miércoles, 29 de julio de 2015

Tendencias de la Seguridad Microelectronica

La microelectrónica es la aplicación de la ingeniería electrónica a componentes y circuitos de dimensiones muy pequeñas, microscópicas y hasta de nivel molecular para producir dispositivos y equipos electrónicos de dimensiones reducidas pero altamente funcionales. 

El teléfono celular, el microprocesador de la CPU y la computadora tipo Palm son claros ejemplos de los alcances actuales de la Tecnología Microelectrónica.

Existen múltiples factores de índole tecnológicos que explican la convergencia de la Microelectrónica, la Informática y las Telecomunicaciones en las TIC. Pero todos se derivan de tres hechos fundamentales:
  • Los tres campos de actividad se caracterizan por utilizar un soporte físico común, como es la microelectrónica.
  • Por la gran componente de software incorporado a sus productos.
  • Por el uso intensivo de infraestructuras de comunicaciones que permiten la distribución (deslocalización) de los distintos elementos de proceso de la información en ámbitos geográficos distintos.
La microelectrónica, frecuentemente denominada hardware, está residente en todas las funcionalidades del proceso de información. Resuelve los problemas relacionados con la interacción con el entorno como la adquisición y la presentación dela información, mediante dispositivos como transductores, tarjetas de sonido, tarjetas gráficas, etc.
No obstante, su mayor potencialidad está en la función de tratamiento de la información.

La microelectrónica abarca como campo de aplicación la domótica que se entiende por aquel conjunto de sistemas capaces de automatizar una vivienda, aportando servicios de gestión energética, seguridad, bienestar y comunicación, y que pueden estar integrados por medio de redes interiores y exteriores de comunicación, cableadas o inalámbricas, y cuyo control goza de cierta ubicuidad, desde dentro y fuera del hogar. 

Entre las tareas realizadas por la demótica se usan distintos tipos de componentes microelectrónicos que hacen que dichas tareas se lleven a cabo con gran precisión por medio de microcontroladores.Editar texto.

La Seguridad consiste en una red de encargada de proteger los Bienes Patrimoniales y la seguridad personal. Entre las herramientas aplicadas se encuentran:

  • Simulación de presencia.
  • Alarmas de Detección de incendio, fugas de gas, escapes de agua, concentración de monóxido en garajes.
  • Alerta médica.
  • Tele asistencia
  • Cerramiento de persianas puntual y seguro.
  • Acceso a Cámaras IP

Estrategias de Seguridad

El activo más importante que se posee es la información y, por lo tanto, deben existir técnicas que la aseguren, más allá de la seguridad física que se establezca sobre los equipos en los cuales se almacena. Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y procedimientos que resguardan el acceso a los datos y solo permiten acceder a ellos a las personas autorizadas para hacerlo.
Cada tipo de ataque y cada sistema requiere de un medio de protección o más (en la mayoría de los casos es una combinación de varios de ellos).
A continuación se enumeran una serie de medidas que se consideran básicas para asegurar un sistema tipo, si bien para necesidades específicas se requieren medidas extraordinarias y de mayor profundidad:
  • Utilizar técnicas de desarrollo que cumplan con los criterios de seguridad al uso para todo el software que se implante en los sistemas, partiendo de estándares y de personal suficientemente formado y concienciado con la seguridad.
  • Implantar medidas de seguridad físicas: sistemas anti incendios, vigilancia de los centros de proceso de datos, sistemas de protección contra inundaciones, protecciones eléctricas contra apagones y sobretensiones, sistemas de control de accesos, etc.
  • Codificar la información: criptología, criptografía y criptociencia. Esto se debe realizar en todos aquellos trayectos por los que circule la información que se quiere proteger, no solo en aquellos más vulnerables. Por ejemplo, si los datos de una base muy confidencial se han protegido con dos niveles de firewall, se ha cifrado todo el trayecto entre los clientes y los servidores y entre los propios servidores, se utilizan certificados y sin embargo se dejan sin cifrar las impresiones enviadas a la impresora de red, tendríamos un punto de vulnerabilidad.
  • Contraseñas difíciles de averiguar que, por ejemplo, no puedan ser deducidas a partir de los datos personales del individuo o por comparación con un diccionario, y que se cambien con la suficiente periodicidad. Las contraseñas, además, deben tener la suficiente complejidad como para que un atacante no pueda deducirla por medio de programas informáticos. El uso de certificados digitales mejora la seguridad frente al simple uso de contraseñas.
  • Vigilancia de red. Las redes transportan toda la información, por lo que además de ser el medio habitual de acceso de los atacantes, también son un buen lugar para obtener la información sin tener que acceder a las fuentes de la misma. Por la red no solo circula la información de ficheros informáticos como tal, también se transportan por ella: correo electrónico, conversaciones telefónica (VoIP), mensajería instantánea, navegación Internet, lecturas y escrituras a bases de datos, etc. Por todo ello, proteger la red es una de las principales tareas para evitar robo de información. Existen medidas que abarcan desde la seguridad física de los puntos de entrada hasta el control de equipos conectados, por ejemplo 802.1x. En el caso de redes inalámbricas la posibilidad de vulnerar la seguridad es mayor y deben adoptarse medidas adicionales.
  • Redes perimetrales de seguridad, o DMZ, permiten generar reglas de acceso fuertes entre los usuarios y servidores no públicos y los equipos publicados. De esta forma, las reglas más débiles solo permiten el acceso a ciertos equipos y nunca a los datos, que quedarán tras dos niveles de seguridad.
  • Tecnologías repelentes o protectoras: cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para protección de software, etc.
  • Mantener los sistemas de información con las actualizaciones que más impacten en la seguridad.
  • Copias de seguridad e, incluso, sistemas de respaldo remoto que permiten mantener la información en dos ubicaciones de forma asíncrona.
  • Controlar el acceso a la información por medio de permisos centralizados y mantenidos (tipo Active Directory, LDAP, listas de control de acceso, etc.). Los medios para conseguirlo son:
  • Restringir el acceso (de personas de la organización y de las que no lo son) a los programas y archivos.
  • Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisión minuciosa).
  • Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido.
  • Asegurar que la información transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. y que existan sistemas y pasos de emergencia alternativos de transmisión entre diferentes puntos.
  • Organizar a cada uno de los empleados por jerarquía informática, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas.
  • Actualizar constantemente las contraseñas de accesos a los sistemas de cómputo, como se ha indicado más arriba, e incluso utilizando programa que ayuden a los usuarios a la gestión de la gran cantidad de contraseñas que tienen gestionar en los entornos actuales, conocidos habitualmente como gestores de identidad.
  • Redundancia y descentralización.

Respaldo de información

La información constituye el activo más importante de las empresas, pudiendo verse afectada por muchos factores tales como robos, incendios, fallas de disco, virus u otros. Desde el punto de vista de la empresa, uno de los problemas más importantes que debe resolver es la protección permanente de su información crítica.
La medida más eficiente para la protección de los datos es determinar una buena política de copias de seguridad o backups. Este debe incluir copias de seguridad completa (los datos son almacenados en su totalidad la primera vez) y copias de seguridad incrementales (solo se copian los ficheros creados o modificados desde el último backup). Es vital para las empresas elaborar un plan de backup en función del volumen de información generada y la cantidad de equipos críticos.
Un buen sistema de respaldo debe contar con ciertas características indispensables:
  • Continuo
El respaldo de datos debe ser completamente automático y continuo. Debe funcionar de forma transparente, sin intervenir en las tareas que se encuentra realizando el usuario.
  • Seguro
Muchos softwares de respaldo incluyen cifrado de datos, lo cual debe ser hecho localmente en el equipo antes del envío de la información.
  • Remoto
Los datos deben quedar alojados en dependencias alejadas de la empresa.
  • Mantenimiento de versiones anteriores de los datos
Se debe contar con un sistema que permita la recuperación de, por ejemplo, versiones diarias, semanales y mensuales de los datos.
Hoy en día los sistemas de respaldo de información online, servicio de backup remoto, están ganando terreno en las empresas y organismos gubernamentales. La mayoría de los sistemas modernos de respaldo de información online cuentan con las máximas medidas de seguridad y disponibilidad de datos. Estos sistemas permiten a las empresas crecer en volumen de información derivando la necesidad del crecimiento de la copia de respaldo a proveedor del servicio.

Protección contra virus

Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los medios de acceso a ellos, principalmente la red.

Control del software instalado

Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.

Control de la red

Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red solo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.

Protección física de acceso a las redes

Independientemente de las medidas que se adopten para proteger los equipos de una red de área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger.
A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.

Redes cableadas

Las rosetas de conexión de los edificios deben estar protegidas y vigiladas. Una medida básica es evitar tener puntos de red conectados a los switches. Aun así siempre puede ser sustituido un equipo por otro no autorizado con lo que hacen falta medidas adicionales: norma de acceso 802.1x, listas de control de acceso por MAC addresses, servidores de DHCP por asignación reservada, etc.

Redes inalámbricas

En este caso el control físico se hace más difícil, si bien se pueden tomar medidas de contención de la emisión electromagnética para circunscribirla a aquellos lugares que consideremos apropiados y seguros. Además se consideran medidas de calidad el uso del cifrado ( WPA, WPA v.2, uso de certificados digitales, etc.), contraseñas compartidas y, también en este caso, los filtros de direcciones MAC, son varias de las medidas habituales que cuando se aplican conjuntamente aumentan la seguridad de forma considerable frente al uso de un único método.

Sanitización

Proceso lógico y/o físico mediante el cual se elimina información considerada sensible o confidencial de un medio ya sea físico o magnético, ya sea con el objeto de desclasificarlo, reutilizar el medio o destruir el medio en el cual se encuentra.

Evaluacion De Riesgos

El objetivo general del análisis de riesgos es identificar sus causas potenciales, en la figura No. 4 se aprecia por ejemplo, los principales riesgos que amenazan el entorno informático. Esta identificación se realiza en una determinada área para que se pueda tener información suficiente al respecto, optando así por un adecuado diseño e implantación de mecanismos de control; a fin de minimizar los efectos de eventos no deseados, en los diferentes puntos de análisis.
Además el análisis de riesgos cumple los siguientes objetivos:
  • Analizar el tiempo, esfuerzo y recursos disponibles y necesarios para atacar los problemas.
  • Llevar a cabo un minucioso análisis de los riesgos y debilidades.
  • Identificar, definir y revisar los controles de seguridad.
  • Determinar si es necesario incrementar las medidas de seguridad.
  • Cuando se identifican los riesgos, los perímetros de seguridad y los sitios de mayor peligro, se pueden hacer el mantenimiento mas fácilmente.
Antes de realizar el análisis de riesgos hay que tener en cuenta los siguientes aspectos:
  • Se debe tener en cuenta las políticas y las necesidades de la organización así como la colaboración con todas las partes que la conforman y que intervienen en los procesos básicos.
  • Debe tenerse en cuenta los nuevos avances tecnológicos y la astucia de intrusos expertos.
  • Tener en cuenta los costos vs. la efectividad del programa que se va a desarrollar de mecanismos de control.
  • El comité o la junta directiva de toda organización debe incluir en sus planes y presupuesto los gastos necesarios para el desarrollo de programas de seguridad, así como tener en cuenta que esta parte es fundamental de todo proceso de desarrollo de la empresa, especificar los niveles de seguridad y las responsabilidades de las personas relacionadas, las cuales son complemento crucial para el buen funcionamiento de todo programa de seguridad.
  • Otro aspecto que se debe tener en cuenta es la sobrecarga adicional que los mecanismos y contramedidas puedan tener sobre el entorno informático, sin olvidar los costos adicionales que se generan por su implementación.
El análisis de riesgos utiliza el método matricial llamado MAPA DE RIESGOS, para identificar la vulnerabilidad de un servicio
 o negocio a riesgos típicos, El método contiene los siguientes pasos:
  • Localización de los procesos en las dependencias que intervienen en la prestación del servicio 


    • Localización de los riesgos críticos y su efecto en los procesos del Negocio. En este paso se determina la vulnerabilidad de una actividad a una amenaza. Para asignar un peso a cada riesgo ; se consideran tres categorías de vulnerabilidad (1 baja, 2 media, 3 alta) que se asignarán a cada actividad de acuerdo a su debilidad a una amenaza (causa de riesgo). Por ejemplo, si afirmamos que el riesgo a una Decisión equivocada tiene alto riesgo de vulnerabilidad, entonces tendría alta prioridad dentro de nuestras políticas de seguridad.

    RIESGO
    (%) Obtenido
    Vulnerabilidad
    Decisiones equivocadas
    59
    ALTA
    Fraude
    55
    MEDIA
    Hurto
    54
    MEDIA

    Dentro del entorno informático las amenazas (causas de riesgo) se pueden clasificar así:
    • Naturales: Incluyen principalmente los cambios naturales que pueden afectar de una manera u otra el normal desempeño del entorno informático; por ejemplo, la posibilidad de un incendio en el sitio donde se encuentran los concentradores de cableado dado que posiblemente están rodeados de paredes de madera es una amenaza natural.
    • Accidentales: Son las más comunes que existen e incluyen:
    • Errores de los usuarios finales: Por ejemplo, El usuario tiene permisos de administrador y posiblemente sin intención modifica información relevante.
    • Errores de los operadores: Por ejemplo, si un operador tenía un sesión abierta y olvidó salir del sistema; alguien con acceso físico a la máquina en cuestión puede causar estragos.
    • Error administrativo: Por ejemplo, Instalaciones y configuraciones sin contar con mecanismos de seguridad para su protección.
    • Errores de salida: Por ejemplo, Impresoras u otros dispositivos mal configurados.
    • Errores del sistema: Por ejemplo, daños en archivos del sistema operativo.
    • Errores de comunicación: Por ejemplo, permitir la transmisión de información violando la confidencialidad de los datos.
    • Deliberadas: Estas amenazas pueden ser: activas (accesos no autorizados, modificaciones no autorizadas, sabotaje) ó pasivas(son de naturaleza mucho más técnica, como: emanaciones electromagnéticas y/o microondas de interferencia).
    • Localización de los riesgos críticos en las dependencias de la empresa y procesos que intervienen en el negocio.

    Proceso / Riesgo
    Decisiones equivocadas
    Fraude
    Hurto
    Gestión de centros transaccionales
    X
    X
    Administración de sistemas
    X
    X
    Atención al cliente
    X
    X
    Conciliación de cuentas
    X
    X
    X

    Riesgos Vs. Dependencias.
    División Financiera
    Sistemas
    Cartera
    Contabilidad
    Decisiones equivocadas
    X
    X
    Fraude
    X
    X
    X
    X
    Hurto
    X
    X
    X
    X

    • Identificar los controles necesarios: En este paso se precisan los controles, los cuales son mecanismos que ayudan a disminuir el riesgo a niveles mínimos o en algunos casos eliminarlos por completo. Se debe tener en cuenta que dichas medidas tienen tres diferentes capacidades que incluyen: mecanismos de prevención, mecanismos de detección y mecanismos de corrección; y que dentro de un proceso ó negocio funcionan como se describe en la figura No. 9. En este paso se incluye la funcionalidad y utilidad del control, y se identifican las personas responsables de la implantación de los controles.
      • Diseñar los controles definitivos: En este paso se tienen los productos necesarios para iniciar el proceso de implantación de los controles utilizados o bien para empezar la construcción de dichos mecanismos.
      Los siguientes criterios permiten evaluar en un monto simbólico los mecanismos de control:
      • Confidencialidad: Se refiere a la protección de la información principalmente de accesos no autorizados. Información del personal, investigaciones y reportes de desarrollo son algunos de los ejemplos de información que necesita confidencialidad.
      • Integridad: Es el servicio ofrecido por el departamento de informática. Debe ser adecuado, completo y auténtico en el momento de ser procesada, presentada, guardada o transmitida la información.
      • Disponibilidad: Indica la disponibilidad que pueden tener en un determinado momento las actividades informáticas. Esta disponibilidad debe ser inmediata.
      • Resultados del análisis de riesgos: Los resultados del análisis de riesgos, deben dados a conocer oportunamente para que sean incorporados, desde las primeras fases del proceso.
      • Verificar por parte de la auditoría informática, la incorporación oportuna de los controles: La auditoría informática debe conocer el resultado del análisis de riesgos y verificar su implantación oportuna, para asegurar los mejores niveles de calidad, seguridad y efectividad de los procesos informáticos.

Legislación Nacional e Internacional & Los Delitos Informaticos

Legislacíon Nacional

El Artículo 110 de la Constitución de la República Bolivariana de Venezuela (2010), el Estado reconocerá el interés público de la ciencia, la tecnología, el conocimiento, la innovación y sus aplicaciones y los servicios de información necesarios por ser instrumentos fundamentales para el desarrollo económico, social y político del país, así como para la seguridad y soberanía nacional. … Para el fomento y desarrollo de esas actividades, el Estado destinará recursos suficientes y creará el sistema nacional de ciencia y tecnología de acuerdo con la ley. El sector privado deberá aportar recursos para los mismos. El Estado garantizará el cumplimiento de los principios éticos y legales que deben regir las actividades de investigación científica, humanística y tecnológica. La ley determinará los modos y medios para dar cumplimiento a esta garantía. 

El Artículo 28 de la CRBV establece que toda persona tiene el derecho de acceder a la información y a los datos que sobre sí misma o sobre sus bienes consten en registros oficiales o privados, (…) Igualmente, podrá acceder a documentos de cualquier naturaleza que contengan información cuyo conocimiento sea de interés para comunidades o grupos de personas… 

Por otra parte el Artículo 60 señala que toda persona tiene derecho a la protección de su honor, vida privada, intimidad, propia imagen, confidencialidad y reputación. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y ciudadanas y el pleno ejercicio de sus derechos.  

A su vez, el Artículo 143 acota que los ciudadanos y ciudadanas tienen derecho a ser informados e informadas oportuna y verazmente por la Administración Pública, (…) Asimismo, tienen acceso a los archivos y registros administrativos, sin perjuicio de los límites aceptables dentro de una sociedad democrática… 

La Ley Especial Contra los Delitos Informáticos (2001) tiene por Objeto la Protección integral de los sistemas que utilicen tecnologías de información, así como la prevención y sanción de los delitos cometidos contra tales sistemas o cualesquiera de sus componentes, o de los cometidos mediante el uso de dichas tecnologías.

A continuación, se muestra una tabla con las sanciones establecidas por los diferentes delitos informáticos:

ART. Título
1 Objetivo de la ley
Tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información.
2 Definiciones
Tecnología de Información, Sistema, Data (Datos), Información, Documento, Computador, Hardware, Firmware, Software, Programa, Seguridad, Virus, Tarjeta Inteligente, Contraseña (Password) y Mensaje de Datos.
3 Extraterritorialidad
Cuando alguno de los delitos previstos en la presente ley se cometa fuera del territorio de la República.
4 Sanciones Las sanciones principales concurrirán con las accesorias y ambas podrán también concurrir entre sí, de acuerdo con las circunstancias particulares del delito del cual se trate.
5 Responsabilidad de las personas jurídicas
6 Sabotaje o daños a sistemas Prisión de 1 a 5 Años Multas de10 a 50 UT
7 Acceso indebido Prisión de 4 a 8 Años Multas de400 a 800
Si los efectos indicados en el presente artículo se realizaren mediante la creación, introducción o transmisión intencional, por cualquier medio, de un virus o programa análogo. Prisión de 5 a 10 Años Multas de 500 a 1000
8 Favorecimiento culposo del sabotaje o daño Se aplicará la pena correspondiente según el caso. Reducción de la pena entre la mitad y dos tercios
9 Acceso indebido o sabotaje a sistemas Aumento de la pena tercera parte y la mitad.
10 Posesión de equipos o prestación de servicios de sabotaje Prisión de 3 a 6 Años Multas de 300 a 600
11 Espionaje informático Prisión de 3 a 6 Años Multas de 300 a 600
12 Falsificación de documentos Prisión de 3 a 6 Años Multas de 300 a 600
Cuando el agente hubiere actuado con el fin de procurar para sí o para otro algún tipo de beneficio. Aumento de la pena de un tercio y la mitad.
Si del hecho resultare un perjuicio para otro. Aumento de la pena Mitad a dos tercios.
13 Hurto Prisión de 2 a 6 Años Multas de 200 a 600
14 Fraude Prisión de 3 a 7 Años Multas de 200 a 600
15 Obtención indebida de bienes o servicios Prisión de 2 a 6 Años Multas de200 a 600
16 Manejo fraudulento de tarjetas inteligentes o instrumentos análogos Prisión de 5 a 10 Años Multas de 500 a 1000
17 Apropiación de tarjetas inteligentes o instrumentos análogos Prisión de 1 a 5 Años Multas de 10 a 50
18 Provisión indebida de bienes o servicios Prisión de 2 a 6 Años Multas de 200 a 600
19 Posesión de equipo para falsificaciones Prisión de 3 a 6 Años Multas de 300 a 600
20 Violación de la privacidad de la data o información de carácter personal Prisión de 2 a 6 Años Multas de 200 a 600
Si como consecuencia de los hechos anteriores resultare un perjuicio para el titular de la data o información o para un tercero. Aumento de la pena de un tercio a la mitad.
21 Violación de la privacidad de las comunicaciones. Prisión de 2 a 6 Años Multas de 200 a 600
22 Revelación indebida de data o información de carácter personal Aumento de la pena de un tercio a la mitad.
Si la revelación, difusión o cesión se hubieren realizado con un fin de lucro o si resultare algún perjuicio para otro. Prisión de 2 a 6 Años Multas de 200 a 600
23 Difusión o exhibición de material pornográfico Prisión de 2 a 6 Años Multas de 200 a 600
24 Exhibición pornográfica de niños o adolescentes Prisión de 4 a 8 Años Multas de 400 a 800
25 Apropiación de propiedad intelectual Prisión de 1 a 5 Años Multas de 100 a 500
26 Oferta engañosa Prisión de 1 a 5 Años Multas de 100 a 500


Fuente: Elaborado por las autoras (Año 2011)

Entre los primeros delitos informáticos que aquejan al venezolano, hoy día figuran los financieros. La clonación de tarjetas de crédito y débito y la obtención de información de las cuentas, ha generado en los últimos años pérdidas millonarias. 

La pornografía infantil es el segundo con mayor número de denuncias. 

La estafa electrónica ofreciendo productos falsos por internet, es otro de los delitos con mayor frecuencia.  

Sumándose: el hacking, cracking y phising que son quienes, a distancia, violan la seguridad de otras computadoras. 

En julio y agosto 2011 fueron hackeadas las cuentas de twitter de varias personalidades públicas venezolanas.  

 El Centro Nacional de Informática Forense (CENIF), es un laboratorio de informática forense para la adquisición, análisis, preservación y presentación de las evidencias relacionadas a las tecnologías de información y comunicación, con el objeto de prestar apoyo a los cuerpos de investigación judicial órganos y entes del Estado que así lo requieran.

Legislación Internacional

Muchos son los problemas que han surgido a nivel internacional en materia de delincuencia informática. Tradicionalmente se ha considerado en todos los países el principio de territorialidad, que consiste en aplicar sanciones penales cuando el delito ha sido cometido dentro del territorio nacional, pero, en el caso del delito informático, la situación cambia porque el delito pudo haberse cometido desde cualquier otro país, distinto a donde se materializa el daño. 

Debido a situaciones como las antes expuestas, los países se vieron en la necesidad de agruparse y en primer lugar definir algunos términos cibernéticos que pudieran permitir la unificación de criterios en esta materia. Así, se le asignaron nombres conocidos en materia de delitos tradicionales, para adaptarlos a la informática; tales como: hurto, sabotaje, robo, espionaje, estafa, fraude, etc. 

Esta situación cada vez mas frecuente, dio pie a que distintas organizaciones internacionales, tomaran la iniciativa de organizarse y establecer pautas o estándares mínimos, tal es el caso de la Organización de Cooperación y Desarrollo Económico (OCDE), que según explica Acurio (2006), tardó tres años, desde 1983 hasta 1986 en publicar  un informe titulado “Delitos de Informática: análisis de la normativa jurídica”, donde se recomendaba una lista mínima de ejemplos de uso indebido que cada país podría prohibir y sancionar con leyes penales especiales que promulgaran para tal fin.
             
Esa lista mínima de delitos informáticos era como sigue:

  1. Fraude y falsificación informáticos
  2. Alteración de datos y programas de   computadora
  3. Sabotaje informático
  4. Acceso no autorizado
  5. Interceptación no autorizada y
  6. Reproducción no autorizada de un programa de computadora protegido.
Posteriormente, la Comisión Política de Información Computadoras y Comunicación recomendó que se instituyesen protecciones penales contra otros usos indebidos.
Se trataba de una lista optativa o facultativa, que incluía entre otros aspectos, los siguientes:

  1. Espionaje informático
  2. Utilización no autorizada de una computadora
  3. Utilización no autorizada de un programa de computadora protegido
  4. Robo de secretos comerciales y
  5. Acceso o empleo no autorizado de sistemas de computadoras. 
Adicional mente, el Comité Especial de Expertos en Delitos Informáticos, adscritos al Comité Europeo para los problemas de la Delincuencia, se dedicó a examinar temas como:
  • La protección de la esfera personal
  • Las Victimas
  • La posibilidad de prevención
  • Procedimiento (investigación y confiscación internacional de bancos de datos y la cooperación internacional en la investigación y represión del delito informático)
De igual manera, la Organización de las Naciones Unidas (ONU), en el Manual de la ONU para la Prevención y Control de Delitos Informáticos señala, cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informático constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional. 

Otra organización internacional que se dedicó a tratar este aspecto de la seguridad informática, es la Asociación Internacional de Derecho Penal, que adoptó diversas recomendaciones respecto a los delitos informáticos. En la medida en que el derecho penal tradicional no sea suficiente, deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos. 

Señala como delitos, entre otras:

  1. El tráfico con contraseñas informáticas obtenidas por medios inapropiados
  2. Distribución de virus o de programas similares


La Organización de Estados Americanos (OEA), entre las eestrategias de seguridad cibernética, demostró la gravedad de las amenazas a la seguridad cibernética de los sistemas de información, las infraestructuras esenciales y las economías en todo el mundo. 

En el contexto internacional, Quintero establece que los países que cuentan con una legislación apropiada. Son: Chile, Gran Bretaña, Estados Unidos, Francia, España, Alemania, China, Holanda y Austria 

Inglaterra. Debido a un caso de hacking en 1991, comenzó a regir en este país la Ley de Abusos Informáticos. Mediante esta ley el intento, exitoso o no, de alterar datos informáticos, es penado con hasta cinco años de prisión o multas 

China. Toda persona implicada en actividades de espionaje, que robe, descubra, compre o divulgue secretos de Estado desde la red, podrá ser condenada con penas que van de 10 años de prisión hasta la muerte. 

Holanda. Entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede ser castigado hasta con seis meses de cárcel. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos años de prisión pero, si se hizo vía remota aumenta a cuatro. Copiar archivos de la máquina hackeada o procesar datos en ella también conlleva un castigo de cuatro años en la cárcel. El daño a la información o a un sistema de comunicaciones puede ser castigado con cárcel de seis meses a quince años. 

Entre los casos más famosos de delitos informáticos, se destacan los siguientes:

John William Racine II. Culpable de redireccionar el tráfico de la web de Al-Jazeera a la suya propia, donde se podía ver una bandera estadounidense. El fiscal ha pedido tres años de libertad vigilada y mil horas de servicio a la comunidad. 

Helen Carr. Ha sido declarada también culpable por simular correos de America On Line y enviarlos a sus clientes, pidiéndoles la actualización de sus datos de tarjeta de crédito (esto es conocido como “phishing”). 

Vladimir Levin. Fue condenado por ingresar a los centros de cómputos de algunos bancos efectuando transferencias de fondos a su favor por aprox USA$ 2.8 millones.   En 1995 fue arrestado por la Interpol, en el aeropuerto de Heathrow, Inglaterra, y luego extraditado a USA. Desde su PC instalada en San Petersburgo, irrumpió en las cuentas del Citibank NY y transfirió los fondos a cuentas en Finlandia, Israel y en el Bank of América de San Francisco. 

Alexei Lashmanov (Ayudante de Levin),. Fue condenado a 5 años de prisión y a pagar USA$ 250.000 de multa por efectuar transferencias entre bancos estadounidenses, de Finlandia e Israel. Estosconspiradores habían obtenido accesos no autorizados al Sistema de Administración de Dinero en Efectivo del Citibank, en New Jersey, el cual permite a sus clientes acceder a una red de computadoras y transferir fondos a cuentas de otras instituciones financieras (realizaron un total de 40 transferencias ilegales de dinero) 

De los 20 mil casos recolectados por la división del FBI encargada de fraudes informáticos en 6 meses, el 64 % de las denuncias corresponden a subastas on line, otro 22 % a mercadería o dinero no enviado y apenas un 5 % al fraude de tarjetas de crédito. 

Hasta ahora el caso más importante de fraude detectado sucedió en abril de 2004, durante una transacción que implicó la venta de monedas de plata y oro por un valor cercano al medio millón de dólares.

Delitos Informaticos

El delito informático implica actividades criminales que en un primer momento los países han tratado de encuadrar en figurar típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etcétera. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulación por parte del derecho.

A nivel internacional se considera que no existe una definición propia del delito informático, sin embargo muchos han sido los esfuerzos de expertos que se han ocupado del tema, y aún cuando no existe una definición con carácter universal, se han formulado conceptos funcionales atendiendo a realidades nacionales concretas.

Por lo que se refiere a las definiciones que se han intentado dar en México, cabe destacar que Julio Téllez Valdés señala que "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de "delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no ha sido objeto de tipificación aún".

Para Carlos Sarzana, en su obra Criminalista e tecnología, los crímenes por computadora comprenden "cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción criminógena, como mero símbolo".

Nidia Callegari define al delito informático como "aquel que se da con la ayuda de la informática o de técnicas anexas".

Rafael Fernández Calvo define al delito informático como "la realización de una acción que, reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo utilizando un elemento informático o telemático contra los derechos y libertades de los ciudadanos definidos en el título 1 de la constitución española".

María de la Luz Lima dice que el "delito Electrónico" "en un sentido amplio es cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin y que, en un sentido estricto, el delito informático, es cualquier acto ilícito penal en el que las computadoras, sus técnicas y funciones desempeñan un papel ya sea como método, medio o fin".

Julio Téllez Valdés conceptualiza al delito informático en forma típica y atípica, entendiendo por la primera a "las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin" y por las segundas "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin".

Por otra parte, debe mencionarse que se han formulado diferentes denominaciones para indicar las conductas ilícitas en las que se usa la computadora, tales como "delitos informáticos", "delitos electrónicos", "delitos relacionados con las computadoras", "crímenes por computadora", "delincuencia relacionada con el ordenador".

En este orden de ideas, en el presente trabajo se entenderán como "delitos informáticos" todas aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio informático.

Lógicamente este concepto no abarca las infracciones administrativas que constituyen la generalidad de las conductas ilícitas presentes en México debido a que la legislación se refiere a derecho de autor y propiedad intelectual sin embargo, deberá tenerse presente que la propuesta final de este trabajo tiene por objeto la regulación penal de aquellas actitudes antijurídicas que estimamos más graves como último recurso para evitar su impunidad.

¿Como abordar la implementacion de politicas de seguridad?

Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes (como la seguridad física) otras pautas no lo son tanto e incluso algunas pueden ocasionar una sensación de falsa seguridad.
Todas y cada una de las políticas de seguridad de una empresa u organización deben cumplir con los siguientes aspectos:
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición
  • Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización
  • Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política
  • Definición de violaciones y sanciones por no cumplir con las políticas
  • Responsabilidades de los usuarios con respecto a la información a la que tiene acceso

Entre las estrategias de seguridad:
  • Disponer de un plan de contingencia que contemple:
  1. Confidencialidad de la información almacenada
  2. Autenticación de usuarios,
  3. Integridad de los datos
  4. Control de acceso
  5. Copias de seguridad

Implementación


La implementación de medidas de seguridad, es un proceso Técnico-Administrativo. Como este proceso debe abarcar toda la organización, sin exclusión alguna, ha de estar fuertemente apoyado por el sector gerencial, ya que sin ese apoyo, las medidas que se tomen no tendrán la fuerza necesaria.
Se deberá tener en cuenta que la implementación de Políticas de Seguridad, trae aparejados varios tipos de problemas que afectan el funcionamiento de la organización. La implementación de un sistema de seguridad conlleva a incrementar la complejidad en la operatoria de la organización, tanto técnica como administrativamente.
Por esto, será necesario sopesar cuidadosamente la ganancia en seguridad respecto de los costos administrativos y técnicos que se generen.
Es fundamental no dejar de lado la notificación a todos los involucrados en las nuevas disposiciones y, darlas a conocer al resto de la organización con el fin de otorgar visibilidad a los actos de la administración.

Una PSI informática deberá abarcar:
  • Alcance de la política, incluyendo sistemas y personal sobre el cual se aplica.
  • Objetivos de la política y descripción clara de los elementos involucrados en su definición.
  • Responsabilidad de cada uno de los servicios, recurso y responsables en todos los niveles de la organización.
  • Responsabilidades de los usuarios con respecto a la información que generan y a la que tienen acceso.
  • Requerimientos mínimos para la configuración de la seguridad de los sistemas al alcance de la política.
  • Definición de violaciones y las consecuencias del no cumplimiento de la política.
Por otra parte, la política debe especificar la autoridad que debe hacer que las cosas ocurran, el rango de los correctivos y sus actuaciones que permitan dar indicaciones sobre la clase de sanciones que se puedan imponer. Pero, no debe especificar con exactitud qué pasara o cuándo algo sucederá; ya que no es una sentencia obligatoria de la ley.

Explicaciones comprensibles (libre de tecnicismos y términos legales pero sin sacrificar su precisión) sobre el porque de las decisiones tomadas.

Finalmente, como documento dinámico de la organización, deben seguir un proceso de actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la planta de personal, cambio en la infraestructura computacional, alta y rotación de personal, desarrollo de nuevos servicios, cambio o diversificación de negocios, etc.

Una proposición de una forma de realizar una PSI adecuada puede apreciarse en el siguiente diagrama:

Fuente: Manual de Seguridad en Redes. http://www.arcert.gov.ar


Se comienza realizando una evaluación del factor humano, el medio en donde se desempeña, los mecanismos con los cuales se cuenta para llevar a cabo la tarea encomendada, las amenazas posibles y sus posibles consecuencias.

Luego de evaluar estos elementos y establecida la base del análisis, se originan un programa de seguridad, el plan de acción y las normas y procedimientos a llevar a cabo.
Para que todo lo anterior llegue a buen fin debe realizarse un control periódico de estas políticas, que asegure el fiel cumplimiento de todos los procedimientos enumerados. Para asegurar un marco efectivo se realiza una auditoria a los archivos Logs de estos controles.

Con el objeto de confirmar que todo lo creado funciona en un marco real, se realiza una simulación de eventos y acontecimientos que atenten contra la seguridad del sistema. Esta simulación y los casos reales registrados generan una realimentación y revisión que permiten adecuar las políticas generadas en primera instancia.

Por último el Plan de Contingencia es el encargado de suministrar el respaldo necesario en caso en que la política falle.

Es importante destacar que la Seguridad debe ser considerada desde la fase de diseño de un sistema. Si la seguridad es contemplada luego de la implementación del mismo, el personal se enfrentará con problemas técnicos, humanos y administrativos muchos mayores que implicaran mayores costos para lograr, en la mayoría de los casos, un menor grado de seguridad.