28 actividad individual aspectos eticos y legales momento 2

•
SIN SIGLA

gilbert Sanchez
28/5/2023
¡Este material tiene más páginas!
Entonces, ¿te gustó este material?
Ayude a animar a otros estudiantes a mejorar el contenido
¿Te gustó este material? ¡Compartir! 🧡
Seguridad Informática

3942 Materiales compartidos
Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
Vista previa del material en texto
MOMENTO II 
ASPECTOS ETICOS Y LEGALES DE SEGURIDAD 
INFORMATICA 
 
Ing.Gilbert Jair Sanchez Ávila, gilbertjair21@yahoo.es 
Grupo 233005_7 
Escuela de Ciencias Básicas, Tecnologías e Ingenierías, 
Especialización en seguridad Informática. 
Universidad Nacional Abierta y a Distancia 
Bucaramanga, Colombia, 2015 
 
 
Resumen- vamos a ver qué medidas de 
solución podemos implantar en un 
futuro mediano ante las amenazas , 
vulnerabilidades y riesgos que tiene 
Cooperativa de Trabajo Asociado 
NUEVO HORIZONTE CTA en 
cuanto al ámbito de la seguridad 
informática tanto a nivel legal como a 
nivel técnico u organizativo. 
 
 
 
Introducción 
 
 
El desarrollo del siguiente trabajo busca 
reconocer y reforzar los componentes, 
conceptos y nociones básicas sobre la 
Legislación en Seguridad Informática; 
enfocándose en el Derecho Informático y 
la Gestión de la Seguridad de la 
Información, los Organismos de 
Regulación y Legislación Internacional 
en Seguridad Informática y la Legislación 
Informática en Colombia; componentes 
fundamentales de la Unidad Dos del 
curso. 
 
Por todo lo anterior y teniendo más claro 
el panorama general de la materia, así 
como el haber revisado y explorado su 
plataforma virtual, modulo, protocolo y 
actividades; se da la posibilidad de 
presentar en este trabajo en su Momento 
2, el desarrollo de una estrategia de 
aprendizaje basado en problemas, 
mediante la búsqueda de delitos 
informáticos comunes a que se ven 
enfrentadas las organizaciones, 
relacionando las leyes a nivel nacional o 
internacional que podrían aplicarse para 
ejercer controles sobre esos delitos, con el 
fin de proponer un sistema de control para 
los delitos mencionados, basados en 
políticas y estrategias, para que sean 
severamente castigados de acuerdo a la 
ley vigente; todo esto con la finalidad de 
profundizar en los temas estudiados y así 
evidenciar la enseñanza que nos deja el 
módulo en su Segunda Unidad. 
 
 
 
1. Construir un cuadro de los delitos 
informáticos que se presentan en una 
organización, con dos columnas donde 
se presente el delito y la descripción de 
cómo se presenta en la organización. 
 
 VER ANEXO 1.DELITOS 
INFORMATICOS QUE SE 
PRESENTAN EN LA 
ORGANIZACIÓN 
 
 
 
2. Relacion cada uno de los delitos y los 
artículos de la legislación nacional e 
internacional de seguridad informática 
y de la información, escribir frente a 
cada delito las leyes y normas que 
aplican a nivel nacional o internacional 
para ejercer controles sobre dichos 
delitos. 
 
VER ANEXO 2.LEYES QUE 
APLICAN A LOS DELITOS 
INFORMATICOS DE LA 
ORGANIZACIÓN 
 
 Otras leyes que debemos tener en 
cuenta para los delitos informáticos 
son: 
 Algunas leyes a nivel nacional en 
(Colombia) que tratan esta rama de la 
informática, están relacionadas las 
siguientes: 
En Colombia existen normativas a nivel 
penal, civil, disciplinario que castiga las faltas 
o delitos cometidos a través de las tecnologías 
de la información, entre las que podemos 
mencionar encontramos: 
 
Ley 527 de 1999 | Por medio de la cual se 
define y reglamenta el acceso y uso de los 
mensajes de datos, del comercio electrónico y 
de las firmas digitales, y se establecen las 
entidades de certificación. Esta ley reconoce 
la fuerza probatoria de los mensajes de datos 
como documentos. 
 
Ley 599 de 2000 | Por medio de la cual se 
expide el código penal colombiano en materia 
de derechos de autor. Habla sobre el derecho 
de autor de obras literaria, desarrollo de 
software, iniciativas tecnológicas, entre otras. 
Ley 734 de 2002 |Código Disciplinario Único 
para funcionarios públicos. Este código habla 
de los derechos y deberes que tiene todo 
funcionario público o persona natural o 
jurídica que este ejerciendo función pública 
frente al tratamiento de la información. 
Ley Estatutaria 1266 de 2008 |Por la cual se 
dictan las disposiciones generales del Hábeas 
Data y se regula el manejo de la información 
contenida en bases de datos personales, en 
especial la financiera, crediticia, comercial, 
de servicios y la proveniente de terceros 
países y se dictan otras disposiciones. 
Información financiera reportada por las 
entidades financieras a las centrales de 
riesgos. 
 
Ley 1273 de 2009 |Por medio de la cual se 
modifica el Código Penal, se crea un nuevo 
bien jurídico tutelado - denominado "de la 
protección de la información y de los datos" y 
se preservan integralmente los sistemas que 
utilicen las tecnologías de la información y 
las comunicaciones, entre otras disposiciones. 
Conocida como la Ley de Delitos 
Informáticos. 
 
Ley 1474 de 2011 | Por la cual se dictan 
normas orientadas a fortalecer los 
mecanismos de prevención, investigación y 
sanción de actos de corrupción y la 
efectividad del control de la gestión pública. 
Inhabilidad para contratar con el estado por 
actos cometidos a través de apoyos 
tecnológicos. 
 
Ley Estatutaria 1581 de 2012 |Por la 
cual se dictan disposiciones generales 
para la Protección de Datos Personales. 
Ley de protección de datos personales 
clasificados como públicos, no públicos y 
sensibles. 
 
Decreto 1377 de 2013 | Que reglamenta 
la Ley Estatutaria1581 de 2012. En el 
cual se definen como registrar las bases 
de datos que contienen información de 
tipo personal ante la SIC 
 
 
3. proponer un sistema de control para 
los delitos mencionados basados en 
políticas, 
Estrategias y controles para que no 
vuelvan a repetirse y sean severamente 
castigados de acuerdo a la ley vigente. 
 
Se puede definir el control interno como 
“cualquier actividad o acción realizada 
manual y/o automáticamente para 
prevenir, corregir errores o 
irregularidades que puedan afectar al 
funcionamiento de un sistema para 
conseguir sus objetivos”. 
 
Históricamente, los objetivos de los 
controles informáticos se han clasificado 
en 
Las siguientes categorías: 
• Controles preventivos: para tratar de 
evitar el hecho, como un software de 
seguridad que impida los accesos no 
autorizados al sistema. 
• Controles detectivos: cuando fallan los 
preventivos para tratar de conocer cuanto 
antes el evento. Por ejemplo, el registro 
de intentos de acceso no autorizados, el 
registro de la actividad diaria para 
detectar errores u omisiones, etc. 
• Controles correctivos: facilitan la 
vuelta a la normalidad cuando se han 
producido incidencias, por ejemplo, la 
recuperación de un fichero dañado a partir 
de las copias de seguridad. 
 
Los controles pueden implantarse a varios 
niveles diferentes. Exige analizar diversos 
Elementos interdependientes. 
Para llegar a conocer bien la 
configuración del sistema se hace 
necesario documentar 
los detalles relacionados con : 
 
Entorno de red: Esquema de la red 
Descripción de la configuración hardware 
de comunicaciones 
Descripción del sw utilizado como acceso 
a las telecomunicaciones 
Control de red 
Situación general de los ordenadores 
 
Configuración del ordenador base: 
Configuración del soporte físico 
Entorno del S.O 
Software con particiones 
Entornos (pruebas y real) 
Bibliotecas de programas y conjuntos de 
datos 
 
Entorno de aplicaciones: Procesos de 
transacciones 
Sistemas de gestión de BD 
Entornos de procesos distribuidos 
Productos y herramientas: Software para 
el desarrollo de programas 
Sw de gestión de bibliotecas y para 
operaciones 
Automáticas 
 
Seguridad del ordenador base: 
Identificar - verificar usuarios = control 
de acceso 
Registro e información 
Integridad del sistema 
Controles de supervisión 
 
Imagen 1: implementación de un 
sistema de control interno informático. 
 
Fuente: 
http://es.calameo.com/read/002090061e
8f4ceab8b46 
 
 
Basado en esta información podemos 
decir lo siguiente. Algunas políticas que 
podemos tener en cuenta para nuestra 
organización son: 
http://es.calameo.com/read/002090061e8f4ceab8b46
http://es.calameo.com/read/002090061e8f4ceab8b46
 
POLÍTICADE CONTROL DE 
ACCESO FÍSICO 
 
Se pretende prevenir el acceso físico no 
autorizado, además de evitar daños o robo 
a los activos de la organización e 
interrupciones a las actividades del 
negocio. 
La seguridad física identifica las 
amenazas, vulnerabilidades y las medidas 
que pueden ser utilizadas para proteger 
físicamente los recursos y la información 
de la organización. Los recursos incluyen 
el personal, el ambiente donde ellos 
laboran, los datos, equipos y los medios 
de comunicación y aplicaciones con los 
cuales los empleados interactúan, en 
general los activos asociados al 
mantenimiento y procesamiento de la 
información. 
Se entiende por área donde se procesa la 
información los siguientes: 
 Centros de Procesamiento 
normales 
 Áreas con servidores, ya sean de 
procesamiento o dispositivos de 
comunicación 
 Áreas donde se almacenen formas 
continuas, papelería con marcas 
de agua, facturas o archivo en 
general. 
 Áreas donde se encuentren 
concentrados dispositivos de 
información 
 Áreas donde se almacenen y 
guarden elementos provenientes 
de backup 
 Áreas donde se deposite salidas de 
impresoras o fax. 
 
Las violaciones de la política de 
Seguridad Física, pueden resultar en 
acciones de tipo disciplinario y que 
integren acciones legales como: 
 Acción de tipo disciplinario según 
los lineamientos establecidos por 
el Código interno de la 
organización o el manual de 
acciones, acciones legales 
contempladas en el contrato 
laboral y todo aquello que según 
las leyes colombianas definan 
como acciones disciplinarias 
patronales. 
 Suspensión o acceso restringido a 
las áreas de procesamiento de la 
información 
 Reembolso por algún daño 
causado o pérdida de información 
 Suspension sin pago de salario 
 Terminación del contrato de 
trabajo o relación comercial 
(Basados en las disposiciones 
emitidas por las leyes 
colombianas en materia laboral). 
 Demanda civil o penal 
 
 
POLITICA DE CONTROL DE 
ACCESO AL PERÍMETRO FÍSICO 
Corresponde a los sitios escogidos para 
colocar los sistemas de información, 
equipos de cómputo y comunicaciones, 
deben estar protegidos por barreras y 
controles físicos, para evitar intrusión 
física, inundaciones, y otro tipo de 
amenazas que afecten su normal 
operación. 
 
El tamaño total del área esta determinado 
por la cantidad de hardware necesario 
para el procesamiento y almacenamiento 
de la información. Las medidas de 
seguridad que se deban tomar, 
dependerán directamente del valor de los 
activos de información, su nivel de 
confidencialidad, y los valores requeridos 
de disponibilidad. 
 
POLITICA DE CONTROL DE 
ACCESO A LOS APLICATIVOS 
Se busca impedir a usuarios no 
autorizados el acceso a la información 
mantenida, guardada, procesada y enviada 
por las diferentes aplicaciones que se 
tienen en la organización. 
Se debe contemplar que las aplicaciones 
deben tener unas restricciones 
completamente definidas frente a los roles 
de los usuarios que tienen acceso a ellas, 
por esto se debe: 
 Controlar el acceso de los usuarios 
a la información 
 Definir las funciones de la 
aplicación 
 Definir las políticas de control de 
acceso 
 Proteger la aplicación de acceso 
no autorizado 
 Proteger la aplicación de posibles 
ataques 
 Desactivar la aplicación frente a 
un ataque inminente 
 Reasignar los controles de la 
aplicación 
 Desvincular procesos 
complementarios en presencia de 
un ataque inminente 
 Proteger otros sistemas que 
trabajan con la información 
proveniente de la aplicación 
 
 
POLITICA DE CONTROL DE 
ACCESO A LA RED 
 
Buscamos proteger los servicios de red de 
accesos no autorizados provenientes de la 
intranet o de una red externa mediante el 
uso de ataques, logrando así que el acceso 
de usuarios a la red no comprometa la 
seguridad de los servicios de red. 
 Utilizar las interfaces apropiadas y 
sugeridas para todas las tareas 
necesarias y procedimientos 
establecidos 
 Evitar el uso de redes públicas que 
comprometan la integridad de la 
información que por este medio 
viaja 
 Utilizar el servicio de mensajería 
interna proporcionado por el 
administrador de la red 
 Utilizar medios de autenticación 
para los usuarios y equipos en la 
red 
 Utilizar estaciones de trabajo 
debidamente configuradas para el 
buen trabajo remoto 
 Configurar adecuadamente los 
diferentes servidores que se 
encuentran en la red 
implementando políticas de 
firewall, iptables entre otras. 
POLITICAS DE CONTROL DE 
ACCESO AL SISTEMA OPERATIVO 
Con la implementación de estas políticas 
se pretende restringir el acceso al sistema 
operativo de los diferentes equipos por 
usuarios no autorizados, para ello se 
recomienda aplicar buenas prácticas del 
manejo de contraseñas, restricciones, 
tiempos de sesiones entre otras. 
Para que esto funcione es importante que 
se apliquen las siguientes medidas de 
seguridad: 
 Obligatoria autenticación para el 
ingreso al sistema 
 Apagado de emergencia frente a 
algún intento de intrusión 
 Registro de logs con intentos de 
autenticación errados y correctos 
 Limitar el número de intentos 
fallidos para el inicio de sesión en 
los equipos 
 Registrar el usuario que ha 
ingresado satisfactoriamente y sus 
respectivos privilegios 
 Registro del inicio de sesión de 
administradores y tiempo 
 Emitir alarmas tempranas cuando 
se tiene una amenaza inminente 
 Cambio obligatorio de contraseñas 
de acceso 
 Crear parámetros seguros para la 
creación de nuevas contraseñas y 
su respectiva actualización 
 Restringir horarios para el inicio 
de sesión 
 No mostrar ayuda para inicio de 
sesión en los equipos 
 Usar encriptación para el manejo 
de las contraseñas de acceso 
 Nunca guardar contraseñas en los 
diferentes equipos 
 
Mecanismos de control técnicos para 
los problemas de la organización: 
 
VER ANEXO3.MECANISMOS DE 
CONTROL TECNICOS PARA LAS 
AMENAZAS O 
VULNERABILIDADES DE LA 
ORGANIZACIÓN 
 
 
Están resumidos en esa tabla según la 
amenaza o riesgos encontrados su 
implicancia en la seguridad de la 
organización y un estándar o medidas a 
nivel técnico a aplicar. 
 
 
 
Conclusiones 
 
 
Es importante restar que la Seguridad 
Informática es un aspecto que en muchas 
organizaciones no es teniendo en cuenta en 
los procesos de funcionamientos de una 
organización, desde mi punto de vista es de 
vital importancia para el correcto 
funcionamiento de todos ellos. 
Todos los sistemas son sensibles de ser 
atacados, por lo que es importante prevenir 
esos ataques. 
Conocer las técnicas de ataque ayuda a 
defenderse más eficientemente nuestra 
organización. Así mismo es importante saber 
que capacidades necesitamos desarrollar 
durante este ciclo de formación educativa. 
 
La seguridad informática, es un área de la 
informática avanzada, que se encarga de la 
protección de la infraestructura tecnológica. 
Es fundamentas saber que se cuentan con una 
serie de estándares, protocolos, métodos, 
reglas, herramientas y leyes concebidas para 
minimizar los posibles riesgos a la 
infraestructura o a la información. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Referencias 
 
[1] Ing. Lorena Patricia Suárez Sierra, 
Ing. Carlos Alberto Amaya Tarazona. « 
Módulo de Sistema de Gestión de 
Seguridad de la Información» [En línea]. 
Available: 
http://datateca.unad.edu.co/contenidos/23300
3/modulo/modulo-SGSI-233003-ajustado.pdf 
 
[2] Delta Consultoría informática. «Ley 
de delitos informaticos en Colombia » 
[En línea]. Available: 
http://www.deltaasesores.com/articulos
/autores-invitados/otros/3576-ley-de-
delitos-informaticos-en-colombia 
 
[3] Iván Manjarrés Bolaño. 
«Caracterización de los delitos 
informáticos en Colombia » [En línea]. 
Available: 
http://www.coruniamericana.edu.co/pu
blicaciones/ojs/index.php/pensamientoa
mericano/article/viewFile/126/149[4] Jorge Eliécer Ojeda-Pérez. «Delitos 
informáticos y entorno jurídico vigente en 
Colombia » [En línea]. Available: 
http://www.scielo.org.co/pdf/cuco/v11n
28/v11n28a03.pdf 
 
 
 
[5]Roberto Porozo «Control Interno y 
Auditoria informatica»[En línea]. 
Available: 
http://es.slideshare.net/RobertoPorozo/co
ntrol- interno-y-auditoria- informtica 
 
[6]Claudia Patricia Páez Páez «Control 
Interno y Auditoria informatica»[En 
línea]. Available: 
http://es.calameo.com/read/002090061e8f
4ceab8b46 
 
[7]Karina del Rocio Gaona Vasquez 
«Aplicación de la Metodologia Magerit 
para el Análisis y Gestión de Riesgos de 
la Seguridad de la Información Aplicado 
a la Empresa Pesquera e Industrial el 
Bravito S.A en la Ciudad de Machala 
»[En línea]. Available: 
 
http://dspace.ups.edu.ec/bitstream/123456
789/5272/1/UPS-CT002759.pdf 
 
[8]«El delito de la pornografía infantil. 
»[En línea]. Available: 
http://www5.poderjudicial.es/CVdi/TEM
A04-ES.pdf 
 
[9]El Tiempo «Acuerdo contra la 
pornografía infantil en Internet»[En 
línea]. Available: 
http://www.eltiempo.com/archivo/docu
mento/CMS-13212563 
 
[10]Eduardo Rivero «Los delitos 
informáticos ya serán penados en México 
»[En línea]. 
Available:https://www.unocero.com/201
2/04/05/los-delitos-informaticos-ya-
seran-penados-en-mexico/ 
 
[11]Confirma Sistemas « Carding, el 
peligro del fraude con tarjeta de 
crédito»[En línea]. 
Available:http://www.confirmasistemas
.es/es/contenidos/canal-basics/carding-
el-peligro-del-fraude-con-tarjeta-de-
credito 
 
[12]Presidencia de la república de 
Colombia «Politicas Nacionales 
Explotacion Sexual Comercial de Niños, 
Niñas Y Adolescentes (ESCNNA) »[En 
línea]. Available: 
http://www.satena.com/aym_images/fil
es/PRESENTACION_ESCNNA.pdf 
 
[13] JOSÉ SANTIAGO RENDÓN VERA 
«RESPONSABILIDAD CIVIL 
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf
http://datateca.unad.edu.co/contenidos/233003/modulo/modulo-SGSI-233003-ajustado.pdf
http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia
http://www.coruniamericana.edu.co/publicaciones/ojs/index.php/pensamientoamericano/article/viewFile/126/149
http://www.coruniamericana.edu.co/publicaciones/ojs/index.php/pensamientoamericano/article/viewFile/126/149
http://www.coruniamericana.edu.co/publicaciones/ojs/index.php/pensamientoamericano/article/viewFile/126/149
http://www.scielo.org.co/pdf/cuco/v11n28/v11n28a03.pdf
http://www.scielo.org.co/pdf/cuco/v11n28/v11n28a03.pdf
http://es.slideshare.net/RobertoPorozo/control-interno-y-auditoria-informtica
http://es.slideshare.net/RobertoPorozo/control-interno-y-auditoria-informtica
http://es.calameo.com/read/002090061e8f4ceab8b46
http://es.calameo.com/read/002090061e8f4ceab8b46
http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
http://dspace.ups.edu.ec/bitstream/123456789/5272/1/UPS-CT002759.pdf
http://www5.poderjudicial.es/CVdi/TEMA04-ES.pdf
http://www5.poderjudicial.es/CVdi/TEMA04-ES.pdf
http://www.eltiempo.com/archivo/documento/CMS-13212563
http://www.eltiempo.com/archivo/documento/CMS-13212563
https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/
https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/
https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/
https://www.unocero.com/2012/04/05/los-delitos-informaticos-ya-seran-penados-en-mexico/
http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito
http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito
http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito
http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito
http://www.confirmasistemas.es/es/contenidos/canal-basics/carding-el-peligro-del-fraude-con-tarjeta-de-credito
http://www.satena.com/aym_images/files/PRESENTACION_ESCNNA.pdf
http://www.satena.com/aym_images/files/PRESENTACION_ESCNNA.pdf
CONTRACTUAL POR FRAUDES CON 
TARJETA DE CRÉDITO EN COLOMBIA »[En 
línea]. Available 
https://repository.eafit.edu.co/bitstrea
m/handle/10784/457/JoseSantiago_Ren
donVera_2007.pdf;jsessionid=4EEF508
803312B28DC38B3F017E1620A?seque
nce=1 
 
[14]CONSTITUCION NACIONAL DE 
COLOMBIA «CÓDIGO PENAL CAPITULO 
VIII DE LOS DELITOS CONTRA LOS 
DERECHOS DE AUTOR»[En línea]. 
Available: 
file:///C:/Users/HP/Downloads/C%C3
%93DIGO%20PENAL%20CAPITUL
O%20VIII%20DE%20LOS%20DELI
TOS%20CONTRA%20LOS%20DER
ECHOS%20DE%20AUTOR.pdf 
 
 
 
 
 
 
 
 
Gilbert Jair Sánchez Ávila, Nacido el 14 
noviembre de 1983 en la ciudad de Bucaramanga , 
Tecnólogo de Sistemas de 
la Universidad Cooperativa 
de Colombia seccional 
Bucaramanga. 
Ingeniero de Sistemas con 
énfasis en 
 Telecomunicacion
es de la Universidad 
Cooperativa de Colombia 
seccional Bucaramanga , 
Estudió una Especialización Tecnológica en 
Admin istración de Bases de Datos en el Servicio 
Nacional de Aprendizaje SENA e adquirió los 
conocimientos y conceptos de la plataforma de 
Bases de Datos Oracle 10G he trabajo en diversos 
cargos a lo largo de vida profesional, en la 
registradora de Concepción año 2010, Gestión 
Informática año 2009Tecnológicas de Santander 
año 2012,sección de soporte técnico en 2014 y 
como operador de sistemas para las pruebas saber 
3en 2014. Actualmente adelanta estudio de 
especialización en Seguridad Informática en La 
Universidad Abierta y a Distancia (UNAD) 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1
https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1
https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1
https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1
https://repository.eafit.edu.co/bitstream/handle/10784/457/JoseSantiago_RendonVera_2007.pdf;jsessionid=4EEF508803312B28DC38B3F017E1620A?sequence=1
file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf
file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf
file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf
file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf
file:///C:\Users\HP\Downloads\CÓDIGO%20PENAL%20CAPITULO%20VIII%20DE%20LOS%20DELITOS%20CONTRA%20LOS%20DERECHOS%20DE%20AUTOR.pdf
 
ANEXOS 
 
ANEXO 1.DELITOS INFORMATICOS QUE SE PRESENTAN EN LA 
ORGANIZACIÓN 
 
Algunos de los delitos más comunes serian: 
 
NOMBRE DEFINICIÓN CARACTERISTICAS 
1.Bluesnarfing 
 
Definición: 
Intrusión en dispositivos 
móviles donde se puede 
copiar, ver o incluso 
modificar ciertas partes. 
Características: 
 
Se realiza desde un dispositivo 
cercano sin alertar en ningún 
momento al propietario. 
2.Ciberacoso 
(cyberbullying) 
Definición: 
Es un tipo de agresión 
psicológica se busca herir o 
intimidar a otra persona por 
medio de las redes sociales. 
Características : 
 
 Se da usando las nuevas 
tecnologías: teléfonos celulares e 
Internet. Por medio de correos,mensajes o imágenes que se envían, 
por lo general estos contenidos son 
de un lenguaje muy fuerte a nivel 
violento o sexual. 
3.Hacking Definición: 
Es el ingreso ilegal a 
computadores, páginas y 
redes sociales. 
Características: 
Con el objetivo de robar 
información, suplantar la identidad 
del usuario, beneficiarse 
económicamente o protestar. 
4.Acceso 
abusivo a un 
Sistemas 
Informáticos. 
Definición: Conductas que 
recaen sobre herramientas 
informáticas propiamente 
tales, llámense programas, 
ordenadores, etc.; como 
aquellas que valiéndose de 
estos medios lesionan otros 
intereses jurídicamente 
tutelados como son la 
intimidad, el patrimonio 
económico, la fe pública, etc. 
Características: 
 
Son delitos difíciles de demostrar ya 
que, en muchos casos, es 
complicado encontrar las pruebas. 
Son actos que pueden llevarse a 
cabo de forma rápida y sencilla. En 
ocasiones estos delitos pueden 
cometerse en cuestión de segundos, 
utilizando sólo un equipo 
informático y sin estar presente 
físicamente en el lugar de los 
hechos. Los delitos informáticos 
tienden a proliferar y evolucionar, lo 
que complica aun más la 
identificación y persecución de los 
mismos. 
5.Uso de 
Software 
Malicioso 
Definición: Tipo de software 
que tiene como objetivo 
infiltrarse o dañar una 
computadora o sistema de 
información sin el 
consentimiento de su 
propietario. El término 
malware es muy utilizado por 
profesionales de la 
informática para referirse a 
una gran variedad de 
software hostil, intrusivo o 
molesto. 
Características: 
 
 Se trata de un tipo de virus cuyo 
último fin es infiltrase o dañar un 
equipo informático sin el 
consentimiento de su propietario. 
 
6.cracking Definición: Cambiar los 
contenidos de la información 
que tienen por objeto destruir 
el sistema, a esto se llama 
cracking y a los sujetos que 
lo realizan se los identifica 
como crackers. 
Características: 
 
En sus ataques los crackers puede 
hacer cosas ingresar al sistema 
operativo de varias computadoras 
formateando los equipos y borrando 
archivos de vital importancia para 
una organización. Incluso puede 
acceder a los recursos de red 
haciendo ataques de negación de 
servicios. 
7.pornografia 
infantil en 
internet 
Definición: A través de 
foros, chats, comunidades 
virtuales, transferencias de 
archivos, entre otras 
modalidades, los delincuentes 
comercializan material 
pornográfico que involucra 
menores de edad. 
Características: 
 
No solamente desde los hogares un 
pedófilo puede hacer estas cosas , lo 
puede hacer incluso en el ámbito 
donde trabaja aprovechando los 
tiempos de ocio o distribuyéndole a 
los compañeros este material como 
una “manera de entretenimiento” 
8.phreaking Definición: Es la actividad 
de obtener ventajas de las 
líneas telefónicas a los 
efectos de no pagar los costos 
de comunicación.Se trata de 
encontrar el medio para 
evitar pagar por el uso de la 
red telefónica ya sea ésta 
pública o privada, digital o 
inalámbrica o incluso la 
telefonía móvil puede ser 
Características: 
 
 La actividad de phreaking es, sin 
duda, la más común de todas las 
llamadas actividades ilícitas 
informáticas, puesto que hoy en día 
a pesar de los avances en redes e 
internet las organizaciones para 
comunicarse también lo hacen por 
vía telefónica o PBX. 
victima de esto. 
9.carding Definición: Actividad de 
cometer un fraude o una 
estafa con un número de 
tarjeta de crédito, El carding 
consiste entonces en usar un 
número de tarjeta de crédito 
ya sea real o creado de la 
nada mediante 
procedimientos digitales para 
realizar compras a distancia 
por Internet y efectuar pagos 
de manera ilegal o sin 
autorización del usuario 
poseedor de la tarjeta de 
crédito. 
Características: 
 
Por ejemplo en un establecimiento 
pueden fotografiar los datos de la 
tarjeta de crédito en el momento de 
pagar. 
O por teléfono un potencial atacante 
se puede hacer pasar empleado 
bancario para obtener estos datos y 
luego haciéndose pasar por el 
usuario original puede ir a los 
bancos hacer transacciones 
10.violacion 
derechos de 
autor 
Definición: Utilizando 
reproductores en serie, los 
delincuentes realizan 
múltiples copias de obras 
musicales, videogramas y 
software, dando pie a 
la Piratería en internet para 
vender o distribuir programas 
informáticos protegidos por 
las leyes de la propiedad 
intelectual. 
Características: 
 
En una organización esto se da 
cuando se usa software no 
licenciado para sus labores. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ANEXO2.LEYES QUE APLICAN A LOS DELITOS INFORMATICOS DE LA 
ORGANIZACIÓN 
 
.Los podemos relacionar de esta manera: 
NOMBRE LEYES CONSECUENCIAS 
1. Bluesnarfing 
 
(Legislación Colombiana) 
para ejercer control: 
LEY 1273 DE 2009 
Artículo 69C. 
Interceptación de Datos 
informáticos. 
(ENERO 5 DE 2009) 
 
(Ley española). Código 
Penal en su artículo 197 
 
Consecuencias Permite al atacante 
descargarse e incluso eliminar las 
entradas del libro de contactos, el 
listado de llamadas realizadas o 
recibidas, los SMS recibidos, etc., 
o incluso lanzar comandos AT 
contra el dispositivos atacado. Y lo 
mejor de todo: sin dejar ningún 
rastro de los ataques. 
2.Ciberacoso 
(cyberbullying) 
(Legislación Colombiana) 
Leyes a nivel nacional para 
ejercer control: 
Ley 1620 
(15 de Marzo de 2013) 
 
Consecuencias : Este tipo de acoso no 
se hace de frente, por ello la víctima 
desconoce la identidad de su agresor. 
3.Hacking (Legislación Colombiana) 
Leyes a nivel nacional para 
ejercer control: 
ley 1273 de enero de 2009 
 
Consecuencias: con ánimo de lucro y 
valiéndose de alguna 
manipulación Informática o artificio 
semejante, consiga la transferencia no 
consentida de cualquier activo en 
perjuicio de un tercero, incurrirá en 
pena de prisión de 48 a 120 meses, y 
en multa de 200 a 1.500 salarios 
mínimos. 
4. Acceso abusivo 
a un Sistemas 
Informáticos. 
(Legislación Colombiana) 
Leyes a nivel nacional para 
ejercer control: 
Ley 1273 de 2009. 
Artículo 269A 
Consecuencias: Incurrir en pena de 
prisión de cuarenta y ocho (48) a 
noventa y seis (96) meses y en multa 
de 100 a 1000 salarios mínimos 
legales mensuales vigentes en 
Colombia. 
5.Uso de Software 
Malicioso 
(Legislación Colombiana) 
Leyes a nivel nacional para 
ejercer control: 
Ley 1273 de 2009 
Artículo 269E 
 
 
Consecuencias: Producir ataques 
cibernéticos para intentar acceder a tu 
información personal registrando las 
teclas que pulsas o controlando la 
actividad de tu ordenador. También se 
puede controlar tu ordenador para 
visitar sitios web o realizar otras 
actividades sin tu conocimiento. Los 
efectos del software malintencionado 
abarcan desde pequeñas molestias 
hasta fallos del ordenador y el robo de 
identidad. 
6. cracking Legislación internacional: 
 
En México el articulo 211 el 
28 de marzo del 2012 la 
Cámara de Diputados aprobó 
modificaciones legales para 
identificar los tipos de 
delitos informáticos, con lo 
que se pretende condenar a 
aquellos que hagan mal uso 
de la tecnología. como por 
ejemplo el cracking ,hacking 
o cyberbullying. 
 
En Colombia la ley 1273 del 
2009 Articulo 269B 
 
Consecuencias: Por ejemplo en 
México el Acceso ilícito a sistemas y 
equipos de informática con pena entre 
3 y 12 meses de prisión a quien “sin 
autorización acceda, modifique, 
destruya o provoque perdida de 
información contenida en sistemas o 
equipos de informática”. La pena 
podría incrementarse en 2/3 partes, en 
caso que la penetración impida el uso 
o acceso del sistema afectado. 
 
En Colombia el articulo 269B 
incurrirá en pena de prisión de 
cuarenta y ocho (48) a noventa y seis 
(96) meses y en multa de 100 a 1000 
salarios mínimos legales mensuales 
vigentes. 
7.pornografia 
infantil en 
internet 
Legislación internacional: 
 
El artículo 3 estableceque 
todos los Estados parte, 
incluirán en su legislación 
penal la producción, 
distribución, divulgación, 
importación, exportación, 
oferta, venta o posesión de 
pornografía infantil, del 
Tratado de Nueva York 
contra la explotación sexual 
del niño de 25 de mayo de 
2000 (BOE de 31 de enero 
de 2002). 
 
Unión Europea: 
 
Decisión Marco 2004/68/ 
JAI del Consejo de 22 de 
diciembre de 2003, relativa a 
la lucha contra la 
explotación sexual de los 
niños y la pornografía 
Consecuencias: 
 
Basados en la ley 1336 que fortalece la 
ley 679 del 2001 que previene y 
contrarresta la explotación 
,pornografía y turismo sexual en 
Colombia 
 
La penalización cobija a quienes 
fotografíen, graben, filmen, 
produzcan, divulguen, vendan, 
compren, posean, porten, almacenen, 
transmitan o exhiban por cualquier 
medio, representaciones de actividad 
sexual que involucren menores de 18 
años de edad dándoles pena entre en 
prisión de cuatro (4) a ocho (8) años. 
La pena se aumentará en la mitad 
cuando la conducta se realizare con 
menor de doce (12) años 
infantil (Diario Oficial de la 
Unión de 20 de enero de 
2004). Su finalidad es lograr 
una uniformidad legislativa 
en la determinación de las 
conductas que deben 
considerarse delictivas 
 
En Colombia se firmo el 
Pacto Nacional de Cero 
Tolerancia a partir del 15 
marzo del 2013 con la 
Pornografía Infantil en 
Internet, iniciativa apoyada 
por el Ministerio de las 
Tecnologías de la 
Información y las 
Comunicaciones, que ha 
convocado a instituciones 
público-privadas y a los 
proveedores de servicios en 
la web. 
 
EN COLOMBIA LA LEY 
1336 QUE ROBUSTECE 
LA LEY 679 DEL 2001 
PARA PREVENIR Y 
CONTRARRESTAR LA 
EXPLOTACIÓN, LA 
PORNOGRAFÍA Y EL 
TURISMO SEXUAL 
8.phreaking En Colombia la ley 1273 del 
2009 Articulo 269C 
 
Consecuencias: 
 
Según este articulo 269C en Colombia 
la persona que, sin orden judicial 
previa intercepte datos informáticos en 
su origen, destino o en el interior de un 
sistema informático, o las emisiones 
electromagnéticas provenientes de un 
sistema informático que los trasporte 
incurrirá en pena de prisión de treinta 
y seis (36) a setenta y dos (72) meses. 
 
9. carding España por la doctrina, 
la jurisprudencia y por los 
Consecuencias: 
 
propios Bancos que emiten 
tarjetas de crédito, al 
autoimponerse 
un código de buenas 
prácticas bancarias.88 En 
Derecho comparado también 
hay referencias 
a tales obligaciones, como lo 
son: la Recomendación 
(87/598/CE) de la Comisión 
de las 
Comunidades Europeas de 8 
de diciembre de 1987, sobre 
un Código europeo de buena 
conducta en materia de pago 
electrónico; la 
Recomendación 88/590/CE 
de la Comisión, de 
17 de febrero de 1988, 
relativa a los sistemas de 
pago; la Recomendación 
97/489/CE, de 30 
de julio de 1997, relativa a 
las transacciones efectuadas 
mediante instrumentos 
electrónicos 
de pago; la Ley danesa 
consolidada sobre tarjetas de 
pago de 12 de septiembre de 
1994; la 
Ley argentina de tarjetas de 
crédito (25.065). [13 ] 
En Colombia la entidad que rigen los 
aspectos relacionados con las tarjetas 
de crédito es la Superintendencia 
Bancaria. 
 
10.violacion 
derechos de autor 
EN COLOMBIA RIGE EL 
CAPITULO VIII DE LOS 
DELITOS CONTRA LOS 
DERECHOS DE AUTOR 
Consecuencias: 
 
Por ejemplo ART. 270. Violación a 
los derechos morales de autor. 
Incurrirá en prisión de dos (2) a cinco 
(5) años y multa de veinte (20) a 
doscientos (200) salarios mínimos 
legales[14] a quien viole las leyes que 
están dentro de ese capítulo aquí en 
Colombia 
 
 
ANEXO3.MECANISMOS DE CONTROL TECNICOS PARA LAS AMENAZAS O 
VULNERABILIDADES DE LA ORGANIZACIÓN 
 
Amenaza/vulnerabilidad 
Riesgo /amenaza 
Implicación de seguridad Estándar o medida de 
seguridad a aplicar 
Falla acceso a internet Al no haber internet se 
puede paralizar las 
comunicaciones y 
productividad de la empresa 
*tener contacto con el 
proveedor de servicio a 
internet para suplir estas 
fallas por medio del servicio 
técnico , ya sea 
remotamente o que los 
técnicos con ayuda de los 
ingenieros de soporte 
solucionen las fallas en 
conjunto 
Falla red telefónica 
 
La empresa pierde 
comunicación y no puede 
coordinar sus actividades 
económicas 
*revisar el cableado 
telefónico y equipos en 
coordinación con el 
proveedor de servicio. 
Alteración , robo , 
destrucción de datos 
Prácticamente si la 
información de la empresa 
es saboteada o destruida la 
empresa incluso puede 
llegar a la quiebra 
*almacenar los balances 
contables y financieros en 
un sitio seguro y con llave o 
caja fuerte 
*almacenar los backups de 
la base de datos de los 
aplicativos contables en un 
sitio remoto 
*realizar backups 
periódicamente 
*colocar contraseñas en los 
aplicativos de bases de datos 
*mostrar los datos por 
medios de vistas de BD a los 
usuarios 
*personal de vigilancia 
pendiente de las 
instalaciones 
*revisar periódicamente los 
equipos de computo tanto a 
nivel de hardware o 
software donde este 
almacenada esta 
información 
*establecer políticas de 
seguridad informática y 
capacitar al personal 
Virus o malware Estos pueden dañar los 
equipos de computo 
*actualizar y licenciar el 
antivirus o tener una 
borrando la información que 
hay en ellos , incluso es vía 
de acceso para que también 
se extraiga información de 
la empresa 
versión de pago para mayor 
soporte y efectividad de sus 
funciones 
*educar al personal en 
aspectos como no bajar 
programas desconocidos de 
internet e instalarlos en los 
equipos 
*tener algún programa 
complementario al antivirus 
como antipishing, anti-
spyware 
*tener instalado y 
configurado un firewall y 
proxy para evitar accesos 
indebidos 
Errores de configuración 
y manipulación de 
programas 
Puede hacer que los equipos 
no funcionen 
adecuadamente o el 
software de la empresa no 
haga las tareas para que fue 
instalado 
*los ingenieros configuraran 
el software de los equipos 
para que este haga las tareas 
encomendadas sea 
cambiándole parámetros o 
reinstalándolo según los 
manuales técnicos 
*educar a los usuarios en el 
uso de los aplicativos y 
sistemas operativos de los 
equipos 
 
Acceso a sitios no 
autorizados 
Esto hace que los empelados 
se distraigan y no cumplan 
su labor a cabalidad , 
también es puerta de entrada 
para que entren virus y 
demás tipos de malware o se 
puedan realizar ataques 
informáticos 
*instalación y configuración 
de firewall , proxy , 
IDS/IPS 
*el ingeniero de la empresa 
podría monitorear el 
desempeño de la red con 
ayuda de programas como 
wireshark 
 
ataques tipo XSS,XSRF , 
inyección SQL 
Estos ataques pueden 
sabotear las aplicaciones en 
uso borrando y saboteando 
la información contenida en 
los equipos, incluso 
extrayéndola. 
*instalación y configuración 
de firewall , proxy , 
IDS/IPS 
*revisar los códigos fuentes 
de las aplicaciones 
*instalar y configurar un 
firewall para aplicaciones 
web y bases de datos 
ejemplo: W3AF para web y 
para bases de datos usar por 
ejemplo Green SQL que es 
de código abierto. 
*instalar y configurar 
programas como XSSER 
para evitar ataques de XSS. 
 
Daño físico a los equipos e 
instalaciones eléctricas 
Se puede destruir la 
información y aplicativos 
contenidos en estos 
afectando la productividad 
del negocio 
*hacerle mantenimiento de 
hardware reparando o 
cambiando partes 
defectuosas en los equipos 
*revisar instalaciones 
eléctricas , usar dispositivo 
UPS , estabilizadores 
*un electricista revise el 
cableado tanto interno y 
externo de la empresa 
*personal de vigilancia y 
celaduría pendiente incluso 
si llega gente extraña a las 
instalaciones 
*instalar cámaras de 
vigilancia en la empresa 
*el cuarto de computo debe 
tener algún mecanismo de 
acceso como tarjetas 
magnéticas. 
 
Robo de equipos Si los roban se puede ver la 
informacióncontenida en 
los discos duros, memorias 
USB , CDS etc... 
*personal de vigilancia y 
celaduría pendiente incluso 
si llega gente extraña a las 
instalaciones 
*instalar cámaras de 
vigilancia en la empresa 
*el cuarto de computo debe 
tener algún mecanismo de 
acceso como tarjetas 
magnéticas. 
*tener póliza de seguro 
*realizar copias de 
seguridad de los discos 
duros donde este la 
información mas relevante. 
Intercepción de la red 
comunicaciones y 
modificación de paquetes 
Los datos circulando por la 
red por ejemplo correos 
electrónicos pueden ser 
*instalación y configuración 
de firewall ; IDS/IPS ,proxy 
*monitoreo de la red usando 
de datos interceptados y modificados 
al gusto del atacante para 
robar información del 
negocio o sabotear la 
productividad de la 
organización 
 
aplicativos como wireshark 
o Etercap 
*establecer mecanismos de 
VPN 
*usar mecanismos de 
criptografía para la 
comunicaciones en la red 
como por ejemplo Openssl 
Los cuales también ayudan a 
crear autentificación por 
firmas digitales. 
*a futuro mediano depende 
del crecimiento de la 
organización podemos 
implantar mecanismos de 
PKI para proteger las 
comunicaciones. 
 
 
Intercepción datos red wifi Las redes wifi son mas 
vulnerables debido a que la 
señal viaja por el aire lo 
cual hace mas fácil la 
interceptación de la 
información por medio de 
programas especiales y 
antenas modificadas para tal 
fin. 
*complementarlos con los 
mecanismos usados para 
proteger red comunicación 
cableada 
*usar Access Point 
*al router revisar que 
opciones de seguridad tiene 
e implementar 
*usar mecanismos de 
WPA/WPA2 en las 
contraseñas 
*usar contraseñas fuerte a la 
hora de establecer la clave 
wifi 
*sería bueno que hubiera 
una red wifi para los 
invitados y otra red wifi solo 
para la empresa. 
 
En esta tabla aparte de mostrar las amenazas o riesgos más comunes mostramos las 
alternativas de solución para solucionar estos problemas y hacer la organización más 
segura a posibles ataques informáticos y fallas en los sistemas.