Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Seguridad e Integridad de Sistemas (página 2)




Enviado por yesssi



Partes: 1, 2, 3, 4

desde el punto de vista de la eficiencia, es conveniente
que los usuarios sean identificados y autenticados solamente una
vez, pudiendo acceder a partir de allí, a todas las
aplicaciones y datos a los que su perfil permita, tanto en
sistemas locales como en sistemas a los que deba acceder en forma
remota. Esto se denomina "single log-in" o sincronización
de passwords.

Una de las posibles técnicas para implementar
esta única identificación de usuarios seria la
utilización de un servidor de autenticaciones sobre el
cual los usuarios se identifican, y que se encarga luego de
autenticar al usuario sobre los restantes equipos a los que
éste pueda acceder. Este servidor de autenticaciones no
debe ser necesariamente un equipo independiente y puede tener sus
funciones distribuidas tanto geográfica como
lógicamente, de acuerdo con los requerimientos de carga de
tareas.

La seguridad informática se basa, en gran medida,
en la efectiva administración de los permisos de acceso a
los recursos informáticos, basados en la
identificación, autenticación y autorización
de accesos. Esta administración abarca:

  • 1. Proceso de solicitud, establecimiento,
    manejo, seguimiento y cierre de las cuentas de usuarios. Es
    necesario considerar que la solicitud de habilitación
    de un permiso de acceso para un usuario determinado, debe
    provenir de su superior y, de acuerdo con sus requerimientos
    específicos de acceso debe generarse el perfil en el
    sistema de seguridad, en el sistema operativo o en la
    aplicación según corresponda.

  • 2. Además, la identificación de
    los usuarios debe defirse de acuerdo con una norma
    homogénea para toda la organización.

  • 3. Revisiones periódicas sobre la
    administración de las cuentas y los permisos de acceso
    establecidos. Las mismas deben encararse desde el punto de
    vista del sistema operativo, y aplicación por
    aplicación, pudiendo ser llevadas a cabo por personal
    de auditoria o por la gerencia propietaria del sistema;
    siempre sobre la base de que cada usuario disponga del
    mínimo permiso que requiera de acuerdo con sus
    funciones.

  • 4. Las revisiones deben orientarse a verificar
    la adecuación de los permisos de acceso de cada
    individuo de acuerdo con sus necesidades operativas, la
    actividad de las cuentas de usuarios o la autorización
    de cada habilitación de acceso. Para esto, deben
    analizarse las cuentas en busca de períodos de
    inactividad o cualquier otro aspecto anormal que permita una
    redefinición de la necesidad de acceso.

  • 5. Detección de actividades no
    autorizadas. Además de realizar auditorias o efectuar
    el seguimiento de los registros de transacciones (pistas),
    existen otras medidas que ayudan a detectar la ocurrencia de
    actividades no autorizadas. Algunas de ellas se basan en
    evitar la dependencia hacia personas determinadas,
    estableciendo la obligatoriedad de tomar vacaciones o
    efectuando rotaciones periódicas a las funciones
    asignadas a cada una.

  • 6. Nuevas consideraciones relacionadas con
    cambios en la asignación de funciones del empleado.
    Para implementar la rotación de funciones, o en caso
    de reasignar funciones por ausencias temporales de algunos
    empleados, es necesario considerar la importancia de mantener
    actualizados los permisos de acceso.

  • 7. Procedimientos a tener en cuenta en caso de
    desvinculaciones de personal con la organización,
    llevadas a cabo en forma amistosa o no. Los despidos del
    personal de sistemas presentan altos riesgos ya que en
    general se trata de empleados con capacidad para modificar
    aplicaciones o la configuración del sistema, dejando
    "bombas lógicas" o destruyendo sistemas o recursos
    informáticos. No obstante el personal de otras
    áreas usuarias de los sistemas también puede
    causar daños, por ejemplo, introduciendo
    información errónea a las aplicaciones
    intencionalmente.Para evitar estas situaciones, es
    recomendable anular los permisos de acceso a las personas que
    se desvincularán de la organización, lo antes
    posible. En caso de despido, el permiso de acceso
    debería anularse previamente a la notificación
    de la persona sobre la situación.

2.1.2 ROLES

El acceso a la información también puede
controlarse a través de la función o rol del
usuario que requiere dicho acceso. Algunos ejemplos de roles
serían los siguientes:

programador, líder de proyecto, gerente de un
área usuaria, administrador del sistema etc. En este caso
los derechos de acceso pueden agruparse de acuerdo con el rol de
los usuarios.

2.1.3 TRANSACCIONES

También pueden implementarse controles a
través de las transacciones, por ejemplo

solicitando una clave al requerir el procesamiento de
una transacción determinada.

2.1.4 LIMITACIONES A LOS SERVICIOS

Estos controles se refieren a las restricciones que
dependen de parámetros propios de la utilización de
la aplicación o preestablecidos por el administrador del
sistema. Un ejemplo podría ser que en la
organización se disponga de licencias para la
utilización simultánea de un determinado producto
de software para cinco personas, en donde exista un control a
nivel sistema que no permita la utilización del producto a
un sexto usuario,

2.1.5 MODALIDAD DE ACCESO

Se refiere al modo de acceso que se permite al usuario
sobre los recursos ya la información, Esta modalidad puede
ser:

  • Lectura: el usuario puede únicamente
    leer o visualizar la información pero no puede
    alterarla, Debe considerarse que la información puede
    ser copiada o impresa.

  • Escritura: este tipo de acceso permite
    agregar datos, modificar o borrar
    información.

  • Ejecución: este acceso otorga al
    usuario el privilegio de ejecutar programas.

  • Borrado: permite al usuario eliminar recursos
    del sistema (como programa, campos de datos o archivos). El
    borrado es considerado una forma de
    modificación.

  • Todas las anteriores.

Además existen otras modalidades de acceso
especiales, que generalmente se incluyen

en los sistemas de aplicación:

  • Creación: permite al usuario crear
    nuevos archivos, registros o campos.

  • Búsqueda: permite listar los archivos
    de un directorio determinado.

2.1.5.1 UBICACIÓN y HORARIO

El acceso a determinados recursos del sistema puede
estar basado en la ubicación física o lógica
de los datos o personas. En cuanto a los horarios, este tipo de
controles permite limitar el acceso de los usuarios a
determinadas horas de día o a determinados días de
la

semana, De esta forma se mantiene un control más
restringido de los usuarios y zonas de ingreso.

Se debe mencionar que estos dos tipos de controles
siempre deben ir acompañados de alguno de los controles
anteriormente mencionados.

2.1.6 CONTROL DE ACCESO INTERNO

2.1.6.1 PALABRAS CLAVES (PASSWORDS)

Generalmente se utilizan para realizar la
autenticación del usuario y sirven para proteger los datos
y aplicaciones. Los controles implementados a través de la
utilización de palabras clave resultan de muy bajo costo.
Sin embargo cuando el Usuario se ve en la necesidad de utilizar
varias palabras clave para acceder a diversos sistemas encuentra
dificultoso recordarlas y probablemente las escriba o elija
palabras fácilmente deducibles, con lo que se ve
disminuida la utilidad de esta técnica.

Se podrá, por años, seguir creando
sistemas altamente seguros, pero en última
instancia

Cada uno de ellos se romperá por este
eslabón: la elección de passwords
débiles.

Sincronizatión de passwords: consiste en
permitir que un usuario acceda con la misma password a diferentes
sistemas interrelacionados y, su actualización
automática en todos ellos en caso de ser modificada.
Podría pensarse que esta es una característica
negativa para la seguridad de un sistema, ya que una vez
descubierta la clave de un usuario, se podría tener acceso
a los múltiples sistemas a los que tiene acceso dicho
usuario. Sin embargo, estudios hechos muestran que las personas
normalmente suelen manejar una sola password para todos los
sitios a los que tengan acceso, y que si se los fuerza a elegir
diferentes passwords tienden a guardarlas escritas para no
olvidarlas, lo cual significa un riesgo aún mayor. Para
implementar la sincronización de passwords entre sistemas
es necesario que todos ellos tengan un alto nivel de
seguridad.

Caducidad y control: este mecanismo controla
cuando pueden y/o deben cambiar sus passwords los usuarios. Se
define el período máximo que debe pasar para que
los usuarios puedan cambiar sus passwords, y un período
máximo que puede transcurrir para que éstas
caduquen.

2.1.6.2 ENCRIPTACIÓN

La información encriptada solamente puede ser
desencriptada por quienes posean la clave apropiada. La
encriptación puede proveer de una potente medida de
control de acceso.

Este tema será abordado con profundidad en el
Capítulo sobre Protección del presente.

2.1.6.3 LISTAS DE CONTROL DE ACCESOS

Se refiere a un registro donde se encuentran los nombres
de los usuarios que obtuvieron el permiso de acceso a un
determinado recurso del sistema, así como la modalidad de
acceso permitido. Este tipo de listas varían
considerablemente en su capacidad y flexibilidad.

2.1.6.4 LIMITES SOBRE LA INTERFASE DE
USUARIO

Esto límites, generalmente, son utilizados en
conjunto con las listas de control de accesos y restringen a los
usuarios a funciones específicas. Básicamente
pueden ser de tres tipos: menús, vistas sobre la base de
datos y límites físicos sobre la interfase de
usuario. Por ejemplo los cajeros automáticos donde el
usuario sólo puede ejecutar ciertas funciones presionando
teclas específicas.

2.1.6.5 ETIQUETAS DE SEGURIDAD

Consiste en designaciones otorgadas a los recursos (como
por ejemplo un archivo) que pueden utilizarse para varios
propósitos Como control de accesos, especificación
de medidas de protección, etc. Estas etiquetas no Son
modificables.

2.1.7 CONTROL DE ACCESO EXTERNO

2.1.7.1 DISPOSITIVOS DE CONTROL DE
PUERTOS

Estos dispositivos autorizan el acceso a un puerto
determinado y pueden estar físicamente separados o
incluidos en otro dispositivo de comunicaciones, Como por ejemplo
un módem.

2.1.7.2 FIREWALLS O PUERTAS DE
SEGURIDAD

Permiten bloquear o filtrar el acceso entre dos redes.
usualmente una privada y otra externa (por ejemplo Internet). Los
firewalls permiten que loS usuarios internos se conecten a la red
exterior al mismo tiempo que previenen la intromisión de
atacantes o virus a los sistemas de la organización. Este
tema será abordado Con posterioridad.

2.1.7.3 ACCESO DE PERSONAL CONTRATADO O
CONSULTORES

Debido q que este tipo de personal en general presta
servicios temporarios, debe ponerse especial consideración
en la política y administración de sus perfiles de
acceso.

2.1.7.4 ACCESOS PÚBLICOS

Para los sistemas de información consultados por
el público en general, o los utilizados para distribuir o
recibir infotn1ación computarizada (mediante. por ejemplo,
la distribución y recepción de formularios en
soporte magnético, o la consulta y recepción de
información a través del correo elec1r6nico) deben
tenerse en cuenta medidas especiales de seguridad, ya que se
incrementa el riesgo y se dificulta su
administración.

Debe considerarse para estos casos de sistemas
públicos, que un ataque externo o interno puede acarrear
un impacto negativo en la imagen de la
organización.

2.1.8 ADMINISTRACIÓN

Una vez establecidos los controles de acceso sobre los
sistemas y la aplicación, es necesario realizar una
eficiente administración de estas medidas de seguridad
lógica, lo que involucra la implementación.
seguimientos. pruebas y modificaciones sobre los accesos de los
usuarios de los sistemas,

La política de seguridad que se desarrolle
respecto a la seguridad lógica debe guiar a las decisiones
referidas a la determinación de los controles de accesos y
especificando las consideraciones necesarias para el
establecimiento de perfiles de usuarios.

La definición de los permisos de acceso requiere
determinar cual será el nivel de seguridad necesario sobre
los datos. por lo que es imprescindible clasificar la
información, determinado el riesgo que produciría
una eventual exposición de la misma a usuarios no
autorizados.

Así los diversos niveles de la información
requerirán diferentes medidas y niveles de
seguridad.

Para empezar la implementación es conveniente
comenzar definiendo las medidas de seguridad sobre la
información más sensible o las aplicaciones
más críticas. y avanzar de

acuerdo a un orden de prioridad descendiente,
establecido alrededor de las aplicaciones.

Una vez clasificados los datos, deberán
establecerse las medidas de seguridad para cada uno de los
niveles.

Un programa específico para la
administración de los usuarios informáticos
desarrollado sobre la base de las consideraciones expuestas,
puede constituir un compromiso vacío, si no existe una
conciencia de la seguridad organizacional por parte de todos los
empleados. Esta conciencia de la seguridad puede alcanzarse
mediante el ejemplo del personal directivo en el cumplimiento de
las políticas y el establecimiento de compromisos firmados
por el personal, donde se especifique la responsabilidad de cada
uno.

Pero además de este compromiso debe existir una
concientización por parte de la administración
hacia el personal en donde se remarque la importancia de la
información y las consecuencias posibles de su
pérdida o apropiación de la misma por agentes
extraños a la organización.

2.1.8.1 ADMINISTRACIÓN DEL PERSONAL y
USUARIOS

2.1.8.1.1 Organización del
Personal

Este proceso lleva generalmente cuatro pasos:

Definición de puestos: debe contemplarse la
máxima separación de funciones posibles y el
otorgamiento del mínimo permiso de acceso requerido por
cada puesto para la ejecución de las tareas
asignadas

Determinación de la sensibilidad del puesto: para
esto es necesario determinar si la funcí6n requiere
permisos riesgosos que le permitan alterar procesos, perpetrar
fraudes o visualizar información confidencial.

Elección de la persona para cada puesto: requiere
considerar los requerimientos de experiencia y conocimientos
técnicos necesarios para cada puesto. Asimismo, para los
puestos defidos como críticos puede requerirse una
verificación de los antecedentes personales.

Entrenamiento inicial y continuo del empleado: cuando la
persona seleccionada ingresa a la organización,
además de sus responsabilidades individuales para la
ejecución de las tares que se asignen, deben
comunicárseles las políticas organizacionales,
haciendo hincapié en la política de seguridad. El
individuo debe conocerlas disposiciones organizacionales, su
responsabilidad en cuanto a la seguridad informática y lo
que se espera de él.

Esta capacitación debe orientarse a incrementar
la conciencia de la necesidad de proteger los recursos
informáticos ya entrenar a los usuarios en la
utilización de los sistemas y equipos para que ello pueda
llevar a cabo sus funciones en forma segura, minimizando la
ocurrencia de errores (principal riesgo relativo a la
tecnología informática).

Sólo cuando los usuarios están capacitados
y tienen una conciencia formada respecto de la seguridad pueden
asumir su responsabilidad individual. Para esto, el ejemplo de la
gerencia constituye la base fundamental para que el entrenamiento
sea efectivo; el personal debe sentir que la seguridad es un
elemento prioritario dentro de la organización.

2.2 NIVELES DE SEGURIDAD
INFORMÁTICA

El estándar de niveles de seguridad mas utilizado
internacionalmente es el TCSEC 0range
Book[4]desarrollado en 1983 de acuerdo a las
normas de seguridad en computadoras del Departamento de Defensa
de los Estados Unidos.

Los niveles describen los diferentes tipos de seguridad
del sistema operativo y se enumeran desde el mínimo grado
de seguridad al máximo.

Estos niveles han sido la base de desarrollo de
estándares europeos (lTSEC/ITSEM) y luego internacionales
(lSO/IEC).

Cabe aclarar que cada nivel requiere todos los niveles
definidos anteriormente; así el subnivel B2 abarca los
subniveles B1, C2, Cl y el D.

2.2.1 NIVEL D

Este nivel contiene sólo una división y
está reservada para sistemas que han sido evaluados y no
cumplen con ninguna especificación de seguridad. Sin
sistemas no confiables, no hay protección para el
hardware, el sistema operativo es inestable y no hay
autentificación con respecto a los usuarios y sus derechos
en el acceso a la información. Los sistemas operativos que
responden a este nivel son MS-DOS y System 7.0 de
Macintosh.

2.2.2 NIVEL C1: PROTECCIÓN
DISCRECIONAL

Se requiere identificación de usuarios que
permite el acceso a distinta, información.

Cada usuario puede manejar su información privada
y se hace la distinción entre los usuarios y el
administrador del sistema, quien tiene control total de
acceso.

Muchas de las tareas cotidianas de administración
del sistema sólo pueden ser realizadas por este
"súper usuario"; quien tiene gran responsabilidad en la
seguridad del mismo. Con la actual descentralización de
los sistemas de cómputos, no es raro que en una
organización encontremos dos o tres personas cumpliendo
este rol. Esto es un problema, pues no hay forma de distinguir
entre los cambios que hizo cada usuario.

A continuación se enumeran los requerimiento
mínimos que debe cumplir la clase C1:

  • Acceso de control discrecional: distinción
    entre usuarios y recursos. Se podrán definir grupos de
    usuarios (con los mismos privilegios) y grupos de objetos
    (archivos, directorios. disco) sobre los cuales podrán
    actuar usuarios o grupos de ellos.

  • Identificación y autentificación: se
    requiere que un usuario se identifique antes de comenzar a
    ejecutar acciones sobre el sistema. El dato de un usuario no
    podrá ser accedido por un usuario sin
    autorización o identificación.

2.2.3 NIVEL C2: PROTECCIÓN DE ACCESO
CONTROLADO

Este subnivel fue diseñado para solucionarlas
debilidades del Cl. Cuenta con características adicionales
que crean un ambiente de acceso controlado. Se debe llevar una
auditoria de accesos e intentos fallidos de acceso a objetos.
Tiene la capacidad de restringir aún más el que los
usuarios ejecuten ciertos comandos o tengan acceso a ciertos
archivos permitir o denegar datos a usuarios en concreto. con
base no sólo en los permisos, sino también en los
niveles de autorización.

Requiere que se audite el sistema. Esta auditoría
es utilizada para llevar registros de todas las acciones
relacionadas con la seguridad, como las actividades efectuadas
por el administrador del sistema y sus usuarios. La
auditoría requiere de autenticación adicional para
estar seguros de que la persona que ejecuta el comando es quien
dice ser. Su mayor desventaja reside en los recursos adicionales
requeridos por el procesador y el subsistema de
discos.

Los usuarios de un sistema C2 tienen la
autorización para realizar algunas tareas de
administración del sistema sin necesidad de ser
administradores. Permite llevar mejor cuenta de las tareas
relacionadas con la administración del sistema, ya que es
cada usuario quien ejecuta el trabajo y no el administrador del
sistema.

2.2.4 NIVEL B1: SEGURIDAD ETIQUETADA

Este subnivel, es el primero de los tres con que cuenta
el nivel B. Soporta seguridad multinivel. como la secreta y ultra
secreta. Se establece que el dueño del archivo no puede
modificar los permisos de un objeto que está bajo control
de acceso obligatorio. A cada objeto del sistema (usuario, dato,
etc. ) se le asigna una etiqueta, con un nivel de seguridad
jerárquico (alto secreto. secreto, reservado, etc.) y con
unas categorías (contabilidad, nóminas, ventas,
etc.).

Cada usuario que accede a un objeto debe poseer un
permiso expreso para hacerlo y viceversa. Es decir que cada
usuario tiene sus objetos asociados. También se establecen
controles para limitar la propagación de derecho de
accesos a los distintos objetos.

2.2.5 NIVEL B2: PROTECCIÓN
ESTRUCTURADA

Requiere que se etiquete cada objeto de nivel superior
por ser padre de un objeto inferior. La Protección
Estructurada es la primera que empieza a referirse al problema de
un objeto a un nivel mas elevado de seguridad en
comunicación con otro objeto a un nivel inferior.
Así, un disco rígido será etiquetado por
almacenar archivos Que son accedidos por distintos
usuarios.

El sistema es capaz de alertar a los usuarios si sus
condiciones de accesibilidad y seguridad son modificadas; y el
administrador es el encargado de fijar los canales de
almacenamiento y ancho de banda a utilizar por los demás
usuarios.

2.2.6 NIVEL B3: DOMINIOS DE SEGURIDAD

Refuerza a los dominios con la instalación de
hardware: por ejemplo el hardware de administración de
memoria se usa para proteger el dominio de seguridad de acceso no
autorizado a la modificación de objetos de diferentes
dominios de seguridad. Existe un monitor de referencia que recibe
las peticiones de acceso de cada usuario y las permite o las
deniega según las políticas de acceso que se hayan
definido.

Todas las estructuras de seguridad deben ser lo
suficientemente pequeñas como para permitir
análisis y testeos ante posibles violaciones. Este nivel
requiere que la terminal del

Usuario se conecte al sistema por medio de la
conexión segura.

Además, cada usuario tiene asignado los lugares y
objetos a los que puede acceder.

2.2.7 NIVEL A: PROTECCIÓN
VERIFICADA

Es el nivel más elevado, incluye un proceso de
diseño, control y verificación mediante
métodos formales (matemáticos) para asegurar todos
los procesos que realiza un usuario sobre el sistema.

Para llegar a este nivel de seguridad, todos los
componentes de los niveles inferiores deben incluirse. El
diseño requiere ser verificado de forma matemática
y también se deben realizar análisis de canales
encubiertos y de distribución confiable. El software y el
hardware son protegidos para evitar infiltraciones ante traslados
o movimientos del equipamiento.

CAPITULO 3

Delitos
Informáticos

Ya hemos dejado en claro la importancia de la
información en el mundo altamente tecnificado de hoy.
También se ha dejado en claro cada uno de los riesgos
"naturales" con los que se enfrenta nuestro conocimiento y la
forma de enfrentarlos.

El desarrollo de la tecnología informática
ha abierto las puertas a nuevas posibilidades de delincuencia
antes impensables. La cuantía de los perjuicios así
ocasionados esa menudo muy superior a la usual en la delincuencia
tradicional y también son mucho más elevadas las
posibilidades de que no lleguen a descubrirse o
castigarse.

Es propósito de los capítulos siguientes
disertar sobre los riesgos "no naturales"'; es decir los Que se
encuadran en el marco del delito. Para ello deberemos dejar en
claro, nuevamente, algunos aspectos.

3.1 LA INFORMACIÓN y EL DELITO

El delito informático implica actividades
criminales que los países han tratado de encuadrar en
figuras típicas de carácter tradicional. tales como
robos, hurtos, fraudes, falsificaciones. perjuicios, estafas.
sabotajes. Sin embargo, debe destacarse que el uso de las
técnicas informáticas han creado nuevas
posibilidades del uso indebido de las computadoras lo que ha
creado la necesidad de regulación por parte del
derecho.

Se considera que no existe una definición formal
y universal de delito informático pero se han formulado
conceptos respondiendo a realidades nacionales concretas: "no es
labor fácil dar un concepto sobre delitos
informáticos, en razón de que su misma
denominación alude a una situación muy especial. ya
que para hablar de "delitos.. en el sentido de acciones
típicas, es decir tipificadas o contempladas en textos
jurídicos penales, se requiere que la expresión
"delitos informáticos', esté consignada en los
códigos penales lo cual en nuestro país, al igual
que en otros muchos no han sido objeto tipificación
aun."

En 1983, la Organización de Cooperación y
desarrollo económico (OCDE) inició un estudio de
las posibilidades de aplicar y armonizar en el plano
internacional las leyes penales a fin de luchar contra el
problema del uso indebido de los programas
computacionales.

En 1992 la Asociación Internacional de Derecho
Penal. durante el coloquio celebrado en Wurzburgo (Alemania),
adoptó diversas recomendaciones respecto a los delitos
informáticos, entre ellas que, en la medida que el Derecho
Penal no sea suficiente. Deberá promoverse la
modificación de la definición de los delitos
existentes o la creación de otros nuevos, si no basta con
la adopción de otras medidas como por ejemplo el
"principio de subsidiariedad".

Se entiende delito como: "acción penada por las
leyes por realizarse en perjuicio de algo o alguien. o por ser
contraria a lo establecido por aquéllas".

Finalmente la OCDE publicó un estudio sobre
delitos informáticos y el análisis de la normativa
jurídica en donde se reseñan las normas
legislativas vigentes y se define Delito

informático como "cualquier comportamiento
antijurídico. no ético o no autorizado,

relacionado con el procesado automático de datos
vio transmisiones de datos… "Los delitos informáticos se
realizan necesariamente con la ayuda de los sistemas
informáticos. pero tienen como objeto del injusto la
información en sí misma',.

Adicionalmente la OCDE elaboró un conjunto de
normas para la seguridad de los sistemas de información,
con la intención de ofrecer las bases para que los
distintos países pudieran erigir un marco de seguridad
para los sistemas informáticos.

  • 1. En esta delincuencia se trata con
    especialistas capaces de efectuar el crimen y borrar toda
    huella de los hechos. resultando. muchas veces, imposible de
    deducir como es o como se realizo el delito. La
    informática reúne características que la
    convierten en un medio idóneo para la comisión
    de nuevos tipos de delitos que en gran parte del mundo ni
    siquiera han podido ser catalogados.

  • 2. La legislación sobre sistemas
    informáticos debería perseguir acercarse lo
    más posible a los distintos medios de
    protección ya existentes. pero creando una nueva
    regulación basada en los aspectos del objeto a
    proteger: la información.

En este punto debe hacerse un punto y notar lu
siguiente;

  • No es la computadora la que atenta contra el hombre,
    es el hombre el que encontró una nueva herramienta.
    quizás la más poderosa basta el momento, para
    delinquir.

  • No es la computadora la que afecta nuestra Vida
    privada, sino el aprovechamiento que hacen ciertos individuos
    de los datos que ellas contienen.

  • La humanidad no está frente al peligro de la
    informática sino frente a individuos sin
    escrúpulos con aspiraciones de obtener el poder que
    significa el conocimiento.

  • Por eso la amenaza futura será directamente
    proporcional a los adelantos de las tecnologías
    informáticas.

  • La protección de los sistemas
    informáticos puede abordarse desde distintos
    perspectivas: civil, comercial o administrativa.

Lo que se deberá intentar es que ninguna de ellas
sea excluyente con las demás y, todo lo contrario, lograr
una protección global desde los distintos sectores para
alcanzar cierta eficiencia en la defensa de estos sistemas
informáticos.

Julio Téllez Valdez clasifica a los delitos
informáticos en base a dos criterios.

  • 1. Como instrumento o medio: se tienen a las
    conductas criminales que se valen de las computadoras como
    método. medio o símbolo en la comisión
    del ilícito.

Ejemplos:

  • Falsificación de documentos vía
    computarizada: tarjetas de créditos. Cheques
    .etc.

  • Variación de la situación
    contable.

  • Planeamiento y simulación de delitos
    convencionales como robo. homicidio y

  • Fraude

  • Alteración el funcionamiento normal de un
    sistema mediante la introducción de código
    extraño al mismo: virus, bombas lógicas.
    etc.

  • Intervención de líneas de
    comunicación de datos o teleprocesos

  • 2. Como fin u objetivo: se
    enmarcan las conductas criminales que van dirigidas en contra
    de la computadora, accesorios o programas como entidad
    física.Ejemplos:

  • Instrucciones que producen un bloqueo parcial o
    total del sistema.

  • Destrucción de programa por cualquier
    método.

  • Atentado físico contra la computadora, sus
    accesorios o sus medios de comunicación.

  • Secuestro de soportes magnéticos con
    información valiosa, para ser utilizada

  • con fines delictivos.

Este mismo autor sostiene que las acciones delictivas
informáticas presentan las siguiente
características:

  • 1. Sólo una determinada cantidad de
    personas ( con conocimientos técnicos por encima de lo
    normal) pueden llegar a cometerlos.

  • 2. Son conductas criminales del tipo "cuello
    blanco": no de acuerdo al interés protegido (como en
    los delitos convencionales ) sino de acuerdo al sujeto que
    los comete. Generalmente este sujeto tiene cierto status
    socioeconómico y la comisión del delito no
    puede explicarse por pobreza. carencia de recursos, baja
    educación, poca inteligencia, ni por inestabilidad
    emocional.

  • 3. Son acciones ocupacionales, ya que
    generalmente se realizan cuando el sujeto atacado se
    encuentra trabajando.

  • 4. Son acciones de oportunidad, ya que se
    aprovecha una ocasión creada por el
    atacante.

  • 5. Provocan pérdidas
    económicas.

  • 6. Ofrecen posibilidades de tiempo y
    espacio.

  • 7. Son muchos los casos y pocas las denuncias,
    y todo ello por la falta de regulación y por miedo al
    descrédito de la organización
    atacada.

  • 8. Presentan grandes dificultades para su
    comprobación, por su carácter
    técnico.

  • 9. Tienden a proliferar, por 10 Re requiere su
    urgente regulación legal.

María Luz Lima, por su parte, presenta la
siguiente clasificación de "delitos
electrónicos"[5]

  • 1. Como Método: Conductas criminales en
    donde los individuos utilizan métodos
    electrónicos para llegar a un resultado
    ilícito.

  • 2. Como Medio: conductas criminales en donde
    para realizar un delito utilizan una computadora como medio o
    símbolo.

  • 3. Como fin: Conductas criminales dirigidas
    contra la entidad física del objeto o máquina
    electrónica o su material con objeto de
    dañarla.

3.2 TIPOS DE DELITOS
INFORMÁTICOS

La Organización de Naciones Unidas (ONU)
reconocen los siguientes tipos de delitos

informáticos :

  • 1. Fraudes cometidos mediante
    manipulación de computadoras

  • Manipulación de los datos de entrada: este
    tipo de fraude informático conocido también
    como sustracción de datos, representa el delito
    informático más común ya que es
    fácil de cometer y difícil de
    descubrir.

  • La manipulación de programas: consiste en
    modificar los programas existentes en el sistema o en
    insertar nuevos programas o rutinas. Es muy difícil de
    descubrir ya menudo pasa inadvertida debido a que el
    delincuente tiene conocimientos técnicos concretos de
    informática y programación.

  • Manipulación de datos de salida: se
    efectúa fijando un objetivo al funcionamiento del
    sistema informático, El ejemplo más
    común es el fraude del que se hace objeto a los
    cajeros automáticos mediante la falsificación
    de instrucciones para la computadora en la fase de
    adquisición de datos.

  • Fraude efectuado por manipulación
    informática: Aprovecha las repeticiones
    automáticas de los procesos de cómputo. Es una
    técnica especializada que se denomina "técnica
    de salchichón" en la que rodajas muy finas" apenas
    perceptibles, de transacciones financieras, se van sacando
    repetidamente de una cuenta y se transfieren a otra. Se basa
    en ei principio de que 10,66 es igual a 10,65 pasando 0,01
    centavos a la cuenta del ladrón n veces.

  • 2. Manipulación de los datos de
    entrada

  • Como el objeto: Cuando se alteran datos de los
    documentos almacenados en forma computarizada.

  • Como Instrumento: las computadoras pueden utilizarse
    tambIén para efectuar falsificaciones de documentos de
    uso comercial.

  • 3. Daños o modificaciones de programas o
    datos computarizados

  • Sabotaje informático: es el acto de borrar,
    suprimir o modificar sin autorización funciones o
    datos de computadora con intención de obstaculizar el
    funcionamiento del sistema.

  • Acceso no a autorizado a servicios y sistemas
    informáticos: estos acceso se pueden realizar por
    diversos motivos, desde la simple curiosidad hasta el
    sabotaje o espionaje informático.

  • Reproducción no autorizada de programas
    informáticos de protección legal; esta puede
    entraftar una pérdida económica sustancial para
    los propietarios legítimos. Algunas jurisilicciones
    han tipificado como delito esta clase de actividad y la han
    sometido a sanciones penales, El problema ha alcanzado
    dimensiones transnacionales con el tráfico de esas
    reproducciones no autorizadas a través de las redes de
    telecomunicaciones modernas. Al respecto. se considera, que
    la reproducción no autorizada de programas
    informáticos no es un delito informático debido
    a que el bien jurídico a tutelar es la propiedad
    intelectual.

Adicionalmente a estos tipos de delitos reconocidos, el
XV Congreso Inbternacional de Derecho ha propuesto todas las
formas de conductas lesivas de la que puede ser objeto la
información. Ellas son:

  • "Fraude en el campo de la
    informática.

  • Falsificación en materia
    informática.

  • Sabotaje informático y daños a datos
    computarizados o programas informáticos.

  • Acceso no autorizado.

  • Intercepción sin
    autorización.

  • Reproducción no autorizada de un programa
    informático protegido.

  • Espionaje informático.

  • Uso no autorizado de una computadora.

  • Tráfico de claves informáticas
    obtenidas por medio ilícito.

  • Distribución de virus o programas
    delictivos."[6]

3.3 DELINCUENTE y VICTIMA

3.3.1 SUJETO ACTIVO

Se llama así a las personas que cometen los
delitos informáticos. Son aquellas que poseen ciertas
características que no presentan el denominador
común de los delincuentes, esto es, los sujetos activos
tienen habilidades para el manejo de los sistemas
informáticos y generalmente por su situación
laboral se encuentran en lugares estratégicos donde se
maneja información de carácter sensible, o bien son
hábiles en el uso de los sistemas informatizados,
aún cuando, en muchos de los casos, no desarrollen
actividades laborales que faciliten la comisión de este
tipo de delitos.

Con el tiempo se ha podido comprobar que los autores de
los delitos informáticos son muy diversos y que lo que los
diferencia entre sí es la naturaleza de los delitos
cometidos. De esta forma, la persona que "entra" en un sistema
informático sin intenciones delictivas es muy diferente
del empleado de una institución financiera que
desvía fondos de las cuentas de sus clientes.

El nivel típico de aptitudes del delincuente
informático es tema de controversia ya que para algunos el
nivel de aptitudes no es indicador de delincuencia
informática en tanto que otros aducen que los posibles
delincuentes informáticos son personas listas, decididas,
motivadas y dispuestas a aceptar un reto tecnológico,
características que pudieran encontrarse en un empleado
del sector de procesamiento de datos.

Sin embargo, teniendo en cuenta las
características ya mencionadas de las personas
que

cometen los delitos informáticos, estudiosos en
la materia los han catalogado como delitos de "cuello blanco"
término introducido por primera vez por el
criminólogo norteamericano Edwin Sutherland en el
año de 1943.

La "Cifra Negra" es muy alta; no es fácil
descubrirlos ni sancionarlos, en razón del poder
económico de quienes lo cometen, pero los daños
económicos son altísimos; existe una gran
indiferencia de la opinión pública sobre los
daños ocasionados a la sociedad. A los sujetos que cometen
este tipo de delitos no se considera delincuentes, no se los
segrega, no se los desprecia, ni se los desvaloriza; por el
contrario, es considerado y se considera a sí mismo
"respetable". Estos tipos de delitos, generalmente, son objeto de
medidas o sanciones de carácter administrativo y no
privativos de la libertad.

3.3.2 SUJETO PASIVO

Este. la víctima del delito, es el ente sobre el
cual recae la conducta de acción u omisión que
realiza el sujeto activo. Las vfctimas pueden ser individuos,
instituciones crediticias, instituciones militares, gobiernos,
etc. que usan sistemas automatizados de información,
generalmente conectados a otros.

El sujeto pasivo del delito que nos ocupa, es sumamente
importante para el estudio de los delitos informáticos, ya
que mediante él podemos conocer los diferentes
ilícitos que cometen los delincuentes
informáticos.

Es imposible conocer la verdadera magnitud de los
delitos informáticos, ya que la mayor parte no son
descubiertos o no son denunciados a las autoridades responsables
y si a esto se suma la falta de leyes que protejan a las
víctimas de estos delitos; la falta de preparación
por parte de las autoridades para comprender, investigar y
aplicar el tratamiento jurídico adecuado; el temor por
parte de las empresas de denunciar este tipo de ilícitos
por el desprestigio que esto pudiera ocasionar a su empresa y las
consecuentes pérdidas económicas, trae como
consecuencia que las estadísticas sobre este tipo de
conductas se mantenga bajo la llamada "cifra negra".

Por lo anterior, se reconoce que para Conseguir una
prevención efectiva de la criminalidad informática
se requiere, en primer lugar, un análisis objetivo de las
necesidades de protección y de las fuentes de peligro. Una
protección eficaz contra la criminalidad
informática presupone ante todo que las víctimas
potenciales conozcan las correspondientes técnicas de
manipulación, así como sus formas de
encubrimiento.

En el mismo sentido, podemos decir que con:

  • 1. La divulgación de las posibles
    conductas ilícitas derivadas del uso de las
    computadoras.

  • 2. Alertas a las potenciales victimas, para que
    tomen las medidas pertinentes a fin de prevenir la
    delincuencia informática.

  • 3. Creación de una adecuada
    legislación que proteja los intereses de la
    víctimas.

  • 4. Una eficiente preparación por parte
    del personal encargado de la procuración,
    administración y la participación de justicia
    para atender e investigar a estas conductas
    ilícitas.

Se estaría avanzando mucho en el camino de la
lucha contra la delincuencia informática, que cada
día tiende a expandirse más.

Además, se debe destacar que 108 organi8mos
internacionales han adoptado resoluciones similares en el sentido
de que educando a la comunidad de víctimas y estimulando
la denuncia de los delitos, se promovería la confianza
pública en la capacidad de los encargados de hacer cumplir
la ley y de las autoridades judiciales para detectar, investigar
y prevenir 108 delitos informáticos.

3.4 LEGISLACIÓN NACIONAL

En los últimos años se ha perfilado en el
ámbito internacional un cierto consenso en las
valoraciones político-jurídicas de los problemas
derivados del mal uso que se hace de las computadoras, lo cual ha
dado lugar a que, en algunos casos, se modifiquen los derechos
penales nacionales e internacionales.

La ONU señala que cuando el problema se eleva a
la escena internacional, se magnifican los inconvenientes y los
delitos informáticos se constituyen en una forma de crimen
transnacional.

En este sentido habrá que recurrir a aquellos
tratados internacionales de los que nuestro país es parte
y que, en virtud del Articulo 75 inc. 22 de la
Constitución Nacional reformada en 1994, tiene rango
constitucional.

Argentina también es parte del acuerdo que se
celebró en el marco de la Ronda Uruguay del Acuerdo
General de Aranceles Aduaneros y Comercio, que en su
artículo lO, relativo a los programas de ordenador y
compilaciones de datos, establece que:

  • Este tipo de programas, ya sean fuente u objeto,
    serán protegidos como obras literarias de conformidad
    con el Convenio de Berna, de julio 1971, para la
    Protección de Obras Literarias y
    Artísticas.

  • Las compilaciones de datos posibles de ser legibles
    serán protegidos como creaciones de carácter
    intelectual.

  • Para los casos de falsificación dolosa de
    marcas de fábrica o de comercio o de piratería
    lesiva del derecho de autor a escala comercial se
    establecerán procedimientos y sanciones penales
    además de que, "los recursos disponibles
    comprenderán la pena de prisión y/o la
    imposición de sanciones pecuniarias suficientemente
    disuasorias.

La Convención sobre la Propiedad intelectual de
Estocolmo (julio de 1967) y el Convenio de Berna (julio de 1971)
fueron ratificados en nuestro pais por la Ley 22.195 el 17 de
marzo de 1980 y el8 de julio de 1990 respectivamente.

La Convención para la Protección y
Producción de Phonogramas de octubre de 1971, fue
ratificada por la ley 19.963 cl23 dc noviembre 1972.

Hay otros Convenios no ratificados aún por
nuestro País, realizados por la Organización
Mundial de la Propiedad Intelectual (OMPI), de la que Argentina
es parte integrante a partir del 8 de octubre de 1980.

Nuestra legislación regula Comercial y Penalmente
las conductas ilícitas relacionadas con la
informática, pero que aún no contemplan en si los
delitos informáticos:

  • 1. La ley 111 de Patentes de Invención
    regula la protección a la propiedad
    intelectual.

  • 2. La ley Penal 11.723 de "Propiedad
    Científica, Literaria y Artística.., modificada
    por el decreto 165/94. ha modificado los Artículos 71.
    72, 72 bis. 73 y 74.

Por esta ley, en el país solo están
protegidos los lenguajes de bases de datos, planillas de
cálculo, el software y su documentación dentro del
mismo.

Si bien, en el decreto de 1994, se realizó la
modificación justamente para incluir esos ítem en
el concepto de propiedad intelectual. no tiene en cuenta la
posibilidad de plagio ya que no hay jurisprudencia que permita
establecer qué porcentaje de igualdad en la escritura de
dos programas se considera plagio. Las copias ilegales de
software también son penalizadas, pero por
reglamentaciones comerciales.

A diferencia de otros países, en la Argentina la
información no es un bien o propiedad, por lo tanto no es
posible que sea robada, modificada o destruida.

De acuerdo con los art. 1072 y 2311 del Código
Civil y 183 del Código Penal se especifica que para que
exista robo o hurto debe afectarse una cosa. y las leyes definen
cosa como algo que ocupa lugar en el espacio; los datos, se sabe,
son intangibles.

En resumen: sí alguien destruye, mediante
íos métodos que sean, la información
almacenada en una computadora no cometió delito; pero si
rompió el hardware o un disquete será penalizado:
en ese caso, deberá hacerse cargo de los costos de cada
elemento pero no de lo que contenían. También se
especifica (art. 1109) que el damnificado no podrá
reclamar indemnización si hubiera existido negligencia de
su parte.

Ahora, cabe preguntarse ¿En Argentina, qué
amparo judicial se tiene ante hechos electrónicos
ilícitos? La respuesta es que el Código Penal
argentino (con 77 años de vida) no tiene reglas
específicas sobre los delitos cometidos a través de
computadoras. Esto es así porque cuando se sancionaron las
leyes no existía la tecnología actual y por lo
tanto no fueron previstos los ataques actuales.

Dentro del Código Penal se encuentran sanciones
respecto de íos delitos contra el honor (art. 109 a 117);
instigación a cometer delito (art. 209),
instigación al suicidio (art. 83); hurto al art. 162 ),
además de los de defraudación,
falsificación, tráfico de menores,
narcotráfico, etc., todas conductas que pueden ser
cometidas utilizando como medio la tecnología
electrónica, pero nada referente a delitos cometidos sobre
la información como

bien.

El mayor inconveniente es que no hay forma de determinar
fehacientemente cuál era el estado anterior de los datos,
puesto que la información en estado digital es
fácilmente adulterable. Por otro lado, aunque fuera
posible determinar el estado anterior, sería
difícil determinar el valor que dicha información
tenía.

El problema surge en que los datos almacenados tienen el
valor que el cliente o dueño" de esos datos le asigna (y
que razonablemente forma parte de su patrimonio). Esto, desde el
punto de vista legal es algo totalmente subjetivo. Son bienes
intangibles, donde solo el cliente puede valorar los &'unos y
ceros" almacenados.

Así, las acciones comunes de hurto, robo,
daño, falsificación, etc. (art. 162 del
Código Penal) que hablan de un apoderamiento material NO
pueden aplicarse a los datos almacenados por considerarlos
intangibles.

Hablar de estafa (contemplada en el art. 172 del
código penal) no es aplicable a una máquina porque
se la concibe como algo que no es susceptible de caer en error.
todo lo contrario a la mente humana.

En función del código penal. se considera
que entrar en un domicilio sin permiso o violar correspondencia
constituyen delitos (art. 153). Pero el acceso a una computadora,
red de computadoras o medios de transmisión de la
información (violando un cable coaxil por ejemplo) sin
autorización. en forma directa o remota, no constituyen un
acto penable por la justicia. aunque si el dado del
mismo.

La mayor dificultad es cuantificar el delito
informático. Estos pueden ser muy variados: reducir la
capacidad informativa de un sistema con un virus o un caballo de
Troya, saturar el correo electrónico de un proveedor con
infinidad de mensajes, etc. Pero ¿Cuál de ellos es
mas grave? .

Si se considera Internet, el problema se vuelve
aún más grave ya que se caracteriza por ser algo
completamente descentralizado. Desde el punto de vista del
usuario esto constituye un beneficio, puesto que no tiene
ningún control ni necesita autorización para
acceder a los datos.

Sin embargo. constituye un problema desde el punto de
vista legal. Principalmente porque la leyes penales son
aplicables territorialmente y no puede pasar las barreras de los
países.

La facilidad de comunicación entre diversos
países que brinda la telemática dificulta la
sanción de leyes claras y eficaces para castigar las
intrusiones computacionales.

Si ocurre un hecho delictivo por medio del ingreso a
varias páginas de un sitio distribuidas por distintos
países: ¿Qué juez será el competente
en la causa? .¿Hasta qué punto se pueden regular
loS delitos a través de Internet sabiendo que no se puede
aplicar las leyes en forma extraterritorial? .

Ver una pantalla con información. ¿Es un
robo? .Ante esta pregunta Julio C.
Ardita[7]responde "(…) si, desde el punto de
vista del propietario, si es información confidencial y/o
personal es delito porque se violó su
privacidad".

Si un intruso salta de un satélite canadiense a
una computadora en Taiwan y de allí a otra alemana
¿Con las leyes de qué país se
juzgará? .

Lo mencionado hasta aquí no da buenas
perspectivas para la Seguridad de 108 usuarios (amparo legal) en
cuanto a los datos que almacenan. Pero esto no es tan así,
puesto que si la información es confidencial la misma
tendrá en algún momento, amparo legal.

Por lo pronto, en febrero de 1997 se sancionó la
ley 24.766 por la que se protege la información
confidencial a través de acciones penales y civiles,
considerando información confidencial aquella que cumple
los siguientes puntos.

  • Es secreta en el sentido que no sea generalmente
    conocida ni fácilmente accesible para personas
    introducidas en los círculos en que normalmente se
    utiliza el tipo de información.

  • Tenga valor comercial para ser secreta.

  • Se hayan tomado medidas necesarias para mantenerla
    secreta, tomadas por la persona que legítimamente la
    controla.

Por medio de esta ley la sustracción de
disquetes, acceso sin autorización a una red o computadora
que contenga información confidencial será
sancionado a través de la pena de violación de
secretos.

En cuanto a la actividad típica de los hackers,
las leyes castigan el hurto de energía eléctrica y
de líneas telefónicas, aunque no es fácil de
determinar la comisión del delito. La dificultad radica en
establecer dónde se cometió el delito y
quién es el damnificado.

Los posibles hechos de Hacking se encuadran en la
categoría de delitos comunes como defraudaciones, estafas
o abuso de confianza, y la existencia de una computadora no
modifica el castigo impuesto por la ley.

La División Computación de la
Policía Federal no realiza acciones o investigaciones
preventivas (a modo de las organizaciones estadounidenses)
actúa en un aspecto pericial

cuando el operativo ya está en marcha.

Este vacío en la legislación Argentina se
agrava debido a que las empresas que sufren ataques no los
difunden por miedo a perder el prestigio y principalmente porque
no existen conceptos claros para definir nuevas leyes
jurídicas en función de los avances
tecnológicos.

Estos problemas afectan mucho a la evolución del
campo informático de la Argentina generando malestar en
empresas, usuarios finales y toda persona que utilice una
computadora como medio para realizar o potenciar una tarea. Los
mismos se sienten desprotegidos por la ley ante cualquier acto
delictivo.

Como conclusión, desde el punto de vista social,
es conveniente educar y enseñar la correcta
utilización de todas las herramientas informáticas,
impartiendo conocimientos específicos acerca de las
conductas prohibidas; no solo con el afán de protegerse,
sino para evitar convertirse en un agente de dispersión
que contribuya, por ejemplo, a que un virus informático
siga extendiéndose y alcance una computadora en la que,
debido a su entorno crítico, produzca un dado realmente
grave e irreparable.

Desde la óptica legal, y ante la inexistencia de
normas que tipifiquen los delitos cometidos a través de la
computadora, es necesario y muy importante que la ley contemple
accesos ilegales a las redes como a sus medios de
transmisión. Una futura reforma debería prohibir
toda clase de acceso no autorizado a un sistema
informático, como lo hacen las leyes de Chile, Francia,
Estados Unidos, Alemania, Austria, etc.

Lo paradójico (¿gracioso?) es que no
existe sanción legal para la persona que destruye
información almacenada en un soporte, pero si para la que
destruye la misma información Impresa en papel.

No obstante, existen en el Congreso Nacional diversos
proyectos de ley que contemplan esta temática.

CAPITULO 4

Amenazas
Lógicas

La Entropía es una magnitud termodinámica
que cuantifica el grado de desorden de un sistema; y según
las leyes físicas todo sistema tiende a su máxima
entropía. Si extrapolamos este concepto a la Seguridad
resultaría que todo sistema tiende a su máxima
inseguridad. Este principio supone decir:

  • Los protocolos de comunicación utilizados
    carecen, en su mayoría, de seguridad o esta ha sido
    implementada, tiempo después de su creación, en
    forma de "parche".

  • Existen agujeros de seguridad en los sistemas
    operativos.

  • Existen agujeros de seguridad en las
    aplicaciones.

  • Existen errores en las configuraciones de los
    sistemas.

  • Los usuarios carecen de información respecto
    del tema.

  • Todo sistema es inseguro.

Esta lista podría seguir extendiéndose a
medida que se evalúen mayor cantidad de elementos de un
Sistema Informático.

4.1 ACCESO -USO -AUTORIZACIÓN

La identificación de estas palabras es muy
importante ya que el uso de algunas implica un uso desapropiado
de las otras.

Específicamente ""Acceso" y ""Hacer Uso" no son
el mismo concepto cuando se estudian desde el punto de vista de
un usuario y de un intruso. Por ejemplo:

  • Cuando un usuario tiene acceso autorizado, implica
    que tiene autorizado el uso de un recurso.

  • Cuando un atacante tiene acceso desautorizado
    está haciendo uso desautorizado del
    sistema.

  • Pero, cuando un atacante hace uso desautorizado de
    un sistema, esto implica que el acceso fue autorizado
    (simulación de usuario).

Luego un Ataque será un intento de acceso, o uso
desautorizado de un recurso, sea satisfactorio o no. Un Incidente
envuelve un conjunto de ataques que pueden ser distinguidos de
otro grupo por las características del mismo (grado,
similitud, técnicas utilizadas, tiempos, etc.).

John D. Howard[8]en su tesis estudia la
cantidad de ataques que puede tener unincidente. Al concluir
dicho estudio y basado en su experiencia en los laboratorios del
CERT[9]afirma que esta cantidad varia entre 10 y
1.000 y estima que un número razonable para estudios es de
100 ataques por incidentes.

4.2 DETECCIÓN DE INTRUSOS

A finales de 1996, Dan Farmer (creador de una de las
herramientas más útiles en la detección de
intrusos: SA TAN) realizó un estudio sobre seguridad
analizando 2.203 sistemas de sitios en Internet. Los sistemas
objeto del estudio fueron Web Sites orientados al comercio y con
contenidos específicos, además de un conjunto de
sistemas informáticos aleatorios son los que realizar
comparaciones.

El estudio se realizó empleando técnicas
sencillas y no intrusivas. Se dividieron los problemas
potenciales de seguridad en dos grupos: rojos (red) y amarillos
(yellow). Los problemas del grupo rojo son los más serios
y suponen que el sistema está abierto a un atacante
potencial, es decir, posee problemas de seguridad conocidos en
disposición de ser explotados. Así por ejemplo, un
problema de seguridad del grupo rojo es un equipo que tiene el
servicio de FTP anónimo mal configurado.

Los problemas de seguridad del grupo amarillo son menos
serios pero también reseñables. Implican que el
problema detectado no compromete inmediatamente al sistema pero
puede causarle serios daños o bien, que es necesario
realizar tests más intrusivos para determinar si existe o
no un problema del grupo rojo.

La tabla 4.1 resume los sistemas evaluados, el
número de equipos en cada categoría y los
porcentajes de vulnerabilidad para cada uno. Aunque los
resultados son límites superiores, no dejan de ser…
escandalosos.

Tipo de sitio

#Total sitios testeados

%Total Vulnerables

% Yellow

% Red

Bancos

660

68.34

32.73

35.61

Créditos

274

51.1

30.66

20.44

Sitios federales

47

61.7

23.4

38.3

News

312

69.55

30.77

38.78

Sexo

451

66.08

40.58

25.5

Totales

1734

64.93

33.85

31.08

Grupo aleatorio

469

33.05

15.78

17.27

Tabla 7.1 -Porcentaje de Vulnerabilidades por tipo de
sitio. Fuente: http://www.trouble.org/survey

Como puede observarse, cerca de los dos tercios de los
sistemas analizados tenían serios problemas de seguridad y
Farmer destaca que casi un tercio de ellos podían ser
atacados con un mínimo esfuerzo.

  •  IDENTIFICACIÓN DE LAS
    AMENAZAS

La identificación de amenazas requiere conocer
los tipos de ataques, el tipo de acceso, la forma operacional y
los objetivos del atacante.

Las consecuencias de los ataques se podrían
clasificar en:

  • Data Corruption: la información que no
    contenía defectos pasa a tenerlos.

  • Denial oí Service (noS): servicios que
    deberían estar disponibles no lo
    están.

  • Leakage: los datos llegan a destinos a los que no
    deberían llegar.

Desde 1990 hasta nuestros días, el CERT viene
desarrollando una serie de estadísticas que demuestran que
cada día se registran más ataques
informáticos, y estos son cada vez más
sofisticados, automáticos y difíciles de
rastrear.

La Tabla 4.2 detalla el tipo de atacante, las
herramientas utilizadas, en que fase se

realiza el ataque, los tipos de procesos atacados, los
resultados esperados y/u obtenidos y los objetivos perseguidos
por los intrusos.

Monografias.com

Tabla 4.2. Detalle de Ataques.

Cualquier adolescente de 15 años (Script
Kiddies), sin tener grandes conocimientos, pero con una potente y
estable herramienta de ataque desarrollada por los Gurús,
es capaz de dejar fuera de servicio cualquier servidor de
información de cualquier organismo en Internet,

simplemente siguiendo las instrucciones que
acompañan la herramienta.

Los número que siguen no pretenden alarmar a
nadie ni sembrar la semilla del futuro Hacker. Evidentemente la
información puede ser aprovechada para fines menos
lícitos que para los cuales fue pensada, pero esto es algo
ciertamente difícil de evitar.

Año

Incidentes Reportados

Vulnerabilidades Reportadas

Mensajes Recibidos

1988

6

539

1989

132

2868

1990

252

4448

1991

406

9629

1992

773

14463

1993

1334

21267

1994

2340

29580

1995

2412

171

32084

1996

2573

345

31268

1997

2134

311

39626

1998

3734

262

41871

1999

9859

417

34612

2000

21756

1090

56365

2001

(4 meses)

15476

1151

39181

Total

63187

3747

357802

Nota I: estos incidentes solo representan el 30%
correspondientes a hackers.

Nota II: En 1992 se realizó urmestudio durante el
cual se llevaron a cabo 38.000 ataques a distintos sitios de
organizaciones gubernamentales (muchas militares). El resultado
de los ataques se resumen en el siguiente cuadro.

Monografias.com

Puede observarse que solo el 0,70% (267) de los
incidentes fueron reportados. Luego, si en el año 2000 se
denunciaron 21.756 casos eso arroja 3.064.225 incidentes en ese
año.

Nota III: Puede observarse que los incidente reportados
en 1997 con respecto al año anterior es menor. Esto puede
deberse a diversas causas:

  • Las empresas u organizaciones no se pueden permitir
    el lujo de denunciar ataques a sus sistemas, pues el nivel de
    confianza de los clientes (ciudadanos) bajaría
    enormemente.

  • Los administradores tienen cada vez mayor conciencia
    respecto de la seguridad de sus sistemas y arreglan por
    sí mismos las deficiencias detectadas. A esto hay que
    añadir las nuevas herramientas de seguridad
    disponibles en el mercado.

Los "Advisories" (documentos explicativos) sobre los
nuevos agujeros de seguridad detectados y la forma de
solucionarlos, lanzados por el CER T. han dado sus
frutos

4.4 TIPOS DE ATAQUE

A continuación se expondrán diferentes
tipos de ataques perpetrados, principalmente, por Hackers. Estos
ataques pueden ser realizados sobre cualquier tipo de red,
sistema operativo, usando diferentes protocolos, etc.

Los primeros tiempos, los ataques involucraban poca
sofisticación técnica. Los Insiders (operadores,
programadores, data entrys) utilizaban sus permisos para alterar
archivos o registros. Los: Outsiders ingresaban a la red
simplemente averiguando una password válida.

A través de los años se han desarrollado
formas cada vez más sofisticadas de ataque para explotar
"agujeros" en el diseño, configuración y
operación de los sistemas.

Son muchos los autores que describen con detalle las
técnicas y las clasifican de acuerdo a diferentes
características de las mismas. Ante la
diversificación de clasificaciones de amenazas y la
inminente aparición de nuevas técnicas. Para la
realización del Presente los ataques serán
clasificados y categorizados según mi experiencia y
conocimiento de cada caso.

Al describirlos no se pretende dar una guía
exacta ni las especificaciones técnicas necesarias para su
uso. Sólo se pretende dar una idea de la cantidad y
variabilidad de los

mismos así como que su adaptación (y
aparición de nuevos) continúa paralela a la
creación de nuevas tecnologías.

Cabe destacar que para la utilización de estas
técnicas no será necesario contar con grandes
centros de cómputos, lo que queda fehacientemente
demostrado al saber que algunos Hackers más famosos de la
historia hackeaban con computadoras (incluso armadas con partes
encontradas en basureros) desde la habitación de su
hogar.

Cada uno de los ataques abajo descriptos serán
dirigidos remotamente. Se define Ataque Remoto como '~ ataque
iniciado contra una maquina sobre la cual el atacante no tiene
control físico"1. Esta máquina es distinta a la
usada por el atacante y será llamada
Víctima.

  •  INGENIERA SOCIAL

Es la manipulación de las personas para
convencerlas de que ejecuten acciones o actos que normalmente no
realizan para que revele todo lo necesario para superar las
barreras de seguridad. Si el atacante tiene la experiencia
suficiente (generalmente es así), puede engañar
fácilmente a un usuario ( que desconoce las mínimas
medidas de seguridad) en beneficio propio. Esta técnica es
una de las más usadas y efectivas a la hora de averiguar
nombres de usuarios y passwords.

Por ejemplo, suele llamarse a un usuario
haciéndose pasar por administrador del sistema y
requerirle la password con alguna excusa convincente. O bien,
podría enviarse un mail (falsificando la dirección
origen a nombre del administrador) pidiendo al usuario que
modifique su password a una palabra que el atacante
suministra.

Para evitar situaciones de IS es conveniente tener en
cuenta estas recomendaciones:

  • Tener servicio técnico propio o de
    confianza.

  • Instruir a los usuarios para que no respondan
    ninguna pregunta sobre cualquier característica del
    sistema y deriven la inquietud a los responsables que tenga
    competencia para dar esa información.

  • Asegurarse que las personas que llaman por
    teléfono son quien dicen ser. Por ejemplo si la
    persona que llama se identifica como proveedor de Internet lo
    mejor es cortar y devolverla llamada a forma de
    confracción.

4.4.2 INGENIERÍA SOCIAL INVERSA

Consiste en la generación, por parte de los
intrusos, de una situación inversa a la originada en
Ingeniería Social.

En este caso el intruso publicita de alguna manera que
es capaz de brindar ayuda a los usuarios, y estos lo llaman ante
algún imprevisto. El intruso aprovechara esta oportunidad
para pedir información necesaria para solucionar el
problema del usuario y el suyo propio (la forma de acceso al
sistema).

La ISI es más difícil de llevara cabo y
por lo general se aplica cuando los usuarios están
alertados de acerca de las técnicas de IS. Puede usarse en
algunas situaciones específicas y después de mucha
preparación e investigación por parte del
intruso:

  • 1. Generación de una falla en el
    funcionamiento normal del sistema. Generalmente esta falla es
    fácil de solucionar pero puede ser dificil de
    encontrar por los usuarios inexpertos (sabotaje). Requiere
    que el intruso tenga un mínimo contacto con el
    sistema.

  • 2. Comunicación a los usuarios de que la
    solución es brindada por el intruso
    (publicidad).

  • 3. Provisión de ayuda por parte del
    intruso encubierto como servicio técnico.

4.4.3 TRASHING (CARTONEO)

Generalmente, un usuario anota su login y password en un
papelito y luego, cuando lo recuerda, lo arroja a la basura. Este
procedimiento por más inocente que parezca es el que puede
aprovechar un atacante para hacerse de una llave para entrar el
sistema nada se destruye, todo se transforma".

El Trashing puede ser físico ( como el caso
descrito) o lógico. como analizar buffer de impresora y
memoria, bloques de discos, etc. El Trashing físico suele
ser común en organizaciones que no disponen de alta
confidencialidad, Como colegios y universidades.

4.4.4 ATAQUES DE MONITORIZACIÓN

Este tipo de ataque se realiza para observar a la
victima y su sistema, con el objetivo de obtener
información. establecer sus vulnerabilidades y posibles
formas de acceso futuro.

4.4.4.1 SHOULDER SURFING

Consiste en espiar físicamente a los usuarios
para obtener el login y su password correspondiente. El Surfing
explota el error de loS usuarios de dejar su login y password
anotadas cerca de la computadora (generalmente en post-it
adheridos al monitos o teclado ).

Cualquier intruso puede pasar por ahí, verlos y
memorizarlos para su posterior uso. Otra técnica
relacionada al surfing es aquella mediante la cual se ve, por
encima del hombro al usuario cuando teclea su nombre y
password.

4.4.4.2 DECOY (SEÑUELOS)

Los Decoy son programas diseñados con la misma
interfase que otro original. En ellos se imita la solicitud de un
logeo y el usuario desprevenido lo hace. Luego, el programa
guardará esta información y dejará paso a
las actividades normales, del sistema. La información
recopilada será utilizada por el atacante para futuras
'"visitas".

Una técnica semejante es aquella que, mediante un
programa se guardan todas las teclas presionadas durante una
sesión. Luego solo hará falta estudiar el archivo
generado para conocer nombres de usuarios y claves.

4.4.4.3 SCARMING (BÚSQUEDA)

El Scaneo, como método de descubrir canales de
comunicación susceptibles de ser explotados, lleva en uso
mucho tiempo. La idea es recorrer (scanear) tantos puertos de
escucha como sea posible, y guardar información de
aquellos que sean receptivos o de utilidad para cada necesidad en
particular .Muchas utilidades de auditoría también
se basan en este paradigma.

El scaneo de puertos pertenece a la Seguridad
informática desde que era utilizado en los sistemas de
telefonía. Dado que actualmente existen millones de
números de teléfono a los que se pueden acceder con
una simple llamad, la solución lógica (para
encontrar números que puedan interesar) es intentar
conectarlos a todos.

La idea básica es simple: llamar a un
número y si el módem devuelve un mensaje de
conectado, grabar el número. En otro caso, la computadora
cuelga el teléfono y llama al siguiente
número.

Scanear los puertos implica las mismas técnicas
de fuerza bruta. Se envía una serie de paquetes para
varios protocolos y se deduce que servicios están
"escuchando" por las respuestas recibidas o no
recibidas.

Existen diversos tipos de Scarming según las
técnicas, puertos y protocolos explotados:

4.4.4.3.1 TCP Cormect Scarming

Esta es la forma básica del scaneo de puertos
TCP. Si el puerto está escuchando, devolverá una
respuesta de éxito; cualquier otro caso significará
que el puerto no está abierto o que no se puede establecer
conexión con él.

Las ventajas que caracterizan esta técnica es que
no necesita de privilegios especiales y su gran
velocidad.

Su principal desventaja es que este método es
fácilmente detectable por el administrador del sistema. Se
verá un gran número de conexiones y mensajes de
error para los servicios en los que se ha conseguido conectar la
máquina, que lanza el scarmer, y también se
verá su inmediata desconexión.

4.4.4.3.2 TCP SYN Scarming

Cuando dos procesos establecen una comunicación
usan el modelo Cliente / servidor para establecerla. La
aplicación del Servidor .'escucha" todo lo que ingresa por
los puertos.

La identificación del Servidor se efectúa
a través de la dirección IP del sistema en el que
se ejecuta y del número de puerto del que depende para la
conexión. El Cliente establece

la conexión con el Servidor a través del
puerto disponible para luego intercambiar datos.

La información de control llamada HandShake
(saludo) se intercambia entre el Cliente y el Servidor para
establecer un dialogo antes de transmitir datos. Los "paquetes" o
segmentos TCP tienen banderas que indican el estado del
mismo.

El protocolo TCP de Internet, sobre el que se basa la
mayoría de los servicios (incluyendo el correo
electrónico, el web y el IRC) implica esta conexión
entre dos máquinas.

El establecimiento de dicha conexión se realiza
mediante lo que se llama Three-Way Handshake ("conexión en
tres pasos") ya que intercambian tres segmentos.

En forma esquemática se tiene:

Monografias.com

Gráfico 4.2 -Conexión en
Tres Pasos.

  • 1. El programa Cliente (C) pide conexión
    al Servidor (S) enviándole un segmento SYN. Este
    segmento le dice a S que C desea establecer una
    conexión.

  • Partes: 1, 2, 3, 4
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter