Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
ING.GILBERT JAIR SANCHEZ AVILA Resumen blog delitos informáticos Delitos informáticos Se puede considerar como todo Acto o conducta ilícita e ilegal que pueda ser dirigida a alterar, socavar, destruir, o manipular , cualquier sistema informático o alguna de sus partes componentes, que tenga Como finalidad causar una lesión o poner en peligro un bien jurídico o patrimonial de una organización al hacer mal uso de las tecnologías de la información.. También podemos decir que es toda conducta que revista características delictivas e ilegales atente contra el soporte lógico de un sistema de procesamiento de información, sea sobre programas o datos relevantes, a través del empleo de las tecnologías de la información Algunos de los delitos más comunes hoy en día son: Hacking: Es el ingreso ilegal a computadores, páginas y redes sociales de algún usuario u organización sistema de información sin autorización, es decir violando las barreras de protección establecidas a tal fin. con el objetivo de robar información, suplantar la identidad del usuario, beneficiarse económicamente o protestar. Cracking: Cambiar los contenidos de la información que tienen por objeto destruir el sistema, a esto se llama cracking y a los sujetos que lo realizan se los identifica como crackers. Esta es una expresión idiomática que se puede traducir como quebrar, es decir vencer las barreras de seguridad y romper lo que hay detrás de ellas. Phreaking: La actividad de phreaking es, sin duda, la más común de todas las llamadas actividades ilícitas informáticas, es la actividad de obtener ventajas de las líneas telefónicas a los efectos de no pagar los costos de comunicación. Es decir que básicamente se trata de encontrar el medio para evitar pagar por el uso de la red telefónica ya sea ésta pública o privada, digital o inalámbrica. Carding: Se llama carding a la actividad de cometer un fraude o una estafa con un número de tarjeta de crédito, El carding consiste entonces en usar un número de tarjeta de crédito ya sea real o creado de la nada mediante procedimientos digitales para realizar compras a distancia por Internet y efectuar pagos de manera ilegal o sin autorización del usuario poseedor de la tarjeta de crédito. Uso de Software Malicioso: Tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una gran variedad de software hostil, intrusivo o molesto. Se trata de un tipo de virus cuyo último fin es infiltrase o dañar un equipo informático sin el consentimiento de su propietario. Uso de programas espías: conocidos como troyanos, o software espías, utilizadas para sustraer información en forma remota y física, preferiblemente aquella que le permita al delincuente validarse en el sistema bancario, suplantando a la víctima. Ciberacoso (cyberbullying): Es un tipo de agresión psicológica se busca herir o intimidar a otra persona por medio de las redes sociales, Se da usando las nuevas tecnologías: teléfonos celulares e Internet. Por medio de correos, mensajes o imágenes que se envían, por lo general estos contenidos son de un lenguaje muy fuerte a nivel violento o sexual. Además son conductas originadas en el anonimato ofrecido en la internet y el acceso público sin control desde ciber cafés; entre ellas se encuentran el envió de correos electrónicos anónimos, con fines injuriosos o calumnias, amenazas y extorsiones. Estafas a través de subastas en línea: se presentan en el servicio de venta de productos, generalmente ilícitos, en línea o en la red; se pueden encontrar celulares hurtados, software de aplicaciones ilegales, además puede ser una vía de estafa ya que se suelen incumplir reglas de envió y de calidad de los productos solicitados. Pornografía infantil en internet: a través de foros, chats, comunidades virtuales, transferencias de archivos, entre otras modalidades, los delincuentes comercializan material pornográfico que involucra menores de edad. Violación a los derechos de autor: utilizando reproductores en serie, los delincuentes realizan múltiples copias de obras musicales, videogramas y software, dando pie a la Piratería en internet para vender o distribuir programas informáticos protegidos por las leyes de la propiedad intelectual. Ley 1273 del 2009 Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos" y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones. Conocida como la Ley de Delitos Informáticos. Estos son los artículos más importantes con esa ley: CAPÍTULO I De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos ARTICULO 269 A Acceso abusivo a un sistema informático: Se comete: Aprovechan la vulnerabilidad en el acceso a los sistemas de información o debilidades en los procedimientos de seguridad. Pena: Prisión de 48 a 96 meses y multa de 100 a 1.000 salarios mínimos vigentes ARTICUL 269 B Obstaculización ilegítima de sistema informático o red de telecomunicación: Se comete: Cuando se Bloquean en forma ilegal un sistema o impiden su ingreso, igualmente, el acceso a cuentas de correo electrónico de otras personas, sin el debido consentimiento. Pena: Prisión de 48 a 96 meses y multa de 100 a 1.000 salarios mínimos vigentes ARTICULO 269 C Interceptación ilícita de datos informáticos: Se comete: Obstruyen datos sin autorización legal, en su sitio de origen, en el destino o en el interior de un sistema informático. Pena: Prisión de 36 a 72 meses vigentes ARTICULO 269 D Daños informáticos: Se comete: Cuando una persona que sin estar autorizada, modifica, daña, altera, borra, destruye o suprime datos de los programas o documentos electrónicos y se hace en los recursos de TIC de una organización Pena: Prisión de 48 a96 meses y multa de 100 a 1.000salarios mínimos vigentes ARTICULO 269 E Uso de software malicioso: Se comete: Cuando se producen, adquieren, distribuyen, envían, introducen o extraen del país software o programas de computador que produce daños en los recursos de TIC. Pena: Prisión de 48 a 96 meses y multa de 100 a 1.000 salarios mínimos vigentes ARTICULO 269 F Violación de datos personales: Se comete: Sin estar facultado sustrae, vende, envía, compra, divulga o emplea datos personales almacenados en medios magnéticos. Pena: Prisión de 48 a 96 meses y multa de 100 a 1.000 salarios mínimos vigentes ARTICULO 269 G Suplantación de sitios web para capturar datos personales: Se comete: Crean una página similar a la de una entidad y envía correos (spam o engaños), como ofertas de empleo y personas inocentemente, suministran información personal y claves bancarias, y el delincuente informático ordena transferencias de dinero a terceros. Pena: Prisión de 48 a 96 meses y multa de 100 a 1.000 salarios mínimos vigentes Otros artículos a tener en cuenta: CAPÍTULO II De los atentados informáticos y otras infracciones ARTICULO 269I Hurtos por medios informáticos y semejantes: Se comete: El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239[3] manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización Pena: de prisión de tres (3) a ocho (8) años. Artículo 269J Transferencia no consentida de Activos: Se comete: El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuiciode un tercero, siempre que la conducta no constituya delito sancionado con pena más grave. Pena: tendrá prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes. Otras leyes a nivel nacional Ley 527 de 1999: Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación. Esta ley reconoce la fuerza probatoria de los mensajes de datos como documentos. Ley 599 de 2000: Por medio de la cual se expide el código penal colombiano en materia de derechos de autor. Habla sobre el derecho de autor de obras literaria, desarrollo de software, iniciativas tecnológicas, entre otras. Ley 734 de 2002: Código Disciplinario Único para funcionarios públicos. Este código habla de los derechos y deberes que tiene todo funcionario público o persona natural o jurídica que este ejerciendo función pública frente al tratamiento de la información. Ley Estatutaria 1266 de 2008: Por la cual se dictan las disposiciones generales del Hábeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. Información financiera reportada por las entidades financieras a las centrales de riesgos. Ley 1474 de 2011: Por la cual se dictan normas orientadas a fortalecer los mecanismos de prevención, investigación y sanción de actos de corrupción y la efectividad del control de la gestión pública. Inhabilidad para contratar con el estado por actos cometidos a través de apoyos tecnológicos. Ley Estatutaria 1581 de 2012: Por la cual se dictan disposiciones generales para la Protección de Datos Personales. Ley de protección de datos personales clasificados como públicos, no públicos y sensibles. Decreto 1377 de 2013: Que reglamenta la Ley Estatutaria1581 de 2012. En el cual se definen como registrar las bases de datos que contienen información de tipo personal ante la SIC Leyes a nivel internacional Resumiendo las normas de algunos países serian: Alemania En Alemania, para hacer frente a la delincuencia relacionada con la informática y con efectos a partir del 1 de agosto de 1986, se adoptó la Segunda Ley contra la Criminalidad Económica del 15 de mayo de 1986 en la que se contemplan los siguientes delitos: ✓ Espionaje de datos (202 a) ✓ Estafa informática (263 a) ✓ Falsificación de datos probatorios(269) junto a modificaciones complementarias del resto de falsedades documentales como el engaño en el tráfico jurídico mediante la elaboración de datos, falsedad ideológica, uso de documentos falsos(270, 271, 273) ✓ Alteración de datos (303 a) es ilícito cancelar, inutilizar o alterar datos inclusive la tentativa es punible. ✓ Sabotaje informático (303 b. Destrucción de elaboración de datos de especial significado por medio de destrucción, deterioro, inutilización, eliminación o alteración de un sistema de datos. También es punible la tentativa. ✓ Utilización abusiva de cheques o tarjetas de crédito (266b). Francia Ley número 88-19 de 5 de enero de 1988 sobre el fraude informático, contempla estos delitos: ✓ Acceso fraudulento a un sistema de elaboración de datos( 462-2).- En este artículo se sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la sanción correspondiente si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del sistema. ✓ Sabotaje informático (462-3).- En este artículo se sanciona a quien impida o falsee el funcionamiento de un sistema de tratamiento automático de datos. ✓ Destrucción de datos (462-4).- En este artículo se sanciona a quien intencionadamente y con menosprecio de los derechos de los demás introduzca datos en un sistema de tratamiento automático de datos o suprima o modifique los datos que este contiene o los modos de tratamiento o de transmisión. ✓ Falsificación de documentos informatizados (462-5).- En este artículo se sanciona a quien de cualquier modo falsifique documentos informatizados con intención de causar un perjuicio a otro. ✓ Uso de documentos informatizados falsos (462-6) En este artículo se sanciona a quien conscientemente haga uso de documentos falsos haciendo referencia al artículo 462-5. Estados Unidos Consideramos importante mencionar la adopción en los Estados Unidos en 1994 del Acta Federal de Abuso Computacional (18 U.S.C. Sec.1030) que modificó al Acta de Fraude y Abuso Computacional de 1986. Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus, un gusano, un caballo de Toya, etcétera y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, al sistema informáticos, a las redes, información, datos o programas (18 U.S.C.: Sec. 1030 (a) (5) (A). La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus. El Acta de 1994 diferencia el tratamiento a aquellos que de manera temeraria lanzan ataques de virus de aquellos que lo realizan con la intención de hacer estragos. El acta define dos niveles para el tratamiento de quienes crean virus estableciendo para aquellos que intencionalmente causan un daño por la transmisión de un virus, el castigo de hasta 10 años en prisión federal más una multa y para aquellos que lo transmiten sólo de manera imprudente la sanción fluctúa entre una multa y un año en prisión. Holanda El 1* de marzo de 1993 entró en vigor la Ley de los Delitos Informáticos, en la cual se penaliza el hancking, el preancking (utilización de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio), la ingeniería social (arte de convencer a la gente de entregar información que en circunstancias normales no entregaría), y la distribución de virus. Reino Unido de la Gran Bretaña e Irlanda del Norte Debido al caso de hancking en 1991, comenzó a regir la Computer Misuse Act, Ley de los abusos informáticos. Mediante esta ley el intento, exitoso o no de alterar datos informáticos es penado con hasta cinco años de prisión o multas. Pena además la modificación de datos sin autorización donde se incluyen los virus. Unión Europea Castigar con penas de uno a tres años de prisión a los responsables de delitos informáticos. Cuando quede comprobado que los ataques cibernéticos están relacionados con el crimen organizado, la pena ascenderá hasta los cinco años. Con este intento de unificar la legislación, las autoridades europeas podrán perseguir con una mayor efectividad a delincuentes que, hasta ahora, podían cometer sus delitos con casi total impunidad. Además, el acuerdo del Consejo de Ministros de Justicia de los Quince establece otro aspecto importante, como es la definición de los delitos que se consideran "informáticos". Los Estados miembros distinguen tres tipos de ataques cibernéticos: el acceso ilegal a sistemas informáticos, la ocupación de sistemas a través de ejemplos como el envío de mensajes que ocupan un espacio considerable, y la difusión de virus informáticos. La intención de la Unión Europea es doble: por un lado se trata de definir el delito; por otro pretende unificar las penas, ya que el lugar de la comisión del delito es fundamental para saber el derecho aplicable, se trata además de una medida muy sensata que evita la desprotección absoluta que presentan hoy en día las empresas del Viejo Continente. Mecanismos de control Basado en los delitos y los daños que pueden hacer en las organizaciones las empresas pueden aplicar mecanismos de control para auditar o revisar cuales fueronlas consecuencias de determinados delitos y adoptar medidas de prevención para que no vuelva a ocurrir. Se puede definir el control interno como “cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos”. Históricamente, los objetivos de los controles informáticos se han clasificado en las siguientes categorías: • Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. • Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc. • Controles correctivos: facilitan la vuelta a la normalidad cuando se han producido incidencias, por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. Como sistema de control a los delitos informáticos, se establece como estrategia de Seguridad informática aplicar una Declaración de Aplicabilidad, basada en la ISO/IEC 27000: 2013, teniendo en cuenta que se encuentra dentro de la etapa de Gestión de Riesgos, ejerciendo controles a los riesgos como una propuesta o alternativa adicional que la organización debe implementar para mitigar los riesgos informáticos y garantizar de esta manera la seguridad de la información y sus activos más importantes ¿Qué es una Declaración de Aplicabilidad? Más conocido como SoA, una declaración de aplicabilidad surge del tratamiento del riesgo, define los controles que debe implementar una organización para tratar los riesgos, se trata de un documento que señala los controles de seguridad establecidos en el Anexo A del estándar ISO/IEC 27001, en su versión 2013 está norma de seguridad presenta un conjunto de: • 114 Controles agrupados. • 35 Objetivos de control. La Declaración de Aplicabilidad se desarrolla una vez se ha realizado el tratamiento de los riesgos, que a su vez es la actividad posterior a una evaluación de riesgos. Cuando realizamos el tratamiento de los riesgos se debe establecer las acciones necesarias que de acuerdo al riesgo identificado y analizado permitan: • Mitigar: Consiste en implementar algún control que reduzca el riesgo. • Transferir: Ocurre cuando se delega la acción de mitigación a un tercero. • Aceptar: Se presenta cuando el impacto generado por un riesgo es suficientemente bajo para que la organización decida no tomar ninguna acción de mitigación o cuando el costo de la aplicación de un control supera el valor del activo. La Declaración de Aplicabilidad documenta la identificación de controles necesarios por otras razones; por ejemplo, por motivos legales, por requisitos contractuales, por otros procesos, etc. También es un documento que un auditor de certificación tomará su para realizar el recorrido por la organización para verificar si se han implementado los controles señalado en el documento. Es el principal documento que utilizan para realizar la auditoría presencial. POLITICAS DE SEGURIDAD INFORMATICA Las políticas de seguridad informática tienen por objeto establecer las medidas de índole técnica y de organización, necesarias para garantizar la seguridad de las tecnologías de información (equipos de cómputo, sistemas de información, redes (Voz y Datos) y personas que interactúan haciendo uso de los servicios asociados a ellos y se aplican a todos los usuarios de cómputo de las empresas. Algunos ejemplos de políticas serian POLITICA DE CONTROL DE ACCESO A LOS APLICATIVOS Se busca impedir a usuarios no autorizados el acceso a la información mantenida, guardada, procesada y enviada por las diferentes aplicaciones que se tienen en la organización.Se debe contemplar que las aplicaciones deben tener unas restricciones completamente definidas frente a los roles de los usuarios que tienen acceso a ellas, por esto se debe: • Controlar el acceso de los usuarios a la información • Definir las funciones de la aplicación • Definir las políticas de control de acceso • Proteger la aplicación de acceso no autorizado • Proteger la aplicación de posibles ataques • Desactivar la aplicación frente a un ataque inminente • Reasignar los controles de la aplicación • Desvincular procesos complementarios en presencia de un ataque inminente • Proteger otros sistemas que trabajan con la información proveniente de la aplicación POLITICA DE CONTROL DE ACCESO A LA RED Buscamos proteger los servicios de red de accesos no autorizados provenientes de la intranet o de una red externa mediante el uso de ataques, logrando así que el acceso de usuarios a la red no comprometa la seguridad de los servicios de red. • Utilizar las interfaces apropiadas y sugeridas para todas las tareas necesarias y procedimientos establecidos • Evitar el uso de redes públicas que comprometan la integridad de la información que por este medio viaja • Utilizar el servicio de mensajería interna proporcionado por el administrador de la red • Utilizar medios de autenticación para los usuarios y equipos en la red • Utilizar estaciones de trabajo debidamente configuradas para el buen trabajo remoto • Configurar adecuadamente los diferentes servidores que se encuentran en la red implementando políticas de firewall, iptables entre otras. Otro aspecto muy importante es capacitar a su personal en aspectos de seguridad informática. Algunos dispositivos que nos sirven para la defensa en el ámbito de la seguridad informática son: FIREWALL: es un dispositivo que permite o niega las transmisiones de una red a la otra .Es un filtro que controla todas las comunicaciones que pasan de una red a la otra y en función de lo que sean permite o deniega su paso según las políticas de seguridad de la empresa. IDS/IPS: IDS sistema de detección de intrusos, IPS o sistema de prevención de intrusos, nos protege de amenazas externas en las redes que estemos conectados , como accesos no autorizados a la internet u otras redes externas denegando las transmisiones y vigilando los puertos de la red , también ocultan la IP y puertos de nuestra red , monitoreando la red impidiendo ataques de negación de servicios y ataques de servicios distribuidos y llevan a cabo un análisis en tiempo real de las conexiones y los protocolos para determinar si se está produciendo o se va a producir un incidente. Se integran con frecuencia con cortafuegos que realizan la función de bloquear el tráfico sospechoso GATEWAY ANTIVIRUS: Es un sistema inteligente de protección en tiempo real y control de aplicaciones Un cortafuegos moderno ha de estar dotado de tecnología de inspección profunda de paquetes para encontrar el malware oculto en la porción de datos del paquete. Asimismo debe ofrecer una amplia base de datos de definiciones de amenazas para detectar malware, intrusiones y vulnerabilidades de aplicaciones. UTM: O Gestión unificada de amenazas (del inglés Unified Thread Management) son dispositivos de hardware o software que integran soluciones de seguridad informática bajo una misma interfaz o modulo algunas de estas aplicaciones que se integran en un UTM son: anti-malware, antifraude, Redes pivadas virtuales (VPN), listas de acceso, sistemas detectores de intrusos, firewall, filtros de contenidos, monitoreo de trafico etc. Dispositivos como este hacen mucho sentido para las PYMES, ya que proporcionan una única interfaz de gestión. Implementación significa conectar un solo dispositivo a la red VPN: Una Red Privada Virtual (VPN) transporta de manera segura por Internet por un túnel establecido entre dos puntos que negocian un esquema de encriptación y autentificación para el transporte, permite el acceso remoto a servicios de red de forma transparentey segura con el grado de conveniencia y seguridad que los usuarios conectados elijan. Las VPN están implementadas con firewalls, routers para lograr esa encriptación y autentificación. Otras recomendaciones Algunas recomendaciones a nivel de usuario serian: ✓ Usar combinaciones de números, letras y símbolos diferentes, Para las claves que se usan en el correo o transacciones en línea ✓ No reenviar ni abrir cadenas de correos desconocidos, ya que por correo se pueden adjuntar programas dañinos para nuestros sistemas. ✓ Revisar si el navegador en la barra de navegación se ve asi https://, esto nos indica que la pagina es segura. ✓ Las entidades bancarias nunca por correo nos piden datos del cliente ni muchos menos claves de las cuentas. ✓ Preferiblemente usar el computador de la casa para hacer transacciones y no usar los que hay en sites de internet. ✓ No usar redes wifi abiertas para conectarse a pagina de redes bancarias. ✓ Tener un antivirus actualizado y licenciado ✓ Para los niños en Internet: orientarlos en no dar nunca información personal sobre ti, tu colegio o tu casa. que no envíen fotografías sin el permiso de tus padres. que no respondan a mensajes de anuncios en los que se incluyan mensajes agresivos, obscenos o amenazantes. Que no concreten citas con personas desconocidas sin el permiso de tus padres y sin la presencia de ellos. ✓ Para los padres en Internet: Tener el computadora en un área común, para poder vigilar su uso por el menor. Si sus hijos son pequeños no les permita entrar en chats, canales de conversación, sin tener a un adulto presente. No permita que sus hijos pacten citas por Internet, aunque sea con otro niño. Compruebe el contenido del historial del navegador, para ver a que sitios han accedido. conocer el lugar y de la garantía que prestan los sites de internet a donde asisten sus hijos.Los padres aconsejaran y alertaran a los pequeños acerca del peligro de tener contacto con personas extrañas. Estas recomendaciones nos la da también la Policía Nacional de Colombia para cuando usemos cajeros ya que estos son dispositivos informáticos de uso muy común para las transacciones: ✓ Solicite y verifique la cedula y la tarjeta de crédito antes de la transacción. Revise las características de seguridad tanto de la cedula como de la tarjeta. ✓ Confronte los datos de la cedula con los de la tarjeta. La tarjeta debe estar firmada, de no ser así solicite al cliente que lo haga. Verifique que la firma en el comprobante coincida con la firma en el panel de la tarjeta. ✓ Verificar que el numero de cedula en el comprobante coincida con el del documento de identidad. ✓ Para hacer una transacción con una tarjeta de crédito, nunca hay que digitar claves, cuando observe esta situación suspenda la transacción e informe a las autoridades en forma disimulada. ✓ Retenga los documentos originales en cuanto le sea posible. Trate de entretener al supuesto cliente y ofrézcale disculpas por la tardanza. ✓ En el momento que se presente el organismo de seguridad competente infórmelos sobre la situación para que detengan al supuesto cliente. ✓ Memorice las características morfológicas de los sospechosos para futuras identificaciones.
Compartir