Que es un Firewall (Cortafuego)
Un cortafuegos (o firewall en inglés), es un elemento de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones prohibidas por las políticas de red, las cuales se fundamentan en las necesidades del usuario.Forman una barrera para proteger a los ordenadores conectados a Internet en las dos direcciones: evitan una intrusión al PC desde la Red e impiden que los programas instalados accedan a Internet sin permiso.
Su objetivo es prevenir ataques a las redes (sea Internet o la intranet de una empresa) y para lograrlo emplean distintos medios.
Tipos de cortafuegos
Los cortafuegos tradicionales son de hardware, es decir, un dispositivo específico instalado en una red para levantar una defensa y proteger a la red del exterior. Son los utilizados en entorno profesionales: el administrador de red define una serie de reglas para permitir el acceso y detiene los intentos de conexión no permitidos.
Los cortafuegos personales son programas que filtran el tráfico que entra y sale de una computadora. Una vez instalados, el usuario debe definir el nivel de seguridad: permite o deniega el acceso de determinados programas a Internet (de forma temporal o definitiva) y autoriza o no los accesos desde el exterior.
Sus ventajas mas notorias:
Protege de intrusiones.- Solamente entran a la red las personas autorizadas basadas en la política de la red en base a las configuraciones.
Optimización de acceso.
- Identifica los elementos de la red internos y optimiza que la comunicación entre ellos sea más directa si así se desea. Esto ayuda a reconfigurar rápida y fácilmente los parámetros de seguridad.Protección de información privada.
- Permite el acceso solamente a quien tenga privilegios a la información de cierta área o sector de la red.Protección contra virus.
- Evita que la red se vea infestada por nuevos virus que sean liberados.
Aunque el usuario medio pueda creer que eso de los ataques no es algo que le pueda suceder en su casa a su computadora, el cortafuegos se convierte un elemento imprescindible si se utiliza mucho el ordenador y se está conectado permanentemente mediante ADSL o cable. El firewall evitará la entrada de los programas que rastrean direcciones IP (un número que se asigna cada ordenador conectado) a la caza de conexiones por banda ancha que parasitar, a la vez que frustrará los intentos de los programas espía de robar datos del PC y de los troyanos de abrir brechas de seguridad.
La configuración correcta de cortafuegos se basa en conocimientos considerables de los protocolos de red y de la seguridad de la computadora. Errores pequeños pueden dejar a un cortafuego sin valor como herramienta de seguridad.
En Internet se pueden encontrar versiones no profesionales de cortafuegos, suficientes para el usuario doméstico, que se pueden descargar de forma gratuita. El más popular es ZoneAlarm, aunque existen otros como Outpost, Kerio o Sygate.
También hay cortafuegos integrados en los programas antivirus o en el propio sistema operativo. El que viene con Windows XP no es demasiado seguro porque, al contrario que otros cortafuegos, sólo vigila las conexiones entrantes, mientras que el tráfico de salida no está restringido.
Los cortafuegos, por defecto, se activan siempre que se enciende el ordenador. Hay que configurarlo con cuidado, pues puede ocurrir que no funcione el correo electrónico o no se abran páginas web en el navegador porque el ‘firewall’ no permite a estos programas acceder a Internet.
Para eso concentran todo el flujo entrante y saliente entre la PC e Internet y bloquea los pedidos de enlaces no solicitados por el usuario potencialmente inseguros, instalaciones clandestinas de programas y algunos hasta bloquean pop ups, publicidades, etc.
Como funcionan los FirewallSe
manejan por zonas (seguras o no) o bien por niveles de seguridad, los que establece el usuario según el grado de permisividad que le imponga al equipo. Pero luego el programa se va configurando con el tiempo. Como decimos en cada review, en realidad con los Firewalls no hay que hacer nada, sólo configurarlos según las necesidades o gustos del usuario, cosa que no termina con la instalación.
Tras esta, una vez que el usuario se conecta a Internet (o aún antes) comienza a trabajar el programa. Los primeros días de uso pueden ser un tanto engorrosos ya que tanto el usuario como el programa “aprenden” mutuamente. El usuario aprende las funciones y el programa qué cosas debe dejar pasar, qué bloquear y qué programas dejar conectar, por eso al principio son puras preguntas, hasta que se van conformando las reglas de uso en la medida que el usuario haga determinadas acciones con las alarmas que pueden ser de varios tipos. Con este tipo de aviso el programa pide que se defina la regla que se va a aplicar entre alguna de las posibles.Una vez que se determina qué hacer con esa acción (por ejemplo permitir que un programa se conecte siempre a Internet), con cada cartel de alerta se van configurando las reglas ya que luego ese aviso no va a volver a aparecer. Con el tiempo estos avisos se reducen al mínimo.Por cada acción crean un registro de la actividad (log) para el posterior análisis del usuario.
Tipos de peligros que puede evitar un firewall
-Instalación y ejecución de programas instalados clandestinamente desde Internet, por ejemplo vía aplicaciones ActiveX o Java que pueden llegar a transferir datos personales del usuario a sitios.
-Acceso de terceros por fallas o errores de configuración de Windows (por ejemplo de NetBIOS).
-Instalación de publicidad (advertisers) o elementos de seguimiento (track) como las cookies.
-Troyanos: aplicaciones ocultas que se descargan de la red y que pueden ser usadas por terceros para extraer datos personales. A diferencia del virus, estos troyanos son activados en forma remota por un tercero.
-Reducción del ancho de banda disponible por el tráfico de banners, pop us, sitios no solicitados, y otro tipo de datos innecesarios que ralentizan la conexión.
-Spyware
-Utilización de la línea telefónica por terceros por medio de Dialers (programas que cortan la actual conexión y utilizan la línea para llamadas de larga distancia)
A-squared Free
A-squared Free
La seguridad no debe ser un privilegio. Bajo esta consigna, Emsi Software brinda el buscador de Malware a-squared Free completamente gratis para uso personal.
No es una version limitada; es una herramienta completa para limpiar su ordenador del Malware.
Ademas de Spyware, detecta Troyanos, Puertas traseras, Gusanos, Marcadores, Keyloggers y muchos otras amenazas que hacen peligroso navegar en la red.
a-squared remueve confiablemente:
* Troyanos, Puertas traseras, Keyloggers, RootkitsLos Troyanos y las Puertas traseras proveen el acceso de extraños a su informacion. Una vez que una Puerta trasera es instalada, el atacante puede tomar control total de su PC. Un Troyano se puede describir como una un programa que pretende ser algo que en realidad no es – usualmente contienen una puerta trasera y generalmente llegan como un archivo adjunto en un mail. Un Keylogger es un tipo de Malware que salva todas las teclas que aprieta sin que Ud. se de cuenta mientras que los Rootkits inyectan codigo nocivo en su ordenador. a-squared Anti-Malware se especializa en reconocer y eliminar estos tipos de Malware.
* Gusanos, BotsLos virus gusanos son uno de los fenomenos mas irritantes de inernet. Usualmente son transmitidos como archivos adjuntos. Los gusanos mandan copias de ellos mismos a todos los destinatarios posibles causando un gran daño. Los gusanos de internet y los Bots, utilizan falencias en su ordenador para infectar su PC y se reproducen a grandes velocidades. Sin que Ud. lo note, su PC se convierte en un gran zombie mandador de spam! a-squared Anti-Malware elimina gusanos de su PC y previene sus daños. El Malware-IDS tambien bloquea los ataques donde tu sistema operativo es mas debil. a-squared Free elimina a los gusanos de su ordenador.
* MarcadoresCambian el número de marcado de su modem por un número de tarifa premium (PRN) el cual incrementará considerablemente el costo de su factura telefónica. a-squared Free remueve esos marcadores.
* Spyware, AdwareAdware y HiJackers muestran continuamente publicidad en molestas ventanas emergentes y también espían su información privada. Los Hijackers cambian la pagina de inicio de su navegador sin que Ud. pueda volver a su preferida! Tambien reconoce las trazas Spyware en el Registry y Cookies de rastreo.
Scanners on-line
Virus totalwww.Virustotal.com
AntiVir scannerwww.Old.AntiVir.ru/english/www_av
Virus chiefwww.Viruschief.com/index.html
Filter bitwww.Filterbit.com
Vir scanwww.Virscan.org
Virus scanwww.Virusscan.jotti.org
No virus thanks (EL MÁS RECOMENDADO)www.Scanner.Novirusthanks.org
Scripts para Erradicar los virus de tu PC
Eliminando el Amvo By :: SmartGenius ::Para quitar el virus AMVO, con algunas de sus variantes, aunque se pueden agregar mas... (pa39xth.cmd, tio8x6.cmd, d.com, b.com, t.com v.cmd, 0hct8ybw.bat y otros)se puede modificar para adaptar a otra variante de virus ej : kavo.exeen cada parte donde diga amvo, lo cambian por kavo y listo...osea cambian las dos primeras letras am por ka...Saludos.
________________________________________________________________________________________________
@echo offtitle Malware Removal Tool ;) - By Smartgeniuscolor 0aif exist "%windir%\system32\amvo.exe" (goto main) else (goto nop):mainecho.echo.echo Se ha Detectado el Virus AMVO.EXEecho Se procedera a Eliminarlo del Sistema...echo.echo Deshabilitando el Sistema, por unos instantesecho mientras se realiza la desinfeccion...taskkill /f /im explorer.exereg add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /fcd %windir%\system32echo.echo Explorando la carpeta del sistema...attrib -r -s -hping -n 0,5 0.0.0.0 > nulreg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v amva /fdel /f amvo.exedel /f amvo0.dlldel /f amvo1.dlldel /f amvo2.dllcd\clsecho.echo Explorando el Disco Duro C:attrib -r -s -hping -n 0,5 0.0.0.0 > nuldel /f autorun.infdel /f 0hct8ybw.batdel /f v.cmddel /f d.comdel /f b.comecho.pauseif exist D: (goto next) else (goto next2):nextD:clsecho.echo Explorando el Disco Duro D:attrib -r -s -hping -n 0,5 0.0.0.0 > nuldel /f autorun.infdel /f 0hct8ybw.batdel /f v.cmddel /f d.comdel /f b.comecho.pauseif exist E: (goto next2) else (goto next3):next2E:clsecho.echo Explorando el Disco E:attrib -r -s -hping -n 0,5 0.0.0.0 > nuldel /f autorun.infdel /f 0hct8ybw.batdel /f v.cmddel /f d.comdel /f b.comecho.pauseif exist F: (goto next3) else (goto yap):next3F:clsecho.echo Explorando el Disco F:attrib -r -s -hping -n 0,5 0.0.0.0 > nuldel /f autorun.infdel /f 0hct8ybw.batdel /f v.cmddel /f d.comdel /f b.comgoto yap:yapclsecho.echo.echo El Virus ha sido Eliminado con Exito...echo.echo Se reestablecera el sistemaecho.pauseexplorermsg /w * Gracias por Usar este Softexit:nopecho.echo.echo No se ha Detectado el Virus AMVOecho.echo Gracias por Usar este Soft... ;)echo.pauseexitEliminando el troyano RECYCLER y algunas variantes... By Smartgenius
________________________________________________________________________________________________
@echo offtitle Malware Removal Tool ;) - By Smartgeniuscolor 0aif exist "C:\WINDOWS\wscmgr.exe" (goto main) else (goto nop):mainecho.echo.echo Se ha Detectado el Virus MSOCache - Variante WSCMGRecho Para poder Eliminarlo debera Contar conecho privilegios de Administrador, de lo contrarioecho no se podra limpiar el sistema Satisfactoriamente...echo.pauseecho.echo Deshabilitando el Sistema, por unos instantesecho mientras se realiza la desinfeccion...taskkill /f /im explorer.exetaskkill /f /im wscmgr.exereg add HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 1 /fping -n 1 0.0.0.0 > nulcd\attrib -r -s -hcd WINDOWSattrib -r -s -hdel /f %windir%\wscmgr.exedel /f %windir%\data7933.sysdel /f %windir%\data7933~.sysreg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v wscmgr /fpauseif exist D: (goto next1) else goto (next2):next1echo.echo.echo Examinando Disco D:D:attrib -r -s -hdel /f autorun.infRMDIR /S /Q MSOCachepauseif exist E: (goto next2) else goto (next3):next2echo.echo.echo Examinando Disco E:E:attrib -r -s -hdel /f autorun.infRMDIR /S /Q MSOCachepauseif exist F: (goto next2) else goto (yap2):next3echo.echo.echo Examinando Disco F:F:attrib -r -s -hdel /f autorun.infRMDIR /S /Q MSOCachepausegoto yap2:yap2clsecho.echo.echo El Virus MSOCache (wscmgr) ha sido Eliminado con Exito...echo sin embargo, es posible que la carpeta MSOCache,echo no funcione.echo.echo Nota: La carpeta MSOCache, se encuentra en el Disco Local C:echo y alli se guardan los archivos de instlacion del Office.echo.echo Se reestablecera el sistemaecho.pauseexplorermsg /w * Gracias por Usar este Softexit:nopecho.echo.echo No se ha Detectado el Virus MSOCacheecho.echo Gracias por Usar este Soft... ;)echo.pauseexitEliminando el SOUNDMIX... pero me falta terminarlo... By Smartgenius
Eliminando el Worm.Brontok By Codebuser ( Descripcion )
Código:
erase /f /s /q "C:\Documents and Settings\Luis\Configuración local\Datos de programa\*.*"attrib -s -h "C:\Documents and Settings\Luis\Configuración local\Datos de programa\br4281on.exe"erase /f /s /q "C:\Documents and Settings\Luis\Configuración local\Datos de programa\br4281on.exe"attrib -s -h "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"erase /f /s /q "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"erase /f /s /q "C:\Documents and Settings\Luis\Configuración local\Datos de programa\*.*"pause
@echo offtitle Malware Removal Tool by :: SmartGenius ::color 0aif exist %windir%\system32\found.exe.exe (goto sip) else (goto nop):sipclsecho.echo Se ha detectado el Virus FOUND.EXEecho Se procedera a erradicarlo del sistema...echo.pauseecho.echo Deshabilitando el sistema mientras se realiza la desinfeccion...ping -n 1 0.0.0.0 > nultaskkill /f /im explorer.exetaskkill /f /im found.exe.exedel /f /q %windir%\system32\found.exe.exedel /f /q %windir%\system32\winsub.xmldel /f /q %windir%\system32\svcp.csvping -n 2 0.0.0.0 > nulexplorergoto nop:nopclsecho.echo El virus FOUND.EXE no se encuentra en el sistemaecho o ya ha sido eliminado exitosamente...echo.pauseexit
________________________________________________________________________________________________
@echo offtitle Malware Removal Tool by :: SmartGenius ::color 0aif exist %windir%\herjek.exe (goto sip) else (goto nop):sipclsecho.echo Se ha detectado el Virus HERJEKecho Se procedera a erradicarlo del sistema...echo.pauseecho.echo Deshabilitando el sistema mientras se realiza la desinfeccion...ping -n 1 0.0.0.0 > nultaskkill /f /im explorer.exetaskkill /f /im herjek.exedel /f /q %windir%\herjek.exedel /f /q %windir%\herjek.configreg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v herjek /freg delete HKU\S-1-5-21-1606980848-1757981266-682003330-500\Software\Microsoft\Windows\CurrentVersion\Run /v herjek /fping -n 2 0.0.0.0 > nulexplorergoto nop:nopclsecho.echo El virus HERJEK no se encuentra oecho ya ha sido eliminado exitosamenteecho.pauseexit
@echo offtitle Malware Removal Tool by :: SmartGenius ::color 0aif exist %windir%\winlogon.exe (goto sip) else (goto nop):sipclsecho.echo Se ha detectado el Virus WINLOGONecho Se procedera a erradicarlo del sistema, pero esteecho metodo debe hacerse en modo aprueba de errores yaecho que este proceso emula a otro que es del sistemaecho y no se dejara borrar tan facil.echo.pauseecho.echo Deshabilitando el sistema mientras se realiza la desinfeccion...ping -n 1 0.0.0.0 > nultaskkill /f /im explorer.exedel /f /q %windir%\winlogon.exereg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v runwinlogon /fping -n 2 0.0.0.0 > nulexplorergoto nop:nopclsecho.echo El virus WINLOGON no se encuentra oecho ya ha sido eliminado exitosamenteecho.pauseexit
@echo offtitle Malware Removal Tool by :: SmartGenius ::color 0aif not exist %windir%\system32\WinNt32.dll goto nopif exist %windir%\system32\drivers\Euo83.sys (set var=Euo83 & goto sip)if exist %windir%\system32\drivers\Mvd37.sys (set var=Mvd37 & goto sip)if exist %windir%\system32\drivers\Irv31.sys (set var=Irv31 & goto sip) else (got nop):sipclsecho.echo Se ha detectado el Virus WinNt32.dllecho con la variante %var%.sysecho.echo Este malware carga con el sistema como un servicio y esecho protegido por el kernel de Windows por lo que es posibleecho que no sea eliminado en su totalidad o que esta herramientaecho presente errores...echo.echo Para hacerlo efectivo primero Restaure el sistema aun puntoecho anterior a la infeccion y luego ejecute esta herramienta deecho nuevo...echo.echo Para mas info visite:echo http://www.alertaantivirus.es/virus/detalle_virus.html?cod=7748echo. echo Desea visitar el Sitio Web ? Si (S) No (N)set /p opc="> "if %opc%==S (start http://www.alertaantivirus.es/virus/detalle_virus.html?cod=7748 & pause & exit)if %opc%==s (start http://www.alertaantivirus.es/virus/detalle_virus.html?cod=7748 & pause & exit)if %opc%==N goto elimif %opc%==n (goto elim) else (goto sip) :elimclsecho Se procedera a erradicarlo del sistema...echo.pauseecho.echo Deshabilitando el sistema mientras se realiza la desinfeccion...ping -n 1 0.0.0.0 > nultaskkill /f /im explorer.exedel /f /q %windir%\system32\WinNt32.dl_del /f /q %windir%\system32\WinNt32.dlldel /f /q %windir%\system32\WinCtrl32.dlldel /f /q %windir%\system32\WLCtrl32.dlldel /f /q %windir%\system32\drivers\%var%.sysreg delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\%var%.sys /freg delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\%var%.sys /freg delete HKLM\SYSTEM\ControlSet001\Services\%var%reg delete HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\%var%.sysreg delete HKLM\SYSTEM\ControlSet002\Control\SafeBoot\Network\%var%.sysreg delete HKLM\SYSTEM\ControlSet002\Services\%var%reg delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\%var%.sysreg delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\%var%.sysreg delete HKLM\SYSTEM\CurrentControlSet\Services\%var%ping -n 2 0.0.0.0 > nulexplorergoto nop:nopclsecho.echo El virus WinNt32.dll no se encuentra oecho ya ha sido eliminado exitosamente...echo.pauseexit
Proteccion C5
Una vez conocidas las vulnerabilidades y ataques a las que está expuesto un sistema es necesario
conocer los recursos disponibles para protegerlo. Mientras algunas técnicas son evidentes
(seguridad física por ejemplo) otras pautas no lo son tanto e incluso algunas pueden ocasionar una
sensación de falsa seguridad.
Muchas de las vulnerabilidades estudiadas son el resultado de implementación incorrecta de
tecnologías, otras son consecuencias de la falta de planeamiento de las mismas pero, como ya se ha
mencionado, la mayoría de los agujeros de seguridad son ocasionados por los usuarios de dichos
sistemas y es responsabilidad del administrador detectarlos y encontrar la mejor manera de
cerrarlos. En el presente capítulo, después de lo expuesto y vistas la gran cantidad de herramientas
con las que cuenta el intruso, es el turno de estudiar implementaciones en la búsqueda de mantener
el sistema seguro.
Siendo reiterativo, ninguna de las técnicas expuestas a continuación representarán el 100% de la
seguridad deseado, aunque muchas parezcan la panacea, será la suma de algunas de ellas las que
convertirán un sistema interconectado en confiable.
8.1 VULNERAR PARA PROTEGER
Los intrusos utilizan diversas técnicas para quebrar los sistemas de seguridad de una red.
Básicamente buscan los puntos débiles del sistema para poder colarse en ella. El trabajo de los
Administradores y Testers no difiere mucho de esto. En lo que sí se diferencia, y por completo, es
en los objetivos: mientras que un intruso penetra en las redes para distintos fines (investigación,
daño, robo, etc.) un administrador lo hace para poder mejorar los sistemas de seguridad.
En palabras de Julio C. Ardita 1 : “(...) los intrusos cuentan con grandes herramientas como los
Scanners, los cracking de passwords, software de análisis de vulnerabilidades y los exploits(...) un
administrador cuenta con todas ellas empleadas para bien, los Logs, los sistemas de detección de
intrusos y los sistemas de rastreo de intrusiones”.
Al conjunto de técnicas que se utilizan para evaluar y probar la seguridad de una red se lo conoce
como Penetration Testing, uno de los recursos más poderosos con los que se cuenta hoy para
generar barreras cada vez más eficaces. Un test está totalmente relacionado con el tipo de
información que se maneja en cada organización. Por consiguiente, según la información que deba
ser protegida, se determinan la estructura y las herramientas de seguridad; no a la inversa. El
software y el Hardware utilizados son una parte importante, pero no la única. A ella se agrega lo
que se denomina “políticas de seguridad internas” que cada organización (y usuario) debe generar e
implementar.
8.1.1 ADMINISTRACIÓN DE LA SEGURIDAD
Es posible dividir las tareas de administración de seguridad en tres grandes grupos:
• Autenticación: se refiere a establecer las entidades que pueden tener acceso al universo de
recursos de cómputo que cierto medio ambiente puede ofrecer.
• Autorización: es el hecho de que las entidades autorizadas a tener acceso a los recursos de
cómputo, tengan acceso únicamente a las áreas de trabajo sobre las cuales ellas deben tener
dominio.
• Auditoría: se refiere a la continua vigilancia de los servicios en producción. Entra dentro de
este grupo el mantener estadísticas de acceso, estadísticas de uso y políticas de acceso físico a
los recursos.
Por regla general, las políticas son el primer paso que dispone a una organización para entrar en un
ambiente de seguridad, puesto que reflejan su “voluntad de hacer algo” que permita detener un
posible ataque antes de que éste suceda (proactividad). A continuación se citan algunos de los
métodos de protección más comúnmente empleados.
1. Sistemas de detección de intrusos: son sistemas que permiten analizar las bitácoras de los
sistemas en busca de patrones de comportamiento o eventos que puedan considerarse sospechosos,
sobre la base de la información con la que han sido previamente alimentados. Pueden considerarse
como monitores.
2. Sistemas orientados a conexión de red: monitorizan las conexiones que se intentan establecer
en una red o equipo en particular, siendo capaces de efectuar una acción sobre la base de métricas
como: origen y destino de la conexión, servicio solicitado, permisos, etc. Las acciones que pueden
emprender suelen ir desde el rechazo de la conexión hasta alerta al administrador. En esta categoría
están los cortafuegos (Firewalls) y los Wrappers.
3. Sistemas de análisis de vulnerabilidades: analizan sistemas en busca de vulnerabilidades
conocidas anticipadamente. La “desventaja” de estos sistemas es que pueden ser utilizados tanto por
personas autorizadas como por personas que buscan acceso no autorizado al sistema.
4. Sistemas de protección a la integridad de información: sistemas que mediante criptografía o
sumas de verificación tratan de asegurar que no ha habido alteraciones indeseadas en la información
que se intenta proteger. Algunos ejemplos son los programas que implementan algoritmos como
Message Digest (MD5) o Secure Hash Algorithm (SHA), o bien sistemas que utilizan varios de
ellos como PGP, Tripwire y DozeCrypt.
5. Sistemas de protección a la privacidad de la información: herramientas que utilizan
criptografía para asegurar que la información sólo sea visible para quien tiene autorización. Su
aplicación se realiza principalmente en las comunicaciones entre dos entidades. Dentro de este tipo
de herramientas se pueden citar a Pret Good Privacy (PGP), Secure Sockets Layer (SSL) y los
Certificados Digitales.
Resumiendo, un modelo de seguridad debe estar formado por múltiples componentes o capas que
pueden ser incorporadas de manera progresiva al modelo global de seguridad en la organización,
logrando así el método más efectivo para disuadir el uso no autorizado de sistemas y servicios de
red. Podemos considerar que estas capas son:
1. Política de seguridad de la organización.
2. Auditoría.
3. Sistemas de seguridad a nivel de Router–Firewall.
4. Sistemas de detección de intrusos.
5. Plan de respuesta a incidentes.
6. Penetration Test.
8.1.2 PENETRATION TEST, ETHICAL HACKING O PRUEBA DE VULNERABILIDAD
“El Penetration Test es un conjunto de metodologías y técnicas, para realizar una evaluación
integral de las debilidades de los sistemas informáticos. Consiste en un modelo que reproduce
intentos de acceso, a cualquier entorno informático, de un intruso potencial desde los diferentes
puntos de entrada que existan, tanto internos como remotos.”
El objetivo general del Penetration Test es acceder a los equipos informáticos de la organización
tratada e intentar obtener los privilegios del administrador del sistema, logrando así realizar
cualquier tarea sobre dichos equipos. También se podrá definir otros objetivos secundarios que
permitan realizar pruebas puntuales sobre algunos ámbitos particulares de la empresa.
El Penetration Test se compone de dos grandes fases de testeo:
1. Penetration Test Externo: el objetivo es acceder en forma remota a los equipos de la
organización y posicionarse como administrador del sistema. Se realizan desde fuera del Firewall y
consisten en penetrar la Zona Desmilitarizada para luego acceder a la red interna. Se compone de un
elevado número de pruebas, entre las que se puede nombrar:
• Pruebas de usuarios y la “fuerza” de sus passwords.
• Captura de tráfico.
• Detección de conexiones externas y sus rangos de direcciones.
• Detección de protocolos utilizados.
• Scanning de puertos TCP, UDP e ICMP.
• Intentos de acceso vía accesos remotos, módems, Internet, etc.
• Análisis de la seguridad de las conexiones con proveedores, trabajadores remotos o entidades
externas a la organización .
• Pruebas de vulnerabilidades existentes y conocidas en el momento de realización del Test.
• Prueba de ataques de Denegación de Servicio.
2. Penetration Test Interno: este tipo de testeo trata de demostrar cual es el nivel de seguridad
interno. Se deberá establecer que puede hacer un Insider y hasta donde será capaz de penetrar en el
sistema siendo un usuario con privilegios bajos. Este Test también se compone de numerosas
pruebas:
• Análisis de protocolos internos y sus vulnerabilidades.
• Autenticación de usuarios.
• Verificación de permisos y recursos compartidos.
• Test de los servidores principales (WWW, DNS, FTP, SMTP, etc.).
• Test de vulnerabilidad sobre las aplicaciones propietarias.
• Nivel de detección de la intrusión de los sistemas.
• Análisis de la seguridad de las estaciones de trabajo.
• Seguridad de la red.
• Verificación de reglas de acceso.
• Ataques de Denegación de Servicio
8.1.3 HONEYPOTS–HONEYNETS
Estas “Trampas de Red” son sistemas que se activan con la finalidad específica de que los expertos
en seguridad puedan observar en secreto la actividad de los Hackers/Crackers en su hábitat natural.
Actualmente un equipo de Honeynet Project trabaja en el desarrollo de un documento sobre la
investigación y resultados de su trampa, la cual fue penetrada a la semana de ser activada (sin
publicidad).
“Consiste en activar un servidor y llenarlo de archivos tentadores, hacer que sea difícil, pero no
imposible penetrarlo y sentarse a esperar que aparezcan los intrusos. Los Honeynets dan a los
crackers un gran espacio para recorrer. Presentan obstáculos que poseen el nivel de complejidad
suficiente para atraerlos, pero sin irse al extremo para no desalentarlos (...). Ellos juegan con los
archivos y conversan animadamente entre ellos sobre todos los ‘fascinantes programas’ que
encuentran, mientras el personal de seguridad observa con deleite cada movimiento que hacen”,
dijo Dan Adams. “Francamente, siento una combinación de sentimientos con respecto a espiar a la
gente, aunque no sean buenas personas”.
Esta última frase se está presentando a menudo en el tema de la investigación (y vigilancia)
electrónica. Este es el caso del ex–director del proyecto Honeynet J. D. Glaser, quien renunció a su
puesto después de aclarar que está convencido “que la vigilancia electrónica no es correcta, aunque
se utilice en aras de la investigación (...). Ampliar un Honeynet es parecido a entrampar los
derechos de otros, aunque sean los derechos de un delincuente.”
Con respecto a algunos de los resultados obtenidos por el grupo de investigación puede observarse
el siguiente ejemplo:
A un intruso le tomo menos de un minuto irrumpir en la computadora de su universidad a través de
Internet, estuvo dentro menos de media hora y a los investigadores le tomo 34 horas descubrir todo
lo que hizo.
Se estima que esas 34 horas de limpieza pueden costar U$S2.000 a una organización y U$S22.000
si se debiera tratar con un consultor especializado.
8.2 FIREWALLS
Quizás uno de los elementos más publicitados a la hora de establecer seguridad, sean estos
elementos. Aunque deben ser uno de los sistemas a los que más se debe prestar atención, distan
mucho de ser la solución final a los problemas de seguridad. De hecho, los Firewalls no tienen nada
que hacer contra técnicas como la Ingeniería Social y el ataque de Insiders.
Un Firewall es un sistema (o conjunto de ellos) ubicado entre dos redes y que ejerce la una política
de seguridad establecida. Es el mecanismo encargado de proteger una red confiable de una que no
lo es (por ejemplo Internet).
Puede consistir en distintos dispositivos, tendientes a los siguientes objetivos:
1. Todo el tráfico desde dentro hacia fuera, y viceversa, debe pasar a través de él.
2. Sólo el tráfico autorizado, definido por la política local de seguridad, es permitido.
Como puede observarse, el Muro Cortafuegos, sólo sirven de defensa perimetral de las redes, no
defienden de ataques o errores provenientes del interior, como tampoco puede ofrecer protección
una vez que el intruso lo traspasa.
Algunos Firewalls aprovechan esta capacidad de que toda la información entrante y saliente debe
pasar a través de ellos para proveer servicios de seguridad adicionales como la encriptación del
tráfico de la red. Se entiende que si dos Firewalls están conectados, ambos deben “hablar” el mismo
método de encriptación–desencriptación para entablar la comunicación.
8.2.1 ROUTERS Y BRIDGES
Cuando los paquetes de información viajan entre su destino y origen, vía TCP/IP, estos pasan por
diferentes Routers (enrutadores a nivel de Red).
Los Routers son dispositivos electrónicos encargados de establecer comunicaciones externas y de
convertir los protocolos utilizados en las LAN en protocolos de WAN y viceversa.
En cambio, si se conectan dos redes del tipo LAN se utilizan Bridges, los cuales son puentes que
operan a nivel de Enlace. La evolución tecnológica les ha permitido transformarse en computadoras
muy especializadas capaz de determinar, si el paquete tiene un destino externo y el camino más
corto y más descongestionado hacia el Router de la red destino. En caso de que el paquete provenga
de afuera, determina el destino en la red interna y lo deriva a la máquina correspondiente o devuelve
el paquete a su origen en caso de que él no sea el destinatario del mismo.
Los Routers “toman decisiones” en base a un conjunto de datos, regla, filtros y excepciones que le
indican que rutas son las más apropiadas para enviar los paquetes.
8.2.2 TIPOS DE FIREWALL
8.2.2.1 FILTRADO DE PAQUETES
Se utilizan Routers con filtros y reglas basadas en políticas de control de acceso. El Router es el
encargado de filtrar los paquetes (un Choke) basados en cualquiera de los siguientes criterios:
1. Protocolos utilizados.
2. Dirección IP de origen y de destino.
3. Puerto TCP–UDP de origen y de destino.
Estos criterios permiten gran flexibilidad en el tratamiento del tráfico. Restringiendo las
comunicaciones entre dos computadoras (mediante las direcciones IP) se permite determinar entre
cuales máquinas la comunicación está permitida.
El filtrado de paquetes mediante puertos y protocolos permite establecer que servicios estarán
disponibles al usuario y por cuales puertos. Se puede permitir navegar en la WWW (puerto 80
abierto) pero no acceder a la transferencia de archivos vía FTP (puerto 21 cerrado).
Debido a su funcionamiento y estructura basada en el filtrado de direcciones y puertos este tipo de
Firewalls trabajan en los niveles de Transporte y de Red del Modelo OSI y están conectados a
ambos perímetros (interior y exterior) de la red.
Tienen la ventaja de ser económicos, tienen un alto nivel de desempeño y son transparentes para los
usuarios conectados a la red. Sin embargo presenta debilidades como:
1. No protege las capas superiores a nivel OSI.
2. Las necesidades aplicativas son difíciles de traducir como filtros de protocolos y puertos.
3. No son capaces de esconder la topología de redes privadas, por lo que exponen la red al mundo
exterior.
4. Sus capacidades de auditoría suelen ser limitadas, al igual que su capacidad de registro de
actividades.
5. No soportan políticas de seguridad complejas como autentificación de usuarios y control de
accesos con horarios prefijados.
8.2.2.2 PROXY–GATEWAYS DE APLICACIONES
Para evitar las debilidades asociadas al filtrado de paquetes, los desarrolladores crearon software de
aplicación encargados de filtrar las conexiones. Estas aplicaciones son conocidas como Servidores
Proxy y la máquina donde se ejecuta recibe el nombre de Gateway de Aplicación o Bastion Host.
El Proxy, instalado sobre el Nodo Bastión, actúa de intermediario entre el cliente y el servidor real
de la aplicación, siendo transparente a ambas partes. Cuando un usuario desea un servicio, lo hace a
través del Proxy. Este, realiza el pedido al servidor real devuelve los resultados al cliente. Su
función fue la de analizar el tráfico de red en busca de contenido que viole la seguridad de la
misma. Gráficamente:
8.2.2.3 DUAL–HOMED HOST
Son dispositivos que están conectados a ambos perímetros (interior y exterior) y no dejan pasar
paquetes IP (como sucede en el caso del Filtrado de Paquetes), por lo que se dice que actúan con el
“IP–Forwarding desactivado”.
Un usuario interior que desee hacer uso de un servicio exterior, deberá conectarse primero al
Firewall, donde el Proxy atenderá su petición, y en función de la configuración impuesta en dicho
Firewall, se conectará al servicio exterior solicitado y hará de puente entre este y el usuario interior.
Es decir que se utilizan dos conexiones. Uno desde la máquina interior hasta el Firewall y el otro
desde este hasta la máquina que albergue el servicio exterior.
8.2.2.4 SCREENED HOST
En este caso se combina un Router con un host bastión y el principal nivel de seguridad proviene
del filtrado de paquetes. En el bastión, el único sistema accesible desde el exterior, se ejecuta el
Proxy de aplicaciones y en el Choke se filtran los paquetes considerados peligrosos y sólo se
permiten un número reducido de servicios.
Gráfico 8.4 – Screened Host
8.2.2.5 SCREENED SUBNET
En este diseño se intenta aislar la máquina más atacada y vulnerable del Firewall, el Nodo Bastión.
Para ello se establece una Zona Desmilitarizada (DMZ) de forma tal que sin un intruso accede a
esta máquina no consiga el acceso total a la subred protegida.
En este esquema se utilizan dos Routers: uno exterior y otro interior. El Router exterior tiene la
misión de bloquear el tráfico no deseado en ambos sentidos: hacia la red interna y hacia la red
externa. El Router interior hace lo mismo con la red interna y la DMZ (zona entre el Router externo
y el interno).
Es posible definir varias niveles de DMZ agregando más Routers, pero destacando que las reglas
aplicadas a cada uno deben ser distintas ya que en caso contrario los niveles se simplificarían a uno
solo.
Como puede apreciarse la Zona Desmilitarizada aisla fisicamente los servicios internos, separadolos
de los servicios públicos. Además, no existe una conexión directa entre la red interna y la externa.
Los sistemas Dual–Homed Host y Screnned pueden ser complicados de configurar y comprobar, lo
que puede dar lugar, paradójicamente, a importantes agujeros de seguridad en toda la red. En
cambio, si se encuentran bien configurados y administrados pueden brindar un alto grado de
protección y ciertas ventajas:
1. Ocultamiento de la información: los sistemas externos no deben conocer el nombre de los
sistemas internos. El Gateway de aplicaciones es el único autorizado a conectarse con el exterior y
el encargado de bloquear la información no solicitada o sospechosa.
2. Registro de actividades y autenticación robusta: El Gateway requiere de autenticación cuando se
realiza un pedido de datos externos. El registro de actividades se realiza en base a estas solicitudes.
3. Reglas de filtrado menos complejas: Las reglas del filtrado de los paquetes por parte del Router
serán menos compleja dado a que él sólo debe atender las solicitudes del Gateway.
Así mismo tiene la desventaja de ser intrusivos y no transparentes para el usuario ya que
generalmente este debe instalar algún tipo de aplicación especializada para lograr la comunicación.
Se suma a esto que generalmente son más lentos porque deben revisar todo el tráfico de la red.
8.2.2.6 INSPECCIÓN DE PAQUETES
Este tipo de Firewalls se basa en el principio de que cada paquete que circula por la red es
inspeccionado, así como también su procedencia y destino. Se aplican desde la capa de Red hasta la
de Aplicaciones. Generalmente son instalados cuando se requiere seguridad sensible al contexto y
en aplicaciones muy complejas.
8.2.2.7 FIREWALLS PERSONALES
Estos Firewalls son aplicaciones disponibles para usuarios finales que desean conectarse a una red
externa insegura y mantener su computadora a salvo de ataques que puedan ocasionarle desde un
simple “cuelgue” o infección de virus hasta la pérdida de toda su información almacenada.
8.2.3 POLÍTICAS DE DISEÑO DE FIREWALLS
Las políticas de accesos en un Firewalls se deben diseñar poniendo principal atención en sus
limitaciones y capacidades pero también pensando en las amenazas y vulnerabilidades presentes en
una red externa insegura.
Conocer los puntos a proteger es el primer paso a la hora de establecer normas de seguridad.
También es importante definir los usuarios contra los que se debe proteger cada recurso, ya que las
medidas diferirán notablemente en función de esos usuarios.
Generalmente se plantean algunas preguntas fundamentales que debe responder cualquier política
de seguridad:
• ¿Qué se debe proteger?. Se deberían proteger todos los elementos de la red interna (hardware,
software, datos, etc.).
• ¿De quién protegerse?. De cualquier intento de acceso no autorizado desde el exterior y contra
ciertos ataques desde el interior que puedan preverse y prevenir. Sin embargo, podemos definir
niveles de confianza, permitiendo selectivamente el acceso de determinados usuarios externos a
determinados servicios o denegando cualquier tipo de acceso a otros.
• ¿Cómo protegerse?. Esta es la pregunta más difícil y está orientada a establecer el nivel de
monitorización, control y respuesta deseado en la organización.
Puede optarse por alguno de los siguientes paradigmas o estrategias:
a. Paradigmas de seguridad
• Se permite cualquier servicio excepto aquellos expresamente prohibidos.
• Se prohíbe cualquier servicio excepto aquellos expresamente permitidos. La más recomendada y
utilizada aunque algunas veces suele acarrear problemas por usuarios descontentos que no
pueden acceder a tal cual servicio.
b. Estrategias de seguridad
• Paranoica: se controla todo, no se permite nada.
• Prudente: se controla y se conoce todo lo que sucede.
• Permisiva: se controla pero se permite demasiado.
• Promiscua: no se controla (o se hace poco) y se permite todo.
• ¿Cuánto costará?. Estimando en función de lo que se desea proteger se debe decidir cuanto es
conveniente invertir.
8.2.4 RESTRICCIONES EN EL FIREWALL
La parte más importante de las tareas que realizan los Firewalls, la de permitir o denegar
determinados servicios, se hacen en función de los distintos usuarios y su ubicación:
1. Usuarios internos con permiso de salida para servicios restringidos: permite especificar una
serie de redes y direcciones a los que denomina Trusted (validados). Estos usuarios, cuando
provengan del interior, van a poder acceder a determinados servicios externos que se han definido.
2. Usuarios externos con permiso de entrada desde el exterior: este es el caso más sensible a la
hora de vigilarse. Suele tratarse de usuarios externos que por algún motivo deben acceder para
consultar servicios de la red interna.
También es habitual utilizar estos accesos por parte de terceros para prestar servicios al perímetro
interior de la red. Sería conveniente que estas cuentas sean activadas y desactivadas bajo demanda y
únicamente el tiempo que sean necesarias.
8.2.5 BENEFICIOS DE UN FIREWALL
Los Firewalls manejan el acceso entre dos redes, y si no existiera, todos las computadoras de la red
estarían expuestos a ataques desde el exterior. Esto significa que la seguridad de toda la red, estaría
dependiendo de que tan fácil fuera violar la seguridad local de cada maquina interna.
El Firewall es el punto ideal para monitorear la seguridad de la red y generar alarmas de intentos de
ataque, el administrador será el responsable de la revisión de estos monitoreos.
Otra causa que ha hecho que el uso de Firewalls se halla convertido en uso casi imperativo es el
hecho que en los últimos años en Internet han entrado en crisis el número disponible de direcciones
IP, esto ha hecho que las intranets adopten direcciones sin clase, las cuales salen a Internet por
medio de un “traductor de direcciones”, el cual puede alojarse en el Firewall.
Los Firewalls también son importantes desde el punto de vista de llevar las estadísticas del ancho de
banda “consumido” por el trafico de la red, y que procesos han influido más en ese trafico, de esta
manera el administrador de la red puede restringir el uso de estos procesos y economizar o
aprovechar mejor el ancho de banda disponible.
Los Firewalls también tienen otros usos. Por ejemplo, se pueden usar para dividir partes de un sitio
que tienen distintas necesidades de seguridad o para albergar los servicios WWW y FTP brindados.
8.2.6 LIMITACIONES DE UN FIREWALL
La limitación más grande que tiene un Firewall sencillamente es el hueco que no se tapa y que
coincidentemente o no, es descubierto por un intruso. Los Firewalls no son sistemas inteligentes,
ellos actúan de acuerdo a parámetros introducidos por su diseñador, por ende si un paquete de
información no se encuentra dentro de estos parámetros como una amenaza de peligro simplemente
lo deja pasar. Más peligroso aún es que ese intruso deje Back Doors, abriendo un hueco diferente y
borre las pruebas o indicios del ataque original.
Otra limitación es que el Firewall “NO es contra humanos”, es decir que si un intruso logra entrar a
la organización y descubrir passwords o los huecos del Firewall y difunde esta información, el
Firewall no se dará cuenta.
El Firewall tampoco provee de herramientas contra la filtración de software o archivos infectados
con virus, aunque es posible dotar a la máquina, donde se aloja el Firewall, de antivirus apropiados.
Finalmente, un Firewall es vulnerable, él NO protege de la gente que está dentro de la red interna.
El Firewall trabaja mejor si se complementa con una defensa interna. Como moraleja: “cuanto
mayor sea el tráfico de entrada y salida permitido por el Firewall, menor será la resistencia contra
los paquetes externos. El único Firewall seguro (100%) es aquel que se mantiene apagado”
8.3 ACCESS CONTROL LISTS (ACL)
Las Listas de Control de Accesos proveen de un nivel de seguridad adicional a los clásicos
provistos por los Sistemas Operativos. Estas listas permiten definir permisos a usuarios y grupos
concretos. Por ejemplo pueden definirse sobre un Proxy una lista de todos los usuarios (o grupos de
ellos) a quien se le permite el acceso a Internet, FTP, etc. También podrán definirse otras
características como limitaciones de anchos de banda y horarios.
8.4 WRAPPERS
Un Wrapper es un programa que controla el acceso a un segundo programa. El Wrapper
literalmente cubre la identidad de este segundo programa, obteniendo con esto un más alto nivel de
seguridad. Los Wrappers son usados dentro de la seguridad en sistemas UNIXs. Estos programas
nacieron por la necesidad de modificar el comportamiento del sistema operativo sin tener que
modificar su funcionamiento.
Los Wrappers son ampliamente utilizados, y han llegado a formar parte de herramientas de
seguridad por las siguientes razones:
• Debido a que la seguridad lógica esta concentrada en un solo programa, los Wrappers son fáciles
y simples de validar.
• Debido a que el programa protegido se mantiene como una entidad separada, éste puede ser
actualizado sin necesidad de cambiar el Wrapper.
• Debido a que los Wrappers llaman al programa protegido mediante llamadas estándar al sistema,
se puede usar un solo Wrapper para controlar el acceso a diversos programas que se necesiten
proteger.
• Permite un control de accesos exhaustivo de los servicios de comunicaciones, además de buena
capacidad de Logs y auditorias de peticiones a dichos servicios, ya sean autorizados o no.
El paquete Wrapper más ampliamente utilizado es el TCP–Wrappers, el cual es un conjunto de
utilidades de distribución libre, escrito por Wietse Venema (co–autor de SATAN, con Dan Farmer,
y considerado el padre de los sistemas Firewalls) en 1990.
Consiste en un programa que es ejecutado cuando llega una petición a un puerto específico. Este,
una vez comprobada la dirección de origen de la petición, la verifica contra las reglas almacenadas,
y en función de ellas, decide o no dar paso al servicio.
Adicionalmente, registra estas actividades del sistema, su petición y su resolución. Algunas
configuraciones avanzadas de este paquete, permiten también ejecutar comandos en el propio
sistema operativo, en función de la resolución de la petición. Por ejemplo, es posible que interese
detectar una posible máquina atacante, en el caso de un intento de conexión, para tener más datos a
la hora de una posible investigación. Este tipo de comportamiento raya en la estrategia paranoica,
ya vista cuando se definió la política de seguridad del firewall.
Con lo mencionado hasta aquí, puede pensarse que los Wrappers son Firewall ya que muchos de los
servicios brindados son los mismos o causan los mismos efectos: usando Wrappers, se puede
controlar el acceso a cada máquina y los servicios accedidos. Así, estos controles son el
complemento perfecto de un Firewall y la instalación de uno no está supeditada a la del otro.
8.5 DETECCIÓN DE INTRUSOS EN TIEMPO REAL
La seguridad se tiene que tratar en conjunto. Este viejo criterio es el que recuerda que los sistemas
de protección hasta aquí abordados, si bien son eficaces, distan mucho de ser la protección ideal.
Así, debe estar fuera de toda discusión la conveniencia de añadir elementos que controlen lo que
ocurre dentro de la red (detrás de los Firewalls).
Como se ha visto, la integridad de un sistema se puede corromper de varias formas y la forma de
evitar esto es con la instalación de sistemas de Detección de Intrusos en Tiempo Real, quienes:
Inspeccionan el tráfico de la red buscando posibles ataques.
• Controlan el registro de los servidores para detectar acciones sospechosas (tanto de intrusos
como de usuarios autorizados).
• Mantienen una base de datos con el estado exacto de cada uno de los archivos (Integrity Check)
del sistema para detectar la modificación de los mismos.
• Controlan el ingreso de cada nuevo archivo al sistema para detectar Caballos de Troya o
semejantes.
• Controlan el núcleo del Sistema Operativo para detectar posibles infiltraciones en él, con el fin
de controlar los recursos y acciones del mismo.
• Avisan al administrador de cualquiera de las acciones mencionadas.
Cada una de estas herramientas permiten mantener alejados a la gran mayoría de los intrusos
normales. Algunos pocos, con suficientes conocimientos, experiencia y paciencia serán capaces de
utilizar métodos sofisticados (u originales) como para voltear el perímetro de seguridad (interna +
externa) y serán estos los casos que deban estudiarse para integrar a la política de seguridad
existente mayor conocimiento y con él mayor seguridad.
8.5.1 INTRUSIÓN DETECTION SYSTEMS (IDS)
Un sistema de detección de intrusos es un componente más dentro del modelo de seguridad de una
organización. Consiste en detectar actividades inapropiadas, incorrectas o anómala desde el
exterior–interior de un sistema informático.
Los sistemas de detección de intrusos pueden clasificarse, según su función y comportamiento en:
• Host–Based IDS: operan en un host para detectar actividad maliciosa en el mismo.
• Network–Based IDS: operan sobre los flujos de información intercambiados en una red.
• Knowledge–Based IDS: sistemas basados en Conocimiento.
• Behavior–Based IDS: sistemas basados en Comportamiento. Se asume que una intrusión puede
ser detectada observando una desviación respecto del comportamiento normal o esperado de un
usuario en el sistema.
La idea central de este tipo de detección es el hecho de que la actividad intrusiva es un conjunto de
actividades anómalas. Si alguien consigue entrar de forma ilegal al sistema, no actuará como un
usuario comprometido; su comportamiento se alejará del de un usuario normal.
Sin embargo en la mayoría de las ocasiones una actividad intrusiva resulta del agregado de otras
actividades individuales que por sí solas no constituyen un comportamiento intrusivo de ningún
tipo. Así las intrusiones pueden clasificarse en:
• Intrusivas pero no anómalas: denominados Falsos Negativos (el sistema erróneamente indica
ausencia de intrusión). En este caso la actividad es intrusiva pero como no es anómala no es
detectada. No son deseables, porque dan una falsa sensación de seguridad del sistema.
• No intrusivas pero anómalas: denominados Falsos Positivos (el sistema erróneamente indica la
existencia de intrusión). En este caso la actividad es no intrusiva, pero como es anómala el
sistema “decide” que es intrusiva. Deben intentar minimizarse, ya que en caso contrario se
ignorarán los avisos del sistema, incluso cuando sean acertados.
• No intrusiva ni anómala: son Negativos Verdaderos, la actividad es no intrusiva y se indica
como tal.
• Intrusiva y anómala: se denominan Positivos Verdaderos, la actividad es intrusiva y es
detectada.
Los detectores de intrusiones anómalas requieren mucho gasto computacional, ya que se siguen
normalmente varias métricas para determinar cuánto se aleja el usuario de lo que se considera
comportamiento normal.
8.5.1.1 CARACTERÍSTICAS DE IDS
Cualquier sistema de detección de intrusos debería, sea cual sea el mecanismo en que esté basado,
debería contar con las siguientes características:
• Debe funcionar continuamente sin supervisión humana. El sistema debe ser lo suficientemente
fiable para poder ser ejecutado en background dentro del equipo que está siendo observado. Sin
embargo, no debe ser una “caja negra” (debe ser examinable desde el exterior).
• Debe ser tolerante a fallos en el sentido de que debe ser capaz de sobrevivir a una caída del
sistema.
• En relación con el punto anterior, debe ser resistente a perturbaciones. El sistema puede
monitorizarse a sí mismo para asegurarse de que no ha sido perturbado.
• Debe imponer mínima sobrecarga sobre el sistema. Un sistema que relentiza la máquina,
simplemente no será utilizado.
• Debe observar desviaciones sobre el comportamiento estándar.
• Debe ser fácilmente adaptable al sistema ya instalado. Cada sistema tiene un patrón de
funcionamiento diferente y el mecanismo de defensa debe adaptarse de manera sencilla a esos
patrones.
• Debe hacer frente a los cambios de comportamiento del sistema según se añaden nuevas
aplicaciones al mismo.
• Debe ser difícil de “engañar”.
8.5.1.2 FORTALEZAS DE IDS
• Suministra información muy interesante sobre el tráfico malicioso de la red.
• Poder de reacción para prevenir el daño.
• Es una herramienta útil como arma de seguridad de la red.
• Ayuda a identificar de dónde provienen los ataques que se sufren.
• Recoge evidencias que pueden ser usadas para identificar intrusos.
• Es una “cámara” de seguridad y una “alarma” contra ladrones.
• Funciona como “disuasor de intrusos”.
• Alerta al personal de seguridad de que alguien está tratando de entrar.
• Protege contra la invasión de la red.
• Suministra cierta tranquilidad.
• Es una parte de la infraestructura para la estrategia global de defensa.
• La posibilidad de detectar intrusiones desconocidas e imprevistas. Pueden incluso contribuir
(parcialmente) al descubrimiento automático de esos nuevos ataques.
• Son menos dependientes de los mecanismos específicos de cada sistema operativo.
• Pueden ayudar a detectar ataques del tipo “abuso de privilegios” que no implica realmente
ninguna vulnerabilidad de seguridad. En pocas palabras, se trata de una aproximación a la
paranoia: “todo aquello que no se ha visto previamente es peligroso”.
• Menor costo de implementación y mantenimiento al ubicarse en puntos estratégicos de la red.
• Dificulta el trabajo del intruso de eliminar sus huellas.
8.5.1.3 DEBILIDADES DE IDS
• No existe un parche para la mayoría de bugs de seguridad.
• Se producen falsas alarmas.
• Se producen fallos en las alarmas.
• No es sustituto para un buen Firewall, una auditoría de seguridad regular y una fuerte y estricta
política de seguridad.
8.5.1.4 INCONVENIENTES DE IDS
• La alta tasa de falsas alarmas dado que no es posible cubrir todo el ámbito del comportamiento
de un sistema de información durante la fase de aprendizaje.
• El comportamiento puede cambiar con el tiempo, haciendo necesario un re–entrenamiento
periódico del perfil, lo que da lugar a la no disponibilidad del sistema o la generación de falsas
alarmas adicionales.
• El sistema puede sufrir ataques durante la fase de aprendizaje, con lo que el perfil de
comportamiento contendrá un comportamiento intrusivo el cual no será considerado anómalo.
8.6 CALL BACK
Este procedimiento es utilizado para verificar la autenticidad de una llamada vía modem. El usuario
llama, se autentifica contra el sistema, se desconecta y luego el servidor se conecta al número que
en teoría pertenece al usuario.
La ventaja reside en que si un intruso desea hacerse pasar por el usuario, la llamada se devolverá al
usuario legal y no al del intruso, siendo este desconectado. Como precaución adicional, el usuario
deberá verificar que la llamada–retorno proceda del número a donde llamó previamente.
8.7 SISTEMAS ANTI–SNIFFERS
Esta técnica consiste en detectar Sniffers en el sistema. Generalmente estos programas se basan en
verificar el estado de la placa de red, para detectar el modo en el cual está actuando (recordar que un
Sniffer la coloca en Modo Promiscuo), y el tráfico de datos en ella.
8.8 GESTION DE CLAVES “SEGURAS”
Como ya se vio en el capítulo anterior (ver Tabla 7.4), si se utiliza una clave de 8 caracteres de
longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla (analizando
100.000 palabras por segundo). Esto se obtiene a partir de las 96 8 (7.213.895.789.838.340) claves
posibles de generar con esos caracteres.
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza
bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas Claves
Débiles.
Según demuestra el análisis de +NetBuL realizado sobre 2.134 cuentas y probando 227.000
palabras por segundo:
- Con un diccionario 2.030 palabras (el original de John de Ripper 1.04), se obtuvieron 36 cuentas
en solo 19 segundos (1,77%).
- Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).
Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727
palabras, a 13.794 cuentas:
- En un año se obtuvieron 3.340 contraseñas (24,22%).
- En la primera semana se descubrieron 3.000 claves (21,74%).
- En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).
Según los grandes números vistos, sería válido afirmar que: es imposible encontrar ¡36 cuentas en
19 segundos!. También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi
no varía entre un año y una semana.
Tal vez, ¿esto sucedió porque existían claves nulas; que corresponde al nombre del usuario; a
secuencias alfabéticas tipo ‘abcd’; a secuencias numéricas tipo ‘1234’; a secuencias observadas en
el teclado tipo ‘qwer’; a palabras que existen en un diccionario del lenguaje del usuario?. Sí, estas
claves (las más débiles) son las primeras en ser analizadas y los tiempos obtenidos confirman la
hipótesis.
Este simple estudio confirma nuestra mala elección de contraseñas, y el riesgo se incrementa si el
atacante conoce algo sobre la víctima (Ingeniería Social) ya que podrá probar palabras relacionadas
a su persona o diccionarios orientados.
8.8.1 NORMAS DE ELECCIÓN DE CLAVES
Se debe tener en cuenta los siguientes consejos:
1. No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario,
personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro
relacionado).
2. No usar contraseñas completamente numéricas con algún significado (teléfono, D.N.I., fecha de
nacimiento, patente del automóvil, etc.).
3. Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
4. Deben ser largas, de 8 caracteres o más.
5. Tener contraseñas diferentes en máquinas diferentes. Es posible usar una contraseña base y
ciertas variaciones lógicas de la misma para distintas máquinas.
6. Deben ser fáciles de recordar para no verse obligado a escribirlas.
Algunos ejemplos son:
• Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3
• Usar un acrónimo de alguna frase fácil de recordar: A rio Revuelto Ganancia de Pescadores
ArRGdP
• Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P
• Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña aHoelIo
• Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar
• Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar
35M\/Pq<
8.8.2 NORMAS PARA PROTEGER UNA CLAVE
La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario.
Al comprometer una cuenta se puede estar comprometiendo todo el sistema.
La siguiente frase difundida en UseNet resume algunas de las reglas básicas de uso de la
contraseña: “Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo
regularmente; y NO lo compartas con tus amigos”.
Algunos consejos a seguir:
1. No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho
periódicamente.
2. No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar las cuentas de Root,
System, Test, Demo, Guest, etc.
3. Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
4. No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe
identificarse al propietario en el mismo lugar.
5. No teclear la contraseña si hay alguien mirando. Es una norma tácita de buen usuario no mirar el
teclado mientras alguien teclea su contraseña.
6. No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe
mencionar no hacerlo explícitamente diciendo: “mi clave es...”.
7. No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de
contraseñas que puedan usarse cíclicamente (por lo menos 5). Muchos sistemas incorporan ya
algunas medidas de gestión y protección de las contraseñas. Entre ellas podemos citar las
siguientes:
1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas
medidas:
• Obligar a reescribir el nombre de usuario (lo más común).
• Bloquear el acceso durante un tiempo.
• Enviar un mensaje al administrador y/o mantener un registro especial.
2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 7
u 8 como mínimo).
3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras y números, no
pueden contener el nombre del usuario ni ser un blanco.
4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la
contraseña. Se obliga a no repetir ciertas cantidad de las anterior. Se mantiene un periodo forzoso
entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
5. Ataque preventivo. Muchos administradores utilizan crackeadores para intentar atacar las
contraseñas de su propio sistema en busca de debilidades.
8.8.3 CONTRASEÑAS DE UN SÓLO USO
Las contraseñas de un solo uso (One–Time Passwords) son uno de los mecanismos de
autentificación más seguros, debido a que su descubrimiento tan solo permite acceder al sistema
una vez. Además, en muchas ocasiones se suelen utilizar dispositivos hardware para su generación,
lo que las hace mucho más difíciles de descubrir.
Ejemplos de este tipo de contraseñas serian las basadas en funciones unidireccionales (sencillas de
evaluar en un sentido pero imposible o muy costoso de evaluar en sentido contrario) y en listas de
contraseñas.
Se distinguen tres tipos de contraseñas de un solo uso:
1. Las que requieren algún dispositivo hardware para su generación, tales como calculadoras
especiales o tarjetas inteligentes (Token Cards).
2. Las que requieren algún tipo de software de cifrado especial.
3. Las que se basan en una lista de contraseñas sobre papel.
La tarjeta genera periódicamente valores mediante a una función secreta y unidireccional, basada en
el tiempo y en el número de identificación de la misma. El usuario combina el número generado por
la tarjeta con su palabra de paso para obtener el password de entrada, lo que le protege en caso de
robo o perdida.
8.9 SEGURIDAD EN PROTOCOLOS Y SERVICIOS
Se ha visto en capítulos anteriores la variedad de protocolos de comunicaciones existentes, sus
objetivos y su funcionamiento. Como puede preverse todos estos protocolos tienen su debilidad ya
sea en su implementación o en su uso. A continuación se describen los problemas de seguridad más
comunes y sus formas de prevención.
Nuevamente no se verán los detalles sobre el funcionamiento de cada uno de ellos, simplemente se
ofrecerán las potenciales puertas de entrada como fuentes de ataques que ni siquiera tienen por qué
proporcionar acceso a la máquina (como las DoS por ejemplo).
De esta forma, si cada servicio ofrecido es un posible problema para la seguridad, parece claro que
lo ideal sería no ofrecer ninguno, poseer una máquina completamente aislada del resto;
evidentemente, hoy en día no es posible en la mayor parte de los sistemas.
Por lo tanto, ya que es necesaria la conectividad entre equipos, se ha de ofrecer los mínimos
servicios necesarios para que todo funcione correctamente; esto choca frontalmente con las políticas
de la mayoría de fabricantes y empresas, que por defecto mantienen la mayoría de servicios abiertos
al instalar un equipo nuevo: es responsabilidad del administrador preocuparse de cerrar los que no
sean estrictamente necesarios.
8.9.1 NETBIOS
Estos puertos (137–139 en TCP y UDP) son empleado en las redes Microsoft ® para la
autentificación de usuarios y la compartición de recursos. Como primera medida debe minimizarse
la cantidad de recursos compartidos y luego debe evitarse permitir el acceso global a esos
dispositivos, ya que es posible el acceso de intrusos desde cualquier lugar externo a la red.
8.9.2 ICMP
A fin de prevenir los ataques basados en bombas ICMP, se deben filtrar todos los paquetes de
redirección y los paquetes inalcanzables.
8.9.3 FINGER
Típicamente el servicio Finger (puerto 79 en TCP) ha sido una de las principales fuentes de
problemas. Este protocolo proporciona información detallada de los usuarios de una estación de
trabajo, estén o no conectados en el momento de acceder al servicio.
La información suministrada suele ser de mucha utilidad para un atacante: datos del usuario, hábitos
de conexión, cuentas inactivas. Está claro que esto es fácilmente aprovechable por un intruso para
practicar ingeniería social contra esos usuarios.
Es básico deshabilitar este servicio, restringir su acceso a unos cuantos equipos de la red local o
utilizar versiones de Finger que permiten especificar la información que se muestra al acceder al
servicio.
8.9.4 POP
El servicio POP (puertos 109 y 110 en TCP) utilizado para que los usuarios puedan acceder a su
correo sin necesidad de montar un sistemas de archivos compartidos. Se trata de un servicio que se
podría considerar peligroso, por lo que (como el resto, pero este especialmente) debemos
deshabilitarlo a no ser que sea estrictamente necesario ofrecerlo; en ese caso debemos restringir al
máximo los lugares y usuario desde los que se puede acceder. Mediante POP se genera un tránsito
peligroso de contraseñas a través de la red. Se ofrece tres modelos distintos de autenticación: uno
basado en Kerberos, apenas utilizado, otro basado en un protocolo desafío–respuesta, y el otro
basado en un simple nombre de usuario con su password correspondiente.
Este último, el más usado en todo tipo de entornos, es un excelente objetivo para un intruso con un
Sniffer. Los usuarios suelen configurar sus clientes para que chequeen el buzón de correo cada
pocos minutos, con lo que a intervalos muy cortos envían su clave a un puerto conocido de una
máquina conocida; al realizar toda esta comunicación en texto claro, un atacante no tiene más que
interceptar la sesión POP para averiguar nombres de usuario y claves (a parte de poder leer el
correo).
8.9.5 NNTP
El servicio NNTP (puerto 119 en TCP) se utilizado para intercambiar mensajes de grupos de
noticias entre servidores de News. Los diferentes demonios encargados de esta tarea suelen
discriminar conexiones en función de la dirección o el nombre de la máquina cliente para decidir si
ofrece el servicio a un determinado host, y si es así, concretar de que forma puede acceder a él (sólo
lectura, sólo ciertos grupos, etc.).
De esta forma, los servidores NNTP son muy vulnerables a cualquier ataque que permita falsear la
identidad de la máquina origen, como el IP Spoofing.
Los problemas relacionados con las News no suelen ser excesivamente graves desde un punto de
vista estrictamente técnico, pero en ocasiones sí que lo son aplicando una visión global. Por
ejemplo, habría que evaluar el daño que le supone a la imagen de la organización el que un atacante
envíe mensajes insultantes o pornográficos utilizando el nombre o los recursos de la misma.
Realmente, es muy poco probable que se necesite ofrecer este servicio, por lo que lo más razonable
es deshabilitarlo. Generalmente sólo existen servidores de noticias en grandes organizaciones, y si
se debe administrar equipo con este servicio la mejor forma de protegerlo es utilizando un buen
firewall.
8.9.6 NTP
NTP (puerto 123 en UDP y TCP) es un protocolo utilizado para sincronizar relojes de máquinas de
una forma muy precisa; a pesar de su sofisticación no fue diseñado con una idea de robustez ante
ataques, por lo que puede convertirse en una gran fuente de problemas si no está correctamente
configurado.
Son muchos los problemas de seguridad relacionados con un tiempo correcto; el más simple y
obvio es la poca fiabilidad que ofrecerá el sistema de Log a la hora de determinar cuándo sucedió
determinado evento.
Otro problema inherente a NTP se refiere a la planificación de tareas: si el reloj tiene problemas, es
posible que ciertas tareas no se lleguen a ejecutar, que se ejecuten varias veces, o que se ejecuten
cuando no han de hacerlo; esto es especialmente peligroso para tareas de las que depende la
seguridad (como los backups).
No obstante, muy pocos sistemas necesitan la precisión de NTP, por lo que es habitual tener este
servicio deshabilitado. En la mayoría de ocasiones el propio reloj de la máquina, o un protocolo
mucho más simple (como Time), es más que suficiente para sincronizar equipos.
8.9.7 TFTP
TFTP es un protocolo de transferencia de archivos (puerto 69 basado en UDP) que no proporciona
ninguna seguridad. Por tanto en la mayoría de sistemas es deseable (obligatorio) que este servicio
esté desactivado. Al utilizar este servicio en ningún momento se solicita un nombre de usuario o
una clave, lo que da una idea de los graves problemas de seguridad que ofrece este servicio.
“Gracias” a este protocolo se han implementado algunas de las últimas vulnerabilidades del Internet
Information Server ® .
8.9.8 FTP
Un problema básico y grave de FTP (puerto 21 en TCP) es que ha sido diseñado para ofrecer la
máxima velocidad en la conexión, pero no para ofrecer la seguridad; todo el intercambio de
información, desde el Login y password del usuario en el servidor hasta la transferencia de
cualquier archivo, se realiza en texto claro, con lo que un atacante no tiene más que capturar todo
ese tráfico y conseguir así un acceso válido al servidor. Incluso puede ser una amenaza a la
privacidad de los datos el hecho de que ese atacante también pueda capturar y reproducir (y
modificar) los archivos transferidos.
Para solucionar este problema es conveniente dar acceso FTP a pocos usuarios bien identificados y
que necesiten utilizarlo, concientizándolos de la utilidad de aplicaciones que cifren todo el tráfico
de información (como SSH por ejemplo).
8.9.8.1 FTP ANÓNIMO
El servicio FTP se vuelve especialmente preocupantes cuando se trata de configurar un servidor de
FTP anónimo; muchos de estas máquinas situadas en universidades y empresas se convierten en
servidores de imágenes pornográficas, de Warez (copias ilegales de programas comerciales), etc.
Conseguir un servidor de FTP anónimo seguro puede llegar a ser una tarea complicada.
El usuario Anónimo debe conectar a un entorno restringido del sistema y sólo a ese.
8.9.8.2 FTP INVITADO
El otro tipo de acceso FTP es el denominado invitado (guest). La idea de este mecanismo es muy
sencilla: se trata de permitir que cada usuario conecte a la máquina mediante su login y su
contraseña, pero evitando que tenga acceso a partes del sistema de archivos que no necesita para
realizar su trabajo; se conectará a un entorno restringido de forma similar a lo que sucede en los
accesos anónimos.
Para poder crear fácilmente entornos FTP restringidos a cada usuario, es conveniente instalar
programas para este fin en la máquina servidor. Estos servidores permiten crear usuarios invitados
configurando el entorno al que van a conectarse los usuarios, su estructura de directorios–archivos y
sus permisos a los recursos.
8.9.9 TELNET
El protocolo TELNET (TCP, puerto 23) permite utilizar una máquina como terminal virtual de otra
a través de la red, de forma que se crea un canal virtual de comunicaciones similar (pero mucho más
inseguro) a utilizar una terminal físicamente conectada a un servidor.
TELNET es el clásico servicio que hasta hace unos años no se solía deshabilitar nunca: lo más
normal es que este servicio esté disponible para que los usuarios puedan trabajar remotamente, al
menos desde un conjunto de máquinas determinado. Evidentemente, reducir al mínimo
imprescindible el conjunto de sistemas desde donde es posible la conexión es una primera medida
de seguridad; no obstante, no suele ser suficiente.
TELNET no utiliza ningún tipo de cifrado, por lo que todo el tráfico entre equipos se realiza en
texto claro. Cualquier intruso con un Sniffer puede capturar el Login y el password utilizados en
una conexión otorgando a cualquiera que lea esos datos un acceso total a la máquina destino. Es
muy recomendable no utilizar TELNET para conexiones remotas, sino sustituirlo por aplicaciones
equivalentes pero que utilizan cifrado para la transmisión de datos (SSH o SSL–Telnet por
ejemplo).
8.9.10 SMTP
La mala configuración del servicio SMTP (puerto 25 en TCP) utilizado para transferir correo
electrónico entre equipos remotos; suele ser causante del Mail Bombing y el Spam redirigido.
Por lo general se recibirá correo de un número indeterminado de máquinas, y no se podrá bloquear
el acceso a SMTP. No obstante, en este caso podemos aplicar unas medidas de seguridad simples,
como realizar una consulta inversa a DNS para asegurarnos de que sólo máquinas registradas
envían correo o no permitir que el sistema reenvíe correo que no provenga de direcciones
registradas bajo su dominio.
8.9.11 SERVIDORES " WWW "
Hoy en día las conexiones a servidores web son sin duda las más extendidas entre usuarios de
Internet. En la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales
de muchas empresas: es por tanto un objetivo muy atractivo para cualquier intruso.
Los problemas de seguridad relacionados con el protocolo HTTP se dividen en tres grandes grupos
en función de los datos a los que pueden afectar:
Seguridad en el servidor: es necesario garantizar que la información almacenada en la
máquina servidora no pueda ser modificada sin autorización, que permanezca disponible y que sólo
pueda ser accedida por los usuarios a los que les esté legítimamente permitido.
Seguridad en la red: cuando un usuario conecta a un servidor web se produce un intercambio
de información entre ambos; es vital garantizar que los datos que recibe el cliente desde el servidor
sean los mismos que se están enviando (esto es, que no sufran modificaciones de terceros), y
también garantizar que la información que el usuario envía hacia el servidor no sea capturada,
destruida o modificada por un atacante.
Seguridad en el cliente: es necesario garantizar al usuario que descarga páginas de un servidor
no va a perjudicar a la seguridad de su equipo. Se deben evitar Applets maliciosos, programas con
virus o simples cuelgues al acceder a las páginas de la organización. Ante hechos de esta especie
seguramente la persona dejará de visitarlas, con la consecuente pérdida de imagen (y posiblemente
un cliente) de esa entidad.
Asegurar el servidor implica (aparte de las medidas habituales) medidas excepcionales dedicadas al
servidor de Web y su entorno de trabajo.
Sea cual sea el servidor utilizado (IIS, Apache, NCSA, Netscape, etc.), es necesario seguir un
consejo básico: minimizar el número de usuarios en la máquina y minimizar el número de servicios
ofrecidos en ella; aunque lo normal es que una máquina dedicada a cualquier tarea, sea también el
servidor Web, es recomendable que dicho servidor sea un equipo dedicado sólo a esa tarea.
Los problemas relacionados con servidores Web suelen proceder de errores de programación en los
CGIs ubicados en el servidor. La capacidad del CGI para comunicarse con el resto del sistema que
alberga las páginas es lo que le otorga su potencia, pero también lo que causa mayores problemas de
seguridad: un fallo en estos programas suele permitir a cualquier “visitante” ejecutar órdenes en el
sistema.
Una medida de seguridad básica es ejecutar el demonio servidor bajo la identidad de un usuario con
privilegios mínimos para que todo funcione correctamente, pero nunca como Administrador, Root o
cuenta del sistema.
Para garantizar la seguridad de los datos que circulan entre un cliente y el servidor es casi
obligatorio cifrar dichos datos (mediante SSL o utilizando Certificados Digitales por ejemplo).
Delitos Informáticos C4
CAPÍTULO 4
atravesar los muros brillantes de los sistemas empresariales, abriendo ventanas hacia los ricos campos de la
información. Cometió el clásico error, el que había jurado no cometer nunca. Robo a sus jefes.”
Neuromante
__________________________________________________________________________________
DELITOS INFORMÁTICOS
4.1 LA INFORMACIÓN Y EL DELITO
4.2 TIPOS DE DELITOS INFORMÁTICOS
4.3 DELINCUENTE Y VICTIMA
4.3.1 Sujeto Activo
4.3.2 Sujeto Pasivo
4.4 LEGISLACIÓN NACIONAL
4.5 LEGISLACIÓN INTERNACIONAL
4.5.1 Alemania
4.5.2 Austria
4.5.3 Chile
4.5.4 China
4.5.5 España
4.5.6 Estado Unidos de América
4.5.7 Francia
4.5.8 Holanda
4.5.9 Inglaterra
4.6 CONCLUSIÓN
___________________________________________________________________________________
DELITOS INFORMÁTICOS
Ya hemos dejado en claro la importancia de la información en el mundo altamente tecnificado de
hoy. También se ha dejado en claro cada uno de los riesgos “naturales” con los que se enfrenta
nuestro conocimiento y la forma de enfrentarlos. El desarrollo de la tecnología informática ha
abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La cuantía de los
perjuicios así ocasionados es a menudo muy superior a la usual en la delincuencia tradicional y
también son mucho más elevadas las posibilidades de que no lleguen a descubrirse o castigarse.
Es propósito de los capítulos siguientes disertar sobre los riesgos “no naturales”; es decir los que se
encuadran en el marco del delito. Para ello deberemos dejar en claro, nuevamente, algunos aspectos.
1.- LA INFORMACIÓN Y EL DELITO
El delito informático implica actividades criminales que los países han tratado de encuadrar en
figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios,
estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas han creado
nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de
regulación por parte del derecho.
Se considera que no existe una definición formal y universal de delito informático pero se han
formulado conceptos respondiendo a realidades nacionales concretas: “no es labor fácil dar un
concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación
muy especial, ya que para hablar de “delitos” en el sentido de acciones típicas, es decir tipificadas o
contempladas en textos jurídicos penales, se requiere que la expresión “delitos informáticos” esté
consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido
objeto de tipificación aún.”
En 1983, la Organización e Cooperación y Desarrollo Económico (OCDE) inicio un estudio de las
posibilidades de aplicar y armonizar en el plano internacional las leyes penales a fin e luchar contra
el problema del uso indebido de los programas computacionales. En 1992 la Asociación
Internacional de Derecho Penal, durante el coloquio celebrado en Wurzburgo (Alemania), adoptó
diversas recomendaciones respecto a los delitos informáticos, entre ellas que, en la medida que el
Derecho Penal no sea suficiente, deberá promoverse la modificación de la definición de los delitos
existentes o la creación de otros nuevos, si no basta con la adopción de otras medidas como por
ejemplo el “principio de subsidiariedad”.
Se entiende Delito como: “acción penada por las leyes por realizarse en perjuicio de algo o alguien,
o por ser contraria a lo establecido por aquéllas”. Finalmente la OCDE publicó un estudio sobre
delitos informáticos y el análisis de la normativa jurídica en donde se reseñan las normas
legislativas vigentes y se define Delito Informático como “cualquier comportamiento antijurídico,
no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de
datos.” “Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas
informáticos, pero tienen como objeto del injusto la información en sí misma”
Adicionalmente, la OCDE elaboró un conjunto de normas para la seguridad de los sistemas de
información, con la intención de ofrecer las bases para que los distintos países pudieran erigir un
marco de seguridad para los sistemas informáticos.
1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen y borrar toda huella
de los hechos, resultando, muchas veces, imposible de deducir como es como se realizó dicho
delito. La Informática reúne características que la convierten en un medio idóneo para la comisión
de nuevos tipos de delitos que en gran parte del mundo ni siquiera han podido ser catalogados.
CAPÍTULO 4
2. La legislación sobre sistemas informáticos debería perseguir acercarse lo más posible a los
distintos medios de protección ya existentes, pero creando una nueva regulación basada en los
aspectos del objeto a proteger: la información.
En este punto debe hacerse un punto y notar lo siguiente:
No es la computadora la que atenta contra el hombre, es el hombre el que encontró una nueva
herramienta, quizás la más poderosa hasta el momento, para delinquir.
No es la computadora la que afecta nuestra vida privada, sino el aprovechamiento que hacen
ciertos individuos de los datos que ellas contienen.
La humanidad no está frente al peligro de la informática sino frente a individuos sin escrúpulos
con aspiraciones de obtener el poder que significa el conocimiento.
Por eso la amenaza futura será directamente proporcional a los adelantos de las tecnologías
informáticas.
La protección de los sistemas informáticos puede abordarse desde distintos perspectivas: civil,
comercial o administrativa.
Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y, todo lo contrario,
lograr una protección global desde los distintos sectores para alcanzar cierta eficiencia en la defensa
de estos sistemas informáticos.
Julio Téllez Valdez clasifica a los delitos informáticos en base a dos criterios:
1. Como instrumento o medio: se tienen a las conductas criminales que se valen de las
computadoras como método, medio o símbolo en la comisión del ilícito.
Ejemplos:
Falsificación de documentos vía computarizada: tarjetas de créditos, cheques, etc.
Variación de la situación contable.
Planeamiento y simulación de delitos convencionales como robo, homicidio y fraude.
Alteración el funcionamiento normal de un sistema mediante la introducción de código extraño
al mismo: virus, bombas lógicas, etc.
Intervención de líneas de comunicación de datos o teleprocesos.
2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas en contra de la
computadora, accesorios o programas como entidad física.
Ejemplos:
Instrucciones que producen un bloqueo parcial o total del sistema.
Destrucción de programas por cualquier método.
Atentado físico contra la computadora, sus accesorios o sus medios de comunicación.
Secuestro de soportes magnéticos con información valiosa, para ser utilizada con fines
delictivos.
Este mismo autor sostiene que las acciones delictivas informáticas presentan las siguiente
características:
1. Sólo una determinada cantidad de personas (con conocimientos técnicos por encima de lo
normal) pueden llegar a cometerlos.
2. Son conductas criminales del tipo “cuello blanco”: no de acuerdo al interés protegido (como en
los delitos convencionales) sino de acuerdo al sujeto que los comete. Generalmente este sujeto tiene
cierto status socioeconómico y la comisión del delito no puede explicarse por pobreza, carencia de
recursos, baja educación, poca inteligencia, ni por inestabilidad emocional.
3. Son acciones ocupacionales, ya que generalmente se realizan cuando el sujeto atacado se
encuentra trabajando.
4. Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el atacante.
CAPÍTULO 4
5. Provocan pérdidas económicas.
6. Ofrecen posibilidades de tiempo y espacio.
7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de regulación y por miedo al
descrédito de la organización atacada.
8. Presentan grandes dificultades para su comprobación, por su carácter técnico.
9. Tienden a proliferar, por lo se requiere su urgente regulación legal.
María Luz Lima, por su parte, presenta la siguiente clasificación de “delitos electrónicos”:
1. Como Método: conductas criminales en donde los individuos utilizan métodos electrónicos para
llegar a un resultado ilícito.
2. Como Medio: conductas criminales en donde para realizar un delito utilizan una computadora
como medio o símbolo.
3. Como Fin: conductas criminales dirigidas contra la entidad física del objeto o máquina
electrónica o su material con objeto de dañarla.
2.- TIPOS DE DELITOS INFORMÁTICOS
La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos informáticos:
1. Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: este tipo de fraude informático conocido también como
sustracción de datos, representa el delito informático más común ya que es fácil de cometer y
difícil de descubrir.
La manipulación de programas: consiste en modificar los programas existentes en el sistema o en
insertar nuevos programas o rutinas. Es muy difícil de descubrir y a menudo pasa inadvertida
debido a que el delincuente tiene conocimientos técnicos concretos de informática y
programación.
Manipulación de los datos de salida: se efectúa fijando un objetivo al funcionamiento del sistema
informático. El ejemplo más común es el fraude del que se hace objeto a los cajeros automáticos
mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos.
Fraude efectuado por manipulación informática: aprovecha las repeticiones automáticas de los
procesos de cómputo. Es una técnica especializada que se denomina “técnica del salchichón” en
la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando
repetidamente de una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es igual
a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.
2. Manipulación de los datos de entrada
Como objeto: cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumento: las computadoras pueden utilizarse también para efectuar falsificaciones de
documentos de uso comercial.
3. Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización funciones o
datos de computadora con intención de obstaculizar el funcionamiento normal del sistema.
Acceso no a autorizado a servicios y sistemas informáticos: estos acceso se pueden realizar por
diversos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informático.
Reproducción no autorizada de programas informáticos de protección legal: esta puede entrañar
una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han
tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema
ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a
través de las redes de telecomunicaciones modernas. Al respecto, se considera, que la
CAPÍTULO 4
reproducción no autorizada de programas informáticos no es un delito informático debido a que
el bien jurídico a tutelar es la propiedad intelectual.
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de Derecho ha
propuesto todas las formas de conductas lesivas de la que puede ser objeto la información.
Ellas son:!
Fraude en el campo de la informática.
Falsificación en materia informática.
Sabotaje informático y daños a datos computarizados o programas informáticos.
Acceso no autorizado.
Intercepción sin autorización.
Reproducción no autorizada de un programa informático protegido.
Espionaje informático.
Uso no autorizado de una computadora.
Tráfico de claves informáticas obtenidas por medio ilícito.
Distribución de virus o programas delictivos.”
3 DELINCUENTE Y VICTIMA
3.1 SUJETO ACTIVO
Se llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas
características que no presentan el denominador común de los delincuentes, esto es, los sujetos
activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su
situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter
sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los
casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos
y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la
persona que “entra” en un sistema informático sin intenciones delictivas es muy diferente del
empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos
el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los
posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar
un reto tecnológico, características que pudieran encontrarse en un empleado del sector de
procesamiento de datos.
Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los
delitos informáticos, estudiosos en la materia los han catalogado como delitos de “cuello blanco”
término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año
de 1943.
La “cifra negra” es muy alta; no es fácil descubrirlos ni sancionarlos, en razón del poder económico
de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la
opinión pública sobre los daños ocasionados a la sociedad. A los sujetos que cometen este tipo de
delitos no se considera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por
el contrario, es considerado y se considera a sí mismo “respetable”. Estos tipos de delitos,
generalmente, son objeto de medidas o sanciones de carácter administrativo y no privativos de la
libertad.
3.2 SUJETO PASIVO
Este, la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que
realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, instituciones
militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente
conectados a otros.
CAPÍTULO 4
El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos
informáticos, ya que mediante él podemos conocer los diferentes ilícitos que cometen los
delincuentes informáticos.
Es imposible conocer la verdadera magnitud de los delitos informáticos, ya que la mayor parte no
son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de
leyes que protejan a las víctimas de estos delitos; la falta de preparación por parte de las autoridades
para comprender, investigar y aplicar el tratamiento jurídico adecuado; el temor por parte de las
empresas de denunciar este tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su
empresa y las consecuentes pérdidas económicas, trae como consecuencia que las estadísticas sobre
este tipo de conductas se mantenga bajo la llamada “cifra negra”.
Por lo anterior, se reconoce que para conseguir una prevención efectiva de la criminalidad
informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de
las fuentes de peligro. Una protección eficaz contra la criminalidad informática presupone ante todo
que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus
formas de encubrimiento.
En el mismo sentido, podemos decir que con:
1. la divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras.
2. alertas a las potenciales víctimas, para que tomen las medidas pertinentes a fin de prevenir la
delincuencia informática.
3. creación de una adecuada legislación que proteja los intereses de las víctimas.
4. una eficiente preparación por parte del personal encargado de la procuración, administración y la
impartición de justicia para atender e investigar estas conductas ilícitas; se estaría avanzando mucho
en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más.
Además, se debe destacar que los organismos internacionales han adoptado resoluciones similares
en el sentido de que educando a la comunidad de víctimas y estimulando la denuncia de los delitos,
se promovería la confianza pública en la capacidad de los encargados de hacer cumplir la ley y de
las autoridades judiciales para detectar, investigar y prevenir los delitos informáticos.
4 LEGISLACIÓN NACIONAL
En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las
valoraciones político–jurídicas de los problemas derivados del mal uso que se hace de las
computadoras, lo cual ha dado lugar a que, en algunos casos, se modifiquen los derechos penales
nacionales e internacionales.
La ONU señala que cuando el problema se eleva a la escena internacional, se magnifican los
inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.
En este sentido habrá que recurrir a aquellos tratados internacionales de los que nuestro país es parte
y que, en virtud del Artículo 75 inc. 22 de la Constitución Nacional reformada en 1994, tienen
rango constitucional.
Argentina también es parte del acuerdo que se celebró en el marco de la Ronda Uruguay del
Acuerdo General de Aranceles Aduaneros y Comercio, que en su artículo 10, relativo a los
programas de ordenador y compilaciones de datos, establece que:
este tipo de programas, ya sean fuente u objeto, serán protegidos como obras literarias de
conformidad con el Convenio de Berna, de julio 1971, para la Protección de Obras Literarias y
Artísticas;
las compilaciones de datos posibles de ser legibles serán protegidos como creaciones de carácter
intelectual y que;
para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del
derecho de autor a escala comercial se establecerán procedimientos y sanciones penales además
de que, “los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones
pecuniarias suficientemente disuasorias”
CAPÍTULO 4
La Convención sobre la Propiedad Intelectual de Estocolmo (julio de 1967) y el Convenio de Berna
(julio de 1971) fueron ratificados en nuestro país por la Ley 22.195 el 17 de marzo de 1980 y el 8 de
julio de 1990 respectivamente.
La Convención para la Protección y Producción de Phonogramas de octubre de 1971, fue ratificada
por la ley 19.963 el 23 de noviembre 1972.
La Convención Relativa a la Distribución de Programas y Señales de abril de 1994, fue ratificada
por la ley 24.425 el 23 de diciembre de 1994.
Hay otros Convenios no ratificados aún por nuestro País, realizados por la Organización Mundial de
la Propiedad Intelectual (OMPI), de la que Argentina es parte integrante a partir del 8 de octubre de
1980.
Nuestra legislación regula Comercial y Penalmente las conductas ilícitas relacionadas con la
informática, pero que aún no contemplan en sí los delitos informáticos:
1. La ley 111 de Patentes de Invención regula la protección a la propiedad intelectual.
2. La ley Penal 11.723 de “Propiedad Científica, Literaria y Artística”, modificada por el decreto
165/94, ha modificado los Artículos 71, 72, 72 bis, 73 y 74 (ver Anexo I).
Por esta ley, en el país sólo están protegidos los lenguajes de bases de datos, planillas de cálculo, el
software y su documentación dentro del mismo.
Si bien, en el decreto de 1994, se realizó la modificación justamente para incluir esos ítem en el
concepto de propiedad intelectual, no tiene en cuenta la posibilidad de plagio ya que no hay
jurisprudencia que permita establecer qué porcentaje de igualdad en la escritura de dos programas
se considera plagio. Las copias ilegales de software también son penalizadas, pero por
reglamentaciones comerciales.
A diferencia de otros países, en la Argentina la información no es un bien o propiedad, por lo tanto
no es posible que sea robada, modificada o destruida. De acuerdo con los art. 1072 y 2311 del
Código Civil y 183 del Código Penal se especifica que para que exista robo o hurto debe afectarse
una “cosa” y las leyes definen “cosa” como algo que ocupa lugar en el espacio; los datos, se sabe,
son intangibles.
En resumen: si alguien destruye, mediante los métodos que sean, la información almacenada en una
computadora no cometió delito; pero si rompió el hardware o un disquete será penalizado: en ese
caso, deberá hacerse cargo de los costos de cada elemento pero no de lo que contenían. También se
especifica (art. 1109) que el damnificado no podrá reclamar indemnización si hubiera existido
negligencia de su parte.
Ahora, cabe preguntarse ¿En Argentina, qué amparo judicial se tiene ante hechos electrónicos
ilícitos?. La respuesta es que el Código Penal argentino (con 77 años de vida) no tiene reglas
específicas sobre los delitos cometidos a través de computadoras. Esto es así porque cuando se
sancionaron las leyes no existía la tecnología actual y por lo tanto no fueron previstos los ataques
actuales.
Dentro del Código Penal se encuentran sanciones respecto de los delitos contra el honor (art. 109 a
117); instigación a cometer delito (art. 209), instigación al suicidio (art. 83); hurto (art. 162), estafas
(art. 172), además de los de defraudación, falsificación, tráfico de menores, narcotráfico, etc., todas
conductas que pueden ser cometidas utilizando como medio la tecnología electrónica, pero nada
referente a delitos cometidos sobre la información como bien.
El mayor inconveniente es que no hay forma de determinar fehacientemente cuál era el estado
anterior de los datos, puesto que la información en estado digital es fácilmente adulterable. Por otro
lado, aunque fuera posible determinar el estado anterior, sería difícil determinar el valor que dicha
información tenía.
El problema surge en que los datos almacenados tienen el valor que el cliente o “dueño” de esos
datos le asigna (y que razonablemente forma parte de su patrimonio). Esto, desde el punto de vista
legal es algo totalmente subjetivo. Son bienes intangibles, donde solo el cliente puede valorar los
“unos y ceros” almacenados.
!
CAPÍTULO 4
Así, las acciones comunes de hurto, robo, daño, falsificación, etc. (Art. 162 del Código Penal) que
hablan de un apoderamiento material NO pueden aplicarse a los datos almacenados por
considerarlos intangibles.
Hablar de estafa (contemplada en el Art. 172 del código penal) no es aplicable a una máquina
porque se la concibe como algo que no es susceptible de caer en error, todo lo contrario a la mente
humana.
En función del código penal, se considera que entrar en un domicilio sin permiso o violar
correspondencia constituyen delitos (Art. 153). Pero el acceso a una computadora, red de
computadoras o medios de transmisión de la información (violando un cable coaxil por ejemplo) sin
autorización, en forma directa o remota, no constituyen un acto penable por la justicia, aunque sí el
daño del mismo.
La mayor dificultad es cuantificar el delito informático. Estos pueden ser muy variados: reducir la
capacidad informativa de un sistema con un virus o un caballo de Troya, saturar el correo
electrónico de un proveedor con infinidad de mensajes, etc. Pero ¿Cuál de ellos es mas grave?.
Si se considera Internet, el problema se vuelve aún más grave ya que se caracteriza por ser algo
completamente descentralizado. Desde el punto de vista del usuario esto constituye un beneficio,
puesto que no tiene ningún control ni necesita autorización para acceder a los datos.
Sin embargo, constituye un problema desde el punto de vista legal. Principalmente porque la leyes
penales son aplicables territorialmente y no puede pasar las barreras de los países.
La facilidad de comunicación entre diversos países que brinda la telemática dificulta la sanción de
leyes claras y eficaces para castigar las intrusiones computacionales. Si ocurre un hecho delictivo
por medio del ingreso a varias páginas de un sitio distribuidas por distintos países: ¿Qué juez será el
competente en la causa?. ¿Hasta qué punto se pueden regular los delitos a través de Internet
sabiendo que no se puede aplicar las leyes en forma extraterritorial?.
Ver una pantalla con información, ¿Es un robo?. Ante esta pregunta Julio C. Ardita responde “(...)
si, desde el punto de vista del propietario, si es información confidencial y/o personal es delito
porque se violó su privacidad”.
Si un intruso salta de un satélite canadiense a una computadora en Taiwan y de allí a otra alemana
¿Con las leyes de qué país se juzgará?. Lo mencionado hasta aquí no da buenas perspectivas para la
seguridad de los usuarios (amparo legal) en cuanto a los datos que almacenan. Pero esto no es tan
así, puesto que si la información es confidencial la misma tendrá, en algún momento, amparo legal.
Por lo pronto, en febrero de 1997 se sancionó la ley 24.766 (ver Anexo I) por la que se protege la
información confidencial a través de acciones penales y civiles, considerando información
confidencial aquella que cumple los siguientes puntos:!
Es secreta en el sentido que no sea generalmente conocida ni fácilmente accesible para personas
introducidas en los círculos en que normalmente se utiliza el tipo de información.
Tenga valor comercial para ser secreta.
Se hayan tomado medidas necesarias para mantenerla secreta, tomadas por la persona que
legítimamente la controla.
Por medio de esta ley la sustracción de disquetes, acceso sin autorización a una red o computadora
que contenga información confidencial será sancionado a través de la pena de violación de secretos.
En cuanto a la actividad típica de los hackers, las leyes castigan el hurto de energía eléctrica y de
líneas telefónicas, aunque no es fácil de determinar la comisión del delito. La dificultad radica en
establecer dónde se cometió el delito y quién es el damnificado. Los posibles hechos de hacking se
encuadran en la categoría de delitos comunes como defraudaciones, estafas o abuso de confianza, y
la existencia de una computadora no modifica el castigo impuesto por la ley.
La División Computación de la Policía Federal no realiza acciones o investigaciones preventivas (a
modo de las organizaciones estadounidenses) actúa en un aspecto pericial cuando el operativo ya
está en marcha.
CAPÍTULO 4
Este vacío en la legislación argentina se agrava debido a que las empresas que sufren ataques no los
difunden por miedo a perder el prestigio y principalmente porque no existen conceptos claros para
definir nuevas leyes jurídicas en función de los avances tecnológicos.
Estos problemas afectan mucho a la evolución del campo informático de la argentina, generando
malestar en empresas, usuarios finales y toda persona que utilice una computadora como medio
para realizar o potenciar una tarea. Los mismos se sienten desprotegidos por la ley ante cualquier
acto delictivo.
Como conclusión, desde el punto de vista social, es conveniente educar y enseñar la correcta
utilización de todas las herramientas informáticas, impartiendo conocimientos específicos acerca de
las conductas prohibidas; no solo con el afán de protegerse, sino para evitar convertirse en un
agente de dispersión que contribuya, por ejemplo, a que un virus informático siga extendiéndose y
alcance una computadora en la que, debido a su entorno crítico, produzca un daño realmente grave e
irreparable.
Desde la óptica legal, y ante la inexistencia de normas que tipifiquen los delitos cometidos a través
de la computadora, es necesario y muy importante que la ley contemple accesos ilegales a las redes
como a sus medios de transmisión. Una futura reforma debería prohibir toda clase de acceso no
autorizado a un sistema informático, como lo hacen las leyes de Chile, Francia, Estados Unidos,
Alemania, Austria, etc. Lo paradójico (¿gracioso?) es que no existe sanción legal para la persona
que destruye información almacenada en un soporte, pero si para la que destruye la misma
información impresa sobre papel. No obstante, existen en el Congreso Nacional diversos proyectos
de ley que contemplan esta temática (ver Anexo II).
5.- LEGISLACIÓN INTERNACIONAL
5.1 ALEMANIA
En Alemania, para hacer frente a la delincuencia relacionada con la informática, el 15 de mayo de
1986 se adoptó la Segunda Ley contra la Criminalidad Económica. Esta ley reforma el Código
Penal (art. 148 del 22 de diciembre de 1987) para contemplar los siguientes delitos:
Espionaje de datos (202a).
Estafa informática (263a).
Falsificación de datos probatorios (269) junto a modificaciones complementarias del resto de
falsedades documentales como el engaño en el tráfico jurídico mediante la elaboración de datos,
falsedad ideológica, uso de documentos falsos (270, 271, 273).
Alteración de datos (303a) es ilícito cancelar, inutilizar o alterar datos e inclusive la tentativa es
punible.
Sabotaje informático (303b).
Destrucción de datos de especial significado por medio de deterioro, inutilización, eliminación o
alteración de un sistema de datos. También es punible la tentativa.
Utilización abusiva de cheques o tarjetas de crédito (266b).
Por lo que se refiere a la estafa informática, el perjuicio patrimonial que se comete consiste en
influir en el resultado de una elaboración de datos por medio de una realización incorrecta del
programa, a través de la utilización de datos incorrectos o incompletos, mediante la utilización
no autorizada de datos o a través de una intervención ilícita. Esta solución fue también adoptada
en los Países Escandinavos y en Austria.
5.2 AUSTRIA
Según la Ley de reforma del Código Penal del 22 de diciembre de 1987, se contemplan los
siguientes delitos:
Destrucción de datos (art. 126) no solo datos personales sino también los no personales y los
programas.
CAPÍTULO 4
Estafa informática (art. 148) se sanciona a aquellos que con dolo causen un perjuicio patrimonial
a un tercero influyendo en el resultado de una elaboración de datos automática a través de la
confección del programa, por la introducción, cancelación o alteración de datos o por actuar
sobre el procesamiento de datos.
Además contempla sanciones para quienes cometen este hecho utilizando su profesión.
Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos Informáticos. La ley
19223 publicada en el Diario Oficial (equivalente del Boletín Oficial argentino) el 7 de junio de
1993 señala que la destrucción o inutilización de un sistema de tratamiento de información puede
ser castigado con prisión de un año y medio a cinco. Como no se estipula la condición de acceder a
ese sistema, puede encuadrarse a los autores de virus. Si esa acción afectara los datos contenidos en
el sistema, la prisión se establecería entre los tres y los cinco años.
El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de apoderarse,
usar o conocer de manera indebida la información contenida en éste, también es pasible de
condenas de hasta cinco años de cárcel; pero ingresar en ese mismo sistema sin permiso y sin
intenciones de ver su contenido no constituye delito. Dar a conocer la información almacenada en
un sistema puede ser castigado con prisión de hasta tres años, pero si el que lo hace es el
responsable de dicho sistema puede aumentar a cinco años. Esta ley es muy similar a la inglesa
aunque agrega la protección a la información privada.
5.4 CHINA
El Tribunal Supremo Chino castigará con la pena de muerte el espionaje desde Internet, según se
anunció el 23 de enero de 2001.
Todas las personas “implicadas en actividades de espionaje”, es decir que “roben, descubran,
compren o divulguen secretos de Estado” desde la red podrán ser condenadas con penas que van de
diez años de prisión hasta la muerte. ¿Castigo ejemplar?. La corte determina que hay tres tipos de
actividades donde la vigilancia será extrema: secretos de alta seguridad, los secretos estatales y
aquella información que dañe seriamente la seguridad estatal y sus intereses. Se consideran
actividades ilegales la infiltración de documentos relacionados con el Estado, la defensa, las
tecnologías de punta, o la difusión de virus informático.
El Tribunal ha hecho especial énfasis al apartado del espionaje desde la red. A los llamados
“criminales”, además de tener asegurada una severa condena (la muerte), también se les puede...
¡confiscar los bienes!.
5.5 ESPAÑA
Este país quizás sea el que mayor experiencia ha obtenido en casos de delitos informáticos, en
Europa. Su actual Ley Orgánica de Protección de Datos de Carácter Personal (LOPDCP) aprobada
el 15 de diciembre de 1999, la cual reemplaza una veintena de leyes anteriores de la misma índole,
contempla la mayor cantidad de acciones lesivas sobre la información.
Se sanciona en forma detallada la obtención o violación de secretos, el espionaje, la divulgación de
datos privados, las estafas electrónicas, el hacking maligno o militar, el phreacking, la introducción
de virus, etc.; aplicando pena de prisión y multa, agravándolas cuando existe una intención dolosa o
cuando el hecho es cometido por parte de funcionarios públicos.
Así mismo su nuevo Código Penal establece castigos de prisión y multas “a quien por cualquier
medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos
electrónicos ajenos contenidos en redes, soportes o sistemas informáticos”.
5.6 ESTADO UNIDOS DE AMÉRICA
El primer abuso de una computadora se registró en 1958 mientras que recién en 1966 se llevó
adelante el primer proceso por la alteración de datos de un banco de Mineapolis. En la primera
CAPÍTULO 4
mitad de la década del 70, mientras los especialistas y criminólogos discutían si el delito
informático era el resultado de una nueva tecnología o un tema específico, los ataques
computacionales se hicieron más frecuentes. Para acelerar las comunicaciones, enlazar compañías,
centros de investigación y transferir datos, las redes debían (y deben) ser accesibles, por eso el
Pentágono, la OTAN, las universidades, la NASA, los laboratorios industriales y militares se
convirtieron en el blanco de los intrusos.
Pero en 1976 dos hechos marcaron un punto de inflexión en el tratamiento policial de los casos: el
FBI dictó un curso de entrenamiento para sus agentes acerca de delitos informáticos y el Comité de
Asuntos del Gobierno de la Cámara presentó dos informes que dieron lugar a la Ley Federal de
Protección de Sistemas de 1985. Esta ley fue la base para que Florida, Michigan, Colorado, Rhode
Island y Arizona se constituyeran en los primeros estados con legislación específica, anticipándose
un año al dictado de la Computer Fraud y Abuse Act de 1986.
Este se refiere en su mayor parte a delitos de abuso o fraude contra casas financieras, registros
médicos, computadoras de instituciones financieras o involucradas en delitos interestatales.
También especifica penas para el tráfico de claves con intención de cometer fraude y declara ilegal
el uso de passwords ajenas o propias en forma inadecuada. Pero sólo es aplicable en casos en los
que se verifiquen daños cuyo valor supere el mínimo de mil dólares. En 1994 se adoptó el Acta
Federal de Abuso Computacional (18 U.S.C. Sec 1030), modificando el Acta de 1986. Aquí se
contempla la regulación de los virus (computer contaminant) conceptualizándolos aunque no los
limita a los comúnmente llamados virus o gusanos sino que contempla a otras instrucciones
designadas a contaminar otros grupos de programas o bases de datos.
Modificar, destruir, copiar, transmitir datos o alterar la operación normal de las computadoras, los
sistemas o las redes informáticas es considerado delito. Así, esta ley es un acercamiento real al
problema, alejado de argumentos técnicos para dar cabida a una nueva era de ataques tecnológicos.
El aumento en la cantidad de casos de hacking y la sensación de inseguridad permanente que
generaron (fomentada por la difusión de los hechos en programas especiales de televisión y
artículos de revistas especializadas), cambiaron la percepción de las autoridades con respecto a los
hackers y sus ataques. Los casos que demostraron ese cambio fueron los del “Cóndor” Kevin
Mitnick y los de “ShadowHawk” Herbert Zinn hijo (ver Anexo II).
El FCIC (Federal Computers Investigation Commitee), es la organización más importante e
influyente en lo referente a delitos computacionales: los investigadores estatales y locales, los
agentes federales, abogados, auditores financieros, programadores de seguridad y policías de la
calle trabajan allí comunitariamente. El FCIC es la entrenadora del resto de las fuerzas policiales en
cuanto a delitos informáticos, y el primer organismo establecido en el nivel nacional.
Además existe la Asociación Internacional de Especialistas en Investigación Computacional
(IACIS), quien investiga nuevas técnicas para dividir un sistema en sus partes sin destruir las
evidencias. Sus integrantes son “forenses de las computadoras” y trabajan, además de los Estados
Unidos, en el Canadá, Taiwán e Irlanda.
5.7 FRANCIA
Aquí, la Ley 88/19 del 5 de enero de 1988 sobre el fraude informático contempla:
Acceso fraudulento a un sistema de elaboración de datos. Se sanciona tanto el acceso al sistema
como al que se mantenga en él y aumenta la sanción si de ese acceso resulta la supresión o
modificación de los datos contenidos en el sistema o resulta la alteración del funcionamiento del
sistema.
Sabotaje Informático. Falsear el funcionamiento de un sistema de tratamiento automático de
datos.
Destrucción de datos. Se sanciona a quien intencionalmente y con menosprecio de los derechos
de los demás introduzca datos en un sistema de tratamiento automático de datos, suprima o
modifique los datos que este contiene o los modos de tratamiento o de transmisión.
CAPÍTULO 4
Falsificación de documentos informatizados. Se sanciona a quien de cualquier modo falsifique
documentos informatizados con intención de causar un perjuicio a otro.
5.8 HOLANDA
Hasta el día 1 de marzo de 1993, día en que entró en vigencia la Ley de Delitos Informáticos,
Holanda era un paraíso para los hackers. Esta ley contempla con artículos específicos sobre técnicas
de Hacking y Phreacking.
El mero hecho de entrar en una computadora en la cual no se tiene acceso legal ya es delito y puede
ser castigado hasta con seis meses de cárcel. Si se usó esa computadora hackeada para acceder a
otra, la pena sube a cuatro años aunque el crimen, a simple vista, no parece ser peor que el anterior.
Copiar archivos de la máquina hackeada o procesar datos en ella también conlleva un castigo de
cuatro años en la cárcel. Publicar la información obtenida es ilegal si son datos que debían
permanecer en secreto, pero si son de interés público es legal.!
El daño a la información o a un sistema de comunicaciones puede ser castigado con cárcel de seis
meses a quince años, aunque el máximo está reservado para quienes causaron la muerte de alguien
con su accionar. Cambiar, agregar o borrar datos puede ser penalizado hasta con dos años de prisión
pero, si se hizo vía remota aumenta a cuatro.
Los virus están considerados de manera especial en la ley. Si se distribuyen con la intención de
causar problemas, el castigo puede llegar hasta los cuatro años de cárcel; si simplemente se
“escapó”, la pena no superará el mes.
El usar el servicio telefónico mediante un truco técnico (Phreacking) o pasando señales falsas con el
objetivo de no pagarlo puede recibir hasta tres años de prisión. La venta de elementos que permitan
el Phreaking se castiga con un año de prisión como tope y si ese comercio es el modo de ganarse la
vida del infractor, el máximo aumenta a tres. La ingeniería social también es castigada con hasta
tres años de cárcel.
Recibir datos del aire es legal (transmisiones satelitales), siempre y cuando no haga falta un
esfuerzo especial para conseguirlos; la declaración protege datos encriptados, como los de ciertos
canales de televisión satelital. Falsificar tarjetas de crédito de banca electrónica y usarlas para
obtener beneficios o como si fueran las originales está penado con hasta seis años. Aunque...
hacerlas y no usarlas parece ser legal.
5.9 INGLATERRA
Luego de varios casos de hacking surgieron nuevas leyes sobre delitos informáticos. En agosto de
1990 comenzó a regir la Computer Misuse Act (Ley de Abusos Informáticos) por la cual cualquier
intento, exitoso o no de alterar datos informáticos con intención criminal se castiga con hasta cinco
años de cárcel o multas sin límite.
El acceso ilegal a una computadora contempla hasta seis meses de prisión o multa de hasta dos mil
libras esterlinas. El acta se puede considerar dividida en tres partes: hackear (ingresar sin permiso
en una computadora), hacer algo con la computadora hackeada y realizar alguna modificación no
Autorizada.
El último apartado se refiere tanto al hacking (por ejemplo, la modificación de un programa para
instalar un backdoor), la infección con virus o, yendo al extremo, a la destrucción de datos como la
inhabilitación del funcionamiento de la computadora.
Bajo esta ley liberar un virus es delito y en enero de 1993 hubo un raid contra el grupo de creadores
de virus. Se produjeron varios arrestos en la que fue considerada la primera prueba de la nueva ley
en un entorno real.
6.- CONCLUSIÓN
Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por nuestra parte,
a los postulados de la ONU sobre los delitos informáticos, con el fin de unificar la legislación
CAPÍTULO 4
internacional que regule la problemática de la cibernética y su utilización tan generalizada en el
mundo. Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia de una
norma que tipifique los delitos señalados, son un factor criminógeno que favorece la multiplicación
de autores que utilicen los medios electrónicos para cometer delitos a sabiendas que no serán
alcanzados por la ley.
No solo debe pensarse en la forma de castigo, sino algo mucho más importante como lograr probar
el delito. Este sigue siendo el principal inconveniente a la hora de legislar por el carácter intangible
de la información.
“Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes específicas para la
tecnología. El fraude es el fraude, se realice mediante el correo postal, el teléfono o Internet. Un
delito no es más o menos delito si se utilizó criptografía (...). Y el chantaje no es mejor o peor si se
utilizaron virus informáticos o fotos comprometedoras, a la antigua usanza. Las buenas leyes son
escritas para ser independientes de la tecnología. En un mundo donde la tecnología avanza mucho
más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy en día. Mejores
y más rápidos mecanismos de legislación, juicios y sentencias...quizás algún día.”