Acceso No Autorizado a Servicios Informaticos PDF

16,399 views

Published on

Trabajo realizado sobre Acceso no Autorizado a Servicios Informáticos

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
16,399
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
314
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Acceso No Autorizado a Servicios Informaticos PDF

  1. 1. ―Año de la Unión Nacional Frente a la Crisis Externa‖ UNIVERSIDAD CONTINENTAL DE CIENCIAS E INGENIERÍA Escuela académica Profesional de Ingeniería Informática y Sistemas ACCESO NO AUTORIZADO A SERVICIOS INFORMÁTICOS Presentado por: ESTRELLA HUANCAYO, Abel LEON ESPINOZA, Hugo BASURTO RAFAEL, Sandra MUNGUIA CAMASCA, Marcos NUÑEZ BARZOLA, Jesús Docente: Ing. RICSE CABALLERO, Fredy Joel Asignatura: DERECHO INFORMATICO HUANCAYO – PERÚ 2009
  2. 2. 1. INTRODUCCIÓN El fenómeno informático es una realidad incuestionable e irreversible; definitivamente, la informática se ha instalado entre nosotros para no marcharse jamás. Ello es consecuencia del continuo y progresivo desarrollo del campo de la informática aplicada en la actualidad a todos los aspectos de la vida cotidiana; así, por ejemplo, la utilización de computadoras en la industria, el comercio, la administración pública, en instituciones bancarias y financieras. Esta verdadera invasión de la computadora en todos los ámbitos de las relaciones socioeconómicas ha motivado que muchos hablen ya de una auténtica ―era informática‖. En efecto, pocas dimensiones de nuestra vida no se ven afectadas, dirigidas o controladas por la computadora, ya sea de manera directa o indirecta; incluso, en determinados casos, las computadoras no sólo son utilizadas como medios de archivo y procesamiento de información, sino que, además, se les concede la capacidad de adoptar automáticamente decisiones.
  3. 3. 2. DEFINICION El sector de Software y Servicios Informáticos (SSI) se engloba dentro de lo que se conoce como industrias de las ―Tecnologías de la Información‖ (TI), que, de acuerdo con la OECD (1997) abarcan:  Hardware  Software  Servicios Informáticos (incluyen tanto los servicios profesionales vinculados a la instalación, mantenimiento, desarrollo, integración, etc. de software, como los de soporte técnico de hardware). Si bien no es sencillo definir a software, la definición propuesta por la OECD, que indica que por software se entiende la ―producción de un conjunto estructurado de instrucciones, procedimientos, programas, reglas y documentación contenida en distintos tipos de soporte físico con el objetivo de hacer posible el uso de equipos de procesamiento electrónico de datos‖, nos da una idea de que sus inputs y outputs son virtualmente inmateriales y con casi nulos costos de transporte a elevada velocidad. El desarrollo de software y servicios relacionados son intensivos en trabajo calificado y con requerimientos generalmente bajos en términos de capital físico. En la industria todavía siguen subsistiendo problemas de calidad, confiabilidad, cumplimiento de tiempos, etc. características de actividades ―artesanales‖, lo que ha llevado a (entre otros cambios en la producción) a introducir estándares de calidad y gestión, ya sean utilizados a nivel interindustrial (normas ISO) como también propios de esta industria (modelo CMM y Spice). Más adelante se volverá sobre estos modelos de certificación de calidad para el caso del cluster cordobés. A pesar de que la tercerización es limitadas entre empresas de una misma región, debido a la posibilidad de transferencia de conocimientos clave, es habitual que se tercericen ciertas partes del proceso a nivel internacional, partes que son de carácter rutinario (diseño de bajo nivel, codificación, testeo, soporte técnico), debido a los nulos costos de transporte y a las
  4. 4. posibilidades de reducción de costos cuando se trata de una subcontratación off-shore, con países como la India. El output de la industria de software puede ser clasificado como producto o como servicio. Mientras los ingresos derivados del desarrollo de productos provienen principalmente de la venta de licencias para su uso, los ingresos generados por los servicios provienen de actividades diversas como el diseño y desarrollo de soluciones a medida, la implementación y adaptación de productos de terceros, servicios de consultoría, capacitación, instalación y mantenimiento de software, etc. La elaboración de productos se caracteriza por bajos o nulos costos marginales de producción (el costo de replicación es mínimo y tiende a reducirse a medida que los medios tradicionales de distribución son reemplazados por Internet). El grueso de los costos son fijos y hundidos. Los gastos de comercialización suelen representar una proporción considerable de las grandes compañías. Esta estructura de costos sugiere la presencia de rendimientos crecientes a escala en el sector de productos de software, lo cual da lugar a una estructura de mercado concentrada. Esto se ve acentuado por la presencia de externalidades en red. En el sector servicios, los costos marginales son elevados. Por otra parte, la experiencia y el conocimiento acumulados a raíz de la continua interacción con el usuario final tienen un carácter específico y difícilmente pueden transferirse a otro cliente. Dada esta estructura industrial, en la mayoría de los países, incluida Argentina, se observan dos polos de empresas. Uno conformado por grandes empresas multinacionales que producen mayoritariamente productos y exportan la producción, y otro constituido por una gran cantidad de pequeñas firmas que producen para el mercado local, mayoritariamente servicios. 1. Situación del sector a nivel internacional Si bien el grueso de la producción de software se concentra en los Estados Unidos, Japón y en los países más avanzados del continente europeo, algunas naciones en desarrollo de Asia y América Latina, así como otras de la periferia europea, han hecho significativos avances dentro del sector. El siguiente cuadro muestra la producción de los países de entrada tardía para el año 2001.
  5. 5. Fuente: Chudnovsky, et. al. (2001) La industria de software en los países en desarrollo se caracteriza por un mayor peso del sector servicios en relación al de productos. Entre los componentes clave para una estrategia exitosa de avance del sector, se menciona a la capacidad de competir vía costos, buen marketing, y mecanismos de networking con otras firmas de software y con clientes, inversores, etc. tanto del país como del exterior.
  6. 6. 3. TIPOS Existen diferentes términos para definir este tipo de delitos entre los que podemos destacar: a) Delincuencia informática Se define como conjunto de comportamientos dignos de reproche penal que tienen por instrumento o por objeto a los sistemas o elementos de técnica informática, o que están en relación significativa con ésta, pudiendo presentar múltiples formas de lesión de variados bienes jurídicos. b) Criminalidad informática La criminalidad informática como la realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean llevados a cabo utilizando un elemento informático (mero instrumento del crimen) o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software (en éste caso lo informático es finalidad). Considera que con la expresión ―criminalidad mediante computadoras‖, se alude a todos los actos, antijurídicos según la ley penal vigente realizados con el empleo de un equipo automático de procesamiento de datos. c) Delitos informáticos Se refiere a la definición propuesta por el Departamento de Justicia Norteamericana, según la cual Delito Informático es cualquier acto ilegal en relación con el cual el conocimiento de la tecnología informática es esencial para su comisión, investigación y persecución. No parece adecuado hablar de delito informático ya que, como tal, no existe, si atendemos a la necesidad de una tipificación en la legislación penal para que pueda existir un delito. Ni el Código Penal de 1995 introduce el delito informático, ni admite que exista como tal un delito informático, si bien admite la expresión por conveniencia, para referirse a determinadas acciones y omisiones dolosas o imprudentes, penadas por la Ley, en las que ha tenido algún tipo de relación en su comisión, directa o indirecta, un bien o servicio informático. Define el Delito informático como, la realización de
  7. 7. una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software. Determinados enfoques doctrinales subrayarán que el delito informático, más que una forma específica de delito, supone una pluralidad de modalidades delictivas vinculadas, de algún modo con los ordenadores. Los delitos informáticos como todo acto intencional asociado de una manera u otra a los ordenadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo autor ha o habría podido obtener un beneficio. d) Computer crimen En el ámbito anglosajón se ha popularizado la denominación de ―Computer Crime‖ y en el germano la expresión ―Computerkriminalität‖ e) Delincuencia de cuello blanco La doctrina, casi unánimemente, la considera inscribible en la criminalidad ―de cuello blanco‖ La delincuencia de cuello blanco es la violación de la ley penal por una persona de alto nivel socio-económico en el desarrollo de su actividad profesional. f) Abuso informático Según la definición que adopta el mercado de la OCDE en la Recomendación número R(81) 12 del Consejo de Europa indicando que abuso informático es todo comportamiento ilegal o contrario a la ética o no autorizado que concierne a un tratamiento automático de datos y/o transmisión de datos. La misma definición aporta CORREA incidiendo en la Recomendación (89) 9,. del Comité de Ministros del Consejo de Europa considerando que la delincuencia informática suele tener carácter transfronterizo que exige una respuesta adecuada y rápida y, por tanto, es necesario llevar a cabo una armonización más intensa de la legislación y de la práctica entre todos los países respecto a la delincuencia relacionada con el ordenador.
  8. 8. 4. NORMATIVIDAD 4.1. EL DELITO INFORMÁTICO COMO RETO A UNA CONCEPCIÓN CLÁSICA DEL DERECHO PENAL La importancia del fenómeno informático es algo aceptado. El problema en cuanto a este fenómeno se traduce en buscar fórmulas efectivas de control, respecto a las cuales el Derecho ha de tener un marcado protagonismo, en su papel de regulador de las relaciones y mecanismos sociales para el mantenimiento de un orden social. Nadie duda que el fenómeno informático produce en distintas ramas del Ordenamiento jurídico, -civil, procesal civil, mercantil, etc...-, un cierto trastorno a la hora de enfrentar tales hechos. Tal es la problemática generada por este fenómeno que ha motivado en la actualidad la necesidad de recurrir al Derecho Penal a fin de disuadir del uso abusivo al que lleva el empleo de computadoras, lo cual se ha plasmado ya en varias legislaciones extranjeras. No obstante, ante estas situaciones no puede olvidarse el principio del Derecho Penal como ultima ratio, según el cual la intervención penal sólo está justificada cuando otras ramas del Ordenamiento jurídico ya no pueden resolver los problemas que genera el fenómeno informático en la sociedad, de ahí que el Derecho Penal actúe como última instancia de control social. En un primer momento, las figuras delictivas tradicionales, en particular, los delitos patrimoniales, han tenido que hacer frente a esta nueva forma de criminalidad, pero, como veremos más adelante, éstas no ofrecen una delimitación típica completa frente a las nuevas conductas delictivas, razón por la cual en muchas legislaciones se tiende a crear tipos penales especiales referidos al delito informático; siguiendo esta misma línea se encuentra nuestro Código Penal de 1991, donde, no obstante, aún resulta difícil precisar jurídicamente tales conductas. 4.2. EL CONCEPTO DE DELITO INFORMÁTICO Y RELACIÓN CON OTRAS FIGURAS DELICTIVAS
  9. 9. No existe un concepto unánimemente aceptado de lo que sea el delito informático debido a que la delincuencia informática comprende una serie de comportamientos difícilmente reducibles o agrupables en una sola definición. De manera general, se puede definir el delito informático como aquél en el que, para su comisión, se emplea un sistema automático de procesamiento de datos o de transmisión de datos. En nuestra legislación esta figura se encuentra descrita en el artículo 186°, inciso 3, segundo párrafo, del Código Penal. Este hecho merece ser resaltado puesto que en otros países se habla de delito informático en sentido de lege ferenda ya que carecen de una tipificación expresa de estos comportamientos. La aparición de estas nuevas conductas merece, no obstante, determinar si las figuras delictivas tradicionales contenidas en el Código Penal son suficientes para dar acogida al delito informático. 4.2.1. Delito de Estafa Entre las conductas defraudatorias cometidas mediante computadora y las defraudaciones en general, dentro de las cuales se encuentra la estafa existe una afinidad o proximidad en los conceptos. Pero al examinar más exhaustivamente los elementos típicos de la estafa, se acaba concluyendo que el fraude informático y el delito de estafa prácticamente sólo tienen en común el perjuicio patrimonial que provocan. Dentro de las manipulaciones informáticas se distingue: a) La fase input o entrada de datos en la cual se introducen datos falsos o se modifican los reales añadiendo otros, o bien se omiten o suprimen datos. b) Las manipulaciones en el programa que contiene las órdenes precisas para el tratamiento informático. c) La fase output o salida de datos, donde no se afecta el tratamiento informático, sino la salida de los datos procesados al exterior, cuando van a ser visualizados en la pantalla, se van a imprimir o registrar. d) Las manipulaciones a distancia, en las cuales se opera desde una computadora fuera de las instalaciones informáticas afectadas, a las que se
  10. 10. accede tecleando el código secreto de acceso, con la ayuda de un modem y de las líneas telefónicas. El punto medular de la delincuencia informática es la manipulación de la computadora. La conducta consiste en modificaciones de datos, practicados especialmente por empleados de las empresas perjudicadas, con el fin de obtener un enriquecimiento personal, por ejemplo, el pago de sueldos, pagos injustificados de subsidios, manipulaciones en el balance, etc. El delito de estafa, previsto en el art. 196° CP, se define como el perjuicio patrimonial ajeno, causado mediante engaño, astucia, ardid u otra forma fraudulenta, induciendo o manteniendo prendida por el delito de estafa. En primer lugar, y en cuanto al engaño que se requiere en la estafa, éste se refiere de manera directa a una persona física, aunque últimamente algunos autores indican que puede estar dirigido a una persona jurídica. Sin embargo, el problema principal estriba en si la introducción de datos falsos en una máquina equivale al engaño sobre una persona. La opinión unánime de la doctrina, -y a la que nos adherimos-, rechaza tal identificación, puesto que, mientras en un extremo se encuentra el delincuente informático, en el otro existe una computadora. En realidad, para que exista engaño, es requisito la participación de dos personas. Es indudable que en algunas conductas de manipulación fraudulenta sí se podrá configurar el delito de estafa, por ejemplo, cuando el delincuente informático engaña mediante una computadora a otra persona que se encuentra en el otro terminal; en este caso, al haber dos personas, podrá sustentarse el engaño, en donde el medio empleado para conseguirlo es una computadora. También en la actualidad se puede plantear el engaño a una persona jurídica, como en el caso en que se solicita un préstamo al banco, falseando la situación económica real, o en el que ante una compañía de seguros se miente sobre el verdadero estado de salud de la persona. Desde el punto de vista del Derecho Penal, se niega la posibilidad de engañar a una máquina. En este sentido, la computadora es sólo una máquina, un instrumento creado por el hombre.
  11. 11. En cuanto al error, como elemento de la estafa, se requiere la concurrencia de dos personas, lo cual se deduce de la descripción del tipo en el art. 196° CP, donde se indica ―induciendo o manteniendo en error al agraviado mediante engaño‖. Además, el error es entendido como el estado psíquico que padece el agraviado como consecuencia del engaño. Por estas razones es que en la manipulación de computadoras, tal y como está concebida y establecida en el Código Penal, no es posible sustentar que existe un engaño. De otro lado, no puede sostenerse que la computadora incurre en un error, dado que actúa conforme a los madatos o datos de las instrucciones manipuladas. Por tanto, no hay estafa en los casos de manipulación de máquinas automáticas, pues no se puede hablar ni de error ni de engaño; sólo podrá plantearse hurto en el caso que se obtenga un bien mueble, pero será un hecho impune cuando se trata de prestación de servicios. Un problema semejante tiene lugar con la manipulación de computadoras a través de la introducción y alteración de programas. En referencia al acto de disposición patrimonial en el delito de estafa, éste ha de realizarlo la persona engañada, quien se encuentra en una situación de error, de ahí que siempre se entienda en la estafa que el acto de disposición es un acto humano, es decir, realizado por una persona. En el caso de las manipulaciones informáticas fraudulentas el acto de disposición lo realiza la computadora, con lo cual se rompe el esquema planteado en el delito de estafa. Finalmente, en cuanto al perjuicio en el delito de estafa, éste no ofrece mayor problema para comprenderlo dentro de la manipulación de una computadora, puesto que en ambos casos normalmente se causa un perjuicio a la persona. En conclusión, en la legislación peruana, la casi totalidad de supuestos de manipulación de computadoras no puede acogerse dentro del delito de estafa. La única manera sería creando un tipo especial defraudatorio donde se prescinda de los elementos básicos de la estafa, -el engaño a una persona y la subsiguiente provocación del error-, tal como sucedió en Alemania con la creación del parágrafo 263 a) del Código Penal alemán.
  12. 12. 4.2.2. El delito de Daños El delito de daños se encuentra tipificado en el art. 205° CP. El comportamiento consiste en dañar, destruir o inutilizar un bien. En el sistema informático, el delito de daños existirá si usuarios, carentes de autorización, alteran o destruyen archivos o bancos de datos a propósito. Es importante precisar que, si los daños se producen de manera negligente, quedarán impunes dado que el delito de daños sólo puede cometerse de manera dolosa. Estos hechos se conocen como ―sabotaje‖, hechos que resultan ser favorecidos gracias a la concentración de información en un mínimo espacio. La destrucción total de programas y datos puede poner en peligro la estabilidad de una empresa e incluso de la economía nacional. El modus operandi de estos actos se viene perfeccionando con el tiempovii; en primer lugar, se realizaban con la causación de incendios, posteriormente, con la introducción de los denominados ―programas crasch‖, virus, time bombs (la actividad destructiva comienza luego de un plazo), cancer roudtine (los programas destructivos tienen la particularidad de que se reproducen por sí mismos), que borran grandes cantidades de datos en un cortísimo espacio de tiempo. Es indudable que estos comportamientos producen un daño en el patrimonio de las personas, por lo que no hay inconveniente en sancionar penalmente dichas conductas. Pero es necesario indicar que con el delito de daños sólo se protege un determinado grupo de conductas que están comprendidas en el delito informático, quedando fuera otras, como por ejemplo, el acceso a una información reservada sin dañar la base de datos. De ahí que el delito de daños será de aplicación siempre que la conducta del autor del hecho limite la capacidad de funcionamiento de la base de datos. 4.2.3. El delito de falsedad documental
  13. 13. El delito de falsedad documental se encuentra tipificado en el art. 427° CP. La conducta consiste en hacer, en todo o en parte, un documento falso o adulterar uno verdadero que pueda dar origen a derecho u obligación o servir para probar un hecho. El objeto material del delito es el documento. Se entiende por documento toda declaración materializada procedente de una persona que figura como su autor, cuyo contenido tiene eficacia probatoria en el ámbito del tráfico jurídico. Para que exista documento, por tanto, es preciso la materialización de un pensamiento humano, entendida como la existencia de un soporte corporal estable, reconocible visualmente, atribuible a una persona e individualizable en cuanto su autor. Esto sí se puede predicar de los datos y programas de las computadoras, en tanto la información se encuentre contenida en discos, siempre y cuando sea posible tener acceso a ésta. De ahí que el documento informático goce, al igual que el documento tradicional, de suficiente capacidad como medio probatorio, característica principal en función de la cual se justifica la tipificación de conductas tales como la falsedad documentalix. Al respecto, es necesario indicar que el art. 234° del Código Procesal Civil expresamente reconoce como documento las microformas tanto en la modalidad de microfilm como en la modalidad de soportes informáticos, haciendo referencia a la telemática en general, siempre y cuando recojan, contengan o representen algún hecho, o una actividad humana o su resultado. Sin embargo, desde el punto de vista práctico, plantea problemas la posibilidad de determinar al autor del documento informático, dado que se exige normalmente que el documento sea la expresión de un pensamiento humano, situación que a veces es difícil reconocer por cuanto incluso existen computadoras capaces de crear nuevos mensajes a partir de los datos introducidos por el sujeto. En estos casos, la cuestión sería determinar hasta dónde llega la autonomía de la máquina para crear su propia fuente de información. Por tanto, esta modalidad delictiva puede aplicarse al delincuente informático siempre y cuando se supere la concepción tradicional de documento que mantiene la legislación penal peruana, anclada básicamente en un papel escrito, y que se
  14. 14. acepten nuevas formas de expresión documental, sobre la base de disquetes, CD, discos duros, en cuanto sistemas actuales de expresión de información. 4.2.4. Los delitos contra la propiedad intelectual Los delitos contra la propiedad intelectual están tipificados en el art. 216° CP. El comportamiento consiste en copiar, reproducir, exhibir o difundir al público, en todo o en parte, por impresión, grabación, fonograma, videograma, fijación u otro medio, una obra o producción literaria, artística, científica o técnica, sin la autorización escrita del autor o productor o titular de los derechos. Según esto, el sujeto se aprovecha de la creación intelectual de una persona, reproduciéndola, por lo que se afecta tanto al derecho del autor sobre su obra, como a los posibles titulares de este derecho, si es que ha sido cedido a otra persona. A esta conducta los autores asimilan lo que se conoce como ―piratería de software‖ frente a la copia lícita. Estos hechos han alcanzado en la realidad una especial gravedad dada la frecuencia con la que abundan copias piratas de todo tipo de programas de computadoras. Inclusive, en nuestro país ello ha obligado a la creación de una fiscalía especializada en la persecución de todas las conductas relativas a la defraudación del derecho de autor. Estas conductas representan un considerable perjuicio económico al autor, quien deja de percibir sus correspondientes derechos por la información y venta del software, que es elaborado con un considerable esfuerzo, en el cual, a menudo, se encierra un valioso know how comercialx. Por tanto, el delito contra la propiedad intelectual sólo comprenderá un grupo de comportamientos incluidos en el delito informático, básicamente, los referidos a la defraudación del derecho de autor por su creación científica en el campo del software. 4.3. EL DELITO INFORMÁTICO EN EL CÓDIGO PENAL PERUANO: ART. 186°, INCISO 3, 2 PÁRRAFO La criminalidad informática en el Código Penal peruano se encuentra recogida de manera expresa como una agravante del delito de hurto en el art. 186°, inciso 3, segundo párrafo. De esta manera, el legislador penal opta por tipificar esta modalidad delictiva como una forma de ataque contra el patrimonio, por cuanto éste se configura
  15. 15. en el bien jurídico protegido en el delito de hurto, entendiéndose el patrimonio en un sentido jurídico-económico. Por tanto, cabe concluir que se protege un bien jurídico individual. Si bien, es posible que en algunos casos las referidas conductas afecten, además del patrimonio, a la intimidad de las personas, al orden económico, etc. 4.3.1. Análisis de la conducta típica en el delito de Hurto El comportamiento típico del delito de hurto se encuentra tipificado en el art. 185° CP. La conducta consiste en apoderarse ilegítimamente de un bien mueble, total o parcialmente ajeno, sustrayéndolo del lugar donde se encuentra. En esta conducta estaremos ante un delito informático si el sujeto activo, para apoderarse del bien mueble, emplea la utilización de sistemas de transferencia electrónica de fondos, de la telemática en general, o la violación del empleo de claves secretas. 4.3.2. Características particulares del delito de hurto desde el punto de vista de la criminalidad informática 4.3.2.1. El objeto material del delito El objeto material del delito de hurto ha de ser un bien mueble, y por tal interpreta la doctrina un bien corporal o material, aprehensible, tangible, entre otras cosas, porque sólo así es posible la sustracción. Si se parte de la base de que en el uso de computadoras en realidad se trabaja con datos archivados y se maneja únicamente información, se suscita un grave problema a la hora de poder definir dicha información con las mismas características que tradicionalmente se exigen en el bien mueble a los efectos del delito de hurto. Es evidente que la información en sí misma no es algo tangible; esto no impide que pueda llegar a adquirir corporeidad en aquellos casos en los que se archiva o grava en medios tangibles como puede ser una cinta, un disco, disquete, etc., en cuyo caso no se platearía problema alguno puesto que ya habría un concreto bien mueble corpóreo susceptible de ser aprehendido.
  16. 16. Por tanto, en cuanto al concepto de bien mueble, se requiere una ampliación de los estrictos límites marcados por un concepto materialista de bien mueble. En base a esto, no habría inconveniente en admitir a la información computarizada como bien mueble y, por lo tanto, objeto material del delito de hurto, en cuanto sea susceptible de gozar de un determinado valor económico en el mercado. 4.3.2.2. La Conducta Típica En el delito de hurto, el comportamiento típico consiste en apoderarse de un bien mueble mediante sustracción del lugar en el que se encuentra. Por lo tanto, y según esta descripción, sería preciso la concurrencia de un desplazamiento físico del bien mueble. En el ámbito de la criminalidad informática es posible, sin embargo, sustraer información sin necesidad de proceder a un desplazamiento físico o material. Es por ello que la noción de desplazamiento físico se ha espiritualizado, bastando con que el bien quede de alguna forma bajo el control del sujeto activo. Sin embargo, en la sustracción de información, el apoderamiento puede realizarse con una simple lectura o memorización de datos, de cuya utilización, por lo demás, no queda excluido el titular; de ahí que muchos autores consideren que en este delito, lo que se lesiona es el derecho al secreto de los datos almacenados, el derecho exclusivo al control, o un hipotético derecho a negar el acceso a terceros fuera de los que él decidaxi. 4.3.2.3. Formas de Ejecución de la Conducta Típica Como hemos indicado anteriormente, el delito informático en el Código Penal es un delito de hurto agravado, y se configura como tal en base a los medios que emplea el sujeto activo. Tales son: a) Utilización de sistemas de transferencia electrónica de fondos: La transferencia electrónica de fondos queda definida como aquélla que es iniciada a través de un terminal electrónico, instrumento telefónico o computadora, para autorizar un crédito, -o un débito-, contra una cuenta
  17. 17. o institución financiera. Según esta definición, este sistema está referido a la colocación de sumas de dinero de una cuenta en otra, ya sea dentro de la misma entidad bancaria, ya a una cuenta de otra entidad, o entidad de otro tipo, sea pública o privada. b) Utilización de sistemas telemáticos: La telemática es definida como la información a distancia, entendiendo por informática el tratamiento de información. A este tipo de conductas se les denomina ―hurto de información‖, que se produciría mediante la sustracción de información de una empresa con la finalidad de obtener un beneficio económico. c) Si en estos casos, la sustracción se produce con la intención de demostrar una simple habilidad, podría constituirse un delito de hurto de uso (art. 187° CP). Si se destruyen los datos contenidos en el sistema, habría un delito de daños (art. 205° CP). d) Violación de claves secretas: En la violación de claves secretas se protege la obtención de claves por medios informáticos, para su posterior empleo accediendo a estos sistemas. Este es un medio que normalmente concurrirá cuando una persona tiene acceso al password de otro, con lo cual logra ingresar a la base de datos correspondiente y realizar transferencia de dinero o sustraer información. Por tanto, es un medio que mayormente se empleará para configurar las conductas anteriores, sea de transferencia electrónica de fondos o la utilización de la telemática. Si bien, habrá conductas que no emplearán la violación de claves secretas, como los casos del empleado de la empresa que valiéndose de su password accede al sistema realizando las conductas anteriormente señaladas.
  18. 18. 5. CLASIFICACION En todo delito de los llamados informáticos, hay que distinguir el medio y el fin. Para poder encuadrar una acción dolosa o imprudente dentro de este tipo de delitos, el medio por el que se cometan debe ser un elemento, bien o servicio, patrimonial del ámbito de responsabilidad de la informática y la telemática, y el fin que se persiga debe ser la producción de un beneficio al sujeto o autor del ilícito; una finalidad deseada que causa un perjuicio a otro, o a un tercero. Según diferentes fuentes se consideran de la siguiente manera: a) BARRIUSO RUIZ  Delitos contra la intimidad  De los robos  De las estafas  De las defraudaciones  De los daños  Relativo a la protección de la propiedad industrial  Relativos al mercado y a los consumidores b) PÉREZ LUÑO  Desde el punto de vista subjetivo Ponen el énfasis en la pretendida peculiaridad de los delincuentes que realizan estos supuestos de criminalidad  Desde el punto de vista objetivo Considerando los daños económicos perpetrados por las conductas criminalistas sobre los bienes informáticos:
  19. 19.  Los fraudes Manipulaciones contra los sistemas de procesamiento de datos. Podemos citar:  los daños engañosos ( Data diddling)  los ―Caballos de Troya‖ (Troya Horses)  la técnica del salami (Salami Technique/Rounching Down)  El sabotaje informático:  Bombas lógicas (Logic Bombs)  Virus informáticos  El espionaje informático y el robo o hurto de software:  Fuga de datos (Data Leakage)  El robo de servicios:  Hurto del tiempo del ordenador.  Apropiación de informaciones residuales (Scavenging)  Parasitismo informático (Piggybacking)  Suplantación de personalidad (impersonation)  El acceso no autorizado a servicios informáticos:  Las puertas falsas (Trap Doors)  La llave maestra (Superzapping)  Pinchado de líneas (Wiretapping)  Funcionales
  20. 20. La insuficiencia de los planteamientos subjetivos y objetivos han aconsejado primar otros aspectos que puedan resultar más decisivos para delimitar la criminalidad informática. Atentados contra la fase de entrada (input) o de salida (output) del sistema, a su programación, elaboración, procesamiento de datos y comunicación telemática. c) JOVER PADRÓ  El fraude informático, ilícitos patrimoniales que Jurisprudencia y Doctrina han calificado como hurto, apropiación indebida o estafa.  La estafa se encuentra en la Sección 1ª del Capítulo VI (de las defraudaciones) del Título XIII, del Libro II.  El hurto se encuentra en el Capítulo Y del Titulo XII, del Libro II  Los documentos informáticos y sus falsedades.  Se encuentran regulados en el Capitulo II del Título XVIII (Delas falsedades).  Del sabotaje informático, tipificado como delito de daños y estragos.  El sabotaje informático se tipifica a través de los delitos de daños y otros estragos.  Los delitos de daños están regulados en el Capítulo IX del Título XIII.  Los delitos de otros estragos están regulados en la Sección 2ª del Capitulo I, del Título XVII , del Libro II.  Los ataques contra la intimidad de las personas.  Encuentran su cauce penal en relación a la informática en el descubrimiento y revelación de secretos del Capítulo Y del Titulo X (delitos contra la
  21. 21. intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio). Este apartado será el objeto del presente trabajo.  Las defraudaciones a la propiedad intelectual.  Tienen su vía penal en la Sección 1ª del Capítulo XI del Título XIII (delitos contra el patrimonio y el orden socioeconómico).  Las faltas informáticas.  En el título III (faltas contra el patrimonio) del Libro III en relación a la falta informática. d) SIEBER Hace una clasificación que responde no sólo a un criterio sistematizado vinculado al carácter automático de datos, sino al mismo tiempo a una separación de diversos tipos criminológicos de conducta. Las conductas más significativas desde esta perspectiva podrían agruparse en estas cinco modalidades principales:  manipulaciones de datos y/o programas, o ―fraude informático‖,  copia ilegal de programas,  obtención y utilización ilícita de datos, o ―espionaje informático‖,  destrucción o inutilización de datos y/o programas, o ―daños o sabotaje informático‖ y  agresiones en el hardware o soporte material informático, principalmente ―hurto de tiempo del ordenador‖. e) Por último, siguiendo DAVARA RODRÍGUEZ Dentro de un apartado en el que incluye ―La informática como instrumento en la comisión de un delito‖, distingue dentro de la manipulación mediante la informática dos vertientes diferentes:  Acceso y manipulación de datos y
  22. 22.  Manipulación de los programas. Atendiendo a ello, considera que determinadas acciones que se podrían encuadrar dentro de lo que hemos llamado el delito informático, y que para su estudio, las clasifica, de acuerdo con el fin que persiguen, en seis apartados:  Manipulación en los datos e informaciones contenidas en los archivos o soportes físicos informáticos ajenos,  Acceso a los datos y/o utilización de los mismos por quien no está autorizado para ello,  Introducción de programas o rutinas en otros ordenadores para destruir información, datos o programas,  Utilización del ordenador y/o los programas de otras persona, sin autorización, con el fin de obtener beneficios propios y en perjuicio de otro,  Utilización del ordenador con fines fraudulentos y  Agresión a la ―privacidad‖ mediante la utilización y procesamiento de datos personales con fin distinto al autorizado, que será objeto de éste trabajo.
  23. 23. 6. MEDIOS DE ATAQUE 6.1. ANATOMIA DE UN ATAQUE INFORMÁTICO Fase 1: Reconnaissance (Reconocimiento). Esta etapa involucra la obtención de información (Information Gathering) con respecto a una potencial víctima que puede ser una persona u organización. Por lo general, durante esta fase se recurre a diferentes recursos de Internet como Google, entre tantos otros, para recolectar datos del objetivo. Algunas de las técnicas utilizadas en este primer paso son la Ingeniería Social, el Dumpster Diving, el sniffing. Fase 2: Scanning (Exploración). En esta segunda etapa se utiliza la información obtenida en la fase 1 para sondear el blanco y tratar de obtener información sobre el sistema víctima como direcciones IP, nombres de host, datos de autenticación, entre otros. Entre las herramientas que un atacante puede emplear durante la exploración se encuentra el network mappers, port mappers, network scanners, port scanners, y vulnerability scanners. Fase 3: Gaining Access (Obtener acceso). En esta instancia comienza a materializarse el ataque a través de la explotación de las vulnerabilidades y defectos del sistema (Flaw
  24. 24. exploitation) descubiertos durante las fases de reconocimiento y exploración. Algunas de las técnicas que el atacante puede utilizar son ataques de Buffer Overflow, de Denial of Service (DoS), Distributed Denial of Service (DDos), Password filtering y Session hijacking. Fase 4: Maintaining Access (Mantener el acceso). Una vez que el atacante ha conseguido acceder al sistema, buscará implantar herramientas que le permitan volver a acceder en el futuro desde cualquier lugar donde tenga acceso a Internet. Para ello, suelen recurrir a utilidades backdoors, rootkits y troyanos. Fase 5: Covering Tracks (Borrar huellas). Una vez que el atacante logró obtener y mantener el acceso al sistema, intentará borrar todas las huellas que fue dejando durante la intrusión para evitar ser detectado por el profesional de seguridad o los administradores de la red. En consecuencia, buscará eliminar los archivos de registro (log) o alarmas del Sistema de Detección de Intrusos (IDS). 6.2.HERRAMIENTAS UTILIZADAS PARA ATACAR A) AMENAZAS A SERVIDORES, SERVIDROES DE BD, APLICACIONES WEB a) Cross-site scripting Cross-site scripting es un atacante que se produce cuando se utiliza una aplicación web para enviar código málicioso generalmente en JavaScript, estos ataques son aquellos en los que el código insertado esta permanentemente almacenados en las bases de datos de los servidores atacados. La manera de reflejar los ataques, son aquellos en los que el código insertado toma otra ruta a la víctima, como por ejemplo en un mensaje de correo electrónico, para la divulgación de la cookie de sesión del usuario permite a un atacante secuestrar la sesión del usuario y hacerse cargo de la cuenta b) Log tampering Los registros se mantienen a la pista de los patrones de uso de la aplicación. Permite la manipulación de los atacantes de webs de transacción, para cubrir sus pistas o alterar registros. Los atacantes se esfuerzan por borrar los registros, modificar los registros, cambiar la información del usuario, o destruir las pruebas de cualquier ataque.
  25. 25. c) SQL injection En español llamada Inyección de SQL, utiliza SQL para manipular directamente los datos de una base de datos. Donde un atacante utilizando una aplicación web vulnerables, elude las medidas de seguridad normales y obtiene acceso directo a los datos valiosos, estos ataques pueden ser ejecutado desde la barra de direcciones, con cargo a la aplicación, campos, y a través de consultas y búsquedas. d) Command injection Inyección de comandos defectos transmitir los códigos maliciosos a través de un aplicación web a otro sistema. Los ataques incluyen las llamadas al sistema operativo a través de llamadas al sistema, el uso de programas externos a través de comandos, así como llamadas a través de las bases de datos backend SQL (es decir, la inyección de SQL). Scripts escritos en Perl, Python, y otros idiomas puede ser inyectado en el deficiente diseño de aplicaciones web. e) Error message interception attack Información en los mensajes de error a menudo es rica en sitios específicos de información que pueden ser utilizados para:  Determinar las tecnologías utilizadas en las aplicaciones web  Determinar si el intento de ataque fue un éxito  Recibir sugerencias para métodos de ataque para próximos intentos. f) Attack Obfuscation Los atacantes a menudo trabajan duro para enmascarar y ocultar sus ataques de otro modo para evitar la detección. Método más común de ataque consiste en la ofuscación de codificación porciones del ataque con Unicode, UTF-8, o la URL de codificación. Múltiples niveles de codificación puede ser utilizado para ocultar aún más el ataque. Se utiliza para el robo de servicio, cuenta el secuestro, la información divulgación, desfiguración sitio web, y así sucesivamente. g) Cookie/session poisoning Las cookies se utilizan para mantener el estado de la sesión, es un fragmento de información que se almacena en el disco duro del visitante de una página web a través de su navegador, a petición del servidor de la página. Esta información puede ser luego recuperada por el servidor en posteriores visitas. En ocasiones también se le llama "huella". El ataque de Poisoning cookie permite a un atacante inyectar el contenido malicioso, modificar en línea al usuario y obtener la información no autorizada. h) Parameter/form tampering
  26. 26. Parámetro / Forma manipulación se aprovecha de la escondida campos de trabajo como la única medida de seguridad en algunos aplicaciones. Modificando este campo de valor oculto, hará que la aplicación web cambie de acuerdo con los nuevos datos incorporados. Puede causar el robo de los servicios, la escalada de acceso, y el período de secuestro de sesiones. i) Platform exploits Las aplicaciones web se basan en las plataformas de aplicaciones, tales como BEA Weblogic, ColdFusion, IBM WebSphere, Microsoft. NET, y tecnologías de Sun Java. Estas vulnerabilidades incluyen la mala configuración de la solicitud, errores, la inseguridad interna de las rutinas, procesos ocultos y comandos, y mejoras de terceros. La plataforma de aplicaciones de explotar la vulnerabilidad puede permitir:  Acceso a zonas de desarrolladores  La capacidad de actualizar la aplicación y el contenido del sitio  j) DMZ protocol attacks DMZ (zona desmilitarizada) es un semi-red de confianza que separa la zona que no es de confianza de Internet de la compañía en la de confianza ubicada en la red interna. La mayoría de las empresas limita el permitir el flujo de los protocolos a través de su zona. Un atacante que está en condiciones de comprometer un sistema que permite a otro despeje de protocolos, tiene acceso a la zona desmilitarizada y otros sistemas internos. Este nivel de acceso puede dar lugar a:  Compromiso de la aplicación Web y de datos.  Defacement de sitios web.  Acceso a los sistemas internos, incluidas las bases de datos, copias de seguridad, y el código fuente. k) Buffer overflow Desbordamiento de búfer es la ejecución de una aplicación web, corrupción en la pila. Desbordamiento de búfer en defectos en las aplicaciones web personalizados donde tienen menos probabilidades de ser detectadas. Casi todos los servidores web, servidores de aplicación servidores y aplicaciones web los entornos son susceptibles al ataque (pero no los entornos Java y J2EE a excepción de desbordamientos en la misma). l) Directory traversal/forceful browsing Directorio transversal / navegación fuerza de ataque cuando el atacante es capaz de navegar por los directorios y archivos fuera de la aplicación con normal de acceso. Itexposes la estructura de directorios de la solicitud, y a menudo las servidor web y sistema operativo. Un atacante puede enumerar el contenido, el acceso seguro o
  27. 27. a páginas restringidas, y obtener información confidencial, localizar el código fuente, y así sucesivamente. m) Security management exploits Gestión de la seguridad de los sistemas están orientados para desactivar la seguridad ejecución. Un exploit de gestión de la seguridad puede conducir a la modificación de las políticas de protección n) Web services attacks Proceso de los servicios Web permiten al proceso de comunicación entre las aplicaciones web, donde un atacante puede inyectar una secuencia de comandos malintencionada en un servicio web que permita la divulgación y modificación de los datos. o) Cryptographic interception Mediante el u so de la criptografía, un mensaje confidencial puede ser enviado de manera segura entre dos partes, entre los flujos de tráfico cifrado a través de la red de cortafuegos y sistemas IDS y es que no hayan sido inspeccionados. Si un atacante es capaz de tomar ventaja de un canal seguro, él / ella se puede explotar de manera más eficiente que un canal abierto. p) Cookie snooping En un intento de proteger a las cookies, los desarrolladores del sitio a menudo codifican los "cookies". En un intento de proteger a las cookies, sitio fácilmente reversibles, como los métodos de codificación Base64 y ROT13 (rotación de las letras del alfabeto 13 caracteres) dan una falsa sensación de la seguridad en relación con el uso de cookies. Cookie usa técnicas puede utilizar un proxy local para enumerar las cookies. q) Zero day attack Ataques de día cero tienen lugar entre el momento en que una vulnerabilidad es descubierta por un investigador o atacante y el momento en que el vendedor emite un parche corrector. La mayoría de ataques de día cero, sólo están disponibles como artesanales explotan código, pero zeroday gusanos han causado pánico rápidamente. Vulnerabilidad de día cero es el punto de lanzamiento para una mayor explotación de la web aplicación y el medio ambiente. r) Network access attacks Todo el tráfico hacia y desde una aplicación web atraviesa las redes. Estos ataques se aprovechan de técnicas como la suplantación de identidad, puente, ACL de circunvalación, y pila de ataques. La inhalación del tráfico de la red permitirá la visualización de una aplicación, información de autenticación, y la aplicación de datos, ya que atraviesa la red.
  28. 28. s) Authentication hijacking Solicita una autenticación de usuario para abastecer a la credenciales que permiten el acceso a la aplicación. Que se puede lograr mediante:  La autenticación básica  Métodos de autenticación fuerte Aplicaciones Web con diversos métodos de autenticación. La aplicación de una coherente política de autenticación entre los múltiples y dispares aplicaciones pueden demostrar ser un verdadero reto. Un lapso de seguridad puede conducir a robo de servicios período de sesiones el secuestro, y la suplantación del usuario. t) TCP fragmentation Cada mensaje que se transfiere entre los ordenadores de una red de datos se desglosa en paquetes. A menudo, los paquetes están limitados a un tamaño predeterminado para la interoperabilidad con el medio físico de la red. Un ataque directo contra un servidor Web que se especifica que el "impulso" del pabellón se establece, que obligaría a todos los paquetes en la memoria del servidor web. De esta manera, sería un ataque emitido pieza por pieza, sin la capacidad de detectar el ataque. B) ATAQUE FUERZA BRUTA En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. Dicho de otro modo, define al procedimiento por el cual a partir del conocimiento del algoritmo de cifrado empleado y de un par texto claro/texto cifrado, se realiza el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 2n − 1 operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves). Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras, así como las que están compuestas por menos caracteres serán también más fáciles de descifrar, la complejidad impuesta por la cantidad de caracteres en una contraseña es logarítmica. Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional. La fuerza bruta suele combinarse con un ataque de diccionario. La DES Cracking Machine construida por la EFF a un costo de USD 250.000 contiene más de 1800 chips especialmente diseñados y puede romper por fuerza bruta una clave DES en cuestión de días — la fotografía muestra una tarjeta de circuito impreso DES Cracker que contiene varios chips Deep Crack.
  29. 29. C) ATAQUE DE DICCIONARIO Tipo de "ataque" informático relacionado al hacking que utiliza un diccionario de palabras para llevar a cabo su cometido. Por ejemplo, para ingresar a un sistema con contraseña, se puede utilizar un diccionario con palabras frecuentes y un programa automáticamente irá probando una a una para descifrarla. D) AMENAZAS MALWARE Malware es la abreviatura de ―Malicious software‖ (software malicioso), término que engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema o causar un mal funcionamiento.
  30. 30. a) Virus Un virus es un programa que se replica a sí mismo, tanto exactamente, como modificado dentro de otra porción de un código ejecutable. Los virus pueden usar muchos tipos de anfitriones, algunos de los más comunes son: archivos ejecutables (tales como los programas de su computadora). el sector de inicio (las partes del código que le dicen a su computadora donde encontrar las instrucciones para iniciarse o encenderse). archivos scripting (tales como Windows Scripting o Visual Basic script). las macros dentro de los documentos (esto es menos común actualmente, ya que las macros de por ejemplo Microsoft Word no están predeterminadas para ejecutanse). Cuando un virus "infecta" otro código ejecutable, se asegura su ejecución cuando el código héesped se ejecute. De esta forma el virus se disemina, buscando otros anfitriones "limpios". Algunos virus sobre-escriben los archivos originales, destruyéndolos por completo, pero muchos simplemente se insertan de una forma que se vuelven parte del programa anfitrión, de manera que ambos son funcionales. Dependiendo de la forma en que están codificados, los virus pueden diseminarse en archivos del sistema, en las redes mediante los archivos compartidos, en los documentos y en los sectores de inicio de los discos (Boot). Aunque algunos de estos programas dañinos se diseminan por e-mail, eso no los convierte en virus. Para ser un virus, el código simplemente debe replicarse, no siendo necesario que el mismo provoque daño o que se disemine masivamente. b) Gusanos En términos informáticos, los gusanos son en realidad un sub-conjunto de virus pero que no necesitan un archivo anfitrión. Puesto en forma simple, los virus infectan a los anfitriones y los gusanos infectan a los sistemas. Muchas veces los gusanos explotan aspectos vulnerables de estos sistemas, valíendose de las vulenrabilidades para lograr su propagación. Tales gusanos pueden diseminarse muy rápidamente a través de las redes de sistemas vulnerables, ya que no requieren la intervención de los usuarios para ejecutarse. El principal medio de transporte utilizado actualmente por los gusanos es el e-mail (es importante señalar que el e-mail no está infectado, sino que transporta los archivos del gusano). Estos programas generalmente aprovechan la ingenuidad del usuario (generalmente con un tema o mensaje atractivos) para que el mismo lo ejecute por primera vez. Luego de esto el gusano se propaga por los diferentes archivos del sistema o por la red a la que está conectado el mismo, siguiendo su propagación. En general, los gusanos son mucho más fáciles de eliminar de un sistema que los virus, dado que no infectan archivos. Los gusanos muy a menudo se añaden al inicio del sistema, modificar las claves de registro, para asegurarse que serán cargados cada vez que el mismo se inicie. Nuevamente, los gusanos no deben necesariamente provocar daño.
  31. 31. c) Adware Es un tipo de Programa que exhibe publicidad en una manera o contexto que es inesperado o indeseable para los usuarios. Incluso, muchas de estas aplicaciones también realizan seguimiento de las acciones del usuario. Algunas personas pueden desear eliminar el Adware, si no esta de acuerdo con dicho seguimiento, si no quieren visualizar las publicidades, o si están molestos por los efectos secundarios ocasionados sobre el funcionamiento del sistema (generalmente relentización). Por otro lado, algunos usuarios pueden querer conservar ciertos programas de adware, si su presencia subsidia el costo de un producto o servicio que desean o si les proveen una publicidad que les es útil o desean, tales como publicidades que son competitivas o complementarias de aquello que el usuario está buscando (Fuente: Coalición Anti- Spyware). d) Spyware El término Spyware ha sido usado en dos formas: En el sentido más estricto, Spyware es un término para denominar al Software Espía implementado sin una adecuada notificación, consentimiento o control del usuario. Usualmente, el seguimiento se realiza enviando información a terceros sobre cualquier aspecto (historial de navegación, datos sobre tarjetas de crédito, detalles personales) propio del sistema o del usuario del mismo. Generalmente el Spyware es instalado como parte de otro programa o a través de sitios web, que explotan los aspectos vulnerables en los navegadores para instalar los programas silenciosamente en segundo plano. También hay muchos programas que simulan ser programas Anti-Spyware (u otro tipo de aplicación de seguridad), pero que en realidad son Spywares. Puede consultar http://www.spywarewarrior.org para obtener una lista de programas que simulan ser programas de seguridad pero en realidad instalan espías en el sistema. En un sentido más amplio, el Spyware es usado como un sinónimo para lo que la Coalición Anti-Spyware llama "Spyware y otras Tecnologías Potencialmente Indeseables". Esto puede incluir algunos tipos de cookies, registros comerciales de tipeo y otras tecnologías de seguimiento. e) PayLoad Es una función adicional, como por ejemplo robo de datos, eliminación de archivos, sobre-escritura del disco, reemplazo del BIOS, etc., que puede ser incluida en un virus, gusano o Caballo de Troya. Observe que el payload no tiene que ser necesariamente dañino.
  32. 32. f) Phishing Phishing (pronunciado *fishing*) es un ataque de Ingeniería Social, que intenta obtener de forma fraudulenta información personal sensible, tal como datos personales, contraseñas y/o datos sobre tarjetas de crédito. Generalmente, esto se consigue enviando e-mails (o comunicaciones similares) enmascarados como una persona o empresa confiable con una solicitud de información aparentemente legítima. Los mensajes más comunes parecen provenir de conocidos entidades de primera línea y generalmente contienen alguna clase de amenaza de suspender el servicio o alguna otra consecuencia indeseable si no se siguen las instrucciones. El e-mail parece auténtico y contiene logotipos y contenido que proviene originalmente de la fuente que se intenta personificar. Generalmente, hay link en el e-mail que va a conducir al receptor del mismo a un sitio web (igual al sitio legítimo), y este sitio va a ser usado para capturar los datos que están siendo *pescados*. Es importante recordar que los bancos y empresas legítimas nunca van a solicitar datos personales (como nombres de usuario y contraseñas) a través de e-mails no solicitados. También vale la pena tener presente que los links de estos correo, aunque parecen legítimos, siempre apuntan a otro sitio desde donde se realiza el engaño. Siempre que quiera ingresar al sitio web de su banco o a otros servicios de internet abra una nueva sesión del navegador y digite la dirección correcta en la barra de direcciones. g) Rootkit Rootkit es una una o más herramientas (aplicaciones) diseñadas para mantener en forma encubierta el control de una computadora. Inicialmente los rootkit aparecieron en el sistema operativo UNIX (incluyendo el Linux) y eran una colección de una o más herramientas que le permitían al atacante conseguir y mantener el acceso al usuario de la computadora más privilegiado (en los sistemas UNIX, este usuario se llama *root* y de ahí su nombre). En los sistemas basados en Windows, los rootkits se han asociado en general con herramientas usadas para ocultar programas o procesos al usuario. Una vez que se instala, el rootkit usa funciones del sistema operativo para ocultarse, de manera tal de no ser detectado y es usado en general para ocultar otros programas dañinos. h) Troyanos Un Troyano o Caballo de Troya, es un programa que da a entender que hace una cosa, pero en realidad hace otra. No siempre son dañinos o malignos. Los troyanos pueden ser utilizados para muchos propósitos como por ejemplo para:
  33. 33. Acceso remoto (a veces llamado Herramientas de Acceso Remoto o RATs o Puertas Traseras). Registro de tipeo y robo de contraseñas (la mayoría del spyware cae dentro de esta categoría). i) Estafas Los Scam (o estafas) son bastante parecidas al Phishing, pero generalmente no apuntan a obtener nuestros datos, sino que apelan a la compasión o a la ambición humana. Por ejemplo, cada desastre (terremoto, inundación, guerra, hambruna) ha generado grandes cantidades de estafas, en general peticiones de ayuda caritativa para una causa "valedera". Los Fraudes (a veces llamados SCAM-419) le ofrecen la oportunidad de obtener una gran suma de dinero, supuestamente ayudando al estafador a transferir sumas de dinero aun mayores fuera de un país (habitualmente de un país africano como Nigeria). Estas estafas siempre terminan en que le piden a usted que le envíe al estafador un poco de dinero para cubrir costos "administrativos" (en general varios miles de dólares). A veces, por estas estafas la persona estafada desapareció, fue asesinada o fue secuestrada luego de viajar al extranjero para encontrarse con el "benefactor". En casos menos extremos, muchas personas han perdido miles y miles de dólares en estos fraudes. j) Hoaxes Los Hoaxes son en general bromas tontas, una forma de correo en cadena y, muchas veces, Leyendas Urbanas. Los hoaxes tratan de generar Miedo, Inseguridad y Duda (FUD en sus siglas en inglés) en los receptores. Han existido casos en donde el contenido del correo ha hecho que el receptor borrara los archivos de su sistema. Estos correos nos invitan a que lo enviemos a nuestros amigos creado de esta forma lo que comunmente recibe el nombre de cadena. . 6.3. AMENAZAS INFORMÁTICAS 2009 Entre las principales amenazas a las que deberemos enfrentarnos en 2009 se encuentran las siguientes: a) Web 2.0 será el blanco de los creadores de código malicioso. Los logros y metas, así como los peligros de las aplicaciones Web 2.0 continuarán siendo un problema en 2009. Los hackers se valdrán de técnicas, como los IFRAMES, para camuflar el malware bajo la apariencia de código normal, y también seguirán utilizando los navegadores de Internet y otras aplicaciones habilitadas vía web, tales como Flash y los reproductores de medios, entre otros, como vectores de infección.
  34. 34. b) El lanzamiento de Google Chrome, el próximo lanzamiento oficial de Internet Explorer y el crecimiento de las aplicaciones de navegador como plataforma, por ejemplo, Microsoft Silverlight y Adobe Integrated Runtime, servirán como nuevos puntos de explotación. c) Sistemas operativos alternativos. todo lo bueno tiende a terminar, incluyendo la supuesta seguridad de las plataformas ―alternativas‖. Las amenazas que explotan las vulnerabilidades de los sistemas operativos alternativos experimentarán un crecimiento, especialmente con la creciente popularidad de Mac y Linux (este último por la explosión del mercado de los netbooks). d) Microsoft el eterno objetivo: los autores de código malicioso tienen una especial fijación con Microsoft y 2009 promete no ser diferente. Seguramente veremos actividad maliciosa alrededor de la liberación de Windows 7 cuando, sin duda, los criminales probarán cualquier afirmación de que el nuevo Windows está ―libre de virus‖. e) El código malicioso de prueba de concepto también explotará Microsoft Surface, Silverlight y Azure. Asimismo, los ciber criminales seguirán empleando un método más profesional para aprovechar la ventana de oportunidad de explotación presentada por el calendario mensual de ―Patch Tuesday‖ (Martes de Parches) de Microsoft, en el que las explotaciones de día cero seguirán provocando problemas a los usuarios del gigante de Redmond. f) La ingeniería social alcanzará su cúspide: los ciber criminales seguirán aprovechando eventos, celebridades y figuras políticas como cebo de la ingeniería social. El código malicioso relacionado con las elecciones en Estados Unidos seguirá causando problemas incluso después de que el presidente electo haya ocupado el Despacho Oval, mientas que los jugadores que esperan la llegada de ―Starcraft 2‖ y ―WoW: Wrath of the Lich King‖ deberán tener especial cuidado. g) Por otro lado, y aprovechando la crisis financiera global, los ciber-criminales sacarán partido del panorama económico creando correos electrónicos con el tema de la economía como gancho, falsificarán cupones electrónicos, así como esquemas de trabajo en casa y realizarán otros esfuerzos para aprovechar el deseo de los consumidores de ahorrar dinero. h) Guerras de bandas electrónicas los investigadores de seguridad son testigos de las guerras de virus, guerras de gusanos y guerras de botnets – debido a la creciente competencia por obtener ganancias financieras del phishing y el fraude-. Además, están viendo la consolidación de bandas de ciber-criminales, y las mejoras en soluciones de seguridad. Asimismo, en 2009 veremos una creciente competencia entre Europa Oriental y China para determinar qué criminales y de qué país serán los primeros en incluir las explotaciones más recientes en sus kits de explotación. i) La cruda realidad de las amenazas virtuales, muchas amenazas del mundo real también existen en el mundo virtual. Ya que los criminales necesitan grandes audiencias para perpetrar sus crímenes, han comenzado a hacer presa a los residentes de los mundos virtuales y a los jugadores de los juegos online. El
  35. 35. número y tipo de amenazas en el entorno virtual incluye una serie de comportamientos humanos y pueden ser tan inocentes como compartir contraseñas entre socios; tan sofisticados como un fraude en bienes raíces real; y tan malicioso como las bandas delictivas buscando nuevas presas. Veremos que las amenazas virtuales se convertirán en uno de los mayores problemas en 2009. j) DNS roto, los ciber-criminales aprovecharán los huecos identificados en el registro de DNS (sistema de nombres de dominio) para perpetrar sus delitos. Según los expertos, ya se están utilizando técnicas como el caché DNS envenenado para crear canales de comunicación encubiertos, medidas para eludir la seguridad y suministrar contenido malicioso. Si bien la comunidad de fabricantes de seguridad, incluyendo a Trend Micro, está trabajando estrechamente con los registros/registradores hasta donde les es posible, este es un problema que la ICANN (Corporación Internet para Nombres y Números Asignados) debe solucionar. k) La economía clandestina sigue floreciendo, el ciber-crimen se ha convertido en un gran negocio y, desafortunadamente, 2009 será testigo de un crecimiento continuo. El aumento del código malicioso que roba información personal, bancaria y de tarjetas de crédito, continuará porque ahí es donde está el dinero y el crimen electrónico se mueve y se promueve simple y llanamente por razones económicas. l) Código malicioso más inteligente al alza, los avances en tecnologías maliciosas son una apuesta segura ya que los autores de código malicioso siguen desarrollando y liberando código que busca evitar su detección y eliminación. Así, encontraremos más familias de código malicioso pero menos variantes, lo que hace más difícil que las compañías antivirus creen patrones heurísticos para detectarlos. El mayor problema es el creciente tamaño y frecuencia de actualización de estos archivosde patrones que, de hecho, se ha convertido en un problema mayor que el mismo código malicioso. m) Compromiso y buenas intenciones, no todas las noticias son malas. Los esfuerzos de la comunidad están surtiendo efecto y se está comenzando a reducir los vectores de amenazas. Los esfuerzos conjuntos están cada vez mejor planeados, coordinados y dirigidos, esto supone una bocanada de aire fresco en un movimiento que reclama actuar y no quedarse solo en el trabajo de escritorio.
  36. 36. 7. MEDIOS DE DEFENSA 7.1. SEGURIDAD EN INTERNET Hoy en día, muchos usuarios no confían en la seguridad del Internet. En 1996, IDC Research realizó una encuesta en donde el 90% de los usuarios expresó gran interés sobre la seguridad del Internet, pues temen que alguien pueda conseguir el número de su tarjeta de crédito mediante el uso de la Red. Ellos temen que otros descubran su código de acceso de la cuenta del banco y entonces transferir fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupación en dar información confidencial a personas no autorizadas. Las corporaciones también se preocupan en dar información a los empleados, quienes no están autorizados al acceso de esa información o quien trata de curiosear sobre una persona o empleado. Las organizaciones se preocupan que sus competidores tengan conocimiento sobre información patentada que pueda dañarlos. Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del término de la seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje, aplicación, archivo, sistema o una comunicación interactiva. "Seguro" los medios son protegidos desde el acceso, el uso o alteración no autorizada. Para guardar objetos seguros, es necesario lo siguiente:  La autenticación (promesa de identidad), es decir la prevención de suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser.  La autorización (se da permiso a una persona o grupo de personas de poder realizar ciertas funciones, al resto se le niega el permiso y se les sanciona si las realizan).  La privacidad o confidencialidad, es el más obvio de los aspecto y se refiere a que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple intrusión directa en los equipos donde la información está físicamente almacenada.  La integridad de datos, La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre.  La disponibilidad de la información, se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.  No rechazo (la protección contra alguien que niega que ellos originaron la comunicación o datos).  Controles de acceso, esto es quien tiene autorización y quien no para acceder a una pieza de información determinada. Son los requerimientos básicos para la seguridad, que deben proveerse de una manera confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se está asegurado. La
  37. 37. importancia de lo que se está asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar niveles más altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino también para el mundo físico. En la tabla siguiente se presenta una relación de los intereses que se deben proteger y sus requerimientos relacionados: Intereses Requerimientos Fraude Autenticación Acceso no Autorizado Autorización Curiosear Privacidad Alteración de Mensaje Integridad de Datos Desconocido No - Rechazo Estos intereses no son exclusivos de Internet. La autenticación y el asegurar los objetos es una parte de nuestra vida diaria. La comprensión de los elementos de seguridad y como ellos trabajan en el mundo físico, puede ayudar para explicar cómo estos requerimientos se encuentran en el mundo de la red y dónde se sitúan las dificultades. 7.2. MEDIDAS DE SEGURIDAD DE LA RED Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar periódicamente (Evitar las passwords "por defecto" o demasiado obvias). a) Firewalls Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática. Una de las maneras drásticas de no tener invasores es la de poner murallas. Los mecanismos más usados para la protección de la red interna de otras externas son los firewalls o cortafuegos. Estos tienen muchas aplicaciones, entre las más usadas está: Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas de filtrado que le permiten discriminar el tráfico según nuestras indicaciones. Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos establecer serán a nivel de direcciones IP, tanto fuente como destino. b) Cortafuegos filtro de paquetes ejemplarizado en un router La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete cumpla marcará la acción a realizar (descartarlo o dejarlo pasar). La aplicación de las listas de filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o en ambos.
  38. 38. La protección centralizada es la ventaja más importante del filtrado de paquetes. Con un único enrutador con filtrado de paquetes situado estratégicamente puede protegerse toda una red. c) Firma digital. El cifrado con clave pública permite generar firmas digitales que hacen posible certificar la procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma se puede evitar que alguien suplante a un usuario y envíe mensajes falsos a otro usuario, por la imposibilidad de falsificar la firma. Además, garantizan la integridad del mensaje, es decir, que no ha sido alterado durante la transmisión. La firma se puede aplicar a un mensaje completo o puede ser algo añadido al mensaje. Las firmas son especialmente útiles cuando la información debe atravesar redes sobre las que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra forma la procedencia de los mensajes. Existen varios métodos para hacer uso de la firma digital, uno de ellos es el siguiente: ―quien envía el mensaje lo codifica con su clave privada. Para descifrarlo, sólo puede hacerse con la clave pública correspondiente a dicha persona o institución. Si efectivamente con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo hizo‖. Firma digital formada encriptando con la clave privada del emisor: Firma Digital y Autentificación E: Encriptar / D: Desencriptar. KP : Encriptación utilizando la Clave Privada. KV : Encriptación utilizando la Clave Pública. M : Mensaje. 7.3. SEGURIDAD EN WWW ¿Es posible hacer un formulario seguro? Para hacer un formulario se debe tener un servidor seguro. En primer lugar los formularios pueden tener "agujeros" a través de los que un hacker hábil, incluso poco hábil, puede "colar" comandos. La red es totalmente pública y abierta, los paquetes pasan por máquinas de las que no se tiene conocimiento y a las que puede tener acceso la gente que le guste husmear el tráfico de la red. Si es así (y no tienen que ser necesariamente hackers malintencionados, algunos proveedores de servicio lo hacen) sólo se puede recurrir a encriptar el tráfico por medio, en WWW, de servidores y clientes seguros.
  39. 39. 7.4. POLÍTICA DE SEGURIDAD. Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a través de la organización, da al personal e institución muchos beneficios. Sin embargo, a mayor acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del incremento de vulnerabilidad. De hecho, cada vez que se añade un nuevo sistema, acceso de red o aplicación se agregan vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la protección. Sin embargo, si se está dispuesto a enfrentar realmente los riesgos, es posible cosechar los beneficios de mayor acceso mientras se minimizan los obstáculos. Para lograr esto, se necesitará un plan complejo, así como los recursos para ejecutarlo. También se debe tener un conocimiento detallado de los riesgos que pueden ocurrir en todos los lugares posibles, así como las medidas que pueden ser tomadas para protegerlos. En algunos aspectos, esto puede parecer una carga abrumadora, y podría muy bien serlo, especialmente en organizaciones pequeñas que no tienen personal experto en todos los temas. Alguien podría estar tentado para contratar un consultor de seguridad y hacerlo con él; aunque esto puede ser una buena manera para outsourcing, todavía necesita saber lo suficiente y observar la honestidad del consultor. Después de todo, se le va a confiar a ellos los bienes más importantes de la organización. Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de las características técnicas de los protocolos de red, sistemas operativos y aplicaciones que son accesadas, sino también lo concerniente al planeamiento. El plan es el primer paso y es la base para asegurar que todas las bases sean cubiertas. A) ¿Porqué se necesita una política de seguridad? La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad está la del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de ataques de malévolos hackers. Aunque un firewall jugará un papel crucial, es sólo una herramienta que debe ser parte de una estrategia más comprensiva y que será necesaria a fin de proteger responsablemente los datos de la red. Por una parte, sabiendo cómo configurar un firewall para permitir las comunicaciones que se quiere que ingresen, mientras salvaguarda otros datos, es un hueso muy duro de roer. Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos. También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso con la protección de firewall, no hay garantía que no se pueda desarrollar alguna vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers, cualquier empresa o institución que provea de conexión a Internet), por las restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su firewall). Se puede proveer restricciones o "protección," que puede resultar ser innecesario una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo.
  40. 40. Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las consecuencias para añadir el riesgo, no hay mucho que hacer. Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su información?. Si usted está en una compañía de publicidad puede tener algunas responsabilidades definitivas al respecto. Asegurar sus datos involucra algo más que conectarse en un firewall con una interface competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educación y capacitación, conjuntamente con la explicación, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una "política de seguridad" y es el primer paso para asegurar responsablemente la red. La política puede incluir instalar un firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las limitaciones del firewall. Elaborar la política de seguridad no es una tarea trivial. Ello no solamente requiere que el personal técnico comprenda todas las vulnerabilidades que están involucradas, también requiere que ellos se comuniquen efectivamente con la gerencia. La gerencia debe decidir finalmente cuánto de riesgo debe ser tomado con el activo de la compañía, y cuánto se debería gastar en ambos, en dólares e inconvenientes, a fin de minimizar los riesgos. Es responsabilidad del personal técnico asegurar que la gerencia comprenda las implicaciones de añadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia tenga la suficiente información para la toma de decisiones. Si la política de seguridad no viene desde el inicio, será difícil imponer incluso medidas de seguridad mínimas. Por ejemplo, si los empleados pueden llegar a alterarse si ellos imprevistamente tienen que abastecer logins y contraseñas donde antes no lo hacían, o están prohibidos particulares tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la política por escrito. Las políticas pueden entonces ser comunicadas a los empleados por la gerencia. De otra forma, los empleados no lo tomarán en serio, o se tendrán batallas de políticas constantes dentro de la compañía con respecto a este punto. No solamente con estas batallas tendrán un impacto negativo sobre la productividad, es menos probable que la decisión tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las guerras políticas. El desarrollo de una política de seguridad comprende la identificación de los activos organizativos, evaluación de amenazas potenciales, la evaluación del riesgo, implementación de las herramientas y tecnologías disponibles para hacer frente a los riesgos, y el desarrollo de una política de uso. Debe crearse un procedimiento de auditoria que revise el uso de la red y servidores de forma periódica. Identificación de los activos organizativos: Consiste en la creación de una lista de todas las cosas que precisen protección. Por ejemplo:  Hardware: ordenadores y equipos de telecomunicación  Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicaciones.  Datos: copias de seguridad, registros de auditoria, bases de datos.
  41. 41. B) Valoración del riesgo: Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de examinar todos los riesgos, y valorarlos por niveles de seguridad. C) BDefinición de una política de uso aceptable: Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la política de uso aceptable debe considerar otros aspectos:  ¿Quién tiene permiso para usar los recursos?  ¿Quién esta autorizado a conceder acceso y a aprobar los usos?  ¿Quién tiene privilegios de administración del sistema?  ¿Qué hacer con la información confidencial?  ¿Cuáles son los derechos y responsabilidades de los usuarios? Por ejemplo, al definir los derechos y responsabilidades de los usuarios:  Si los usuarios están restringidos, y cuáles son sus restricciones.  Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.  Cómo deberían mantener sus contraseñas los usuarios.  Con qué frecuencia deben cambiar sus contraseñas.  Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.
  42. 42. 8. REPORTE SECUENCIAL DE UN ACCESO NO AUTORIZADO DEMOSTRACION – UTILIZACION DE LA HERRAMIENTA CHAT En una de las máquinas ponemos el netcat en modo servidor, a la escucha. En la otra, lo ponemos en modo cliente. Servidor: nc -l -p 5000 Cliente: nc <ip_servidor> <puerto_servidor> Nc NetCat -l Indica al Netcat que debe actuar como un servidor, es decir, debe poner a la escucha un puerto (Modo Servidor) -p Indica el puerto por el que ponemos el servidor a la escucha. Si no se pone, Netcat selecciona un puerto que esté libre de forma aleatoria. Es recomendable usar un puerto superior al 1024. Cuando lanzamos el Netcat en modo cliente, este actúa como lo hace un telnet. De hecho, se podría lanzar la máquina cliente con un telnet (telnet <ip_servidor> <puerto_servidor>).
  43. 43. Podemos comprobar, haciendo un netstat, como aparece un nuevo proceso escuchando por el puerto 5000 por todas las interfaces (0.0.0.0:5000). Si se quiere hacer la conexión utilizando el protocolo UDP en vez de TCP, se añade tanto a cliente como a servidor el parámetro -u. Ejemplo: nc -l -u -p 5000 //Máquina Servidor nc -u <ip_servidor> 5000 //Máquina Cliente
  44. 44. Para cerrar la conexión entre el cliente y el servidor hay que pulsar Ctrl + C en cualquiera de las consolas. Verás entonces que ambas se cortan. Esto se debe a que Netcat en modo servidor tiene una limitación que es que sólo admite una conexión al mismo tiempo. Si se desea guardar la información de la conversación mantenida, bastará con utilizar el parámetro -o fichero. Este parámetro genera un log de las actividades del Netcat en código Hexadecimal. Ejemplo: Si luego editamos fileLog vemos lo siguiente:
  45. 45. El símbolo < indica ―De la red‖. El símbolo > indica ―Para la red‖. ENVIAR Y RECIBIR FICHEROS Para pasar un fichero de un cliente al servidor, hay que hacer lo siguiente: Ponemos el servidor a la escucha: nc -l -p 5000 Pasamos el fichero desde el cliente al servidor: nc <ip_servidor> <puerto_servidor> < /etc/passwd Otra forma de pasar el fichero desde el cliente: cat /etc/passwd | nc <ip_servidor> <puerto_servidor> Con este proceso, se mostraría el fichero de contraseñas en el servidor. Si queremos que ese fichero se almacene, en vez de ser mostrado, deberíamos lanzar el servidor así: nc -l -p 5000 > /home/loretahur/prueba
  46. 46. Ahora tenemos en el servidor un fichero llamado prueba en /home/loretahur que contiene las contraseñas de la máquina cliente (su fichero /etc/passwd). También se puede pasar el fichero del servidor al cliente de la siguiente forma: cat /etc/passwd | nc -l -p 5000 //Máquina Servidora nc localhost 5000 //Máquina Cliente que recibe el archivo ESCANEAR PUERTOS Para escanear los puertos de una máquina hay que ejecutar: nc -z -v -w3 <máquina> <rango_puertos> -z Escanear puertos -v Modo verbose. Si sólo se pone una v, se mostrarán los puertos abiertos de la máquina escaneada. Si se pone -vv, se mostrarán todos los puertos escaneados, indicando para <rango_puertos> cada unointroducir de qué cerradoa qué puerto se quiere escanear Ejemplo: Se debe si está abierto o puerto 1-1024. (1 y 1024 también incluidos en el escaneo) También se puede poner sólo los puertos que se quiere escanear. -w <segundos> Ejemplo: ncun -v localhost 25 21 80 //Escanea sólo los puertos 25, 21 y 80 Especifica -z tiempo para terminar. Con esta opción le especificas un tiempo determinado para realizar conexiones Si quisieramos enviar los resultados del escaneo a un fichero deberíamos hacerlo así: nc -z -vv <ip_maquina> 1-5000 2> fichero Se utiliza el 2> porque la salida del escaneo no es la estándar, sino que es la salida de errores (STDERR).
  47. 47. Si no se introduce ningún parámetro más, se escanean los puertos TCP. Si lo que se quiere es escanear los puertos UDP, habrá que añadir el parámetro -u. Si se desea hacer un escaneo de puertos paranoico, es decir, que vaya comprobando cada puerto cada mucho tiempo para que no seamos detectados, se puede incluir el parámetro -i. Con este parámetro podemos indicar cada cuanto segundo debe netcat escanear un puerto. Ejemplo en el que se escaneará cada 10 segundos un puerto: nc -z -vv -i 10 localhost 1-1024 Si además le añadimos el parámetro -r, le estaremos indicando que haga un escaneo de puertos aleatorio (genera un patrón ramdom de puertos locales o remotos). Esto es muy útil para evitar patrones lógicos de scanning. Si queremos evitar mostrar la IP fuente del Scanning deberemos utilizar gateways (parámetro –g <gateway>). Esta es una de las opciones más interesantes de netcat, que permite utilizar Routers como "puentes" de conexión. SERVIDOR WEB Si lanzas en una consola el siguiente comando, servirás de forma puntual un solo fichero html: nc −l −p 80 <NombreArchivo.html
  48. 48. Tendrás un servidor Web en tu maquina que servirá la pagina especifica (NombreArchivo.html) a la próxima conexión que se haga a tu IP por él. Es decir, si después de lanzar el comando, abres una ventana de tu explorador y pones la siguiente URL: localhost:80NombreArchivo.html, esta te cargara a partir del Netcat. 9. APLICACIÓN NETCAT NetCat lee y escribe datos a través de conexiones de red utilizando el protocolo TCP (Protocolo de Control de Transmisión) o el protocolo UDP (Protocolo de Datagrama de Usuario). Está diseñado para ser una herramienta "de atrás" confiable que puede ser usada directamente o con soltura propulsada por otros programas y puede incluirse dentro de scripts SH (en Unix) o batch (en msdos). Esta herramienta puede abrir puertos y enlazar en ellos a cualquier programa. Así como un hacker puede usar este programa. NetCat también puede funcionar como un servidor, escuchando conexiones de entrada en puertos arbitrarios y luego haciendo las mismas lecturas y escrituras. Con limitaciones menores, a NetCat realmente no le importa si corre en modo "cliente" o "servidor" todavía palea datos de acá para allá hasta que no quede nada más. En cualquier modalidad, el cierre puede ser obtenido a la fuerza después de un tiempo que puede configurarse de inactividad en el lado de la red. EL LADO OSCURO NetCat tiene su belleza en la simplicidad y funcionalidad con que fue creado. Hablar de los usos que una persona conocedora le puede dar a esta utilería es como tratar de describir todo lo que puedes hacer con tu navaja militar suiza. Un tiempo equitativo es merecido aquí, dado que una herramienta tan versátil como ésta puede ser útil para cualquier situación. Una persona puede usar una Victorinox para arreglar
  49. 49. el coche de otra persona coche o para desarmarlo, ¿correcto? Una persona cualquiera claramente puede usar una herramienta como NetCat para atacar o defender sus frentes. En este momento no trato de controlar el punto de vista social de nadie ni ser guía moral de nada. NetCat simplemente se construyó como unos implementos. Sin tener en cuenta las intenciones turbias que alguien pudiera tener, todavía debe uno ser consciente de estas amenazas para los sistemas propios. La primera cosa que salta a la vista es el uso de NetCat para escanear vulnerabilidades del servicio en la red de alguien. Archivos que contienen datos preconstruídos sean exploratorios o explotables, pueden ser alimentados como entradas de datos estándar, incluyendo argumentos de línea de comandos a NetCat mismo. Mientras más aleatorio sea el escaneo, más difícil será la detección por humanos, detectores de scanners o filtrado dinámico. NetCat es tomado por Hobbit, el genio creador detrás del programa, como su Navaja Suiza. Al mismo tiempo, considera a los numerosos programas y scripts que le acompañan como cintas adhesivas "masking tape". Estas cintas tienen, por supuesto, su lado amable, su lado oscuro y unen al universo por completo. Si NetCat puede considerarse un gigantesco martillo, podremos decir que existen muchos protocolos de red que están comenzando a parecerse de manera repentina a clavos. Dentro de este documento recopilatorio se repasarán muchos de los fundamentos básicos y avanzados acerca del buen uso de NetCat. También, como lector y estudioso, será necesario por no decir imperativo, que le des una leída más tarde los ejemplos de uso y notas incluidos que te pueden dar más ideas acerca de lo buena que es esta clase de herramienta. UTILIDADES  Chat.  Enviar y recibir ficheros.  Escanear puertos.  Captura básica de banners.  Servidor Web.  Conseguir una shell (de forma directa o inversa).
  50. 50. HABILIDADES BÁSICAS  Conexiones hacia o desde el exterior, usando UDP o TCP, hacia o desde cualquier puerto.  Verificación de DNS normal o en reversa, con las advertencias correspondientes  Uso de cualquier puerto local  Uso de cualquier dirección a la que se tenga acceso en la red local  Habilidad de rastrear puertos, incluso de manera aleatoria  Capacidad de decidir qué camino tomarán los paquetes enviados, a modo de "encaminarlos", lo que se conoce como sourcerouting.  Puede procesar comandos de programas, de scripts, y del usuario.  Capaz de enviar datos en modo de transmisión lenta, una línea cada N segundos  Monitoreo y presentación, en modo hexadecimal, de datos transmitidos y recibidos  Capacidad de dejar que otro programa maneje conexiones ya establecidas  Opcionalmente responde a opciones características de telnet  Creación de nuevas herramientas, basándonos en los servicios de NetCat.
  51. 51. CONCLUSIONES  Las utilidades de este pequeño programa son enormes, de poder establecer conexión con otras maquinas, escaneo de puertos, crear exploit, hasta realizar sniffers.  Así mismo establecer una conexión remotamente, en donde el grupo aprendió a utilizar los comandos respectivos y/o herramientas para su conexión respectiva.  Se recomienda que se dé un buen uso de esta herramienta para fines educativos.  Que, se continúe analizando y utilizando la herramienta en mención para sacarle buen provecho de la misma.  Tener conocimientos de sistemas operativos como Windows y Unix ya que la sintaxis de comandos son diferentes.  Mantener en todo momento activo el Firewall del sistema operativo que se tenga instalado.  El acceso a los recursos informáticos y de comunicaciones obliga a toda institución u organización a dotarse de normas mínimas que garanticen la seguridad y el uso de dichos recursos en las debidas condiciones. Tales normas deben enmarcarse en el pleno respeto al tratamiento de los datos de carácter personal en los términos señalados en la Ley Orgánica de Protección de Datos de Carácter Personal.  Igualmente importante es optimizar las capacidades en lo relativo a la adquisición, gestión y mantenimiento de su parque informático.  Es necesario que todo proceso de desarrollo, adquisición o implantación de aplicaciones sea aprobado por los Servicios Informáticos. Asimismo, todo proceso de adquisición de equipamiento informático (hardware y software) destinado al uso del personal de

×