PRIVACIDAD DE LA INFORMACIÓN

https://prezi.com/hqqfbe2fz253/definicion-de-hacker-crackers-sniffers-phreakers-lammer/

Read More

VIRUS INFORMATICOS

 Los virus y sus variantes:

Orígenes y diferencias

Artículo proporcionado por Panda Software

(http://www.pandasoftware.com)

Klez.F y Klez. I, junto a Opaserv, Opaserv.D y Opaserv. H son claros ejemplos de códigos maliciosos que se caracterizan por tener características comunes que permiten a los desarrolladores de antivirus agruparlos en "familias". "Entre las más numerosas", declara Luis Corrons, director del Laboratorio de Investigación de Virus de Panda Software, "se encuentra la integrada por el virus I love you y la del veterano Marker, del que se han detectado más de 60 variantes".

A veces, una nueva variante de un código malicioso tiene su origen en una anterior que ha sido modificada. En otras ocasiones, los autores de virus la generan teniendo en cuenta los patrones básicos que definen una familia en concreto. Por tal motivo, los códigos pertenecientes a una misma saga se comportan -básicamente- de la misma manera, y sus diferencias suelen estar vinculadas al e-mail en el que se difunden o en su capacidad para llevar a cabo determinadas acciones, tal y como ponen de manifiesto los que se mencionan a continuación.

* Variantes "I" y "F" de Klez: ambos se propagan por correo electrónico aprovechándose de la misma vulnerabilidad detectada en el navegador Internet Explorer (y corregida por Microsoft), que posibilita su ejecución, de forma automática, con la vista previa del mensaje que lo contiene. Ambas versiones difieren en aspectos como los siguientes:

- Klez.I se envía en un mensaje de correo electrónico cuyo cuerpo incluye texto y lleva adjuntos dos ficheros. El objetivo de este código malicioso es finalizar ciertos procesos en los ordenadores a los que afecta y borrar ficheros.

- Klez.F: se manda en un e-mail en cuyo cuerpo del mensaje no aparece texto y sólo incluye un fichero adjunto. Modifica algunos de los controladores del sistema al que afecta (impidiendo el correcto arranque del equipo) y sobrescribe archivos ejecutables (dejándolos inservibles).

* W32/Opaserv y W32/Opaserv.D tienen una gran capacidad para distribuirse a través de redes, al tiempo que intentan conectarse a una página web para actualizar algunos de sus componentes. Para realizar su infección, los dos crean -en el directorio de Windows- el fichero "SCRSVR.EXE", que contiene el código de infección. Además, por su parte, W32/Opaserv.D genera -en el directorio raíz del disco duro al que afecta- el archivo TMP.INI, e introduce en el fichero WIN.INI una instrucción para activar el gusano.

En cuanto a Opaserv.H, cabe destacar que se diferencia del resto de variantes en que el fichero que lo contiene se presenta con diferentes tamaños y está comprimido con la utilidad PCShrink, que encripta el código que provoca la infección. Por su parte, la variante "J" de Opaserv crea, en el equipo al que afecta, varios archivos. Entre ellos se hallan "INSTIT.BAT", copia del gusano que contiene el código de infección; y "GUSTAV.SAV" y "INSTITU.VAT", generados para intercambiar información con la web a la que se conecta.

* I love you: sus variantes difieren, principalmente, en las características de los mensajes en los que se envían; los nombres de los ficheros que adjunta; las páginas web a las que se conectan y las extensiones de los ficheros a los que afectan. La aparición, en apenas unas horas, de sucesivas variantes contribuyó a sembrar el desconcierto y, por extensión, a su difusión.

En relación a las variantes de los virus informáticos Luis Corrons llama la atención sobre "el hecho de que algunas siguen propagándose, a pesar de que las soluciones antivirus las detectan y neutralizan desde hace tiempo". Un claro ejemplo es la variante "I" de Klez, que aunque apareció en abril es uno de los códigos maliciosos que más ha afectado a los equipos de los usuarios en los siete últimos meses, según se desprende de los datos proporcionados por Panda ActiveScan. "Sin duda", afirma el director del Laboratorio de Investigación de Virus de Panda Software, "Klez.I sigue difundiéndose porque los usuarios no adoptan las adecuadas medidas de protección". Entre ellas sobresalen:

• Utilizar un buen antivirus y actualizarlo frecuentemente.
• Verificar, antes de abrir, cada nuevo mensaje de correo electrónico recibido.
• Evitar la descarga de programas de lugares no seguros en Internet.
• Rechazar archivos que no se hayan solicitado cuando se esté en chats o grupos de noticias (news).
• Actualizar el software instalado con los parches aconsejados por el fabricante de ese programa.

Read More

PHISHING

Ingenieria social

En una primera definición, y dentro del campo de la seguridad informática (ciberseguridad), ingeniería social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es el acto de manipular a una persona a través de técnicas psicológicas y habilidades sociales para, entre otras cosas, obtener información, acceder a un sistema o llevar a cabo actividades ilícitas más elaboradas que puedan llegar a perjudicarla seriamente.

También se puede considerar como la explotación por medio de la manipulación y el engaño al eslabón más débil de la cadena de la seguridad: el factor humano. Se da cuando un estafador, en lugar de utilizar técnicas de hacking, manipula o engaña a la gente para que realice ciertas acciones o divulgue información personal.

Métodos usados por los atacantes

El objetivo de el Ingeniero Social es ganarse la confianza de la otra persona con el único fin de engañarla y/o manipularla mediante técnicas de persuasión. Su secreto no es preguntar, realmente, sino la forma de hacer la pregunta, en definitiva podría definirse como yo te digo lo que tú quieres oír y tú me cuentas lo que yo quiero saber.

Ataque via internet:Son via correo electronico( obteniendo informacion a traves de un phishing o infectando el equipo de la persona con un malware) web,(haciendo llenar a la persona objetivo un formulario falso)o manteniendo una conversación con una persona especifica por chats o foros.

PHISHING

Según el portal de seguridad de Microsoft "el "phishing" es una modalidad de estafa diseñada con la finalidad de robarle la identidad. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños." 

Consejos para evitar el Phishing

Cierre inmediatamente las cuentas bancarias o de tarjeta de crédito

• Cuando abra cuentas nuevas, póngales contraseñas seguras

• Evite utilizar como contraseñas sus satos sensible(nombres, apellidos, fechas,, numero de documento de identidad, números de teléfono)una serie de caracteres consecutivos.

• Deshágase de una manera apropiada de los papeles que contengan información personal

• Destruya los recibos de pagos, los saldos de sus cuentas bancarias, las tarjetas de crédito vencidas y las ofertas de crédito

• De su número de identificación personal únicamente cuando sea necesario, No lo lleve impreso en su documentación.

• Solicite un informe crediticio (Data crédito) al menos una vez al año para verificar si existe algún error.

• Controle si hay personas cerca cuando introduce su pin en algún lugar

• No de   el número de su tarjeta de crédito o de su cuenta bancaria por teléfono ha menos que usted haya hecho la llamada y conozca la empresa.

• Revise cuidadosamente sus resúmenes de cuentas y créditos.

• Controle que los datos personales estén  registrados correctamente en todos los sitios donde están almacenados

Read More

BIBLIOGRAFÍA Y WEBGRAFÍA

  1. INTERNET EN LA VIDA DE NUESTROS HIJOS

Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) , ¿Cómo evitar ser una víctima en las redes sociales?.[Textinf.]CiudadAutonomadeBuenosAIres.[fechadeconsulta:25deSeptiembre2016].Disponible en http://familiadigital.net/resources/como_evitar_ser_una_victima_en_las_redes_sociales


2. INGENIERÍA SOCIAL: robo y suplantación de identidad

http://www.gitsinformatica.com/ingenieria%20social.html

1.      3.  VIRUS INFORMÁTICOS

http://www.vsantivirus.com/pan-virus-y-variantes.htm

4. 
 PRIVACIDAD DE LA INFORMACIÓN
prezi.com/hqqfbe2fz253/definicion-de-hacker-crackers-sniffers-phreakers-lammer/# de Javier Benitez 

5.NORMAS DE SEGURIDAD
https://protejete.wordpress.com/gdr_principal/amenazas_vulnerabilidades/

6.Tomado de DELTA (Asesores de Aseosorìa y consultorìa para sacarle provecho a la informática)    DELGADO,Moreno Alejandro Director del Área de Telecomunicaciones, Medios y Nuevas Tecnologías
http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia.

Read More

ESTRATEGIAS DE MITIGACIÓN DE RIESGOS DE LA INTERNET

Estrategias de mitigación de riesgos de la internet 

Actualmente las redes sociales nos ofreces una gran cantidad de información de nuestros amigos, conocido o personas que quizás no conocemos, todo es  al alcance de un clic el gran problema al que nos enfrentamos e que todo lo que escribas o publique(Fotos, videos, chats) dejan ser privados desde el momento que das el click, cualquier persona puede saber tu vida en instantes y sacar provecho de esto para chantajear , burlarse no existe limites, tu no sabes quien esta al otro lado de la pantalla.
Debido a los numerables delitos que existen en internet  plantearemos una serie de estrategias que permitan a mitigar estos riesgos informáticos.

Para las instituciones educativas que es donde enfocaremos toda la atención planteamos las siguientes estrategias:

1.1 ESTRATEGIAS PARA INTERACTUAR EN REDES SOCIALES SIN PELIGROS

• Mantener un mínimo nivel de privacidad. En la mayoría de las Redes Sociales podemos elegir si queremos que nuestro perfil sea público o privado sólo a determinadas personas o amig@s. Revisa tu configuración.

• Así mismo configurar nuestro espacio para que sólo puedan participar de él amig@s. Evitaremos que desconocidos publiquen comentarios o no nos lleguen publicaciones no deseadas.

• No aceptar invitaciones de desconocid@s, tener una lista de amig@s no es una competición ni una colección. Ten en cuenta que son l@s que tendrán acceso a toda tu información e imágenes.

• No revelar información personal como dónde vivimos, donde estudiamos, números de teléfono… Es más fácil publicar información pero muy difícil suprimirla (o aunque la suprimamos puede que ya haya sido usada). No debemos precipitarnos a publicar algo de lo que luego podamos arrepentirnos.

• Piensa muy bien las imágenes que vas a colgar. Además de que salgas tu en la foto de forma comprometida (recuerda que queda registrado) también estas dando datos sobre con quién estás (¿has pedido permiso a tus amig@s?) o dónde estás (si sale tu casa, coche, colegio… es información que se puede usar para localizarte).

• Ten cuidado si te planteas quedar con alguien a quien no conoces: desconoces quien es realmente y sus verdaderas intenciones. Si decides hacerlo es mejor que vayas acompañad@ y quedes en algún sitio público con tránsito de gente.

• No compartas tus contraseñas y si tienes indicios de que alguien a entrado con tus datos cámbiala.

• Ten cuidado cuando accedes desde cibercafés, ordenadores púbicos y wifis abiertas ya que en ocasiones dejamos abierta la sesión o los datos se guardan automáticamente. Asegúrate que te has desconectado correctamente y no selecciones la casilla de “recordar datos”.

• Valora usar Nick o nombres falsos en algunas ocasiones, en chats o foros que no sean de confianza.

• Mantén tapada tu webcam, puede ser activada de forma remota sin tu consentimiento.

• Cuando vas a crear cuentas de Chats, Facebook, Hi5, Twitter  entre otros, lee las políticas de uso y privacidad.

• Aprende a publicar información que después no te perjudique o sea usada en tu contra.

• Cuando publiques información, fotografías, videos, imágenes, restringe quién puede acceder a ella.

• Verifica el perfil de cualquier persona antes de agregarla a tu lista de contactos.

• Las contraseñas no deben ser guardadas, ni dar a cualquier persona para evitar la suplantación.

• Tener un adecuado comportamiento educado en la red, a través de las normas Netiqueta.

• No abrir enlaces, descargar aplicaciones o ficheros enviados, sin revisar con el antivirus.

• No aceptes invitaciones a través de la red o entrevistas personales con desconocidos.

• Las redes sociales contienen las mismas aplicaciones que utilizan los atacantes para propagar los virus –correo, mensajería, navegación, etc., mantén las mismas recomendaciones.

• Si llegas a caer en uno de los peligros de las redes sociales, solicita ayuda a personas idóneas en el tema.

2.¿CÓMO PUEDE ACTUAR LA FAMILIA

1.    Dialogar acerca del uso de la tecnología en el hogar, y generar espacios de confianza y respeto para compartir experiencias.

2.    Conocer las actividades de los niños y niñas en internet (qué aplicaciones descargan, qué páginas visitan, qué redes sociales integran, entre otros).

3.    Definir contraseñas y claves de acceso seguras a todos los dispositivos.

4.    Activar todas las herramientas de seguridad y privacidad que tienen las distintas redes sociales.

5.     Desarrollar una actitud positiva y responsable durante el uso de internet en la casa.

6.    ubique el computador o portátil de acceso a Internet en un lugar común.

7.    Comparta con su hijo el tiempo necesario para que tengan experiencia en la búsqueda de información, juegos, creación de correos, chats, pero sin invadir su intimidad.

8.    Utilice horarios de tiempo prudencial para el uso de Internet, evitando que sean adictos y se alejen del núcleo familiar.

9.    Hable con el menor sobre los valores que deben seguir conservando al utilizar estas herramientas, ser educados en la red.

10.    Advierta al menor sobre los peligros que existen en Internet y si llegan a ser víctimas que no duden en comunicarles.

11.    Enseñar al menor a utilizar adecuadamente Internet y estar pendientes de que no caigan en provocaciones o que sean inducidos a realizar actos delictivos.

12.    Advertir al menor sobre los riesgos que corre al dar información personal a cualquier persona, o publicar en cualquier medio.

13.    Prohibir la participación en chats no aptas para menores o ver páginas inapropiadas.

14.    Informar al menor que en las redes hay mucha información falsa y dañina.

15.    Enseñar al menor sobre los delitos informáticos y que son penalizados por la Ley.

16.    Estar pendientes de las amistades reales y cibernéticas que no constituyan un peligro para su integridad física, moral y psicológica.

17.    Brinde al menor confianza, protección y seguridad para que informe si existe algún acto sospechoso o aclare dudas sobre algún riesgo o peligro en la red.

Read More

Ley de Delitos Informàticos

DELITOS INFORMÁTICOS EN COLOMBIA

La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos informáticos y la protección de la información y de los datos con penas de prisión de hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales vigentes


Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evita incurrir en alguno de estos tipos penales.

Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

- Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

- Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

- Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

- Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

    En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

    La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

Es primordial mencionar que este artículo tipifica lo que comúnmente se denomina “phishing”, modalidad de estafa que usualmente utiliza como medio el correo electrónico pero que cada vez con más frecuencia utilizan otros medios de propagación como por ejemplo la mensajería instantánea o las redes sociales. Según la Unidad de Delitos Informáticos de la Policía Judicial (Dijín) con esta modalidad se robaron más de 3.500 millones de pesos de usuarios del sistema financiero en el 2006[2].

Un punto importante a considerar es que el artículo 269H agrega como circunstancias de agravación punitiva de los tipos penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones
3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.
5. Obteniendo provecho para si o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.

Es de anotar que estos tipos penales obligan tanto a empresas como a personas naturales a prestar especial atención al tratamiento de equipos informáticos así como al tratamiento de los datos personales más teniendo en cuenta la circunstancia de agravación del inciso 3 del artículo 269H que señala “por quien tuviere un vínculo contractual con el poseedor de la información”.

Por lo tanto, se hace necesario tener unas condiciones de contratación, tanto con empleados como con contratistas, claras y precisas para evitar incurrir en la tipificación penal.

Por su parte, el capítulo segundo establece:

- Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239[3] manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 del Código Penal[4], es decir, penas de prisión de tres (3) a ocho (8) años.

- Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.

     La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa[5] .

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.

Así mismo, la Ley 1273 agrega como circunstancia de mayor puntibilidad en el artículo 58 del Código Penal el hecho de realizar las conductas punibles utilizando medios informáticos, electrónicos ó telemáticos.

REFERENCIA BIBLIOGRÁFICA

Tomado de DELTA (Asesores de Aseosorìa y consultorìa para sacarle provecho a la informática)    DELGADO,Moreno Alejandro Director del Área de Telecomunicaciones, Medios y Nuevas Tecnologías http://www.deltaasesores.com/articulos/autores-invitados/otros/3576-ley-de-delitos-informaticos-en-colombia.

Read More