Presentado por:
Yan Carlos Herrera Snchez
Tutor
Sally Carolina Hooker Corredor
Curso virtual
Controles y seguridad informtica
Introduccin
Se entiende por seguridad informtica al conjunto de normas,
procedimientos y herramientas, que tienen como objetivo garantizar la
disponibilidad, integridad, confidencialidad y buen uso de la informacin
que reside en un sistema de informacin.
Las amenazas que debe considerar la seguridad informtica son de
distintos tipos:
Averas en los sistemas
Mal funcionamiento del software que procesa la informacin
Ataques malintencionados
Para prevenir estas amenazas, o para paliar sus efectos, uno de los
primeros elementos que debe considerar un sistema de seguridad
informtica es un sistema de monitorizacin, que permita detectar
consumos inesperados de recursos, averas, intrusiones y ataques
redes sociales
Son otra fuente de delitos informticos que hay que tener en cuenta. El
intercambio de informacin realizado en las plataformas sociales
predispone a una pequea empresa a los ataques cibernticos. Algunos
perfiles y comentarios de los empleados pueden atraer la atencin de
los piratas informticos. Estos pueden iniciar ataques virales que se
propagan muy rpidamente entre los usuarios de la red social. Es
importante evitar los enlaces sospechosos y las aplicaciones que
requieren el intercambio de informacin, ya que podran ser malware.
redes inalmbricas,
Comnmente llamadas wi-fi, estn aumentando en popularidad. Los
piratas informticos son cada vez ms sofisticados y son capaces de
infiltrarse en las redes de este tipo con independencia de la
autenticacin y el cifrado. Esto se convierte en una amenaza importante
para las pequeas empresas, ya que una vez conectados a la red wi-fi
pueden acceder a gran cantidad de informacin relacionada con la
empresa.
click-jacking
Es un mtodo empleado por los ciberdelincuentes para ocultar los
vnculos de una pgina web que se utilizarn para solicitar informacin
confidencial o para tomar el control del ordenador del usuario. Para
combatir este tipo de delito informtico hay que disponer de un buen
software de seguridad y mantenerlo actualizado.
ataques de phishing
Son comunes en la apertura de correos electrnicos en los que se revela
informacin sensible pensando que el correo ha sido enviado por una
entidad legtima. Existen software para escanear todos los correos
El 5 de enero de 2009, el Congreso de la Repblica de Colombia promulg la Ley 1273 Por medio del cual se modifica el
Cdigo Penal, se crea un nuevo bien jurdico tutelado denominado De la Proteccin de la informacin y de los datos- y
se preservan integralmente los sistemas que utilicen las tecnologas de la informacin y las comunicaciones, entre otras
disposiciones.
Dicha ley tipific como delitos una serie de conductas relacionadas con el manejo de datos personales, por lo que es de
gran importancia que las empresas se blinden jurdicamente para evitar incurrir en alguno de estos tipos penales.
No hay que olvidar que los avances tecnolgicos y el empleo de los mismos para apropiarse ilcitamente del patrimonio de
terceros a travs de clonacin de tarjetas bancarias, vulneracin y alteracin de los sistemas de cmputo para recibir
servicios y transferencias electrnicas de fondos mediante manipulacin de programas y afectacin de los cajeros
automticos, entre otras, son conductas cada vez ms usuales en todas partes del mundo. Segn la Revista Cara y Sello,
durante el 2007 en Colombia las empresas perdieron ms de 6.6 billones de pesos a raz de delitos informticos.
De ah la importancia de esta ley, que adiciona al Cdigo Penal colombiano el Ttulo VII BIS denominado "De la Proteccin
de la informacin y de los datos" que divide en dos captulos, a saber: De los atentados contra la confidencialidad, la
integridad y la disponibilidad de los datos y de los sistemas informticos y De los atentados informticos y otras
infracciones.
El captulo primero adiciona el siguiente articulado (subrayado fuera del texto):
- Artculo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMTICO. El que, sin autorizacin o por fuera de lo acordado,
acceda en todo o en parte a un sistema informtico protegido o no con una medida de seguridad, o se mantenga dentro del
mismo en contra de la voluntad de quien tenga el legtimo derecho a excluirlo, incurrir en pena de prisin de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes.
- Artculo 269B: OBSTACULIZACIN ILEGTIMA DE SISTEMA INFORMTICO O RED DE TELECOMUNICACIN. El
que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informtico, a los
datos informticos all contenidos, o a una red de telecomunicaciones, incurrir en pena de prisin de cuarenta y ocho (48)
a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales mensuales vigentes, siempre que la
conducta no constituya delito sancionado con una pena mayor.
- Artculo 269C: INTERCEPTACIN DE DATOS INFORMTICOS. El que, sin orden judicial previa intercepte datos
informticos en su origen, destino o en el interior de un sistema informtico, o las emisiones electromagnticas provenientes
de un sistema informtico que los trasporte incurrir en pena de prisin de treinta y seis (36) a setenta y dos (72) meses.
- Artculo 269D: DAO INFORMTICO. El que, sin estar facultado para ello, destruya, dae, borre, deteriore, altere o
suprima datos informticos, o un sistema de tratamiento de informacin o sus partes o componentes lgicos, incurrir en
pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales
mensuales vigentes.
- Artculo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera,
distribuya, venda, enve, introduzca o extraiga del territorio nacional software malicioso u otros programas de computacin
de efectos dainos, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mnimos legales mensuales vigentes.
- Artculo 269F: VIOLACIN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un
tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, enve, compre, intercepte, divulgue, modifique o emplee
cdigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrir en
pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mnimos legales
mensuales vigentes.
Al respecto es importante aclarar que la Ley 1266 de 2008 defini el trmino dato personal como cualquier pieza de
informacin vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona
natural o jurdica. Dicho artculo obliga a las empresas un especial cuidado en el manejo de los datos personales de sus
empleados, toda vez que la ley obliga a quien sustraiga e intercepte dichos datos a pedir autorizacin al titular de los
mismos.
- Artculo 269G: SUPLANTACIN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilcito y
sin estar facultado para ello, disee, desarrolle, trafique, venda, ejecute, programe o enve pginas electrnicas, enlaces o
ventanas emergentes, incurrir en pena de prisin de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mnimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena ms
grave.
En la misma sancin incurrir el que modifique el sistema de resolucin de nombres de dominio, de tal manera que haga
entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre
que la conducta no constituya delito sancionado con pena ms grave.
La pena sealada en los dos incisos anteriores se agravar de una tercera parte a la mitad, si para consumarlo el agente
ha reclutado vctimas en la cadena del delito.
Es primordial mencionar que este artculo tipifica lo que comnmente se denomina phishing, modalidad de estafa que
usualmente utiliza como medio el correo electrnico pero que cada vez con ms frecuencia utilizan otros medios de
propagacin como por ejemplo la mensajera instantnea o las redes sociales. Segn la Unidad de Delitos Informticos de
la Polica Judicial (Dijn) con esta modalidad se robaron ms de 3.500 millones de pesos de usuarios del sistema financiero
en el 2006[2].
Un punto importante a considerar es que el artculo 269H agrega como circunstancias de agravacin punitiva de los tipos
penales descritos anteriormente el aumento de la pena de la mitad a las tres cuartas partes si la conducta se cometiere:
1.
2.
3.
Sobre redes o sistemas informticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales
o extranjeros.
Por servidor pblico en ejercicio de sus funciones
Aprovechando la confianza depositada por el poseedor de la informacin o por quien tuviere un vnculo
contractual con este.
4.
5.
6.
7.
8.
Es de anotar que estos tipos penales obligan tanto a empresas como a personas naturales a prestar especial atencin al
tratamiento de equipos informticos as como al tratamiento de los datos personales ms teniendo en cuenta la
circunstancia de agravacin del inciso 3 del artculo 269H que seala por quien tuviere un vnculo contractual con el
poseedor de la informacin.
Por lo tanto, se hace necesario tener unas condiciones de contratacin, tanto con empleados como con contratistas, claras
y precisas para evitar incurrir en la tipificacin penal.
Por su parte, el captulo segundo establece:
- Artculo 269I: HURTO POR MEDIOS INFORMTICOS Y SEMEJANTES. El que, superando medidas de seguridad
informticas, realice la conducta sealada en el artculo 239[3] manipulando un sistema informtico, una red de sistema
electrnico, telemtico u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticacin y de
autorizacin establecidos, incurrir en las penas sealadas en el artculo 240 del Cdigo Penal[4], es decir, penas de prisin
de tres (3) a ocho (8) aos.
- Artculo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con nimo de lucro y valindose de alguna
manipulacin informtica o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un
tercero, siempre que la conducta no constituya delito sancionado con pena ms grave, incurrir en pena de prisin de
cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mnimos legales mensuales vigentes.
La misma sancin se le impondr a quien fabrique, introduzca, posea o facilite programa de computador destinado a la
comisin del delito descrito en el inciso anterior, o de una estafa[5] .
Si la conducta descrita en los dos incisos anteriores tuviere una cuanta superior a 200 salarios mnimos legales mensuales,
la sancin all sealada se incrementar en la mitad.
As mismo, la Ley 1273 agrega como circunstancia de mayor punibilidad en el artculo 58 del Cdigo Penal el hecho de
realizar las conductas punibles utilizando medios informticos, electrnicos o telemticos.
Como se puede apreciar, la Ley 1273 es un paso importante en la lucha contra los delitos informticos en Colombia, por lo
que es necesario que se est preparado legalmente para enfrentar los retos que plantea.
En este sentido y desde un punto de vista empresarial, la nueva ley pone de presente la necesidad para los empleadores de
crear mecanismos idneos para la proteccin de uno de sus activos ms valiosos como lo es la informacin.
Las empresas deben aprovechar la expedicin de esta ley para adecuar sus contratos de trabajo, establecer deberes y
sanciones a los trabajadores en los reglamentos internos de trabajo, celebrar acuerdos de confidencialidad con los mismos
y crear puestos de trabajo encargados de velar por la seguridad de la informacin.
Por otra parte, es necesario regular aspectos de las nuevas modalidades laborales tales como el teletrabajo o los trabajos
desde la residencia de los trabajadores los cuales exigen un nivel ms alto de supervisin al manejo de la informacin.
As mismo, resulta conveniente dictar charlas y seminarios al interior de las organizaciones con el fin de que los
trabajadores sean conscientes del nuevo rol que les corresponde en el nuevo mundo de la informtica.
Lo anterior, teniendo en cuenta los perjuicios patrimoniales a los que se pueden enfrentar los empleadores debido al uso
inadecuado de la informacin por parte de sus trabajadores y dems contratistas.
Pero ms all de ese importante factor, con la promulgacin de esta ley se obtiene una herramienta importante para
denunciar los hechos delictivos a los que se pueda ver afectado, un cambio importante si se tiene en cuenta que
anteriormente las empresas no denunciaban dichos hechos no slo para evitar daos en su reputacin sino por no tener
herramientas especiales.
TERRORISMOS COMPUTACIONALES
Acceso no autorizado
Destruccin de datos
Estafas electrnicas en comercio electrnico
Falsificacin o alteracin de documentos (tarjetas de crdito,
cheques, etc)
Trasferencias de fondos no autorizado
Leer informacin confidencial (robo o copia)
Modificacin de datos de entrada / salida
Utilizar sin autorizacin programas computacionales
Alterar el funcionamiento del sistema (poner virus)
Obtencin de reportes residuales impresos
Entrar en reas de informticas no autorizadas
Planeacin de delitos convencionales (robo, fraude, homicidios)
intervenir lneas de comunicacin
interceptar un correo electrnico
espionaje, terrorismo, narcotrfico, etc.
CoolWebSearch (CWS)
Gator (tambin conocido como Gain)
Internet Optimizer
PurityScan
n-CASE
Transponder o vx2
ISTbar/AUpdate
KeenValue
Perfect Keylogger
TIBS Dialer
Troyano
Gusanos
Polimrficos
De accin directa
De enlace a directorio
Encriptados
Virus falsos
Conclusiones
Fuentes bibliogrficas
http://www.deltaasesores.com/articulos/autoresinvitados/otros/3576-ley-de-delitos-informaticos-en-colombia
http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
http://delitosinfo.bligoo.cl/delitos-informaticos-actuales#.VXnINKG8gg