seguridad ti

8/18/2019 Seguridad TI

1/30

5-4-2016 SeguridadInformaticaDelitos, Amenazas y Gestión de

Riesgos

Alumnos:Ismael Gonzalez.

Rodrigo Ortiz.

Pablo Norambuena.

Profesor:Manuel Silva.

Ramo:

Manuel Silva.


2/30

1

ÍndiceIntroducción ........................................................................................................................................ 2

Delitos Informáticos ............................................................................................................................ 3

Tipos de Delitos Informáticos .............................................................................................................. 4

Legislación Nacional e Internacional Sobre Delitos Informáticos. ...................................................... 7

Amenazas Humanas. ......................................................................................................................... 11

Ejemplos de Amenazas de Personal Interno ..................................................................................... 14

Ejemplo de Amenazas de Ex Empleados. .......................................................................................... 18

Recomendaciones Básicas para Evitar Las Amenazas Humanas. ...................................................... 20

Gestión de Riesgos en la Seguridad de la Información. .................................................................... 25

Conclusión. ........................................................................................................................................ 28

Bibliografía. ....................................................................................................................................... 29


3/30

2

Introducción

El presente trabajo tiene como finalidad investigar acerca de los delitos informáticos como por

ejemplo fraude informático, piratería, robo de información entre otros, para tomar acciones deprevención y así erradicar estos actos negativos proponiendo alternativas para evitar estos delitos

a través de recomendaciones prácticas para mejorar la seguridad de la información.

En este documento también se pretende otorgar información para conocer los aspectos de

seguridad más importantes en la gestión de seguridad ya que las computadoras se han convertido

en una herramienta indispensable para el desarrollo humano.

La información que se mostrará a continuación, ha sido una recopilación de algunas páginas del

Internet y basado principalmente en los conceptos que se impartieron en el curso de Legislación en

Informática, añadiendo mi muy particular punto de vista, en muchos de los casos presentados a

continuación. diferentes y diversos servicios, ya sea desde el tan conocido y solicitado e-mail, hastaservicios de compras sobre la Web, que permiten realizar una serie de visitas virtuales en donde se

seleccionan los productos que se quieren adquirir e ir llevando la contabilidad de los objetos que

seleccionamos.


4/30

3

Delitos Informáticos

¿Qué son los delitos informáticos?

Se ha conceptualizado el delito informático de distinta manera, entre las cuales podemos señalar:

1.- Aquellos delitos perpetrados por medio del uso de computadores y todos los delitos en que se

dañe a los computadores o a sus componentes

2.- Todas aquellas acciones u omisiones típicas, antijurídicas y dolosas, trátese de hechos aislados o

de una serie de ellos, cometidos contra personas naturales o jurídicas, realizadas en uso de un

sistema de tratamiento de información y destinadas a producir un perjuicio en la victima a través

de atentados a la sana técnica informática, la cual, generalmente, producirá de manera colateral

lesiones a distintos valores jurídicos, reportándose, muchas veces, un beneficio ilícito en el agente,

sea o no de carácter patrimonial, actúe con o sin ánimo de lucro.

Lo esencial radica en que, tanto los medios de comisión como el objeto del delito, dicen relación

con dispositivos habitualmente utilizados en actividades informáticas.

Delitos Computacionales: entendiéndose a conductas delictuales tradicionales con tipos

encuadrados en nuestro Código Penal que se utiliza los medios informáticos como medio de

comisión por ejemplo: realizar una estafa, robo o hurto, por medio de la utilización de una

computadora conectada a una red bancaria, ya que en estos casos se tutela los bienes jurídicos

tradicionales como ser el patrimonio. También la violación de email ataca la intimidad de las

personas (amparada jurisprudencialmente en la argentina).

Delitos Informáticos: son aquellos conductas delictuales en las que se ataca bienes informáticos en

sí mismo, no como medio, como ser el daño en el Software por la intromisión de un Virus, oaccediendo sin autorización a una PC, o la piratería (copia ilegal) de software, pero esta última esta

en Argentina penalizada con 1 mes a 6 años de prisión, específicamente por la ley 11.723 de Derecho

de Autor.

Pero no robando o dañando el Hardware, porque encuadraría en un delito típico tradicional


5/30

4

Tipos de Delitos Informáticos

Los delitos Informáticos pueden clasificarse según la ONU en estas 3 categorías

•

Fraudes cometidos mediante manipulación de computadoras

•

Manipulación de los datos de entrada

•

Daños o modificaciones de programas o datos computarizados

Los fraudes cometidos mediante manipulación de computadoras pueden clasificarse en:

•

Manipulación de los datos de entrada o sustracción de datos.

•

La manipulación de programas: modificación de programas existentes en un sistema o la

inserción de nuevos programas.

•

Manipulación de los datos de salida.•

Fraude efectuado por manipulación informática: también llamado "técnica del salchicón",

aprovecha las iteraciones automáticas de los procesos de cómputo.

Los fraudes competidos mediante la manipulación de los datos de entrada:

• Como objeto: alteración de los documentos digitales.

• Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.

Los daños o modificaciones de programas o datos computarizados:

• Sabotaje informático: acción de eliminar o modificar funciones o datos en una computadora

sin autorización, para obstaculizar su correcto funcionamiento.

• Acceso no autorizado a servicios y sistemas informáticos.

• Reproducción no autorizada de programas informáticos de protección legal: ver piratería.

Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas

informáticos:

• Acceso ilícito a sistemas informáticos.• Interceptación ilícita de datos informáticos.

• Interferencia en el funcionamiento de un sistema informático.


6/30

5

Abuso de dispositivos que faciliten la comisión de delitos.

Algunos ejemplos de este grupo de delitos son: el robo de identidades, la conexión a redes no

autorizadas y la utilización de spyware y de keylogger.

Delitos relacionados con infracciones de la propiedad intelectual y derechos afines:

Un ejemplo de este grupo de delitos es la copia y distribución de programas informáticos, o piratería

informática.

Ataques que se producen contra el derecho a la intimidad:

Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos

reservados registrados en ficheros o soportes informáticos. (Artículos del 197 al 201 del Código

Penal)

Infracciones a la Propiedad Intelectual a través de la prot ección de los

derechos de autor.

Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de

medios para suprimir los dispositivos utilizados para proteger dichos programas. (Artículos 270 y

otros del Código Penal)

Falsedades:

Concepto de documento como todo soporte material que exprese o incorpore datos. Extensión de

la falsificación de moneda a las tarjetas de débito y crédito. Fabricación o tenencia de programas de

ordenador para la comisión de delitos de falsedad. (Artículos 386 y ss. del Código Penal)Sabotajes informáticos:

Delito de daños mediante la destrucción o alteración de datos, programas o documentos

electrónicos contenidos en redes o sistemas informáticos. (Artículo 263 y otros del Código Penal)

Fraudes informáticos:

Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro

ilícito. (Artículos 248 y ss. del Código Penal)

Amenazas:

Realizadas por cualquier medio de comunicación. (Artículos 169 y ss. del Código Penal)

Calumnias e injurias:

Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión.

(Artículos 205 y ss. del Código Penal)


7/30

6

Pornografía infantil:

Entre los delitos relativos a la prostitución al utilizar a menores o incapaces con fines exhibicionistas

o pornográficos.

La inducción, promoción, favorecimiento o facilita miento de la prostitución de una persona menorde edad o incapaz. (Art 187)

La producción, venta, distribución, exhibición, por cualquier medio, de material pornográfico en

cuya elaboración hayan sido utilizados menores de edad o incapaces, aunque el material tuviere su

origen en el extranjero o fuere desconocido. (Art 189)

El facilita miento de las conductas anteriores (El que facilitare la producción, venta, distribución,

exhibición...). (Art 189)

La posesión de dicho material para la realización de dichas conductas. (Art 189)


8/30

7

Legislación Nacional e Internacional Sobre Delitos Informáticos.

Legislación en Chile

Tipo Norma: Ley 19223

Fecha Publicación: 07-06-1993

Fecha Promulgación: 28-05-1993

Organismo: MINISTERIO DE JUSTICIA

Título: TIPIFICA FIGURAS PENALES RELATIVAS A LA INFORMATICA

Tipo Versión: Única De: 07-06-1993

Inicio Vigencia: 07-06-1993

Id Norma: 30590

URL: https://www.leychile.cl/N?i=30590&f=1993-06-07&p

Artículo 1º.-

El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o

componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio

menor en su grado medio a máximo.

Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará

la pena señalada en el inciso anterior, en su grado máximo.

Artículo 2º.-

El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en

un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con

presidio menor en su grado mínimo a medio.

Artículo 3º.-

El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento

de información, será castigado con presidio menor en su grado medio.

Artículo 4º.-El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá

la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable

del sistema de información, la pena se aumentará en un grado.".

Y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto

como Ley de la República.

https://www.leychile.cl/N?i=30590&f=1993-06-07&phttps://www.leychile.cl/N?i=30590&f=1993-06-07&phttps://www.leychile.cl/N?i=30590&f=1993-06-07&phttps://www.leychile.cl/N?i=30590&f=1993-06-07&p


9/30

8

Santiago, 28 de Mayo de 1993.- ENRIQUE KRAUSS RUSQUE, Vicepresidente de la República.-

Francisco Cumplido Cereceda, Ministro de Justicia.

Legislación internacional

Se ha dicho que algunos casos de abusos relacionados con la informática deben ser combatidos con

medidas jurídico-penales. No obstante, para aprehender ciertos comportamientos merecedores de

pena con los medios del Derecho penal tradicional, existen, al menos en parte, relevantes

dificultades. Estas proceden en buena medida, de la prohibición jurídico-penal de analogía y en

ocasiones, son insuperables por la vía jurisprudencial. De ello surge la necesidad de adoptar medidas

legislativas. En los Estados industriales de Occidente existe un amplio consenso sobre estas

valoraciones, que se refleja en las reformas legales de los últimos diez años.

Pocos son los países que disponen de una legislación adecuada para enfrentarse con el problema

sobre el particular, sin embargo con objeto de que se tomen en cuenta las medidas adoptadas por

ciertos países

¿Qué es lo que se protege en la Ley de Delitos Informáticos?

Toda tipificación de delitos pretende, en último término, proteger bienes jurídicos.

Los bienes jurídicos son intereses relevantes de las personas en tanto sujetos Sociales, considerados

especialmente valiosos y consecuentemente, dignos de Protección penal frente a conductas que los

dañan o ponen en peligro.

Así, respecto del delito de hurto, por ejemplo, el bien jurídico protegido es la Propiedad. En el caso

del homicidio, el bien jurídico protegido es la vida.

En el caso de los delitos tipificados en la Ley 19.233, es “un nuevo bien jurídico que Ha surgido con

el uso de las modernas tecnologías computacionales: la calidad, la Pureza e idoneidad de la

información en cuanto tal, contenida en un sistema Automatizado de tratamiento de la misma y delos productos que de su operación Se obtengan”.

Sin embargo, no sólo se protege ese bien sino que además, concurren otros, tales como: el

patrimonio, en el caso de los fraudes informáticos; la privacidad, intimidad y confidencialidad de los

datos como es el caso del espionaje informático; la seguridad y fiabilidad del tráfico jurídico y

probatorio en el caso de las falsificaciones de datos probatorios vía medios informáticos; el derecho


10/30

9

de propiedad sobre la información y sobre los elementos físicos, materiales de un sistema

informático, en el caso de los delitos de daños.

¿Cuáles son las conductas sancionadas en la Ley?

La Ley Nº 19.223 contempla cuatro artículos, que si bien corresponden cada uno a Un tipo de

conducta distinta, se pueden clasificar en dos grandes figuras delictivas:

Sabotaje Informático;

Espionaje Informático.

Estas dos figuras se subdividen en categorías distintas, atendiendo al objeto contra el cual se atenta

y/o al modus operandi.

¿En qué consiste el Sabotaje Informático?

El Sabotaje Informático (artículos 1 y 3 de la Ley Nº 19.223) comprende aquellas conductas

tipificadas atendiendo al objeto que se afecta o atenta con la acción delictual, y que puede ser un

sistema de tratamiento de la información o de sus partes componentes, el funcionamiento de un

sistema de tratamiento de la información, y/o los datos contenidos en un sistema automatizado de

tratamiento de la información. El atentado a estos objetos puede ser a través de su destrucción,

Inutilización, obstaculización o modificación.

¿En qué consiste el Espionaje Informático?

El Espionaje Informático (artículo 2 y 4 de la Ley Nº 19.223) comprende aquellas figuras delictivas

que atienden al modo operativo que se ejecuta y que pueden ser, en primer lugar, delitos de

apoderamiento indebido (apropiarse de la información), uso indebido (usar la información para

cualquier fin) o conocimiento indebido de la información, cometidos interfiriendo, interceptando o

meramente accediendo al sistema de tratamiento de datos. Estas figuras se encuentran descritas

en el artículo 2º de la Ley, y comprende lo comúnmente conocido como "hacking".

En segundo lugar, comprende también los delitos de revelación indebida y difusión de datos

contenidos en un sistema de tratamiento de la información (artículo 4º de la ley).

¿Cuáles son las penas de estos delitos?

Las penas asignadas a los delitos son bastantes altas.


11/30

10

Para el caso de Figuras de Sabotaje Informático: En el caso de las figuras del Artículo 1º, a las

conductas de destrucción e inutilización de un sistema de tratamiento de información o de sus

partes oComponentes, y a las conductas de impedimento, obstaculización o modificación de su

funcionamiento, las penas asignadas van desde 541 días a 5 años. Para el caso que dichas conductas

traigan como consecuencia la destrucción de los datos, la pena asignada va de 3 años y un día a 5

años.

En el caso del Artículo 3º, las conductas de destrucción, daño o alteración maliciosa de los datos,

tienen asignadas penas que van desde los 541 días a los 3 años.

Para el caso de Figuras de Espionaje Informático: En el caso del Artículo 2º, esto es, las conductas

de apoderamiento, uso y conocimiento indebido mediante la interceptación, interferencia y acceso

al sistema, las penas van desde 61 días a 3 años. Finalmente, en lo que respecta al Artículo 4º, las

conductas de revelación o difusión maliciosa de los datos, tienen penas que van desde los 541 días

hasta 3 años. Si la persona que incurre en estas conductas es el encargado del sistema, la pena sube

de 3 años y un día a 5 años.

¿Quiénes pueden querellarse contra estas conductas?

No hay limitaciones en este aspecto, y puede querellarse cualquier persona víctima de estas

conductas. En este punto es importante destacar que los delitos informáticos son delitos de acción

pública, lo que significa que no se requiere la existencia de un querellante para que se proceda a

iniciar la respectiva investigación y posterior juicio, basta la denuncia y los fiscales están obligados

a investigar y perseguir la responsabilidad penal.


12/30

11

Amenazas Humanas.

"Nadie será objeto de injerencias arbitrarias en su vida privada, su familia, su domicilio o su

correspondencia, ni de ataques a su honra o a su reputación. Toda persona tiene derecho a laprotección de la ley contra tales injerencias o ataques."

Art. 12 Declaración Universal de Derechos Humanos, 1948.

A continuación se explicaran cada uno de los personajes que pueden ser potenciales atacantes de

sistemas informáticos, el mundo under y el personal perteneciente a la organización.

El Hacker:

Desde los primeros albores del hacking siempre se ha mantenido una extraña relación entre estos

particulares personajes, lo legal, lo ético y lo moral, siendo estas características, lo que intentan

resaltar para esclarecer la diferencia entre cada uno de los clanes existentes en la Red (como se lallama comúnmente en la jerga).

En el presente documento sólo se tratará de exponer el perfil de la persona encargada de una de

las principales, (publicitariamente), si bien no la mayor amenaza que asechan los sistemas

informáticos; para luego sí entrar en las formas de ataques propiamente dichos.

Por definición un Hacker es alguien que descubre las debilidades de un computador o de una red

informática, aunque el término puede aplicarse también a alguien con un conocimiento avanzado

de computadoras y de redes informáticas.

Los hackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro,

protesta o por el desafío.

La subcultura que se ha desarrollado en torno a los hackers a menudo se refiere a la cultura

underground de computadoras, pero ahora es una comunidad abierta. Aunque existen otros usos

de la palabra «hacker» que no están relacionados con la seguridad informática, rara vez se utilizan

en el contexto general. Están sujetos a la antigua controversia de la definición de hacker sobre el

verdadero significado del término. En esta controversia, el término hacker es reclamado por los

programadores, quienes argumentan que alguien que irrumpe en las computadoras se denomina

«cracker», sin hacer diferenciación entre los delincuentes informáticos conocidos como sombreros

negros, y los expertos en seguridad informática conocidos como sombreros blancos. Algunos

hackers de sombrero blanco afirman que ellos también merecen el título de hackers, y que solo los

de sombrero negro deben ser llamados crackers.


13/30

12

Personal (Insiders):

Es común pensar en el personal interno como víctima de atacantes externos; sin embargo, de los

robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70% son causados por

el propio personal de la organización propietaria de dichos sistemas ("Inside Factor").Un conocido Hacker Latino llamado Julio C. Ardita explica que "desde mitad de 1996 hasta 1999 la

empresa tuvo dos casos de intrusiones pero en el 2000 registramos siete, de las cuales 5 eran intrusos

internos o ex-empleados" .

El siguiente gráfico detalla los porcentajes de intrusiones clasificando a los atacantes en internos y

externos.

Esto es realmente preocupante, ya que, una persona que trabaje con el administrador, el

programador o el encargado de una máquina conoce perfectamente el sistema, sus puntos fuertesy débiles; de manera que un ataque realizado por esa persona podrá ser más directo, difícil de

detectar y más efectivo que el que un atacante externo pueda realizar.

Existen diversos estudios que tratan sobre los motivos que llevan a una persona a cometer delitos

informáticos contra su organización, pero sean cuales sean, estos motivos existen y deben

prevenirse y evitarse. Suele decirse que todos tenemos un precio (dinero, chantaje, factores

psicológicos, etc.), por lo que nos pueden arrastrar a robar y vender información o simplemente

proporcionar acceso a terceros.

Como ya se ha mencionado los ataques pueden ser del tipo pasivos o activos, y el personal realiza

ambos indistintamente dependiendo de la situación concreta.

Dentro de este espectro podemos encontrar:

• Personal Interno

• Ex-Empleado

• Curiosos

• Terroristas

• Intrusos Remunerados


14/30

13

Definiciones:

PERSONAL (INSIDERS). Se ha presentado al personal como víctima de atacantes externos; sin

embargo, de los robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70%

(son causados por el propio personal de la organización propietaria de dichos sistemas ("InsideFactor").Como ya se ha mencionado, los ataque pueden ser activos o pasivos y el personal puede

realizar ambos.

PERSONAL INTERNO. Las amenazas a la seguridad de un sistema, provenientes del personal del

propio sistema informático rara vez son tomadas en cuenta porque se supone un ámbito de

confianza muchas veces inexistente.

EX-EMPLEADO. Generalmente se trata de personas descontentas con la organización que conocen

a la perfección la estructura del sistema y tienen los conocimientos necesarios como para causar

cualquier tipo de daño. También han existido casos donde el ex-empleado deja Bombas Lógicas que

''explotan'' tiempo después de marcharse.

CURIOSOS. Son personas que tienen un alto interés en las nuevas tecnologías pero aún no tienen

los conocimientos ni experiencia básicos para considerarlos hackers o crackers

TERRORISTAS. Bajo esta definición se engloba a cualquier persona que ataca el sistema para causar

daño de cualquier índole en él.

INTRUSOS REMUNERADOS. Crackers o piratas pagados por una tercera parte para robar ''secretos''.


15/30

14

Ejemplos de Amenazas de Personal Interno

Ejemplo 1:

Uno de los ejemplos más comunes es el robo de información por personal interno para ser vendidos

a empresas privadas para recibir un pago por ello.

Un caso muy conocido a nivel nacional es el robo de bases de datos del registro civil.

En se ha puesto en riesgo la seguridad nacional y la información personal de todos los chilenos y

extranjeros residentes.

Daniel Álvarez, abogado y miembro de ONG Derechos Digitales, escribe una carta a La Tercera, a

propósito de la denuncia de copia y manejo irregular de la base de datos del Registro Civil.

Un funcionario todavía no identificado habría copiado información de una base de datos con

“50.481.298 registros relativos a documentación de cédula y pasaporte de TODOS los chilenos”,

según detalla un mail interno del organismo. El robo de información se habría realizado el 12 de

septiembre de 2013, en pleno paro de funcionarios.

Álvarez señala que este hecho “deja en evidencia la debilidad de los sistemas y protocolos de

seguridad informática con los que cuenta el Registro Civil”.

“Se trata de datos que, por ejemplo, son de interés de empresas del retail o incluso de otros países,

que pueden ser vendidos y utilizados de mala forma”, explica La Tercera y, según afirma el

académico Renato Jijena, “Hay empresas que van a pagar mucho dinero para tener una base

actualizada y fidelizada con todos los antecedentes”.

Ejemplo 2:

Otro caso que no hay que dejar de mostrar como ejemplo es importantísimo por su antigüedad y

heroísmo es:

“La increíble historia del funcionario que hackeó a IBM”

La historia de uno de esos nombres, posiblemente, el primer hacker de la historia. Un funcionario

que fue capaz de salvar la vida de cientos de judíos alterando la tecnología de la mismísima IBM.

Esta es la historia de René Carmille.

Si al ingenio del mago John Maskelyne se le podría considerar como el precursor de lo que hoy

entendemos por hacker (o cracker), años más tarde sería su nieto Jasper Maskelyne, el ilusionista,

el hombre que comenzaría a construir la definición de un hacker. Se trata de otra figura heroica que

emergió en la Segunda Guerra Mundial, gracias a sus trucos y señuelos la armada británica logró

ventaja en el campo de batalla. Aun así y para ser exactos con el término, ni Jasper ni John fueron

hackers, no hay informática por medio, pero desde luego allanaban el camino para que apareciera

la figura de Carmille.


16/30

15

IBM y la tecnología para computar judíos

En plena expansión del Reich, el gobierno alemán había tomado una decisión que escondía una

decisión macabra. Anunciaba el inicio de un censo para “ordenar” a la población. La realidad es que

detrás de la iniciativa se escondía la persecución de todos los judíos que existían en cada territorioocupado. Para ello los nazis hacían uso de las administraciones de los países donde llegaban, entre

otros de los Centros de Estadística, un lugar desde el que comenzarían a rastrear, arrestar y

finalmente deportar a los campos de concentración o como mano de obra esclava.

El censo que llevarían a cabo se realizaba a través de las máquinas Hollerith, filial alemana de IBM,

a través de unas tarjetas perforadoras. Cada tarjeta asignaba a un ciudadano, y cada ciudadano tenía

en la tarjeta una serie de identificaciones entre las que se encontraría la raza o la religión.

La increíble historia del funcionario que hackeó a IBM salvando del Holocausto a cientos de judíos

Tarjetas perforadoras utilizadas para el censo.

Estas máquinas, también conocidas como tabuladoras, son una de las primeras en la historia de

aplicación en informática. Existen desde 1890 y fueron creadas por Herman Hollerith con la idea de

tabular el censo de ese mismo año en Estados Unidos. Años más tarde, en 1896, se produce una

fusión con otras tres empresas, lo que finalmente dio lugar en 1924 a la International Machines

Corporation (IBM).

Por tanto la historia dice que estas máquinas de IBM fueron las encargadas de comparar cada día

durante el Holocausto los posibles cambios de los ciudadanos, ya sea de domicilio o estado civil.


17/30

16

Pensemos que la utilización de estas máquinas, utilizadas por Alemania diariamente, reportaron a

los fabricantes de esa época grandes dividendos.

Modelo de máquina Hollerith.

Es en este momento de la historia cuando aparece la figura de nuestro héroe. René Carmille,

aparentemente un hombre más, era un funcionario del Departamento de Demografía de Vichy,

además y posteriormente estuvo trabajando en el Centro Nacional de Estadística como jefe del

servicio. Evidentemente no era uno más, también era un experto en el manejo de las cartas

perforadas para almacenar datos y la historia le atribuye el honor de ser el inventor del código

alfanumérico que al final de la guerra sería utilizado por Francia para el número de la Seguridad

Social.

En este contexto, cada territorio conquistado por los nazis en Europa suponía una puesta a punto

con los censos a través de estas tarjetas. Llegados a Vichy tras la caída de Francia, a Carmille lo

envían a Alemania para aprender a trabajar con las nuevas máquinas y comenzar a trabajar para los

nazis en Vichy desde el Centro de Estadísticas. El hombre desconfía y piensa acertadamente que el

trabajo de los censos esconde algo más. Meses más tarde llega la confirmación de sus pesquisas, el

ministro de Justicia de Vichy, Raphael Alibert, le pide a Carmille que incluya la pregunta número 11

en las tarjetas: la religión del ciudadano en cuestión.

Unos meses antes, Carmille se había enrolado en la red Marco Polo de la Resistencia, una especie

de servicio secreto de la autoproclamada Francia libre con la que podía llevar a cabo un plan que“hackeara” las máquinas del censo. La idea: modificar o alterar los códigos que se introducían en las

tarjetas de forma que podría ocultar la identidad de muchos judíos de Francia.

Un trabajo que le tomó horas diarias con el que iría salvando vidas en cada tarjeta modificada. El

funcionario y el equipo a su cargo omitían o realizaban errores de bulto sobre esa pregunta número

11 que retrasaba las redadas y las identificaciones de los judíos. No sólo eso, Carmille se las ingenia

también para robar información del censo y pasarla a la Resistencia francesa.


18/30

17

Tenemos por tanto al que podríamos considerar el primer hacker de la historia salvando

literalmente miles de vidas.

Desgraciadamente y con el tiempo, cuantos más “errores” y desinformación se produce mayor es

el cerco de los alemanes, quienes comienzan a pedir explicaciones intentando averiguar lanaturaleza de los mismos. Pasaron varios años hasta que descubrieron a Carmille, pero en febrero

de 1944 fue detenido por la Gestapo, momento en el que los nazis ponen a gente de confianza al

cargo de los censos.

Carmille acaba siendo deportado a un campo de exterminio tras haber sido torturado durante dos

días. Allí moriría de tifus un 25 de enero de 1945 con 59 años de edad. Con su muerte se perdía la

figura del, posiblemente, primer hacker de la historia, además de uno de los grandes héroes

anónimos del Holocausto. En cuanto a la cifra de vidas que pudo haber salvado vulnerando la

tecnología del censo, no se tiene constancia del número exacto, pero podría valer un dato revelador:

durante la misma fecha en la que Carmille actuaba sobre los censos, en Holanda un 75% de los

hebreos fueron deportados a los campos. En Francia, donde actuó Carmille, la cifra fue de un 25%.


19/30

18

Ejemplo de Amenazas de Ex Empleados.

Ejemplo 1:

Caso conocido en el año 2001 Un ex-empleado del equipo de desarrollo vulneró 46 veces el sistema

que controla la planta de tratamiento de aguas residuales en Queensland (Australia), liberando

264.000 galones de crudo en ríos y parques, lo que provoco un grave daño ambiental.


20/30

19

Ejemplo 2:

Otro caso ocurrido en el 2008 un ex consultor de TI de la empresa en Long Beach (California), utilizó

múltiples cuentas de usuarios, manipuló unos sistemas SCADA de la compañía utilizada para operar

remotamente gigantes plataformas petroleras y detectar fugas de gas.A continuación un artículo publicado en www.enriquedans.com

“Pocas cosas se imaginan más sólidas y bajo un control más férreo que una plataforma petrolíferade muchísimas toneladas extrayendo petróleo en el medio del mar. Por eso me ha llamado la

atención esta nota de Slashdot, “Offshore drilling rigs vulnerable to hackers“, en la que se comentan

varios casos de ataques y de virus en los sistemas informáticos de estas plataformas: en un caso, un

trabajador temporal disgustado por no tener contrato indefinido tomó el control de un sistema de

comunicación con la costa encargado entre otras cosas de la detección de fugas de petróleo y

provocó varios miles de dólares en daños, aunque no fugas. En otros casos, en plataformas del Mar

del norte, el ataque de virus ha llegado a provocar daños a trabajadores y pérdidas de producción.”

http://www.enriquedans.com/http://www.enriquedans.com/http://www.enriquedans.com/http://www.enriquedans.com/


21/30

20

Recomendaciones Básicas para Evitar Las Amenazas Humanas.

Cuidado con los adjuntos en tu correo

Si no lo conoces, no lo abras. Con esa lógica de pensamiento, tendrías que quedarte a salvo durante

mucho tiempo de los correos electrónicos de direcciones extrañas o que tienen archivos adjuntos

como .pps, .zip, .exe, etc. Por más que no estés pasando un buen momento, y la invitación a tomar

pastillas milagrosas de forma gratuita parezca tentadora... ¿Vale la pena el riesgo? Incluso cuando

un correo con adjunto que no esperabas te lo envía un conocido, lo mejor es preguntarle mediante

cualquier medio si él lo ha enviado para estar un poco más seguros. A nivel software, lo que puedes

hacer son análisis del correo a través de tu antivirus o aplicación antimalware favorita. Desconfiar,

sin llegar a la paranoia, es una buena herramienta para no caer bajo el yugo de las amenazas.

Actualiza el software de tu sistema periódicamente

Más reciente, más resistente. Esta debería ser una verdad de perogullo, pues es tan simple como

pensar “si yo uso una aplicación que está desactualizada hace tres meses, llevo tres meses de

vulnerabilidades no resueltas encima”, lo que hará a tu sistema más propenso a recibir malware. La

reticencia a actualizar software (incluyendo sistema operativo) se debe a costos, a pereza y también,

fundamentalmente, a olvido. Por eso es bueno contar con algunas aplicaciones que revisan si hay

actualizaciones disponibles para el software que tenemos instalado y nos recomiendan su descarga.

Actualizar soft no quiere decir que con la nueva versión no puedan venir otros agujeros, pero es

menos usual que el caso anterior. Y en el caso de los sistemas operativos, el caso de Windows XP y

7 es ilustrativo por demás.

Crea mejores contraseñas y cámbialas cada seis meses

Más dificultad, menos previsibilidad. Un primer y obligado lugar es en tu campo de texto:

“introduzca una nueva contraseña”. Es que apelar a la misma contraseña de años para todos los

servicios a los que estás suscrito es realmente un riesgo, pues si te descubren una; descubren todo.

Así que lo mejor es crear contraseñas por servicio o por género de servicio, además de tener un

administrador de contraseñas, olvidarse de “recordar contraseña” en sitios públicos y usar

aplicación para crear claves cifradas que ni el más nerd del MIT podría adivinar sin que le tomara

toda su vida.


22/30

21

Usa antivirus y aplicaciones anti-malware

No queremos héroes: usa Antivirus. El antivirus puede costar dinero o no, pero estamos de acuerdo

en que utiliza recursos del sistema que te podrían dar algún dolor de cabeza. Pero, sopesando los

riesgos, un antivirus activo es siempre más efectivo y seguro que un ordenador sin él. Pues en elsegundo caso el sistema depende mucho de tu cuidado, y si algún día fallas, te olvidas o alguien usa

tu sistema, adiós. Hay antivirus por doquier y ofrecen diferentes desempeños según coste y según

uso de RAM. Escoge el que más te convenga. Lo mismo con las aplicaciones anti-malware, Spybot

Search and Destroy y MalwareBytes son el dúo dinámico que viene al rescate ante la señal en el

cielo de que han pasado tres días desde el último análisis.

Acostumbra a cerrar las sesiones al terminar

Una ventana de entrada es también una ventana de salida. El ser humano es curioso por naturaleza,

y en cuanto ve algo que no es suyo puesto a su disposición, lo más probable es que, al menos porcuriosidad, haga uso de ese regalo del devenir. Esto suele pasar en los cibercafés, en las oficinas de

trabajo y en todos los sitios donde los ordenadores se comparten. Si abres Facebook, Gmail o

cualquier otro servicio, acostúmbrate a cerrar la sesión antes de levantarte de la silla para irte. Con

esto evitarás entrar en la inmensa tasa de usuarios que pierden datos por dejar abiertas sus sesiones

por ahí. Un buen ejercicio para generar el hábito es hacerlo en tu casa también, cada vez que te

levantes del ordenador; cierra la sesión.

Evita operaciones privadas en redes abiertas y públicas

Compartir la conexión, pero no los datos. Uno de los asuntos más complicados para muchos turistases encontrarse de vacaciones y tener que realizar movimientos bancarios desde la red abierta de su

hotel o desde algunas de las redes abiertas del lugar. Esto significa comodidad, pero también

posibilidades para que el sniffing cobre forma y nos asalten las cuentas bancarias, sociales, de

correo, etc. en un abrir y cerrar de ojos. Para evitar esto habría que evitar conectarse, y eso es como

decirte que cortes la luz de tu hogar para que nunca te electrocutes. Por eso, lo mejor es usar medios

alternativos como servidores VPN o, más accesibles, extensiones como Blacksheep, acceder sólo a

sitios con protocolo HTTPS y tener el firewall al máximo de atención.

Activa el Firewall de tu sistema

La Gran Muralla China no se construyó para decoración. Esta frase debería ser una invitación a que

nos cuidemos más sin poner tantos caprichos a la hora de ser un poco cercenados en nuestra

comodidad. Un Firewall o cortafuegos puede ser configurado totalmente para que la molestia de su

presencia te resulte reconfortante a nivel protección, ya que puedes modificar el sistema de

prioridades, agregar excepciones y, si estás en Windows, utilizar aplicaciones alternativas que te

den más posibilidades aún.


23/30

22

Evita software con recurrentes asociaciones a afecciones

CanciónMuyLinda.exe no es un MP3: Debido a la cantidad de estafas que existen en relación a los

servicios web, aplicaciones y lo que se les ocurra, tener una idea clara de qué programas no

contribuyen a que tu ordenador sea un refugio de virus y malware, es un tanto complejo. Por esoproponemos una vuelta a los clásicos y a sus alternativas. Pero como no se puede dejar de lado la

innovación, es bueno que tengas como referencia algún sitio web que te limpie las dudas sobre la

legitimidad de un software, pues mientras que muchos programas prometen eliminar malware, son

ellos mismos quienes son reportados como infecciones, además de contaminar tu sistema para

poder venderte la solución.

Desconéctate de internet cuando no la necesites

Menor grado de exposición, menor tasa de infección: Hay excepciones por montones, pero la mayor

cantidad de infecciones se dan cuando los ordenadores están conectados a la red, pues los spywaresy malware realizan sus acciones comunicándose con servidores o remitiendo información utilizando

puertos abiertos en tu conexión. Por lo que si quieres bajar la tasa de posibilidades de infección y

utilizas el ordenador mucho tiempo sin necesidad de una conexión a la red (juegos, diseño, escritura,

etc) o si te vas a ir a dormir o si directamente vas a estar ausente, desconectando internet te evitas

que algo pase en tu sistema sin apagar el ordenador. Simple, pero 100% efectivo.

Realiza copias de seguridad

Más vale prevenir que curar: En el caso de darse una situación donde pierdes datos por falta de

políticas de seguridad en tu ordenador, por no llevar a cabo algo de todo lo que hemos contadoarriba, la situación más común es la desesperación. Pero si serán importantes los backups o copias

de seguridad, que cuando todos estarían inundándose en llanto, quien hizo la tarea y respaldó sus

datos se lo tomará como una experiencia más. No hay VNP, antivirus, paranoia que le gane a la

seguridad que brinda la existencia de los datos en otro disco o servicios en la nube. En cuanto a

software, hicimos una recomendación de 6 aplicaciones para respaldar tus datos, escoge la que más

te guste y siéntete tranquilo haciendo un Backup cada cierto periodo de tiempo. También puedes

respaldar tu correo u otros servicios sociales.

Seguridad en redes sociales

En la actualidad, las redes sociales son muy populares y los usuarios las utilizan masivamente; estas

características las transforman en importantes focos de propagación de malware. Por tal motivo, se

torna necesario tener en cuenta y aplicar las siguientes medidas preventivas:

• Intentar no publicar información sensible y confidencial, debido a que personas extrañas pueden

aprovechar esta información con fines maliciosos.


24/30

23

• También es recomendable evitar la publicación de fotografías propias y de familiares. Las

fotografías pueden ser utilizadas para complementar actos delictivos, incluso fuera del ámbito

informático.

• Mantener la privacidad del perfil; es decir, configurar el perfil para que no sea público.• No responder las solicitudes de desconocidos, ya que pueden contener códigos maliciosos o

pueden formar parte de actividades delictivas.

• Ignorar los mensajes que ofrecen material pornográfico, pues usualmente a través de ellos suele

canalizarse la propagación de malware, además de otras acciones ofensivas desde el punto de vista

ético y moral.

• No abrir contenidos con spam a través de este medio. De esta manera se evita formar parte del

ciclo de vida del spam a través de este canal.

• Cambiar periódicamente la contraseña para evitar que la misma sea descubierta fácilmente.

• Antes de aceptar contactos espontáneos, es recomendable verificar su existencia y que realmente

provienen de quien dice ser

Autenticación

Este proceso, es otro método para mantener una comunicación seguro entre ordenadores. La

autenticación es usada para verificar que la información viene de una fuente de confianza.

Básicamente, si la información es auténtica, sabes quién la ha creado y que no ha sido alterada. La

encriptación y la autenticación, trabajan mano a mano para desarrollar un entorno seguro.

Hay varias maneras para autenticar a una persona o información en un ordenador:

•

Contraseñas – El uso de un nombre de usuario y una contraseña provee el modo más común

de autenticación. Esta información se introduce al arrancar el ordenador o acceder a una

aplicación. Se hace una comprobación contra un fichero seguro para confirmar que

coinciden, y si es así, se permite el acceso.

•

Tarjetas de acceso – Estas tarjetas pueden ser sencillas como si de una tarjeta de crédito se

tratara, poseyendo una banda magnética con la información de autenticación. Las hay más

sofisticadas en las que se incluye un chip digital con esta información.

•

Firma digital – Básicamente, es una manera de asegurar que un elemento electrónico

(email, archivo de texto, etc.) es auténtico. Una de las formas más conocidas es DSS (Digital

Signature Standard) la cual está basada en un tipo de encriptación de clave pública la cual

usa DSA (Digital Signature Algorithm). El algoritmo DSA consiste en una clave privada, solo

conocida por el que envía el documento (el firmante), y una clave pública. Si algo es

cambiado en el documento después de haber puesto la firma digital, cambia el valor contra

lo que la firma digital hace la comparación, invalidando la firma.


25/30

24

Recientemente, otros métodos de autenticación se están haciendo populares en varios medios que

deben mantenerse seguros, como son el escaneo por huellas, de retina, autenticación facial o

identificación de voz.


26/30

25

Gestión de Riesgos en la Seguridad de la Información.

Unidas, la Gestión de Riesgos y la Seguridad de Información tienen como principal desafío proteger

uno de los principales activos de una organización: la información.

La información, en sus más variadas formas, es uno de los activos más valiosos y estratégicos de

cualquier empresa hoy. Tanto para almacenarse adecuadamente, así como para disponer de datos

e información relevante. Las principales preocupaciones de las organizaciones son la Seguridad de

la Información y la Gestión de Riesgos.

Esencial para la salud organizacional, la Seguridad de la Información está basada en cinco pilares:

•Confidencialidad, que limita y controla el acceso a la información, de acuerdo a la autorización y

necesidades de la empresa.

•Integridad, que garantice las características originales de la información. •Disponibilidad, que garantice el acceso de los usuarios para uso legítimo, de acuerdo con la

autorización.

•Autenticidad, que garantice la fuente de la información.

•Irreversibilidad, que asegura la autoría de la información. La Gestión de Riesgos unida a la

Seguridad de la Información

La Gestión de Riesgos, por su parte, es fundamental para garantizar el perfecto funcionamiento de

toda la estructura tecnológica de la empresa, engloba la Seguridad de la Información, ya que hoy la

vulnerabilidad y cantidad de riesgos que pueden comprometer la información de la empresa cada

vez es mayor.

Al englobar la Gestión de la Seguridad de la Información, la Gestión de Riesgos tiene como

principales desafíos proteger uno de los principales activos de la organización: la información, así

como la reputación de la marca de la empresa, implementar y administrar controles que tengan

como foco principal los objetivos del negocio, promover acciones correctivas y preventivas de forma

eficiente, garantizar el cumplimiento de reglamentaciones y definir los procesos de gestión de la

Seguridad de la Información.

Entre las ventajas de invertir en la Gestión de Riesgos orientada a la Seguridad de la Información,

está la prioridad de las acciones de acuerdo con las necesidades y los objetivos de la empresa y la

utilización de mediciones e indicadores de resultados.


27/30

26

Soluciones para Gestión de Riesgos y Seguridad de la Información

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para

posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases

• Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades

que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de

riesgo.

• Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.

• Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los

usuarios conforme a las medidas.

• Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para

determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

Todo el proceso está basado en las llamadas políticas de seguridad, normas y reglas institucionales,

que forman el marco operativo del proceso, con el propósito de

• Potenciar las capacidades institucionales, reduciendo la vulnerabilidad y limitando las amenazas

con el resultado de reducir el riesgo.

Orientar el funcionamiento organizativo y funcional.

Garantizar comportamiento homogéneo.

Garantizar corrección de conductas o prácticas que nos hacen vulnerables.

Conducir a la coherencia entre lo que pensamos, decimos y hacemos.


28/30

27

Política de Gestión del Riesgo de Seguridad de la Inf ormación

Objeto

El objetivo de esta política es fijar los criterios básicos necesarios para la Gestión del riesgo de

seguridad de la información en el Organismo.

Alcance

Esta política alcanza a todos los activos de información del Organismo, incluso Aquellos gestionados

mediante contratos con terceros.

Responsabilidad

La Dirección del Organismo es responsable de:

Generar las condiciones adecuadas para la ejecución y comunicación de la presente política,

así como de establecer el alcance para su Aplicación.

Designar un equipo responsable por la gestión del riesgo de seguridad de la información.

Los propietarios de los procesos son responsables de:

Dar aplicación a la presente política y por la identificación, estimación, valoración de los

riesgos identificados.

El Responsable de la Seguridad de la Información es responsable de:

• Brindar asesoramiento en la identificación de las amenazas que pueden afectar a los activos de

información y las vulnerabilidades que propician las mismas.

Estas tres partes mencionadas, serán responsables por la definición de las acciones de tratamiento

de los riesgos de seguridad de la información en el Organismo.

Desarrollo

La Dirección del Organismo reconoce la importancia de preservar los activos de información, por lo

que asigna alta prioridad a la gestión de riesgo a través de la identificación, evaluación y tratamiento

de los riesgos relativos a la seguridad de la información.

Es política del Organismo:

Establecer, formalizar y poner en práctica una metodología para la gestión del riesgo.

Definir y establecer en forma explícita el nivel de aceptación del riesgo por parte de la

dirección del Organismo.

Contar con la aprobación explícita de los planes de tratamiento del riesgo residual. Realizar evaluaciones periódicas de riesgo en seguridad de la información.

Mantener informadas a las partes involucradas sobre el estado del riesgo.


29/30

28

Conclusión.

Se puede decir que el delito informático es el delito del siglo XXI, puede ocasionar grandes pérdidas

de dinero en pocos segundos y afectar la privacidad de las personas sin que estas se percaten deello, entre otras consecuencias, van de la mano con los avances de la tecnología.

Existe en el mundo un gran interés por contrarrestar e investigar este tipo de conductas, es por ello

que se ha legislado sobre este tema en diferentes países, sobresaliendo el convenio de Budapest

sobre ciberdelincuencia que se espera sea aceptado por la mayoría de países para que se convierta

en una normatividad global. Se debe fortalecer estas leyes para que sean efectivas además de ser

tan dinámicas como lo son las mismas tecnologías de la información.

Las personas como victimas principales de estos delitos, deben toman conciencia de la importancia

de aplicar métodos de seguridad Informática en sus sistemas domésticos o empresariales para

contrarrestar y evitar al máximo sufrir las consecuencias de estas acciones ilegales.


30/30

Bibliografía.

www.segu-info.com.ar/amenazashumanas/amenazashumanas.htm

es.wikipedia.org/wiki/Hacker_(seguridad_inform%C3%A1tica) derechosdigitales.tumblr.com/post/80705155587/roban-base-de-datos-del-registro-civil

www.latercera.com/noticia/nacional/2014/03/680-570673-9-registro-civil-denuncia-

copia-irregular-de-bases-de-datos-de-carnes-y-pasaportes.shtml

www.enriquedans.com

es.gizmodo.com/la-increible-historia-del-funcionario-que-hackeo-a-ibm-1740947615

http://www.abc.es/20111118/tecnologia/abci-diez-consejos-seguridad-informatica-

201111181236.html

www.segu-info.com.ar/amenazashumanas/recomendaciones.htm

www.welivesecurity.com/wp-

content/uploads/2014/01/buenas_practicas_seguridad_informatica.pdf

https://www.leychile.cl/N?i=30590&f=1993-06-07&p

seguridad ti

Documents