8/18/2019 Seguridad TI
1/30
5-4-2016 SeguridadInformaticaDelitos, Amenazas y Gestión de
Riesgos
Alumnos:Ismael Gonzalez.
Rodrigo Ortiz.
Pablo Norambuena.
Profesor:Manuel Silva.
Ramo:
Manuel Silva.
8/18/2019 Seguridad TI
2/30
1
ÍndiceIntroducción ........................................................................................................................................ 2
Delitos Informáticos ............................................................................................................................ 3
Tipos de Delitos Informáticos .............................................................................................................. 4
Legislación Nacional e Internacional Sobre Delitos Informáticos. ...................................................... 7
Amenazas Humanas. ......................................................................................................................... 11
Ejemplos de Amenazas de Personal Interno ..................................................................................... 14
Ejemplo de Amenazas de Ex Empleados. .......................................................................................... 18
Recomendaciones Básicas para Evitar Las Amenazas Humanas. ...................................................... 20
Gestión de Riesgos en la Seguridad de la Información. .................................................................... 25
Conclusión. ........................................................................................................................................ 28
Bibliografía. ....................................................................................................................................... 29
8/18/2019 Seguridad TI
3/30
2
Introducción
El presente trabajo tiene como finalidad investigar acerca de los delitos informáticos como por
ejemplo fraude informático, piratería, robo de información entre otros, para tomar acciones deprevención y así erradicar estos actos negativos proponiendo alternativas para evitar estos delitos
a través de recomendaciones prácticas para mejorar la seguridad de la información.
En este documento también se pretende otorgar información para conocer los aspectos de
seguridad más importantes en la gestión de seguridad ya que las computadoras se han convertido
en una herramienta indispensable para el desarrollo humano.
La información que se mostrará a continuación, ha sido una recopilación de algunas páginas del
Internet y basado principalmente en los conceptos que se impartieron en el curso de Legislación en
Informática, añadiendo mi muy particular punto de vista, en muchos de los casos presentados a
continuación. diferentes y diversos servicios, ya sea desde el tan conocido y solicitado e-mail, hastaservicios de compras sobre la Web, que permiten realizar una serie de visitas virtuales en donde se
seleccionan los productos que se quieren adquirir e ir llevando la contabilidad de los objetos que
seleccionamos.
8/18/2019 Seguridad TI
4/30
3
Delitos Informáticos
¿Qué son los delitos informáticos?
Se ha conceptualizado el delito informático de distinta manera, entre las cuales podemos señalar:
1.- Aquellos delitos perpetrados por medio del uso de computadores y todos los delitos en que se
dañe a los computadores o a sus componentes
2.- Todas aquellas acciones u omisiones típicas, antijurídicas y dolosas, trátese de hechos aislados o
de una serie de ellos, cometidos contra personas naturales o jurídicas, realizadas en uso de un
sistema de tratamiento de información y destinadas a producir un perjuicio en la victima a través
de atentados a la sana técnica informática, la cual, generalmente, producirá de manera colateral
lesiones a distintos valores jurídicos, reportándose, muchas veces, un beneficio ilícito en el agente,
sea o no de carácter patrimonial, actúe con o sin ánimo de lucro.
Lo esencial radica en que, tanto los medios de comisión como el objeto del delito, dicen relación
con dispositivos habitualmente utilizados en actividades informáticas.
Delitos Computacionales: entendiéndose a conductas delictuales tradicionales con tipos
encuadrados en nuestro Código Penal que se utiliza los medios informáticos como medio de
comisión por ejemplo: realizar una estafa, robo o hurto, por medio de la utilización de una
computadora conectada a una red bancaria, ya que en estos casos se tutela los bienes jurídicos
tradicionales como ser el patrimonio. También la violación de email ataca la intimidad de las
personas (amparada jurisprudencialmente en la argentina).
Delitos Informáticos: son aquellos conductas delictuales en las que se ataca bienes informáticos en
sí mismo, no como medio, como ser el daño en el Software por la intromisión de un Virus, oaccediendo sin autorización a una PC, o la piratería (copia ilegal) de software, pero esta última esta
en Argentina penalizada con 1 mes a 6 años de prisión, específicamente por la ley 11.723 de Derecho
de Autor.
Pero no robando o dañando el Hardware, porque encuadraría en un delito típico tradicional
8/18/2019 Seguridad TI
5/30
4
Tipos de Delitos Informáticos
Los delitos Informáticos pueden clasificarse según la ONU en estas 3 categorías
•
Fraudes cometidos mediante manipulación de computadoras
•
Manipulación de los datos de entrada
•
Daños o modificaciones de programas o datos computarizados
Los fraudes cometidos mediante manipulación de computadoras pueden clasificarse en:
•
Manipulación de los datos de entrada o sustracción de datos.
•
La manipulación de programas: modificación de programas existentes en un sistema o la
inserción de nuevos programas.
•
Manipulación de los datos de salida.•
Fraude efectuado por manipulación informática: también llamado "técnica del salchicón",
aprovecha las iteraciones automáticas de los procesos de cómputo.
Los fraudes competidos mediante la manipulación de los datos de entrada:
• Como objeto: alteración de los documentos digitales.
• Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.
Los daños o modificaciones de programas o datos computarizados:
• Sabotaje informático: acción de eliminar o modificar funciones o datos en una computadora
sin autorización, para obstaculizar su correcto funcionamiento.
• Acceso no autorizado a servicios y sistemas informáticos.
• Reproducción no autorizada de programas informáticos de protección legal: ver piratería.
Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas
informáticos:
• Acceso ilícito a sistemas informáticos.• Interceptación ilícita de datos informáticos.
• Interferencia en el funcionamiento de un sistema informático.
8/18/2019 Seguridad TI
6/30
5
Abuso de dispositivos que faciliten la comisión de delitos.
Algunos ejemplos de este grupo de delitos son: el robo de identidades, la conexión a redes no
autorizadas y la utilización de spyware y de keylogger.
Delitos relacionados con infracciones de la propiedad intelectual y derechos afines:
Un ejemplo de este grupo de delitos es la copia y distribución de programas informáticos, o piratería
informática.
Ataques que se producen contra el derecho a la intimidad:
Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos
reservados registrados en ficheros o soportes informáticos. (Artículos del 197 al 201 del Código
Penal)
Infracciones a la Propiedad Intelectual a través de la prot ección de los
derechos de autor.
Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de
medios para suprimir los dispositivos utilizados para proteger dichos programas. (Artículos 270 y
otros del Código Penal)
Falsedades:
Concepto de documento como todo soporte material que exprese o incorpore datos. Extensión de
la falsificación de moneda a las tarjetas de débito y crédito. Fabricación o tenencia de programas de
ordenador para la comisión de delitos de falsedad. (Artículos 386 y ss. del Código Penal)Sabotajes informáticos:
Delito de daños mediante la destrucción o alteración de datos, programas o documentos
electrónicos contenidos en redes o sistemas informáticos. (Artículo 263 y otros del Código Penal)
Fraudes informáticos:
Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro
ilícito. (Artículos 248 y ss. del Código Penal)
Amenazas:
Realizadas por cualquier medio de comunicación. (Artículos 169 y ss. del Código Penal)
Calumnias e injurias:
Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión.
(Artículos 205 y ss. del Código Penal)
8/18/2019 Seguridad TI
7/30
6
Pornografía infantil:
Entre los delitos relativos a la prostitución al utilizar a menores o incapaces con fines exhibicionistas
o pornográficos.
La inducción, promoción, favorecimiento o facilita miento de la prostitución de una persona menorde edad o incapaz. (Art 187)
La producción, venta, distribución, exhibición, por cualquier medio, de material pornográfico en
cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su
origen en el extranjero o fuere desconocido. (Art 189)
El facilita miento de las conductas anteriores (El que facilitare la producción, venta, distribución,
exhibición...). (Art 189)
La posesión de dicho material para la realización de dichas conductas. (Art 189)
8/18/2019 Seguridad TI
8/30
7
Legislación Nacional e Internacional Sobre Delitos Informáticos.
Legislación en Chile
Tipo Norma: Ley 19223
Fecha Publicación: 07-06-1993
Fecha Promulgación: 28-05-1993
Organismo: MINISTERIO DE JUSTICIA
Título: TIPIFICA FIGURAS PENALES RELATIVAS A LA INFORMATICA
Tipo Versión: Única De: 07-06-1993
Inicio Vigencia: 07-06-1993
Id Norma: 30590
URL: https://www.leychile.cl/N?i=30590&f=1993-06-07&p
Artículo 1º.-
El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o
componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio
menor en su grado medio a máximo.
Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará
la pena señalada en el inciso anterior, en su grado máximo.
Artículo 2º.-
El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en
un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con
presidio menor en su grado mínimo a medio.
Artículo 3º.-
El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento
de información, será castigado con presidio menor en su grado medio.
Artículo 4º.-El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá
la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable
del sistema de información, la pena se aumentará en un grado.".
Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto
como Ley de la República.
https://www.leychile.cl/N?i=30590&f=1993-06-07&phttps://www.leychile.cl/N?i=30590&f=1993-06-07&phttps://www.leychile.cl/N?i=30590&f=1993-06-07&phttps://www.leychile.cl/N?i=30590&f=1993-06-07&p
8/18/2019 Seguridad TI
9/30
8
Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de la República.-
Francisco Cumplido Cereceda, Ministro de Justicia.
Legislación internacional
Se ha dicho que algunos casos de abusos relacionados con la informática deben ser combatidos con
medidas jurídico-penales. No obstante, para aprehender ciertos comportamientos merecedores de
pena con los medios del Derecho penal tradicional, existen, al menos en parte, relevantes
dificultades. Estas proceden en buena medida, de la prohibición jurídico-penal de analogía y en
ocasiones, son insuperables por la vía jurisprudencial. De ello surge la necesidad de adoptar medidas
legislativas. En los Estados industriales de Occidente existe un amplio consenso sobre estas
valoraciones, que se refleja en las reformas legales de los últimos diez años.
Pocos son los países que disponen de una legislación adecuada para enfrentarse con el problema
sobre el particular, sin embargo con objeto de que se tomen en cuenta las medidas adoptadas por
ciertos países
¿Qué es lo que se protege en la Ley de Delitos Informáticos?
Toda tipificación de delitos pretende, en último término, proteger bienes jurídicos.
Los bienes jurídicos son intereses relevantes de las personas en tanto sujetos Sociales, considerados
especialmente valiosos y consecuentemente, dignos de Protección penal frente a conductas que los
dañan o ponen en peligro.
Así, respecto del delito de hurto, por ejemplo, el bien jurídico protegido es la Propiedad. En el caso
del homicidio, el bien jurídico protegido es la vida.
En el caso de los delitos tipificados en la Ley 19.233, es “un nuevo bien jurídico que Ha surgido con
el uso de las modernas tecnologías computacionales: la calidad, la Pureza e idoneidad de la
información en cuanto tal, contenida en un sistema Automatizado de tratamiento de la misma y delos productos que de su operación Se obtengan”.
Sin embargo, no sólo se protege ese bien sino que además, concurren otros, tales como: el
patrimonio, en el caso de los fraudes informáticos; la privacidad, intimidad y confidencialidad de los
datos como es el caso del espionaje informático; la seguridad y fiabilidad del tráfico jurídico y
probatorio en el caso de las falsificaciones de datos probatorios vía medios informáticos; el derecho
8/18/2019 Seguridad TI
10/30
9
de propiedad sobre la información y sobre los elementos físicos, materiales de un sistema
informático, en el caso de los delitos de daños.
¿Cuáles son las conductas sancionadas en la Ley?
La Ley Nº 19.223 contempla cuatro artículos, que si bien corresponden cada uno a Un tipo de
conducta distinta, se pueden clasificar en dos grandes figuras delictivas:
Sabotaje Informático;
Espionaje Informático.
Estas dos figuras se subdividen en categorías distintas, atendiendo al objeto contra el cual se atenta
y/o al modus operandi.
¿En qué consiste el Sabotaje Informático?
El Sabotaje Informático (artículos 1 y 3 de la Ley Nº 19.223) comprende aquellas conductas
tipificadas atendiendo al objeto que se afecta o atenta con la acción delictual, y que puede ser un
sistema de tratamiento de la información o de sus partes componentes, el funcionamiento de un
sistema de tratamiento de la información, y/o los datos contenidos en un sistema automatizado de
tratamiento de la información. El atentado a estos objetos puede ser a través de su destrucción,
Inutilización, obstaculización o modificación.
¿En qué consiste el Espionaje Informático?
El Espionaje Informático (artículo 2 y 4 de la Ley Nº 19.223) comprende aquellas figuras delictivas
que atienden al modo operativo que se ejecuta y que pueden ser, en primer lugar, delitos de
apoderamiento indebido (apropiarse de la información), uso indebido (usar la información para
cualquier fin) o conocimiento indebido de la información, cometidos interfiriendo, interceptando o
meramente accediendo al sistema de tratamiento de datos. Estas figuras se encuentran descritas
en el artículo 2º de la Ley, y comprende lo comúnmente conocido como "hacking".
En segundo lugar, comprende también los delitos de revelación indebida y difusión de datos
contenidos en un sistema de tratamiento de la información (artículo 4º de la ley).
¿Cuáles son las penas de estos delitos?
Las penas asignadas a los delitos son bastantes altas.
8/18/2019 Seguridad TI
11/30
10
Para el caso de Figuras de Sabotaje Informático: En el caso de las figuras del Artículo 1º, a las
conductas de destrucción e inutilización de un sistema de tratamiento de información o de sus
partes oComponentes, y a las conductas de impedimento, obstaculización o modificación de su
funcionamiento, las penas asignadas van desde 541 días a 5 años. Para el caso que dichas conductas
traigan como consecuencia la destrucción de los datos, la pena asignada va de 3 años y un día a 5
años.
En el caso del Artículo 3º, las conductas de destrucción, daño o alteración maliciosa de los datos,
tienen asignadas penas que van desde los 541 días a los 3 años.
Para el caso de Figuras de Espionaje Informático: En el caso del Artículo 2º, esto es, las conductas
de apoderamiento, uso y conocimiento indebido mediante la interceptación, interferencia y acceso
al sistema, las penas van desde 61 días a 3 años. Finalmente, en lo que respecta al Artículo 4º, las
conductas de revelación o difusión maliciosa de los datos, tienen penas que van desde los 541 días
hasta 3 años. Si la persona que incurre en estas conductas es el encargado del sistema, la pena sube
de 3 años y un día a 5 años.
¿Quiénes pueden querellarse contra estas conductas?
No hay limitaciones en este aspecto, y puede querellarse cualquier persona víctima de estas
conductas. En este punto es importante destacar que los delitos informáticos son delitos de acción
pública, lo que significa que no se requiere la existencia de un querellante para que se proceda a
iniciar la respectiva investigación y posterior juicio, basta la denuncia y los fiscales están obligados
a investigar y perseguir la responsabilidad penal.
8/18/2019 Seguridad TI
12/30
11
Amenazas Humanas.
"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su
correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a laprotección de la ley contra tales injerencias o ataques."
Art. 12 Declaración Universal de Derechos Humanos, 1948.
A continuación se explicaran cada uno de los personajes que pueden ser potenciales atacantes de
sistemas informáticos, el mundo under y el personal perteneciente a la organización.
El Hacker:
Desde los primeros albores del hacking siempre se ha mantenido una extraña relación entre estos
particulares personajes, lo legal, lo ético y lo moral, siendo estas características, lo que intentan
resaltar para esclarecer la diferencia entre cada uno de los clanes existentes en la Red (como se lallama comúnmente en la jerga).
En el presente documento sólo se tratará de exponer el perfil de la persona encargada de una de
las principales, (publicitariamente), si bien no la mayor amenaza que asechan los sistemas
informáticos; para luego sí entrar en las formas de ataques propiamente dichos.
Por definición un Hacker es alguien que descubre las debilidades de un computador o de una red
informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado
de computadoras y de redes informáticas.
Los hackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro,
protesta o por el desafío.
La subcultura que se ha desarrollado en torno a los hackers a menudo se refiere a la cultura
underground de computadoras, pero ahora es una comunidad abierta. Aunque existen otros usos
de la palabra «hacker» que no están relacionados con la seguridad informática, rara vez se utilizan
en el contexto general. Están sujetos a la antigua controversia de la definición de hacker sobre el
verdadero significado del término. En esta controversia, el término hacker es reclamado por los
programadores, quienes argumentan que alguien que irrumpe en las computadoras se denomina
«cracker», sin hacer diferenciación entre los delincuentes informáticos conocidos como sombreros
negros, y los expertos en seguridad informática conocidos como sombreros blancos. Algunos
hackers de sombrero blanco afirman que ellos también merecen el título de hackers, y que solo los
de sombrero negro deben ser llamados crackers.
8/18/2019 Seguridad TI
13/30
12
Personal (Insiders):
Es común pensar en el personal interno como víctima de atacantes externos; sin embargo, de los
robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70% son causados por
el propio personal de la organización propietaria de dichos sistemas ("Inside Factor").Un conocido Hacker Latino llamado Julio C. Ardita explica que "desde mitad de 1996 hasta 1999 la
empresa tuvo dos casos de intrusiones pero en el 2000 registramos siete, de las cuales 5 eran intrusos
internos o ex-empleados" .
El siguiente gráfico detalla los porcentajes de intrusiones clasificando a los atacantes en internos y
externos.
Esto es realmente preocupante, ya que, una persona que trabaje con el administrador, el
programador o el encargado de una máquina conoce perfectamente el sistema, sus puntos fuertesy débiles; de manera que un ataque realizado por esa persona podrá ser más directo, difícil de
detectar y más efectivo que el que un atacante externo pueda realizar.
Existen diversos estudios que tratan sobre los motivos que llevan a una persona a cometer delitos
informáticos contra su organización, pero sean cuales sean, estos motivos existen y deben
prevenirse y evitarse. Suele decirse que todos tenemos un precio (dinero, chantaje, factores
psicológicos, etc.), por lo que nos pueden arrastrar a robar y vender información o simplemente
proporcionar acceso a terceros.
Como ya se ha mencionado los ataques pueden ser del tipo pasivos o activos, y el personal realiza
ambos indistintamente dependiendo de la situación concreta.
Dentro de este espectro podemos encontrar:
• Personal Interno
• Ex-Empleado
• Curiosos
• Terroristas
• Intrusos Remunerados
8/18/2019 Seguridad TI
14/30
13
Definiciones:
PERSONAL (INSIDERS). Se ha presentado al personal como víctima de atacantes externos; sin
embargo, de los robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70%
(son causados por el propio personal de la organización propietaria de dichos sistemas ("InsideFactor").Como ya se ha mencionado, los ataque pueden ser activos o pasivos y el personal puede
realizar ambos.
PERSONAL INTERNO. Las amenazas a la seguridad de un sistema, provenientes del personal del
propio sistema informático rara vez son tomadas en cuenta porque se supone un ámbito de
confianza muchas veces inexistente.
EX-EMPLEADO. Generalmente se trata de personas descontentas con la organización que conocen
a la perfección la estructura del sistema y tienen los conocimientos necesarios como para causar
cualquier tipo de daño. También han existido casos donde el ex-empleado deja Bombas Lógicas que
''explotan'' tiempo después de marcharse.
CURIOSOS. Son personas que tienen un alto interés en las nuevas tecnologías pero aún no tienen
los conocimientos ni experiencia básicos para considerarlos hackers o crackers
TERRORISTAS. Bajo esta definición se engloba a cualquier persona que ataca el sistema para causar
daño de cualquier índole en él.
INTRUSOS REMUNERADOS. Crackers o piratas pagados por una tercera parte para robar ''secretos''.
8/18/2019 Seguridad TI
15/30
14
Ejemplos de Amenazas de Personal Interno
Ejemplo 1:
Uno de los ejemplos más comunes es el robo de información por personal interno para ser vendidos
a empresas privadas para recibir un pago por ello.
Un caso muy conocido a nivel nacional es el robo de bases de datos del registro civil.
En se ha puesto en riesgo la seguridad nacional y la información personal de todos los chilenos y
extranjeros residentes.
Daniel Álvarez, abogado y miembro de ONG Derechos Digitales, escribe una carta a La Tercera, a
propósito de la denuncia de copia y manejo irregular de la base de datos del Registro Civil.
Un funcionario todavía no identificado habría copiado información de una base de datos con
“50.481.298 registros relativos a documentación de cédula y pasaporte de TODOS los chilenos”,
según detalla un mail interno del organismo. El robo de información se habría realizado el 12 de
septiembre de 2013, en pleno paro de funcionarios.
Álvarez señala que este hecho “deja en evidencia la debilidad de los sistemas y protocolos de
seguridad informática con los que cuenta el Registro Civil”.
“Se trata de datos que, por ejemplo, son de interés de empresas del retail o incluso de otros países,
que pueden ser vendidos y utilizados de mala forma”, explica La Tercera y, según afirma el
académico Renato Jijena, “Hay empresas que van a pagar mucho dinero para tener una base
actualizada y fidelizada con todos los antecedentes”.
Ejemplo 2:
Otro caso que no hay que dejar de mostrar como ejemplo es importantísimo por su antigüedad y
heroísmo es:
“La increíble historia del funcionario que hackeó a IBM”
La historia de uno de esos nombres, posiblemente, el primer hacker de la historia. Un funcionario
que fue capaz de salvar la vida de cientos de judíos alterando la tecnología de la mismísima IBM.
Esta es la historia de René Carmille.
Si al ingenio del mago John Maskelyne se le podría considerar como el precursor de lo que hoy
entendemos por hacker (o cracker), años más tarde sería su nieto Jasper Maskelyne, el ilusionista,
el hombre que comenzaría a construir la definición de un hacker. Se trata de otra figura heroica que
emergió en la Segunda Guerra Mundial, gracias a sus trucos y señuelos la armada británica logró
ventaja en el campo de batalla. Aun así y para ser exactos con el término, ni Jasper ni John fueron
hackers, no hay informática por medio, pero desde luego allanaban el camino para que apareciera
la figura de Carmille.
8/18/2019 Seguridad TI
16/30
15
IBM y la tecnología para computar judíos
En plena expansión del Reich, el gobierno alemán había tomado una decisión que escondía una
decisión macabra. Anunciaba el inicio de un censo para “ordenar” a la población. La realidad es que
detrás de la iniciativa se escondía la persecución de todos los judíos que existían en cada territorioocupado. Para ello los nazis hacían uso de las administraciones de los países donde llegaban, entre
otros de los Centros de Estadística, un lugar desde el que comenzarían a rastrear, arrestar y
finalmente deportar a los campos de concentración o como mano de obra esclava.
El censo que llevarían a cabo se realizaba a través de las máquinas Hollerith, filial alemana de IBM,
a través de unas tarjetas perforadoras. Cada tarjeta asignaba a un ciudadano, y cada ciudadano tenía
en la tarjeta una serie de identificaciones entre las que se encontraría la raza o la religión.
La increíble historia del funcionario que hackeó a IBM salvando del Holocausto a cientos de judíos
Tarjetas perforadoras utilizadas para el censo.
Estas máquinas, también conocidas como tabuladoras, son una de las primeras en la historia de
aplicación en informática. Existen desde 1890 y fueron creadas por Herman Hollerith con la idea de
tabular el censo de ese mismo año en Estados Unidos. Años más tarde, en 1896, se produce una
fusión con otras tres empresas, lo que finalmente dio lugar en 1924 a la International Machines
Corporation (IBM).
Por tanto la historia dice que estas máquinas de IBM fueron las encargadas de comparar cada día
durante el Holocausto los posibles cambios de los ciudadanos, ya sea de domicilio o estado civil.
8/18/2019 Seguridad TI
17/30
16
Pensemos que la utilización de estas máquinas, utilizadas por Alemania diariamente, reportaron a
los fabricantes de esa época grandes dividendos.
Modelo de máquina Hollerith.
Es en este momento de la historia cuando aparece la figura de nuestro héroe. René Carmille,
aparentemente un hombre más, era un funcionario del Departamento de Demografía de Vichy,
además y posteriormente estuvo trabajando en el Centro Nacional de Estadística como jefe del
servicio. Evidentemente no era uno más, también era un experto en el manejo de las cartas
perforadas para almacenar datos y la historia le atribuye el honor de ser el inventor del código
alfanumérico que al final de la guerra sería utilizado por Francia para el número de la Seguridad
Social.
En este contexto, cada territorio conquistado por los nazis en Europa suponía una puesta a punto
con los censos a través de estas tarjetas. Llegados a Vichy tras la caída de Francia, a Carmille lo
envían a Alemania para aprender a trabajar con las nuevas máquinas y comenzar a trabajar para los
nazis en Vichy desde el Centro de Estadísticas. El hombre desconfía y piensa acertadamente que el
trabajo de los censos esconde algo más. Meses más tarde llega la confirmación de sus pesquisas, el
ministro de Justicia de Vichy, Raphael Alibert, le pide a Carmille que incluya la pregunta número 11
en las tarjetas: la religión del ciudadano en cuestión.
Unos meses antes, Carmille se había enrolado en la red Marco Polo de la Resistencia, una especie
de servicio secreto de la autoproclamada Francia libre con la que podía llevar a cabo un plan que“hackeara” las máquinas del censo. La idea: modificar o alterar los códigos que se introducían en las
tarjetas de forma que podría ocultar la identidad de muchos judíos de Francia.
Un trabajo que le tomó horas diarias con el que iría salvando vidas en cada tarjeta modificada. El
funcionario y el equipo a su cargo omitían o realizaban errores de bulto sobre esa pregunta número
11 que retrasaba las redadas y las identificaciones de los judíos. No sólo eso, Carmille se las ingenia
también para robar información del censo y pasarla a la Resistencia francesa.
8/18/2019 Seguridad TI
18/30
17
Tenemos por tanto al que podríamos considerar el primer hacker de la historia salvando
literalmente miles de vidas.
Desgraciadamente y con el tiempo, cuantos más “errores” y desinformación se produce mayor es
el cerco de los alemanes, quienes comienzan a pedir explicaciones intentando averiguar lanaturaleza de los mismos. Pasaron varios años hasta que descubrieron a Carmille, pero en febrero
de 1944 fue detenido por la Gestapo, momento en el que los nazis ponen a gente de confianza al
cargo de los censos.
Carmille acaba siendo deportado a un campo de exterminio tras haber sido torturado durante dos
días. Allí moriría de tifus un 25 de enero de 1945 con 59 años de edad. Con su muerte se perdía la
figura del, posiblemente, primer hacker de la historia, además de uno de los grandes héroes
anónimos del Holocausto. En cuanto a la cifra de vidas que pudo haber salvado vulnerando la
tecnología del censo, no se tiene constancia del número exacto, pero podría valer un dato revelador:
durante la misma fecha en la que Carmille actuaba sobre los censos, en Holanda un 75% de los
hebreos fueron deportados a los campos. En Francia, donde actuó Carmille, la cifra fue de un 25%.
8/18/2019 Seguridad TI
19/30
18
Ejemplo de Amenazas de Ex Empleados.
Ejemplo 1:
Caso conocido en el año 2001 Un ex-empleado del equipo de desarrollo vulneró 46 veces el sistema
que controla la planta de tratamiento de aguas residuales en Queensland (Australia), liberando
264.000 galones de crudo en ríos y parques, lo que provoco un grave daño ambiental.
8/18/2019 Seguridad TI
20/30
19
Ejemplo 2:
Otro caso ocurrido en el 2008 un ex consultor de TI de la empresa en Long Beach (California), utilizó
múltiples cuentas de usuarios, manipuló unos sistemas SCADA de la compañía utilizada para operar
remotamente gigantes plataformas petroleras y detectar fugas de gas.A continuación un artículo publicado en www.enriquedans.com
“Pocas cosas se imaginan más sólidas y bajo un control más férreo que una plataforma petrolíferade muchísimas toneladas extrayendo petróleo en el medio del mar. Por eso me ha llamado la
atención esta nota de Slashdot, “Offshore drilling rigs vulnerable to hackers“, en la que se comentan
varios casos de ataques y de virus en los sistemas informáticos de estas plataformas: en un caso, un
trabajador temporal disgustado por no tener contrato indefinido tomó el control de un sistema de
comunicación con la costa encargado entre otras cosas de la detección de fugas de petróleo y
provocó varios miles de dólares en daños, aunque no fugas. En otros casos, en plataformas del Mar
del norte, el ataque de virus ha llegado a provocar daños a trabajadores y pérdidas de producción.”
http://www.enriquedans.com/http://www.enriquedans.com/http://www.enriquedans.com/http://www.enriquedans.com/
8/18/2019 Seguridad TI
21/30
20
Recomendaciones Básicas para Evitar Las Amenazas Humanas.
Cuidado con los adjuntos en tu correo
Si no lo conoces, no lo abras. Con esa lógica de pensamiento, tendrías que quedarte a salvo durante
mucho tiempo de los correos electrónicos de direcciones extrañas o que tienen archivos adjuntos
como .pps, .zip, .exe, etc. Por más que no estés pasando un buen momento, y la invitación a tomar
pastillas milagrosas de forma gratuita parezca tentadora... ¿Vale la pena el riesgo? Incluso cuando
un correo con adjunto que no esperabas te lo envía un conocido, lo mejor es preguntarle mediante
cualquier medio si él lo ha enviado para estar un poco más seguros. A nivel software, lo que puedes
hacer son análisis del correo a través de tu antivirus o aplicación antimalware favorita. Desconfiar,
sin llegar a la paranoia, es una buena herramienta para no caer bajo el yugo de las amenazas.
Actualiza el software de tu sistema periódicamente
Más reciente, más resistente. Esta debería ser una verdad de perogullo, pues es tan simple como
pensar “si yo uso una aplicación que está desactualizada hace tres meses, llevo tres meses de
vulnerabilidades no resueltas encima”, lo que hará a tu sistema más propenso a recibir malware. La
reticencia a actualizar software (incluyendo sistema operativo) se debe a costos, a pereza y también,
fundamentalmente, a olvido. Por eso es bueno contar con algunas aplicaciones que revisan si hay
actualizaciones disponibles para el software que tenemos instalado y nos recomiendan su descarga.
Actualizar soft no quiere decir que con la nueva versión no puedan venir otros agujeros, pero es
menos usual que el caso anterior. Y en el caso de los sistemas operativos, el caso de Windows XP y
7 es ilustrativo por demás.
Crea mejores contraseñas y cámbialas cada seis meses
Más dificultad, menos previsibilidad. Un primer y obligado lugar es en tu campo de texto:
“introduzca una nueva contraseña”. Es que apelar a la misma contraseña de años para todos los
servicios a los que estás suscrito es realmente un riesgo, pues si te descubren una; descubren todo.
Así que lo mejor es crear contraseñas por servicio o por género de servicio, además de tener un
administrador de contraseñas, olvidarse de “recordar contraseña” en sitios públicos y usar
aplicación para crear claves cifradas que ni el más nerd del MIT podría adivinar sin que le tomara
toda su vida.
8/18/2019 Seguridad TI
22/30
21
Usa antivirus y aplicaciones anti-malware
No queremos héroes: usa Antivirus. El antivirus puede costar dinero o no, pero estamos de acuerdo
en que utiliza recursos del sistema que te podrían dar algún dolor de cabeza. Pero, sopesando los
riesgos, un antivirus activo es siempre más efectivo y seguro que un ordenador sin él. Pues en elsegundo caso el sistema depende mucho de tu cuidado, y si algún día fallas, te olvidas o alguien usa
tu sistema, adiós. Hay antivirus por doquier y ofrecen diferentes desempeños según coste y según
uso de RAM. Escoge el que más te convenga. Lo mismo con las aplicaciones anti-malware, Spybot
Search and Destroy y MalwareBytes son el dúo dinámico que viene al rescate ante la señal en el
cielo de que han pasado tres días desde el último análisis.
Acostumbra a cerrar las sesiones al terminar
Una ventana de entrada es también una ventana de salida. El ser humano es curioso por naturaleza,
y en cuanto ve algo que no es suyo puesto a su disposición, lo más probable es que, al menos porcuriosidad, haga uso de ese regalo del devenir. Esto suele pasar en los cibercafés, en las oficinas de
trabajo y en todos los sitios donde los ordenadores se comparten. Si abres Facebook, Gmail o
cualquier otro servicio, acostúmbrate a cerrar la sesión antes de levantarte de la silla para irte. Con
esto evitarás entrar en la inmensa tasa de usuarios que pierden datos por dejar abiertas sus sesiones
por ahí. Un buen ejercicio para generar el hábito es hacerlo en tu casa también, cada vez que te
levantes del ordenador; cierra la sesión.
Evita operaciones privadas en redes abiertas y públicas
Compartir la conexión, pero no los datos. Uno de los asuntos más complicados para muchos turistases encontrarse de vacaciones y tener que realizar movimientos bancarios desde la red abierta de su
hotel o desde algunas de las redes abiertas del lugar. Esto significa comodidad, pero también
posibilidades para que el sniffing cobre forma y nos asalten las cuentas bancarias, sociales, de
correo, etc. en un abrir y cerrar de ojos. Para evitar esto habría que evitar conectarse, y eso es como
decirte que cortes la luz de tu hogar para que nunca te electrocutes. Por eso, lo mejor es usar medios
alternativos como servidores VPN o, más accesibles, extensiones como Blacksheep, acceder sólo a
sitios con protocolo HTTPS y tener el firewall al máximo de atención.
Activa el Firewall de tu sistema
La Gran Muralla China no se construyó para decoración. Esta frase debería ser una invitación a que
nos cuidemos más sin poner tantos caprichos a la hora de ser un poco cercenados en nuestra
comodidad. Un Firewall o cortafuegos puede ser configurado totalmente para que la molestia de su
presencia te resulte reconfortante a nivel protección, ya que puedes modificar el sistema de
prioridades, agregar excepciones y, si estás en Windows, utilizar aplicaciones alternativas que te
den más posibilidades aún.
8/18/2019 Seguridad TI
23/30
22
Evita software con recurrentes asociaciones a afecciones
CanciónMuyLinda.exe no es un MP3: Debido a la cantidad de estafas que existen en relación a los
servicios web, aplicaciones y lo que se les ocurra, tener una idea clara de qué programas no
contribuyen a que tu ordenador sea un refugio de virus y malware, es un tanto complejo. Por esoproponemos una vuelta a los clásicos y a sus alternativas. Pero como no se puede dejar de lado la
innovación, es bueno que tengas como referencia algún sitio web que te limpie las dudas sobre la
legitimidad de un software, pues mientras que muchos programas prometen eliminar malware, son
ellos mismos quienes son reportados como infecciones, además de contaminar tu sistema para
poder venderte la solución.
Desconéctate de internet cuando no la necesites
Menor grado de exposición, menor tasa de infección: Hay excepciones por montones, pero la mayor
cantidad de infecciones se dan cuando los ordenadores están conectados a la red, pues los spywaresy malware realizan sus acciones comunicándose con servidores o remitiendo información utilizando
puertos abiertos en tu conexión. Por lo que si quieres bajar la tasa de posibilidades de infección y
utilizas el ordenador mucho tiempo sin necesidad de una conexión a la red (juegos, diseño, escritura,
etc) o si te vas a ir a dormir o si directamente vas a estar ausente, desconectando internet te evitas
que algo pase en tu sistema sin apagar el ordenador. Simple, pero 100% efectivo.
Realiza copias de seguridad
Más vale prevenir que curar: En el caso de darse una situación donde pierdes datos por falta de
políticas de seguridad en tu ordenador, por no llevar a cabo algo de todo lo que hemos contadoarriba, la situación más común es la desesperación. Pero si serán importantes los backups o copias
de seguridad, que cuando todos estarían inundándose en llanto, quien hizo la tarea y respaldó sus
datos se lo tomará como una experiencia más. No hay VNP, antivirus, paranoia que le gane a la
seguridad que brinda la existencia de los datos en otro disco o servicios en la nube. En cuanto a
software, hicimos una recomendación de 6 aplicaciones para respaldar tus datos, escoge la que más
te guste y siéntete tranquilo haciendo un Backup cada cierto periodo de tiempo. También puedes
respaldar tu correo u otros servicios sociales.
Seguridad en redes sociales
En la actualidad, las redes sociales son muy populares y los usuarios las utilizan masivamente; estas
características las transforman en importantes focos de propagación de malware. Por tal motivo, se
torna necesario tener en cuenta y aplicar las siguientes medidas preventivas:
• Intentar no publicar información sensible y confidencial, debido a que personas extrañas pueden
aprovechar esta información con fines maliciosos.
8/18/2019 Seguridad TI
24/30
23
• También es recomendable evitar la publicación de fotografías propias y de familiares. Las
fotografías pueden ser utilizadas para complementar actos delictivos, incluso fuera del ámbito
informático.
• Mantener la privacidad del perfil; es decir, configurar el perfil para que no sea público.• No responder las solicitudes de desconocidos, ya que pueden contener códigos maliciosos o
pueden formar parte de actividades delictivas.
• Ignorar los mensajes que ofrecen material pornográfico, pues usualmente a través de ellos suele
canalizarse la propagación de malware, además de otras acciones ofensivas desde el punto de vista
ético y moral.
• No abrir contenidos con spam a través de este medio. De esta manera se evita formar parte del
ciclo de vida del spam a través de este canal.
• Cambiar periódicamente la contraseña para evitar que la misma sea descubierta fácilmente.
• Antes de aceptar contactos espontáneos, es recomendable verificar su existencia y que realmente
provienen de quien dice ser
Autenticación
Este proceso, es otro método para mantener una comunicación seguro entre ordenadores. La
autenticación es usada para verificar que la información viene de una fuente de confianza.
Básicamente, si la información es auténtica, sabes quién la ha creado y que no ha sido alterada. La
encriptación y la autenticación, trabajan mano a mano para desarrollar un entorno seguro.
Hay varias maneras para autenticar a una persona o información en un ordenador:
•
Contraseñas – El uso de un nombre de usuario y una contraseña provee el modo más común
de autenticación. Esta información se introduce al arrancar el ordenador o acceder a una
aplicación. Se hace una comprobación contra un fichero seguro para confirmar que
coinciden, y si es así, se permite el acceso.
•
Tarjetas de acceso – Estas tarjetas pueden ser sencillas como si de una tarjeta de crédito se
tratara, poseyendo una banda magnética con la información de autenticación. Las hay más
sofisticadas en las que se incluye un chip digital con esta información.
•
Firma digital – Básicamente, es una manera de asegurar que un elemento electrónico
(email, archivo de texto, etc.) es auténtico. Una de las formas más conocidas es DSS (Digital
Signature Standard) la cual está basada en un tipo de encriptación de clave pública la cual
usa DSA (Digital Signature Algorithm). El algoritmo DSA consiste en una clave privada, solo
conocida por el que envía el documento (el firmante), y una clave pública. Si algo es
cambiado en el documento después de haber puesto la firma digital, cambia el valor contra
lo que la firma digital hace la comparación, invalidando la firma.
8/18/2019 Seguridad TI
25/30
24
Recientemente, otros métodos de autenticación se están haciendo populares en varios medios que
deben mantenerse seguros, como son el escaneo por huellas, de retina, autenticación facial o
identificación de voz.
8/18/2019 Seguridad TI
26/30
25
Gestión de Riesgos en la Seguridad de la Información.
Unidas, la Gestión de Riesgos y la Seguridad de Información tienen como principal desafío proteger
uno de los principales activos de una organización: la información.
La información, en sus más variadas formas, es uno de los activos más valiosos y estratégicos de
cualquier empresa hoy. Tanto para almacenarse adecuadamente, así como para disponer de datos
e información relevante. Las principales preocupaciones de las organizaciones son la Seguridad de
la Información y la Gestión de Riesgos.
Esencial para la salud organizacional, la Seguridad de la Información está basada en cinco pilares:
•Confidencialidad, que limita y controla el acceso a la información, de acuerdo a la autorización y
necesidades de la empresa.
•Integridad, que garantice las características originales de la información. •Disponibilidad, que garantice el acceso de los usuarios para uso legítimo, de acuerdo con la
autorización.
•Autenticidad, que garantice la fuente de la información.
•Irreversibilidad, que asegura la autoría de la información. La Gestión de Riesgos unida a la
Seguridad de la Información
La Gestión de Riesgos, por su parte, es fundamental para garantizar el perfecto funcionamiento de
toda la estructura tecnológica de la empresa, engloba la Seguridad de la Información, ya que hoy la
vulnerabilidad y cantidad de riesgos que pueden comprometer la información de la empresa cada
vez es mayor.
Al englobar la Gestión de la Seguridad de la Información, la Gestión de Riesgos tiene como
principales desafíos proteger uno de los principales activos de la organización: la información, así
como la reputación de la marca de la empresa, implementar y administrar controles que tengan
como foco principal los objetivos del negocio, promover acciones correctivas y preventivas de forma
eficiente, garantizar el cumplimiento de reglamentaciones y definir los procesos de gestión de la
Seguridad de la Información.
Entre las ventajas de invertir en la Gestión de Riesgos orientada a la Seguridad de la Información,
está la prioridad de las acciones de acuerdo con las necesidades y los objetivos de la empresa y la
utilización de mediciones e indicadores de resultados.
8/18/2019 Seguridad TI
27/30
26
Soluciones para Gestión de Riesgos y Seguridad de la Información
La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.
En su forma general contiene cuatro fases
• Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades
que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de
riesgo.
• Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
• Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los
usuarios conforme a las medidas.
• Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales,
que forman el marco operativo del proceso, con el propósito de
• Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas
con el resultado de reducir el riesgo.
Orientar el funcionamiento organizativo y funcional.
Garantizar comportamiento homogéneo.
Garantizar corrección de conductas o prácticas que nos hacen vulnerables.
Conducir a la coherencia entre lo que pensamos, decimos y hacemos.
8/18/2019 Seguridad TI
28/30
27
Política de Gestión del Riesgo de Seguridad de la Inf ormación
Objeto
El objetivo de esta política es fijar los criterios básicos necesarios para la Gestión del riesgo de
seguridad de la información en el Organismo.
Alcance
Esta política alcanza a todos los activos de información del Organismo, incluso Aquellos gestionados
mediante contratos con terceros.
Responsabilidad
La Dirección del Organismo es responsable de:
Generar las condiciones adecuadas para la ejecución y comunicación de la presente política,
así como de establecer el alcance para su Aplicación.
Designar un equipo responsable por la gestión del riesgo de seguridad de la información.
Los propietarios de los procesos son responsables de:
Dar aplicación a la presente política y por la identificación, estimación, valoración de los
riesgos identificados.
El Responsable de la Seguridad de la Información es responsable de:
• Brindar asesoramiento en la identificación de las amenazas que pueden afectar a los activos de
información y las vulnerabilidades que propician las mismas.
Estas tres partes mencionadas, serán responsables por la definición de las acciones de tratamiento
de los riesgos de seguridad de la información en el Organismo.
Desarrollo
La Dirección del Organismo reconoce la importancia de preservar los activos de información, por lo
que asigna alta prioridad a la gestión de riesgo a través de la identificación, evaluación y tratamiento
de los riesgos relativos a la seguridad de la información.
Es política del Organismo:
Establecer, formalizar y poner en práctica una metodología para la gestión del riesgo.
Definir y establecer en forma explícita el nivel de aceptación del riesgo por parte de la
dirección del Organismo.
Contar con la aprobación explícita de los planes de tratamiento del riesgo residual. Realizar evaluaciones periódicas de riesgo en seguridad de la información.
Mantener informadas a las partes involucradas sobre el estado del riesgo.
8/18/2019 Seguridad TI
29/30
28
Conclusión.
Se puede decir que el delito informático es el delito del siglo XXI, puede ocasionar grandes pérdidas
de dinero en pocos segundos y afectar la privacidad de las personas sin que estas se percaten deello, entre otras consecuencias, van de la mano con los avances de la tecnología.
Existe en el mundo un gran interés por contrarrestar e investigar este tipo de conductas, es por ello
que se ha legislado sobre este tema en diferentes países, sobresaliendo el convenio de Budapest
sobre ciberdelincuencia que se espera sea aceptado por la mayoría de países para que se convierta
en una normatividad global. Se debe fortalecer estas leyes para que sean efectivas además de ser
tan dinámicas como lo son las mismas tecnologías de la información.
Las personas como victimas principales de estos delitos, deben toman conciencia de la importancia
de aplicar métodos de seguridad Informática en sus sistemas domésticos o empresariales para
contrarrestar y evitar al máximo sufrir las consecuencias de estas acciones ilegales.
8/18/2019 Seguridad TI
30/30
Bibliografía.
www.segu-info.com.ar/amenazashumanas/amenazashumanas.htm
es.wikipedia.org/wiki/Hacker_(seguridad_inform%C3%A1tica) derechosdigitales.tumblr.com/post/80705155587/roban-base-de-datos-del-registro-civil
www.latercera.com/noticia/nacional/2014/03/680-570673-9-registro-civil-denuncia-
copia-irregular-de-bases-de-datos-de-carnes-y-pasaportes.shtml
www.enriquedans.com
es.gizmodo.com/la-increible-historia-del-funcionario-que-hackeo-a-ibm-1740947615
http://www.abc.es/20111118/tecnologia/abci-diez-consejos-seguridad-informatica-
201111181236.html
www.segu-info.com.ar/amenazashumanas/recomendaciones.htm
www.welivesecurity.com/wp-
content/uploads/2014/01/buenas_practicas_seguridad_informatica.pdf
https://www.leychile.cl/N?i=30590&f=1993-06-07&p
Top Related