acceso no autorizado a servicios informaticos pdf

53
―Año de la Unión Nacional Frente a la Crisis Externa‖ UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERÍA Escuela académica Profesional de Ingeniería Informática y Sistemas Presentado por: ESTRELLA HUANCAYO, Abel LEON ESPINOZA, Hugo BASURTO RAFAEL, Sandra MUNGUIA CAMASCA, Marcos NUÑEZ BARZOLA, Jesús Docente: Ing. RICSE CABALLERO, Fredy Joel Asignatura: DERECHO INFORMATICO HUANCAYO PERÚ 2009 ACCESO NO AUTORIZADO A SERVICIOS INFORMÁTICOS

Upload: abel

Post on 12-Jun-2015

14.293 views

Category:

Technology


2 download

DESCRIPTION

Trabajo realizado sobre Acceso no Autorizado a Servicios Informáticos

TRANSCRIPT

Page 1: Acceso No Autorizado a Servicios Informaticos PDF

―Año de la Unión Nacional Frente a la Crisis Externa‖

UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERÍA

Escuela académica Profesional de Ingeniería Informática y

Sistemas

Presentado por:

ESTRELLA HUANCAYO, Abel

LEON ESPINOZA, Hugo

BASURTO RAFAEL, Sandra

MUNGUIA CAMASCA, Marcos

NUÑEZ BARZOLA, Jesús

Docente:

Ing. RICSE CABALLERO, Fredy Joel

Asignatura:

DERECHO INFORMATICO

HUANCAYO – PERÚ

2009

ACCESO NO AUTORIZADO A

SERVICIOS INFORMÁTICOS

Page 2: Acceso No Autorizado a Servicios Informaticos PDF

1. INTRODUCCIÓN

El fenómeno informático es una realidad incuestionable e irreversible; definitivamente, la

informática se ha instalado entre nosotros para no marcharse jamás. Ello es consecuencia del

continuo y progresivo desarrollo del campo de la informática aplicada en la actualidad a

todos los aspectos de la vida cotidiana; así, por ejemplo, la utilización de computadoras en la

industria, el comercio, la administración pública, en instituciones bancarias y financieras.

Esta verdadera invasión de la computadora en todos los ámbitos de las relaciones

socioeconómicas ha motivado que muchos hablen ya de una auténtica ―era informática‖. En

efecto, pocas dimensiones de nuestra vida no se ven afectadas, dirigidas o controladas por la

computadora, ya sea de manera directa o indirecta; incluso, en determinados casos, las

computadoras no sólo son utilizadas como medios de archivo y procesamiento de

información, sino que, además, se les concede la capacidad de adoptar automáticamente

decisiones.

Page 3: Acceso No Autorizado a Servicios Informaticos PDF

2. DEFINICION

El sector de Software y Servicios Informáticos (SSI) se engloba dentro de lo que se conoce

como industrias de las ―Tecnologías de la Información‖ (TI), que, de acuerdo con la OECD

(1997) abarcan:

Hardware

Software

Servicios Informáticos (incluyen tanto los servicios profesionales vinculados a la

instalación, mantenimiento, desarrollo, integración, etc. de software, como los de

soporte técnico de hardware).

Si bien no es sencillo definir a software, la definición propuesta por la OECD, que indica que

por software se entiende la ―producción de un conjunto estructurado de instrucciones,

procedimientos, programas, reglas y documentación contenida en distintos tipos de soporte

físico con el objetivo de hacer posible el uso de equipos de procesamiento electrónico de

datos‖, nos da una idea de que sus inputs y outputs son virtualmente inmateriales y con casi

nulos costos de transporte a elevada velocidad.

El desarrollo de software y servicios relacionados son intensivos en trabajo calificado y con

requerimientos generalmente bajos en términos de capital físico.

En la industria todavía siguen subsistiendo problemas de calidad, confiabilidad,

cumplimiento de tiempos, etc. características de actividades ―artesanales‖, lo que ha llevado a

(entre otros cambios en la producción) a introducir estándares de calidad y gestión, ya sean

utilizados a nivel interindustrial (normas ISO) como también propios de esta industria

(modelo CMM y Spice). Más adelante se volverá sobre estos modelos de certificación de

calidad para el caso del cluster cordobés.

A pesar de que la tercerización es limitadas entre empresas de una misma región, debido a la

posibilidad de transferencia de conocimientos clave, es habitual que se tercericen ciertas

partes del proceso a nivel internacional, partes que son de carácter rutinario (diseño de bajo

nivel, codificación, testeo, soporte técnico), debido a los nulos costos de transporte y a las

Page 4: Acceso No Autorizado a Servicios Informaticos PDF

posibilidades de reducción de costos cuando se trata de una subcontratación off-shore, con

países como la India.

El output de la industria de software puede ser clasificado como producto o como servicio.

Mientras los ingresos derivados del desarrollo de productos provienen principalmente de la

venta de licencias para su uso, los ingresos generados por los servicios provienen de

actividades diversas como el diseño y desarrollo de soluciones a medida, la implementación y

adaptación de productos de terceros, servicios de consultoría, capacitación, instalación y

mantenimiento de software, etc.

La elaboración de productos se caracteriza por bajos o nulos costos marginales de producción

(el costo de replicación es mínimo y tiende a reducirse a medida que los medios tradicionales

de distribución son reemplazados por Internet). El grueso de los costos son fijos y hundidos.

Los gastos de comercialización suelen representar una proporción considerable de las grandes

compañías.

Esta estructura de costos sugiere la presencia de rendimientos crecientes a escala en el sector

de productos de software, lo cual da lugar a una estructura de mercado concentrada. Esto se

ve acentuado por la presencia de externalidades en red.

En el sector servicios, los costos marginales son elevados. Por otra parte, la experiencia y el

conocimiento acumulados a raíz de la continua interacción con el usuario final tienen un

carácter específico y difícilmente pueden transferirse a otro cliente.

Dada esta estructura industrial, en la mayoría de los países, incluida Argentina, se observan

dos polos de empresas. Uno conformado por grandes empresas multinacionales que producen

mayoritariamente productos y exportan la producción, y otro constituido por una gran

cantidad de pequeñas firmas que producen para el mercado local, mayoritariamente servicios.

1. Situación del sector a nivel internacional

Si bien el grueso de la producción de software se concentra en los Estados Unidos, Japón y

en los países más avanzados del continente europeo, algunas naciones en desarrollo de Asia y

América Latina, así como otras de la periferia europea, han hecho significativos avances

dentro del sector. El siguiente cuadro muestra la producción de los países de entrada tardía

para el año 2001.

Page 5: Acceso No Autorizado a Servicios Informaticos PDF

Fuente: Chudnovsky, et. al. (2001)

La industria de software en los países en desarrollo se caracteriza por un mayor peso del

sector servicios en relación al de productos. Entre los componentes clave para una estrategia

exitosa de avance del sector, se menciona a la capacidad de competir vía costos, buen

marketing, y mecanismos de networking con otras firmas de software y con clientes,

inversores, etc. tanto del país como del exterior.

Page 6: Acceso No Autorizado a Servicios Informaticos PDF

3. TIPOS

Existen diferentes términos para definir este tipo de delitos entre los que podemos destacar:

a) Delincuencia informática

Se define como conjunto de comportamientos dignos de reproche penal que tienen por

instrumento o por objeto a los sistemas o elementos de técnica informática, o que están

en relación significativa con ésta, pudiendo presentar múltiples formas de lesión de

variados bienes jurídicos.

b) Criminalidad informática

La criminalidad informática como la realización de un tipo de actividades que,

reuniendo los requisitos que delimitan el concepto de delito, sean llevados a cabo

utilizando un elemento informático (mero instrumento del crimen) o vulnerando los

derechos del titular de un elemento informático, ya sea hardware o software (en éste

caso lo informático es finalidad).

Considera que con la expresión ―criminalidad mediante computadoras‖, se alude a

todos los actos, antijurídicos según la ley penal vigente realizados con el empleo de un

equipo automático de procesamiento de datos.

c) Delitos informáticos

Se refiere a la definición propuesta por el Departamento de Justicia Norteamericana,

según la cual Delito Informático es cualquier acto ilegal en relación con el cual el

conocimiento de la tecnología informática es esencial para su comisión, investigación

y persecución.

No parece adecuado hablar de delito informático ya que, como tal, no existe, si

atendemos a la necesidad de una tipificación en la legislación penal para que pueda

existir un delito. Ni el Código Penal de 1995 introduce el delito informático, ni admite

que exista como tal un delito informático, si bien admite la expresión por conveniencia,

para referirse a determinadas acciones y omisiones dolosas o imprudentes, penadas por

la Ley, en las que ha tenido algún tipo de relación en su comisión, directa o indirecta,

un bien o servicio informático. Define el Delito informático como, la realización de

Page 7: Acceso No Autorizado a Servicios Informaticos PDF

una acción que, reuniendo las características que delimitan el concepto de delito, sea

llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los

derechos del titular de un elemento informático, ya sea hardware o software.

Determinados enfoques doctrinales subrayarán que el delito informático, más que una

forma específica de delito, supone una pluralidad de modalidades delictivas

vinculadas, de algún modo con los ordenadores.

Los delitos informáticos como todo acto intencional asociado de una manera u otra a

los ordenadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo

autor ha o habría podido obtener un beneficio.

d) Computer crimen

En el ámbito anglosajón se ha popularizado la denominación de ―Computer Crime‖ y

en el germano la expresión ―Computerkriminalität‖

e) Delincuencia de cuello blanco

La doctrina, casi unánimemente, la considera inscribible en la criminalidad ―de cuello

blanco‖

La delincuencia de cuello blanco es la violación de la ley penal por una persona de alto

nivel socio-económico en el desarrollo de su actividad profesional.

f) Abuso informático

Según la definición que adopta el mercado de la OCDE en la Recomendación número

R(81) 12 del Consejo de Europa indicando que abuso informático es todo

comportamiento ilegal o contrario a la ética o no autorizado que concierne a un

tratamiento automático de datos y/o transmisión de datos.

La misma definición aporta CORREA incidiendo en la Recomendación (89) 9,. del

Comité de Ministros del Consejo de Europa considerando que la delincuencia

informática suele tener carácter transfronterizo que exige una respuesta adecuada y

rápida y, por tanto, es necesario llevar a cabo una armonización más intensa de la

legislación y de la práctica entre todos los países respecto a la delincuencia relacionada

con el ordenador.

Page 8: Acceso No Autorizado a Servicios Informaticos PDF

4. NORMATIVIDAD

4.1. EL DELITO INFORMÁTICO COMO RETO A UNA CONCEPCIÓN CLÁSICA

DEL DERECHO PENAL

La importancia del fenómeno informático es algo aceptado. El problema en cuanto a

este fenómeno se traduce en buscar fórmulas efectivas de control, respecto a las cuales

el Derecho ha de tener un marcado protagonismo, en su papel de regulador de las

relaciones y mecanismos sociales para el mantenimiento de un orden social.

Nadie duda que el fenómeno informático produce en distintas ramas del Ordenamiento

jurídico, -civil, procesal civil, mercantil, etc...-, un cierto trastorno a la hora de enfrentar

tales hechos.

Tal es la problemática generada por este fenómeno que ha motivado en la actualidad la

necesidad de recurrir al Derecho Penal a fin de disuadir del uso abusivo al que lleva el

empleo de computadoras, lo cual se ha plasmado ya en varias legislaciones extranjeras.

No obstante, ante estas situaciones no puede olvidarse el principio del Derecho Penal

como ultima ratio, según el cual la intervención penal sólo está justificada cuando otras

ramas del Ordenamiento jurídico ya no pueden resolver los problemas que genera el

fenómeno informático en la sociedad, de ahí que el Derecho Penal actúe como última

instancia de control social.

En un primer momento, las figuras delictivas tradicionales, en particular, los delitos

patrimoniales, han tenido que hacer frente a esta nueva forma de criminalidad, pero,

como veremos más adelante, éstas no ofrecen una delimitación típica completa frente a

las nuevas conductas delictivas, razón por la cual en muchas legislaciones se tiende a

crear tipos penales especiales referidos al delito informático; siguiendo esta misma

línea se encuentra nuestro Código Penal de 1991, donde, no obstante, aún resulta difícil

precisar jurídicamente tales conductas.

4.2. EL CONCEPTO DE DELITO INFORMÁTICO Y RELACIÓN CON OTRAS

FIGURAS DELICTIVAS

Page 9: Acceso No Autorizado a Servicios Informaticos PDF

No existe un concepto unánimemente aceptado de lo que sea el delito informático

debido a que la delincuencia informática comprende una serie de comportamientos

difícilmente reducibles o agrupables en una sola definición.

De manera general, se puede definir el delito informático como aquél en el que, para su

comisión, se emplea un sistema automático de procesamiento de datos o de transmisión

de datos.

En nuestra legislación esta figura se encuentra descrita en el artículo 186°, inciso 3,

segundo párrafo, del Código Penal. Este hecho merece ser resaltado puesto que en otros

países se habla de delito informático en sentido de lege ferenda ya que carecen de una

tipificación expresa de estos comportamientos.

La aparición de estas nuevas conductas merece, no obstante, determinar si las figuras

delictivas tradicionales contenidas en el Código Penal son suficientes para dar acogida

al delito informático.

4.2.1. Delito de Estafa

Entre las conductas defraudatorias cometidas mediante computadora y las

defraudaciones en general, dentro de las cuales se encuentra la estafa existe una

afinidad o proximidad en los conceptos. Pero al examinar más exhaustivamente los

elementos típicos de la estafa, se acaba concluyendo que el fraude informático y el

delito de estafa prácticamente sólo tienen en común el perjuicio patrimonial que

provocan.

Dentro de las manipulaciones informáticas se distingue:

a) La fase input o entrada de datos en la cual se introducen datos falsos o se

modifican los reales añadiendo otros, o bien se omiten o suprimen datos.

b) Las manipulaciones en el programa que contiene las órdenes precisas para

el tratamiento informático.

c) La fase output o salida de datos, donde no se afecta el tratamiento

informático, sino la salida de los datos procesados al exterior, cuando van a

ser visualizados en la pantalla, se van a imprimir o registrar.

d) Las manipulaciones a distancia, en las cuales se opera desde una

computadora fuera de las instalaciones informáticas afectadas, a las que se

Page 10: Acceso No Autorizado a Servicios Informaticos PDF

accede tecleando el código secreto de acceso, con la ayuda de un modem y

de las líneas telefónicas.

El punto medular de la delincuencia informática es la manipulación de la

computadora. La conducta consiste en modificaciones de datos, practicados

especialmente por empleados de las empresas perjudicadas, con el fin de obtener un

enriquecimiento personal, por ejemplo, el pago de sueldos, pagos injustificados de

subsidios, manipulaciones en el balance, etc.

El delito de estafa, previsto en el art. 196° CP, se define como el perjuicio

patrimonial ajeno, causado mediante engaño, astucia, ardid u otra forma

fraudulenta, induciendo o manteniendo prendida por el delito de estafa.

En primer lugar, y en cuanto al engaño que se requiere en la estafa, éste se refiere

de manera directa a una persona física, aunque últimamente algunos autores indican

que puede estar dirigido a una persona jurídica. Sin embargo, el problema principal

estriba en si la introducción de datos falsos en una máquina equivale al engaño

sobre una persona. La opinión unánime de la doctrina, -y a la que nos adherimos-,

rechaza tal identificación, puesto que, mientras en un extremo se encuentra el

delincuente informático, en el otro existe una computadora. En realidad, para que

exista engaño, es requisito la participación de dos personas.

Es indudable que en algunas conductas de manipulación fraudulenta sí se podrá

configurar el delito de estafa, por ejemplo, cuando el delincuente informático

engaña mediante una computadora a otra persona que se encuentra en el otro

terminal; en este caso, al haber dos personas, podrá sustentarse el engaño, en donde

el medio empleado para conseguirlo es una computadora.

También en la actualidad se puede plantear el engaño a una persona jurídica, como

en el caso en que se solicita un préstamo al banco, falseando la situación económica

real, o en el que ante una compañía de seguros se miente sobre el verdadero estado

de salud de la persona.

Desde el punto de vista del Derecho Penal, se niega la posibilidad de engañar a una

máquina. En este sentido, la computadora es sólo una máquina, un instrumento

creado por el hombre.

Page 11: Acceso No Autorizado a Servicios Informaticos PDF

En cuanto al error, como elemento de la estafa, se requiere la concurrencia de dos

personas, lo cual se deduce de la descripción del tipo en el art. 196° CP, donde se

indica ―induciendo o manteniendo en error al agraviado mediante engaño‖.

Además, el error es entendido como el estado psíquico que padece el agraviado

como consecuencia del engaño. Por estas razones es que en la manipulación de

computadoras, tal y como está concebida y establecida en el Código Penal, no es

posible sustentar que existe un engaño. De otro lado, no puede sostenerse que la

computadora incurre en un error, dado que actúa conforme a los madatos o datos de

las instrucciones manipuladas.

Por tanto, no hay estafa en los casos de manipulación de máquinas automáticas,

pues no se puede hablar ni de error ni de engaño; sólo podrá plantearse hurto en el

caso que se obtenga un bien mueble, pero será un hecho impune cuando se trata de

prestación de servicios. Un problema semejante tiene lugar con la manipulación de

computadoras a través de la introducción y alteración de programas.

En referencia al acto de disposición patrimonial en el delito de estafa, éste ha de

realizarlo la persona engañada, quien se encuentra en una situación de error, de ahí

que siempre se entienda en la estafa que el acto de disposición es un acto humano,

es decir, realizado por una persona. En el caso de las manipulaciones informáticas

fraudulentas el acto de disposición lo realiza la computadora, con lo cual se rompe

el esquema planteado en el delito de estafa.

Finalmente, en cuanto al perjuicio en el delito de estafa, éste no ofrece mayor

problema para comprenderlo dentro de la manipulación de una computadora, puesto

que en ambos casos normalmente se causa un perjuicio a la persona.

En conclusión, en la legislación peruana, la casi totalidad de supuestos de

manipulación de computadoras no puede acogerse dentro del delito de estafa. La

única manera sería creando un tipo especial defraudatorio donde se prescinda de los

elementos básicos de la estafa, -el engaño a una persona y la subsiguiente

provocación del error-, tal como sucedió en Alemania con la creación del parágrafo

263 a) del Código Penal alemán.

Page 12: Acceso No Autorizado a Servicios Informaticos PDF

4.2.2. El delito de Daños

El delito de daños se encuentra tipificado en el art. 205° CP. El comportamiento

consiste en dañar, destruir o inutilizar un bien.

En el sistema informático, el delito de daños existirá si usuarios, carentes de

autorización, alteran o destruyen archivos o bancos de datos a propósito.

Es importante precisar que, si los daños se producen de manera negligente,

quedarán impunes dado que el delito de daños sólo puede cometerse de manera

dolosa.

Estos hechos se conocen como ―sabotaje‖, hechos que resultan ser favorecidos

gracias a la concentración de información en un mínimo espacio. La destrucción

total de programas y datos puede poner en peligro la estabilidad de una empresa e

incluso de la economía nacional.

El modus operandi de estos actos se viene perfeccionando con el tiempovii; en

primer lugar, se realizaban con la causación de incendios, posteriormente, con la

introducción de los denominados ―programas crasch‖, virus, time bombs (la

actividad destructiva comienza luego de un plazo), cancer roudtine (los programas

destructivos tienen la particularidad de que se reproducen por sí mismos), que

borran grandes cantidades de datos en un cortísimo espacio de tiempo.

Es indudable que estos comportamientos producen un daño en el patrimonio de las

personas, por lo que no hay inconveniente en sancionar penalmente dichas

conductas.

Pero es necesario indicar que con el delito de daños sólo se protege un determinado

grupo de conductas que están comprendidas en el delito informático, quedando

fuera otras, como por ejemplo, el acceso a una información reservada sin dañar la

base de datos. De ahí que el delito de daños será de aplicación siempre que la

conducta del autor del hecho limite la capacidad de funcionamiento de la base de

datos.

4.2.3. El delito de falsedad documental

Page 13: Acceso No Autorizado a Servicios Informaticos PDF

El delito de falsedad documental se encuentra tipificado en el art. 427° CP. La

conducta consiste en hacer, en todo o en parte, un documento falso o adulterar uno

verdadero que pueda dar origen a derecho u obligación o servir para probar un

hecho.

El objeto material del delito es el documento. Se entiende por documento toda

declaración materializada procedente de una persona que figura como su autor,

cuyo contenido tiene eficacia probatoria en el ámbito del tráfico jurídico.

Para que exista documento, por tanto, es preciso la materialización de un

pensamiento humano, entendida como la existencia de un soporte corporal estable,

reconocible visualmente, atribuible a una persona e individualizable en cuanto su

autor. Esto sí se puede predicar de los datos y programas de las computadoras, en

tanto la información se encuentre contenida en discos, siempre y cuando sea posible

tener acceso a ésta. De ahí que el documento informático goce, al igual que el

documento tradicional, de suficiente capacidad como medio probatorio,

característica principal en función de la cual se justifica la tipificación de conductas

tales como la falsedad documentalix. Al respecto, es necesario indicar que el art.

234° del Código Procesal Civil expresamente reconoce como documento las

microformas tanto en la modalidad de microfilm como en la modalidad de soportes

informáticos, haciendo referencia a la telemática en general, siempre y cuando

recojan, contengan o representen algún hecho, o una actividad humana o su

resultado.

Sin embargo, desde el punto de vista práctico, plantea problemas la posibilidad de

determinar al autor del documento informático, dado que se exige normalmente que

el documento sea la expresión de un pensamiento humano, situación que a veces es

difícil reconocer por cuanto incluso existen computadoras capaces de crear nuevos

mensajes a partir de los datos introducidos por el sujeto. En estos casos, la cuestión

sería determinar hasta dónde llega la autonomía de la máquina para crear su propia

fuente de información.

Por tanto, esta modalidad delictiva puede aplicarse al delincuente informático

siempre y cuando se supere la concepción tradicional de documento que mantiene

la legislación penal peruana, anclada básicamente en un papel escrito, y que se

Page 14: Acceso No Autorizado a Servicios Informaticos PDF

acepten nuevas formas de expresión documental, sobre la base de disquetes, CD,

discos duros, en cuanto sistemas actuales de expresión de información.

4.2.4. Los delitos contra la propiedad intelectual

Los delitos contra la propiedad intelectual están tipificados en el art. 216° CP. El

comportamiento consiste en copiar, reproducir, exhibir o difundir al público, en

todo o en parte, por impresión, grabación, fonograma, videograma, fijación u otro

medio, una obra o producción literaria, artística, científica o técnica, sin la

autorización escrita del autor o productor o titular de los derechos.

Según esto, el sujeto se aprovecha de la creación intelectual de una persona,

reproduciéndola, por lo que se afecta tanto al derecho del autor sobre su obra, como

a los posibles titulares de este derecho, si es que ha sido cedido a otra persona.

A esta conducta los autores asimilan lo que se conoce como ―piratería de software‖

frente a la copia lícita. Estos hechos han alcanzado en la realidad una especial

gravedad dada la frecuencia con la que abundan copias piratas de todo tipo de

programas de computadoras. Inclusive, en nuestro país ello ha obligado a la

creación de una fiscalía especializada en la persecución de todas las conductas

relativas a la defraudación del derecho de autor. Estas conductas representan un

considerable perjuicio económico al autor, quien deja de percibir sus

correspondientes derechos por la información y venta del software, que es

elaborado con un considerable esfuerzo, en el cual, a menudo, se encierra un

valioso know how comercialx.

Por tanto, el delito contra la propiedad intelectual sólo comprenderá un grupo de

comportamientos incluidos en el delito informático, básicamente, los referidos a la

defraudación del derecho de autor por su creación científica en el campo del

software.

4.3. EL DELITO INFORMÁTICO EN EL CÓDIGO PENAL PERUANO: ART. 186°,

INCISO 3, 2 PÁRRAFO

La criminalidad informática en el Código Penal peruano se encuentra recogida de

manera expresa como una agravante del delito de hurto en el art. 186°, inciso 3,

segundo párrafo. De esta manera, el legislador penal opta por tipificar esta modalidad

delictiva como una forma de ataque contra el patrimonio, por cuanto éste se configura

Page 15: Acceso No Autorizado a Servicios Informaticos PDF

en el bien jurídico protegido en el delito de hurto, entendiéndose el patrimonio en un

sentido jurídico-económico. Por tanto, cabe concluir que se protege un bien jurídico

individual.

Si bien, es posible que en algunos casos las referidas conductas afecten, además del

patrimonio, a la intimidad de las personas, al orden económico, etc.

4.3.1. Análisis de la conducta típica en el delito de Hurto

El comportamiento típico del delito de hurto se encuentra tipificado en el art. 185°

CP. La conducta consiste en apoderarse ilegítimamente de un bien mueble, total o

parcialmente ajeno, sustrayéndolo del lugar donde se encuentra.

En esta conducta estaremos ante un delito informático si el sujeto activo, para

apoderarse del bien mueble, emplea la utilización de sistemas de transferencia

electrónica de fondos, de la telemática en general, o la violación del empleo de claves

secretas.

4.3.2. Características particulares del delito de hurto desde el punto de vista de

la criminalidad informática

4.3.2.1. El objeto material del delito

El objeto material del delito de hurto ha de ser un bien mueble, y por tal

interpreta la doctrina un bien corporal o material, aprehensible, tangible,

entre otras cosas, porque sólo así es posible la sustracción.

Si se parte de la base de que en el uso de computadoras en realidad se

trabaja con datos archivados y se maneja únicamente información, se

suscita un grave problema a la hora de poder definir dicha información con

las mismas características que tradicionalmente se exigen en el bien mueble

a los efectos del delito de hurto.

Es evidente que la información en sí misma no es algo tangible; esto no

impide que pueda llegar a adquirir corporeidad en aquellos casos en los que

se archiva o grava en medios tangibles como puede ser una cinta, un disco,

disquete, etc., en cuyo caso no se platearía problema alguno puesto que ya

habría un concreto bien mueble corpóreo susceptible de ser aprehendido.

Page 16: Acceso No Autorizado a Servicios Informaticos PDF

Por tanto, en cuanto al concepto de bien mueble, se requiere una ampliación

de los estrictos límites marcados por un concepto materialista de bien

mueble. En base a esto, no habría inconveniente en admitir a la información

computarizada como bien mueble y, por lo tanto, objeto material del delito

de hurto, en cuanto sea susceptible de gozar de un determinado valor

económico en el mercado.

4.3.2.2. La Conducta Típica

En el delito de hurto, el comportamiento típico consiste en apoderarse de un

bien mueble mediante sustracción del lugar en el que se encuentra. Por lo

tanto, y según esta descripción, sería preciso la concurrencia de un

desplazamiento físico del bien mueble.

En el ámbito de la criminalidad informática es posible, sin embargo,

sustraer información sin necesidad de proceder a un desplazamiento físico o

material. Es por ello que la noción de desplazamiento físico se ha

espiritualizado, bastando con que el bien quede de alguna forma bajo el

control del sujeto activo.

Sin embargo, en la sustracción de información, el apoderamiento puede

realizarse con una simple lectura o memorización de datos, de cuya

utilización, por lo demás, no queda excluido el titular; de ahí que muchos

autores consideren que en este delito, lo que se lesiona es el derecho al

secreto de los datos almacenados, el derecho exclusivo al control, o un

hipotético derecho a negar el acceso a terceros fuera de los que él decidaxi.

4.3.2.3. Formas de Ejecución de la Conducta Típica

Como hemos indicado anteriormente, el delito informático en el Código

Penal es un delito de hurto agravado, y se configura como tal en base a los

medios que emplea el sujeto activo. Tales son:

a) Utilización de sistemas de transferencia electrónica de fondos: La

transferencia electrónica de fondos queda definida como aquélla que es

iniciada a través de un terminal electrónico, instrumento telefónico o

computadora, para autorizar un crédito, -o un débito-, contra una cuenta

Page 17: Acceso No Autorizado a Servicios Informaticos PDF

o institución financiera. Según esta definición, este sistema está referido

a la colocación de sumas de dinero de una cuenta en otra, ya sea dentro

de la misma entidad bancaria, ya a una cuenta de otra entidad, o entidad

de otro tipo, sea pública o privada.

b) Utilización de sistemas telemáticos: La telemática es definida como la

información a distancia, entendiendo por informática el tratamiento de

información. A este tipo de conductas se les denomina ―hurto de

información‖, que se produciría mediante la sustracción de información

de una empresa con la finalidad de obtener un beneficio económico.

c) Si en estos casos, la sustracción se produce con la intención de

demostrar una simple habilidad, podría constituirse un delito de hurto

de uso (art. 187° CP). Si se destruyen los datos contenidos en el

sistema, habría un delito de daños (art. 205° CP).

d) Violación de claves secretas: En la violación de claves secretas se

protege la obtención de claves por medios informáticos, para su

posterior empleo accediendo a estos sistemas.

Este es un medio que normalmente concurrirá cuando una persona tiene

acceso al password de otro, con lo cual logra ingresar a la base de datos

correspondiente y realizar transferencia de dinero o sustraer información.

Por tanto, es un medio que mayormente se empleará para configurar las

conductas anteriores, sea de transferencia electrónica de fondos o la

utilización de la telemática. Si bien, habrá conductas que no emplearán la

violación de claves secretas, como los casos del empleado de la empresa

que valiéndose de su password accede al sistema realizando las conductas

anteriormente señaladas.

Page 18: Acceso No Autorizado a Servicios Informaticos PDF

5. CLASIFICACION

En todo delito de los llamados informáticos, hay que distinguir el medio y el fin. Para poder

encuadrar una acción dolosa o imprudente dentro de este tipo de delitos, el medio por el que

se cometan debe ser un elemento, bien o servicio, patrimonial del ámbito de responsabilidad

de la informática y la telemática, y el fin que se persiga debe ser la producción de un

beneficio al sujeto o autor del ilícito; una finalidad deseada que causa un perjuicio a otro, o a

un tercero.

Según diferentes fuentes se consideran de la siguiente manera:

a) BARRIUSO RUIZ

Delitos contra la intimidad

De los robos

De las estafas

De las defraudaciones

De los daños

Relativo a la protección de la propiedad industrial

Relativos al mercado y a los consumidores

b) PÉREZ LUÑO

Desde el punto de vista subjetivo

Ponen el énfasis en la pretendida peculiaridad de los delincuentes que realizan

estos supuestos de criminalidad

Desde el punto de vista objetivo

Considerando los daños económicos perpetrados por las conductas criminalistas

sobre los bienes informáticos:

Page 19: Acceso No Autorizado a Servicios Informaticos PDF

Los fraudes

Manipulaciones contra los sistemas de procesamiento de datos. Podemos

citar:

los daños engañosos ( Data diddling)

los ―Caballos de Troya‖ (Troya Horses)

la técnica del salami (Salami Technique/Rounching Down)

El sabotaje informático:

Bombas lógicas (Logic Bombs)

Virus informáticos

El espionaje informático y el robo o hurto de software:

Fuga de datos (Data Leakage)

El robo de servicios:

Hurto del tiempo del ordenador.

Apropiación de informaciones residuales (Scavenging)

Parasitismo informático (Piggybacking)

Suplantación de personalidad (impersonation)

El acceso no autorizado a servicios informáticos:

Las puertas falsas (Trap Doors)

La llave maestra (Superzapping)

Pinchado de líneas (Wiretapping)

Funcionales

Page 20: Acceso No Autorizado a Servicios Informaticos PDF

La insuficiencia de los planteamientos subjetivos y objetivos han aconsejado

primar otros aspectos que puedan resultar más decisivos para delimitar la

criminalidad informática.

Atentados contra la fase de entrada (input) o de salida (output) del sistema, a su

programación, elaboración, procesamiento de datos y comunicación telemática.

c) JOVER PADRÓ

El fraude informático, ilícitos patrimoniales que Jurisprudencia y Doctrina han

calificado como hurto, apropiación indebida o estafa.

La estafa se encuentra en la Sección 1ª del Capítulo VI (de las

defraudaciones) del Título XIII, del Libro II.

El hurto se encuentra en el Capítulo Y del Titulo XII, del Libro II

Los documentos informáticos y sus falsedades.

Se encuentran regulados en el Capitulo II del Título XVIII (Delas

falsedades).

Del sabotaje informático, tipificado como delito de daños y estragos.

El sabotaje informático se tipifica a través de los delitos de daños y otros

estragos.

Los delitos de daños están regulados en el Capítulo IX del Título XIII.

Los delitos de otros estragos están regulados en la Sección 2ª del Capitulo I,

del Título XVII , del Libro II.

Los ataques contra la intimidad de las personas.

Encuentran su cauce penal en relación a la informática en el descubrimiento

y revelación de secretos del Capítulo Y del Titulo X (delitos contra la

Page 21: Acceso No Autorizado a Servicios Informaticos PDF

intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio).

Este apartado será el objeto del presente trabajo.

Las defraudaciones a la propiedad intelectual.

Tienen su vía penal en la Sección 1ª del Capítulo XI del Título XIII (delitos

contra el patrimonio y el orden socioeconómico).

Las faltas informáticas.

En el título III (faltas contra el patrimonio) del Libro III en relación a la

falta informática.

d) SIEBER

Hace una clasificación que responde no sólo a un criterio sistematizado vinculado al

carácter automático de datos, sino al mismo tiempo a una separación de diversos tipos

criminológicos de conducta. Las conductas más significativas desde esta perspectiva

podrían agruparse en estas cinco modalidades principales:

manipulaciones de datos y/o programas, o ―fraude informático‖,

copia ilegal de programas,

obtención y utilización ilícita de datos, o ―espionaje informático‖,

destrucción o inutilización de datos y/o programas, o ―daños o sabotaje

informático‖ y

agresiones en el hardware o soporte material informático, principalmente ―hurto

de tiempo del ordenador‖.

e) Por último, siguiendo DAVARA RODRÍGUEZ

Dentro de un apartado en el que incluye ―La informática como instrumento en la

comisión de un delito‖, distingue dentro de la manipulación mediante la informática

dos vertientes diferentes:

Acceso y manipulación de datos y

Page 22: Acceso No Autorizado a Servicios Informaticos PDF

Manipulación de los programas.

Atendiendo a ello, considera que determinadas acciones que se podrían encuadrar

dentro de lo que hemos llamado el delito informático, y que para su estudio, las

clasifica, de acuerdo con el fin que persiguen, en seis apartados:

Manipulación en los datos e informaciones contenidas en los archivos o soportes

físicos informáticos ajenos,

Acceso a los datos y/o utilización de los mismos por quien no está autorizado para

ello,

Introducción de programas o rutinas en otros ordenadores para destruir

información, datos o programas,

Utilización del ordenador y/o los programas de otras persona, sin autorización,

con el fin de obtener beneficios propios y en perjuicio de otro,

Utilización del ordenador con fines fraudulentos y

Agresión a la ―privacidad‖ mediante la utilización y procesamiento de datos

personales con fin distinto al autorizado, que será objeto de éste trabajo.

Page 23: Acceso No Autorizado a Servicios Informaticos PDF

6. MEDIOS DE ATAQUE

6.1. ANATOMIA DE UN ATAQUE INFORMÁTICO

Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de

información (Information Gathering) con respecto a una potencial víctima que puede ser

una persona u organización. Por lo general, durante esta fase se recurre a diferentes recursos

de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de

las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el

sniffing.

Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida

en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima

como direcciones IP, nombres de host, datos de autenticación, entre otros. Entre las

herramientas que un atacante puede emplear durante la exploración se encuentra el network

mappers, port mappers, network scanners, port scanners, y vulnerability scanners.

Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el

ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw

Page 24: Acceso No Autorizado a Servicios Informaticos PDF

exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de

las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of

Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session

hijacking.

Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido

acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el

futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a

utilidades backdoors, rootkits y troyanos.

Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y

mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la

intrusión para evitar ser detectado por el profesional de seguridad o los administradores de

la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del

Sistema de Detección de Intrusos (IDS).

6.2.HERRAMIENTAS UTILIZADAS PARA ATACAR

A) AMENAZAS A SERVIDORES, SERVIDROES DE BD, APLICACIONES WEB

a) Cross-site scripting

Cross-site scripting es un atacante que se produce cuando se utiliza una aplicación

web para enviar código málicioso generalmente en JavaScript, estos ataques son

aquellos en los que el código insertado esta permanentemente almacenados en las

bases de datos de los servidores atacados. La manera de reflejar los ataques, son

aquellos en los que el código insertado toma otra ruta a la víctima, como por

ejemplo en un mensaje de correo electrónico, para la divulgación de la cookie de

sesión del usuario permite a un atacante secuestrar la sesión del usuario y hacerse

cargo de la cuenta

b) Log tampering

Los registros se mantienen a la pista de los patrones de uso de la aplicación.

Permite la manipulación de los atacantes de webs de transacción, para cubrir sus

pistas o alterar registros.

Los atacantes se esfuerzan por borrar los registros, modificar los registros, cambiar

la información del usuario, o destruir las pruebas de cualquier ataque.

Page 25: Acceso No Autorizado a Servicios Informaticos PDF

c) SQL injection

En español llamada Inyección de SQL, utiliza SQL para manipular directamente

los datos de una base de datos. Donde un atacante utilizando una aplicación web

vulnerables, elude las medidas de seguridad normales y obtiene acceso directo a

los datos valiosos, estos ataques pueden ser ejecutado desde la barra de

direcciones, con cargo a la aplicación, campos, y a través de consultas y

búsquedas.

d) Command injection

Inyección de comandos defectos transmitir los códigos maliciosos a través de un

aplicación web a otro sistema. Los ataques incluyen las llamadas al sistema

operativo a través de llamadas al sistema, el uso de programas externos a través de

comandos, así como llamadas a través de las bases de datos backend SQL (es

decir, la inyección de SQL). Scripts escritos en Perl, Python, y otros idiomas puede

ser inyectado en el deficiente diseño de aplicaciones web.

e) Error message interception attack

Información en los mensajes de error a menudo es rica en sitios específicos de

información que pueden ser utilizados para:

Determinar las tecnologías utilizadas en las aplicaciones web

Determinar si el intento de ataque fue un éxito

Recibir sugerencias para métodos de ataque para próximos intentos.

f) Attack Obfuscation

Los atacantes a menudo trabajan duro para enmascarar y ocultar sus ataques de

otro modo para evitar la detección. Método más común de ataque consiste en la

ofuscación de codificación porciones del ataque con Unicode, UTF-8, o la URL de

codificación. Múltiples niveles de codificación puede ser utilizado para ocultar aún

más el ataque. Se utiliza para el robo de servicio, cuenta el secuestro, la

información divulgación, desfiguración sitio web, y así sucesivamente.

g) Cookie/session poisoning

Las cookies se utilizan para mantener el estado de la sesión, es un fragmento de

información que se almacena en el disco duro del visitante de una página web a

través de su navegador, a petición del servidor de la página. Esta información

puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones

también se le llama "huella".

El ataque de Poisoning cookie permite a un atacante inyectar el contenido

malicioso, modificar en línea al usuario y obtener la información no autorizada.

h) Parameter/form tampering

Page 26: Acceso No Autorizado a Servicios Informaticos PDF

Parámetro / Forma manipulación se aprovecha de la escondida campos de trabajo

como la única medida de seguridad en algunos aplicaciones. Modificando este

campo de valor oculto, hará que la aplicación web cambie de acuerdo con los

nuevos datos incorporados. Puede causar el robo de los servicios, la escalada de

acceso, y el período de secuestro de sesiones.

i) Platform exploits

Las aplicaciones web se basan en las plataformas de aplicaciones, tales como BEA

Weblogic, ColdFusion, IBM WebSphere, Microsoft. NET, y tecnologías de Sun

Java. Estas vulnerabilidades incluyen la mala configuración de la solicitud, errores,

la inseguridad interna de las rutinas, procesos ocultos y comandos, y mejoras de

terceros. La plataforma de aplicaciones de explotar la vulnerabilidad puede

permitir:

Acceso a zonas de desarrolladores

La capacidad de actualizar la aplicación y el contenido del sitio

j) DMZ protocol attacks

DMZ (zona desmilitarizada) es un semi-red de confianza que separa la zona que no

es de confianza de Internet de la compañía en la de confianza ubicada en la red

interna. La mayoría de las empresas limita el permitir el flujo de los protocolos a

través de su zona. Un atacante que está en condiciones de comprometer un sistema

que permite a otro despeje de protocolos, tiene acceso a la zona desmilitarizada y

otros sistemas internos. Este nivel de acceso puede dar lugar a:

Compromiso de la aplicación Web y de datos.

Defacement de sitios web.

Acceso a los sistemas internos, incluidas las bases de datos, copias de

seguridad, y el código fuente.

k) Buffer overflow

Desbordamiento de búfer es la ejecución de una aplicación web, corrupción en la

pila. Desbordamiento de búfer en defectos en las aplicaciones web personalizados

donde tienen menos probabilidades de ser detectadas. Casi todos los servidores

web, servidores de aplicación servidores y aplicaciones web los entornos son

susceptibles al ataque (pero no los entornos Java y J2EE a excepción de

desbordamientos en la misma).

l) Directory traversal/forceful browsing

Directorio transversal / navegación fuerza de ataque cuando el atacante es capaz de

navegar por los directorios y archivos fuera de la aplicación con normal de acceso.

Itexposes la estructura de directorios de la solicitud, y a menudo las servidor web

y sistema operativo. Un atacante puede enumerar el contenido, el acceso seguro o

Page 27: Acceso No Autorizado a Servicios Informaticos PDF

a páginas restringidas, y obtener información confidencial, localizar el código

fuente, y así sucesivamente.

m) Security management exploits

Gestión de la seguridad de los sistemas están orientados para desactivar la

seguridad ejecución. Un exploit de gestión de la seguridad puede conducir a la

modificación de las políticas de protección

n) Web services attacks

Proceso de los servicios Web permiten al proceso de comunicación entre las

aplicaciones web, donde un atacante puede inyectar una secuencia de comandos

malintencionada en un servicio web que permita la divulgación y modificación de

los datos.

o) Cryptographic interception

Mediante el u so de la criptografía, un mensaje confidencial puede ser enviado de

manera segura entre dos partes, entre los flujos de tráfico cifrado a través de la red

de cortafuegos y sistemas IDS y es que no hayan sido inspeccionados. Si un

atacante es capaz de tomar ventaja de un canal seguro, él / ella se puede explotar

de manera más eficiente que un canal abierto.

p) Cookie snooping

En un intento de proteger a las cookies, los desarrolladores del sitio a menudo

codifican los "cookies". En un intento de proteger a las cookies, sitio fácilmente

reversibles, como los métodos de codificación Base64 y ROT13 (rotación de las

letras del alfabeto 13 caracteres) dan una falsa sensación de la seguridad en

relación con el uso de cookies. Cookie usa técnicas puede utilizar un proxy local

para enumerar las cookies.

q) Zero day attack

Ataques de día cero tienen lugar entre el momento en que una vulnerabilidad es

descubierta por un investigador o atacante y el momento en que el vendedor emite

un parche corrector. La mayoría de ataques de día cero, sólo están disponibles

como artesanales explotan código, pero zeroday gusanos han causado pánico

rápidamente. Vulnerabilidad de día cero es el punto de lanzamiento para una mayor

explotación de la web aplicación y el medio ambiente.

r) Network access attacks

Todo el tráfico hacia y desde una aplicación web atraviesa las redes. Estos ataques

se aprovechan de técnicas como la suplantación de identidad, puente, ACL de

circunvalación, y pila de ataques. La inhalación del tráfico de la red permitirá la

visualización de una aplicación, información de autenticación, y la aplicación de

datos, ya que atraviesa la red.

Page 28: Acceso No Autorizado a Servicios Informaticos PDF

s) Authentication hijacking

Solicita una autenticación de usuario para abastecer a la credenciales que permiten

el acceso a la aplicación. Que se puede lograr mediante:

La autenticación básica

Métodos de autenticación fuerte

Aplicaciones Web con diversos métodos de autenticación. La aplicación de una

coherente política de autenticación entre los múltiples y dispares aplicaciones

pueden demostrar ser un verdadero reto. Un lapso de seguridad puede conducir a

robo de servicios período de sesiones el secuestro, y la suplantación del usuario.

t) TCP fragmentation

Cada mensaje que se transfiere entre los ordenadores de una red de datos se

desglosa en paquetes.

A menudo, los paquetes están limitados a un tamaño predeterminado para la

interoperabilidad con el medio físico de la red.

Un ataque directo contra un servidor Web que se especifica que el "impulso" del

pabellón se establece, que obligaría a todos los paquetes en la memoria del

servidor web. De esta manera, sería un ataque emitido pieza por pieza, sin la

capacidad de detectar el ataque.

B) ATAQUE FUERZA BRUTA

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave

probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.

Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del

algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado

(respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles

combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para

que la búsqueda sea exitosa con probabilidad mejor que la par será 2n − 1 operaciones,

donde n es la longitud de la clave (también conocido como el espacio de claves).

Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de

caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos

numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como

letras, así como las que están compuestas por menos caracteres serán también más fáciles de

descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es

logarítmica. Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son

muy costosos en tiempo computacional. La fuerza bruta suele combinarse con un ataque de

diccionario.

La DES Cracking Machine construida por la EFF a un costo de USD 250.000 contiene más

de 1800 chips especialmente diseñados y puede romper por fuerza bruta una clave DES en

cuestión de días — la fotografía muestra una tarjeta de circuito impreso DES Cracker que

contiene varios chips Deep Crack.

Page 29: Acceso No Autorizado a Servicios Informaticos PDF

C) ATAQUE DE DICCIONARIO

Tipo de "ataque" informático relacionado al hacking que utiliza un diccionario de palabras

para llevar a cabo su cometido. Por ejemplo, para ingresar a un sistema con contraseña, se

puede utilizar un diccionario con palabras frecuentes y un programa automáticamente irá

probando una a una para descifrarla.

D) AMENAZAS MALWARE

Malware es la abreviatura de ―Malicious software‖ (software malicioso), término que

engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema

o causar un mal funcionamiento.

Page 30: Acceso No Autorizado a Servicios Informaticos PDF

a) Virus

Un virus es un programa que se replica a sí mismo, tanto exactamente, como

modificado dentro de otra porción de un código ejecutable. Los virus pueden usar

muchos tipos de anfitriones, algunos de los más comunes son:

archivos ejecutables (tales como los programas de su computadora).

el sector de inicio (las partes del código que le dicen a su computadora donde encontrar

las instrucciones para iniciarse o encenderse).

archivos scripting (tales como Windows Scripting o Visual Basic script).

las macros dentro de los documentos (esto es menos común actualmente, ya que las

macros de por ejemplo Microsoft Word no están predeterminadas para ejecutanse).

Cuando un virus "infecta" otro código ejecutable, se asegura su ejecución cuando el

código héesped se ejecute. De esta forma el virus se disemina, buscando otros

anfitriones "limpios". Algunos virus sobre-escriben los archivos originales,

destruyéndolos por completo, pero muchos simplemente se insertan de una forma que se

vuelven parte del programa anfitrión, de manera que ambos son funcionales.

Dependiendo de la forma en que están codificados, los virus pueden diseminarse en

archivos del sistema, en las redes mediante los archivos compartidos, en los documentos

y en los sectores de inicio de los discos (Boot). Aunque algunos de estos programas

dañinos se diseminan por e-mail, eso no los convierte en virus. Para ser un virus, el

código simplemente debe replicarse, no siendo necesario que el mismo provoque daño o

que se disemine masivamente.

b) Gusanos

En términos informáticos, los gusanos son en realidad un sub-conjunto de virus pero

que no necesitan un archivo anfitrión. Puesto en forma simple, los virus infectan a los

anfitriones y los gusanos infectan a los sistemas. Muchas veces los gusanos explotan

aspectos vulnerables de estos sistemas, valíendose de las vulenrabilidades para lograr su

propagación.

Tales gusanos pueden diseminarse muy rápidamente a través de las redes de sistemas

vulnerables, ya que no requieren la intervención de los usuarios para ejecutarse. El

principal medio de transporte utilizado actualmente por los gusanos es el e-mail (es

importante señalar que el e-mail no está infectado, sino que transporta los archivos del

gusano).

Estos programas generalmente aprovechan la ingenuidad del usuario (generalmente con

un tema o mensaje atractivos) para que el mismo lo ejecute por primera vez. Luego de

esto el gusano se propaga por los diferentes archivos del sistema o por la red a la que

está conectado el mismo, siguiendo su propagación.

En general, los gusanos son mucho más fáciles de eliminar de un sistema que los virus,

dado que no infectan archivos. Los gusanos muy a menudo se añaden al inicio del

sistema, modificar las claves de registro, para asegurarse que serán cargados cada vez

que el mismo se inicie.

Nuevamente, los gusanos no deben necesariamente provocar daño.

Page 31: Acceso No Autorizado a Servicios Informaticos PDF

c) Adware

Es un tipo de Programa que exhibe publicidad en una manera o contexto que es

inesperado o indeseable para los usuarios. Incluso, muchas de estas aplicaciones

también realizan seguimiento de las acciones del usuario. Algunas personas pueden

desear eliminar el Adware, si no esta de acuerdo con dicho seguimiento, si no quieren

visualizar las publicidades, o si están molestos por los efectos secundarios ocasionados

sobre el funcionamiento del sistema (generalmente relentización).

Por otro lado, algunos usuarios pueden querer conservar ciertos programas de adware, si

su presencia subsidia el costo de un producto o servicio que desean o si les proveen una

publicidad que les es útil o desean, tales como publicidades que son competitivas o

complementarias de aquello que el usuario está buscando (Fuente: Coalición Anti-

Spyware).

d) Spyware

El término Spyware ha sido usado en dos formas:

En el sentido más estricto, Spyware es un término para denominar al Software Espía

implementado sin una adecuada notificación, consentimiento o control del usuario.

Usualmente, el seguimiento se realiza enviando información a terceros sobre cualquier

aspecto (historial de navegación, datos sobre tarjetas de crédito, detalles personales)

propio del sistema o del usuario del mismo.

Generalmente el Spyware es instalado como parte de otro programa o a través de sitios

web, que explotan los aspectos vulnerables en los navegadores para instalar los

programas silenciosamente en segundo plano. También hay muchos programas que

simulan ser programas Anti-Spyware (u otro tipo de aplicación de seguridad), pero que

en realidad son Spywares.

Puede consultar http://www.spywarewarrior.org para obtener una lista de programas

que simulan ser programas de seguridad pero en realidad instalan espías en el sistema.

En un sentido más amplio, el Spyware es usado como un sinónimo para lo que la

Coalición Anti-Spyware llama "Spyware y otras Tecnologías Potencialmente

Indeseables". Esto puede incluir algunos tipos de cookies, registros comerciales de tipeo

y otras tecnologías de seguimiento.

e) PayLoad

Es una función adicional, como por ejemplo robo de datos, eliminación de archivos,

sobre-escritura del disco, reemplazo del BIOS, etc., que puede ser incluida en un virus,

gusano o Caballo de Troya. Observe que el payload no tiene que ser necesariamente

dañino.

Page 32: Acceso No Autorizado a Servicios Informaticos PDF

f) Phishing

Phishing (pronunciado *fishing*) es un ataque de Ingeniería Social, que intenta obtener

de forma fraudulenta información personal sensible, tal como datos personales,

contraseñas y/o datos sobre tarjetas de crédito. Generalmente, esto se consigue enviando

e-mails (o comunicaciones similares) enmascarados como una persona o empresa

confiable con una solicitud de información aparentemente legítima.

Los mensajes más comunes parecen provenir de conocidos entidades de primera línea y

generalmente contienen alguna clase de amenaza de suspender el servicio o alguna otra

consecuencia indeseable si no se siguen las instrucciones. El e-mail parece auténtico y

contiene logotipos y contenido que proviene originalmente de la fuente que se intenta

personificar.

Generalmente, hay link en el e-mail que va a conducir al receptor del mismo a un sitio

web (igual al sitio legítimo), y este sitio va a ser usado para capturar los datos que están

siendo *pescados*.

Es importante recordar que los bancos y empresas legítimas nunca van a solicitar datos

personales (como nombres de usuario y contraseñas) a través de e-mails no solicitados.

También vale la pena tener presente que los links de estos correo, aunque parecen

legítimos, siempre apuntan a otro sitio desde donde se realiza el engaño.

Siempre que quiera ingresar al sitio web de su banco o a otros servicios de internet abra

una nueva sesión del navegador y digite la dirección correcta en la barra de direcciones.

g) Rootkit

Rootkit es una una o más herramientas (aplicaciones) diseñadas para mantener en forma

encubierta el control de una computadora.

Inicialmente los rootkit aparecieron en el sistema operativo UNIX (incluyendo el Linux)

y eran una colección de una o más herramientas que le permitían al atacante conseguir y

mantener el acceso al usuario de la computadora más privilegiado (en los sistemas

UNIX, este usuario se llama *root* y de ahí su nombre).

En los sistemas basados en Windows, los rootkits se han asociado en general con

herramientas usadas para ocultar programas o procesos al usuario. Una vez que se

instala, el rootkit usa funciones del sistema operativo para ocultarse, de manera tal de no

ser detectado y es usado en general para ocultar otros programas dañinos.

h) Troyanos

Un Troyano o Caballo de Troya, es un programa que da a entender que hace una cosa,

pero en realidad hace otra. No siempre son dañinos o malignos.

Los troyanos pueden ser utilizados para muchos propósitos como por ejemplo para:

Page 33: Acceso No Autorizado a Servicios Informaticos PDF

Acceso remoto (a veces llamado Herramientas de Acceso Remoto o RATs o Puertas

Traseras).

Registro de tipeo y robo de contraseñas (la mayoría del spyware cae dentro de esta

categoría).

i) Estafas

Los Scam (o estafas) son bastante parecidas al Phishing, pero generalmente no apuntan

a obtener nuestros datos, sino que apelan a la compasión o a la ambición humana. Por

ejemplo, cada desastre (terremoto, inundación, guerra, hambruna) ha generado grandes

cantidades de estafas, en general peticiones de ayuda caritativa para una causa

"valedera". Los Fraudes (a veces llamados SCAM-419) le ofrecen la oportunidad de

obtener una gran suma de dinero, supuestamente ayudando al estafador a transferir

sumas de dinero aun mayores fuera de un país (habitualmente de un país africano como

Nigeria). Estas estafas siempre terminan en que le piden a usted que le envíe al

estafador un poco de dinero para cubrir costos "administrativos" (en general varios

miles de dólares). A veces, por estas estafas la persona estafada desapareció, fue

asesinada o fue secuestrada luego de viajar al extranjero para encontrarse con el

"benefactor". En casos menos extremos, muchas personas han perdido miles y miles de

dólares en estos fraudes.

j) Hoaxes

Los Hoaxes son en general bromas tontas, una forma de correo en cadena y, muchas

veces, Leyendas Urbanas. Los hoaxes tratan de generar Miedo, Inseguridad y Duda

(FUD en sus siglas en inglés) en los receptores.

Han existido casos en donde el contenido del correo ha hecho que el receptor borrara los

archivos de su sistema.

Estos correos nos invitan a que lo enviemos a nuestros amigos creado de esta forma lo

que comunmente recibe el nombre de cadena.

.

6.3. AMENAZAS INFORMÁTICAS 2009

Entre las principales amenazas a las que deberemos enfrentarnos en 2009 se encuentran las

siguientes:

a) Web 2.0 será el blanco de los creadores de código malicioso. Los logros y metas,

así como los peligros de las aplicaciones Web 2.0 continuarán siendo un problema

en 2009. Los hackers se valdrán de técnicas, como los IFRAMES, para camuflar el

malware bajo la apariencia de código normal, y también seguirán utilizando los

navegadores de Internet y otras aplicaciones habilitadas vía web, tales como Flash

y los reproductores de medios, entre otros, como vectores de infección.

Page 34: Acceso No Autorizado a Servicios Informaticos PDF

b) El lanzamiento de Google Chrome, el próximo lanzamiento oficial de Internet

Explorer y el crecimiento de las aplicaciones de navegador como plataforma, por

ejemplo, Microsoft Silverlight y Adobe Integrated Runtime, servirán como nuevos

puntos de explotación.

c) Sistemas operativos alternativos. todo lo bueno tiende a terminar, incluyendo la

supuesta seguridad de las plataformas ―alternativas‖. Las amenazas que explotan

las vulnerabilidades de los sistemas operativos alternativos experimentarán un

crecimiento, especialmente con la creciente popularidad de Mac y Linux (este

último por la explosión del mercado de los netbooks).

d) Microsoft el eterno objetivo: los autores de código malicioso tienen una especial

fijación con Microsoft y 2009 promete no ser diferente. Seguramente veremos

actividad maliciosa alrededor de la liberación de Windows 7 cuando, sin duda, los

criminales probarán cualquier afirmación de que el nuevo Windows está ―libre de

virus‖.

e) El código malicioso de prueba de concepto también explotará Microsoft Surface,

Silverlight y Azure. Asimismo, los ciber criminales seguirán empleando un método

más profesional para aprovechar la ventana de oportunidad de explotación

presentada por el calendario mensual de ―Patch Tuesday‖ (Martes de Parches) de

Microsoft, en el que las explotaciones de día cero seguirán provocando problemas

a los usuarios del gigante de Redmond.

f) La ingeniería social alcanzará su cúspide: los ciber criminales seguirán

aprovechando eventos, celebridades y figuras políticas como cebo de la ingeniería

social. El código malicioso relacionado con las elecciones en Estados Unidos

seguirá causando problemas incluso después de que el presidente electo haya

ocupado el Despacho Oval, mientas que los jugadores que esperan la llegada de

―Starcraft 2‖ y ―WoW: Wrath of the Lich King‖ deberán tener especial cuidado.

g) Por otro lado, y aprovechando la crisis financiera global, los ciber-criminales

sacarán partido del panorama económico creando correos electrónicos con el tema

de la economía como gancho, falsificarán cupones electrónicos, así como

esquemas de trabajo en casa y realizarán otros esfuerzos para aprovechar el deseo

de los consumidores de ahorrar dinero.

h) Guerras de bandas electrónicas los investigadores de seguridad son testigos de

las guerras de virus, guerras de gusanos y guerras de botnets – debido a la creciente

competencia por obtener ganancias financieras del phishing y el fraude-. Además,

están viendo la consolidación de bandas de ciber-criminales, y las mejoras en

soluciones de seguridad. Asimismo, en 2009 veremos una creciente competencia

entre Europa Oriental y China para determinar qué criminales y de qué país serán

los primeros en incluir las explotaciones más recientes en sus kits de explotación.

i) La cruda realidad de las amenazas virtuales, muchas amenazas del mundo real

también existen en el mundo virtual. Ya que los criminales necesitan grandes

audiencias para perpetrar sus crímenes, han comenzado a hacer presa a los

residentes de los mundos virtuales y a los jugadores de los juegos online. El

Page 35: Acceso No Autorizado a Servicios Informaticos PDF

número y tipo de amenazas en el entorno virtual incluye una serie de

comportamientos humanos y pueden ser tan inocentes como compartir contraseñas

entre socios; tan sofisticados como un fraude en bienes raíces real; y tan malicioso

como las bandas delictivas buscando nuevas presas. Veremos que las amenazas

virtuales se convertirán en uno de los mayores problemas en 2009.

j) DNS roto, los ciber-criminales aprovecharán los huecos identificados en el

registro de DNS (sistema de nombres de dominio) para perpetrar sus delitos. Según

los expertos, ya se están utilizando técnicas como el caché DNS envenenado para

crear canales de comunicación encubiertos, medidas para eludir la seguridad y

suministrar contenido malicioso. Si bien la comunidad de fabricantes de seguridad,

incluyendo a Trend Micro, está trabajando estrechamente con los

registros/registradores hasta donde les es posible, este es un problema que la

ICANN (Corporación Internet para Nombres y Números Asignados) debe

solucionar.

k) La economía clandestina sigue floreciendo, el ciber-crimen se ha convertido en

un gran negocio y, desafortunadamente, 2009 será testigo de un crecimiento

continuo. El aumento del código malicioso que roba información personal,

bancaria y de tarjetas de crédito, continuará porque ahí es donde está el dinero y el

crimen electrónico se mueve y se promueve simple y llanamente por razones

económicas.

l) Código malicioso más inteligente al alza, los avances en tecnologías maliciosas

son una apuesta segura ya que los autores de código malicioso siguen

desarrollando y liberando código que busca evitar su detección y eliminación. Así,

encontraremos más familias de código malicioso pero menos variantes, lo que hace

más difícil que las compañías antivirus creen patrones heurísticos para detectarlos.

El mayor problema es el creciente tamaño y frecuencia de actualización de estos

archivosde patrones que, de hecho, se ha convertido en un problema mayor que el

mismo código malicioso.

m) Compromiso y buenas intenciones, no todas las noticias son malas. Los esfuerzos

de la comunidad están surtiendo efecto y se está comenzando a reducir los vectores

de amenazas. Los esfuerzos conjuntos están cada vez mejor planeados,

coordinados y dirigidos, esto supone una bocanada de aire fresco en un

movimiento que reclama actuar y no quedarse solo en el trabajo de escritorio.

Page 36: Acceso No Autorizado a Servicios Informaticos PDF

7. MEDIOS DE DEFENSA

7.1. SEGURIDAD EN INTERNET

Hoy en día, muchos usuarios no confían en la seguridad del Internet. En 1996, IDC Research

realizó una encuesta en donde el 90% de los usuarios expresó gran interés sobre la seguridad del

Internet, pues temen que alguien pueda conseguir el número de su tarjeta de crédito mediante el

uso de la Red.

Ellos temen que otros descubran su código de acceso de la cuenta del banco y entonces transferir

fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupación

en dar información confidencial a personas no autorizadas. Las corporaciones también se

preocupan en dar información a los empleados, quienes no están autorizados al acceso de esa

información o quien trata de curiosear sobre una persona o empleado. Las organizaciones se

preocupan que sus competidores tengan conocimiento sobre información patentada que pueda

dañarlos.

Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del término de la

seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad

significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje,

aplicación, archivo, sistema o una comunicación interactiva. "Seguro" los medios son protegidos

desde el acceso, el uso o alteración no autorizada.

Para guardar objetos seguros, es necesario lo siguiente:

La autenticación (promesa de identidad), es decir la prevención de suplantaciones, que se

garantice que quien firma un mensaje es realmente quien dice ser.

La autorización (se da permiso a una persona o grupo de personas de poder realizar ciertas

funciones, al resto se le niega el permiso y se les sanciona si las realizan).

La privacidad o confidencialidad, es el más obvio de los aspecto y se refiere a que la

información solo puede ser conocida por individuos autorizados. Existen infinidad de

posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La

transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y

copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o

la simple intrusión directa en los equipos donde la información está físicamente almacenada.

La integridad de datos, La integridad se refiere a la seguridad de que una información no ha

sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en

su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un

paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre.

La disponibilidad de la información, se refiere a la seguridad que la información pueda ser

recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por

ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.

No rechazo (la protección contra alguien que niega que ellos originaron la comunicación o

datos).

Controles de acceso, esto es quien tiene autorización y quien no para acceder a una pieza de

información determinada.

Son los requerimientos básicos para la seguridad, que deben proveerse de una manera confiable.

Los requerimientos cambian ligeramente, dependiendo de lo que se está asegurado. La

Page 37: Acceso No Autorizado a Servicios Informaticos PDF

importancia de lo que se está asegurando y el riesgo potencial involucra en dejar uno de estos

requerimientos o tener que forzar niveles más altos de seguridad. Estos no son simplemente

requerimientos para el mundo de la red, sino también para el mundo físico.

En la tabla siguiente se presenta una relación de los intereses que se deben proteger y sus

requerimientos relacionados:

Intereses Requerimientos

Fraude Autenticación

Acceso no Autorizado Autorización

Curiosear Privacidad

Alteración de Mensaje Integridad de Datos

Desconocido No - Rechazo

Estos intereses no son exclusivos de Internet. La autenticación y el asegurar los objetos es una

parte de nuestra vida diaria. La comprensión de los elementos de seguridad y como ellos

trabajan en el mundo físico, puede ayudar para explicar cómo estos requerimientos se

encuentran en el mundo de la red y dónde se sitúan las dificultades.

7.2. MEDIDAS DE SEGURIDAD DE LA RED

Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe

hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes

partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y

preocuparse de hacerlas cambiar periódicamente (Evitar las passwords "por defecto" o

demasiado obvias).

a) Firewalls

Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática.

Una de las maneras drásticas de no tener invasores es la de poner murallas. Los mecanismos

más usados para la protección de la red interna de otras externas son los firewalls o

cortafuegos. Estos tienen muchas aplicaciones, entre las más usadas está:

Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que

aplica unas reglas de filtrado que le permiten discriminar el tráfico según nuestras

indicaciones.

Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que

podremos establecer serán a nivel de direcciones IP, tanto fuente como destino.

b) Cortafuegos filtro de paquetes ejemplarizado en un router

La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete

cumpla marcará la acción a realizar (descartarlo o dejarlo pasar). La aplicación de las

listas de filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o

en ambos.

Page 38: Acceso No Autorizado a Servicios Informaticos PDF

La protección centralizada es la ventaja más importante del filtrado de paquetes. Con un

único enrutador con filtrado de paquetes situado estratégicamente puede protegerse toda una

red.

c) Firma digital.

El cifrado con clave pública permite generar firmas digitales que hacen posible certificar la

procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta

forma se puede evitar que alguien suplante a un usuario y envíe mensajes falsos a otro

usuario, por la imposibilidad de falsificar la firma. Además, garantizan la integridad del

mensaje, es decir, que no ha sido alterado durante la transmisión. La firma se puede aplicar

a un mensaje completo o puede ser algo añadido al mensaje.

Las firmas son especialmente útiles cuando la información debe atravesar redes sobre las

que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra

forma la procedencia de los mensajes.

Existen varios métodos para hacer uso de la firma digital, uno de ellos es el siguiente:

―quien envía el mensaje lo codifica con su clave privada. Para descifrarlo, sólo puede

hacerse con la clave pública correspondiente a dicha persona o institución. Si efectivamente

con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo

hizo‖.

Firma digital formada encriptando con la clave privada del emisor:

Firma Digital y Autentificación

E: Encriptar / D: Desencriptar.

KP : Encriptación utilizando la Clave Privada.

KV : Encriptación utilizando la Clave Pública.

M : Mensaje.

7.3. SEGURIDAD EN WWW

¿Es posible hacer un formulario seguro?

Para hacer un formulario se debe tener un servidor seguro.

En primer lugar los formularios pueden tener "agujeros" a través de los que un hacker hábil,

incluso poco hábil, puede "colar" comandos.

La red es totalmente pública y abierta, los paquetes pasan por máquinas de las que no se tiene

conocimiento y a las que puede tener acceso la gente que le guste husmear el tráfico de la red. Si

es así (y no tienen que ser necesariamente hackers malintencionados, algunos proveedores de

servicio lo hacen) sólo se puede recurrir a encriptar el tráfico por medio, en WWW, de

servidores y clientes seguros.

Page 39: Acceso No Autorizado a Servicios Informaticos PDF

7.4. POLÍTICA DE SEGURIDAD.

Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a

través de la organización, da al personal e institución muchos beneficios. Sin embargo, a mayor

acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del incremento

de vulnerabilidad.

De hecho, cada vez que se añade un nuevo sistema, acceso de red o aplicación se agregan

vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la protección. Sin

embargo, si se está dispuesto a enfrentar realmente los riesgos, es posible cosechar los

beneficios de mayor acceso mientras se minimizan los obstáculos. Para lograr esto, se necesitará

un plan complejo, así como los recursos para ejecutarlo. También se debe tener un conocimiento

detallado de los riesgos que pueden ocurrir en todos los lugares posibles, así como las medidas

que pueden ser tomadas para protegerlos.

En algunos aspectos, esto puede parecer una carga abrumadora, y podría muy bien serlo,

especialmente en organizaciones pequeñas que no tienen personal experto en todos los temas.

Alguien podría estar tentado para contratar un consultor de seguridad y hacerlo con él; aunque

esto puede ser una buena manera para outsourcing, todavía necesita saber lo suficiente y

observar la honestidad del consultor. Después de todo, se le va a confiar a ellos los bienes más

importantes de la organización.

Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de

las características técnicas de los protocolos de red, sistemas operativos y aplicaciones que son

accesadas, sino también lo concerniente al planeamiento. El plan es el primer paso y es la base

para asegurar que todas las bases sean cubiertas.

A) ¿Porqué se necesita una política de seguridad?

La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad está la

del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de

ataques de malévolos hackers. Aunque un firewall jugará un papel crucial, es sólo una

herramienta que debe ser parte de una estrategia más comprensiva y que será necesaria a fin

de proteger responsablemente los datos de la red. Por una parte, sabiendo cómo configurar

un firewall para permitir las comunicaciones que se quiere que ingresen, mientras

salvaguarda otros datos, es un hueso muy duro de roer.

Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall

correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar

con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos.

También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso

con la protección de firewall, no hay garantía que no se pueda desarrollar alguna

vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por

ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su

firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un

módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers,

cualquier empresa o institución que provea de conexión a Internet), por las restricciones que

el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su

firewall). Se puede proveer restricciones o "protección," que puede resultar ser innecesario

una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra

parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo.

Page 40: Acceso No Autorizado a Servicios Informaticos PDF

Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las

consecuencias para añadir el riesgo, no hay mucho que hacer.

Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su

información?. Si usted está en una compañía de publicidad puede tener algunas

responsabilidades definitivas al respecto.

Asegurar sus datos involucra algo más que conectarse en un firewall con una interface

competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar

este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto

requiere educación y capacitación, conjuntamente con la explicación, claramente detallada,

de las consecuencias de las violaciones. A esto se le llama una "política de seguridad" y es

el primer paso para asegurar responsablemente la red. La política puede incluir instalar un

firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las

limitaciones del firewall.

Elaborar la política de seguridad no es una tarea trivial. Ello no solamente requiere que el

personal técnico comprenda todas las vulnerabilidades que están involucradas, también

requiere que ellos se comuniquen efectivamente con la gerencia. La gerencia debe decidir

finalmente cuánto de riesgo debe ser tomado con el activo de la compañía, y cuánto se

debería gastar en ambos, en dólares e inconvenientes, a fin de minimizar los riesgos. Es

responsabilidad del personal técnico asegurar que la gerencia comprenda las implicaciones

de añadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia

tenga la suficiente información para la toma de decisiones. Si la política de seguridad no

viene desde el inicio, será difícil imponer incluso medidas de seguridad mínimas. Por

ejemplo, si los empleados pueden llegar a alterarse si ellos imprevistamente tienen que

abastecer logins y contraseñas donde antes no lo hacían, o están prohibidos particulares

tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la

política por escrito. Las políticas pueden entonces ser comunicadas a los empleados por la

gerencia. De otra forma, los empleados no lo tomarán en serio, o se tendrán batallas de

políticas constantes dentro de la compañía con respecto a este punto. No solamente con

estas batallas tendrán un impacto negativo sobre la productividad, es menos probable que la

decisión tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las

guerras políticas.

El desarrollo de una política de seguridad comprende la identificación de los activos

organizativos, evaluación de amenazas potenciales, la evaluación del riesgo,

implementación de las herramientas y tecnologías disponibles para hacer frente a los

riesgos, y el desarrollo de una política de uso. Debe crearse un procedimiento de auditoria

que revise el uso de la red y servidores de forma periódica.

Identificación de los activos organizativos: Consiste en la creación de una lista de todas las

cosas que precisen protección.

Por ejemplo:

Hardware: ordenadores y equipos de telecomunicación

Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos,

programas de comunicaciones.

Datos: copias de seguridad, registros de auditoria, bases de datos.

Page 41: Acceso No Autorizado a Servicios Informaticos PDF

B) Valoración del riesgo:

Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de

examinar todos los riesgos, y valorarlos por niveles de seguridad.

C) BDefinición de una política de uso aceptable:

Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la

política de uso aceptable debe considerar otros aspectos:

¿Quién tiene permiso para usar los recursos?

¿Quién esta autorizado a conceder acceso y a aprobar los usos?

¿Quién tiene privilegios de administración del sistema?

¿Qué hacer con la información confidencial?

¿Cuáles son los derechos y responsabilidades de los usuarios?

Por ejemplo, al definir los derechos y responsabilidades de los usuarios:

Si los usuarios están restringidos, y cuáles son sus restricciones.

Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.

Cómo deberían mantener sus contraseñas los usuarios.

Con qué frecuencia deben cambiar sus contraseñas.

Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.

Page 42: Acceso No Autorizado a Servicios Informaticos PDF

8. REPORTE SECUENCIAL DE UN ACCESO NO AUTORIZADO

DEMOSTRACION – UTILIZACION DE LA HERRAMIENTA

CHAT

En una de las máquinas ponemos el netcat en modo servidor, a la escucha. En la

otra, lo ponemos en modo cliente.

Servidor: nc -l -p 5000

Cliente: nc <ip_servidor> <puerto_servidor>

Nc NetCat

-l Indica al Netcat que debe actuar como un servidor, es decir, debe poner a la escucha un

puerto (Modo Servidor)

-p Indica el puerto por el que ponemos el servidor a la escucha. Si no se pone, Netcat

selecciona un puerto que esté libre de forma aleatoria. Es recomendable usar un puerto

superior al 1024.

Cuando lanzamos el Netcat en modo cliente, este actúa como lo hace un telnet. De hecho, se

podría lanzar la máquina cliente con un telnet (telnet <ip_servidor> <puerto_servidor>).

Page 43: Acceso No Autorizado a Servicios Informaticos PDF

Podemos comprobar, haciendo un netstat, como aparece un nuevo proceso escuchando por el

puerto 5000 por todas las interfaces (0.0.0.0:5000).

Si se quiere hacer la conexión utilizando el protocolo UDP en vez de TCP, se añade

tanto a cliente como a servidor el parámetro -u. Ejemplo:

nc -l -u -p 5000 //Máquina Servidor

nc -u <ip_servidor> 5000 //Máquina Cliente

Page 44: Acceso No Autorizado a Servicios Informaticos PDF

Para cerrar la conexión entre el cliente y el servidor hay que pulsar Ctrl + C en cualquiera de

las consolas. Verás entonces que ambas se cortan.

Esto se debe a que Netcat en modo servidor tiene una limitación que es que sólo admite una

conexión al mismo tiempo.

Si se desea guardar la información de la conversación mantenida, bastará con utilizar

el parámetro -o fichero. Este parámetro genera un log de las actividades del Netcat en

código Hexadecimal. Ejemplo:

Si luego editamos fileLog vemos lo siguiente:

Page 45: Acceso No Autorizado a Servicios Informaticos PDF

El símbolo < indica ―De la red‖. El símbolo > indica ―Para la red‖.

ENVIAR Y RECIBIR FICHEROS

Para pasar un fichero de un cliente al servidor, hay que hacer lo siguiente: Ponemos el

servidor a la escucha:

nc -l -p 5000

Pasamos el fichero desde el cliente al servidor:

nc <ip_servidor> <puerto_servidor> < /etc/passwd

Otra forma de pasar el fichero desde el cliente:

cat /etc/passwd | nc <ip_servidor> <puerto_servidor>

Con este proceso, se mostraría el fichero de contraseñas en el servidor. Si queremos que ese

fichero se almacene, en vez de ser mostrado, deberíamos lanzar el servidor así:

nc -l -p 5000 > /home/loretahur/prueba

Page 46: Acceso No Autorizado a Servicios Informaticos PDF

Ahora tenemos en el servidor un fichero llamado prueba en /home/loretahur que contiene las

contraseñas de la máquina cliente (su fichero /etc/passwd).

También se puede pasar el fichero del servidor al cliente de la siguiente forma:

cat /etc/passwd | nc -l -p 5000 //Máquina Servidora

nc localhost 5000 //Máquina Cliente que recibe el archivo

ESCANEAR PUERTOS

Para escanear los puertos de una máquina hay que ejecutar:

nc -z -v -w3 <máquina> <rango_puertos>

-z Escanear puertos

-v Modo verbose. Si sólo se pone una v, se mostrarán los puertos abiertos de

la máquina escaneada.

Si se pone -vv, se mostrarán todos los puertos escaneados, indicando para

cada uno si está abierto o cerrado <rango_puertos> Se debe introducir de qué puerto a qué puerto se quiere escanear Ejemplo:

1-1024. (1 y 1024 también incluidos en el escaneo) También se puede

poner sólo los puertos que se quiere escanear.

Ejemplo: nc -z -v localhost 25 21 80 //Escanea sólo los puertos 25, 21 y 80 -w <segundos> Especifica un tiempo para terminar. Con esta opción le especificas un

tiempo determinado para realizar conexiones

Si quisieramos enviar los resultados del escaneo a un fichero deberíamos hacerlo así:

nc -z -vv <ip_maquina> 1-5000 2> fichero

Se utiliza el 2> porque la salida del escaneo no es la estándar, sino que es la salida de errores

(STDERR).

Page 47: Acceso No Autorizado a Servicios Informaticos PDF

Si no se introduce ningún parámetro más, se escanean los puertos TCP. Si lo que se quiere es

escanear los puertos UDP, habrá que añadir el parámetro -u.

Si se desea hacer un escaneo de puertos paranoico, es decir, que vaya comprobando

cada puerto cada mucho tiempo para que no seamos detectados, se puede incluir el parámetro

-i.

Con este parámetro podemos indicar cada cuanto segundo debe netcat escanear un puerto.

Ejemplo en el que se escaneará cada 10 segundos un puerto:

nc -z -vv -i 10 localhost 1-1024

Si además le añadimos el parámetro -r, le estaremos indicando que haga un escaneo

de puertos aleatorio (genera un patrón ramdom de puertos locales o remotos). Esto es muy

útil para evitar patrones lógicos de scanning.

Si queremos evitar mostrar la IP fuente del Scanning deberemos utilizar gateways

(parámetro –g <gateway>). Esta es una de las opciones más interesantes de netcat, que

permite utilizar Routers como "puentes" de conexión.

SERVIDOR WEB

Si lanzas en una consola el siguiente comando, servirás de forma puntual un solo fichero

html:

nc −l −p 80 <NombreArchivo.html

Page 48: Acceso No Autorizado a Servicios Informaticos PDF

Tendrás un servidor Web en tu maquina que servirá la pagina especifica

(NombreArchivo.html) a la próxima conexión que se haga a tu IP por él. Es decir, si

después de lanzar el comando, abres una ventana de tu explorador y pones la

siguiente URL:

localhost:80\NombreArchivo.html, esta te cargara a partir del Netcat.

9. APLICACIÓN

NETCAT

NetCat lee y escribe datos a través de conexiones de red utilizando el protocolo TCP

(Protocolo de Control de Transmisión) o el protocolo UDP (Protocolo de Datagrama

de Usuario). Está diseñado para ser una herramienta "de atrás" confiable que puede ser

usada directamente o con soltura propulsada por otros programas y puede incluirse dentro de

scripts SH (en Unix) o batch (en msdos).

Esta herramienta puede abrir puertos y enlazar en ellos a cualquier programa. Así

como un hacker puede usar este programa.

NetCat también puede funcionar como un servidor, escuchando conexiones de entrada

en puertos arbitrarios y luego haciendo las mismas lecturas y escrituras. Con

limitaciones menores, a NetCat realmente no le importa si corre en modo "cliente" o

"servidor" todavía palea datos de acá para allá hasta que no quede nada más. En cualquier

modalidad, el cierre puede ser obtenido a la fuerza después de un tiempo que puede

configurarse de inactividad en el lado de la red.

EL LADO OSCURO

NetCat tiene su belleza en la simplicidad y funcionalidad con que fue creado. Hablar de los

usos que una persona conocedora le puede dar a esta utilería es como tratar de describir todo

lo que puedes hacer con tu navaja militar suiza.

Un tiempo equitativo es merecido aquí, dado que una herramienta tan versátil como ésta

puede ser útil para cualquier situación. Una persona puede usar una Victorinox para arreglar

Page 49: Acceso No Autorizado a Servicios Informaticos PDF

el coche de otra persona coche o para desarmarlo, ¿correcto? Una persona cualquiera

claramente puede usar una herramienta como NetCat para atacar o defender sus frentes.

En este momento no trato de controlar el punto de vista social de nadie ni ser guía moral de

nada. NetCat simplemente se construyó como unos implementos. Sin tener en cuenta las

intenciones turbias que alguien pudiera tener, todavía debe uno ser consciente de estas

amenazas para los sistemas propios.

La primera cosa que salta a la vista es el uso de NetCat para escanear vulnerabilidades del

servicio en la red de alguien. Archivos que contienen datos preconstruídos sean exploratorios

o explotables, pueden ser alimentados como entradas de datos estándar, incluyendo

argumentos de línea de comandos a NetCat mismo. Mientras más aleatorio sea el escaneo,

más difícil será la detección por humanos, detectores de scanners o filtrado dinámico.

NetCat es tomado por Hobbit, el genio creador detrás del programa, como su Navaja Suiza.

Al mismo tiempo, considera a los numerosos programas y scripts que le acompañan como

cintas adhesivas "masking tape". Estas cintas tienen, por supuesto, su lado amable, su lado

oscuro y unen al universo por completo. Si NetCat puede considerarse un gigantesco martillo,

podremos decir que existen muchos protocolos de red que están comenzando a parecerse de

manera repentina a clavos.

Dentro de este documento recopilatorio se repasarán muchos de los fundamentos básicos y

avanzados acerca del buen uso de NetCat. También, como lector y estudioso, será necesario

por no decir imperativo, que le des una leída más tarde los ejemplos de uso y notas incluidos

que te pueden dar más ideas acerca de lo buena que es esta clase de herramienta.

UTILIDADES

Chat.

Enviar y recibir ficheros.

Escanear puertos.

Captura básica de banners.

Servidor Web.

Conseguir una shell (de forma directa o inversa).

Page 50: Acceso No Autorizado a Servicios Informaticos PDF

HABILIDADES BÁSICAS

Conexiones hacia o desde el exterior, usando UDP o TCP, hacia o desde cualquier puerto.

Verificación de DNS normal o en reversa, con las advertencias correspondientes

Uso de cualquier puerto local

Uso de cualquier dirección a la que se tenga acceso en la red local

Habilidad de rastrear puertos, incluso de manera aleatoria

Capacidad de decidir qué camino tomarán los paquetes enviados, a modo de

"encaminarlos", lo que se conoce como sourcerouting.

Puede procesar comandos de programas, de scripts, y del usuario.

Capaz de enviar datos en modo de transmisión lenta, una línea cada N segundos

Monitoreo y presentación, en modo hexadecimal, de datos transmitidos y

recibidos

Capacidad de dejar que otro programa maneje conexiones ya establecidas

Opcionalmente responde a opciones características de telnet

Creación de nuevas herramientas, basándonos en los servicios de NetCat.

Page 51: Acceso No Autorizado a Servicios Informaticos PDF

CONCLUSIONES

Las utilidades de este pequeño programa son enormes, de poder establecer conexión con

otras maquinas, escaneo de puertos, crear exploit, hasta realizar sniffers.

Así mismo establecer una conexión remotamente, en donde el grupo aprendió a utilizar los

comandos respectivos y/o herramientas para su conexión respectiva.

Se recomienda que se dé un buen uso de esta herramienta para fines educativos.

Que, se continúe analizando y utilizando la herramienta en mención para sacarle buen

provecho de la misma.

Tener conocimientos de sistemas operativos como Windows y Unix ya que la sintaxis de

comandos son diferentes.

Mantener en todo momento activo el Firewall del sistema operativo que se tenga instalado.

El acceso a los recursos informáticos y de comunicaciones obliga a toda institución u

organización a dotarse de normas mínimas que garanticen la seguridad y el uso de dichos

recursos en las debidas condiciones. Tales normas deben enmarcarse en el pleno respeto al

tratamiento de los datos de carácter personal en los términos señalados en la Ley Orgánica

de Protección de Datos de Carácter Personal.

Igualmente importante es optimizar las capacidades en lo relativo a la adquisición, gestión y

mantenimiento de su parque informático.

Es necesario que todo proceso de desarrollo, adquisición o implantación de aplicaciones sea

aprobado por los Servicios Informáticos. Asimismo, todo proceso de adquisición de

equipamiento informático (hardware y software) destinado al uso del personal de

Page 52: Acceso No Autorizado a Servicios Informaticos PDF

administración y servicios debe ser asesorado, iniciado y supervisado por los Servicios

Informáticos.

El mayor uso plataformas informáticas, dentro de la intranet como internet por la

diversidad de empresas y para brindar tipo de servicios, donde la información tiene el papel

más importante, convirtiéndolo en la principal herramienta para su desarrollo empresarial.

También conlleva a hacer uso de aplicación de mas normas de seguridad de la información,

informática, recursos, hardware, comunicaciones, etc.,

El delito informático en el Código Penal peruano ha sido previsto como una modalidad de

hurto agravado, lo cual trae inconvenientes, teniendo en cuenta la forma tradicional de

comprender los elementos del delito de hurto.

Asimismo, existen conductas vinculadas a los delitos informáticos que, en algunos casos,

pueden configurar otro tipo de delitos, como por ejemplo, el delito de daños.

A manera de recomendación, sería conveniente la creación de un tipo autónomo que

sancione las conductas vinculadas al delito informático

Page 53: Acceso No Autorizado a Servicios Informaticos PDF

REFERENCIAS

WIKIPEDIA

http://www.medicina.usmp.edu.pe/acreditacion/Documentacion/11_infraestructura/pdf/REGLA

MENTO%20DE%20LA%20UNIDAD%20DE%20COMPUTO_comp.pdf

ABC Digital

http://www.abc.com.py/suplementos/mundodigital/articulos.php?pid=342864

Ataque Informáticos

https://www.evilfingers.com/publications/white_AR/01_Ataques_informaticos.pdf

Delitos Informáticos

http://www.delitosinformaticos.com/01/2007/delitos/espionaje/el-delito-de-espionaje-por-

medios-informaticos-3

Las principales amenazas 2009

http://www.infonos.com/Las-principales-amenazas-informaticas-del-2009_i11285.html

Delitos Informáticos

http://www.asesor.com.pe/teleley/5Bramont-51.pdf

Mundo Contacto

http://www.mundo-contact.com/soluciones_detalle.php?recordID=2896

Revista de Derecho Informático

http://www.alfa-redi.org/rdi.shtml

Congreso de la República del Perú

http://www.congreso.gob.pe/

Videos

http://www.youtube.com/

Seguridad Informática / Legislación y Delitos Informáticos

http://www.segu-info.com.ar/delitos/delitos.htm

Seguridad Informática INEI

http://www.inei.gob.pe/biblioineipub/bancopub/Inf/Lib5010/cap02.htm