Embed Size (px)
Citation preview
Fraude Electrónico
1
Comunicaciones y Redes de Computadoras EIF-208
Trabajo de Investigación
“Cibera taqués”
Presentado por:
Blanco Hernández Marjorie 5 342 650Delgado Zúñiga Tatiana 5 363 842
Noviembre, 04, 2009
Nicoya, Guanacaste, Costa Rica.
1010101010101010101010101010101010100101010101010110010101011010101010110010101010101010101001100101010101001010101
1010101010101010101010101010101010100101010101010110010101011010101010110010101010101010101001100101010101001010101
1010101010101010101010101010101010100101010101010110010101011010101010110010101010101010101001100101010101001010101
SEDE REGIONAL CHOROTEGACAMPUS NICOYACARRERA: ING. EN SISTEMAS DE INFO.CURSO: COMUNICACIONES Y REDES DE COMPUTADORAS PROFESOR: EDGAR A. VEGA BRICEÑOSEMESTRE: II CICLO 2009
Fraude Electrónico
2
ÍndiceObjetivos......................................................................................................................4
Introducción.................................................................................................................5
1. Antecedentes.......................................................................................................6
2. Delitos Informáticos...........................................................................................7
I. Concepto.........................................................................................................7
II. Terminología:..................................................................................................7
3. Delincuentes Informáticos................................................................................13
4. Tipos de Fraude.................................................................................................17
I. La manipulación de programas.....................................................................17
II. Manipulación de los datos de salida..............................................................18
III. Fraude efectuado por manipulación informática.......................................18
IV. Falsificaciones Informáticas Como Objeto..................................................18
V. Daños o modificaciones de programas o datos computarizados (Sabotaje
informático).................................................................................................................18
VI. Acceso no autorizado a Sistemas o Servicios............................................18
VII. Reproducción no autorizada de programas informáticos de protección Legal.
19
Fraude Electrónico
3
5. Regulación Penal en Costa Rica del fraude Electrónico...................................19
6. Normativa penal en otros países.......................................................................20
7. Prevención y control de delitos informáticos...................................................22
Seguridad Informática............................................................................................22
Tipos de ataques.....................................................................................................23
I. Negociación de servicios...............................................................................23
II. Cracking de Password...................................................................................24
III. Problemas de seguridad en el FTP.........................................................25
8. Recomendaciones para la administración red...................................................26
Rol del Administrador........................................................................................26
Medidas de Protección para la reducción de las vulnerabilidades....................27
Consideraciones que se deben tomar al implementar la seguridad..................28
9. La importancia de la implementación...............................................................30
Coclusion ...........................................................................................................30
Bibliografia ........................................................................................................30
Fraude Electrónico
4
Objetivos
Objetivo General: Identificar amenazas informáticas comunes a Técnicas
informáticas fraudulentas a través de la red.
Objetivos Específicos:
1. Reconocer los delitos informáticos y los tipos de fraude que existen.
2. Conocer la legislación que sanciona los delitos Informáticos en Costa Rica
3. Identificar la vulnerabilidad que existe en lo relativo a seguridad y como
implementar una red segura.
Fraude Electrónico
5
Introducción
El fenómeno de Globalización y el gran avance de las tecnologías de la información y la
comunicación (TIC), han influido en gran medida en todas las actividades del ser humano. El
Internet está en todas partes, los individuos utilizan la red para comunicarse, divertirse,
investigar, jugar, etc. Está presente en todas las materias, la economía, la cultura, la política, la
ecología, el derecho, etc. Es una herramienta sumamente importante para el desarrollo de las
actividades del ser humano. Sin embargo, no todos los usuarios utilizan el Internet de manera
adecuada, para algunas personas este puede ser un medio para obtener ilegalmente beneficios
o ventajas. Dadas las características de Internet, los delincuentes tienen como ventajas el
anonimato, la rapidez de la red, la ignorancia de los usuarios, la gran cantidad de datos que
acumula, la facilidad de acceso y de manipulación de información, y la poca legislación que
existe sobre estos delitos. Aunado a lo anterior, el delito es relativamente fácil de realizar, los
resultados son económicamente altos y el delincuente tiene muy poca probabilidad de ser
descubierto. Las nuevas tecnologías surgen nuevos delincuentes (cabe mencionar que son los
delitos tradicionales, lo que les da un giro novedoso son las TIC), como por ejemplo: la mafia
internacional, la prostitución infantil, el terrorismo, el narcotráfico, la piratería, el fraude, el
crimen organizado y todo género de personas con diversos intereses ilegítimos
Fraude Electrónico
6
Fraude Electrónico
1. Antecedentes
Dentro de la historia de los delitos informáticos, encontramos grandes casos, muy
notorios, que cambiaron el rumbo de la informática, tenemos por ejemplo:
John Draper conocido como el “Captain Crunch”, descubrió que la sorpresa que
venía dentro cereal Captain Crunch duplicaba la intensidad de la frecuencia de2600 hz de una
línea de wat, permitiéndole hacer llamadas de largas distancias.
Bill Gates y Paul Allen en el tiempo en el que estos dos hombres de Washington eran
aprendices, se dedicaban a hackear software. Se convirtieron en los creadores del imperio de
Sistemas Operativos líder.
Kevin Mitnick llego a ser considerado uno de los mayores hacker de la historia; su
carrera como hacker tuvo inicios en 1980, cuando rompió la seguridad de su colegio “solo
para mirar”, no para alterar sus notas. Es considerado como un infractor de la ley desde que
entro físicamente a la compañía COSMO (Computer Systems for Mainframe Operations), que
era una base de datos utilizada por la mayor parte de las compañías telefónicas
norteamericanas utilizada para controlar el registro de las llamadas. Al ingresar él y sus
amigos obtuvieron claves de seguridad, combinación de las puertas de acceso a las sucursales
y manuales de sistema COSMO.
Murphy Ian, Captain Zap En julio de 1981 Ian Murphy, un muchacho de 23 años
que se autodenominaba “Captain Zap”, gana notoriedad cuando entra a los sistemas en la
Casa Blanca, el Pentágono, BellSouth Corp. TRW y deliberadamente deja su currículum. El
considera que violar los accesos le resultaba muy divertido.
Fraude Electrónico
7
2. Delitos Informáticos
I. Concepto
Se puede afirmar que el delito informático es “el fenómeno de mayor magnitud y
transcendencia en el ámbito de la criminalidad mediante computadoras y núcleo central del
delito informático desde el punto de vista criminológico es por esta razón que existe una
dimensión de delincuencia informática a la que la doctrina presta una especial atención, por
considerarla el terreno hasta ahora mas inexplorado y el que mayores dificultades presenta
para su prevención y detención”
Es decir que para poder profundizar un poco más en el tema se convierte necesario
manejar otros conceptos, que por lo general son usados como sinónimos en este tema pero
que a la vez generan confusión. Tal es el caso del fraude que por sí solo hace referencia un
modus operandi que se caracteriza de un montaje o artimaña que desencadena determinada
acción engañosa. Por otro lado esta las defraudaciones las cuales generan perjuicio
económico ocasionado mediante el fraude. Cuando se habla de fraude informático se hace
referencia, en forma específica, no a cualquier tipo de acción fraudulenta que surge con la
utilización de medios informáticos, sino, únicamente, cuando lo dirigimos por la definición de
contenido brindada a las defraudaciones.
Hoy en día no solo se realizan fraudes en la red, un computador ofrece casi todas
oportunidades para aquellas personas que comenten los delitos, ilícitos patrimoniales, estafas,
cometidos con gran frecuencia y efectos, así como actos de terrorismo, sabotaje, daños,
espionaje, falsedades, robo u alteración de información, etc.
II. Terminología:
Para logra penetrar un poco más en el tema de los delitos informáticos necesitamos
conocer un poco sobre algunos términos muy comunes en esta materia. Algunos de estos
términos suelen ser:
Fraude Electrónico
8
a) Phishing
Técnica en auge que consiste en atraer mediante engaños a un usuario hacia un sitio web
fraudulento donde se le insta a introducir datos privados, generalmente números de tarjetas de
crédito, nombres y password de las cuentas, números de seguridad social, etc... Uno de los
métodos más comunes para hacer llegar a la "víctima" a la página falsa es a través de un e-
mail que aparenta provenir de un emisor de confianza (banco, entidad financiera u otro) en el
que se introduce un enlace a una web en la que el "phiser" ha reemplazado en la barra de
dirección del navegador la verdadera URL para que parezca una legal.
Una de las consecuencias más peligrosas de este fraude es que la barra "falsa" queda en
memoria aún después de salir de la misma pudiendo hacer un seguimiento de todos los sitios
que visitamos posteriormente y también el atacante puede observar todo lo que se envía y
recibe a través del navegador hasta que éste sea cerrado.
Una manera para el usuario de descubrir el engaño es que no se muestra la imagen del
candado en la parte inferior del navegador que indica que la navegación es segura.
b) Vhishing
Fraude que persigue el mismo fin que el Phishing, la obtención de datos confidenciales de
usuarios, pero a través de un medio distinto: la telefonía IP.
Los ataques de Vhishing se suelen producir siguiendo dos esquemas:
Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema
relacionado con sus cuentas bancarias, con el fin de que éstos llamen al número de teléfono
gratuito que se les facilita.
Utilización de un programa que realice llamadas automáticas a números de teléfono de
una zona determinada.
En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje
automático le solicita el número de cuenta, contraseña, código de seguridad, etc.
Fraude Electrónico
9
c) SMiShing:
Es una variante del phishing, que utiliza los mensajes a teléfonos móviles, en lugar de los
correos electrónicos, para realizar el ataque. El resto del procedimiento es igual al del
phishing: el estafador suplanta la identidad de una entidad de confianza para solicitar al
usuario que facilite sus datos, a través de otro SMS o accediendo a una página web falseada,
idéntica a la de la entidad en cuestión.
d) Skimming y cajeros ATM
Esta modalidad de fraude consiste en la clonación de tarjetas de crédito y débito con el
empleo de dos dispositivos; uno sobrepuesto en los cajeros automáticos que captura la
información de la banda magnética de la tarjeta de crédito o débito y otro dispositivo falso de
porta folleto que contiene una micro cámara que captura la clave secreta de la tarjeta y
mediante una antena trasmite la información a un receptor ubicado hasta una distancia de 200
metros.
e) Pharming
Manipulación de la resolución de nombres de dominio producido por un código malicioso,
normalmente en forma de troyano, que se nos ha introducido en el ordenador mientras
realizábamos una descarga, y que permite que el usuario cuando introduce la dirección de una
página web, se le conduzca en realidad a otra falsa, que simula ser la deseada. Con esta
técnica se intenta obtener información confidencial de los usuarios, desde números de tarjetas
de crédito hasta contraseñas. De manera que si el usuario accede a la web de su banco para
realizar operaciones bancarias, en realidad accede a una web que simula ser la del banco, casi
a la perfección, logrando los delincuentes, obtener los códigos secretos del usuario, pudiendo
materializar el fraude con los mismos.
Fraude Electrónico
10
f) Ingeniería Social
En sí misma, la ingeniería social es la práctica de obtener información confidencial a
través de la manipulación de usuarios legítimos. Con esta técnica, el ingeniero social se
aprovecha de la tendencia natural del hombre a confiar en la gente, engañarles para romper
los procedimientos normales de seguridad y manipularles para realizar acciones o divulgar
información sensible. Otras técnicas usadas por el ingeniero social son las de apelar a la
vanidad, la autoridad y la curiosidad de la gente. En general, se está de acuerdo en que “los
usuarios son el eslabón débil” en seguridad y se convierte en el principio por el que se rige la
ingeniería social.
g) Spyware
El Spyware, programa espía, es un término usado para describir un programa que de
manera silenciosa se instala en un ordenador para recoger cualquier información personal de
los usuarios sin su conocimiento. El Spyware también se denomina adware y malware, es
decir, se trata de un software diseñado para infiltrarse en un ordenador y dañarlo. La
información personal es registrada por medio de diversas técnicas, incluyendo el registro de
pulsaciones sobre el teclado. Las intenciones del criminal con este tipo de ataques son
diversas, desde el robo de contraseñas y datos financieros o la de recopilar información sobre
el usuario y distribuirla a empresas de publicidad y organizaciones interesadas.
h) Spam
Todo tipo de comunicación no solicitada, realizada por vía electrónica. De este modo se
entiende por Spam cualquier mensaje no solicitado y que normalmente tiene el fin de ofertar,
comercializar o tratar de despertar el interés respecto de un producto, servicio o empresa.
Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es
mediante el correo electrónico. Quienes se dedican a esta actividad reciben el nombre de
spammers.
Fraude Electrónico
11
i) Troyano
Aplicación programada con el fin de borrar datos, robar contraseñas o manejar
ordenadores de manera remota, haciendo creer al usuario afectado que se trata de un programa
de utilidad. Generalmente se divide en dos módulos, el modulo maestro y el modulo esclavo,
cuya interacción permite apoderarse de ordenadores ajenos en los que ha sido introducido. A
diferencia de los virus y gusanos los troyanos no se pueden reproducir por sí mismos.
j) Trapdoor
Punto de entrada intencionalmente escrito en un programa que puede ser aprovechado.
k) Backdoor
Puerta trasera. Permiten a un usuario remoto ingresar sin autorización a otros sistemas
mediante la instalación de un programa de acceso considerado virus, esto permite realizar
diversas acciones como revisar datos, borrar archivos, infectar con otro tipo de virus, tareas
que generalmente no son percibidas por el sistema víctima. También es una "alternativa"
usada generalmente por programadores "free lance" como medida preventiva en caso de no
percibir remuneración por sus servicios, ya que dejan un hueco que solo ellos conocen que les
permite eliminar la instalación.
l) Bomba lógica
Una bomba lógica es un programa informático que se instala en un ordenador y permanece
oculto hasta cumplirse una o más condiciones pre-programadas para entonces ejecutar una
acción.
A diferencia de un Virus, una bomba lógica jamás se reproduce por sí sola.
Ejemplos de condiciones predeterminadas:
Día de la semana concreto.
Fraude Electrónico
12
Hora concreta.
Pulsación de una tecla o una secuencia de teclas concreta.
Levantamiento de un interface de red concreto.
Ejemplos de acciones:
Borrar la información del disco duro.
Mostrar un mensaje.
Reproducir una canción.
Enviar un correo electrónico.
m) Eavesdropping
Obtención de información mediante monitoreo.
n) Replay
Repetición de accesos autorizados.
o) Bacteria
Programa auto sostenido que se replica a si mismo causando problemas consumiendo
recursos.
p) Worm
Programa similar a un virus que se diferencia de éste en su forma de realizar las
infecciones. Mientras que los virus intentan infectar a otros programas copiándose dentro de
ellos, los gusanos realizan copias de ellos mismos, infectan a otros ordenadores y se propagan
automáticamente en una red independientemente de la acción humana.
Fraude Electrónico
13
q) Keylogger
Capturados de Teclado. Aplicaciones encargadas de almacenar en un archivo todo lo que
el usuario ingrese por el teclado. Son ingresados por muchos troyanos para robar contraseñas
e información de los equipos en los que están instalados.
r) LSP
Espías mediante socket. El atacante introduce en el sistema del usuario un programa capaz
de monitorizar, archivar y enviar a través de la conexión a Internet toda la información que el
cliente envíe o reciba en su ordenador. También es un eficaz método para realizar fraudes de
Pharming.
s) Malware:
Es la abreviatura de Malicious software, término que engloba a todo tipo de programa o
código de computadora cuya función es dañar un sistema o causar un mal funcionamiento.
Dentro de este grupo podemos encontrar términos como: Virus, Trojan (Caballo de Troya),
Gusano (Worm), Parásito, Spyware, Adware, Hijackers, Keyloggers, etc.….
t) Spyware:
Son pequeños programas que se instalan en nuestro sistema con la finalidad de robar
nuestros datos y espiar nuestros movimientos por la red. Luego envían esa información a
empresas de publicidad de internet para comercializar con nuestros datos. Trabajan en modo
'background' (segundo plano) para que no nos percatemos de que están hasta que empiecen a
aparecer los primeros síntomas.
Como se dijo al principio los delitos siguen siendo los mismos lo que ha variado es la
facilidad para cometerlos gracias a tantas innovaciones y avances tecnológicos, así como la
facilidad para borrar los rastros de sus actos. Además del impacto que puede llegar a tener una
Fraude Electrónico
14
fechoría en la red, es decir puede ser desde una simple infiltración en el sistema para hacer
notar su vulnerabilidad hasta estafas u robos millonarios.
3. Delincuentes Informáticos
Las partes en el delito informático son el sujeto activo y el sujeto pasivo, ahora
mencionaremos quiénes son y sus características. El sujeto activo de los delitos informáticos,
es un individuo que por sus capacidades en el conocimiento de sistemas informáticos y en
ocasiones por la oportunidad de laborar en determinado puesto que implica el manejo de
información, comete el delito. Algunos de estos delincuentes son personas particularmente
inteligentes y creativas. El sujeto pasivo, puede ser una persona individual o colectiva,
usualmente es presa fácil de los delincuentes informáticos por su ignorancia en el manejo de
las tecnologías.
Algunos términos comunes en cuanto a delincuentes informáticos suelen ser:
a) Hacker
Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que
puede advertir los errores y fallos de seguridad. Busca acceder por diversas vías a los sistemas
informáticos, aunque no necesariamente con malas intenciones.
La ética del Hacker
1. El acceso a los ordenadores y a cualquier cosa que te pueda enseñar cómo funciona el
mundo debería ser ilimitado y total.
2. Toda la información debería ser gratuita
3. Desconfía de la autoridad. Promueve la descentralización.
4. Los hackers deberían ser juzgados por sus “hacks”, no por criterios extraños como
calificaciones académicas, edad, raza o posición.
Fraude Electrónico
15
5. Puedes crear arte y belleza en un ordenador, aunque se aparte de la belleza en su sentido
tradicional.
6. Los ordenadores pueden mejorar tu vida. Si sabes cómo pedírselo, el ordenador lo hará.
b) Gurú
Es el neologismo utilizado para referirse a un experto en varias o alguna rama técnica
relacionada con las Tecnologías de la Información y las Telecomunicaciones: programación,
redes de computadoras, sistemas operativos, hardware de red/voz, etc.
El líder, emblema hacker su entendimiento es más sofisticado y profundo respecto a los
sistemas informáticos, ya sea de tipo hardware o software.
c) Phreaker
Es una persona que investiga los sistemas telefónicos, mediante el uso de tecnología por el
placer de manipular un sistema tecnológicamente complejo y en ocasiones también para poder
obtener algún tipo de beneficio como llamadas gratuitas.
El término Phreak, Phreaker o phreak telefónico es un término acuñado en la subcultura
informática para denominar a todas aquellas personas que realizan Phreaking. Phreak es una
conjunción de las palabras phone (teléfono en inglés) y freak, algo así como pirado por los
teléfonos y surgió en los Estados Unidos en los años 1960. También se refiere al uso de varias
frecuencias de audio para manipular un sistema telefónico, ya que la palabra phreak se
pronuncia de forma similar a frecuencia (frecuencia). A menudo es considerado y
categorizado como hacking informático. También se le denomina la cultura H/P (H de
Hacking y P de Phreaking).
d) Defacer:
Un defacer es un usuario de ordenador con conocimientos avanzados caracterizado por
usar puertas traseras, agujeros y bugs para acceder a los servidores. Por lo general los defacers
Fraude Electrónico
16
son ambiciosos cuando de sistemas se trata, ya que no buscan agujeros en servidores
pequeños, sino por lo general en los más usados o los más importantes.
Los defacers pueden considerarse útiles en la red para mantener los servidores actualizados ya
que por lo general pasan horas investigando y encontrando agujeros. Cuando un defacer
encuentra un agujero en un servidor accede a través de él y lo reporta a la lista de bugs
encontrados, los administradores de los servidores pueden hacer el respectivo parche o
reparación. Esto obliga a los administradores a mantener los servidores actualizados, libre de
fallas de seguridad, a hacer los servidores cada vez más seguros y contribuye a los
desarrolladores a mejorar el software.
e) Newbie:
El término informal newbie o niubi (derivado de la pronunciación del inglés Newbie), se
aplica generalmente para indicar a un principiante que ingresa a un grupo, comunidad, o
actividad compleja, pero que presenta rasgos psicológicos característicos que no hacen que se
integre rápidamente a ellos.
Inicialmente se aplica el término para describir a un principiante que se adentraba en un
campo de la computación, siendo comúnmente usado para indicar a usuarios de internet de
prominente práctica pero de corto conocimiento técnico, a un recién llegado a un foro o
comunidad; pero posteriormente el uso de la palabra se ha extendido para también indicar a
un recién llegado a cualquier grupo específico.
A diferencia del poseur (poser), al newbie si presentaría un verdadero interés en el grupo o
actividad de la cual quiere aprender o integrarse; aunque su comportamiento en algunos casos
puede llegar a ser inapropiado o equivocado.
f) Lammer
Es un término coloquial inglés aplicado a una persona que producto de una falta de
madurez, sociabilidad y/o habilidades técnicas, hace que sea considerado un incompetente en
Fraude Electrónico
17
una materia o actividad específica, o dentro de un grupo o comunidad; esto a pesar de llevar
un tiempo más que prudente, para aprender sobre la materia, actividad o adaptarse al grupo o
comunidad en la cual se le considera un lamer.
En el idioma inglés se aplica en multitud de contextos, pero es por la proliferación de medios
de comunicación por ordenador como ha llegado a nuestro vocabulario, siendo utilizada
principalmente dentro del ámbito de Internet, o relacionado con la informática o los
videojuegos.
g) Script Kiddies
Los «Script Kiddies» son crackers inexpertos que usan programas, scripts, exploits,
troyanos, nukes... creados por terceros para romper la seguridad de un sistema. Suelen
presumir de ser hackers o crackers cuando en realidad no poseen un grado relevante de
conocimientos.
Son uno de los grupos que forman la sociedad «underground», y se caracterizan por:
Tener pocos conocimientos sobre informática. Usar «cracks» o «exploits» como
única forma de entrar en sistemas remotos.
Acceder a sistemas remotos con la única finalidad de sentirse importantes.
h) CRACKER.
El que rompe la seguridad de un sistema. Acuñado hacia 1985 por hackers en defensa
contra la utilización inapropiada por periodistas del término hacker. La utilización de ambos
neologismos refleja una fuerte repulsión contra el robo y vandalismo perpetrado por los
círculos de crackers. Aunque se supone que cualquier hacker auténtico ha jugado con algún
tipo de cracker y conoce muchas de las técnicas básicas, se supone que cualquiera que haya
pasado la etapa larval ha desterrado el deseo de hacerlo. Los crackers tienden a agruparse en
grupos pequeños, muy secretos y privados, que tienen poco que ver con la poli-cultura abierta
de los hackers. Aunque los crackers a menudo se definen a sí mismos como hackers, la mayor
Fraude Electrónico
18
parte de los auténticos hackers los consideran una forma de vida inferior. Entre las variantes
de crackers maliciosos están los que realizan Cardín (Tarjeteo, uso ilegal de tarjetas de
crédito), Tasin (Basureo, obtención de información en cubos de basura, tal como números de
tarjetas de crédito, contraseñas, directorios o recibos) y Phreaking o Fading (uso ilegal de las
redes telefónicas).
4. Tipos de Fraude
I. La manipulación de programas.
Este delito consiste en modificar los programas existentes en el sistema de computadoras
o en insertar nuevos programas o nuevas rutinas.
II. Manipulación de los datos de salida.
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más
común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación
de instrucciones para la computadora en la fase de adquisición de datos.
III. Fraude efectuado por manipulación informática.
Es una técnica especializada que se denomina "técnica del salchichón" en la que "rodajas
muy finas" apenas perceptibles de transacciones financieras, se van sacando repetidamente de
una cuenta y se transfieren a otra.
IV. Falsificaciones Informáticas Como Objeto.
Cuando se alteran datos de los documentos almacenados en forma computarizada.
También suelen efectuase falsificaciones de documentos de uso comercial.
Fraude Electrónico
19
V. Daños o modificaciones de programas o datos computarizados
(Sabotaje informático)
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de
computadora con intención de obstaculizar el funcionamiento normal del sistema. Las
técnicas que permiten cometer sabotajes informáticos son: virus, gusanos, bomba lógica o
cronológica, etc.
VI. Acceso no autorizado a Sistemas o Servicios.
Por motivos diversos desde la simple curiosidad, como en el caso de muchos piratas
informáticos (Hacker) hasta el sabotaje o espionaje informático. El delincuente puede
aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir
deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A
menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema, esto suele
suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas
comunes o contraseñas de mantenimiento que están en el propio sistema.
VII. Reproducción no autorizada de programas informáticos de
protección Legal.
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos.
5. Regulación Penal en Costa Rica del fraude Electrónico
Las tecnologías abren una gran puerta a una inmensa gama de delitos, ya que como
podemos imaginar incita la imaginación, favorece su impunidad y potencia los efectos del
delito convencional .La necesidad d de crear medidas que castiguen estos actos se hace
inherente.
En todo el mundo existe un gran hoyo en cuanto a la regulación y penalización de estos
males, hasta el punto de poder afirmar que tanto en el caso de Costa Rica y otros países
Fraude Electrónico
20
latinoamericanos la regulación existe una casi absoluta y preocupante ausencia de regulación.
Éntrelas escasas normativas para penalizar estos indultos en nuestro país se encuentran en el
código penal los siguientes artículos:
ARTÍCULO 196 BIS.-Será reprimida con pena de prisión de seis meses a dos años, la
persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento,
se apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desvíe
de su destino, mensajes, datos e imágenes contenidas en soportes: electrónicos, informáticos,
magnéticos y telemáticos. La pena será de uno a tres años de prisión, si las acciones descritas
en el párrafo anterior, son realizadas por personas encargadas de los soportes: electrónicos,
informáticos, magnéticos y telemáticos.
(Así adicionado por Ley N° 8148 de 24 de octubre del 2001)
ARTÍCULO 217 BIS.- Se impondrá pena de prisión de uno a diez años a la persona que,
con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero,
influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante
programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra
acción que incida en el proceso de los datos del sistema.
(Así adicionado por el artículo 1° de la Ley N° 8148 de 24 de octubre del 2001)
Además cabe destacar que existe en trámite parlamentario un proyecto de ley denominado
“Ley del delito informático” el cual da una nueva definición para el delito informático y busca
intentar eliminar la cantidad de errores que estas escasas leyes que existen en nuestro país.
Podemos observar como nuestro país se encuentra casi desprotegido por la ley y como a la
vez las medidas existentes son muy concedentes con los criminales, además que estas abren
puertas para dar una confusa interpretación de la ley y que los delitos informáticos queden sin
ser penados.
6. Normativa penal en otros países.
El delito informático es difícil de controlar como se ha dicho, las posibilidades de dañar a
otros sin ser descubiertos y las maneras para alterar datos y programas, debido a las muchas
Fraude Electrónico
21
vulnerabilidades en la red, son muchas; se producen además en todo el globo terráqueo y
perjudica a gran cantidad de entidades, organizaciones, empresas y personas. De ahí nace la
necesidad de intentar protegerse legalmente contra estos casos. Algunos países que toman
medidas son:
Alemania A partir del 1 de agosto de 1986, se adopto la Segunda Ley contra la
Criminalidad Económica en la que se contemplan los siguientes delitos: Espionaje de datos,
Estafa informática, Falsificación de datos probatorios, Uso de documentos falsos, Alteración
de datos, Sabotaje Informático, Utilización abusiva de cheques o tarjetas de crédito
Francia La Ley 88/19 del 5 de enero de 1988 sobre el fraude informático contempla:
Acceso fraudulento a un sistema de elaboración de datos. Sabotaje Informático, Destrucción
de datos, Falsificación de documentos informatizados.
Estados Unidos en 1994 modificó con el Acta Federal de Unidos Abuso Computacional su
antecedente, el Acta de Fraude y Abuso Computacional de 1986. Delitos que regula:
Regulación de los virus (Computer contaminant) Modificar o destruir bases de datos. Copiar
transmitir datos o alterar la operación normal de las computadoras, los sistemas o las redes
informáticas.
Argentina, aún no existe legislación específica sobre los llamados delitos informáticos.
Sólo están protegidas las obras de bases de datos y de software, agregados a la lista de la Ley
11.723 de propiedad intelectual gracias al Decreto Nº 165/94 del 8 de febrero de 1994. En
dicho Decreto protege: Obras de software Obras de base de datos.
Gran Bretaña Debido a un caso de hacking en 1991, comenzó a regir. En este país la
Computer Misuse Act (Ley de Abusos Informáticos). Esta ley contempla como delitos:
Modificación de datos sin autorización.
Holanda. El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la
cual se penaliza: el hacking, el phreaking (utilización de servicios de telecomunicaciones
evitando el pago total o parcial de dicho servicio), la ingeniería social (arte de convencer a la
Fraude Electrónico
22
gente de entregar información que en circunstancias normales no entregaría), y la
distribución de virus.
Francia En 1988 dictó la Ley relativa al fraude informático, Fraude informático
Alteración del funcionamiento de un sistema de procesamiento automatizado de datos.
Introducido datos en un sistema de procesamiento automatizado o haya suprimido o
modificado los datos que éste contiene, o sus modos de procesamiento o de transmisión.
España. En el Nuevo Código Penal de España, el art. 263 establece que el que causare
daños en propiedad ajena. Daño en propiedad ajena. Establece que se aplicará la pena de
prisión de uno a tres años y multa... a quien por cualquier medio destruya, altere, inutilice o de
cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos
en redes, soportes o sistemas informáticos. Violación de secretos, Espionaje, Estafas
electrónicas
Chile fue el primer país latinoamericano en sancionar una Ley contra delitos informáticos,
la cual entró en vigencia el 7 de junio de 1993. Destrucción o inutilización de los de los datos
contenidos dentro de una computadora Virus. Destrucción o inutilización de un sistema de
tratamiento de información o de sus partes componentes o que dicha conducta impida,
obstaculice o modifique su funcionamiento. Alteración, daño o destrucción de datos
contenidos en un sistema de tratamiento de información
Es fácil observar que a nivel mundial la impanación de penas es algo muy difícil, existen
pocas leyes y las existentes presentan muchas fallas. Los delincuentes o estafadores
tecnológicos seguirán haciendo de las suyas hasta que a nivel mundial no se establezca una
medida más radical y con mayor fortaleza para castigar a aquellos que se aprovechan de las
tecnologías para beneficiarse ilícitamente de sus conocimientos.
Fraude Electrónico
23
7. Prevención y control de delitos informáticos
Seguridad Informática
En la actualidad, la seguridad informática ha adquirido gran auge, dadas las cambiantes
condiciones y las nuevas plataformas de computación disponibles. La posibilidad de
interconectarse a través de redes, ha abierto nuevos horizontes que permiten explorar más allá
de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas
amenazas en los sistemas operativos y sistemas de información.
Consecuentemente, muchas personas en el mundo han sentido, la necesidad de buscar
seguridad informática ya que desean trabajar sin riesgos y obtener un buen aprovechamiento
de la tecnología.
Pero para que haya dicho tecnología se pueda definir como segura deben de cumplirse
estas cuatro características:
1. Integridad: La información sólo puede ser modificada por quien está autorizado y de
manera controlada.
2. Confidencialidad: La información sólo debe ser legible para los autorizados.
3. Disponibilidad: Debe estar disponible cuando se necesita.
4. Irrefutabilidad (No repudio): El uso y/o modificación de la información por parte de
un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha acción.
Tipos de ataques
Seguidamente se describirán los modos de ataques que podrían ocurrir más
frecuentemente en las redes de información. Debido a la pérdida de dinero y de tiempo que
estos ataques pueden ocasionar, se presentarán también algunas formas de prevención y de
respuesta a los mismos.
Fraude Electrónico
24
I. Negación de servicios (“Denial of Service”)
Es un tipo de ataque cuya meta fundamental es la de negar el acceso del atacado a un
recurso determinado o a sus propios recursos.
Algunos ejemplos de este tipo de ataque son:
• Tentativas de “floodear” (inundar) una red, evitando de esta manera el tráfico
legítimo de datos en la misma.
• Tentativas de interrumpir las conexiones entre dos máquinas evitando, de esta
manera, el acceso a un servicio.
• Tentativas de evitar que una determinada persona tenga acceso a un servicio.
• Tentativas de interrumpir un servicio específico a un sistema o a un usuario.
Cabría tener en cuenta que, el uso ilegítimo de recursos puede también dar lugar a la
negación de un servicio. Por ejemplo, un “hacker” puede utilizar un área del FTP anónimo
como lugar para salvar archivos, consumiendo, de esta manera, espacio en el disco y
generando tráfico en la red.
Como consecuencia, los ataques de negación de servicio pueden esencialmente dejar
inoperativa una computadora o una red. De esta forma, toda una organización puede quedar
fuera de Internet durante un tiempo determinado.
Hay tres tipos de ataques básicos de negación de servicios:
a) Consumo de recursos escasos, limitados, o no renovables: Las computadoras y las
redes necesitan para funcionar ciertos recursos como el ancho de banda de la red, espacio de
memoria y disco, tiempo de CPU, estructuras de datos, acceso a otras computadoras y redes,
entre otros.
b) Destrucción o alteración de información de configuración
Fraude Electrónico
25
c) Destrucción o alteración física de los componentes de la red
II. Cracking de Password
Es un proceso informático que consiste en descifrar la contraseña de determinadas
aplicaciones elegidas por el usuario. Se busca codificar los códigos de cifrado en todos los
ámbitos de la informática. Se trata del rompimiento o desciframiento de claves (passwords).
Otras formas de obtener contraseñas incluyen la ingeniería social, las escuchas telefónicas,
de registro de pulsaciones, suplantación de inicio de sesión, basurero de buceo, phishing, el
surf hombro, tiempo de ataque, el criptoanálisis acústico, utilizando un caballo de Troya o
virus, la gestión de los ataques de la identidad del sistema (como el abuso de auto-servicio
restablecimiento de la contraseña) y comprometer la seguridad de acogida. Si bien estos
métodos no son considerados como "password cracking" que son muy populares entre los
delincuentes (en particular de phishing) siguen siendo muy eficaces. A menudo se considera
como la principal vulnerabilidad en los sistemas de autenticación de contraseña.
Fraude Electrónico
26
Cuadro # 1: Probabilidad de encontrar el Password
Como puede apreciarse en el Cuadro #1, resulta importante utilizar más de 8 caracteres y
cuantos más símbolos intervengan, menos probabilidades habrán de encontrar la password.
III. Problemas de seguridad en el FTP
El FTP es un protocolo de red para la transferencia de archivos entre sistemas conectados
a una red TCP, basado en la arquitectura cliente-servidor. Desde un equipo cliente se puede
conectar a un servidor para descargar archivos desde él o para enviarle archivos,
independientemente del sistema operativo utilizado en cada equipo.
El protocolo en sí mismo es inseguro, contraseñas, datos, etc., se transfieren en texto claro
y pueden ser esnifados con facilidad, sin embargo la mayoría del uso del FTP es ‘anónimo’,
de modo que no es un gran problema. Uno de los principales problemas con que se suelen
encontrar los sitios de FTP son los permisos incorrectos en directorios que permiten a la gente
utilizar el sitio para distribuir sus propios datos (por lo general material con copyright). Al
igual que con telnet, se debería utilizar una cuenta para hacer FTP que no se utilizara para
hacer trabajos administrativos, puesto que la contraseña viaja por la red en texto claro. En
general, los problemas con el FTP incluyen:
Autentificación en texto claro, nombre de usuario y contraseña.
Texto en claro en todos los comandos.
Ataques de adivinación de contraseñas.
Fraude Electrónico
27
Configuración inadecuada del servidor y el consiguiente abuso de servidores.
Todavía existen varios desagradables ataques de Negación de Servicio en algunos
servidores de FTP.
Las versiones más antiguas de WU-FTPD y sus derivados tienen ataques de root.
Por lo tanto hay que tener presente algunas cosas antes de configurar las “fronteras” de
la red, esto es, los routers con access-lists y los firewalls.
Los sitios deben asegurarse de que se diseñe cuidadosamente la topología de red de modo
que los límites eficaces del tráfico existan entre los sistemas que ofrecen niveles distintos del
servicio. Por ejemplo, un sitio tiene típicamente un servicio de FTP Anonymous, servicio del
Web, y un hub entrante de correo electrónico. Una buena práctica de seguridad consiste en
separar las máquinas que proporcionan estos servicios externos de las que realizan servicios
internos. Es importante tener límites “fuertes” en la red, preferiblemente firewalls, entre estos
dos conjuntos de máquinas.
8. Recomendaciones para la administración red
Rol del Administrador
En este punto es muy importante destacar que para que esa red sea segura se debe seguir
un modelo de referencia para la definición de arquitecturas de interconexión de sistemas de
comunicaciones para garantizar el buen funcionamiento de la red tomando en cuenta cada
capa para el mejor análisis del sistema. Además debe tener en cuenta lo siguiente:
Mantenerse siempre informado sobre las novedades y alertas de seguridad.
Mantener actualizado el equipo, tanto el Sistema Operativo como cualquier
aplicación que tengas instalada.
Haz copias de seguridad con cierta frecuencia, para evitar la pérdida de datos
importante de la organización.
Utiliza software legal que suele ofrecer garantía y soporte.
Fraude Electrónico
28
Utiliza contraseñas fuertes en todos los servicios, para dificultar la suplantación de
tu usuario (evita nombres, fechas, datos conocidos o deducibles, etc.).
Utiliza herramientas de seguridad que te ayudan a proteger / reparar tu equipo
frente a las amenazas de la Red.
Crea diferentes usuarios, cada uno de ellos con los permisos mínimos necesarios
para poder realizar las acciones permitidas.
Medidas de Protección para la reducción de las vulnerabilidades.
Las medidas de seguridad son acciones que podemos tomar con la finalidad de reducir las
vulnerabilidades existentes en los activos de la empresa.
a. Control de acceso a los recursos de la red: Implementación de controles en las esta-
ciones de trabajo que permiten la gestión de acceso, en diferentes niveles, a los recursos y ser-
vicios disponibles en la red.
b. Protección contra virus: Implementación de un software que prevenga y detecte so-
ftware maliciosos, como virus, troyanos y scripts, para minimizar los riesgos con paralizacio-
nes del sistema o la pérdida de información.
c. Seguridad para equipos portátiles: Implantación de aplicaciones y dispositivos para
la prevención contra accesos indebidos y el robo de información.
d. ICP – Infraestructura de llaves públicas: Consiste en emplear servicios, protocolos
y aplicaciones para la gestión de claves públicas, que suministren servicios de criptografía y
firma digital.
e. Detección y control de invasiones: Implantación de una herramienta que analice el
tránsito de la red en busca de posibles ataques, para permitir dar respuestas en tiempo real, y
reducir así los riesgos de invasiones en el ambiente.
f. Firewall: Sistema que controla el tránsito entre dos o más redes, permite el aislamien-
to de diferentes perímetros de seguridad, como por ejemplo, la red Interna e Internet.
g. VPN – Virtual Private Network: Torna factible la comunicación segura y de bajo
costo. Utiliza una red pública, como Internet, para enlazar dos o más puntos, y permite el in-
tercambio de información empleando criptografía.
Fraude Electrónico
29
h. Acceso remoto seguro: Torna posible el acceso remoto a los recursos de la red al em-
plear una red pública, como por ejemplo, Internet.
i. Seguridad en correo electrónico: Utiliza certificados digitales para garantizar el sigi-
lo de las informaciones y software para filtro de contenido, y proteger a la empresa de aplica-
ciones maliciosas que llegan por ese medio.
j. Seguridad para las aplicaciones: Implementación de dispositivos y aplicaciones para
garantizar la confidencialidad, el sigilo de las informaciones y el control del acceso, además
del análisis de las vulnerabilidades de la aplicación, al suministrar una serie de recomenda-
ciones y estándares de seguridad.
k. Monitoreo y gestión de la seguridad: Implementación de sistemas y procesos para la
gestión de los eventos de seguridad en el ambiente tecnológico, haciendo posible un control
mayor del ambiente, para dar prioridad a las acciones e inversiones.
l. Seguridad en comunicación Móvil: Acceso a Internet para usuarios de aparatos mó-
viles como teléfonos celulares y PDA’s, para permitir transacciones e intercambiar informa-
ción con seguridad vía Internet.
m. Seguridad para servidores: Configuración de seguridad en los servidores, para ga-
rantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles.
n. Firewall interno: Este firewall funciona al aislar el acceso a la red de servidores críti-
cos, minimizando los riesgos de invasiones internas a servidores y aplicaciones de misión crí-
tica.
No olvidemos que el objetivo de la implementación de las medidas de seguridad excede
los límites de la informática, definida en el diccionario como "la ciencia que tiene en vista el
tratamiento de la información a través del uso de equipos y procedimientos del área de
procesamiento de datos". Por ello debemos comprender los ambientes que tratan de la
información, no sólo en los medios electrónicos, sino en los convencionales.
Resulta inútil definir reglas para crear y usar contraseñas difíciles de adivinar, si los
usuarios las comparten o escriben en recados y las pegan al lado de su monitor.
Fraude Electrónico
30
Consideraciones que se deben tomar al implementar la seguridad.
a. Plan de Seguridad: A partir de la política de seguridad, se definen qué acciones deben
implementarse (herramientas de software o hardware, campañas de toma de conciencia, entre-
namiento etc.), para alcanzar un mayor nivel de seguridad. Estas acciones deben estar inclui-
das en un plan de seguridad para dar prioridad a las acciones principales en términos de su im-
pacto en los riesgos en que se quiere actuar, con el tiempo y costo de implementación, para
establecer así las acciones de corto, mediano y largo plazo.
b. Plan de acción: Una vez definido y aprobado el plan de seguridad, se parte hacia la
definición del plan de acción para las medidas que se deben implementar.
c. Recomendaciones de los fabricantes: Es muy importante que las recomendaciones
de los fabricantes de los productos sean conocidas antes de la implementación.
d. Soporte: Se puede necesitar la ayuda de profesionales con la experiencia necesaria
para la ejecución de determinadas actividades.
e. Planificación de la implantación: Algunas de las cosas a implantar (aplicaciones,
equipos, campañas de divulgación y toma de conciencia entre otras) pueden durar varios días
y afectar a varios ambientes, procesos y personas de la organización. En esos casos, siempre
es útil una planificación por separado.
f. Plataforma de Pruebas: En algunos casos, una plataforma de pruebas es necesaria
para evaluar la solución y reducir los posibles riesgos sobre el ambiente de producción.
g. Metodología de Implementación: Al realizar la implementación propiamente dicha,
es muy importante seguir una metodología, que: defina cómo dar los pasos necesarios para
ejecutar un plan de acción mantenga un mismo estándar de calidad en la implementación sin
importar quién lo esté ejecutando.
Por lo tanto, es importante definir cómo se realiza el seguimiento del progreso de la
implementación y, en caso de dificultades, saber qué acciones tomar y quién debe ser
notificado.
h. Registro de Seguridad: Después de la implementación de una nueva medida de segu-
ridad, es importante mantener el registro de lo que fue implementado.
Se deben registrar informaciones como: lo que fue implementado (herramienta,
Fraude Electrónico
31
entrenamiento etc.); cuáles son los activos involucrados; qué dificultades fueron
encontradas y cómo fueron superadas; hasta qué punto se alcanzó el objetivo esperado, etc.
Este registro tiene dos objetivos principales: mantener el control de todas las medidas
implementadas y aprovechar la experiencia acumulada.
i. Monitoreo y Administración del Ambiente: Es necesario monitorear los activos,
desde la medición constante de indicadores que muestren qué tan eficaces son las medidas
adoptadas y lo que se necesita cambiar.
A partir de la lectura de esos indicadores, se hace otro análisis de riesgos y se comienza el
ciclo otra vez (ver diagrama adjunto). El éxito de una implementación de seguridad sólo se
alcanza al buscar la administración efectiva de todo el ciclo.
9. La importancia de la implementación
Después de conocer las amenazas y puntos débiles del ambiente, adquiridos en el análisis
de riesgos, o después de la definición formal de las intenciones y actitudes de la organización
que están definidas en la política de seguridad de la información, debemos tomar algunas
medidas para la implementación de las acciones de seguridad recomendadas o establecidas.
No basta conocer las fragilidades del ambiente o tener una política de seguridad escrita.
Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la
información, configurar los ambientes etc. Debemos elegir e implementar cada medida de
protección, para contribuir con la reducción de las vulnerabilidades.
Cada medida debe seleccionarse de tal forma que, al estar en funcionamiento, logre los
propósitos definidos. Estos propósitos tienen que ser muy claros para obtener el éxito que se
espera.
Fraude Electrónico
32
Conclusión
Debido a la naturaleza virtual de los delitos informáticos, puede volverse confusa la
tipificación de éstos ya que a nivel general, se poseen pocos conocimientos y experiencias en
el manejo de ésta área. Desde el punto de vista de la Legislatura es difícil la clasificación de
estos actos, por lo que la creación de instrumentos legales puede no tener los resultados
esperados, sumado a que la constante innovación tecnológica obliga a un dinamismo en el
manejo de las Leyes relacionadas con la informática.
La falta de cultura informática es un factor crítico en el impacto de los delitos informáticos en
la sociedad en general, cada vez se requieren mayores conocimientos en tecnologías de la
información, las cuales permitan tener un marco de referencia aceptable para el manejo de
dichas situaciones.
Nuevas formas de hacer negocios como el comercio electrónico puede que no encuentre el
eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología, por
lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática, con el
único fin de tener un marco legal que se utilice como soporte para el manejo de éste tipo de
transacciones.
La responsabilidad del auditor informático no abarca el dar solución al impacto de los
delitos o en implementar cambios; sino más bien su responsabilidad recae en la verificación
de controles, evaluación de riesgos, así como en el establecimiento de recomendaciones que
ayuden a las organizaciones a minimizar las amenazas que presentan los delitos informáticos.
La ocurrencia de delitos informáticos en las organizaciones alrededor del mundo no debe
Fraude Electrónico
33
en ningún momento impedir que éstas se beneficien de todo lo que proveen las tecnologías de
información (comunicación remota, Interconectividad, comercio electrónico, etc.); sino por el
contrario dicha situación debe plantear un reto a los profesionales de la informática, de
manera que se realicen esfuerzos encaminados a robustecer los aspectos de seguridad,
controles, integridad de la información, etc. en las organizaciones.
Bibliografía
Glosario informático http://www.uned.es/csi/sistemas/secure/virus/glosario.htm
Visitado el día 20-09-09
Fraude informático http://www.slideshare.net/harryems/delitos-informaticos-
presentation-785552 Visitado el día 20-09-09
Delitos informáticos http://www.mailxmail.com/curso-delitos-informaticos. Visitado el
día 20-09-09
Las 20 vulnerabilidades de seguridad más críticas
http://www.hispasec.com/unaaldia/1074 Visitado el día 20-09-09
Visitado el día 20-09-09
Glosario linux DE arts power database
http://www.interzona.org/transmisor/hackers/glosario.htm Visitado el día 20-09-09
Glosario de términos relacionados con los delitos informáticos
http://www.delitosinformaticos.com/03/2009/delitos/glosario-de-terminos-relacionados-con-
los-delitos-informaticos Visitado el día 20-09-09
Manual de Seguridad de Redes www.arcet.gov.ar/webs/manual_de_seguridad.pdf
Visitado el día 20-09-09
