Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 1 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 ELEMENTOS DE PROTECCION INFORMATICA CONCEPTOS SOBRE DELITOS INFORMATICOS El propósito de la PROTECCION INFORMATICA es salvaguardar los valiosos recursos de una organización, como información, hardware, y software. A través de la selección y aplicación de resguardos apropiados, la seguridad ayuda la misión de la organización protegiendo sus recursos físicos y financieros, reputación, posición legal, empleados, y otros recursos tangibles e intangibles. Como con muchos otros recursos, el manejo de la información y las computadoras pueden transcender límites organizacionales. Cuando se unen la información de una organización y sistemas externos, las responsabilidades de manejo se extienden también más allá de la organización. Los costos y beneficios de las medidas de protección deben examinarse cuidadosamente en términos monetarios y " no-monetarios” para asegurar que el costo no exceda los beneficios esperados. La protección deba ser apropiada y debe proporcionar a su vez valor y grado de confianza en los sistemas de computadoras, regulando la severidad con la probabilidad y la magnitud de daño potencial. Las computadoras y los ambientes en los que ellas operan son dinámicos. La tecnología del sistema, usuarios, datos, y la información en los sistemas, los riesgos asociados con los mismos y, por consiguiente, los requisitos de protección están cambiando cotidianamente. Los usuarios del sistema y operadores descubren nuevas maneras, intencional o involuntariamente, que desvían o alteran la seguridad. La adhesión estricta a los procedimientos es rara, y los procedimientos son retrasados en el tiempo. Por todo esto es necesario reimponer la seguridad de sistemas informáticos. Resumidamente: 1. la PROTECCION INFORMATICA debe apoyar la misión de la organización. 2. la PROTECCION INFORMATICA es un elemento íntegro de dirección legítima. 3. Debe haber responsabilidades de PROTECCION INFORMATICA y responsabilidad explícita. 4. Los integrantes de la Cabeza Estratégica de una Organización deben asumir responsabilidades directas con los elementos de PROTECCION INFORMATICA. 5. La PROTECCION INFORMATICA requiere un comprensivo e integró acercamiento 6. La PROTECCION INFORMATICA debe reimponerse periódicamente. 7. La PROTECCION INFORMATICA está resistida por factores sociales. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 2 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 POLITICAS DE SEGURIDAD Introducción Fundamentalmente, la seguridad en el Área Informática es una serie de soluciones técnicas a problemas no técnicos. Uno de los trabajos de la persona encargada de la seguridad del Área Informática es decidir cuánto tiempo y dinero se necesita dedicar a la seguridad. Otra parte del trabajo es preparar políticas y procedimientos acordes al Área Informática. En muchas ocasiones esta persona tendrá que auditar el sistema. ¿Qué son las políticas de seguridad? Son códigos de conducta para la utilización adecuada de los recursos disponibles en el Area Informática y que definen claramente las actividades que no son permitidas, los pasos a seguir para obtener una protección adecuada así como los pasos a seguir en caso de presentarse un incidente de seguridad, además establece responsabilidades y derechos. El encargado debe realizar los procedimientos para llevar a la práctica las políticas establecidas, de acuerdo con las necesidades del Área Informática y su ámbito. POLITICA DE SEGURIDAD DEFINICION Una Política de seguridad deberá establecer los requisitos de protección mediante un conjunto de principios y reglas declarando como se especificará y gestionará el resguardo de los diferentes activos de la información de una manera consistente y efectiva. OBJETIVOS Reducir los riesgos a un nivel aceptable. Garantizar la confidencialidad, integridad, disponibilidad, privacidad y autenticidad de la información. Cumplir con las Leyes y Reglamentaciones vigentes. DESARROLLO La Política de Seguridad de los Sistemas de Información deberá estar orientada a gestionar eficazmente la seguridad de la información tratada por los sistemas informáticos de la organización así como los activos que participan en sus procesos. Tomando a su vez un compromiso de adoptar cuantas medidas de índole técnica y organizativa estén a su alcance, en función de las posibilidades y avances de la técnica. Un administrador de seguridad necesita comprender a fondo las necesidades de operación, el medio y a los usuarios, y con base en esto definir los procedimientos y políticas que se adecuen a su organización. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 3 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 MODELO DE “SEGURIDAD INFORMATICA” Un adecuado modelo de “Seguridad Informática” está basado en: Mejores prácticas internacionales Políticas Sólidas de Seguridad de la Información: (BS ISO/ IEC 17799:2005 - BS 7799-1:2005) Estándares de Calidad Soporte Gerencial Divulgación Capacitación. Existen diversas instituciones que acercan un conjunto de normas o procedimientos que permiten definir la(s) Política(s) de la(s) Organizaciones, de las que podemos destacar ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), una asociación internacional que apoya y patrocina el desarrollo de metodologías y certificaciones para la realización de actividades de auditoría y control en sistemas de información. Esta organización ha desarrollado COBIT (COBIT, en inglés: Control Objectives for Information and related Technology - Objetivos de Control para Información y Tecnologías Relacionadas) que brinda un modelo de procesos genéricos que representa todos los procesos que normalmente se encuentran en las funciones de TI, ofreciendo un modelo de referencia común entendible para los gerentes operativos de TI y del negocio. Se establecieron equivalencias entre los modelos de procesos COBIT y las áreas de enfoque del gobierno de TI La gerencia de operaciones usa los procesos para organizar y administrar las actividades de TI en curso. COBIT brinda un modelo genérico de procesos que representa todos los procesos que normalmente se encuentran en las funciones de TI, proporcionando un modelo de referencia general y entendible para la gerencia de operaciones de TI y para la gerencia de negocios. Para lograr un gobierno efectivo, los gerentes de operaciones deben implementar los controles necesarios dentro de un marco de control definido para todos los procesos TI. Ya que los objetivos de control de TI de COBIT están organizados por procesos de TI, el marco de trabajo brinda vínculos claros entre los requerimientos de gobierno de TI, los procesos de TI y los controles de TI. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 4 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 La Seguridad de la Información en el Sector Público Nacional El Decreto N° 1028/03, asigna las responsabilidades y funciones que debe cumplir la Oficina Nacional de Tecnologías de Información (ONTI). Entre ellas se encuentra la de "... Entender, asistir y supervisar en los aspectos relativosa la seguridad y privacidad de la información digitalizada y electrónica del Sector Público Nacional..." para ello trabajo con el objeto de formular un “Modelo de Política de Seguridad de la Información” que sirviera de base para la elaboración de las políticas. El desarrollo del Modelo de Política de Seguridad de la Información que se ha estado trabajando en la ONTI se ha basado en la norma ISO/IRAM 177996, la cual está basada en el estándar BS 7799, que es un estándar internacional que proporciona un marco de referencia para la gestión de la seguridad. Como guía del contenido de la misma, se transcribe el índice correspondiente, en sus partes pertinentes, fundamentalmente como una manera de reafirmar los tópicos que abarca la materia que nos ocupa (su contenido completo es descargable de la página oficial http://icic.gob.ar/archivos/cert/PSI_Modelo-v1_200507.pdf) : 3. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN 3.1. Aspectos Generales..................................................................................................... 13 3.2. Sanciones Previstas por Incumplimiento.................................................................. 14 4. ORGANIZACIÓN DE LA SEGURIDAD ................................................ 15 4.1. Infraestructura de la Seguridad de la Información ................................................... 16 4.1.1. Comité de Seguridad de la Información ................................................................ 16 4.1.2. Asignación de Responsabilidades en Materia de Seguridad de la Información ... 17 4.1.3. Proceso de Autorización para Instalaciones de Procesamiento de Información .. 18 4.1.4. Asesoramiento Especializado en Materia de Seguridad de la Información.......... 18 4.1.5. Cooperación entre Organismos............................................................................. 18 4.1.6. Revisión Independiente de la Seguridad de la Información.................................. 19 4.2. Seguridad Frente al Acceso por Parte de Terceros ................................................. 19 4.2.1. Identificación de Riesgos del Acceso de Terceras Partes .................................... 19 4.2.2. Requerimientos de Seguridad en Contratos o Acuerdos con Terceros................ 19 4.3. Tercerización ................................................................................................................ 20 4.3.1. Requerimientos de Seguridad en Contratos de Tercerización ............................. 20 5. CLASIFICACIÓN Y CONTROL DE ACTIVOS...................................... 22 5.1. Inventario de activos.................................................................................................... 23 5.2. Clasificación de la información .................................................................................. 23 5.3. Rotulado de la Información......................................................................................... 24 6. SEGURIDAD DEL PERSONAL............................................................ 26 6.1. Seguridad en la Definición de Puestos de Trabajo y la Asignación de Recursos 27 6.1.1. Incorporación de la Seguridad en los Puestos de Trabajo.................................... 27 6.1.2. Control y Política del Personal .............................................................................. 27 6.1.3. Compromiso de Confidencialidad.......................................................................... 27 6.1.4. Términos y Condiciones de Empleo...................................................................... 28 6.2. Capacitación del Usuario ............................................................................................ 28 6.2.1. Formación y Capacitación en Materia de Seguridad de la Información................ 28 6.3. Respuesta a Incidentes y Anomalías en Materia de Seguridad .............................. 29 6.3.1. Comunicación de Incidentes Relativos a la Seguridad ......................................... 29 6.3.2. Comunicación de Debilidades en Materia de Seguridad ...................................... 29 6.3.3. Comunicación de Anomalías del Software............................................................ 29 6.3.4. Aprendiendo de los Incidentes .............................................................................. 29 6.3.5. Procesos Disciplinarios ......................................................................................... 30 7. SEGURIDAD FÍSICA Y AMBIENTAL................................................... 31 7.1. Perímetro de Seguridad Física ................................................................................... 32 7.2. Controles de Acceso Físico ........................................................................................ 33 Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 5 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 7.3. Protección de Oficinas, Recintos e Instalaciones .................................................... 33 7.4. Desarrollo de Tareas en Áreas Protegidas................................................................ 34 7.5. Aislamiento de las Áreas de Recepción y Distribución ........................................... 35 7.6. Ubicación y Protección del Equipamiento y Copias de Seguridad ........................ 35 7.7. Suministros de Energía ............................................................................................... 36 7.8. Seguridad del Cableado .............................................................................................. 36 7.9. Mantenimiento de Equipos.......................................................................................... 37 7.10. Seguridad de los Equipos Fuera de las Instalaciones......................................... 37 7.11. Desafectación o Reutilización Segura de los Equipos. ....................................... 37 7.12. Políticas de Escritorios y Pantallas Limpias......................................................... 37 7.13. Retiro de los Bienes ................................................................................................ 38 8. GESTIÓN DE COMUNICACIONES Y OPERACIONES ....................... 40 8.1. Procedimientos y Responsabilidades Operativas.................................................... 41 8.1.1. Documentación de los Procedimientos Operativos............................................... 41 8.1.2. Control de Cambios en las Operaciones............................................................... 42 8.1.3. Procedimientos de Manejo de Incidentes ............................................................. 42 8.1.4. Separación de Funciones...................................................................................... 43 8.1.5. Separación entre Instalaciones de Desarrollo e Instalaciones Operativas ........... 44 8.1.6. Gestión de Instalaciones Externas ........................................................................ 44 8.2. Planificación y Aprobación de Sistemas................................................................... 45 8.2.1. Planificación de la Capacidad ............................................................................... 45 8.2.2. Aprobación del Sistema......................................................................................... 45 8.3. Protección Contra Software Malicioso ...................................................................... 45 8.3.1. Controles Contra Software Malicioso .................................................................... 45 8.4. Mantenimiento .............................................................................................................. 46 8.4.1. Resguardo de la Información ................................................................................ 46 8.4.2. Registro de Actividades delPersonal Operativo ................................................... 47 8.4.3. Registro de Fallas.................................................................................................. 47 8.5. Administración de la Red ............................................................................................ 47 8.5.1. Controles de Redes............................................................................................... 47 8.6. Administración y Seguridad de los Medios de Almacenamiento ........................... 48 8.6.1. Administración de Medios Informáticos Removibles............................................. 48 8.6.2. Eliminación de Medios de Información.................................................................. 48 8.6.3. Procedimientos de Manejo de la Información ....................................................... 49 8.6.4. Seguridad de la Documentación del Sistema ....................................................... 49 8.7. Intercambios de Información y Software................................................................... 49 8.7.1. Acuerdos de Intercambio de Información y Software............................................ 49 8.7.2. Seguridad de los Medios en Tránsito .................................................................... 50 8.7.3. Seguridad del Gobierno Electrónico...................................................................... 50 8.7.4. Seguridad del Correo Electrónico.......................................................................... 51 8.7.4.1. Riesgos de Seguridad....................................................................................... 51 8.7.4.2. Política de Correo Electrónico........................................................................... 51 8.7.5. Seguridad de los Sistemas Electrónicos de Oficina.............................................. 52 8.7.6. Sistemas de Acceso Público ................................................................................. 52 8.7.7. Otras Formas de Intercambio de Información....................................................... 53 9. CONTROL DE ACCESOS .................................................................... 54 9.1. Requerimientos para el Control de Acceso............................................................... 56 9.1.1. Política de Control de Accesos.............................................................................. 56 9.1.2. Reglas de Control de Acceso................................................................................ 56 9.2. Administración de Accesos de Usuarios .................................................................. 57 9.2.1. Registración de Usuarios ...................................................................................... 57 9.2.2. Administración de Privilegios................................................................................. 57 9.2.3. Administración de Contraseñas de Usuario .......................................................... 58 9.2.4. Administración de Contraseñas Críticas ............................................................... 58 9.2.5. Revisión de Derechos de Acceso de Usuarios ..................................................... 59 9.3. Responsabilidades del Usuario.................................................................................. 59 9.3.1. Uso de Contraseñas.............................................................................................. 59 9.3.2. Equipos Desatendidos en Áreas de Usuarios....................................................... 60 9.4. Control de Acceso a la Red......................................................................................... 60 9.4.1. Política de Utilización de los Servicios de Red ..................................................... 60 9.4.2. Camino Forzado .................................................................................................... 61 9.4.3. Autenticación de Usuarios para Conexiones Externas ......................................... 61 9.4.4. Autenticación de Nodos......................................................................................... 62 9.4.5. Protección de los Puertos (Ports) de Diagnóstico Remoto ................................... 62 Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 6 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 9.4.6. Subdivisión de Redes............................................................................................ 62 9.4.7. Acceso a Internet................................................................................................... 63 9.4.8. Control de Conexión a la Red ............................................................................... 63 9.4.9. Control de Ruteo de Red....................................................................................... 63 9.4.10. Seguridad de los Servicios de Red ....................................................................... 63 9.5. Control de Acceso al Sistema Operativo................................................................... 64 9.5.1. Identificación Automática de Terminales............................................................... 64 9.5.2. Procedimientos de Conexión de Terminales......................................................... 64 9.5.3. Identificación y Autenticación de los Usuarios ...................................................... 65 9.5.4. Sistema de Administración de Contraseñas ......................................................... 65 9.5.5. Uso de Utilitarios de Sistema ................................................................................ 66 9.5.6. Alarmas Silenciosas para la Protección de los Usuarios ...................................... 66 9.5.7. Desconexión de Terminales por Tiempo Muerto .................................................. 66 9.5.8. Limitación del Horario de Conexión....................................................................... 66 9.6. Control de Acceso a las Aplicaciones ....................................................................... 67 9.6.1. Restricción del Acceso a la Información................................................................ 67 9.6.2. Aislamiento de los Sistemas Sensibles ................................................................. 67 9.7. Monitoreo del Acceso y Uso de los Sistemas........................................................... 68 9.7.1. Registro de Eventos .............................................................................................. 68 9.7.2. Monitoreo del Uso de los Sistemas....................................................................... 68 9.7.2.1. Procedimientos y Áreas de Riesgo ................................................................... 68 9.7.2.2. Factores de Riesgo ........................................................................................... 69 9.7.2.3. Registro y Revisión de Eventos ........................................................................ 69 9.7.3. Sincronización de Relojes ..................................................................................... 70 9.8. Computación Móvil y Trabajo Remoto....................................................................... 70 9.8.1. Computación Móvil ................................................................................................ 70 9.8.2. Trabajo Remoto..................................................................................................... 71 10. DESARROLLO Y MANTENIMIENTO DE SISTEMAS.......................... 73 10.1. Requerimientos de Seguridad de los Sistemas.................................................... 74 10.1.1. Análisis y Especificaciones de los Requerimientos de Seguridad ........................ 74 10.2. Seguridad en los Sistemasde Aplicación............................................................. 74 10.2.1. Validación de Datos de Entrada ............................................................................ 75 10.2.2. Controles de Procesamiento Interno ..................................................................... 75 10.2.3. Autenticación de Mensajes.................................................................................... 76 10.2.4. Validación de Datos de Salidas............................................................................. 76 10.3. Controles Criptográficos......................................................................................... 76 10.3.1. Política de Utilización de Controles Criptográficos................................................ 76 10.3.2. Cifrado ................................................................................................................... 77 10.3.3. Firma Digital........................................................................................................... 77 10.3.4. Servicios de No Repudio ....................................................................................... 78 10.3.5. Administración de Claves ...................................................................................... 78 10.3.5.1. Protección de Claves Criptográficas ................................................................. 78 10.3.5.2. Normas, Procedimientos y Métodos ................................................................. 78 10.4. Seguridad de los Archivos del Sistema ................................................................ 79 10.4.1. Control del Software Operativo ............................................................................. 79 10.4.2. Protección de los Datos de Prueba del Sistema................................................... 80 10.4.3. Control de Cambios a Datos Operativos............................................................... 80 10.4.4. Control de Acceso a las Bibliotecas de Programas Fuentes ................................ 80 10.5. Seguridad de los Procesos de Desarrollo y Soporte........................................... 81 10.5.1. Procedimiento de Control de Cambios.................................................................. 81 10.5.2. Revisión Técnica de los Cambios en el Sistema Operativo.................................. 82 10.5.3. Restricción del Cambio de Paquetes de Software ................................................ 82 10.5.4. Canales Ocultos y Código Malicioso..................................................................... 82 10.5.5. Desarrollo Externo de Software............................................................................. 83 Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 7 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 A modo de ejemplo citamos algunas de las reglas o normas propuestas: “……Capitulo 10.3.1. menciona…… Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 8 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 “ Capitulo 9.7.1…. “Capítulo 8.3.1…. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 9 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 FRAUDE Y DELITO INFORMATICO El constante progreso tecnológico que experimenta la sociedad, supone una evolución en las formas de delinquir, dando lugar, tanto a la diversificación de los delitos tradicionales como a la aparición de nuevos actos ilícitos. Esta realidad ha originado un debate en torno a la necesidad de distinguir o no los delitos informáticos del resto. Diversos autores y organismos han propuesto definiciones de los delitos informáticos, aportando distintas perspectivas y matices al concepto. Algunos consideran que es innecesario diferenciar los delitos informáticos de los tradicionales, ya que, según éstos se trata de los mismos delitos, cometidos a través de otros medios. De hecho, el Código Penal español, no contempla los delitos informáticos como tal. Partiendo de esta compleja situación y tomando como referencia el “Convenio de Ciberdelincuencia del Consejo de Europa”, podemos definir los delitos informáticos como: “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. CARACTERÍSTICAS PRINCIPALES Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas. Son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un equipo informático y sin estar presente físicamente en el lugar de los hechos. Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más la identificación y persecución de los mismos. El primer caso conocido por su tramitación en la instancia federal de los EE.UU. ocurrió en 1962, cuando un programador modificó el sistema de cuantas corrientes de un banco, a efectos que no fueran denunciados los saldos acreedores de su propia cuenta. Tipificación del delito informático. En términos generales, se advierte la carencia de disposiciones explícitas en las legislaciones penales de los diversos países sobre el tema. Como consecuencia de ello, los jueces se han visto obligados a encasillar dentro de las figuras penales clásicas a los nuevos delitos producidos. Parker – pionero en el campo y especialista en delito informático – formula la siguiente pregunta: ¿qué papel ha desempeñado el computador en los casos conocidos? Se pueden identificar cuatro roles de los cuáles uno o dos, se dan en cada caso conocido. El computador como objeto de la agresión. Se trata típicamente de casos de agresión física hacia el hardware del área informática, con finalidades variadas, llevadas a cabo colectiva o individualmente. Se han presentado casos de robo de la totalidad o parte de los recursos fisicos, que conviene tener en cuenta, debido a la miniaturalización de los variados componentes del computador. El computador como generador de un entorno especial único. El segundo rol del computador en los delitos informáticos es la creación de un entorno especial único en el cuál resulten posibles acciones delictivas, o cuando el computador crea nuevas formas de activos sujetos a activos abusivos. El computador – tal vez – no esté directamente Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 10 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 involucrado en incidentes como robo, fraude, etc. Por cuanto la posición de los perpetradores, el entorno de sus actos, los métodos usados para su comisión, los resultados sobre terceros, son denominaciones nuevas.. Es el computador quién los ha permitido, y la repercusión sobre el organismo social de tales hechos puede revestir consecuencias diferentes de las de un delito común. Empleo del computador para intimidar, confundir o defraudar a las víctimas. FRAUDES COMETIDOS MEDIANTE MANIPULACIÓN DE COMPUTADORAS MANIPULACIÓN DE LOS DATOS DE ENTRADA Este tipo de fraude informático, conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tengaacceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. MANIPULACIÓN DE PROGRAMAS Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. MANIPULACIÓN DE LOS DATOS DE SALIDA Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían a base de tarjetas bancarias robadas; sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. MANIPULACIÓN INFORMÁTICA APROVECHANDO REPETICIONES AUTOMÁTICAS DE LOS PROCESOS DE CÓMPUTO Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. FALSIFICACIONES INFORMÁTICAS COMO OBJETO Cuando se alteran datos de los documentos almacenados en forma computarizada. COMO INSTRUMENTOS Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 11 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 DAÑOS O MODIFICACIONES DE PROGRAMAS O DATOS COMPUTARIZADOS SABOTAJE INFORMÁTICO Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos se clasifican bajo diversos términos (virus, gusanos, troyanos, etc etc) que englobaremos bajo el titulo de CODIGO MALISIOSO. ACCESO NO AUTORIZADO A SERVICIOS Y SISTEMAS INFORMÁTICOS REPRODUCCIÓN NO AUTORIZADA DE PROGRAMAS INFORMÁTICOS DE PROTECCIÓN LEGAL Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. La reproducción no autorizada de programas informáticos afecta un bien jurídico a tutelar, la propiedad intelectual. PIRATAS INFORMÁTICOS O HACKERS El término Hackers proviene de "hack", el sonido que hacían los técnicos de las empresas telefónicas al golpear los aparatos para que funcionen. El termino comenzó a usarse aplicándolo a un grupo de pioneros de la informática del MIT, a principios de la década de 1960. Desde entonces, y casi hasta finales de la década de 1970, un hacker era una persona obsesionada por conocer lo mas posible sobre los sistemas informáticos. Los diseñadores del ordenador Apple, Jobs y Wozniack, pueden considerarse hackers en este sentido de la palabra. Hoy es una palabra temida por empresarios, legisladores y autoridades que desean controlar a quienes se divierten descifrando claves para ingresar a lugares prohibidos y tener acceso a información indebida. Los medios de comunicación masivos prefieren tildarlos de delincuentes que interceptan códigos de tarjetas de crédito y los utilizan para beneficio propio. También están los que se entrometen en los sistemas de aeropuertos produciendo un caos en los vuelos y en los horarios de los aviones. Pero he aquí la gran diferencia en cuestión. Los crackers (crack=destruir) son aquellas personas que siempre buscan molestar a otros, piratear software protegido por leyes, destruir sistemas muy complejos mediante la transmisión de poderosos virus, etc. Esos son los crackers. Se diferencian con los Hackers porque no poseen ningún tipo de ideología cuando realizan sus "trabajos". En cambio, el principal objetivo de los Hackers no es convertirse en delincuentes sino "pelear contra un sistema injusto" utilizando como arma al propio sistema. Su guerra es silenciosa pero muy convincente. Los terminos, "hacker", "phreaker" y "pirata" se presentan y definen tal y como los entienden aquellos que se identifican con estos papeles. El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Hacking Ético de Seguridad y Redes El Hacking Ético es una disciplina que llama la atención a todos los expertos en seguridad informática. Mediante la aplicación de técnicas avanzadas, y el uso de aplicaciones especiales podemos proteger o vulnerar casi cualquier sistema, entonces Hacking ético es una forma de Cátedra: SEGURIDAD INFORMATICA – Ing Corbella Ricardo – Ing Zakhour Jose – Ing Arias Jorge 12 UNIVERSIDAD TECNOLOGICA NACIONAL- FACULTAD REGIONAL TUCUMAN INGENIERIA EN SISTEMAS DE INFORMACION -2014 referirse al acto por el que una persona usa sus conocimientos de informática y seguridad para realizar pruebas en redes y encontrar vulnerabilidades, para luego reportarlas y que se tomen medidas, sin hacer daño. La idea es tener el conocimiento de cuales elementos dentro de una red o sistema informático son vulnerables y corregirlos antes que ocurra una contingencia que afecte las propiedades de la información, hurto de información, por ejemplo. Estas pruebas se llaman "pen tests" o "penetration tests" en inglés. En español se conocen como "pruebas de penetración", en donde se intenta de múltiples formas burlar la seguridad de la red para robar información sensitiva de una organización, para luego reportarlo a dicha organización y así mejorar su seguridad.
Compartir