Delitos informaticos

organizado por:

“La Criminalística y la Medicina Legal en

el nuevo Código Procesal Penal

Raúl SILVA OLIVERAComandante PNP

Policía Nacional del Perú

División de Investigación de

Delitos de Alta Tecnología

Presentada por:

Seguridad Informática

“El único sistema totalmenteseguro es aquel que estáapagado, desconectado, guardadoen una caja fuerte de Titanio,encerrado en un bunker deconcreto, rodeado por gasvenenoso y cuidado por guardiasmuy armados y muy bienpagados. Aún así no apostaría mivida por él”

Eugene Spafford

Ciberdelito -

Definición-.Es cualquier actividad

delictiva en la que se utilizan como

herramienta los computadores o

redes, o éstos son las víctimas de la

misma, o bien el medio desde donde

se efectúa dicha actividad delictiva

Delitos Informáticos

LEY Nº 27309INCORPORA AL CODIGO PENAL LOS DELITOS

INFORMATICOS(ART. 2007 C.P.)

El agente accede a una base de

datos, sistema o red de

computadoras, haciendo uso de

información privilegiada, obtenida

en función a su cargo.

El agente pone en peligro la

seguridad nacional".

CIRCUNSTANCIAS AGRAVANTESArt. 207º C

Art. 207º A .- El que utiliza o ingresa

indebidamente a una base de datos, sistema o

red de computadoras o cualquier parte de la

misma, para diseñar, ejecutar o alterar un

esquema u otro similar, o para interferir,

interceptar, acceder o copiar información en

transito o contenida en una base de datos.

Art. 207º B .- El que utiliza, ingresa o

interfiere indebidamente una base de

datos, sistema o red o programa de

computadoras o cualquier parte de la

misma con el fin de alterarlos, dañarlos

o destruirlos.

Otros Delitos cometidos con uso de la Alta Tecnología

DELITO

HURTOD/C/P

(TITULO V. CAP.I)

DAÑOSD/C/P

(TIT. V. CAP. IX)

FALSIFICACION DE

DOCUMENTOS

INFORMATICOSD/C/F/P

(TITULO XII. CAP. I)

VIOLACION A LA

INTIMIDADD/C/L

(TITULO VI. CAP. II )

FRAUDE EN LA

ADMINISTRACION DE

PERSONAS JURIDICASD/C/P

(TITULO V. CAP. VI)

CONTRA LOS

DERECHOS DE

AUTORD/C/D/I

(TITULO VII. CAP.I)

ESPIONAJED/C/E/D/N

(TITULO XV. CAP.

HOMICIDIOD/C/V/C/S

(TIT. I. CAP. I)

TERRORISMOD/C/T/P

(TITULO XIV. CAP. II)

NARCOTRAFICOD/C/S/P

(TITULO XII. CAP. III)

VIOLACION DEL

SECRETO DE LAS

COMUNICACIONES

(TITULO IV. CAP. IV)

PORNOGRAFIA

INFANTIL(Art. 183 A CP)

Características del Ciberdelito

Victima Rastreo posible

Servicio de Correo-e sin inscripción formal

Rastreo difícil / imposible Servicio de comunicación anónima

Infractor

Red inalámbrica abierta

Evolución de los ataques

Evolución de los riesgos enseguridad – Amenazasinformáticas

Ataques Cibernéticos

Actividad criminal tradicional

Incidentes relacionados con la marca

Desastres naturales

Terrorismo

Riesgos más significativos en América Latina

Evolución de los riesgos enseguridad – Amenazasinformáticas

21 1969

113 141

2002 2003 2004 2005 2006 2007 2008

Nuevas amenazas de código malicioso

¿PORQUE EL INTERNET PARA LOS CRIMINALES?ESTADÍSTICAS Y ANTECEDENTES

Los sistemas públicos de correo basado en Web mas

populares suministraban las siguientes estadísticas a

noviembre de 2005:

Yahoo posee 250 millones de cuentas de correo

electrónico creadas en todo el mundo.

Hotmail posee 230 millones de cuentas de correo

electrónico creadas en todo el mundo.

El acceso a lo servicios de Internet en el mundo se ha

expandido desde el año 2000 a 2005 en un 183.4%

significando un total de 1,022,863,037 de internautas

activos.

Para 2015 se llegará a los 2,000 millones de internautas

en la red.

Los continentes con Comandante crecimiento de

conectividad por Internet el pasado año 2005 (en estricto

orden) son Medio oriente, África y Latinoamérica.

¿PORQUE EL INTERNET PARA LOS CRIMINALES? MOTIVACIONES

FALSO SENTIMIENTO PARA EL INFRACTOR. Los criminales se sienten

seguros en Internet por considerar los siguientes factores como

verdaderos:

Seguridad. Piensan que deben ser primero “descubiertos” en la

inmensidad de las comunicaciones diarias que suceden en la

Internet.

Anonimato. Consideran que así sean descubiertos por las fuerzas de

la ley, estas son incapaces de identificarlos plenamente, ya que

sostienen que son “invisibles” (no se le puede imputar o demostrar

el delito o infracción a un sujeto real) al utilizar canales públicos

donde suceden millones de transacciones de datos al día sin nombre,

origen e idioma.

Disponibilidad. Asumen que la sencillez en obtener y desechar

rápidamente los canales de comunicación creados, les permitirá

evadir cualquier posible cerco establecido por algún ente de

investigación judicial.

Perfil de un Ciberdelincuente

Gusto y

pasión por

la tecnología

Solitario

Inestabilidad

emocional

Problemas

para definir

limites

MOTIVACIONCREENCIA

RACIONALIZADAMEDIO

EL MOMENTO CIBERDELINCUENTE

¿Quienes pueden atacar?

80% Novatos

12% Intermedio

5% Avanzados

3% Profesionales

Denuncias recibidas en la DIVINDAT – DIRINCRI - PNP

7736 17

72 7333 25

MODALIDADES Y HERRAMIENTAS

UTILIZADAS PARA COMETER DELITOS

INFORMATICOS

Al ingresar a internet estamos expuestosa mas de 50 ataques automatizados porminuto …

Ingeniería

Social

PHARMING

SPYWARE

ADWARE

Keyloggers

PHISHING

ZOMBIES

Programa espía, cuyas aplicaciones se instalan

y ejecutan sin el conocimiento del usuario para

recopilar su información o el de la organización

y, distribuirlo a terceros interesados.

Programa Intruso para

monitorear actividades

SPYWARE

Síntomas del Software Espía

Constantemente aparecen

anuncios emergentes en la

pantalla de mi equipo.

La configuración ha cambiado y

no puedo restaurar los ajustes

originales.

El explorador Web incluye

componentes adicionales que

no recuerdo haber descargado.

Se ha reducido la velocidad de

funcionamiento de mi equipo

Es un archivo o porción de

código ejecutable capaz de

reproducirse, autoejecutarse y

ocultarse.

Es capaz de :

Realizar esas acciones sin el

consentimiento del usuario.

Infectar otros archivos, cambiar de

forma, residir en memoria, propagarse

por mail, mensajeros, chats, etc.

Activarse cuando el archivo o porción

de código es ejecutado o cuando el

registro del sistema es leído (si es

un virus de arranque).

VIRUS INFORMATICO

Software que despliega publicidad

de distintos productos o servicios.

Dentro de ellos puede haber

código malicioso

ADWARE

Modalidad de envió masivo de publicidad, por lo

general con desconocimiento del destinatario y de

corte comercial, una de las formas como obtienen

su nombre de cuenta es a través del envió por

cadena de presentaciones sugestivas, de

meditación o risa, sin embargo también es

utilizado para enviar código malicioso (programas

espías).

Es una modalidad de entablar confianza con

la victima, ya sea haciéndose pasar como

vendedor, interesado en un tema o una

posible pareja sentimental, por lo general

desean conocer la respuesta de la pregunta

secreta que usted usa para recuperar su

clave de correo.

INGENIERIA SOCIAL

Dispositivo de Hardware o

Software que puede llegar a

monitorear cada acción del

usuario, principalmente en el

teclado, permitiendo obtener sus

claves de correo y otros datos.

KEYLOGGER

• Captura pantalla, o bien la ventana activa

• Captura todas las pulsaciones del teclado, contraseñas…etc

• Guarda todas las conversaciones de Chat

• Almacena todas las direcciones URL de páginas web visitadas

• Se desactiva cuando el ordenador está inactivo

Consiste en modificar el sistema de

resolución de nombres de dominio

(DNS) para conducir al usuario a una

página web falsa, de manera que

cuando el usuario crea que está

accediendo a su banco en

Internet, realmente está accediendo a

una página web falsa.

PHARMING

Es la denominación que se asigna a computadoras que tras

haber sido infectadas por algún tipo de virus, pueden ser

usadas remotamente por una tercera persona, sin

autorización y conocimiento del usuario, para atacar a otras

computadoras y luego reportar e informar al criminal.

ZOMBIES

Es la técnica por la que los estafadores

se nutren de usuarios de chats, foros o

correos electrónicos, a través de

mensajes de ofertas de empleo con una

gran rentabilidad o disposición de

dinero, para después remitirles correos

electrónicos solicitando ingresen

información personal.

“Paul, es usted un hombre afortunado. Hoy ha heredado$100,000” o “ha ganado la lotería”. Va a recibir$250,000, pero esto es lo que tiene que hacer. Tenemosque pagar impuestos de antemano, y sólo necesitamos$500. Le vamos a dar $100,000”. O quizá no sean $500.Tal vez sea su número de Cuenta de Banco porque“Tenemos que llenar unos papeles”.

Un mensaje por lo general tomando el nombre de un

Banco le comunica que tienen alguna promoción o

tienen que actualizar sus datos y le colocan un link

(hipervínculo) que al hacer click lo lleva a una

página web falsa, haciéndole creer que es la original

y allí le solicitan que ingrese sus datos y su clave

que usted mismo envía sin querer.

PHISHING

OTROS DELITOS COMETIDOS CON EL USO

DE TECNOLOGIA

Fraude, clonación de tarjetasy hurto de fondos

UNA VEZ OBTENIDA LA TARJETA, LOS

“CLONADORES” EFECTÚAN COMPRAS O

RETIRAN ELEVADAS SUMAS DE DINERO.

MEDIANTE APARATOS ELECTRÓNICOS DE

LECTURA DE BANDAS MAGNÉTICAS

(SKIMMER) MALOS EMPLEADOS DE

RESTAURANTES, GASOLINERAS Y OTROS

LOCALES EXTRAEN LOS DATOS DE LAS

TARJETAS DE CRÉDITO.

LUEGO SON COPIADAS A UNA

COMPUTADORA PORTÁTIL O PERSONAL Y

FINALMENTE COPIADAS A OTRA TARJETA

(CLONACIÓN) CON LOS MISMOS DATOS

PERSONALES DE LA TARJETA ORIGINAL.

AnálisisModus Operandi de Clonadores en Cajeros Automáticos

Dispositivo sobrepuesto.

Falso porta folletos que se coloca al lado del cajero con micro cámaras instaladas para ver cuando se teclea el NIP.

Instalado para que no despierte las sospechas del usuario

Video Camara que transmite a 200 mts. De distancia la señal.

Y el Perú no se libra de esta modalidad

Operaciones financieras/comerciales fraudulentas por internet

MEDIANTE LA MODALIDAD DEL “PHISHING”, DONDE EL TIMADOR

BUSCA QUE ALGUIEN “MUERDA EL ANZUELO”, A REVELAR

INFORMACIÓN CONFIDENCIAL PERSONALQUE PUEDE SER USADA

PARA ROBARLE SU DINERO.

LUEGO DE OBTENER LA INFORMACIÓN NECESARIA

PARA ACCEDER A LA CUENTA DE TU

BANCO, PROCEDEN A EFECTUAR OPERACIONES

FRAUDULENTAS POR INTERNET (TRANSFERENCIAS

DE FONDOS A OTRAS CUENTAS, PAGOS DE

SERVICIOS, ETC).

PASAJES

COMPRAS EN SUPERMERCADOSROBO POR CAJERO

Amenazas por e-mail

CONSISTE EN

EFECTUAR

AMENAZAS, INSULTOS

E INJURIAS HACIENDO

USO DE SERVIDORES

DE CORREOS

ELECTRÓNICOS

DISPONIBLES EN EL

INTERNET

Extorsión

Es muy importante que envíe a la brevedad posible este correo a la Presidencia.Hay un plan para secuestrar al Sr Gabriel Escarrer Julia, hace tres semanas que vienen siguiéndolo yobteniendo información sobre él y sus hijos, hay miembros de su seguridad involucrados y brindandoinformación, existe un seguimiento a cada uno de sus 6 hijos, es necesario que estén a la expectativa, hay exmiembros de ETA en este grupo, debo decirles que están bien armados y organizados.No descarto la posibilidad que miembros de la policía se encuentren involucrados también como ha sucedidoanteriormente. Tengo conmigo información grabada en tres video tapes que podrán servir para identificar aalgunos de ellos, tengo también un portafolios de cuero perteneciente a uno de los miembros con sus datospersonales y anotaciones importantes. Aunque se que no pueden ser utilizadas como pruebas legales estoyseguro que serán de utilidad y podrán evitar cualquier sorpresa nefasta. Parte de este grupo debe estarllegando el 26 de este mes a Mallorca, no tengo el lugar de hospedaje , pero no sería raro que los tenganmuy cerca. Quisiera enviarles esta información, para tal efecto comuníquense conmigo a la brevedadposible por este medio. Bajo ninguna circunstancia proveeré nombre alguno por este medio. No está en ventala información, solo quiero ayudar. Yo he tenido que huir del país con mi familia al rehusarme a formar partede esta operación, por razones obvias y un pasado que no habla a favor mío no he dado parte a la policía y siustedes lo hacen no podré ayudarlos. No puedo dejar a mi mujer e hija desprotegidas en estos momentos,nuestras vidas han sido amenazadas. Podrán dar aviso luego de obtener la información, créanme que sabré silo han hecho o no. Si tienen un teléfono donde pueda llamar envíenmelo y me pondré en contacto, si puedohacer una llamad por cobrar sería mejor ya que nuestros fondos de viaje están muy limitados.Comuníquenme apenas reciban este correo para asegurarme que acusaron recibo,LR

SUELEN ENVIAR MUCHOS MENSAJES

INTIMIDATORIOS, ASEGURANDOSE QUE LA

VICITMA SE ENTERE QUE LO CONOCEN SUS

DATOS PERSONALES Y LOS DE SU FAMILIA.

MODALIDAD DELICTIVA EN LA QUE SE BUSCA

VICTIMAS ADINERADAS PARA QUE POR MEDIO DEL

AMEDRENTAMIENTO, CONSIGAN EL PAGO DE

DINERO

FINALMENTE SUELEN EXIGIR EL PAGO DE DINERO A

TRAVES DE CUENTA BANCARIA O ENVIO DE DINERO

COMERCIAL

Chantaje sexual y económico

VIA CORREO, CHAT O PAGINAS WEB, CON EL CUENTO DEL MODELAJE O

DIAGNOSTICOS PARA ADELGAZAR O LA SIMPLE COMUNICACIÓN

CONTINUA CON LA VICTIMA, LOGRAN QUE ESTA SE DESINHIBA Y

MUESTRE SU CUERPO DESNUDO Y/O LE CONFIE SUS INTIMIDADES

PERSONALES, DE FAMILIA O AMIGOS QUE LUEGO SON APROVECHADAS

PARA CHANTAJEARLA PUBLICANDO PARTE DE LAS IMÁGENES POR

INTERNET.

POR LO GENERAL TERMINAN CON EL PAGO DE DINERO, LA

VIOLACION, LA PROSTITUCION Y HASTA LA PORNOGRAFIA INFANTIL.

Pornografía infantil en internet

SE ENTIENDE ASI, A TODA REPRESENTACIÓN, POR

CUALQUIER MEDIO, DE UN NIÑO INVOLUCRADO A

ACTIVIDADES SEXUALES EXPLICITAS, REALES O

SIMULADAS, O TODA REPRESENTACIÓN DE LAS

PARTES SEXUALES PARA PROPÓSITOS SEXUALES

PRINCIPALMENTE.

INCLUYE LA

PRODUCCIÓN, DISTRIBUCIÓN, DIVULGACIÓN, IMPOR

TACIÓN, EXPORTACIÓN, OFERTA, VENTA O

POSESIÓN DE PORNOGRAFÍA

INFANTIL, INCLUYENDO LA POSESIÓN INTENCIONAL.

MEDIOS UTILIZADOS PARA COMETER EL DELITO

E-MAILCORREO ELECTRONICO

Correo de uso libre

¿Cómo funciona el correo de uso libre?

¿Qué información me interesa?

Correo destinoDirección IP

Encabezado Técnico

Return-Path: <mark_cameron1962@hotmail.com>

Received: from hotmail.com ([64.4.37.61]) by mta05-svc.ntlworld.com

(InterMail vM.4.01.03.27 201-229-121-127-20010626) with ESMTP id

<20021029140839.HPQJ27595.mta05-svc.ntlworld.com@hotmail.com>

for <ruthdixon@ntlworld.com>; Tue, 29 Oct 2002 14:08:39 +0000

Received: from mail pickup service by hotmail.com with Microsoft SMTPSVC;

Tue, 29 Oct 2002 06:08:38 -0800

Received: from 217.40.21.116 by pv2fd.pav2.hotmail.msn.com with HTTP; Tue,

29 Oct 2002 14:08:38 GMT

X-Originating-IP: [217.40.21.116]

Correos electrónicos de dominio propio

Dominio propio: www.ical.org.pe

Programas específicos para correo electrónico:

• OUTLOOK EXPRESS

• OUTLOOK

• EUDORA

• NETSCAPE

• TURNPIKE

• PEGASUS y muchos más…………….

¿Cómo funcionan estos correos?

REDES SOCIALES

Sitios de redes sociales a travésdel internet

Sitios de redes sociales usadospor nuestros niños

¿Cómo funcionan las redessociales en el internet?

La posibilidad de establecer redessociales existe en todas partes

Incluso

programas de

correo

electrónico

solicitan fotos

e información

personal

El Internet nos recompensa por compartirinformación y establecer “nuevasamistades”

Existen mecanismos de seguridad, pero hay que escoger amigos cuidadosamente

Páginas de la red y „blogs‟ tambiénpermiten compartir información

... Y ¿Qué hacen los chicos con las cámaras de los teléfonos celulares que NOSOTROS LES COMPRAMOS?

BUSCANDO LA EVIDENCIA DIGITAL

Forense tradicional (Mundo real)

Forense Digital (Mundo virtual)

Cómputo Forense

Aplicación de técnicas

científicas y analíticas

especializadas que

permiten identificar,

preservar, analizar y

presentar datos que

sean válidos dentro de

un proceso legal.

Objetivos Cómputo Forense

La persecución y procesamiento

judicial de los criminales

La compensación de los daños

causados por los criminales o intrusos

La creación y aplicación de medidas

para prevenir casos similares

¿A qué se le puede hacer Cómputo Forense?

Computadoras

PDA´s

PenDrive

Cámaras Digitales

Discos Duros

Memory Sticks

Celulares

Dispositivos de Memoria

• Reloj con conexión USB y 128 MB de memoria.

• Características:

Color negro; Conexión estándar USB 1.1; Bus USB. Plug & Play; LED

indicador de estado; Seguridad mediante contraseña;

Transferencia de lectura 1000KB/segundo; escritura

920KB/segundo; Shock proof y anti-estático. ; Duración media de la pila de 3

años; Resistente al agua; Compatible Windows 98SE, 98ME, 2000 y XP;Mac OS 9.0

o superior y Linux 2.4 o superior. Garantía: 2 años

Pen Drive Forma Lapiz USB Directo128

Respalda informacionMetalico con caja presentacion

1. Pen Drive 128 MB

2. Froma Lapiz Elegante y estilizado 3. Clave de seguridad

4. Conexión USB Directa

5. Respalda todo tipo de informacion

INCAUTACION DE LOS DISPOSITIVOS DE

ALMACENAMIENTO MAGNETICO Y ELECTRÓNICO

Escena del crimen

Si encontramos la PC encendida

¿Qué se debe hacer?

Si el PC está encendido:

Fotografiar la pantalla

Revisar y Anotar:

Procesos en ejecución

Usuarios conectados

Puertos de comunicaciones en uso

Levantar el Acta respectiva

¿Cómo debo de apagar la PC?

Apagar el PC de la forma menos dañina para las

evidencia volátiles del HD y la memoria

La forma depende del S.O.:

MS-DOS Quitar el cable de la corriente del ladodel PC!!!!

MS Windows “Personales” Quitar cable

MS Windows “Servidores” Shut down

Mac OS v9 y anteriores Quitar cable

Linux / Unix / Mac OS X Shut down

“IF DOUBT, PULL THE PLUG!!!”(en caso de duda, tira del cable)

Procedimiento: Perennizar la escena del crimen

Tomar fotografía

Describir todo el

escenario

Lacrar los dispositivos

Se debe de utilizar bolsas o cajas que

cubran todo el dispositivo

Debe de colocarse exteriormente una

hoja con las firmas y postfirmas de los

que participan en dicha diligencia

Se debe de formular el formato de

“Cadena de Custodia”

Debe de asegurarse con cinta de embalaje

Errores de lacrado

EL PROCESO INFORMATICO FORENSE

Informática Forense:

Principios Básicos

Normas Fundamentales:

1. Preservar la evidencia original

2. Establecer y mantener la Cadena de Custodia

3. Documentar todo hecho

4. NO EXTRALIMITARSE

Conocimientos personales

Leyes, Normas , Procedimientos

Riesgos:

Corromper evidencias No admitirse en juicio

Informática Forense: Principio

de Intercambio de Locard

Edmund Locard

En el momento en que un criminal cruza una

escena del crimen, o entra en contacto con una

víctima, la víctima se queda con algo del

criminal, pero este a su vez se lleva algo a

cambio.

Informática Forense: Principio

de Intercambio de Locard

El Principio de Locard tiene plena validez en

el ámbito informático y las evidencias

electrónicas

Hay que determinar el ¿Cómo? y el ¿Dónde?

podemos encontrar evidencias

Ej, Determinar si quien escribió un “.doc”,

o si quien envió un email es realmente quien

está siendo acusado de ello

El forense informático:

requerimientos 1

1/3 Técnico:

Conocimiento técnico

Implicaciones técnicas de acciones

Comprensión de cómo la información puede ser

modificada

Perspicaz

Mente abierta y taimado

Ético

Continua formación

Conocimiento de historia: casos pasados,

vulnerabilidades, etc.

Uso de fuentes de datos redundantes

El forense informático:

requerimientos 2

2/3 Legal

Conocimiento de aspectos legales

En el Perú cómo es ??

Protocolo de gestión de evidencia

3/3 Operacional, no todos los desafíos son de

naturaleza tecnológica

Gestión de recursos

Políticas y procedimientos

Entrenamiento

Cambios organizacionales

El Proceso Forense (4 pasos)

Identificar la Evidencia Identificar la información que se encuentra

disponible

Preservar la Evidencia Con la menor cantidad de cambios

(contaminación) El forense debe poder demostrar su

responsabilidad en cualquier cambio que tenga la evidencia

¿Cómo demostrar que lo que se tiene como evidencia es exactamente igual a lo que originalmente se recolectó?

Analizar la evidencia Extraer, procesar e interpretar. La extracción puede obtener solo imágenes

binarias, que no son comprendidas por humanos. La evidencia se procesa para poder obtener

información que entiendan los investigadores. Para interpretar la evidencia se requiere

conocimiento profundo para entender como embonan las piezas.

El análisis efectuado por el forense debe de poder ser repetido

Presentar la Evidencia

Abogados, fiscales, jueces, etc.

La aceptación dependerá de factores como:

La forma de presentarla (¿se entiende?¿es conveniente?)

El perfil y credibilidad del expositor

La credibilidad de los procesos usados para preservar y

analizar la evidencia.

Aumenta cuando se pueden duplicar el proceso y los resultados

Herramientas Forenses

Enterprise

Forensic

Fastbloc©

Adquisición

Investigacion

Informes

www.encase.com

Bloqueadores de escritura

Drive Lock

DriveLock

Firewire/USB

Fastbloc©

EnCase

CASOS REALES

Conclusiones

El cibercrimen es una realidad a la

cual no podemos escapar, debemos

conocerlo y entenderlo para luego

combatirlo

No es suficiente las estrategias de

seguridad informática si estas no

consideran un escenario de

coordinación global

Gracias por asistir a esta sesión…

Para mayor información:

Raúl SILVA OLIVERA

Comandante PNP

delitosinformaticos@policiainformatica.gob.pe

daat@policiainformatica.gob.pe

o llámenos a los TELEFONOS: 4318908 / 4318909 / 4318896

4318920 / 4318895

Delitos informaticos

Documents

Delitos informaticos