Derecho de la Seguridad de la Información y Delitos Informáticos

5.217 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
5.217
En SlideShare
0
De insertados
0
Número de insertados
951
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Derecho de la Seguridad de la Información y Delitos Informáticos

  1. 1. Joel A. Gómez Treviño Abogado especialista en Derecho InformáticoProfesor de La Salle y Universidad Panamericana
  2. 2. @JoelGomezMX
  3. 3. •Derecho de la Seguridad de la Información• Rama de las ciencias jurídicas que: • Protege a la información contenida en medios físicos, electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad. • Brinda seguridad y confidencialidad a la información que sea: sensible, reservada, privada, secreto industrial, secreto bancario, secreto profesional, secreto técnico, secreto comercial, secreto de fabricación, dato personal, entre otros. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  4. 4. Ley Reglamentaria del Artículo 5 Constitucional,relativo al Ejercicio de las Profesiones en el D.F.• ARTICULO 36.- Todo profesionista estará obligado a guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  5. 5. Ley de la Propiedad Industrial• Artículo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.• Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  6. 6. Ley Federal de Protección al Consumidor• Artículo 76 bis.- En la celebración de transacciones electrónicas se cumplirá con lo siguiente:• I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente;• II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos; www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  7. 7. Ley Federal de Protección de DatosPersonales en Posesión de Particulares• Artículo 19.- Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado.• Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable.• Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  8. 8. Reglamento de la LFPDPPP• El artículo 2 define los siguientes términos:• V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales; www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  9. 9. Reglamento de la LFPDPPP• VI. Medidas de seguridad físicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para:• a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información;• b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones;• c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y• d) Garantizar la eliminación de datos de forma segura; www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  10. 10. Reglamento de la LFPDPPP• VII. Medidas de seguridad técnicas: Conjunto de actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que:• a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados;• b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones;• c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y• d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales; www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  11. 11. Reglamento de la LFPDPPP• Capítulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales: • Alcance • Atenuación de sanciones • Funciones de seguridad • Factores para determinar las medidas de seguridad • Acciones para la seguridad de los datos personales • Actualizaciones de las medidas de seguridad • Vulneraciones de seguridad • Notificación de vulneraciones de seguridad • Información mínima al titular en caso de vulneraciones de seguridad • Medidas correctivas en caso de vulneraciones de seguridad www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  12. 12. Ley Federal del Trabajo• Artículo 47.- Son causas de rescisión de la relación de trabajo, sin responsabilidad para el patrón:• IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa;• Artículo 134.- Son obligaciones de los trabajadores:• XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  13. 13. Ley de Protección y Defensa alUsuario de Servicios Financieros• Art. 8.- La Comisión Nacional (CONDUSEF) establecerá y mantendrá actualizado, un Registro de Usuarios que no deseen que su información sea utilizada para fines mercadotécnicos o publicitarios. • Queda prohibido a las Instituciones Financieras utilizar información relativa a la base de datos de sus clientes con fines mercadotécnicos o publicitarios, así como enviar publicidad a los clientes que expresamente les hubieren manifestado su voluntad de no recibirla o que estén inscritos en el registro a que se refiere el párrafo anterior. Las Instituciones Financieras que sean objeto de publicidad son corresponsables del manejo de la información de sus Clientes cuando dicha publicidad la envíen a través de terceros. • Los usuarios se podrán inscribir gratuitamente en el Registro Público de Usuarios, a través de los medios que establezca la Comisión Nacional, la cual será consultada por las Instituciones Financieras. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  14. 14. Ley de Instituciones de Crédito• Artículo 117.- La información y documentación relativa a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrán dar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  15. 15. Ley de Instituciones de Crédito• Artículo 46 Bis 1.- Las instituciones de crédito podrán pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación, así como comisiones para realizar las operaciones previstas en el artículo 46 de esta Ley, de conformidad con las disposiciones de carácter general que expida la Comisión Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno.• Lo dispuesto en el artículo 117 de esta Ley le será también aplicable a los terceros a que se refiere el presente artículo, así como los representantes, directivos y empleados de dichos terceros, aún cuando dejen de laborar o prestar sus servicios a tales terceros. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  16. 16. Código Penal Federal• Artículo 210.- Se impondrán de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto.• Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  17. 17. Código Penal Federal• Artículo 211 Bis.- A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  18. 18. Otras leyes…• Ley Federal de Seguridad Privada• Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal• Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones• Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  19. 19. •¿Qué se mueve en Internet? Dinero Información www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  20. 20. •¿Qué es un delito informático?• Los delitos informáticos (DI) son aquellas actividades ilícitas que: • Se cometen mediante el uso de computadoras, sistemas informáticos u otros dispositivos de comunicación (la informática es el medio o instrumento para realizar un delito); o • Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas informáticos (delitos per se). www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  21. 21. •Diferencia importante LEX• Delito informático es la conducta típica, antijurídica, culpable y punible, en que se tiene a las • Ataque informático es computadoras como la conducta indebida instrumento o fin. que también causa daños informáticos pero no esta contemplada en la legislación como delito. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  22. 22. •Problemática• Los ataques más significativos son transnacionales por diseño y con víctimas en todo el mundo. • Continuamente aparecerán aspectos o conflictos de jurisdicción en múltiples países.• Los ciberdelincuentes explotan las debilidades existentes en las leyes y prácticas de ejecución de los países, exponiendo a todos los demás países que van más allá de su capacidad de responder unilateral o bilateralmente.• La velocidad y complejidad técnica de las actividades cibernéticas requiere de procedimientos pre-acordados entre la comunidad internacional para lograr la cooperación en investigaciones y para responder a ataques y amenazas. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  23. 23. •Pirámide del Delincuente Informático+ i Terroristas, Peligrosidad y Daños Extremistas Phising Mercenarios y Traficantes ID Theft de Información RAT‟s Hackers, - Crackers y Phreaks www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  24. 24. Los Delincuentes Las Víctimas• Hackers y • Personas físicas al azar y Crackers eventualmente empresas• Mercenarios y • Empresas, grandes traficantes de corporativos y personas información físicas a nivel masivo• Terroristas y • Gobierno y Grupos eventualmente Extremistas grandes empresas www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  25. 25. •Tipos de CiberDelincuentes• Hacking / Hacker • Individuo que penetra un sistema informático sólo por gusto o para probar sus habilidades. Usualmente no tiene fines delictivos graves este tipo de intrusión.• Cracking / Cracker • Persona que penetra un sistema informático con el fin de robar o destruir información valiosa, realizar transacciones ilícitas, o impedir el buen funcionamiento de redes informáticas o computadoras. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  26. 26. •Tipos de Ciberdelincuentes• CiberGrafitti / Defacements • Penetrar sitios web para modificar su contenido, desplegando imágenes obscenas, amenazas, mensajes ridiculizantes, burlas, etc.• Phreaking / Phreaks • Penetrar ilícitamente sistemas telefónicos o de telecomunicaciones con el fin de obtener beneficios o causar perjuicios a terceros. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  27. 27. •Tipos de CiberDelincuentes• Warez • Grupo de personas amantes de la piratería de software. Su meta es violar códigos de seguridad (cracking) o generar, obtener o compartir números de registro (regging) de programas de computo, para luego subirlos a Internet y compartirlos con el mundo. • Usualmente son delitos o ilícitos contra la Propiedad Intelectual o Derechos de Autor. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  28. 28. •Tipos de Delitos y Ataques• CiberPandillerismo • Grupos de hackers o extremistas se reúnen para cometer o planear delitos, o para expresar ideas racistas, discriminatorias o xenofóbicas. • Hacking for Girlies • Legion of the Underground (LoU) • Masters of Destruction/Deception (MoD) • Cult of the Dead Cows Algunos de estos grupos eventualmente “se convierten” en “consultores de seguridad informática”. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  29. 29. •Tipos de Delitos y Ataques• Robo de identidad • Aprovechamiento de datos personales para hacerse pasar por otra persona, con el objeto de obtener beneficios económicos o cometer delitos.• CiberAcoso • Acosar, hostigar, molestar, intimidar o amenazar personas o entidades usando medios informáticos.• Falsificaciones y fraudes electrónicos• Virus, gusanos y códigos malignos www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  30. 30. •Clasificación de los D.I. por motivación• D.I. de entretenimiento, • D.I. motivados por lucro: orgullo y exploración: • Cracking • Phreaking • Fraude electrónico • Web defacement • Robo informático • Hacking • Robo de Identidad • Warez • Ingeniería Social • Virus • Phishing• D.I. con causa: • Cartas Nigerianas • Hacktivismo • Wi-Fi hacking • CiberTerrorismo • WarDriving • CiberAcoso • Clonación de tarjetas • DDoS • DDoS, Virus, etc. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  31. 31. •D.I. e Ilícitos vs. la Propiedad Intelectual• Delitos Informáticos vs. • Ilícitos o infracciones vs. Derechos de Autor Marcas Registradas • Warez (Piratería) • Disputas sobre nombres • Publicación de Serial de dominio (UDRP/LDRP) Numbers • Venta de palabras clave • Vulneración de (google) sistemas de seguridad • Framing de software • Meta-tagging • File sharing – P2P (litigio • Web defacement por redes peer to peer) • Phishing, clonación de sitios web www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  32. 32. •D.I. e Ilícitos vs. la Privacidad, Intimidady Confidencialidad Industrial• Contra las empresas, • Contra las personas instituciones y gobierno • Robo de identidad • Virus • Phishing • Spyware / Malware • Carding y clonación • Sniffing / packet sniffers • CiberAcoso • Keyloggers • “Spamming” • Hacking / Cracking • Difamación y calumnia en • Ingeniería Social redes sociales y cadenas • Robo informático de de correos electrónicos información confidencial o • Pornografía infantil secretos industriales • Corrupción de menores www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  33. 33. •¿Qué es Hacktivismo?• Hacktivismo (un acrónimo de hacker y activismo) se entiende normalmente la utilización ¿“no-violenta”? de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines políticos.• Estas herramientas incluyen desfiguraciones de webs, redirecciones, ataques de denegación de servicio, robo de información, parodias, sustituciones virtuales, sabotajes virtuales y desarrollo de software. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  34. 34. •¿Qué es (H)ac(k)tivismo?• Hacktivismo es el matrimonio entre el hackeo y el activismo; incluye procedimientos que usan técnicas de hackeo contra un sitio web con la intención de interrumpir las operaciones normales sin causar daños serios. Ejemplos son: protestas web y bloqueos virtuales, bombas automatizadas de correo electrónico, intrusiones a computadoras, y virus/gusanos informáticos. Dra. Dorothy Denning Profesora de la Universidad de Georgetown www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  35. 35. •¿Qué es el (Ciber) Activismo?• (Ciber) Activismo es el uso normal no disruptivo de Internet para apoyar una causa a agenda. Operaciones en esta área incluyen navegación en la web, construcción de sitios web y publicación de materiales en ellos, difundir publicaciones electrónicas y cartas por correo electrónico, y uso del internet para discutir asuntos, formar coaliciones y planear o coordinar actividades. Dra. Dorothy Denning Profesora de la Universidad de Georgetown www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  36. 36. •Historia y orígenes del (H)ac(k)tivismo• (H)ac(k)tivismo • Grupos ambientalistas, anti-nucleares, anti-guerras, pro-derechos humanos, etc. pueden usar la red para promover ciber-desobediencia civil. • Ciber-guerra civil • 1995: Ciudadanos franceses e italianos protestaron contra las acciones y políticas de su gobierno sitiando la presencia de dichos gobiernos en internet. • 1996: La Casa Blanca fue el blanco de una imensa tormenta de transmisión de correos electrónicos, cada uno conteniendo una copia del Bill of Rights. El objetivo era inhibir el sitio web de la presidencia. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  37. 37. •Historia y orígenes del (H)ac(k)tivismo• (H)ac(k)tivismo… • Ciber-guerra civil (1998)... • Una instalación nuclear de la India fue hackeada después de pruebas de armamento y bombas atómicas. • Un grupo llamado “The Hong Kong Blondes” hackeo la red informática de la Policía China, como forma de protesta en contra de los arrestos políticos. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  38. 38. •(H)ac(k)tivismo en México• En marzo de 1996, mexicanos promovieron “huelgas por internet” similares a las que habían ocurrido en Europa en 1995 y 1996 (ataques cibernéticos a sitios web franceses, italianos y de EUA, como protesta por sus políticas públicas).• En mayo de 1996, hacktivistas lanzaron ataques de denegación de servicio al grupo de noticias de usernet llamado “alt.religion.scientology” en un intento aparente de sofocar la crítica e intolerancia de la Iglesia hacia sus detractores. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  39. 39. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  40. 40. •(H)ac(k)tivismo en México• En septiembre de 1998, el grupo de hackers- hacktivistas llamado “Electronic Disturbance Teather - EDT”, como muestra de apoyo y solidaridad a los Zapatistas Mexicanos, lanzó un ataque masivo de denegación de servicios en contra de sitios web del Pentágono, la Casa Blanca y del gobierno mexicano presidido en aquel entonces por Ernesto Zedillo. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  41. 41. •(H)ac(k)tivismo en México• Brett Stalbaum, uno de los líderes de EDT, creó un programa de software llamado “The Zapatista FloodNet” para facilitar los ataques.• 18,615 personas en 46 distintos países, apoyaron desde sus computadoras el ataque masivo contra estos sitios de gobierno de México y Estados Unidos. Ricardo Domínguez, neoyorquino de padres mexicano, fue uno de los principales protagonistas del EDT y de este ataque DDoS. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  42. 42. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  43. 43. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  44. 44. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  45. 45. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  46. 46. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  47. 47. www.JoelGomez.mx @JoelGomezMXwww.DerechoInformatico.mx @LexInformatica
  48. 48. •¿Qué es un DoS / DDoS?• DoS es la abreviatura en inglés de Ataque de Denegación de Servicios y DDoS corresponde a Ataque Distribuido de Denegación de Servicios.• El objetivo de un ataque de denegación de servicio (DoS) es hacer inoperable a un sistema (computadora). Algunos ataques de denegación de servicio están diseñados para bloquear el sistema de destino, mientras que otros sólo tienen por objeto provocar que el sistema de destino tan ocupado que no pueda manejar su carga normal de trabajo. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  49. 49. •¿Qué es un DoS / DDoS?• ¿Es un solo tipo de ataque? No, en realidad un ataque de denegación de servicios (distribuido o no) puede llevarse a cabo de muy diversas maneras.• ¿Qué NO es un DoS / DDoS? Este tipo de ataques no representan un hackeo tradicional, es decir, no hay intrusión o vulneración de una computadora por acceso no autorizado. El agresor no tiene acceso a los archivos o información personal contenida en el servidor o computadora objetivo del ataque. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  50. 50. •¿Qué tan sencillo es realizar un DoS?• Lamentablemente resulta ser extremadamente sencillo, dado que estos ataques se sustentan en ingeniería social. • Jorge Arciga, CIO de la Presidencia• Un ataque de negación de servicio puede ser tan simple o complejo como el atacante quiera. Puede requerir la participación de personas o ser completamente automatizado. • Adolfo Grego, especialista en seguridad informática• En realidad no considero que se requiera un grado avanzado de habilidades, sino sólo un poco de curiosidad y tal vez, la „voluntad‟ de querer ser parte de un movimiento (anti)social. • Alberto Ramírez, Gerente de Riesgo Tecnológico de una institución financiera www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  51. 51. •¿Qué es un DoS / DDoS?• En un ataque distribuido de denegación de servicio (DDoS), un atacante puede controlar decenas o incluso cientos de servidores y apuntar toda esa potencia de ataque acumulada de todos estos sistemas a un único objetivo (servidor o computadora). En lugar de lanzar un ataque desde un único sistema (como sucede con el DoS), el atacante irrumpe en numerosos sitios, instala el script del ataque de denegación de servicio a cada uno, y luego organiza un ataque coordinado para ampliar la intensidad de estas agresiones cibernéticas. A este método suele conocérsele como “El Ataque de los Zombis”, el cual dificulta a los investigadores forenses el rastreo de la fuente real del ataque. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  52. 52. •¿Es ilegal realizar un DoS / DDoS?• Convenio de la Ciberdelincuencia (Convenio de Budapest, vigente en 32 países) • Artículo 5 (1) – Ataques a la integridad del sistema. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  53. 53. •¿Es ilegal realizar un DoS / DDoS?• España • El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años. • El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  54. 54. •¿Es ilegal realizar un DoS / DDoS?• Estados Unidos • 18 U.S.C. 1030 (a) (5) (A) (i). A quien conscientemente provoque la transmisión de un programa, información, código o comandos, y como resultado de dicha conducta, intencionalmente cause daño sin autorización, a una computadora protegida, será sancionado con: • Multa y/o prisión por no más de 10 años, 20 años en caso de reincidencia. • Multa y/o prisión hasta por cadena perpetua si el delincuente conscientemente o negligentemente cause o intente causar la muerte. • “Daño” es definido por el artículo 18 U.S.C. 1030 (e) (8) como “cualquier deterioro, insuficiencia o menoscabo a la integridad o disponibilidad de datos, programas, sistemas o información”. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  55. 55. •¿Es ilegal realizar un DoS / DDoS?• Colombia • Artículo 269 B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  56. 56. •Delitos Informáticos en México• El Código Penal Federal se reforma el 17 de Mayo de 1999 para incluir tres nuevas categorías bajo el nuevo capítulo “Acceso Ilícito a Sistemas y Equipos de Informática”: • Accesos ilícitos a sistemas de particulares • Accesos ilícitos a sistemas de gobierno • Accesos ilícitos a sistemas del sector financiero www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  57. 57. •Código Penal Federal• Articulo 211 bis 1 al 7.- Castiga… • Al que sin autorización (o estando autorizado) modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática {particulares, estatales o financieros} protegidos por algún mecanismo de seguridad. • Al que sin autorización (o estando autorizado) conozca o copie información contenida en sistemas o equipos de informática {particulares, estatales o financieros} protegidos por algún mecanismo de seguridad. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  58. 58. •Código Penal Federal • Sin autorización, modifique, destruya o provoque pérdida de información [equipos privados]: 6 meses a 2 años de prisión. • Sin autorización conozca o copie información contenida en [equipos privados]: 3 meses a 1 año de prisión. • Sin autorización, modifique, destruya o provoque pérdida de información [equipos del Estado]: 1 a 4 años de prisión. • Sin autorización conozca o copie información contenida en [equipos del Estado]: 6 meses a 2 años de prisión. • Sin autorización conozca, obtenga, copie o utilice información contenida en [equipos de Seguridad Pública]: 4 a 10 años de prisión. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  59. 59. •Código Penal Federal• Con autorización, modifique, destruya o provoque pérdida de información [equipos del Estado]: 2 a 8 años de prisión.• Con autorización, copie información [equipos del Estado]: 1 a 4 años de prisión.• Con autorización, obtenga, copie o utilice información [equipos de Seguridad Pública]: 4 a 10 años de prisión. • Si es servidor público en institución de SP, se incrementará la pena hasta en una mitad, se destituirá e inhabilitará por un plazo igual al de la pena para desempeñarse en otro empleo o cargo público.• Sin autorización, modifique, destruya o provoque pérdida de información [equipos del Sistema Financiero]: 6 meses a 4 años de prisión.• Sin autorización conozca o copie información contenida en [equipos del S.F.]: 3 meses a 2 años de prisión. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  60. 60. •Código Penal Federal• Con autorización, modifique, destruya o provoque pérdida de información [equipos del S.F.]: 6 meses a 4 años de prisión.• Con autorización, copie información [equipos del S.F.]: 3 meses a 2 años de prisión.• Las penas previstas para delitos cometidos contra equipos del Sistema Financiero se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de dichas instituciones.• Todas las penas anteriores se incrementarán en una mitad cuando la información obtenida se utilice en provecho propio o ajeno. www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  61. 61. •¿Qué falta regular?• Virus,gusanos, • Secuestro de troyanos (código Datos Informáticos malicioso) • Fraude Electrónico• CiberAcoso o • Phishing / ID Theft CyberBullying • Ataques DoS /• HappySlapping DDoS • Hacktivismo• CiberVandalismo • Ciberterrorismo www.JoelGomez.mx @JoelGomezMX www.DerechoInformatico.mx @LexInformatica
  62. 62. • Joel A. Gómez Treviño• abogado@joelgomez.mx• Twitter.com/JoelGomezMX• Twitter.com/LexInformatica• www.derechoinformatico.mx

×