Embed Size (px)
Citation preview
Resumen— Mediante el desarrollo del presente trabajo final, cada
integrante del grupo colaborativo No. 11 elaborará un documento
donde se identificarán los delitos informáticos más comunes
detectados en las organizaciones y el marco legal de protección
establecido dentro del Estado Colombiano contra estos delitos
informáticos. También se estudiarán los controles que se puedan
definir para mitigarlos.
Como estrategia para consolidad esta actividad, se realizará un blog o
sitio web desarrollado de manera individual donde se expondrá el
tema y un video donde sea el estudiante contextualice sobre los
aspectos éticos y legales de la Seguridad informática en Colombia y
su papel como experto en seguridad informática.
Palabras clave — Ataques informáticos, arquitecturas de
seguridad, delitos informáticos, estrategias y controles, Ley No.
1273 de 2009 del estado Colombiano, virus informáticos,
troyanos.
Abstract — Through the development of this final work,
each member of the collaborative group No. 11 will prepare
a document where the most common computer crimes
detected in organizations and the legal framework of
protection established within the Colombian state against
these cyber crimes will be identified. Controls that can be
defined to mitigate them will also be studied.
As a strategy to consolidate this activity, a blog or website
developed individually where the topic and a video where
contextualize student on the ethical and legal aspects of
Information Security in Colombia aspects is and its role as
an expert will be exhibited in safety will be provided
computer.
Keywords — Computer attacks, security architectures,
computer crime, strategies and controls, Act No. 1273 of
2009 of the Colombian state, computer viruses, Trojans
viruses.
I. INTRODUCCIÓN
En el presente trabajo final, se pretende la resolución de las preguntas
enunciadas en la guía de actividades donde cada integrante del grupo
debe identificar los delitos informáticos más comunes detectados en
las organizaciones y relacionarlos con los tipos penales vulnerados
según la Ley No. 1273 de 2009, con la cual se modificó el código
penal colombiano y se incluyó lo relacionado al delito informático,
con el fin de preservan integralmente los sistemas que utilicen las
tecnologías de la información y las comunicaciones, entre otras
disposiciones.
Posteriormente y teniendo en cuenta la legislación nacional e
internacional, proponer los controles necesarios para mitigarlos
basados en políticas y estrategias de acuerdo a la ley vigente en
Colombia
II. PARTE TÉCNICA DEL ARTÍCULO
A. Delitos informáticos más comunes detectados en las
organizaciones.
Delito
informático
Descripción
1 Malware
Este tipo de ataques son los más comunes, se tratan de piezas de
software que se implantan en un sistema utilizando alguna vulnerabilidad
y auto-ejecutarse con un propósito específico. Como ejemplo podemos
mencionar el caso en el que un empleado instale un “keylogger” con el
fin de capturar las contraseñas digitadas en sistema, y así acceder a
información no permitida.
De igual forma, tenemos el caso de la instalación de una aplicación
maliciosa denominada “adware”, la cual permite capturar información
para enviarla hacia fuera de la compañía para posteriormente hacer un
ataque.
2
Denegación de
servicios
(DDOS)
El ataque de denegación de servicios o DoS (de las siglas en inglés
Denial of Service) no permite tener acceso a un servicio de forma
temporal o permanente, generalmente es externo a la organización y
pretende afectar la disponibilidad del sistema informático de la empresa.
Los más conocidos son los de tipo desbordamiento de buffer,
inundaciones, spam masivo etc.
Este tipo de ataque informático pretende que un portal web colapse, para
ello, los hackers emplean diferentes técnicas que atentan contra los
servidores y redes informáticas de la organización objetivo para que ya
no puedan brindar sus servicios como lo hacen habitualmente,
dejándolos inaccesibles a sus usuarios legítimos.
Una técnica empleada para configurar este tipo de ataque es la de
inundar la red de datos objetivo con spam, provocando una sobrecarga
de los recursos computacionales del sistema de la víctima para dejarlo
fuera de servicio dado que el servidor no dará abasto a la cantidad de
solicitudes recibidas.
SS
TRABAJO FINAL
Andrés Orlando Rodríguez Santacrúz
UNAD – Especialización en Seguridad Informática
Asignatura de Aspectos Éticos y Legales de la Seguridad Informática - Código 233005
Grupo colaborativo No. 11
Colombia, Sur América
3 Fuerza bruta
Se dice del tipo de ataque informático por el cual, se pretende conocer
una contraseña a partir del ensayo de todas sus posibles combinaciones
hasta encontrarla y por ende, disponer de acceso al sistema objetivo.
Suele combinarse con un ataque de diccionario.
Este tipo de ataque informático es muy costoso en tiempo computacional
dado que emplea la metodología de ensayo y error para descubrir el
valor de una contraseña de un sistema informático para accederlo de
manera fraudulenta y obtener su control o información confidencial del
mismo, un atacante parte del conocimiento del algoritmo de cifrado
empleado y de un par texto claro/texto cifrado.
Luego, se realiza el cifrado (respectivamente, descifrado) de uno de los
miembros del par con cada una de las posibles combinaciones de clave
hasta obtener el otro miembro del par. El esfuerzo requerido para que la
búsqueda sea exitosa con probabilidad mejor que la par, será 2n - 1
operaciones, donde n es la longitud de la clave (también conocido como
el espacio de claves).
4 Inyección SQL
Este tipo de ataques se dan por vulnerabilidades en la construcción del
software, especialmente los que están expuestos a Internet
Estos ataques se presentan generalmente en los formularios de las
aplicaciones en donde la variable de entrada admite ejecuciones de
código en el sitio permitiendo el acceso del delincuente informático
quien explotará las vulnerabilidades del sistema.
5 Spoofing
Ataque basado en la sustitución de la identidad de un dispositivo
desviando su información hacia otro de carácter fraudulento en donde se
capturara dicha información para posteriormente perpetrar un ataque o
simplemente para hacer un robo de información.
6 Phishing
Es un tipo de ataque que emplea los conceptos de la Ingeniería social
para intentar acceder a información confidencial de una persona u
organización. El estafador, denominado “phiser” intenta engañar a su
víctima simulando ser una persona o empresa de confianza para obtener
la información que sea de su interés.
Es un tipo de delito que se ubica dentro de lo que se denomina estafa y
se realizan contactando a la víctima mediante correo electrónico,
mensajería instantánea o llamadas telefónicas.
Para evitar el robo de información mediante esta técnica de engaño es
vital la capacitación en cuanto a estrategias de protección a los usuarios
finales o personal que labora en una organización dado que la eficacia de
este tipo de ataque es muy alta debido a la gran habilidad y preparación
con que cuentan los delincuentes informáticos.
7 XSS (Cross site
scripting)
Consiste en engañar a un servidor web para que ejecute un
script malicioso en el navegador del cliente que visita
determinada página web.
8 Troyano
Es un software malicioso que se instala en un computador
presentándose como un programa inofensivo que al ejecutarse, permite
al atacante controlar la máquina mediante acceso remoto.
Este tipo de software malicioso crea comúnmente una puerta trasera (en
inglés backdoor) que posibilita la administración de la máquina de
manera remota sin la debida autorización por parte de su propietario.
Las acciones que el atacante puede realizar en el equipo remoto varían
según los privilegios de que disponga el usuario que fue vulnerado y
también de las características propias de manufactura del programa
troyano instalado.
En cuanto a su composición, por lo general consta de un programa de
administración que se encarga del envió de órdenes que se deben
ejecutar en la computadora infectada y un programa residente que se
encuentra instalado en la computadora objeto del ataque y que recibe las
órdenes del programa administrador, las ejecuta y devuelve resultado.
También se puede contar con un editor del programa residente que sirve
para modificarlo, protegerlo mediante contraseñas, unirlo a otros
programas para disfrazarlo, configurar en que puerto deseamos instalar
el servidor, entre otras tareas.
9 Programas espías
o spywares
Un software espía pretende obtener información sobre una organización
o persona particular sin su consentimiento. La información recopilada a
través de estas aplicaciones fraudulentas es almacenada para ser
entregada a empresas publicitarias u otras organizaciones. Es importante
comentar que esta técnica ha sido empleada por las autoridades en la
obtención de información contra sospechosos de conductas criminales.
Por ejemplo, tenemos como información privada de interés la contraseña
de nuestra dirección de correo electrónico, dirección IP y DNS de
equipos de cómputo pertenecientes a una red informática, registro de las
páginas web visitadas por un usuario dentro de un término de tiempo,
registro de las compras virtuales que un usuario ha hecho en un término
de tiempo, registro del software instalado en un equipo de cómputo,
contraseñas de cuentas bancarias entre otros.
10 Ingeniería social
Consiste en engañar a un usuario legítimo de un sistema informático para
que brinde información del funcionamiento del sistema.
Como ejemplo, podemos mencionar el caso en el cual un empleado
mediante métodos no éticos intenta conocer los mecanismos de
autenticación para un sistema informático (contraseñas, tokens, usuarios,
certificados) con el fin de poder accederlo y perpetrar un ataque.
B. Leyes que protegen frente a esos delitos en el estado
Colombiano.
Delito
informático Legislación vigente que afecta
1 Malware
Ley No. 1273 de 2009 en su artículo No. 269E – Uso de
Software Malicioso
2 Denegación de
servicios
(DDOS)
Ley No. 1273 de 2009 en su artículo No. 269B – Obstaculización
Ilegítima de Sistema Informático o Red de Telecomunicación.
3
Fuerza bruta Ley No. 1273 de 2009 en su artículo No. 269F – Violación
De Datos Personales.
4 Inyección SQL
Ley No. 1273 de 2009 en su artículo No. 269A – Acceso Abusivo a un
Sistema Informático.
5 Spoofing
Ley No. 1273 de 2009 en su artículo No. 269G – Suplantación
De Sitios Web para Capturar Datos Personales.
6 Phishing
Ley No. 1273 de 2009 en su artículo No. 269G – Suplantación
De Sitios Web para Capturar Datos Personales.
7 XSS (Cross site
scripting)
Ley No. 1273 de 2009 en su artículo No. 269E – Uso de Software
Malicioso.
8
Troyano Ley No. 1273 de 2009 en su artículo No. 269E – Uso de Software
Malicioso.
9 Programas espías
o spywares
Ley No. 1273 de 2009 en su artículo No. 269E – Uso de Software
Malicioso
10 Ingeniería social
Ley No. 1273 de 2009 en su artículo No. 269F – Violación
De Datos Personales.
C. Controles que permiten mitigar la ocurrencia de delitos
informáticos en una organización.
Es recomendable, seguir una serie de consejos, prácticas y
costumbres para maximizar la seguridad informática en las empresas
o usuarios domésticos, algunos de ellos son los siguientes:
Mantener actualizado el Sistema Operativo y las aplicaciones
de nuestro computador, teléfono inteligente o tableta.
Hacer copias de seguridad con frecuencia.
Instalar software legal dado que así se obtiene garantía y
soporte técnico autorizado y de calidad.
Utilizar herramientas de seguridad para proteger o reparar el
equipo.
Analizar con un antivirus todo lo que se descargue.
No facilitar la cuenta de correo a desconocidos o publicarla en
sitios desconocidos.
No responder a mensajes falsos.
Observar que la dirección comienza por “https” cuando se realicen
compras a través de sitios comerciales en Internet.
Tener en cuenta que las entidades bancarias jamás piden a
los usuarios información confidencial vía correo electrónico o
telefónico.
Implementar un programa que fortalezca la autenticación de los
usuarios de nuestro sistema informático, verificando plenamente
su identidad al ingresar a un sistema informático con el fin de
garantizar su confidencialidad, privacidad y protección. Para ello,
se debe concientizar a nuestros usuarios que en el caso del uso de
una contraseña, esta debe contener un conjunto amplio y variado
de caracteres, además debe ser confidencial y en lo posible estar
memorizadas por el usuario sin estar plasmada en medios físicos
que puedan ser accedidos por un atacante comprometiendo la
seguridad de nuestro sistema. También es importante evitar el uso
de nombres, fechas, datos conocidos o deducibles.
• No descargar o ejecutar ficheros desde sitios sospechosos o
procedentes de correos sospechosos o no solicitados.
• Tener una política de seguridad actualizada y socializada: Esto
genera un ambiente de seguridad y de prevención contra los ataques
informáticos, para ello, la gerencia y las áreas de seguridad deben
generar políticas que se adecue a las necesidades de la compañía e
implementar y publicar las capacitaciones en seguridad informática
dentro de la compañía. Los atacantes internos estarán más
prevenidos porque saben que la organización trabaja en pro de
cuidar su información y de prevenir ataques.
• Tener una estándar de contratación de personal: Es importante
que la compañía tenga un manual de contratación de personal en
donde se validen todos los datos de la hoja de vida, consultar las
referencias personales, los últimos trabajos y de igual forma hacer
consultas ante centrales de riesgo y entes de control. Toda la
contracción deberá estar documentada, al nuevo trabajador se le
debe asignar una matriz de permisos y accesos, asignándole roles y
funciones perfectamente definidas.
Así como es importante el ingreso, de igual forma debe ser el retiro
del personal, los permisos y accesos debe ser retirado de forma
oportuna y tomando las medidas para que la operación no sea
vulnerable con el retiro de permisos informáticos.
• Tener una política para el manejo de código malicioso: Se debe
mantener el sistema de antivirus, IDS, IPS, antispyware,
antimalware y sistema de detecciones código maliciosos en toda la
organización con una consola centralizada, de esta forma si se
genera una detección interna es fácilmente identificable y tratable.
• Realizar talleres frecuentes de concientización de seguridad
informática en la empresa que le den a los empleados insumos para
prevenir ataques por este medio. Ataques importantes se realizan a
través de llamadas informando de premios o productos para solicitar
información para posteriormente procurar obtener la mayor cantidad
de información confidencial.
• Buscar en la basura: Una persona podría utilizar como estrategia
buscar en la basura de la empresa cualquier tipo de información que
le sirva para poder utilizarla para tener un acceso no autorizado a
nuestra empresa y posteriormente a nuestro sistema. La información
que desechamos en forma de papel de reciclaje o simplemente
basura es uno de los más grandes problemas de seguridad en las
empresas, por esto es necesario implementar un protocolo para
asegurar que la información que se desecha no es comprometedora.
• Soy el domicilio: Es una práctica en la cual alguien busca
infiltrase en la empresa haciéndose pasar por un empleado de
cualquier empresa de servicios o por un domicilio con el único fin
de obtener información. Es necesario implementar un protocolo
estricto de entradas y salidas donde se revisen todas las credenciales
de las personas que ingresan a las instalaciones de la empresa y
siempre verificar la autenticidad de la orden de servicio que porte
para permitirle la entrada a la compañía.
Específicamente con respecto a los ataques de denegación de
servicio (DoS), algunos elementos importantes para tener en cuenta
a la hora de prevenirlos son:
• La eliminación de las vulnerabilidades conocidas en los
comportamientos del protocolo y la configuración del host.
• Filtrar el tráfico.
• Blindar el servidor con un firewall del tipo stateful, disponer de un
sistema operativo actualizado y habilitar la protección SYN Cookie.
• Monitorear las conexiones entrantes hacía el servidor, así como
nuevas reglas en el firewall. Esto permite la identificación de
patrones de ataques e impide nuevos ataques DoS.
• Detectar puertos abiertos por defecto, por los cuales un atacante
puede ingresar a determinados archivos del servidor. Como
estrategia de solución, es necesario cerrar dichos puertos.
Con respecto a un ataque de fuerza bruta, es vital sensibilizar a la
comunidad de usuarios acerca de las amenazas existentes que
afectan a los recursos computacionales de una empresa o entidad
para que acojan un conjunto de reglas que posibiliten evitar su
evolución y desarrollo, convirtiéndose en guardianes activos del
sistema informático que usan cotidianamente.
La complejidad impuesta por la cantidad de caracteres en una
contraseña es logarítmica. Por ejemplo, una contraseña que sólo
utilicen dígitos numéricos o que esté compuesta por menos
caracteres será más fácil de descifrar. La dificultad aumenta si la
contraseña se compone de varios tipos de caracteres como letras y
números o si es más extensa. Se recomienda que una contraseña
debe contener un conjunto amplio y variado de caracteres, además
debe ser confidencial y en lo posible estar memorizadas por el
usuario sin estar plasmadas en medios físicos que puedan ser
accedidos por un atacante comprometiendo la seguridad de nuestro
sistema. Es un punto que presenta un alto riesgo para la integridad
de los recursos informáticos de una empresa o entidad por cuanto el
ser humano, por su naturaleza es impredecible y difícil de auditar en
sus comportamientos.
Ahora, podemos comentar que entre las medidas de previsión contra
el “Phishing” que una organización puede implementar, tenemos el
establecimiento de un programa de entrenamiento para sus
funcionarios con el fin de que estén capacitados para detectar los
posibles ataques mediante “Phishing”. Por ejemplo, al recibir un
correo electrónico sospechoso, podemos contactar a la supuesta
compañía que lo envía mediante una línea de atención segura, donde
podemos confirmar la veracidad del mensaje recibido. En caso de
intentar contactar al emisor del mensaje mediante correo electrónico,
podemos escribir la dirección web de la empresa y no usar los
hipervínculos contenidos en el mensaje de correo electrónico
recibido.
Otra estrategia es el uso de software anti-phising, que pueden estar
integrados con los navegadores web y clientes de correo electrónico
como una barra de herramientas que muestra el dominio real del
sitio visitado. Otra aplicación de utilidad es el filtro de spam
aplicado a nuestro cliente de correo electrónico, reduciendo el
número de mensajes fraudulentos recibidos en nuestra bandeja de
entrada de nuestra cuenta de correo electrónico.
Por último, es importante que dentro de las medidas de prevención
ante los ataques informáticos, se tengan en cuenta los siguientes
aspectos técnicos dentro de la infraestructura tecnológica de nuestra
organización:
• Disponer de una política de seguridad adecuada al modelo de
negoción de la organización.
• Instalar y configurar adecuadamente un sistema de firewall.
• Se debe tener instalado un sistema de IDS.
• Se debe tener instalado un sistema de protección de malware
(Antivirus).
• Se debe tener separado la red interna de la red externa.
• Se debe tener los sitios web protegidos con certificado digitales.
• Se debe tener un sistema antispam.
• Se debe tener un sistema de filtrado de contenido.
• Se debe tener un sistema de autenticación centralizado AD.
• Se deben tener activas las herramientas de auditorías informáticas.
• Se debe tener segmentada la red.
• Se debe hacer un escaneo de la red que tiene la empresa e
identificar su acceso a Internet.
• Se debe identificar el proveedor de servicio (ISP).
• Se debe identificar los equipos de capa 4 en la red de la empresa.
• Se debe consultar los sistemas operativos de los dispositivos capa 4
que tienen los equipos de seguridad.
• Se debe utilizar exploits para acceder a la configuración de los
dispositivos.
• Se debe hacer un escaneo interno de la red para determinar su
configuración.
D. Blog o sitio web desarrollado de manera individual
donde se expondrá el tema y un video donde sea el
estudiante contextualice sobre los aspectos éticos y legales de
la Seguridad informática en Colombia y su papel como
experto en seguridad informática.
Como estrategia de consolidación de este trabajo final, se han
elaborado los siguientes recursos en la web para los cuales se
adjuntan sus URL:
Blog: http://miproyecto-final.blogspot.com/
Video: https://youtu.be/xldvck-ETTY
III. CONCLUSIONES
La seguridad informática para todas las compañías es de vital
importancia, los ciber delincuentes puede estar intentado acceder a
los sistemas interna y externamente. Aunque se piense que los
sistemas corporativos están totalmente asegurados se siguen
presentando ataques de alto impacto cotidianamente.
Para una organización, es de vital importancia disponer de un modelo
de gestión práctico que le permita salvaguardar sus recursos de T.I.,
de manera que se logre institucionalizar las buenas prácticas en esta
área para garantizar que la T.I. de la organización sirva como base a
los objetivos del negocio y sea posible aprovechar al máximo su
información, maximizando así los beneficios, capitalizando las
oportunidades y ganando ventajas competitivas.
El conocimiento de los ataques informáticos actuales nos da una
referencia para saber qué punto atacar y que plan de acción
implementar, obteniendo una ventaja estratégica para consolidar una
estrategia real en el manejo de seguridad de la información de nuestra
organización.
Por último, tener compañías asociadas que presten servicios de
seguridad es muy importante, porque definitivamente el espectro de
seguridad es muy amplio y no se puede hacer todas internamente, las
pruebas de hacking ético, las auditorias, las consultorías etc. Deben
ser prestados por personas expertas y con certificaciones que
acrediten su conocimiento.
IV. AGRADECIMIENTOS
En esta sección, manifestamos nuestro agradecimiento a la Msc.
YINA ALEXANDRA GONZALEZ SANABRIA, Ingeniera de
Sistemas y tutora de la asignatura Aspectos Éticos y Legales de la
Seguridad Informática, perteneciente al plan de estudios de la
especialización en Seguridad Informática de la Universidad Nacional
Abierta y a Distancia UNAD por su colaboración y guía durante el
desarrollo de los diferentes momentos de formación académica de
esta importante asignatura.
V. REFERENCIAS
[1] Díaz Sáez Vicente (2012). Introducción a la seguridad en bases de
datos. Universidad Oberta de Cataluña.
[2] Documento electrónico: Ataque de denegación de servicio (2014).
Disponible en:
http://es.wikipedia.org/wiki/Ataque_de_denegaci%C3%B3n_de_servici
o.
[3] GONZÁLEZ SANABRIA, Yina Alexandra; SOLARTE SOLARTE,
Francisco Nicolás Javier. Módulo de la asignatura Aspectos Éticos y
Legales de Seguridad Informática. UNAD - Especialización en
Seguridad Informática. 2013. 171 p.
[4] Guía Integradora de la asignatura de Aspectos Éticos y Legales de la
Seguridad Informática. UNAD - Especialización en Seguridad
Informática. 2015. 10 p.
[5] Métodos Intrusivos en empresas, Universidad Complutense de Madrid.
(2007) Disponible en:
https://www.youtube.com/watch?v=iwwzJQjyRSg.
[6] Seguridad en sistemas operativos Windows y GNU Linux. Capítulo 1 –
Introducción a la seguridad informática. (2009). Editorial Rama.
Páginas 15 a 21.
[7] Solís Salazar, Carlos (2012). ¿Qué debo hacer para aprender Seguridad
Informática? Venezuela. Recuperado de
http://www.youtube.com/watch?v=jwYzBUp-ZzQ.
[8] Syllabus de la asignatura de Aspectos Éticos y Legales de la Seguridad
Informática. UNAD - Especialización en Seguridad Informática. 2015.
14 p
[9] Tarazona, Cesar (2012). Amenazas informáticas y seguridad de la
información. Etek Internacional.
[10] Zavala, Sylvia (2012). Guía a la redacción en el estilo APA, 6ta edición.
Puerto Rico: Universidad Metropolitana
[11] Zorrilla Pantaleón, Marta Elena (2012). Seguridad en Sistemas de
Información. España: Universidad de Cantabria, Departamento de
matemáticas, estadística y computación.
VI. BIOGRAFÍA
Andrés Orlando Rodríguez Santacruz. Ingeniero de Sistemas graduado de
la Universidad Nacional Abierta y a Distancia UNAD, estudiante de segundo
semestre del programa de Especialización en Seguridad Informática de la
Universidad Nacional Abierta y a Distancia UNAD.
