¡Descarga buenas prcticas en seguridad informatica y más Apuntes en PDF de Derecho Penal solo en Docsity!
Buenas prácticas en seguridad informática Definición de Seguridad Informática La seguridad informática o seguridad de tecnologías de la información es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información contenida o circulante. Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organización valore (activo) y signifique un riesgo si esta información confidencial llega a manos de otras personas, convirtiéndose, por ejemplo, en información privilegiada. Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación solo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. Seguridad Informática en los Datos 1.Integridad: La información solo puede ser modificada por quien esta autorizado y de manera controlada. 2.Confidencialidad: La información sólo debe ser legible para los usuarios autorizados. 3.Disponibilidad: Debe estar disponible siempre que se necesite. 4.Irrefutabilidad: El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción. Objetivos del Área de Seguridad Informática La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.
Amenazas Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento acción que puede producir un daño (material o inmaterial) sobre los elementos de un sistema, en el caso de la Seguridad Informática, los Elementos de Información. •Las amenazas pueden ser causadas por: •Usuarios •Programas maliciosos •Errores de programación •Intrusos •Un siniestro •Personal técnico interno •Fallos electrónicos o lógicos de los sistemas informáticos en general. •Catástrofes naturales Tipos de Amenazas •Amenazas por el origen 1.Amenazas Internas 2.Amenazas Externas •Amenazas por el Efecto •Amenazas por el medio Utilizado Tipos de Amenazas Amenazas por el origen El hecho de conectar una red a un entorno externo nos da la posibilidad de que algún atacante pueda entrar en ella, con esto, se puede hacer robo de información o alterar el funcionamiento de la red. Sin embargo el hecho de que la red no esté conectada a un entorno externo, como Internet, no nos garantiza la seguridad de la misma. De acuerdo con el Computer Security Institute(CSI) de San Francisco aproximadamente entre el 60 y 80 por ciento de los incidentes de red son causados desde dentro de la misma. Basado en el origen del ataque podemos decir que existen dos tipos de amenazas: •Amenazas internas •Amenazas externas Amenazas por el efecto El tipo de amenazas por el efecto que causan a quien recibe los ataques podría clasificarse en: •Robo de información.
•Esto es falso, pues existen múltiples formas de contagio, además los programas realizan acciones sin la supervisión del usuario poniendo en riesgo los sistemas, si bien la medida es en sí acertada y recomendable. «Como tengo antivirus estoy protegido» •En general los programas antivirus no son capaces de detectar todas las posibles formas de contagio existentes, ni las nuevas que pudieran aparecer conforme los ordenadores aumenten las capacidades de comunicación, además los antivirus son vulnerables a desbordamientos de Buffer (Buffer Overflow) que hacen que la seguridad del sistema operativo se vea más afectada aún, aunque se considera como una de las medidas preventivas indispensable. •«Como dispongo de un firewall no me contagio» •Esto únicamente proporciona una limitada capacidad de respuesta. Las formas de infectarse en una red son múltiples. Unas provienen directamente de accesos al sistema (de lo que protege un firewall ) y otras de conexiones que se realizan (de las que no me protege). Emplear usuarios con altos privilegios para realizar conexiones puede entrañar riesgos, además los firewalls de aplicación (los más usados) no brindan protección suficiente contra el spoofing. En todo caso, el uso de cortafuegos del equipo y de la red se consideran altamente recomendables. •«Tengo un servidor web cuyo sistema operativo es un Unix actualizado a la fecha y por tanto seguro» •Puede que esté protegido contra ataques directamente hacia el núcleo, pero si alguna de las aplicaciones web (PHP, Perl, Cpanel, etc.) está desactualizada, un ataque sobre algún script de dicha aplicación puede permitir que el atacante abra una shell y por ende ejecutar comandos en el unix. También hay que recordar que un sistema actualizado no está libre de vulnerabilidades sino que se no tiene ninguna de las descubiertas hasta el momento.
Delitos informáticos y entorno jurídico vigente en Colombia Contexto de los delitos informáticos Recordando un poco la historia, al ser humano actual le ha sucedido lo mismo que a nuestros antepasados prehistóricos cuando fabricaron el primer cuchillo. Tuvo un gran alivio en sus labores diarias, se sintió feliz, porque ya contaba con una herramienta que le ayudaría en sus tareas cotidianas de supervivencia. Pero no faltó quien usara esta herramienta con otras intenciones en contra de sus congéneres y terminara cometiendo delitos que, seguramente, en su momento no se llamaron así, aunque sí se entendían como actos en contra de la supervivencia de los demás. Con los sistemas informáticos ha ocurrido algo similar a lo observado en la historia. El hombre vive cada vez más interesado y condicionado por la informática, debido a su vertiginoso desarrollo y a la enorme influencia que ha alcanzado en muchas de las actividades diarias de las personas y las organizaciones. Pocas personas, en la actualidad, pueden abstraerse del contacto directo o indirecto con un sistema de cómputo, lo cual muestra de distintas maneras el poder y alcance de la tecnología informática en las sociedades del mundo. Así como la tecnología y su desarrollo han incidido en prácticamente todas las actividades del ser humano a lo largo de su historia, en la actualidad, la dependencia tecnológica ha venido concentrándose cada vez más en el fenómeno de la tecnología informática, la información y la comunicación. Con efecto retardado, se descubrió luego que ese desarrollo venía acompañado de
vulnerables. Pero además de los delincuentes informáticos propiamente tales, otros tipos de delincuentes han encontrado espacios propicios en los distintos medios de comunicación electrónica, para desarrollar sus crímenes, como los pedófilos que buscan generar relaciones de confianza on line con niños inocentes, para luego aprovecharse de ellos y hasta secuestrarlos o asesinarlos. Estafadores, falsificadores, defraudadores, secuestradores, proxenetas, traficantes de armas, de drogas, de personas, de pornografía, de información, sicarios y terroristas se agregan a esta tenebrosa lista que utiliza el ciberespacio y la red para multiplicar sus negocios, sus ilícitas ganancias y sus manifestaciones criminales. Con ese antecedente, las entidades que desarrollaban o trabajaban en los escenarios informáticos del mundo, comenzaron a generar instrumentos de control y sanción a quienes en forma inescrupulosa utilizaban la informática para delinquir. Sin embargo, se encontró que los entes encargados de sancionar a quienes hacían uso ilegal y delictivo de las herramientas informáticas, no tenían cómo judicializar a los nuevos delincuentes. La ley inglesa sirvió para que otros países – en especial aquellos donde la internet de discutir y promulgar leyes orientadas a proteger y sancionar la violación de la información. Sin embargo, en el caso colombiano, la reacción fue lenta y tardía, de acuerdo con los estudios realizados por Cisco en 2008, según los cuales el país registraba una de las calificaciones más bajas en seguridad informática (62 puntos de 100 posibles), en comparación con otros seis países de Latinoamérica. Esa situación, que obedece a distintos factores, según concepto de algunos ejecutivos de firmas relacionadas con la informática y la auditoría (Etek, Cisco, Trend Micro), se explica en factores como:
- Falta de información, falta de claridad o debilidad en la gestión gerencial, referidos particularmente a la implementación de la seguridad informática.
- Abuso en el empleo de los sistemas y sus aplicativos.
- Ausencia de políticas claras sobre seguridad
informática.
- Falta de reconocimiento estratégico al área de Auditoría de Sistemas.
- Falta de conciencia en el desempeño de los sistemas de información.
- Baja gestión y poco uso de herramientas de análisis y control.
- Falta de evaluación con relaciones beneficio/ costo y criterios de continuidad del negocio, sobre uso y seguridad de la información y los recursos informáticos. Según Manuel Bustos, director de la multinacional de seguridad de la información Etek: “La industria en general, el sector gobierno y las pyme son los menos preocupados por la seguridad de la información, porque requiere inversiones y normalmente no le dedican lo suficiente para lograr un nivel adecuado de seguridad” (Cisco, 2008). Para José Battat, ejecutivo de Trend Micro: “En el país, las pyme viven un proceso más lento en cuanto a la implementación de estrategias de seguridad; sin embargo, poco a poco, tanto los proveedores como esas empresas han buscado los mecanismos para solventar esta falta” (Cisco, 2008). De acuerdo con las conclusiones del mencionado estudio realizado por Cisco, líder mundial en redes, las tres principales formas de ataque informático a las organizaciones son, en su orden: virus informático (45% del total), los abusos por parte de los empleados (42%) y luego la penetración a los sistemas por parte de fuentes externas (13%). Legislación penal colombiana sobre delitos informáticos
en nuestra vida cotidiana, en las relaciones que entablamos tanto en el mundo real como en el virtual, utilizamos nuestros datos de carácter personal, que deben ser tratados de forma respetuosa cumpliendo una serie de principios y requisitos. ¿Qué es un dato de carácter personal? Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad pueda determinarse mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea) o mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas. Dependiendo del tipo de datos que se traten, éstos pueden ser, por ejemplo, identificativos (nombre, apellidos, número del documento nacional de identidad), referidos a tu situación laboral, financiera o de salud. También existen las categorías especiales de datos, en los que además de los datos de salud, se encuentran los que puedan revelar tu origen étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación sindical, así como el tratamiento de tus datos genéticos, biométricos (si te identificasen de manera unívoca), así como los relativos a tu vida sexual u orientación sexual. En qué situaciones utilizo mis datos de carácter personal? n Cuando te registras en un hotel, pueden solicitarte los datos que figuran en tu documento nacional de identidad. n Si pides una hipoteca te pueden pedir datos económicos, como la copia de tu nómina, para valorar tu solvencia económica. n Cuando te suscribes a algún tipo de servicio a través de internet, como puede ser recibir una newsletter , facilitarás, al menos, tu correo electrónico en el proceso de suscripción. n Si te das de alta en un servicio de correo electrónico, también te solicitarán tus datos personales. n En los centros de salud u hospitales, facilitarás, además de los datos de carácter personal identificativos, aquellos relacionados con tu salud. n En tu trabajo, mientras dure la prestación laboral con la entidad a la que prestas tus servicios, para diversas finalidades relacionadas con dicha prestación como puede ser la gestión de
recursos humanos o pagarte tu retribución. n Cuando te das de alta en una red social. Como puedes ver, seguro que en alguno de los ejemplos descritos has facilitado tus datos de carácter personal. Aquellos a los que entregas tus datos personales tienen que cumplir una serie de obligaciones al realizar el tratamiento de estos datos. Obligaciones en el tratamiento de tus datos personales L os responsables de tratamientos (empresas, Administraciones Públicas u otras entidades) a los que has facilitado tus datos de carácter personal deben cumplir con unos principios y obligaciones que se regulan en el Reglamento General de Protección de Datos (RGPD). 3.1 Principios relativos al tratamiento de tus datos personales La normativa anteriormente citada configura una serie de principios que deben ser respetados cuando se produzca el citado tratamiento. Estos principios son: ¿Y qué supone cada uno de estos principios? Pues, como ya hemos indicado, una serie de obligaciones que deben respetar aquellos que traten tus datos de carácter personal. Vamos a explicar cada uno de ellos con algunos ejemplos. Principio de licitud, lealtad y transparencia Supone que cuando se recaben tus datos de carácter personal deben ser tratados de manera lícita, leal y transparente. De esta forma, el tratamiento de tus datos personales debe estar amparado en alguna de las bases jurídicas
que se tiene un acceso restringido. ◼ Se accede a información personal de terceros, como historiales médicos, aprovechándose para ello de la posición o condición que se ocupa. Pues bien, cuando esto sucede no sólo se vulnera la normativa que protege la utilización de los datos de carácter personal, sino que, además, podemos estar cometiendo uno o varios delitos, aunque no seamos conscientes de ello ni de la gravedad que comporta, como pueden ser los delitos “de descubrimiento y revelación de secretos” y “contra la integridad moral”. Pero también cuando la información se obtiene de manera lícita, por ejemplo, cuando subimos a Internet fotografías o grabaciones íntimas de personas, de vídeos o de audios que, aunque las hayamos realizado con su consentimiento y sin que nadie más estuviera presente, no tenemos su permiso para difundirlas después, o cuando se obtienen de los propios interesados o de otras personas, pero sin ningún permiso de aquéllos para divulgarlas. Es lo que conocemos como sexting, que propicia otras conductas también delictivas como el acoso o las amenazas y las coacciones.
La difusión y reenvío de grabaciones e imágenes íntimas sin
la autorización del/la interesado/a, aun cuando se hubiesen
grabado con su consentimiento, o espiar el contenido del
móvil
de la pareja, es un delito
El sexting es una práctica insegura. Desde el momento que se
cuelgan fotos, vídeos o audios en Internet, o se envían a
terceros,
se pierde el control sobre su contenido
AMENAZAS, COACCIONES, ACOSO
En otras ocasiones se utiliza la información personal para amenazar y coaccionar a las personas, por ejemplo, con revelar públicamente hechos de su vida privada que le puedan perjudicar en su fama o crédito, o con hacer daño a sus familiares. Ambos hechos son delito y, por tanto, también cuando se realizan a través de Internet. Cuando se acosa a una persona insistente y reiteradamente, de manera que se altera gravemente su vida cotidiana, por ejemplo, hostigándola, amenazándola, humillándola o produciéndole otro tipo de molestias a través de Internet, también es delito. El acoso puede revestir diversas formas, por ejemplo, se comete un “delito de acoso” cuando de modo insistente y reiterado: ◼ Vigilamos, perseguimos o buscamos acercarnos a una persona. ◼ Establecemos o intentamos establecer contacto con ella a través de cualquier medio de comunicación. ◼ Usamos de manera indebida sus datos personales para adquirir productos o mercancías, o contratar servicios, o para conseguir que terceras personas se pongan en contacto con ella. ◼ Atentamos contra su libertad o patrimonio, o de otra persona próxima a ella. Cuando se acosa a alguien a través de Internet, se denomina ciberacoso, o ciberbullying si se produce entre menores. Además de los daños que pueden ser devastadores para quien los sufre, se puede
cometer un delito cuyas consecuencias civiles cuando los autores son menores de edad pueden repercutir en sus padres. Si de modo insistente y reiterado nos piden que hagamos algo en contra de nuestra voluntad o nos amenazan, tenemos que saber que estamos siendo víctimas de un delito que tenemos que denunciar.
El sexting es una práctica que propicia ser víctima de acoso,
amenazas y coacciones
CALUMNIAS E INJURIAS
Cuando se difunde información que atribuye a una persona haber cometido un delito sabiendo con certeza que no es verdad, o con el fin de lesionar su dignidad, fama o estima mediante ofensas, insultos, etc., se está cometiendo un delito de calumnias o injurias. Cuando la información se difunde con publicidad, y se considera así cuando se realiza a través de Internet, las penas que se imponen se agravan. Internet se utiliza con frecuencia para propagar calumnias e injurias y, si la persona ofendida presenta una querella, nos enfrentaremos a ser condenados por los Tribunales y a contar con antecedentes penales que pueden tener consecuencias en el futuro, por ejemplo, en el ámbito laboral.
Cuando las calumnias e injurias se realizan a través de
Internet las
penas son más graves.
No debemos olvidar que Internet proporciona una falsa
sensación
de anonimato que no existe, pues deja rastro de la
información que
difunde
2.4. VIOLENCIA DE GÉNERO
Si queremos conseguir una sociedad igualitaria debemos evitar aquellos comportamientos que muestran las relaciones de poder de los hombres sobre las mujeres. La extensión y el uso intensivo de dispositivos móviles e Internet, redes sociales y servicios como los de mensajería instantánea o de geolocalización, han servico de cauce para la proliferación de conductas de violencia de género, siendo particularmente preocupante cuando se producen entre menores de edad. En muchos casos, Internet, sus servicios y aplicaciones, se han utilizado con la finalidad
2.5. LIBERTAD E INDEMNIDAD SEXUAL
Internet también se utiliza como medio para la comisión de delitos de carácter sexual de los que, en ocasiones, podemos llegar a ser víctimas por una inadecuada utilización o sobrexposición de nuestra información personal en Internet, de la que se aprovechan los delincuentes. Una de las expresiones en las que se manifiesta este tipo de delitos es el grooming, o child-grooming, que consiste en que una persona adulta hace uso en Internet, de un nick o una identidad engañosa, a veces simulando ser un menor, para ganarse la amistad y confianza de otro menor y así conseguir que le proporcione información, fotografías o vídeos comprometidos que luego utiliza para chantajearlo con fines sexuales: que le siga proporcionando más imágenes o mantener un encuentro sexual. La práctica del sexting, tanto si las imágenes o audios las difunde la propia víctima o da su permiso para que se graben y/o difundan, también puede propiciar el chantaje y el acoso sexual a aquellas personas de las que el delincuente ha llegado a tener imágenes comprometidas. También son delitos de esta naturaleza: ◼ El contacto con menores de 16 años con el fin de cometer abusos y agresiones sexuales, cuando se realiza a través de Internet, teléfono u cualquier otra tecnología de la información y de las comunicaciones. ◼ La elaboración, la difusión y la mera posesión, de material pornográfico de menores o de personas con discapacidad. También lo es el acceso a pornografía infantil o en la que hayan participado personas discapacitadas, todo ello ayudado y potenciado con la realización de estas conductas a través de la tecnología de la información y de las comunicaciones.
No compartas demasiada información personal en Internet, en particular
en las redes sociales
Evita dar información personal y comprometida sobre tu identidad digital
Cuando las imágenes pornográficas se refieren a menores de 16 años,
sean especialmente
degradantes o vejatorias o representen actos de violencia física o sexual a
las víctimas o cuando
el responsable sea ascendiente, tutor, guardador, maestro o cualquier
persona encargada, aun
provisionalmente, del menor o persona con discapacidad que resulte
afectada, las penas a
imponer se agravan
2.6. SUPLANTACIÓN DE IDENTIDAD
Cuando en Internet se utiliza la identidad de otra persona para hacerse pasar por ella o para decir u ofrecer algo en su nombre se está suplantando su identidad y, además de constituir una ataque contra la privacidad, puede dar lugar a que se cometan varios tipos de delitos. Se produce una suplantación de identidad en la Red cuando una tercera persona actúa en nuestro nombre con fines maliciosos y se hace pasar por nosotros. Los casos más típicos son la suplantación de identidad en perfiles de redes sociales, que normalmente consisten en la creación de un perfil falso en nombre de la víctima bajo el que se comparte contenido o se crea un daño a la imagen de la persona suplantada. Los perfiles pueden crearse utilizando los datos personales de la persona suplantada, o puede modificarse su perfil a través del robo de las claves y de la utilización de sus cuentas sin su consentimiento, para alterar su contenido o publicar en su nombre. En ocasiones, la información personal para suplantar la identidad de una persona se obtiene a través de un proceso de ingeniería social, por el que se le induce para que actúe de una manera determinada en Internet, como hacer clic en enlaces que le ofrecen o introducir su contraseña, y de ese modo poder acceder a la información personal que se va a utilizar para suplantarle en Internet con fines maliciosos. La suplantación de identidad puede obedecer a diferentes motivos, como socavar o destruir la reputación del suplantado, coaccionarle, acosarle o estafarle... Muchas veces los autores pueden pensar que sólo le están gastando una broma, sin ser conscientes del grave daño que causan a la persona suplantada. Ejemplos de la suplantación de identidad que son constitutivos de delito: ◼ Hacerse pasar por otra persona utilizando el DNI y su cuenta corriente para comprar o contratar servicios. ◼ Crear un perfil de otra persona en las redes sociales y utilizarlo para relacionarse con otros usuarios y publicar fotos intimas de la víctima sin su autorización. ◼ Hacerse pasar por otra persona para cometer ciberbullying o grooming. ◼ Darse de alta en una página de contenido sexual utilizando la identidad de la persona suplantada, provocando contactos por parte de terceros.
o bien se ensalzan o justifican acciones cometidas por otras personas tendentes a provocar situaciones de discriminación u odio contra determinados colectivos, se está cometiendo un delito.
Publicar en las redes sociales fotografías que inciten al odio
de personas, por ejemplo,
por su origen, religión, orientación sexual, y etiquetarlas con
mensajes ofensivos
es un delito de odio
Cuando estos actos se cometen por medio de Internet o
mediante el uso de las TIC
puede verse agravada la sanción
2.8. ESTAFAS
Una de las modalidades de estafas en la Red se identifica coloquialmente por el término inglés phishing , que podemos definir como los intentos de obtener fraudulentamente de los usuarios de Internet sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc., para posteriormente usarlos para sustraer dinero de sus cuentas, ordenando transferencias o para realizar compras o solicitar, por ejemplo, créditos en su nombre. Estos intentos se pueden producir de varias formas, mediante un SMS al teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, o la recepción de un correo electrónico, en los que se solicitan los datos de la persona a la que se pretende estafar. Como variedades del phishing nos podemos encontrar las siguientes: Trashing , que consiste en rastrear en las papeleras en busca de información, contraseñas o directorios. Pharming , utilizado normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios. Llevan al usuario de Internet a un sitio web falso.
Otra modalidad de defraudación es la conocida como carding , que es el uso (o generación) ilegítimo de las tarjetas de crédito (o sus números), pertenecientes a otras personas con el fin de obtener bienes realizando fraude con ellas.
La información que se encuentra en las redes sociales, incluso
de los perfiles
públicos, sirven para facilitar estos delitos
Desconfía de los mensajes que tienen apariencia de
comunicación oficial cuando,
por ejemplo, están dirigidos a colectivos o grupos, te inducen
a hacer clic en un
enlace y te dan para ello un breve plazo de tiempo
Los bancos y las entidades emisoras de tarjetas de crédito
nunca solicitan datos
confidenciales por correo electrónico
2.9. DAÑOS INFORMÁTICOS
Cuando, sin autorización y de manera grave, se borre, dañe, deteriore, altere, suprima o se hagan inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, y el resultado producido fuera grave, así como, cuando, sin autorización y de manera grave, se obstaculice o interrumpa el funcionamiento de un sistema informático ajeno, se comete un delito de daños informáticos. Estos daños suponen deterioro, menoscabo o destrucción de material informático, evaluable económicamente, teniendo en cuenta que se busca la pérdida total o parcial de información, pérdida de eficacia en la utilización de un programa informático o la pérdida de la productividad que va a aportar el sistema dañado. También se comete este delito cuando, sin estar debidamente autorizado, se produce, adquiere para su uso, importa o facilita a otras personas de cualquier modo, un programa informático, concebido o adaptado para ello, o una contraseña de ordenador o un código de acceso o datos similares que permitan acceder a la totalidad o parte de un sistema de información, todo ello, con la intención de cometer alguno de hechos mencionados.
