viernes, 29 de agosto de 2008

Piratería


Una investigación reciente acerca de la seguridad en la red ha puesto en evidencia una nueva fractura en el sistema, que afecta al uso del protocolo BGP (Border Gateway Protocol) y puede permitir la intercepción y seguimiento de las transmisiones de datos de cualquier web, siempre que los datos no estén encriptados, e incluso modificarlos antes de que lleguen a su destino.
La investigación, que ha sido publicada por la revista Wired, demuestra la falta de seguridad en algunos protocolos sobre los que se basa el funcionamiento de internet. Como señala el diario El País, no es la primera vez que se detecta un fallo de este tipo. Ya en julio, el experto en seguridad, Dan Kaminsky comunicó un error en el sistema DNS de asignación de direcciones.
Aquel fallo, abría la posibilidad de redireccionar el tráfico de una web a otra falsa, aunque se hubiese tecleado la dirección correcta. Sin embargo la magnitud del problema sobre el protocolo BGP puede ser mucho mayor. En su momento, se creó como "puerta trasera" para que las autoridades gubernamentales o las agencias de inteligencia pudiesen intervenir en las comunicaciones de Internet cuando fuera preciso. Y ahora, cualquier usuario con un router BGP también podría conseguirlo.
Los expertos apuntan que este tipo de intercepciones de datos podrían evitarse con la colaboración de las operadoras, siempre y cuando empleen un sistema de filtros que permitan distinguir la manipulación de los datos.

martes, 26 de agosto de 2008

Nuevos delitos informáticos: EEUU acusa a un 'Botmaster'


Un hombre de 20 años acusado de usar miles de ordenadores "secuestrados" para dañar sistemas y enviar grandes cantidades de correo basura a través de Internet fue arrestado el jueves en lo que las autoridades calificaron como el primer proceso judicial de este tipo.


Jeanson James Ancheta, de quien los fiscales dicen que era un conocido miembro de "Botmaster Underground" —la red secreta de hackers de ordenadores expertos en ataques 'bot'—, fue detenido después de ser engañado por los oficiales del FBI en Los Ángeles, dijo el portavoz del abogado de Estados Unidos, Thom Mrozek.


Ancheta estaba acusado de beneficiarse de sus ataques, vendiendo acceso a sus "redes bot" a otros hackers e instalando adware —un programa que puede ser utilizado a cambio de que aparezcan anuncios durante su uso— en los ordenadores infectados. Ancheta ha sido acusado de conspiración, intento de transmisión de código a un ordenador protegido, transmisión de código a un computador gubernamental, acceso a un ordenador protegido para cometer fraude y blanqueo de dinero. Se enfrenta a un máximo de 50 años en prisión si es hallado culpable de los 17 cargos, aunque habitualmente las multas son menores.
Los fiscales no dieron los nombres de las compañías que dijeron que pagaron a Ancheta y manifestaron que las firmas no sabían que se estaban quebrantando las leyes.


Esto demuestra que en verdad el crimen paga por sus actos.

Ciberterrorismo


Otro tipo de delito informático es el Ciberterrorismo o el terrorismo electrónico. Es mediante el uso de tecnologías, comunicación, informática o electrónica. El propósito es para crear miedo o terror en una población, clase dirigente o gobierno causando una violencia a la libre voluntad de las personas. Los fines pueden ser económicos, políticos, religiosos o simplemente de odios y prejuicios.

La palabra mágica "ciberterrorismo" es palabra mágica para catalogar, todas aquellas funciones electrónicas, que no se encuentra bajo la tutela, de las diferentes naciones, todo aquel poder ejercido por personas apátridas, ateas y cansadas de los grupos políticos que regentan el poder de forma convencional, es decir: Al poder establecido no le gustan los competidores.

lunes, 25 de agosto de 2008

Ley de delitos informáticos


InfoBaeProfesional.com realizó el 24 de julio una conferencia sobre la flamante Ley de Delitos Informáticos argentina, organizada principalmente por el incansable Cesar Dergarabedian, editor de la sección de Tecnología de la publicación, y de la que participaron especialistas en el tema como el Dr. Ricardo Saenz (Fiscal de la Nación), el Dr. Pablo Palazzi (del Estudio Allende & Brea), el Dr. Mauricio de Nuñez, Jorge Vega-Iracelay (Director de Asuntos Legales de Microsoft) y Ezequiel Sallis (Director de Root-Secure), bajo la moderación de Daniel Monastersky, de TechLaw e IdentidadRobada.com.En lugar de basar el evento en charlas específicas, el objetivo fue responder a los interrogantes más importantes suscitados por esta ley que adecua el Código Penal argentino para incluir a los delitos informáticos:

¿Qué cambia con esta ley para los usuarios de Internet?

¿Esta su empresa preparada para cumplir con esta ley?

¿Los jueces, fiscales y abogados podrán hacerla cumplir?

La audiencia se repartió, aproximadamente, en un 75 % de abogados y un 25 % de otras profesiones . Lo importante fue que los contenidos estuvieron planteados para ambos grupos, y la sensación general fue que todos se llevaron respuestas a parte o a todos los interrogantes planteados.
Cada uno de los disertantes dio una mirada interesante de la ley, que vale aclarar, no es una reglamentación individual, sino que es una modificación al Código Penal ya existente, para agregar distintas figuras que se enmarcan dentro de lo que comúnmente se llaman delitos informáticos.
Aunque existe jurisprudencia previa a esta ley, todavía no hay certeza de cómo decidirán los jueces en algunos aspectos que dan a distintas interpretaciones.Para el común de la gente, lo importante es tener en cuenta que las penas son principalmente aplicables a delitos dolosos, es decir, que se hacen a sabiendas, con intención y conocimiento previo, sin derecho a hacerlo, por lo que los “errores” no van a ser penados.Los delitos contemplados por la ley penan acciones como:

  • Distribución de pornografía infantil

  • Interrupción, obstrucción, entorpecimiento o desvío de comunicación (correo electrónico, navegación, etc)

  • Acceso indebido a bases de datos privadas y/o restringidas

  • Acceso o apertura indebida de comunicaciones electrónicas (como el correo electrónico

  • Alteración de normal funcionamiento de sistemas

  • Alteración, destrucción y/o inutilización de documentos, programas y sistemas informáticos

  • Venta, distribución o introducción de programas destinados a hacer daño en un sistema informático

Fueron muy interesantes los comentarios del Dr. Pablo Palazzi, que se enfocó en lo que NO va a pasar:

  • Los delitos afectan a las personas y no a las empresas, por lo que la empresa donde trabaje alguien que cometa un delito de los contemplados en el modificado Código Penal no se vería afectada

  • Los filtros instalados a nivel de servidores que pudieran interceptar comunicaciones (antivirus, antispam, etc) no se verían contemplados

  • No solo se considerarán las comunicaciones por correo electrónico, sino cualquier tipo de comunicación electrónico

  • No se penará cualquier acceso a información, bases de datos, comunicaciones electrónicas, sino solo las indebidas (sin derecho o justificación alguna)

Otros puntos destacables de la charla fueron la participación de Ezequiel Sallis, quien comentó que la ley no tiene en cuenta la educación de los usuarios, dando pie a mostrar muchos casos en los que el usuario promedio publica sus datos personales y de tarjeta de crédito en Internet, sin tener en cuenta que pueden ser accedidos por cualquiera, y en eso no hay ley que los proteja.


Para finalizar, la ley no contempla el spam (“Hay alrededor de 15 proyectos en análisis sobre el tema”, dijo el Dr. Saenz), pero si aspectos varios del malware, la pornografía infantil, el acceso indebido a sistemas e información y los ataques DDoS, entre otros aspectos relevantes. Habrá que esperar a ver cómo se aplica, pero es bueno saber que los argentinos ahora tenemos una ley que nos brinda protección sobre todo lo anterior.



Fuente: http://www.unblogged.net

Denuncias

Cuando una persona es o cree que es víctima de un delito informático muchas veces no sabe que hacer, o si siquisiera puede ser considerado como un delito. Pero esto no es así, entonces hay que hacer lo mismo que con un delito cometido fuera de la Red.

1º Presentar una denuncia, que puede ser escrita o verbal y realizarse personalmente o por mandatario con poder especial, en:
• la comisaría de policía u oficina de la guardia civil mas cercana a su domicilio.

• el juzgado de guardia correspondiente a su domicilio.
A la hora de elegir donde plantear la denuncia, es preciso analizar la utilidad de presentarla en uno u en otro lugar.
La denuncia en el juzgado es mas útil cuando no ha de haber una actuación policial inmediata, de manera que se agiliza la tramitación del procedimiento, o cuando se soliciten medidas de protección al perjudicado y que no puedan ser adoptadas por la policía judicial.
La denuncia ante la policía se hace mas aconsejable cuando se requiere una investigación por parte de este cuerpo, que actúan en todo caso, como intermediario en el proceso.
En la denuncia, no es necesario determinar al responsable de los hechos, aunque si se sospecha de alguien es aconsejable hacerlo constar para dirigir la investigación también hacia ese sentido.
El denunciante no es parte en el proceso, de manera que no tienen derecho a intervenir en el curso de la causa si no se persona mediante abogado y procurador, ejercitando la acción.
2º Interponer una querella.

Se interpone siempre ante los juzgados, nunca ante la policía y se trata de un medio de iniciación del procedimiento penal mas formal, es decir, que requiere de unos concretos requisitos para su validez, como por ejemplo los datos identificativos del querellante y del querellado, relación detallada de los hechos, etc, e idóneo para aquellos casos en los que la investigación criminal presenta mas dificultad.
La querella sirve para la personalización del querellante como parte acusadora en el proceso penal, y requiere ser presentada con procurador y abogado.


Para más información: Delitos Informáticos.com

domingo, 24 de agosto de 2008

Sujeto pasivo y prevención


Ya que les explicamos las características del sujeto activo, a continuación se hayan las características del sujeto pasivo y los métodos de prevención que deberían tomarse.

Sujeto Pasivo:
Este, la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente conectados a otros.
El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informáticos, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos.
Es imposible conocer la verdadera magnitud de los delitos informáticos, ya que la mayor parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las víctimas de estos delitos; la falta de preparación por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurídico adecuado; el temor por parte de las empresas de denunciar este tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes pérdidas económicas, trae como consecuencia que las estadísticas sobre este tipo de conductas se mantenga bajo la llamada "cifra negra".
Por lo anterior, se reconoce que para conseguir una prevención efectiva de la criminalidad informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de las fuentes de peligro. Una protección eficaz contra la criminalidad informática presupone ante todo que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus formas de encubrimiento.
En el mismo sentido, podemos decir que con:

  • la divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras.

  • alertas a las potenciales víctimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática.

  • creación de una adecuada legislación que proteja los intereses de las víctimas.

  • una eficiente preparación por parte del personal encargado de la procuración, administración y la impartición de justicia para atender e investigar estas conductas ilícitas.

Se estaría avanzando mucho en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más.
Además, se debe destacar que los organismos internacionales han adoptado resoluciones similares en el sentido de que educando a la comunidad de víctimas y estimulando la denuncia de los delitos, se promovería la confianza pública en la capacidad de los encargados de hacer cumplir la ley y de las autoridades judiciales para detectar, investigar y prevenir los delitos informáticos.

Sujeto Activo


En todo delito cibernético intervienen dos sujetos: el activo y el pasivo.

Hoy, les explicaremos las características del sujeto activo.

Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los delitos informáticos, estudiosos en la materia los han catalogado como delitos de "cuello blanco".
La "cifra negra" es muy alta; no es fácil descubrirlos ni sancionarlos, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad. A los sujetos que cometen este tipo de delitos no se considera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por el contrario, es considerado y se considera a sí mismo "respetable". Estos tipos de delitos, generalmente, son objeto de medidas o sanciones de carácter administrativo y no privativo de la libertad.

martes, 12 de agosto de 2008

Delitos informáticos



Los delitos informaticos son actividades criminales como: robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Pero estos son realizados por medio de recursos tecnologicos.


La Organización de las Naciones Unidas (ONU) define tres tipos de delitos informáticos:

  • Fraudes cometidos mediante manipulación de computadoras.
  • Manipulación de los datos de entrada.
  • Daños o modificaciones de programas o datos computarizados.


* Los fraudes cometidos mediante manipulación de computadoras pueden clasificarse en:

  • Manipulación de los datos de entrada o sustracción de datos.
  • La manipulación de programas: modificación de programas existentes en un sistema o la inserción de nuevos programas.
  • Manipulación de los datos de salida.
  • Fraude efectuado por manipulación informática: aprovecha las iteraciones automáticas de los procesos de cómputo.



* Los fraudes competidos mediante la manipulación de los datos de entrada:

  • Como objeto: alteración de los documentos digitales.
  • Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.


* Los daños o modificaciones de programas o datos computarizados:

  • Sabotaje informático: acción de eliminar o modificar funciones o datos en una computadora sin autorización, para obstaculizar su correcto funcionamiento.
  • Acceso no autorizado a servicios y sistemas informáticos.
  • Reproducción no autorizada de programas informáticos de protección legal.