CAPITULO_2

Vista previa del material en texto

Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 1 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
ELEMENTOS DE PROTECCION INFORMATICA 
CONCEPTOS SOBRE DELITOS INFORMATICOS 
 
 
 El propósito de la PROTECCION INFORMATICA es salvaguardar los valiosos recursos 
de una organización, como información, hardware, y software. A través de la selección y aplicación 
de resguardos apropiados, la seguridad ayuda la misión de la organización protegiendo sus recursos 
físicos y financieros, reputación, posición legal, empleados, y otros recursos tangibles e intangibles. 
 
 Como con muchos otros recursos, el manejo de la información y las computadoras 
pueden transcender límites organizacionales. Cuando se unen la información de una organización y 
sistemas externos, las responsabilidades de manejo se extienden también más allá de la 
organización. 
 
 Los costos y beneficios de las medidas de protección deben examinarse 
cuidadosamente en términos monetarios y " no-monetarios” para asegurar que el costo no exceda 
los beneficios esperados. La protección deba ser apropiada y debe proporcionar a su vez valor y 
grado de confianza en los sistemas de computadoras, regulando la severidad con la probabilidad y la 
magnitud de daño potencial. 
 Las computadoras y los ambientes en los que ellas operan son dinámicos. La 
tecnología del sistema, usuarios, datos, y la información en los sistemas, los riesgos asociados con 
los mismos y, por consiguiente, los requisitos de protección están cambiando cotidianamente. Los 
usuarios del sistema y operadores descubren nuevas maneras, intencional o involuntariamente, que 
desvían o alteran la seguridad. La adhesión estricta a los procedimientos es rara, y los 
procedimientos son retrasados en el tiempo. Por todo esto es necesario reimponer la seguridad de 
sistemas informáticos. 
 
 Resumidamente: 
 
1. la PROTECCION INFORMATICA debe apoyar la misión de la organización. 
 
2. la PROTECCION INFORMATICA es un elemento íntegro de dirección legítima. 
 
 
3. Debe haber responsabilidades de PROTECCION INFORMATICA y responsabilidad 
explícita. 
 
4. Los integrantes de la Cabeza Estratégica de una Organización deben asumir 
responsabilidades directas con los elementos de PROTECCION INFORMATICA. 
 
5. La PROTECCION INFORMATICA requiere un comprensivo e integró acercamiento 
 
6. La PROTECCION INFORMATICA debe reimponerse periódicamente. 
 
7. La PROTECCION INFORMATICA está resistida por factores sociales. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 2 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
POLITICAS DE SEGURIDAD 
 
Introducción 
Fundamentalmente, la seguridad en el Área Informática es una serie de soluciones técnicas a 
problemas no técnicos. Uno de los trabajos de la persona encargada de la seguridad del Área 
Informática es decidir cuánto tiempo y dinero se necesita dedicar a la seguridad. Otra parte del 
trabajo es preparar políticas y procedimientos acordes al Área Informática. En muchas ocasiones 
esta persona tendrá que auditar el sistema. 
 
¿Qué son las políticas de seguridad? 
 
Son códigos de conducta para la utilización adecuada de los recursos disponibles en el Area 
Informática y que definen claramente las actividades que no son permitidas, los pasos a seguir para 
obtener una protección adecuada así como los pasos a seguir en caso de presentarse un incidente 
de seguridad, además establece responsabilidades y derechos. El encargado debe realizar los 
procedimientos para llevar a la práctica las políticas establecidas, de acuerdo con las necesidades 
del Área Informática y su ámbito. 
 
POLITICA DE SEGURIDAD 
 
DEFINICION 
Una Política de seguridad deberá establecer los requisitos de protección 
mediante un conjunto de principios y reglas declarando como se especificará y 
gestionará el resguardo de los diferentes activos de la información de una manera 
consistente y efectiva. 
 
OBJETIVOS Reducir los riesgos a un nivel aceptable. 
 
 Garantizar la confidencialidad, integridad, disponibilidad, privacidad y 
autenticidad de la información. 
 
 Cumplir con las Leyes y Reglamentaciones vigentes. 
 
DESARROLLO La Política de Seguridad de los Sistemas de Información deberá estar 
orientada a gestionar eficazmente la seguridad de la información tratada por los 
sistemas informáticos de la organización así como los activos que participan en 
sus procesos. Tomando a su vez un compromiso de adoptar cuantas medidas 
de índole técnica y organizativa estén a su alcance, en función de las 
posibilidades y avances de la técnica. Un administrador de seguridad necesita 
comprender a fondo las necesidades de operación, el medio y a los usuarios, y 
con base en esto definir los procedimientos y políticas que se adecuen a su 
organización. 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 3 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
MODELO DE “SEGURIDAD INFORMATICA” 
 
Un adecuado modelo de “Seguridad Informática” está basado en: 
 
 
 Mejores prácticas internacionales Políticas Sólidas de Seguridad de la Información: 
 (BS ISO/ IEC 17799:2005 - BS 7799-1:2005) 
 
 Estándares de Calidad 
 
 
 Soporte Gerencial 
 
 Divulgación 
 
 
 Capacitación. 
 
 
 Existen diversas instituciones que acercan un conjunto de normas o procedimientos que 
permiten definir la(s) Política(s) de la(s) Organizaciones, de las que podemos destacar 
 
 ISACA es el acrónimo de Information Systems Audit and 
Control Association (Asociación de Auditoría y Control de Sistemas de Información), una 
asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para 
la realización de actividades de auditoría y control en sistemas de información. Esta organización ha 
desarrollado COBIT (COBIT, en inglés: Control Objectives for Information and related Technology - 
Objetivos de Control para Información y Tecnologías Relacionadas) que brinda un modelo de 
procesos genéricos que representa todos los procesos que normalmente se encuentran en las 
funciones de TI, ofreciendo un modelo de referencia común entendible para los gerentes operativos 
de TI y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las 
áreas de enfoque del gobierno de TI 
 
La gerencia de operaciones usa los procesos para organizar y 
administrar las actividades de TI en curso. COBIT brinda un modelo 
genérico de procesos que representa todos los procesos que 
normalmente se encuentran en las funciones de TI, 
proporcionando un modelo de referencia general y entendible 
para la gerencia de operaciones de TI y para la gerencia de 
negocios. Para lograr un gobierno efectivo, los gerentes de 
operaciones deben implementar los controles necesarios dentro de un 
marco de control definido para todos los procesos TI. Ya que los 
objetivos de control de TI de COBIT están organizados por procesos de TI, el marco de trabajo 
brinda vínculos claros entre los requerimientos de gobierno de TI, los procesos de TI y los controles 
de TI. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 4 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
La Seguridad de la Información en el Sector Público Nacional 
 
 El Decreto N° 1028/03, asigna las responsabilidades y funciones que debe cumplir la Oficina 
Nacional de Tecnologías de Información (ONTI). Entre ellas se encuentra la de "... Entender, asistir y 
supervisar en los aspectos relativosa la seguridad y privacidad de la información digitalizada y 
electrónica del Sector Público Nacional..." para ello trabajo con el objeto de formular un “Modelo de 
Política de Seguridad de la Información” que sirviera de base para la elaboración de las políticas. El 
desarrollo del Modelo de Política de Seguridad de la Información que se ha estado trabajando en la 
ONTI se ha basado en la norma ISO/IRAM 177996, la cual está basada en el estándar BS 7799, que 
es un estándar internacional que proporciona un marco de referencia para la gestión de la seguridad. 
 
 Como guía del contenido de la misma, se transcribe el índice correspondiente, en sus partes 
pertinentes, fundamentalmente como una manera de reafirmar los tópicos que abarca la materia que 
nos ocupa (su contenido completo es descargable de la pagina 
 
https://www.magyp.gob.ar/sitio/areas/d_recursos_humanos/concurso/normativa/_archivos//000001_
Disposici%C3%B3nes/000000_DISPOSICI%C3%93N%20ONTI%203-
2013%20Pol%C3%ADtica%20de%20Seguridad%20de%20la%20Informaci%C3%B3n%20Modelo.pd
f 
3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 
3.1. Aspectos Generales..................................................................................................... 13 
3.2. Sanciones Previstas por Incumplimiento.................................................................. 14 
4. ORGANIZACIÓN DE LA SEGURIDAD ................................................ 15 
4.1. Infraestructura de la Seguridad de la Información ................................................... 16 
4.1.1. Comité de Seguridad de la Información ................................................................ 16 
4.1.2. Asignación de Responsabilidades en Materia de Seguridad de la Información ... 17 
4.1.3. Proceso de Autorización para Instalaciones de Procesamiento de Información .. 18 
4.1.4. Asesoramiento Especializado en Materia de Seguridad de la Información.......... 18 
4.1.5. Cooperación entre Organismos............................................................................. 18 
4.1.6. Revisión Independiente de la Seguridad de la Información.................................. 19 
4.2. Seguridad Frente al Acceso por Parte de Terceros ................................................. 19 
4.2.1. Identificación de Riesgos del Acceso de Terceras Partes .................................... 19 
4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros................ 19 
4.3. Tercerización ................................................................................................................ 20 
4.3.1. Requerimientos de Seguridad en Contratos de Tercerización ............................. 20 
5. CLASIFICACIÓN Y CONTROL DE ACTIVOS...................................... 22 
5.1. Inventario de activos.................................................................................................... 23 
5.2. Clasificación de la información .................................................................................. 23 
5.3. Rotulado de la Información......................................................................................... 24 
6. SEGURIDAD DEL PERSONAL............................................................ 26 
6.1. Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos 27 
6.1.1. Incorporación de la Seguridad en los Puestos de Trabajo.................................... 27 
6.1.2. Control y Política del Personal .............................................................................. 27 
6.1.3. Compromiso de Confidencialidad.......................................................................... 27 
6.1.4. Términos y Condiciones de Empleo...................................................................... 28 
6.2. Capacitación del Usuario ............................................................................................ 28 
6.2.1. Formación y Capacitación en Materia de Seguridad de la Información................ 28 
6.3. Respuesta a Incidentes y Anomalías en Materia de Seguridad .............................. 29 
6.3.1. Comunicación de Incidentes Relativos a la Seguridad ......................................... 29 
6.3.2. Comunicación de Debilidades en Materia de Seguridad ...................................... 29 
6.3.3. Comunicación de Anomalías del Software............................................................ 29 
6.3.4. Aprendiendo de los Incidentes .............................................................................. 29 
6.3.5. Procesos Disciplinarios ......................................................................................... 30 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 5 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
7. SEGURIDAD FÍSICA Y AMBIENTAL................................................... 31 
7.1. Perímetro de Seguridad Física ................................................................................... 32 
7.2. Controles de Acceso Físico ........................................................................................ 33 
7.3. Protección de Oficinas, Recintos e Instalaciones .................................................... 33 
7.4. Desarrollo de Tareas en Áreas Protegidas................................................................ 34 
7.5. Aislamiento de las Áreas de Recepción y Distribución ........................................... 35 
7.6. Ubicación y Protección del Equipamiento y Copias de Seguridad ........................ 35 
7.7. Suministros de Energía ............................................................................................... 36 
7.8. Seguridad del Cableado .............................................................................................. 36 
7.9. Mantenimiento de Equipos.......................................................................................... 37 
7.10. Seguridad de los Equipos Fuera de las Instalaciones......................................... 37 
7.11. Desafectación o Reutilización Segura de los Equipos. ....................................... 37 
7.12. Políticas de Escritorios y Pantallas Limpias......................................................... 37 
7.13. Retiro de los Bienes ................................................................................................ 38 
8. GESTIÓN DE COMUNICACIONES Y OPERACIONES ....................... 40 
8.1. Procedimientos y Responsabilidades Operativas.................................................... 41 
8.1.1. Documentación de los Procedimientos Operativos............................................... 41 
8.1.2. Control de Cambios en las Operaciones............................................................... 42 
8.1.3. Procedimientos de Manejo de Incidentes ............................................................. 42 
8.1.4. Separación de Funciones...................................................................................... 43 
8.1.5. Separación entre Instalaciones de Desarrollo e Instalaciones Operativas ........... 44 
8.1.6. Gestión de Instalaciones Externas ........................................................................ 44 
8.2. Planificación y Aprobación de Sistemas................................................................... 45 
8.2.1. Planificación de la Capacidad ............................................................................... 45 
8.2.2. Aprobación del Sistema......................................................................................... 45 
8.3. Protección Contra Software Malicioso ...................................................................... 45 
8.3.1. Controles Contra Software Malicioso .................................................................... 45 
8.4. Mantenimiento ..............................................................................................................46 
8.4.1. Resguardo de la Información ................................................................................ 46 
8.4.2. Registro de Actividades del Personal Operativo ................................................... 47 
8.4.3. Registro de Fallas.................................................................................................. 47 
8.5. Administración de la Red ............................................................................................ 47 
8.5.1. Controles de Redes............................................................................................... 47 
8.6. Administración y Seguridad de los Medios de Almacenamiento ........................... 48 
8.6.1. Administración de Medios Informáticos Removibles............................................. 48 
8.6.2. Eliminación de Medios de Información.................................................................. 48 
8.6.3. Procedimientos de Manejo de la Información ....................................................... 49 
8.6.4. Seguridad de la Documentación del Sistema ....................................................... 49 
8.7. Intercambios de Información y Software................................................................... 49 
8.7.1. Acuerdos de Intercambio de Información y Software............................................ 49 
8.7.2. Seguridad de los Medios en Tránsito .................................................................... 50 
8.7.3. Seguridad del Gobierno Electrónico...................................................................... 50 
8.7.4. Seguridad del Correo Electrónico.......................................................................... 51 
8.7.4.1. Riesgos de Seguridad....................................................................................... 51 
8.7.4.2. Política de Correo Electrónico........................................................................... 51 
8.7.5. Seguridad de los Sistemas Electrónicos de Oficina.............................................. 52 
8.7.6. Sistemas de Acceso Público ................................................................................. 52 
8.7.7. Otras Formas de Intercambio de Información....................................................... 53 
9. CONTROL DE ACCESOS .................................................................... 54 
9.1. Requerimientos para el Control de Acceso............................................................... 56 
9.1.1. Política de Control de Accesos.............................................................................. 56 
9.1.2. Reglas de Control de Acceso................................................................................ 56 
9.2. Administración de Accesos de Usuarios .................................................................. 57 
9.2.1. Registración de Usuarios ...................................................................................... 57 
9.2.2. Administración de Privilegios................................................................................. 57 
9.2.3. Administración de Contraseñas de Usuario .......................................................... 58 
9.2.4. Administración de Contraseñas Críticas ............................................................... 58 
9.2.5. Revisión de Derechos de Acceso de Usuarios ..................................................... 59 
9.3. Responsabilidades del Usuario.................................................................................. 59 
9.3.1. Uso de Contraseñas.............................................................................................. 59 
9.3.2. Equipos Desatendidos en Áreas de Usuarios....................................................... 60 
9.4. Control de Acceso a la Red......................................................................................... 60 
9.4.1. Política de Utilización de los Servicios de Red ..................................................... 60 
9.4.2. Camino Forzado .................................................................................................... 61 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 6 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
9.4.3. Autenticación de Usuarios para Conexiones Externas ......................................... 61 
9.4.4. Autenticación de Nodos......................................................................................... 62 
9.4.5. Protección de los Puertos (Ports) de Diagnóstico Remoto ................................... 62 
9.4.6. Subdivisión de Redes............................................................................................ 62 
9.4.7. Acceso a Internet................................................................................................... 63 
9.4.8. Control de Conexión a la Red ............................................................................... 63 
9.4.9. Control de Ruteo de Red....................................................................................... 63 
9.4.10. Seguridad de los Servicios de Red ....................................................................... 63 
9.5. Control de Acceso al Sistema Operativo................................................................... 64 
9.5.1. Identificación Automática de Terminales............................................................... 64 
9.5.2. Procedimientos de Conexión de Terminales......................................................... 64 
9.5.3. Identificación y Autenticación de los Usuarios ...................................................... 65 
9.5.4. Sistema de Administración de Contraseñas ......................................................... 65 
9.5.5. Uso de Utilitarios de Sistema ................................................................................ 66 
9.5.6. Alarmas Silenciosas para la Protección de los Usuarios ...................................... 66 
9.5.7. Desconexión de Terminales por Tiempo Muerto .................................................. 66 
9.5.8. Limitación del Horario de Conexión....................................................................... 66 
9.6. Control de Acceso a las Aplicaciones ....................................................................... 67 
9.6.1. Restricción del Acceso a la Información................................................................ 67 
9.6.2. Aislamiento de los Sistemas Sensibles ................................................................. 67 
9.7. Monitoreo del Acceso y Uso de los Sistemas........................................................... 68 
9.7.1. Registro de Eventos .............................................................................................. 68 
9.7.2. Monitoreo del Uso de los Sistemas....................................................................... 68 
9.7.2.1. Procedimientos y Áreas de Riesgo ................................................................... 68 
9.7.2.2. Factores de Riesgo ........................................................................................... 69 
9.7.2.3. Registro y Revisión de Eventos ........................................................................ 69 
9.7.3. Sincronización de Relojes ..................................................................................... 70 
9.8. Computación Móvil y Trabajo Remoto....................................................................... 70 
9.8.1. Computación Móvil ................................................................................................ 70 
9.8.2. Trabajo Remoto..................................................................................................... 71 
10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.......................... 73 
10.1. Requerimientos de Seguridad de los Sistemas....................................................74 
10.1.1. Análisis y Especificaciones de los Requerimientos de Seguridad ........................ 74 
10.2. Seguridad en los Sistemas de Aplicación............................................................. 74 
10.2.1. Validación de Datos de Entrada ............................................................................ 75 
10.2.2. Controles de Procesamiento Interno ..................................................................... 75 
10.2.3. Autenticación de Mensajes.................................................................................... 76 
10.2.4. Validación de Datos de Salidas............................................................................. 76 
10.3. Controles Criptográficos......................................................................................... 76 
10.3.1. Política de Utilización de Controles Criptográficos................................................ 76 
10.3.2. Cifrado ................................................................................................................... 77 
10.3.3. Firma Digital........................................................................................................... 77 
10.3.4. Servicios de No Repudio ....................................................................................... 78 
10.3.5. Administración de Claves ...................................................................................... 78 
10.3.5.1. Protección de Claves Criptográficas ................................................................. 78 
10.3.5.2. Normas, Procedimientos y Métodos ................................................................. 78 
10.4. Seguridad de los Archivos del Sistema ................................................................ 79 
10.4.1. Control del Software Operativo ............................................................................. 79 
10.4.2. Protección de los Datos de Prueba del Sistema................................................... 80 
10.4.3. Control de Cambios a Datos Operativos............................................................... 80 
10.4.4. Control de Acceso a las Bibliotecas de Programas Fuentes ................................ 80 
10.5. Seguridad de los Procesos de Desarrollo y Soporte........................................... 81 
10.5.1. Procedimiento de Control de Cambios.................................................................. 81 
10.5.2. Revisión Técnica de los Cambios en el Sistema Operativo.................................. 82 
10.5.3. Restricción del Cambio de Paquetes de Software ................................................ 82 
10.5.4. Canales Ocultos y Código Malicioso..................................................................... 82 
10.5.5. Desarrollo Externo de Software............................................................................. 83 
 
 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 7 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 A modo de ejemplo citamos algunas de las reglas o normas propuestas: 
 
“……Capitulo 10.3.1. menciona…… 
 
 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 8 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
“ Capitulo 9.7.1…. 
 
 
“Capítulo 8.3.1…. 
 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 9 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
FRAUDE Y DELITO INFORMATICO 
 
 El constante progreso tecnológico que experimenta la sociedad, supone una evolución en las 
formas de delinquir, dando lugar, tanto a la diversificación de los delitos tradicionales como a la 
aparición de nuevos actos ilícitos. Esta realidad ha originado un debate en torno a la necesidad de 
distinguir o no los delitos informáticos del resto. 
 
 Diversos autores y organismos han propuesto definiciones de los delitos informáticos, 
aportando distintas perspectivas y matices al concepto. Algunos consideran que es innecesario 
diferenciar los delitos informáticos de los tradicionales, ya que, según éstos se trata de los mismos 
delitos, cometidos a través de otros medios. De hecho, el Código Penal español, no contempla los 
delitos informáticos como tal. 
 
 Partiendo de esta compleja situación y tomando como referencia el “Convenio de 
Ciberdelincuencia del Consejo de Europa”, podemos definir los delitos informáticos como: “los actos 
dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, 
redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. 
 
CARACTERÍSTICAS PRINCIPALES 
 
 Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las 
pruebas. 
 Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos 
pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar 
presente físicamente en el lugar de los hechos. 
 Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más la 
identificación y persecución de los mismos. 
 El primer caso conocido por su tramitación en la instancia federal de los EE.UU. ocurrió en 
1962, cuando un programador modificó el sistema de cuantas corrientes de un banco, a efectos que 
no fueran denunciados los saldos acreedores de su propia cuenta. 
 
Tipificación del delito informático. 
 
 En términos generales, se advierte la carencia de disposiciones explícitas en las legislaciones 
penales de los diversos países sobre el tema. Como consecuencia de ello, los jueces se han visto 
obligados a encasillar dentro de las figuras penales clásicas a los nuevos delitos producidos. 
 Parker – pionero en el campo y especialista en delito informático – formula la siguiente 
pregunta: ¿qué papel ha desempeñado el computador en los casos conocidos? Se pueden 
identificar cuatro roles de los cuáles uno o dos, se dan en cada caso conocido. 
 
 El computador como objeto de la agresión. 
 
 Se trata típicamente de casos de agresión física hacia el hardware del área informática, con 
finalidades variadas, llevadas a cabo colectiva o individualmente. 
 Se han presentado casos de robo de la totalidad o parte de los recursos fisicos, que conviene 
tener en cuenta, debido a la miniaturalización de los variados componentes del computador. 
 
 El computador como generador de un entorno especial único. 
 
 El segundo rol del computador en los delitos informáticos es la creación de un entorno 
especial único en el cuál resulten posibles acciones delictivas, o cuando el computador crea nuevas 
formas de activos sujetos a activos abusivos. El computador – tal vez – no esté directamente 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 10 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
involucrado en incidentes como robo, fraude, etc. Por cuanto la posición de los perpetradores, el 
entorno de sus actos, los métodos usados para su comisión, los resultados sobre terceros, son 
denominaciones nuevas.. Es el computador quién los ha permitido, y la repercusión sobre el 
organismo social de tales hechos puede revestir consecuencias diferentes de las de un delito 
común. 
 
 Empleo del computador para intimidar, confundir o defraudar a las víctimas. 
 
 FRAUDES COMETIDOS MEDIANTE MANIPULACIÓN DE COMPUTADORAS 
 
 MANIPULACIÓN DE LOS DATOS DE ENTRADA 
 Este tipo de fraude informático, conocido también como sustracción de datos, representa el 
delito informático más común ya que es fácil de cometery difícil de descubrir. 
 Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier 
persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de 
adquisición de los mismos. 
 
 MANIPULACIÓN DE PROGRAMAS 
 Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe 
tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los 
programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas 
rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en 
programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones 
de computadora de forma encubierta en un programa informático para que pueda realizar una 
función no autorizada al mismo tiempo que su función normal. 
 
 MANIPULACIÓN DE LOS DATOS DE SALIDA 
 Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más 
común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de 
instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos 
fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan 
ampliamente equipo y programas de computadora especializados para codificar información 
electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. 
 
 MANIPULACIÓN INFORMÁTICA APROVECHANDO REPETICIONES AUTOMÁTICAS DE LOS 
PROCESOS DE CÓMPUTO 
 Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas 
muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una 
cuenta y se transfieren a otra. 
 
FALSIFICACIONES INFORMÁTICAS 
 
 COMO OBJETO 
 Cuando se alteran datos de los documentos almacenados en forma computarizada. 
 
 COMO INSTRUMENTOS 
 Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de 
uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de 
rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas 
fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso 
pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen 
son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. 
 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 11 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
 
DAÑOS O MODIFICACIONES DE PROGRAMAS O DATOS COMPUTARIZADOS 
 
 SABOTAJE INFORMÁTICO 
 Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora 
con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten 
cometer sabotajes informáticos se clasifican bajo diversos términos (virus, gusanos, troyanos, etc 
etc) que englobaremos bajo el titulo de CODIGO MALISIOSO. 
 
ACCESO NO AUTORIZADO A SERVICIOS Y SISTEMAS INFORMÁTICOS 
 
 REPRODUCCIÓN NO AUTORIZADA DE PROGRAMAS INFORMÁTICOS DE PROTECCIÓN 
LEGAL 
 Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. 
Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a 
sanciones penales. 
 
 El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones 
no autorizadas a través de las redes de telecomunicaciones modernas. La reproducción no 
autorizada de programas informáticos afecta un bien jurídico a tutelar, la propiedad intelectual. 
 
 PIRATAS INFORMÁTICOS O HACKERS 
 El término Hackers proviene de "hack", el sonido que hacían los técnicos de las empresas 
telefónicas al golpear los aparatos para que funcionen. El termino comenzó a usarse aplicándolo a 
un grupo de pioneros de la informática del MIT, a principios de la década de 1960. Desde entonces, 
y casi hasta finales de la década de 1970, un hacker era una persona obsesionada por conocer lo 
mas posible sobre los sistemas informáticos. Los diseñadores del ordenador Apple, Jobs y 
Wozniack, pueden considerarse hackers en este sentido de la palabra. Hoy es una palabra temida 
por empresarios, legisladores y autoridades que desean controlar a quienes se divierten descifrando 
claves para ingresar a lugares prohibidos y tener acceso a información indebida. 
 Los medios de comunicación masivos prefieren tildarlos de delincuentes que interceptan 
códigos de tarjetas de crédito y los utilizan para beneficio propio. También están los que se 
entrometen en los sistemas de aeropuertos produciendo un caos en los vuelos y en los horarios de 
los aviones. Pero he aquí la gran diferencia en cuestión. Los crackers (crack=destruir) son aquellas 
personas que siempre buscan molestar a otros, piratear software protegido por leyes, destruir 
sistemas muy complejos mediante la transmisión de poderosos virus, etc. Esos son los crackers. Se 
diferencian con los Hackers porque no poseen ningún tipo de ideología cuando realizan sus 
"trabajos". En cambio, el principal objetivo de los Hackers no es convertirse en delincuentes sino 
"pelear contra un sistema injusto" utilizando como arma al propio sistema. Su guerra es silenciosa 
pero muy convincente. 
 Los terminos, "hacker", "phreaker" y "pirata" se presentan y definen tal y como los entienden 
aquellos que se identifican con estos papeles. El acceso se efectúa a menudo desde un lugar 
exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se 
mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de 
seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad 
o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios 
legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios 
pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio 
sistema. 
 Hacking Ético de Seguridad y Redes 
 El Hacking Ético es una disciplina que llama la atención a todos los expertos en seguridad 
informática. Mediante la aplicación de técnicas avanzadas, y el uso de aplicaciones especiales 
podemos proteger o vulnerar casi cualquier sistema, entonces Hacking ético es una forma de 
 
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 12 
 
UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN 
 INGENIERIA EN SISTEMAS DE INFORMACION -2014 
referirse al acto por el que una persona usa sus conocimientos de informática y seguridad para 
realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen 
medidas, sin hacer daño. 
 
 La idea es tener el conocimiento de cuales elementos dentro de una red o sistema informático 
son vulnerables y corregirlos antes que ocurra una contingencia que afecte las propiedades de la 
información, hurto de información, por ejemplo. 
 
 Estas pruebas se llaman "pen tests" o "penetration tests" en inglés. En español se conocen 
como "pruebas de penetración", en donde se intenta de múltiples formas burlar la seguridad de la 
red para robar información sensitiva de una organización, para luego reportarlo a dicha organización 
y así mejorar su seguridad.