El delito informático, o crimen
electrónico, es el término genérico para aquellas operaciones ilícitas
realizadas por medio de Internet que tienen como objetivo destruir y dañar
ordenadores, medios electrónicos y redes de Internet. Sin embargo, las
categorías que definen un delito informático son aún mayores y complejas y
pueden incluir delitos tradicionales como el fraude, el robo, chantaje,
falsificación y la malversación de caudales públicos en los cuales ordenadores
y redes han sido utilizados. Con el desarrollo de la programación y de
Internet, los delitos informáticos se han vuelto más frecuentes y sofisticados.
Existen actividades delictivas
que se realizan por medio de estructuras electrónicas que van ligadas a un sin
número de herramientas delictivas que buscan infringir y dañar todo lo que
encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado
ilegal de redes, interferencias, daños en la información (borrado, dañado,
alteración o supresión de datacredito), mal uso de artefactos, chantajes,
fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por
hackers, violación de los derechos de autor, pornografía infantil, pedofilia en
Internet, violación de información confidencial y muchos otros.
Generalidades
El delito informático incluye
una amplia variedad de categorías de crímenes. Generalmente este puede ser
dividido en dos grupos:
1. Crímenes que tienen como objetivo redes de computadoras, por
ejemplo, con la instalación de códigos, gusanos y archivos maliciosos, Spam,
ataque masivos a servidores de Internet y generación de virus.
2. Crímenes realizados por medio de ordenadores y de Internet, por
ejemplo, espionaje, fraude y robo, pornografía infantil, pedofilia, etc.
Un ejemplo común es cuando una persona
comienza a robar información de websites o causa daños a redes o servidores.
Estas actividades pueden ser absolutamente virtuales, porque la información se
encuentra en forma digital y el daño aunque real no tiene consecuencias físicas
distintas a los daños causados sobre los ordenadores o servidores. En algunos
sistemas judiciales la propiedad intangible no puede ser robada y el daño debe
ser visible. Un ordenador puede ser fuente de pruebas y, aunque el ordenador no
haya sido directamente utilizado para cometer el crimen, es un excelente
artefacto que guarda los registros, especialmente en su posibilidad de
codificar los datos. Esto ha hecho que los datos codificados de un ordenador o
servidor tengan el valor absoluto de prueba ante cualquier corte del mundo.
CRÍMENES ESPECÍFICOS
Fraude
El fraude informático es
inducir a otro a hacer o a restringirse en hacer alguna cosa de lo cual el
criminal obtendrá un beneficio por lo siguiente:
1. Alterar el ingreso de datos de manera ilegal. Esto requiere que el
criminal posea un alto nivel de técnica y por lo mismo es común en empleados de
una empresa que conocen bien las redes de información de la misma y pueden
ingresar a ella para alterar datos como generar información falsa que los
beneficie, crear instrucciones y procesos no autorizados o dañar los sistemas.
2. Alterar, destruir, suprimir o robar datos, un evento que puede ser
difícil de detectar.
3. Alterar o borrar archivos.
4. Alterar o dar un mal uso a sistemas o software, alterar o
reescribir códigos con propósitos fraudulentos. Estos eventos requieren de un
alto nivel de conocimiento.
Otras formas de fraude
informático incluye la utilización de sistemas de computadoras para robar
bancos, realizar extorsiones o robar información clasificada.
Contenido obsceno u ofensivo
El contenido de un website o de
otro medio de comunicación puede ser obsceno u ofensivo por una gran gama de
razones. En ciertos casos dicho contenido puede ser ilegal. Igualmente, no
existe una normativa legal universal y la regulación judicial puede variar de
país a país, aunque existen ciertos elementos comunes. Sin embargo, en muchas
ocasiones, los tribunales terminan siendo árbitros cuando algunos grupos se
enfrentan a causa de contenidos que en un país no tienen problemas judiciales,
pero sí en otros. Un contenido puede ser ofensivo u obsceno, pero no
necesariamente por ello es ilegal.
Hostigamiento / Acoso
El hostigamiento o acoso es un
contenido que se dirige de manera específica a un individuo o grupo con
comentarios derogativos a causa de su sexo, raza, religión, nacionalidad,
orientación sexual, etc. Esto ocurre por lo general en canales de conversación,
grupos o con el envío de correos electrónicos destinados en exclusiva a
ofender. Todo comentario que sea derogatorio u ofensivo es considerado como
hostigamiento o acoso.
Tráfico de drogas
El narcotráfico se ha
beneficiado especialmente de los avances del Internet y a través de éste
promocionan y venden drogas ilegales a través de emails codificados y otros
instrumentos tecnológicos. Muchos narcotraficantes organizan citas en cafés
Internet. Como el Internet facilita la comunicación de manera que la gente no
se ve las caras, las mafias han ganado también su espacio en el mismo, haciendo
que los posibles clientes se sientan más seguros con este tipo de contacto.
Terrorismo virtual
El terrorismo virtual se ha
convertido en uno de los novedosos delitos de los criminales informáticos los
cuales deciden atacar masivamente el sistema de ordenadores de una empresa,
compañía, oficinas oficiales, etc. Un ejemplo de ello lo ofrece un hacker de
Nueva Zelandia, Owen Thor Walker (AKILL), quien en compañía de otros hackers,
dirigió un ataque en contra del sistema de ordenadores de la Universidad de
Pennsylvania en 2008. La difusión de noticias falsas en Internet (por ejemplo
decir que va a explotar una bomba en el Metro), es considerado terrorismo
informático y es procesable.
Al tratar el asunto de la
seguridad informática se está considerando que se encuentran en riesgo tres
elementos:
a) Los datos: información
guardada en las computadoras. Ellos
tienen tres características a proteger:
Ø Confidencialidad
Ø Integridad
Ø Disponibilidad
b) Los recursos: el equipamiento
en sí mismo
c) La reputación
Una de las actividades iníciales
es el Análisis de riesgos, para lo cual, se debe realizar un modelado de
amenazas. Se trata de una actividad de carácter recurrente.
Un riesgo es una combinación de
activos, vulnerabilidades y atacantes.
Elementos
Lo que se quiere proteger: los
activos
Objetivos de seguridad: niveles y
tipos de protección que requiere cada activo.
Ø confidencialidad
de los datos: se garantiza que la información es accesible sólo a aquellas
personas autorizadas a tener acceso a la misma.
Ø integridad
de datos y sistemas: se salvaguarda la exactitud y totalidad de la información y los métodos de
procesamiento.
Ø disponibilidad
del sistema/red: se garantiza que las personas usuarias autorizadas tengan
acceso a la información y recursos relacionados con la misma toda vez que se
requiera.
Ø Amenazas
Ø Motivos:
financieros, políticos, personales/sicológicos.
Ø Árboles
de ataque: desarrollados por Bruce Schneier. Se trata de una representación visual formal y metódica sobre
la seguridad de los sistemas basados en
las variantes de los ataques (los ataques posibles contra un determinado objetivo). Se representan
mediante estructuras de árboles donde se
denomina nodos raíz a la meta (el objetivo a atacar) y las diferentes maneras de lograr dicha meta se denominan
nodos hojas. Una vez diseñado, se añaden
los costes al árbol para estimar las pérdidas que podrían suponer los diferentes ataques.
Hay que tener en consideración
que los ataques pueden ser direccionados a:
Ø Servidores
Ø Red
Ø Aplicaciones
web
Estrategias generales para
minimizar los ataques
Ø Observar
el principio del menor privilegio
Ø Defensa
a fondo o en profundidad
Ø Redundancia:
utilizar más de un mecanismo de seguridad
Ø Punto
de choque
Ø Eslabón
más débil
Ø Postura
de falla segura
Ø Definición
y uso de políticas y procedimientos
Ø Mantenerse
informado/actualizado
SERVIDORES
Ataques a servidores
Ø Servidores
Web: Utilización de vulnerabilidades conocidas que posibilitan ejecutar código arbitrario, acceso no
autorizado a archivos o denegación de
servicio (DoS).
Ø Servicios
de administración remota: Telnet, SSH, Microsoft Terminal Server.
Ø Servicios
de administración de contenidos: FTP, SSH/SCP, etc.
Ø Servidores
de Nombres: ataque al servidor, modificación de zonas, cache poisoning, etc.
Ø Servidor
de correo electrónico: intercepción de datos confidenciales; spam; propagación
de virus, apropiación del servidor de correo para lanzar otros tipos de ataque, etc.
Ø Servidor
de bases de datos: problemas tales como compromiso del servidor (por ej. por desbordamientos de búfer); robo
de datos; corrupción de datos o pérdida,
denegación de servicio (DoS), etc.
Ø Navegadores:
fallas que permiten ejecutar código arbitrario en el cliente, controlando
parcial o totalmente el equipo: Cross site scripting, manipulación de cookies, robo de código fuente, etc.
Como protegerse
Utilización de buenas prácticas:
Ø Fortalecimiento
(hardening) o aseguramiento de las instalaciones del sistema operativo
Ø Deshabilitación
de servicios y cuentas no utilizados
Ø Administración
remota segura. Cifrado del tráfico
Ø Utilizar
sistemas de búsqueda automática de vulnerabilidades: por ej. NESSUS
Ø Actualizaciones
del sistema operativo y aplicaciones (parches)
Ø Utilización
de herramientas que buscan y detectan problemas de seguridad; detectan intrusos
y controlan cambios.
Ø Análisis
periódico de logs
RED
Como protegerse
Ø Uso
de arquitectura de red seguras: buen diseño de perímetros de red
Ø Separar
los sistemas que tienen un alto riegos de ser comprometidos: creación de zona desmilitarizada (DMZ), de arquitectura
“fuerte”, con servidores fortalecidos y
monitoreados.
Ø Redundancia
Ø Filtrado
de paquetes incluso en enrutadores externos
Ø Instalación
de cortafuegos (firewalls) configurados cuidadosa y minuciosamente.
Ø Atención
y vigilancia continua y sistemática
APLICACIONES
Aplicaciones Web
Ataques a mecanismos de seguridad
• Obtención de usuario y clave
con diccionario o fuerza bruta
Como protegerse:
Ø Utilización
de contraseñas “fuertes”
Ø Política
de cambio frecuente de contraseñas
Ø Mecanismos
de deshabilitación temporal de la cuenta
Ataques a las aplicaciones
(mal desarrolladas)
Ataques de entrada no validada.
Por ej.: modificación de atributos enviados por
el servidor, inyección de
comandos SQL, inyección LDAP, explotación de
Buffer overflow, Cross Site Scripting (XSS), etc.
Como protegerse:
Ø Información
sensible: datos de empleados, contratos, números de cuentas, claves, etc.
Ø Desarrollo
seguro de aplicaciones: uso de buenas prácticas y principios de diseño, tener en cuenta la seguridad desde el
inicio, construcción de distintas capas
de defensa, manejo apropiado de los errores, fallo en forma segura.
Ø Desconfiar
siempre de la información enviada por el cliente y por lo tanto asegurar que
toda la información que envíe sea validada por la aplicación en el servidor antes de ser utilizada.
Ø Definir
estrictamente que datos/formato de entrada están permitidos y chequear cada
parámetro que entra contra dichas definiciones.
Ø Por
ej.: caracteres permitidos, tipo de datos (entero, cadena, fecha), longitud mínima y máxima,
rango numérico, según patrones, etc.
Ataques a mecanismos de
autenticación
Robo de cookies (via XSS),
predicción de ID de sesión, inyección de comandos
SQL para saltear formularios de
login de la aplicación, etc. Lo mencionado
anteriormente es responsabilidad específica de personal informático capacitado, sin embargo, es necesario
asegurar que el personal que no sea informático
tenga al menos una noción general del tema de seguridad informática para
tener mayor conciencia y compromiso,
desde su rol y puesto de trabajo dentro de la organización. Existen buenas prácticas que como usuarios/as
deberían ser observadas en las tareas
diarias:
Manejo responsable de claves
de acceso:
Ø selección
de claves “fuertes”, difíciles de descifrar
Ø mantenerlas
en secreto
Ø no
transferirlas
Ø no
escribirlas en papeles de fácil acceso, en archivos sin cifrar.
Ø no
habilitar la opción “recordar clave en este equipo”, que ofrecen los programas
Ø no
enviarla por correo electrónico
Ø cambiarla
frecuentemente
Práctica de “escritorio
limpio”
Ø evitar
dejar información sensible3 a disposición de personas no autorizadas
Ø guardar
bajo llave documentación importante
Ø evitar
de dejar en lugares visibles y fácilmente accesibles pendrives, CDs, etc. con información sensible
Resguardo de la pantalla
Ø No
dejar desatendido el equipo
Ø Bloquear
la PC si se abandona, aunque sea momentáneamente, el puesto de trabajo.
Navegación en Web, buenas
prácticas.
Ø Evitar
acceder a sitios desconocidos o no confiables.
Ø No
aceptar la instalación automática de software.
Ø No
descargar archivos ejecutables.
Ø No
dejar información sensible en páginas o foros.
Si debe enviar información
sensible:
Ø Solo
hacerlo en sitios seguros (https)
Ø Verificar
el certificado del sitio.
Ø Consulte
con su administrador sobre configuración segura del navegador.
Ø Verificar
el destino de los enlaces
Uso responsable y seguro del
correo electrónico
Se debe estar informado de las diferentes maneras en que
se puede generar situaciones donde se
pone en peligro la seguridad. Por ejemplo:
Ingeniería Social
Es un conjunto de trucos, engaños
o artimañas que permiten confundir a una
persona para que entregue información confidencial, ya sea los datos
necesarios para acceder a ésta o la forma de comprometer seriamente un
Sistema de seguridad.
Código Malicioso: virus,
troyanos, gusanos, etc. Programa de computadora escrito para producir
inconvenientes, destrucción, o violar la política de seguridad
Buenas prácticas
Archivos adjuntos
Ø No
abrir archivos adjuntos de origen desconocido.
Ø No
abrir archivos adjuntos que no esperamos recibir, aunque nos parezca que su origen es conocido.
Ø No
abrir adjuntos que tengan extensiones ejecutables.
Ø No
abrir adjuntos que tengan más de una extensión.
Ø Chequear
con el remitente la razón por la cual nos envió un archivo adjunto.
Reenvío de correo electrónico
Ø Borrar
la/s dirección/es de correo del/los remitente/s
Ø mejor
aún: copiar el contenido del correo original y armar uno nuevo
Ø Si
se reenvía a más de una persona, utilizar la opción de enviar “Copia Oculta”
Ø No
ser un reenviador compulsivo de correos electrónicos
SPAM: mensajes no
solicitados, habitualmente de tipo publicitario, enviados en
Cantidades masivas.
Ø No
dejar la dirección de correo electrónico en cualquier formulario o foro de Internet.
Ø No
responder correos no solicitados. Lo más seguro es borrarlos.
Ø En
general, no conviene enviar respuesta a la dirección que figura para
evitar envíos posteriores.
Ø Configurar
filtros o reglas de mensaje en el programa de correo para filtrar mensajes de determinadas direcciones.
Ø Nunca
configurar “respuesta automática” para los pedidos de acuse de recibo.
Ø No
responder a los pedidos de acuse de recibo de orígenes dudosos
Cadena de correo electrónico
Una de las herramientas que se
utilizan comercialmente para obtener direcciones de correo electrónico y armar bases de datos
con las mismas es armar cadenas de
correos electrónicos. Conforman también una oportunidad a los piratas
informáticos, pues obtienen blancos
reales a los que enviarles virus y todo tipo de software malicioso.
Hoax: engaño/broma.
Se presentan por ejemplo como:
Ø Alertas
sobre virus “incurables”
Ø Mensajes
de temática religiosa
Ø Cadenas
de solidaridad
Ø Cadenas
de la suerte
Ø Leyendas
urbanas
Ø Métodos
para hacerse millonario
Ø Regalos
de grandes compañías
No hay comentarios:
Publicar un comentario
NO OLVIDES COMENTAR..