe llevar a reconocer las pautas de seguridad necesarias y suficientes que aseguren confiabilidad en las operaciones y funcionalidad de la compaa. A continuacin, mencionamos algunas recomendaciones para concientizar sobre la seguridad informtica: y Desarrolle ejemplos organizacionales relacionados con fallas de seguridad que capten la atencin de sus interlocutores. y Asocie el punto anterior a las estrategias de la organizacin y a la imagen que se tiene de la organizacin en el desarrollo de sus actividades. y Articule las estrategias de seguridad informtica con el proceso de toma de decisiones y los principios de integridad, confidencialidad y disponibilidad de la informacin. Muestre una valoracin costo-beneficio, ante una falla de seguridad. y Justifique la importancia de la seguridad informtica en funcin de hechos y preguntas concretas, que muestren el impacto, limitaciones y beneficios sobre los activos claves de la organizacin.

http://www.segu-info.com.ar/proteccion/proteccion.htm http://www.segu-info.com.ar/delitos/delitos.htm http://rolandoblanco.wordpress.com/2010/03/29/delitos-informaticos-en-venezuela/ http://revistas.luz.edu.ve/index.php/cc/article/viewFile/157/141

Una vez conocidas las vulnerabilidades y ataques a las que est expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras

algunas tcnicas son evidentes (seguridad fsica por ejemplo) otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensacin de falsa seguridad. Muchas de las vulnerabilidades estudiadas son el resultado de implementacin incorrecta de tecnologas, otras son consecuencias de la falta de planeamiento de las mismas pero, como ya se ha mencionado, la mayora de los agujeros de seguridad son ocasionados por los usuarios de dichos sistemas y es responsabilidad del administrador detectarlos y encontrar la mejor manera de cerrarlos. En el presente captulo, despus de lo expuesto y vistas la gran cantidad de herramientas con las que cuenta el intruso, es el turno de estudiar implementaciones en la bsqueda de mantener el sistema seguro. Siendo reiterativo, ninguna de las tcnicas expuestas a continuacin representarn el 100% de la seguridad deseado, aunque muchas parezcan la panacea, ser la suma de algunas de ellas las que convertirn un sistema interconectado en confiable.

Vulnerar Para Proteger

Los intrusos utilizan diversas tcnicas para quebrar los sistemas de seguridad de una red. Bsicamente buscan los puntos dbiles del sistema para poder colarse en ella. El trabajo de los Administradores y Testers no difiere mucho de esto. En lo que s se diferencia, y por completo, es en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigacin, dao, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad. En palabras de Julio C. Ardita : "(...) los intrusos cuentan con grandes herramientas como los Scanners, los cracking de passwords, software de anlisis de vulnerabilidades y los exploits(...) un administrador cuenta con todas ellas empleadas para bien, los Logs, los sistemas de deteccin de intrusos y los sistemas de rastreo de intrusiones". Al conjunto de tcnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce como Penetration Testing, uno de los recursos ms poderosos con los que se cuenta hoy para generar barreras cada vez ms eficaces. Un test est totalmente relacionado con el tipo de informacin que se maneja en cada organizacin. Por consiguiente, segn la informacin que deba ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa El software y el Hardware utilizados son una parte importante, pero no la nica. A ella se agrega lo que se denomina "polticas de seguridad internas" que cada organizacin (y usuario) debe generar e implementar.

Firewalls (leer ms)

Quizs uno de los elementos ms publicitados a la hora de establecer seguridad, sean estos elementos. Aunque deben ser uno de los sistemas a los que ms se debe

prestar atencin, distan mucho de ser la solucin final a los problemas de seguridad. De hecho, los Firewalls no tienen nada que hacer contra tcnicas como la Ingeniera Social y el ataque de Insiders. Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una poltica de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no lo es (por ejemplo Internet).

Access Control Lists (ACL)

Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clsicos provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos los usuarios (o grupos de ellos) a quien se le permite el acceso a Internet, FTP, etc. Tambin podrn definirse otras caractersticas como limitaciones de anchos de banda y horarios.

Wrappers
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper literalmente cubre la identidad de este segundo programa, obteniendo con esto un ms alto nivel de seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que modificar su funcionamiento. Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de seguridad por las siguientes razones:
y y y

Debido a que la seguridad lgica esta concentrada en un solo programa, los Wrappers son fciles y simples de validar. Debido a que el programa protegido se mantiene como una entidad separada, ste puede ser actualizado sin necesidad de cambiar el Wrapper. Debido a que los Wrappers llaman al programa protegido mediante llamadas estndar al sistema, se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten proteger. Permite un control de accesos exhaustivo de los servicios de comunicaciones, adems de buena capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.

El paquete Wrapper ms ampliamente utilizado es el TCP-Wrappers, el cual es un conjunto de utilidades de distribucin libre, escrito por Wietse Venema (co-autor de SATAN, con Dan Farmer, y considerado el padre de los sistemas Firewalls) en 1990.

Consiste en un programa que es ejecutado cuando llega una peticin a un puerto especfico. Este, una vez comprobada la direccin de origen de la peticin, la verifica contra las reglas almacenadas, y en funcin de ellas, decide o no dar paso al servicio. Adicionalmente, registra estas actividades del sistema, su peticin y su resolucin. Algunas configuraciones avanzadas de este paquete, permiten tambin ejecutar comandos en el propio sistema operativo, en funcin de la resolucin de la peticin. Por ejemplo, es posible que interese detectar una posible mquina atacante, en el caso de un intento de conexin, para tener ms datos a la hora de una posible investigacin. Este tipo de comportamiento raya en la estrategia paranoica, ya vista cuando se defini la poltica de seguridad del firewall. Con lo mencionado hasta aqu, puede pensarse que los Wrappers son Firewall ya que muchos de los servicios brindados son los mismos o causan los mismos efectos: u sando Wrappers, se puede controlar el acceso a cada mquina y los servicios accedidos. As, estos controles son el complemento perfecto de un Firewall y la instalacin de uno no est supeditada a la del otro.

Deteccin de Intrusos en Tiempo Real (leer ms)

La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas de proteccin hasta aqu abordados, si bien son eficaces, distan mucho de ser la proteccin ideal. As, debe estar fuera de toda discusin la conveniencia de aadir elementos que controlen lo que ocurre dentro de la red (detrs de los Firewalls). Como se ha visto, la integridad de un sistema se puede corromper de varias formas y la forma de evitar esto es con la instalacin de sistemas de Deteccin de Intrusos en Tiempo Real, quienes:
y y y y y y

Inspeccionan el trfico de la red buscando posibles ataques. Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos como de usuarios autorizados). Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check) del sistema para detectar la modificacin de los mismos. Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o semejantes. Controlan el ncleo del Sistema Operativo para detectar posibles infiltraciones en l, con el fin de controlar los recursos y acciones del mismo. Avisan al administrador de cualquiera de las acciones mencionadas.

Cada una de estas herramientas permiten mantener alejados a la gran mayora de los intrusos normales. Algunos pocos, con suficientes conocimientos, experiencia y paciencia sern capaces de utilizar mtodos sofisticados (u originales) como para voltear el permetro de seguridad (interna + externa) y sern estos los casos que deban estudiarse para integrar a la poltica de seguridad existente mayor conocimiento y con l mayor seguridad.

Call Back
Este procedimiento es utilizado para verificar la autenticidad de una llamada va modem. El usuario llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al nmero que en teora pertenece al usuario. La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolver al usuario legal y no al del intruso, siendo este desconectado. Como precaucin adicional, el usuario deber verificar que la llamada-retorno proceda del nmero a donde llam previamente.

Sistemas Anti-Sniffers
Esta tcnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se basan en verificar el estado de la placa de red, para detectar el modo en el cual est actuando (recordar que un Sniffer la coloca en Modo Promiscuo), y el trfico de datos en ella.

Gestion de Claves "Seguras" (leer ms)

Si se utiliza una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 aos en descifrarla (analizando 100.000 palabras por segundo). Esto se obtiene a partir de las 96 8 (7.213.895.789.838.340) claves posibles de generar con esos caracteres. Partiendo de la premisa en que no se disponen de esa cantidad de aos para analizarlas por fuerza bruta, se deber comenzar a probar con las claves ms posibles, comnmente llamadas Claves Dbiles.

Seguridad en Protocolos y Servicios

Se ha visto en captulos anteriores la variedad de protocolos de comunicaciones existentes, sus objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya sea en su implementacin o en su uso. A continuacin se describen los problemas de seguridad ms comunes y sus formas de prevencin. Nuevamente no se vern los detalles sobre el funcionamiento de cada uno de ellos, simplemente se ofrecern las potenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qu proporcionar acceso a la mquina (como las DoS por ejemplo).

Criptologa (leer ms)

La palabra Criptografa proviene etimolgicamente del griego Kruiptoz (KriptosOculto) y Grajein (Grafo-Escritura) y significa "arte de escribir con clave secreta o de un modo enigmtico" (2). Aportando luz a la definicin cabe aclarar que la Criptografa hace aos que dej de ser un arte para convertirse en una tcnica (o conjunto de ellas) que tratan sobre la proteccin (ocultamiento ante personas no autorizadas) de la informacin. Entre las disciplinas que engloba cabe destacar la Teora de la Informacin, la Matemtica Discreta, la Teora de los Grandes Nmeros y la Complejidad Algortmica. Es decir que la Criptografa es la ciencia que consiste en transformar un mensaje inteligible en otro que no lo es (mediante claves que slo el emisor y el destinatario conocen), para despus devolverlo a su forma original, sin que nadie que vea el mensaje cifrado sea capaz de entenderlo.

Inversin
Los costos de las diferentes herramientas de proteccin se estn haciendo accesibles, en general, incluso para las organizaciones ms pequeas. Esto hace que la implementacin de mecanismos de seguridad se d prcticamente en todos los niveles: empresas grandes, medianas, chicas y usuarios finales. Todos pueden acceder a las herramientas que necesitan y los costos (la inversin que cada uno debe realizar) va de acuerdo con el tamao y potencialidades de la herramienta. Pero no es slo una cuestin de costos, los constantes cambios de la tecnologa hacen que para mantener un nivel parejo de seguridad, se deba actualizar permanentemente las herramientas con las que se cuenta. Como los intrusos mejoran sus armas y metodologas de penetracin de forma incesante, el recambio y la revisin constantes en los mecanismos de seguridad se convierten en imprescindibles. Y ste es un verdadero punto crtico. Segn Testers, "esto es tan importante como el tipo de elementos que se usen". Sin duda, stos deben ser las que mejor se adapten al tipo de organizacin. Pero tan importante como eso es el hecho de conocer exactamente cmo funcionan y qu se puede hacer con ellos. "Es prioritario saber los riesgos que una nueva tecnologa trae aparejados".

http://www.cabinas.net/informatica/analisis_riesgos_informaticos.asp http://es.wikipedia.org/wiki/An%C3%A1lisis_de_riesgo http://revistas.luz.edu.ve/index.php/cc/article/viewFile/157/141

http://www.eslared.org.ve/walc2004/apc-aa/archivosaa/1e60354f4717edb9fb793dbc5219499d/politica2004.pdf http://www.ucla.edu.ve/Telecom/NORMAS_de_seguridad_INF_y_de_telecomunicaciones _UCLA.pdf LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS Gaceta Oficial No 37.313 del 30 de octubre de 2001 LA ASAMBLEA NACIONAL DE LA REPUBLICA BOLIVARIANA DE VENEZUELA DECRETA la siguiente, LEY ESPECIAL CONTRA LOS DELITOS INFORMATICOS TITULO I DISPOSICIONES GENERALES Artculo 1 Objeto de la Ley La presente Ley tiene por objeto la proteccin integral de los sistemas que utilicen tecnologas de informacin, as como la prevencin y sancin de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologas, en los trminos previstos en esta Ley. Artculo 2 Definiciones A efectos de la presente Ley, y cumpliendo con lo previsto en el artculo 9 de la Constitucin de la Repblica Bolivariana de Venezuela, se entiende por: a. Tecnologa de Informacin: rama de la tecnologa que se dedica al estudio, aplicacin y procesamiento de datos, lo cual involucra la obtencin, creacin, almacenamiento, administracin, modificacin, manejo, movimiento, control,

visualizacin, transmisin o recepcin de informacin en forma automtica, as como el desarrollo y uso del hardware, firmware, software, cualesquiera de sus componentes y todos los procedimientos asociados con el procesamiento de datos. b. Sistema: cualquier arreglo organizado de recursos y procedimientos diseados para el uso de tecnologas de informacin, unidos y regulados por interaccin o interdependencia para cumplir una serie de funciones especficas, as como la combinacin de dos o ms componentes interrelacionados, organizados en un paquete funcional, de manera que estn en capacidad de realizar una funcin operacional o satisfacer un requerimiento dentro de unas especificaciones previstas. c. Data (datos): hechos, conceptos, instrucciones o caracteres representados de una manera apropiada para que sean comunicados, transmitidos o procesados por seres humanos o por medios automticos y a los cuales se les asigna o se les puede asignar un significado. d. Informacin: significado que el ser humano le asigna a la data utilizando las convenciones conocidas y generalmente aceptadas. e. Documento: registro incorporado en un sistema en forma de escrito, video, audio o cualquier otro medio, que contiene data o informacin acerca de un hecho o acto capaces de causar efectos jurdicos. f. Computador: dispositivo o unidad funcional que acepta data, la procesa de acuerdo con un programa guardado y genera resultados, incluidas operaciones aritmticas o lgicas. g. Hardware: equipos o dispositivos fsicos considerados en forma independiente de su capacidad o funcin, que conforman un computador o sus componentes perifricos, de manera que pueden incluir herramientas, implementos, instrumentos, conexiones, ensamblajes, componentes y partes.

h. Firmware: programa o segmento de programa incorporado de manera permanente en algn componente de hardware. i. Software: informacin organizada en forma de programas de computacin, procedimientos y documentacin asociados, concebidos para realizar la operacin de un sistema, de manera que pueda proveer de instrucciones a los computadores as como de data expresada en cualquier forma, con el objeto de que los computadores realicen funciones especficas. j. Programa: plan, rutina o secuencia de instrucciones utilizados para realizar un trabajo en particular o resolver un problema dado a travs de un computador. k. Procesamiento de Datos o de Informacin: realizacin sistemtica de operaciones sobre data o sobre informacin, tales como manejo, fusin, organizacin o cmputo. l. Seguridad: condicin que resulta del establecimiento y mantenimiento de medidas de proteccin, que garanticen un estado de inviolabilidad de influencias o de actos hostiles especficos que puedan propiciar el acceso a la data de personas no autorizadas, o que afecten la operatividad de las funciones de un sistema de computacin. m. Virus: programa o segmento de programa indeseado que se desarrolla incontroladamente y que genera efectos destructivos o perturbadores en un programa o componente del sistema. n. Tarjeta Inteligente: rtulo, cdula o carnet que se utiliza como instrumento de identificacin; de acceso a un sistema; de pago o de crdito, y que contiene data, informacin o ambas, de uso restringido sobre el usuario autorizado para portarla. . Contrasea (password): secuencia alfabtica, numrica o combinacin de ambas, protegida por reglas de confidencialidad, utilizada para verificar la autenticidad de la autorizacin expedida a un usuario para acceder a la data o a la informacin contenidas en un sistema.

o. Mensaje de Datos: cualquier pensamiento, idea, imagen, audio, data o informacin, expresados en un lenguaje conocido que puede ser explcito o secreto (encriptado), preparados dentro de un formato adecuado para ser transmitido por un sistema de comunicaciones. Artculo 3 Extraterritorialidad Cuando alguno de los delitos previstos en la presente Ley se cometa fuera del territorio de la Repblica, el sujeto activo quedar sometido a sus disposiciones si dentro del territorio de la Repblica se hubieren producido efectos del hecho punible, y el responsable no ha sido juzgado por el mismo hecho o ha evadido el juzgamiento o la condena por tribunales extranjeros. Artculo 4 Sanciones Las sanciones por los delitos previstos en esta Ley sern principales y accesorias. Las sanciones principales concurrirn con las penas accesorias y ambas podrn tambin concurrir entre s, de acuerdo con las circunstancias particulares del delito del cual se trate, en los trminos indicados en la presente Ley. Artculo 5 Responsabilidad de las Personas Jurdicas Cuando los delitos previstos en esta Ley fuesen cometidos por los gerentes, administradores,directores o dependientes de una persona jurdica, actuando en su nombre o representacin, stos respondern de acuerdo con su participacin culpable. La persona jurdica ser sancionada en los trminos previstos en esta Ley, en los casos en que el hecho punible haya sido cometido por decisin de sus rganos, en el mbito de su actividad, con sus recursos sociales o en su inters exclusivo o preferente. TITULO II DE LOS DELITOS Captulo I De los Delitos Contra los Sistemas que Utilizan Tecnologas de Informacin

Artculo 6 Acceso Indebido Toda persona que sin la debida autorizacin o excediendo la que hubiere obtenido, acceda, intercepte, interfiera o use un sistema que utilice tecnologas de informacin, ser penado con prisin de uno a cinco aos y multa de diez a cincuenta unidades tributarias. Artculo 7 Sabotaje o Dao a Sistemas Todo aquel que con intencin destruya, dae, modifique o realice cualquier acto que altere el funcionamiento o inutilice un sistema que utilice tecnologas de informacin o cualesquiera de los componentes que lo conforman, ser penado con prisin de cuatro a ocho aos y multa de cuatrocientas a ochocientas unidades tributarias. Incurrir en la misma pena quien destruya, dae, modifique o inutilice la data o la informacin contenida en cualquier sistema que utilice tecnologas de informacin o en cualesquiera de sus componentes. La pena ser de cinco a diez aos de prisin y multa de quinientas a mil unidades tributarias, si los efectos indicados en el presente artculo se realizaren mediante la creacin, introduccin o transmisin, por cualquier medio, de un virus o programa anlogo. Artculo 8 Favorecimiento Culposo del Sabotaje o Dao Si el delito previsto en el artculo anterior se cometiere por imprudencia, negligencia, impericia o inobservancia de las normas establecidas, se aplicar la pena correspondiente segn el caso, con una reduccin entre la mitad y dos tercios. Artculo 9 Acceso Indebido o Sabotaje a Sistemas Protegidos Las penas previstas en los artculos anteriores se aumentarn entre una tercera parte y la mitad, cuando los hechos all previstos o sus efectos recaigan sobre cualesquiera de los componentes de un sistema que utilice tecnologas de informacin protegido por medidas de seguridad, que est destinado a funciones pblicas o que contenga informacin personal o patrimonial de personas naturales o jurdicas.

Artculo 10 Posesin de Equipos o Prestacin de Servicios de Sabotaje Quien importe, fabrique, distribuya, venda o utilice equipos, dispositivos o programas; con el propsito de destinarlos a vulnerar o eliminar la seguridad de cualquier sistema que utilice tecnologas de informacin; o el que ofrezca o preste servicios destinados a cumplir los mismos fines, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Artculo 11 Espionaje Informtico Toda persona que indebidamente obtenga, revele o difunda la data o informacin contenidas en un sistema que utilice tecnologas de informacin o en cualesquiera de sus componentes, ser penadacon prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. La pena se aumentar de un tercio a la mitad, si el delito previsto en el presente artculo se cometiere con el fin de obtener algn tipo de beneficio para s o para otro. El aumento ser de la mitad a dos tercios, si se pusiere en peligro la seguridad del Estado, la confiabilidad de la operacin de las instituciones afectadas o resultare algn dao para las personas naturales o jurdicas, como consecuencia de la revelacin de las informaciones de carcter reservado. Artculo 12 Falsificacin de Documentos Quien, a travs de cualquier medio, cree, modifique o elimine un documento que se encuentre incorporado a un sistema que utilice tecnologas de informacin; o cree, modifique o elimine datos del mismo; o incorpore a dicho sistema un documento inexistente, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Cuando el agente hubiere actuado con el fin de procurar para s o para otro algn tipo de beneficio, la pena se aumentar entre un tercio y la mitad. El aumento ser de la mitad a dos tercios si del hecho resultare un perjuicio para otro.

Captulo II De los Delitos Contra la Propiedad Artculo 13 Hurto Quien a travs del uso de tecnologas de informacin, acceda, intercepte, interfiera, manipule o use de cualquier forma un sistema o medio de comunicacin para apoderarse de bienes o valores tangibles o intangibles de carcter patrimonial sustrayndolos a su tenedor, con el fin de procurarse un provecho econmico para s o para otro, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 14 Fraude Todo aquel que, a travs del uso indebido de tecnologas de informacin, valindose de cualquier manipulacin en sistemas o cualquiera de sus componentes, o en la data o informacin en ellos contenida, consiga insertar instrucciones falsas o fraudulentas, que produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno, ser penado con prisin de tres a siete aos y multa de trescientas a setecientas unidades tributarias. Artculo 15 Obtencin Indebida de Bienes o Servicios Quien, sin autorizacin

para portarlos, utilice una tarjeta inteligente ajena o instrumento destinado a los mismos fines, o el que utilice indebidamente tecnologas de informacin para requerir la obtencin de cualquier efecto, bien o servicio; o para proveer su pago sin erogar o asumir el compromiso de pago de la contraprestacin debida, ser castigado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 16 Manejo Fraudulento de Tarjetas Inteligentes o Instrumentos Anlogos Toda persona que por cualquier medio, cree, capture, grabe, copie, altere, duplique o elimine la data o informacin contenidas en una tarjeta inteligente o en cualquier instrumento destinado a los mismos fines; o la persona que, mediante cualquier uso indebido de tecnologas de informacin, cree, capture, duplique o altere la data o informacin en un sistema, con el objeto de incorporar usuarios, cuentas, registros o consumos inexistentes o modifique la cuanta de stos, ser

penada con prisin de cinco a diez aos y multa de quinientas a mil unidades tributarias. En la misma pena incurrir quien, sin haber tomado parte en los hechos anteriores, adquiera, comercialice, posea, distribuya, venda o realice cualquier tipo de intermediacin de tarjetas inteligentes o instrumentos destinados al mismo fin, o de la data o informacin contenidas en ellos o en un sistema. Artculo 17 Apropiacin de Tarjetas Inteligentes o Instrumentos Anlogos: Quien se apropie de una tarjeta inteligente o instrumento destinado a los mismos fines, que se haya perdido, extraviado o que haya sido entregado por equivocacin, con el fin de retenerlo, usarlo, venderlo o transferirlo a una persona distinta del usuario autorizado o entidad emisora, ser penado con prisin de uno a cinco aos y multa de diez a cincuenta unidades tributarias. La misma pena se impondr a quien adquiera o reciba la tarjeta o instrumento a que se refiere el presente artculo. Artculo 18 Provisin Indebida de Bienes o Servicios Todo aquel que, a sabiendas de que una tarjeta inteligente o instrumento destinado a los mismos fines, se encuentra vencido, revocado; se haya indebidamente obtenido, retenido, falsificado, alterado; provea a quien los presente de dinero, efectos, bienes o servicios, o cualquier otra cosa de valor econmico ser penado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 19 Posesin de Equipo para Falsificaciones Todo aquel que sin estar debidamente autorizado para emitir, fabricar o distribuir tarjetas inteligentes o instrumentos anlogos, reciba, adquiera, posea, transfiera, comercialice, distribuya, venda, controle o custodie cualquier equipo de fabricacin de tarjetas inteligentes o de instrumentos destinados a los mismos fines, o cualquier equipo o componente que capture, grabe, copie o transmita la data o informacin de dichas

tarjetas o instrumentos, ser penado con prisin de tres a seis aos y multa de trescientas a seiscientas unidades tributarias. Captulo III De los Delitos Contra la Privacidad de las Personas y de las Comunicaciones Artculo 20 Violacin de la Privacidad de la Data o Informacin de Carcter

Personal Toda persona que intencionalmente se apodere, utilice, modifique o elimine por cualquier medio, sin el consentimiento de su dueo, la data o informacin personales de otro o sobre las cuales tenga inters legtimo, que estn incorporadas en un computador o sistema que utilice tecnologas de informacin, ser penada con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. La pena se incrementar de un tercio a la mitad si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o informacin o para un tercero. Artculo 21 Violacin de la Privacidad de las Comunicaciones Toda persona

que mediante el uso de tecnologas de informacin, acceda, capture, intercepte, interfiera, reproduzca, modifique, desve o elimine cualquier mensaje de datos o seal de transmisin o comunicacin ajena, ser sancionada con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 22 Revelacin Indebida de Data o Informacin de Carcter

Personal Quien revele, difunda o ceda, en todo o en parte, los hechos descubiertos, las imgenes, el audio o, en general, la data o informacin obtenidos por alguno de los medios indicados en los artculos 20 y 21, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias.

Si la revelacin, difusin o cesin se hubieren realizado con un fin de lucro, o si resultare algn perjuicio para otro, la pena se aumentar de un tercio a la mitad. Captulo IV De los Delitos Contra Nios, Nias o Adolescentes Artculo 23 Difusin o Exhibicin de Material Pornogrfico Todo aquel que, por cualquier medio que involucre el uso de tecnologas de informacin, exhiba, difunda, transmita o venda material pornogrfico o reservado a personas adultas, sin realizar previamente las debidas advertencias para que el usuario restrinja el acceso a nios, nias y adolescentes, ser sancionado con prisin de dos a seis aos y multa de doscientas a seiscientas unidades tributarias. Artculo 24 Exhibicin Pornogrfica de Nios o Adolescentes Toda persona que por cualquier medio que involucre el uso de tecnologas de informacin, utilice a la persona o imagen de un nio, nia o adolescente con fines exhibicionistas o pornogrficos, ser penada con prisin de cuatro a ocho aos y multa de cuatrocientas a ochocientas unidades tributarias. Captulo V De los Delitos Contra el Orden Econmico Artculo 25 Apropiacin de Propiedad Intelectual Quien sin autorizacin de su propietario y con el fin de obtener algn provecho econmico, reproduzca, modifique, copie, distribuya o divulgue un software u otra obra del intelecto que haya obtenido mediante el acceso a cualquier sistema que utilice tecnologas de informacin, ser sancionado con prisin de uno a cinco aos y multa de cien a quinientas unidades tributarias. Artculo 26 Oferta Engaosa Toda persona que ofrezca, comercialice o provea de bienes o servicios, mediante el uso de tecnologas de informacin, y haga

alegaciones falsas o atribuya caractersticas inciertas a cualquier elemento de dicha oferta, de modo que pueda resultar algn perjuicio para los consumidores, ser sancionada con prisin de uno a cinco aos y multa de cien a quinientas unidades tributarias, sin perjuicio de la comisin de un delito ms grave. TITULO III DISPOSICIONES COMUNES Artculo 27 Agravantes La pena correspondiente a los delitos previstos en la presente Ley se incrementar entre un tercio y la mitad: 1. Si para la realizacin del hecho se hubiere hecho uso de alguna contrasea ajena indebidamente obtenida, quitada, retenida o que se hubiere perdido.2. Si el hecho hubiere sido cometido mediante el abuso de la posicin de acceso a data o informacin reservada, o al conocimiento privilegiado de contraseas, en razn del ejercicio de un cargo o funcin. Artculo 28 Agravante Especial La sancin aplicable a las personas jurdicas por los delitos cometidos en las condiciones sealadas en el artculo 5 de esta Ley, ser nicamente de multa, pero por el doble del monto establecido para el referido delito. Artculo 29 Penas Accesorias Adems de las penas principales previstas en los captulos anteriores, se impondrn, necesariamente sin perjuicio de las establecidas en el Cdigo Penal, las penas accesorias siguientes: 1. El comiso de equipos, dispositivos, instrumentos, materiales, tiles,

herramientas y cualquier otro objeto que hayan sido utilizados para la comisin de los delitos previstos en los artculos 10 y 19 de la presente Ley. 2. El trabajo comunitario por el trmino de hasta tres aos en los casos de los delitos previstos en los artculos 6 y 8 de esta Ley.

3. La inhabilitacin para el ejercicio de funciones o empleos pblicos; para el ejercicio de la profesin, arte o industria; o para laborar en instituciones o empresas del ramo por un perodo de hasta tres (3) aos despus de cumplida o conmutada la sancin principal, cuando el delito se haya cometido con abuso de la posicin de acceso a data o informacin reservadas, o al conocimiento privilegiado de contraseas, en razn del ejercicio de un cargo o funcin pblicas, del ejercicio privado de una profesin u oficio, o del desempeo en una institucin o empresa privada, respectivamente. 4. La suspensin del permiso, registro o autorizacin para operar o para el ejercicio de cargos directivos y de representacin de personas jurdicas vinculadas con el uso de tecnologas de informacin, hasta por el perodo de tres (3) aos despus de cumplida o conmutada la sancin principal, si para cometer el delito el agente se hubiere valido o hubiere hecho figurar a una persona jurdica. Artculo 30 Divulgacin de la Sentencia Condenatoria El Tribunal podr adems, disponer la publicacin o difusin de la sentencia condenatoria por el medio que considere ms idneo. Artculo 31 Indemnizacin Civil En los casos de condena por cualquiera de los delitos previstos en los Captulos II y V de esta Ley, el Juez impondr en la sentencia una indemnizacin en favor de la vctima por un monto equivalente al dao causado. Para la determinacin del monto de la indemnizacin acordada, el juez requerir del auxilio de expertos. TITULO IV DISPOSICIONES FINALES Artculo 32 Vigencia La presente Ley entrar en vigencia, treinta das despus de su publicacin en la Gaceta Oficial de la Repblica Bolivariana de Venezuela.

Artculo 33 Derogatoria Se deroga cualquier disposicin que colida con la presente Ley. Dada, firmada y sellada en el Palacio Federal Legislativo, sede de la AsambleaNacional, en Caracas a los cuatro das del mes de septiembre de dos mil uno. Ao 191 de la Independencia y 142 de la Federacin. Eustoquio Secretario Subsecretario Contreras Vladimir Villegas