desde el punto de vista de la eficiencia, es conveniente que los usuarios sean identificados y autenticados solamente una vez, pudiendo acceder a partir de allí, a todas las aplicaciones y datos a los que su perfil permita, tanto en sistemas locales como en sistemas a los que deba acceder en forma remota. Esto se denomina "single log-in" o sincronización de passwords.
Una de las posibles técnicas para implementar esta única identificación de usuarios seria la utilización de un servidor de autenticaciones sobre el cual los usuarios se identifican, y que se encarga luego de autenticar al usuario sobre los restantes equipos a los que éste pueda acceder. Este servidor de autenticaciones no debe ser necesariamente un equipo independiente y puede tener sus funciones distribuidas tanto geográfica como lógicamente, de acuerdo con los requerimientos de carga de tareas.
La seguridad informática se basa, en gran medida, en la efectiva administración de los permisos de acceso a los recursos informáticos, basados en la identificación, autenticación y autorización de accesos. Esta administración abarca:
1. Proceso de solicitud, establecimiento, manejo, seguimiento y cierre de las cuentas de usuarios. Es necesario considerar que la solicitud de habilitación de un permiso de acceso para un usuario determinado, debe provenir de su superior y, de acuerdo con sus requerimientos específicos de acceso debe generarse el perfil en el sistema de seguridad, en el sistema operativo o en la aplicación según corresponda.
2. Además, la identificación de los usuarios debe defirse de acuerdo con una norma homogénea para toda la organización.
3. Revisiones periódicas sobre la administración de las cuentas y los permisos de acceso establecidos. Las mismas deben encararse desde el punto de vista del sistema operativo, y aplicación por aplicación, pudiendo ser llevadas a cabo por personal de auditoria o por la gerencia propietaria del sistema; siempre sobre la base de que cada usuario disponga del mínimo permiso que requiera de acuerdo con sus funciones.
4. Las revisiones deben orientarse a verificar la adecuación de los permisos de acceso de cada individuo de acuerdo con sus necesidades operativas, la actividad de las cuentas de usuarios o la autorización de cada habilitación de acceso. Para esto, deben analizarse las cuentas en busca de períodos de inactividad o cualquier otro aspecto anormal que permita una redefinición de la necesidad de acceso.
5. Detección de actividades no autorizadas. Además de realizar auditorias o efectuar el seguimiento de los registros de transacciones (pistas), existen otras medidas que ayudan a detectar la ocurrencia de actividades no autorizadas. Algunas de ellas se basan en evitar la dependencia hacia personas determinadas, estableciendo la obligatoriedad de tomar vacaciones o efectuando rotaciones periódicas a las funciones asignadas a cada una.
6. Nuevas consideraciones relacionadas con cambios en la asignación de funciones del empleado. Para implementar la rotación de funciones, o en caso de reasignar funciones por ausencias temporales de algunos empleados, es necesario considerar la importancia de mantener actualizados los permisos de acceso.
7. Procedimientos a tener en cuenta en caso de desvinculaciones de personal con la organización, llevadas a cabo en forma amistosa o no. Los despidos del personal de sistemas presentan altos riesgos ya que en general se trata de empleados con capacidad para modificar aplicaciones o la configuración del sistema, dejando "bombas lógicas" o destruyendo sistemas o recursos informáticos. No obstante el personal de otras áreas usuarias de los sistemas también puede causar daños, por ejemplo, introduciendo información errónea a las aplicaciones intencionalmente.Para evitar estas situaciones, es recomendable anular los permisos de acceso a las personas que se desvincularán de la organización, lo antes posible. En caso de despido, el permiso de acceso debería anularse previamente a la notificación de la persona sobre la situación.
2.1.2 ROLES
El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso. Algunos ejemplos de roles serían los siguientes:
programador, líder de proyecto, gerente de un área usuaria, administrador del sistema etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
2.1.3 TRANSACCIONES
También pueden implementarse controles a través de las transacciones, por ejemplo
solicitando una clave al requerir el procesamiento de una transacción determinada.
2.1.4 LIMITACIONES A LOS SERVICIOS
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario,
2.1.5 MODALIDAD DE ACCESO
Se refiere al modo de acceso que se permite al usuario sobre los recursos ya la información, Esta modalidad puede ser:
Lectura: el usuario puede únicamente leer o visualizar la información pero no puede alterarla, Debe considerarse que la información puede ser copiada o impresa.
Escritura: este tipo de acceso permite agregar datos, modificar o borrar información.
Ejecución: este acceso otorga al usuario el privilegio de ejecutar programas.
Borrado: permite al usuario eliminar recursos del sistema (como programa, campos de datos o archivos). El borrado es considerado una forma de modificación.
Todas las anteriores.
Además existen otras modalidades de acceso especiales, que generalmente se incluyen
en los sistemas de aplicación:
Creación: permite al usuario crear nuevos archivos, registros o campos.
Búsqueda: permite listar los archivos de un directorio determinado.
2.1.5.1 UBICACIÓN y HORARIO
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la
semana, De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.
2.1.6 CONTROL DE ACCESO INTERNO
2.1.6.1 PALABRAS CLAVES (PASSWORDS)
Generalmente se utilizan para realizar la autenticación del usuario y sirven para proteger los datos y aplicaciones. Los controles implementados a través de la utilización de palabras clave resultan de muy bajo costo. Sin embargo cuando el Usuario se ve en la necesidad de utilizar varias palabras clave para acceder a diversos sistemas encuentra dificultoso recordarlas y probablemente las escriba o elija palabras fácilmente deducibles, con lo que se ve disminuida la utilidad de esta técnica.
Se podrá, por años, seguir creando sistemas altamente seguros, pero en última instancia
Cada uno de ellos se romperá por este eslabón: la elección de passwords débiles.
Sincronizatión de passwords: consiste en permitir que un usuario acceda con la misma password a diferentes sistemas interrelacionados y, su actualización automática en todos ellos en caso de ser modificada. Podría pensarse que esta es una característica negativa para la seguridad de un sistema, ya que una vez descubierta la clave de un usuario, se podría tener acceso a los múltiples sistemas a los que tiene acceso dicho usuario. Sin embargo, estudios hechos muestran que las personas normalmente suelen manejar una sola password para todos los sitios a los que tengan acceso, y que si se los fuerza a elegir diferentes passwords tienden a guardarlas escritas para no olvidarlas, lo cual significa un riesgo aún mayor. Para implementar la sincronización de passwords entre sistemas es necesario que todos ellos tengan un alto nivel de seguridad.
Caducidad y control: este mecanismo controla cuando pueden y/o deben cambiar sus passwords los usuarios. Se define el período máximo que debe pasar para que los usuarios puedan cambiar sus passwords, y un período máximo que puede transcurrir para que éstas caduquen.
2.1.6.2 ENCRIPTACIÓN
La información encriptada solamente puede ser desencriptada por quienes posean la clave apropiada. La encriptación puede proveer de una potente medida de control de acceso.
Este tema será abordado con profundidad en el Capítulo sobre Protección del presente.
2.1.6.3 LISTAS DE CONTROL DE ACCESOS
Se refiere a un registro donde se encuentran los nombres de los usuarios que obtuvieron el permiso de acceso a un determinado recurso del sistema, así como la modalidad de acceso permitido. Este tipo de listas varían considerablemente en su capacidad y flexibilidad.
2.1.6.4 LIMITES SOBRE LA INTERFASE DE USUARIO
Esto límites, generalmente, son utilizados en conjunto con las listas de control de accesos y restringen a los usuarios a funciones específicas. Básicamente pueden ser de tres tipos: menús, vistas sobre la base de datos y límites físicos sobre la interfase de usuario. Por ejemplo los cajeros automáticos donde el usuario sólo puede ejecutar ciertas funciones presionando teclas específicas.
2.1.6.5 ETIQUETAS DE SEGURIDAD
Consiste en designaciones otorgadas a los recursos (como por ejemplo un archivo) que pueden utilizarse para varios propósitos Como control de accesos, especificación de medidas de protección, etc. Estas etiquetas no Son modificables.
2.1.7 CONTROL DE ACCESO EXTERNO
2.1.7.1 DISPOSITIVOS DE CONTROL DE PUERTOS
Estos dispositivos autorizan el acceso a un puerto determinado y pueden estar físicamente separados o incluidos en otro dispositivo de comunicaciones, Como por ejemplo un módem.
2.1.7.2 FIREWALLS O PUERTAS DE SEGURIDAD
Permiten bloquear o filtrar el acceso entre dos redes. usualmente una privada y otra externa (por ejemplo Internet). Los firewalls permiten que loS usuarios internos se conecten a la red exterior al mismo tiempo que previenen la intromisión de atacantes o virus a los sistemas de la organización. Este tema será abordado Con posterioridad.
2.1.7.3 ACCESO DE PERSONAL CONTRATADO O CONSULTORES
Debido q que este tipo de personal en general presta servicios temporarios, debe ponerse especial consideración en la política y administración de sus perfiles de acceso.
2.1.7.4 ACCESOS PÚBLICOS
Para los sistemas de información consultados por el público en general, o los utilizados para distribuir o recibir infotn1ación computarizada (mediante. por ejemplo, la distribución y recepción de formularios en soporte magnético, o la consulta y recepción de información a través del correo elec1r6nico) deben tenerse en cuenta medidas especiales de seguridad, ya que se incrementa el riesgo y se dificulta su administración.
Debe considerarse para estos casos de sistemas públicos, que un ataque externo o interno puede acarrear un impacto negativo en la imagen de la organización.
2.1.8 ADMINISTRACIÓN
Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es necesario realizar una eficiente administración de estas medidas de seguridad lógica, lo que involucra la implementación. seguimientos. pruebas y modificaciones sobre los accesos de los usuarios de los sistemas,
La política de seguridad que se desarrolle respecto a la seguridad lógica debe guiar a las decisiones referidas a la determinación de los controles de accesos y especificando las consideraciones necesarias para el establecimiento de perfiles de usuarios.
La definición de los permisos de acceso requiere determinar cual será el nivel de seguridad necesario sobre los datos. por lo que es imprescindible clasificar la información, determinado el riesgo que produciría una eventual exposición de la misma a usuarios no autorizados.
Así los diversos niveles de la información requerirán diferentes medidas y niveles de seguridad.
Para empezar la implementación es conveniente comenzar definiendo las medidas de seguridad sobre la información más sensible o las aplicaciones más críticas. y avanzar de
acuerdo a un orden de prioridad descendiente, establecido alrededor de las aplicaciones.
Una vez clasificados los datos, deberán establecerse las medidas de seguridad para cada uno de los niveles.
Un programa específico para la administración de los usuarios informáticos desarrollado sobre la base de las consideraciones expuestas, puede constituir un compromiso vacío, si no existe una conciencia de la seguridad organizacional por parte de todos los empleados. Esta conciencia de la seguridad puede alcanzarse mediante el ejemplo del personal directivo en el cumplimiento de las políticas y el establecimiento de compromisos firmados por el personal, donde se especifique la responsabilidad de cada uno.
Pero además de este compromiso debe existir una concientización por parte de la administración hacia el personal en donde se remarque la importancia de la información y las consecuencias posibles de su pérdida o apropiación de la misma por agentes extraños a la organización.
2.1.8.1 ADMINISTRACIÓN DEL PERSONAL y USUARIOS
2.1.8.1.1 Organización del Personal
Este proceso lleva generalmente cuatro pasos:
Definición de puestos: debe contemplarse la máxima separación de funciones posibles y el otorgamiento del mínimo permiso de acceso requerido por cada puesto para la ejecución de las tareas asignadas
Determinación de la sensibilidad del puesto: para esto es necesario determinar si la funcí6n requiere permisos riesgosos que le permitan alterar procesos, perpetrar fraudes o visualizar información confidencial.
Elección de la persona para cada puesto: requiere considerar los requerimientos de experiencia y conocimientos técnicos necesarios para cada puesto. Asimismo, para los puestos defidos como críticos puede requerirse una verificación de los antecedentes personales.
Entrenamiento inicial y continuo del empleado: cuando la persona seleccionada ingresa a la organización, además de sus responsabilidades individuales para la ejecución de las tares que se asignen, deben comunicárseles las políticas organizacionales, haciendo hincapié en la política de seguridad. El individuo debe conocerlas disposiciones organizacionales, su responsabilidad en cuanto a la seguridad informática y lo que se espera de él.
Esta capacitación debe orientarse a incrementar la conciencia de la necesidad de proteger los recursos informáticos ya entrenar a los usuarios en la utilización de los sistemas y equipos para que ello pueda llevar a cabo sus funciones en forma segura, minimizando la ocurrencia de errores (principal riesgo relativo a la tecnología informática).
Sólo cuando los usuarios están capacitados y tienen una conciencia formada respecto de la seguridad pueden asumir su responsabilidad individual. Para esto, el ejemplo de la gerencia constituye la base fundamental para que el entrenamiento sea efectivo; el personal debe sentir que la seguridad es un elemento prioritario dentro de la organización.
2.2 NIVELES DE SEGURIDAD INFORMÁTICA
El estándar de niveles de seguridad mas utilizado internacionalmente es el TCSEC 0range Book[4]desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos.
Los niveles describen los diferentes tipos de seguridad del sistema operativo y se enumeran desde el mínimo grado de seguridad al máximo.
Estos niveles han sido la base de desarrollo de estándares europeos (lTSEC/ITSEM) y luego internacionales (lSO/IEC).
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente; así el subnivel B2 abarca los subniveles B1, C2, Cl y el D.
2.2.1 NIVEL D
Este nivel contiene sólo una división y está reservada para sistemas que han sido evaluados y no cumplen con ninguna especificación de seguridad. Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el acceso a la información. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh.
2.2.2 NIVEL C1: PROTECCIÓN DISCRECIONAL
Se requiere identificación de usuarios que permite el acceso a distinta, información.
Cada usuario puede manejar su información privada y se hace la distinción entre los usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser realizadas por este "súper usuario"; quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro que en una organización encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario.
A continuación se enumeran los requerimiento mínimos que debe cumplir la clase C1:
Acceso de control discrecional: distinción entre usuarios y recursos. Se podrán definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios. disco) sobre los cuales podrán actuar usuarios o grupos de ellos.
Identificación y autentificación: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podrá ser accedido por un usuario sin autorización o identificación.
2.2.3 NIVEL C2: PROTECCIÓN DE ACCESO CONTROLADO
Este subnivel fue diseñado para solucionarlas debilidades del Cl. Cuenta con características adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos permitir o denegar datos a usuarios en concreto. con base no sólo en los permisos, sino también en los niveles de autorización.
Requiere que se audite el sistema. Esta auditoría es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditoría requiere de autenticación adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos.
Los usuarios de un sistema C2 tienen la autorización para realizar algunas tareas de administración del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administración del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema.
2.2.4 NIVEL B1: SEGURIDAD ETIQUETADA
Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel. como la secreta y ultra secreta. Se establece que el dueño del archivo no puede modificar los permisos de un objeto que está bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc. ) se le asigna una etiqueta, con un nivel de seguridad jerárquico (alto secreto. secreto, reservado, etc.) y con unas categorías (contabilidad, nóminas, ventas, etc.).
Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. También se establecen controles para limitar la propagación de derecho de accesos a los distintos objetos.
2.2.5 NIVEL B2: PROTECCIÓN ESTRUCTURADA
Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Protección Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicación con otro objeto a un nivel inferior. Así, un disco rígido será etiquetado por almacenar archivos Que son accedidos por distintos usuarios.
El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los demás usuarios.
2.2.6 NIVEL B3: DOMINIOS DE SEGURIDAD
Refuerza a los dominios con la instalación de hardware: por ejemplo el hardware de administración de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificación de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega según las políticas de acceso que se hayan definido.
Todas las estructuras de seguridad deben ser lo suficientemente pequeñas como para permitir análisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del
Usuario se conecte al sistema por medio de la conexión segura.
Además, cada usuario tiene asignado los lugares y objetos a los que puede acceder.
2.2.7 NIVEL A: PROTECCIÓN VERIFICADA
Es el nivel más elevado, incluye un proceso de diseño, control y verificación mediante métodos formales (matemáticos) para asegurar todos los procesos que realiza un usuario sobre el sistema.
Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseño requiere ser verificado de forma matemática y también se deben realizar análisis de canales encubiertos y de distribución confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
CAPITULO 3
Delitos Informáticos
Ya hemos dejado en claro la importancia de la información en el mundo altamente tecnificado de hoy. También se ha dejado en claro cada uno de los riesgos "naturales" con los que se enfrenta nuestro conocimiento y la forma de enfrentarlos.
El desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La cuantía de los perjuicios así ocasionados esa menudo muy superior a la usual en la delincuencia tradicional y también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.
Es propósito de los capítulos siguientes disertar sobre los riesgos "no naturales"'; es decir los Que se encuadran en el marco del delito. Para ello deberemos dejar en claro, nuevamente, algunos aspectos.
3.1 LA INFORMACIÓN y EL DELITO
El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional. tales como robos, hurtos, fraudes, falsificaciones. perjuicios, estafas. sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas han creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.
Se considera que no existe una definición formal y universal de delito informático pero se han formulado conceptos respondiendo a realidades nacionales concretas: "no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial. ya que para hablar de "delitos.. en el sentido de acciones típicas, es decir tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión "delitos informáticos', esté consignada en los códigos penales lo cual en nuestro país, al igual que en otros muchos no han sido objeto tipificación aun."
En 1983, la Organización de Cooperación y desarrollo económico (OCDE) inició un estudio de las posibilidades de aplicar y armonizar en el plano internacional las leyes penales a fin de luchar contra el problema del uso indebido de los programas computacionales.
En 1992 la Asociación Internacional de Derecho Penal. durante el coloquio celebrado en Wurzburgo (Alemania), adoptó diversas recomendaciones respecto a los delitos informáticos, entre ellas que, en la medida que el Derecho Penal no sea suficiente. Deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos, si no basta con la adopción de otras medidas como por ejemplo el "principio de subsidiariedad".
Se entiende delito como: "acción penada por las leyes por realizarse en perjuicio de algo o alguien. o por ser contraria a lo establecido por aquéllas".
Finalmente la OCDE publicó un estudio sobre delitos informáticos y el análisis de la normativa jurídica en donde se reseñan las normas legislativas vigentes y se define Delito
informático como "cualquier comportamiento antijurídico. no ético o no autorizado,
relacionado con el procesado automático de datos vio transmisiones de datos… "Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas informáticos. pero tienen como objeto del injusto la información en sí misma',.
Adicionalmente la OCDE elaboró un conjunto de normas para la seguridad de los sistemas de información, con la intención de ofrecer las bases para que los distintos países pudieran erigir un marco de seguridad para los sistemas informáticos.
1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella de los hechos. resultando. muchas veces, imposible de deducir como es o como se realizo el delito. La informática reúne características que la convierten en un medio idóneo para la comisión de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.
2. La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los distintos medios de protección ya existentes. pero creando una nueva regulación basada en los aspectos del objeto a proteger: la información.
En este punto debe hacerse un punto y notar lu siguiente;
No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva herramienta. quizás la más poderosa basta el momento, para delinquir.
No es la computadora la que afecta nuestra Vida privada, sino el aprovechamiento que hacen ciertos individuos de los datos que ellas contienen.
La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos con aspiraciones de obtener el poder que significa el conocimiento.
Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas.
La protección de los sistemas informáticos puede abordarse desde distintos perspectivas: civil, comercial o administrativa.
Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario, lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.
Julio Téllez Valdez clasifica a los delitos informáticos en base a dos criterios.
1. Como instrumento o medio: se tienen a las conductas criminales que se valen de las computadoras como método. medio o símbolo en la comisión del ilícito.
Ejemplos:
Falsificación de documentos vía computarizada: tarjetas de créditos. Cheques .etc.
Variación de la situación contable.
Planeamiento y simulación de delitos convencionales como robo. homicidio y
Fraude
Alteración el funcionamiento normal de un sistema mediante la introducción de código extraño al mismo: virus, bombas lógicas. etc.
Intervención de líneas de comunicación de datos o teleprocesos
2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de la computadora, accesorios o programas como entidad física.Ejemplos:
Instrucciones que producen un bloqueo parcial o total del sistema.
Destrucción de programa por cualquier método.
Atentado físico contra la computadora, sus accesorios o sus medios de comunicación.
Secuestro de soportes magnéticos con información valiosa, para ser utilizada
con fines delictivos.
Este mismo autor sostiene que las acciones delictivas informáticas presentan las siguiente características:
1. Sólo una determinada cantidad de personas ( con conocimientos técnicos por encima de lo normal) pueden llegar a cometerlos.
2. Son conductas criminales del tipo "cuello blanco": no de acuerdo al interés protegido (como en los delitos convencionales ) sino de acuerdo al sujeto que los comete. Generalmente este sujeto tiene cierto status socioeconómico y la comisión del delito no puede explicarse por pobreza. carencia de recursos, baja educación, poca inteligencia, ni por inestabilidad emocional.
3. Son acciones ocupacionales, ya que generalmente se realizan cuando el sujeto atacado se encuentra trabajando.
4. Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el atacante.
5. Provocan pérdidas económicas.
6. Ofrecen posibilidades de tiempo y espacio.
7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de regulación y por miedo al descrédito de la organización atacada.
8. Presentan grandes dificultades para su comprobación, por su carácter técnico.
9. Tienden a proliferar, por 10 Re requiere su urgente regulación legal.
María Luz Lima, por su parte, presenta la siguiente clasificación de "delitos electrónicos"[5]
1. Como Método: Conductas criminales en donde los individuos utilizan métodos electrónicos para llegar a un resultado ilícito.
2. Como Medio: conductas criminales en donde para realizar un delito utilizan una computadora como medio o símbolo.
3. Como fin: Conductas criminales dirigidas contra la entidad física del objeto o máquina electrónica o su material con objeto de dañarla.
3.2 TIPOS DE DELITOS INFORMÁTICOS
La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos
informáticos :
1. Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir.
La manipulación de programas: consiste en modificar los programas existentes en el sistema o en insertar nuevos programas o rutinas. Es muy difícil de descubrir ya menudo pasa inadvertida debido a que el delincuente tiene conocimientos técnicos concretos de informática y programación.
Manipulación de datos de salida: se efectúa fijando un objetivo al funcionamiento del sistema informático, El ejemplo más común es el fraude del que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos.
Fraude efectuado por manipulación informática: Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina "técnica de salchichón" en la que rodajas muy finas" apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Se basa en ei principio de que 10,66 es igual a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.
2. Manipulación de los datos de entrada
Como el objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como Instrumento: las computadoras pueden utilizarse tambIén para efectuar falsificaciones de documentos de uso comercial.
3. Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento del sistema.
Acceso no a autorizado a servicios y sistemas informáticos: estos acceso se pueden realizar por diversos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informático.
Reproducción no autorizada de programas informáticos de protección legal; esta puede entraftar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisilicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales, El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto. se considera, que la reproducción no autorizada de programas informáticos no es un delito informático debido a que el bien jurídico a tutelar es la propiedad intelectual.
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Inbternacional de Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser objeto la información. Ellas son:
"Fraude en el campo de la informática.
Falsificación en materia informática.
Sabotaje informático y daños a datos computarizados o programas informáticos.
Acceso no autorizado.
Intercepción sin autorización.
Reproducción no autorizada de un programa informático protegido.
Espionaje informático.
Uso no autorizado de una computadora.
Tráfico de claves informáticas obtenidas por medio ilícito.
Distribución de virus o programas delictivos."[6]
3.3 DELINCUENTE y VICTIMA
3.3.1 SUJETO ACTIVO
Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que
cometen los delitos informáticos, estudiosos en la materia los han catalogado como delitos de "cuello blanco" término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943.
La "Cifra Negra" es muy alta; no es fácil descubrirlos ni sancionarlos, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad. A los sujetos que cometen este tipo de delitos no se considera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por el contrario, es considerado y se considera a sí mismo "respetable". Estos tipos de delitos, generalmente, son objeto de medidas o sanciones de carácter administrativo y no privativos de la libertad.
3.3.2 SUJETO PASIVO
Este. la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las vfctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente conectados a otros.
El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informáticos, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos.
Es imposible conocer la verdadera magnitud de los delitos informáticos, ya que la mayor parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las víctimas de estos delitos; la falta de preparación por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurídico adecuado; el temor por parte de las empresas de denunciar este tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes pérdidas económicas, trae como consecuencia que las estadísticas sobre este tipo de conductas se mantenga bajo la llamada "cifra negra".
Por lo anterior, se reconoce que para Conseguir una prevención efectiva de la criminalidad informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de las fuentes de peligro. Una protección eficaz contra la criminalidad informática presupone ante todo que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus formas de encubrimiento.
En el mismo sentido, podemos decir que con:
1. La divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras.
2. Alertas a las potenciales victimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática.
3. Creación de una adecuada legislación que proteja los intereses de la víctimas.
4. Una eficiente preparación por parte del personal encargado de la procuración, administración y la participación de justicia para atender e investigar a estas conductas ilícitas.
Se estaría avanzando mucho en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más.
Además, se debe destacar que 108 organi8mos internacionales han adoptado resoluciones similares en el sentido de que educando a la comunidad de víctimas y estimulando la denuncia de los delitos, se promovería la confianza pública en la capacidad de los encargados de hacer cumplir la ley y de las autoridades judiciales para detectar, investigar y prevenir 108 delitos informáticos.
3.4 LEGISLACIÓN NACIONAL
En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales nacionales e internacionales.
La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.
En este sentido habrá que recurrir a aquellos tratados internacionales de los que nuestro país es parte y que, en virtud del Articulo 75 inc. 22 de la Constitución Nacional reformada en 1994, tiene rango constitucional.
Argentina también es parte del acuerdo que se celebró en el marco de la Ronda Uruguay del Acuerdo General de Aranceles Aduaneros y Comercio, que en su artículo lO, relativo a los programas de ordenador y compilaciones de datos, establece que:
Este tipo de programas, ya sean fuente u objeto, serán protegidos como obras literarias de conformidad con el Convenio de Berna, de julio 1971, para la Protección de Obras Literarias y Artísticas.
Las compilaciones de datos posibles de ser legibles serán protegidos como creaciones de carácter intelectual.
Para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de autor a escala comercial se establecerán procedimientos y sanciones penales además de que, "los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias.
La Convención sobre la Propiedad intelectual de Estocolmo (julio de 1967) y el Convenio de Berna (julio de 1971) fueron ratificados en nuestro pais por la Ley 22.195 el 17 de marzo de 1980 y el8 de julio de 1990 respectivamente.
La Convención para la Protección y Producción de Phonogramas de octubre de 1971, fue ratificada por la ley 19.963 cl23 dc noviembre 1972.
Hay otros Convenios no ratificados aún por nuestro País, realizados por la Organización Mundial de la Propiedad Intelectual (OMPI), de la que Argentina es parte integrante a partir del 8 de octubre de 1980.
Nuestra legislación regula Comercial y Penalmente las conductas ilícitas relacionadas con la informática, pero que aún no contemplan en si los delitos informáticos:
1. La ley 111 de Patentes de Invención regula la protección a la propiedad intelectual.
2. La ley Penal 11.723 de "Propiedad Científica, Literaria y Artística.., modificada por el decreto 165/94. ha modificado los Artículos 71. 72, 72 bis. 73 y 74.
Por esta ley, en el país solo están protegidos los lenguajes de bases de datos, planillas de cálculo, el software y su documentación dentro del mismo.
Si bien, en el decreto de 1994, se realizó la modificación justamente para incluir esos ítem en el concepto de propiedad intelectual. no tiene en cuenta la posibilidad de plagio ya que no hay jurisprudencia que permita establecer qué porcentaje de igualdad en la escritura de dos programas se considera plagio. Las copias ilegales de software también son penalizadas, pero por reglamentaciones comerciales.
A diferencia de otros países, en la Argentina la información no es un bien o propiedad, por lo tanto no es posible que sea robada, modificada o destruida.
De acuerdo con los art. 1072 y 2311 del Código Civil y 183 del Código Penal se especifica que para que exista robo o hurto debe afectarse una cosa. y las leyes definen cosa como algo que ocupa lugar en el espacio; los datos, se sabe, son intangibles.
En resumen: sí alguien destruye, mediante íos métodos que sean, la información almacenada en una computadora no cometió delito; pero si rompió el hardware o un disquete será penalizado: en ese caso, deberá hacerse cargo de los costos de cada elemento pero no de lo que contenían. También se especifica (art. 1109) que el damnificado no podrá reclamar indemnización si hubiera existido negligencia de su parte.
Ahora, cabe preguntarse ¿En Argentina, qué amparo judicial se tiene ante hechos electrónicos ilícitos? La respuesta es que el Código Penal argentino (con 77 años de vida) no tiene reglas específicas sobre los delitos cometidos a través de computadoras. Esto es así porque cuando se sancionaron las leyes no existía la tecnología actual y por lo tanto no fueron previstos los ataques actuales.
Dentro del Código Penal se encuentran sanciones respecto de íos delitos contra el honor (art. 109 a 117); instigación a cometer delito (art. 209), instigación al suicidio (art. 83); hurto al art. 162 ), además de los de defraudación, falsificación, tráfico de menores, narcotráfico, etc., todas conductas que pueden ser cometidas utilizando como medio la tecnología electrónica, pero nada referente a delitos cometidos sobre la información como
bien.
El mayor inconveniente es que no hay forma de determinar fehacientemente cuál era el estado anterior de los datos, puesto que la información en estado digital es fácilmente adulterable. Por otro lado, aunque fuera posible determinar el estado anterior, sería difícil determinar el valor que dicha información tenía.
El problema surge en que los datos almacenados tienen el valor que el cliente o dueño" de esos datos le asigna (y que razonablemente forma parte de su patrimonio). Esto, desde el punto de vista legal es algo totalmente subjetivo. Son bienes intangibles, donde solo el cliente puede valorar los &'unos y ceros" almacenados.
Así, las acciones comunes de hurto, robo, daño, falsificación, etc. (art. 162 del Código Penal) que hablan de un apoderamiento material NO pueden aplicarse a los datos almacenados por considerarlos intangibles.
Hablar de estafa (contemplada en el art. 172 del código penal) no es aplicable a una máquina porque se la concibe como algo que no es susceptible de caer en error. todo lo contrario a la mente humana.
En función del código penal. se considera que entrar en un domicilio sin permiso o violar correspondencia constituyen delitos (art. 153). Pero el acceso a una computadora, red de computadoras o medios de transmisión de la información (violando un cable coaxil por ejemplo) sin autorización. en forma directa o remota, no constituyen un acto penable por la justicia. aunque si el dado del mismo.
La mayor dificultad es cuantificar el delito informático. Estos pueden ser muy variados: reducir la capacidad informativa de un sistema con un virus o un caballo de Troya, saturar el correo electrónico de un proveedor con infinidad de mensajes, etc. Pero ¿Cuál de ellos es mas grave? .
Si se considera Internet, el problema se vuelve aún más grave ya que se caracteriza por ser algo completamente descentralizado. Desde el punto de vista del usuario esto constituye un beneficio, puesto que no tiene ningún control ni necesita autorización para acceder a los datos.
Sin embargo. constituye un problema desde el punto de vista legal. Principalmente porque la leyes penales son aplicables territorialmente y no puede pasar las barreras de los países.
La facilidad de comunicación entre diversos países que brinda la telemática dificulta la sanción de leyes claras y eficaces para castigar las intrusiones computacionales.
Si ocurre un hecho delictivo por medio del ingreso a varias páginas de un sitio distribuidas por distintos países: ¿Qué juez será el competente en la causa? .¿Hasta qué punto se pueden regular loS delitos a través de Internet sabiendo que no se puede aplicar las leyes en forma extraterritorial? .
Ver una pantalla con información. ¿Es un robo? .Ante esta pregunta Julio C. Ardita[7]responde "(…) si, desde el punto de vista del propietario, si es información confidencial y/o personal es delito porque se violó su privacidad".
Si un intruso salta de un satélite canadiense a una computadora en Taiwan y de allí a otra alemana ¿Con las leyes de qué país se juzgará? .
Lo mencionado hasta aquí no da buenas perspectivas para la Seguridad de 108 usuarios (amparo legal) en cuanto a los datos que almacenan. Pero esto no es tan así, puesto que si la información es confidencial la misma tendrá en algún momento, amparo legal.
Por lo pronto, en febrero de 1997 se sancionó la ley 24.766 por la que se protege la información confidencial a través de acciones penales y civiles, considerando información confidencial aquella que cumple los siguientes puntos.
Es secreta en el sentido que no sea generalmente conocida ni fácilmente accesible para personas introducidas en los círculos en que normalmente se utiliza el tipo de información.
Tenga valor comercial para ser secreta.
Se hayan tomado medidas necesarias para mantenerla secreta, tomadas por la persona que legítimamente la controla.
Por medio de esta ley la sustracción de disquetes, acceso sin autorización a una red o computadora que contenga información confidencial será sancionado a través de la pena de violación de secretos.
En cuanto a la actividad típica de los hackers, las leyes castigan el hurto de energía eléctrica y de líneas telefónicas, aunque no es fácil de determinar la comisión del delito. La dificultad radica en establecer dónde se cometió el delito y quién es el damnificado.
Los posibles hechos de Hacking se encuadran en la categoría de delitos comunes como defraudaciones, estafas o abuso de confianza, y la existencia de una computadora no modifica el castigo impuesto por la ley.
La División Computación de la Policía Federal no realiza acciones o investigaciones preventivas (a modo de las organizaciones estadounidenses) actúa en un aspecto pericial
cuando el operativo ya está en marcha.
Este vacío en la legislación Argentina se agrava debido a que las empresas que sufren ataques no los difunden por miedo a perder el prestigio y principalmente porque no existen conceptos claros para definir nuevas leyes jurídicas en función de los avances tecnológicos.
Estos problemas afectan mucho a la evolución del campo informático de la Argentina generando malestar en empresas, usuarios finales y toda persona que utilice una computadora como medio para realizar o potenciar una tarea. Los mismos se sienten desprotegidos por la ley ante cualquier acto delictivo.
Como conclusión, desde el punto de vista social, es conveniente educar y enseñar la correcta utilización de todas las herramientas informáticas, impartiendo conocimientos específicos acerca de las conductas prohibidas; no solo con el afán de protegerse, sino para evitar convertirse en un agente de dispersión que contribuya, por ejemplo, a que un virus informático siga extendiéndose y alcance una computadora en la que, debido a su entorno crítico, produzca un dado realmente grave e irreparable.
Desde la óptica legal, y ante la inexistencia de normas que tipifiquen los delitos cometidos a través de la computadora, es necesario y muy importante que la ley contemple accesos ilegales a las redes como a sus medios de transmisión. Una futura reforma debería prohibir toda clase de acceso no autorizado a un sistema informático, como lo hacen las leyes de Chile, Francia, Estados Unidos, Alemania, Austria, etc.
Lo paradójico (¿gracioso?) es que no existe sanción legal para la persona que destruye información almacenada en un soporte, pero si para la que destruye la misma información Impresa en papel.
No obstante, existen en el Congreso Nacional diversos proyectos de ley que contemplan esta temática.
CAPITULO 4
Amenazas Lógicas
La Entropía es una magnitud termodinámica que cuantifica el grado de desorden de un sistema; y según las leyes físicas todo sistema tiende a su máxima entropía. Si extrapolamos este concepto a la Seguridad resultaría que todo sistema tiende a su máxima inseguridad. Este principio supone decir:
Los protocolos de comunicación utilizados carecen, en su mayoría, de seguridad o esta ha sido implementada, tiempo después de su creación, en forma de "parche".
Existen agujeros de seguridad en los sistemas operativos.
Existen agujeros de seguridad en las aplicaciones.
Existen errores en las configuraciones de los sistemas.
Los usuarios carecen de información respecto del tema.
Todo sistema es inseguro.
Esta lista podría seguir extendiéndose a medida que se evalúen mayor cantidad de elementos de un Sistema Informático.
4.1 ACCESO -USO -AUTORIZACIÓN
La identificación de estas palabras es muy importante ya que el uso de algunas implica un uso desapropiado de las otras.
Específicamente ""Acceso" y ""Hacer Uso" no son el mismo concepto cuando se estudian desde el punto de vista de un usuario y de un intruso. Por ejemplo:
Cuando un usuario tiene acceso autorizado, implica que tiene autorizado el uso de un recurso.
Cuando un atacante tiene acceso desautorizado está haciendo uso desautorizado del sistema.
Pero, cuando un atacante hace uso desautorizado de un sistema, esto implica que el acceso fue autorizado (simulación de usuario).
Luego un Ataque será un intento de acceso, o uso desautorizado de un recurso, sea satisfactorio o no. Un Incidente envuelve un conjunto de ataques que pueden ser distinguidos de otro grupo por las características del mismo (grado, similitud, técnicas utilizadas, tiempos, etc.).
John D. Howard[8]en su tesis estudia la cantidad de ataques que puede tener unincidente. Al concluir dicho estudio y basado en su experiencia en los laboratorios del CERT[9]afirma que esta cantidad varia entre 10 y 1.000 y estima que un número razonable para estudios es de 100 ataques por incidentes.
4.2 DETECCIÓN DE INTRUSOS
A finales de 1996, Dan Farmer (creador de una de las herramientas más útiles en la detección de intrusos: SA TAN) realizó un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites orientados al comercio y con contenidos específicos, además de un conjunto de sistemas informáticos aleatorios son los que realizar comparaciones.
El estudio se realizó empleando técnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow). Los problemas del grupo rojo son los más serios y suponen que el sistema está abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposición de ser explotados. Así por ejemplo, un problema de seguridad del grupo rojo es un equipo que tiene el servicio de FTP anónimo mal configurado.
Los problemas de seguridad del grupo amarillo son menos serios pero también reseñables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daños o bien, que es necesario realizar tests más intrusivos para determinar si existe o no un problema del grupo rojo.
La tabla 4.1 resume los sistemas evaluados, el número de equipos en cada categoría y los porcentajes de vulnerabilidad para cada uno. Aunque los resultados son límites superiores, no dejan de ser… escandalosos.
Tipo de sitio | #Total sitios testeados | %Total Vulnerables | % Yellow | % Red | |||
Bancos | 660 | 68.34 | 32.73 | 35.61 | |||
Créditos | 274 | 51.1 | 30.66 | 20.44 | |||
Sitios federales | 47 | 61.7 | 23.4 | 38.3 | |||
News | 312 | 69.55 | 30.77 | 38.78 | |||
Sexo | 451 | 66.08 | 40.58 | 25.5 | |||
Totales | 1734 | 64.93 | 33.85 | 31.08 | |||
Grupo aleatorio | 469 | 33.05 | 15.78 | 17.27 | |||
Tabla 7.1 -Porcentaje de Vulnerabilidades por tipo de sitio. Fuente: http://www.trouble.org/survey
Como puede observarse, cerca de los dos tercios de los sistemas analizados tenían serios problemas de seguridad y Farmer destaca que casi un tercio de ellos podían ser atacados con un mínimo esfuerzo.
IDENTIFICACIÓN DE LAS AMENAZAS
La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante.
Las consecuencias de los ataques se podrían clasificar en:
Data Corruption: la información que no contenía defectos pasa a tenerlos.
Denial oí Service (noS): servicios que deberían estar disponibles no lo están.
Leakage: los datos llegan a destinos a los que no deberían llegar.
Desde 1990 hasta nuestros días, el CERT viene desarrollando una serie de estadísticas que demuestran que cada día se registran más ataques informáticos, y estos son cada vez más sofisticados, automáticos y difíciles de rastrear.
La Tabla 4.2 detalla el tipo de atacante, las herramientas utilizadas, en que fase se
realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.
Tabla 4.2. Detalle de Ataques.
Cualquier adolescente de 15 años (Script Kiddies), sin tener grandes conocimientos, pero con una potente y estable herramienta de ataque desarrollada por los Gurús, es capaz de dejar fuera de servicio cualquier servidor de información de cualquier organismo en Internet,
simplemente siguiendo las instrucciones que acompañan la herramienta.
Los número que siguen no pretenden alarmar a nadie ni sembrar la semilla del futuro Hacker. Evidentemente la información puede ser aprovechada para fines menos lícitos que para los cuales fue pensada, pero esto es algo ciertamente difícil de evitar.
Año | Incidentes Reportados | Vulnerabilidades Reportadas | Mensajes Recibidos | |||
1988 | 6 | 539 | ||||
1989 | 132 | 2868 | ||||
1990 | 252 | 4448 | ||||
1991 | 406 | 9629 | ||||
1992 | 773 | 14463 | ||||
1993 | 1334 | 21267 | ||||
1994 | 2340 | 29580 | ||||
1995 | 2412 | 171 | 32084 | |||
1996 | 2573 | 345 | 31268 | |||
1997 | 2134 | 311 | 39626 | |||
1998 | 3734 | 262 | 41871 | |||
1999 | 9859 | 417 | 34612 | |||
2000 | 21756 | 1090 | 56365 | |||
2001 (4 meses) | 15476 | 1151 | 39181 | |||
Total | 63187 | 3747 | 357802 | |||
Nota I: estos incidentes solo representan el 30% correspondientes a hackers.
Nota II: En 1992 se realizó urmestudio durante el cual se llevaron a cabo 38.000 ataques a distintos sitios de organizaciones gubernamentales (muchas militares). El resultado de los ataques se resumen en el siguiente cuadro.
Puede observarse que solo el 0,70% (267) de los incidentes fueron reportados. Luego, si en el año 2000 se denunciaron 21.756 casos eso arroja 3.064.225 incidentes en ese año.
Nota III: Puede observarse que los incidente reportados en 1997 con respecto al año anterior es menor. Esto puede deberse a diversas causas:
Las empresas u organizaciones no se pueden permitir el lujo de denunciar ataques a sus sistemas, pues el nivel de confianza de los clientes (ciudadanos) bajaría enormemente.
Los administradores tienen cada vez mayor conciencia respecto de la seguridad de sus sistemas y arreglan por sí mismos las deficiencias detectadas. A esto hay que añadir las nuevas herramientas de seguridad disponibles en el mercado.
Los "Advisories" (documentos explicativos) sobre los nuevos agujeros de seguridad detectados y la forma de solucionarlos, lanzados por el CER T. han dado sus frutos
4.4 TIPOS DE ATAQUE
A continuación se expondrán diferentes tipos de ataques perpetrados, principalmente, por Hackers. Estos ataques pueden ser realizados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc.
Los primeros tiempos, los ataques involucraban poca sofisticación técnica. Los Insiders (operadores, programadores, data entrys) utilizaban sus permisos para alterar archivos o registros. Los: Outsiders ingresaban a la red simplemente averiguando una password válida.
A través de los años se han desarrollado formas cada vez más sofisticadas de ataque para explotar "agujeros" en el diseño, configuración y operación de los sistemas.
Son muchos los autores que describen con detalle las técnicas y las clasifican de acuerdo a diferentes características de las mismas. Ante la diversificación de clasificaciones de amenazas y la inminente aparición de nuevas técnicas. Para la realización del Presente los ataques serán clasificados y categorizados según mi experiencia y conocimiento de cada caso.
Al describirlos no se pretende dar una guía exacta ni las especificaciones técnicas necesarias para su uso. Sólo se pretende dar una idea de la cantidad y variabilidad de los
mismos así como que su adaptación (y aparición de nuevos) continúa paralela a la creación de nuevas tecnologías.
Cabe destacar que para la utilización de estas técnicas no será necesario contar con grandes centros de cómputos, lo que queda fehacientemente demostrado al saber que algunos Hackers más famosos de la historia hackeaban con computadoras (incluso armadas con partes encontradas en basureros) desde la habitación de su hogar.
Cada uno de los ataques abajo descriptos serán dirigidos remotamente. Se define Ataque Remoto como '~ ataque iniciado contra una maquina sobre la cual el atacante no tiene control físico"1. Esta máquina es distinta a la usada por el atacante y será llamada Víctima.
INGENIERA SOCIAL
Es la manipulación de las personas para convencerlas de que ejecuten acciones o actos que normalmente no realizan para que revele todo lo necesario para superar las barreras de seguridad. Si el atacante tiene la experiencia suficiente (generalmente es así), puede engañar fácilmente a un usuario ( que desconoce las mínimas medidas de seguridad) en beneficio propio. Esta técnica es una de las más usadas y efectivas a la hora de averiguar nombres de usuarios y passwords.
Por ejemplo, suele llamarse a un usuario haciéndose pasar por administrador del sistema y requerirle la password con alguna excusa convincente. O bien, podría enviarse un mail (falsificando la dirección origen a nombre del administrador) pidiendo al usuario que modifique su password a una palabra que el atacante suministra.
Para evitar situaciones de IS es conveniente tener en cuenta estas recomendaciones:
Tener servicio técnico propio o de confianza.
Instruir a los usuarios para que no respondan ninguna pregunta sobre cualquier característica del sistema y deriven la inquietud a los responsables que tenga competencia para dar esa información.
Asegurarse que las personas que llaman por teléfono son quien dicen ser. Por ejemplo si la persona que llama se identifica como proveedor de Internet lo mejor es cortar y devolverla llamada a forma de confracción.
4.4.2 INGENIERÍA SOCIAL INVERSA
Consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social.
En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechara esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema).
La ISI es más difícil de llevara cabo y por lo general se aplica cuando los usuarios están alertados de acerca de las técnicas de IS. Puede usarse en algunas situaciones específicas y después de mucha preparación e investigación por parte del intruso:
1. Generación de una falla en el funcionamiento normal del sistema. Generalmente esta falla es fácil de solucionar pero puede ser dificil de encontrar por los usuarios inexpertos (sabotaje). Requiere que el intruso tenga un mínimo contacto con el sistema.
2. Comunicación a los usuarios de que la solución es brindada por el intruso (publicidad).
3. Provisión de ayuda por parte del intruso encubierto como servicio técnico.
4.4.3 TRASHING (CARTONEO)
Generalmente, un usuario anota su login y password en un papelito y luego, cuando lo recuerda, lo arroja a la basura. Este procedimiento por más inocente que parezca es el que puede aprovechar un atacante para hacerse de una llave para entrar el sistema nada se destruye, todo se transforma".
El Trashing puede ser físico ( como el caso descrito) o lógico. como analizar buffer de impresora y memoria, bloques de discos, etc. El Trashing físico suele ser común en organizaciones que no disponen de alta confidencialidad, Como colegios y universidades.
4.4.4 ATAQUES DE MONITORIZACIÓN
Este tipo de ataque se realiza para observar a la victima y su sistema, con el objetivo de obtener información. establecer sus vulnerabilidades y posibles formas de acceso futuro.
4.4.4.1 SHOULDER SURFING
Consiste en espiar físicamente a los usuarios para obtener el login y su password correspondiente. El Surfing explota el error de loS usuarios de dejar su login y password anotadas cerca de la computadora (generalmente en post-it adheridos al monitos o teclado ).
Cualquier intruso puede pasar por ahí, verlos y memorizarlos para su posterior uso. Otra técnica relacionada al surfing es aquella mediante la cual se ve, por encima del hombro al usuario cuando teclea su nombre y password.
4.4.4.2 DECOY (SEÑUELOS)
Los Decoy son programas diseñados con la misma interfase que otro original. En ellos se imita la solicitud de un logeo y el usuario desprevenido lo hace. Luego, el programa guardará esta información y dejará paso a las actividades normales, del sistema. La información recopilada será utilizada por el atacante para futuras '"visitas".
Una técnica semejante es aquella que, mediante un programa se guardan todas las teclas presionadas durante una sesión. Luego solo hará falta estudiar el archivo generado para conocer nombres de usuarios y claves.
4.4.4.3 SCARMING (BÚSQUEDA)
El Scaneo, como método de descubrir canales de comunicación susceptibles de ser explotados, lleva en uso mucho tiempo. La idea es recorrer (scanear) tantos puertos de escucha como sea posible, y guardar información de aquellos que sean receptivos o de utilidad para cada necesidad en particular .Muchas utilidades de auditoría también se basan en este paradigma.
El scaneo de puertos pertenece a la Seguridad informática desde que era utilizado en los sistemas de telefonía. Dado que actualmente existen millones de números de teléfono a los que se pueden acceder con una simple llamad, la solución lógica (para encontrar números que puedan interesar) es intentar conectarlos a todos.
La idea básica es simple: llamar a un número y si el módem devuelve un mensaje de conectado, grabar el número. En otro caso, la computadora cuelga el teléfono y llama al siguiente número.
Scanear los puertos implica las mismas técnicas de fuerza bruta. Se envía una serie de paquetes para varios protocolos y se deduce que servicios están "escuchando" por las respuestas recibidas o no recibidas.
Existen diversos tipos de Scarming según las técnicas, puertos y protocolos explotados:
4.4.4.3.1 TCP Cormect Scarming
Esta es la forma básica del scaneo de puertos TCP. Si el puerto está escuchando, devolverá una respuesta de éxito; cualquier otro caso significará que el puerto no está abierto o que no se puede establecer conexión con él.
Las ventajas que caracterizan esta técnica es que no necesita de privilegios especiales y su gran velocidad.
Su principal desventaja es que este método es fácilmente detectable por el administrador del sistema. Se verá un gran número de conexiones y mensajes de error para los servicios en los que se ha conseguido conectar la máquina, que lanza el scarmer, y también se verá su inmediata desconexión.
4.4.4.3.2 TCP SYN Scarming
Cuando dos procesos establecen una comunicación usan el modelo Cliente / servidor para establecerla. La aplicación del Servidor .'escucha" todo lo que ingresa por los puertos.
La identificación del Servidor se efectúa a través de la dirección IP del sistema en el que se ejecuta y del número de puerto del que depende para la conexión. El Cliente establece
la conexión con el Servidor a través del puerto disponible para luego intercambiar datos.
La información de control llamada HandShake (saludo) se intercambia entre el Cliente y el Servidor para establecer un dialogo antes de transmitir datos. Los "paquetes" o segmentos TCP tienen banderas que indican el estado del mismo.
El protocolo TCP de Internet, sobre el que se basa la mayoría de los servicios (incluyendo el correo electrónico, el web y el IRC) implica esta conexión entre dos máquinas.
El establecimiento de dicha conexión se realiza mediante lo que se llama Three-Way Handshake ("conexión en tres pasos") ya que intercambian tres segmentos.
En forma esquemática se tiene:
Gráfico 4.2 -Conexión en Tres Pasos.
1. El programa Cliente (C) pide conexión al Servidor (S) enviándole un segmento SYN. Este segmento le dice a S que C desea establecer una conexión.
| Página siguiente |