Presentación de la Lección 9.1 del profeosr Oriol Borrás Gené de la asignatura "Principios Jurídicos Básicos, Deontología Profesional e Igualdad" 2018/19 de la Universidad Rey Juan Carlos del Grado de Diseño y Desarrollo de Videojuegos: https://www.urjc.es/estudios/grado/632-diseno-y-desarrollo-de-videojuegos
1. Tema 9.1: Delitos informáticos e intrusión
Principios Jurídicos Básicos,
Deontología Profesional e Igualdad
Grado en Diseño y
Desarrollo de VideoJuegos
Tema 9. Impacto de las TIC y delitos informáticos
2. Índice
Introducción a la Seguridad Informática
Tipos de Intrusión Informática
Delitos, Legislación y Peritación
Organizaciones para la defensa
informática
3. 3
Concepto de Seguridad Informática
• El concepto de seguridad existe porque algo que consideramos valioso se encuentra amenazado
o atacado.
• No existe la seguridad informática 100%.
• Información valiosa que “hackear”: claves, datos personales, secretos industriales, información
bancaria, propiedades, datos de la seguridad nacional, etc.
• Las redes nos permiten el acceso a miles de servidores susceptibles de ataques.
Introducción a la seguridad informática
4. 4
Introducción a la seguridad informática
Concepto de Seguridad Informática
https://blog.expansive.mx/2019/02/21/ciberataques-todo-lo-que-debes-saber/
5. Concepto de Seguridad Informática
• La seguridad informática es una disciplina que se encarga de proteger la integridad y la
privacidad de la información almacenada en un sistema informático.
• La seguridad informática, también conocida como ciberseguridad o seguridad de
tecnologías de la información, es el área de la informática que se enfoca en la protección de
la infraestructura computacional y todo lo relacionado con esta y, especialmente, la información
contenida.
• La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos,
métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.
5
Introducción a la seguridad informática
6. Otros conceptos relacionados con la seguridad informática:
• Confidencialidad de los datos: información no es desvelada a individuos no autorizados. La
perdida de confidencialidad supone una revelación no autorizada de información.
• Integridad de los datos: La información o los programas cambian SOLO de un modo conocido
y autorizado. La pérdida de integridad supone la modificación o destrucción de información.
• Disponibilidad de los datos: Asegurar que los sistemas responden a las peticiones y el
servicio no es denegado a personas autorizadas. La perdida de disponibilidad supone la
imposibilidad de acceder o usar la información.
• Privacidad: Otorgar a los individuos control total o parcial sobre que información relacionada
con ellos puede ser recogida, almacenada y a quien puede ser desvelada.
6
Introducción a la seguridad informática
7. Confidencialidad, Integridad y Disponibilidad
• Accountability: Se plantea como objetivo poder trazar todas las acciones realizadas por
una entidad de tal modo que el rastro le lleve de manera única a dicha entidad.
• Authenticity: Es la propiedad de ser genuino, de poder ser verificado y confiable.
• Authentication: Es el proceso para confirmar una identidad.
Hay que verificar que los usuarios son quienes dicen ser y que el punto de acceso es
seguro y confiable.
7
Introducción a la seguridad informática
9. 9
Introducción a la seguridad informática
https://www.cisco.com/c/dam/global/es_mx/solutions/pdf/reporte-anual-cisco-2018-espan.pdf
https://www.grupoica.com/blog/-/blogs/140063?_33_urlTitle=ataques-informaticos-
claves-minimizar-impacto
Costes a empresas
10. 10
Introducción a la seguridad informática
https://www.varonis.com/blog/cyb
ersecurity-statistics/
11. 11
Introducción a la seguridad informática
https://ticnegocios.camaravalencia.com/servicios/tendencias/q
ue-es-un-ciberataque-y-que-tipos-existen/
Tipos de ciberataques
https://www.cisco.com/c/dam/global/es_mx/sol
utions/pdf/reporte-anual-cisco-2018-espan.pdf
12. Elementos de defensa
• Defensa: Antivirus y Criptografía.
• Protección: Firewalls, Claves, Control de acceso (ACL Access Control Lists), Detección
de intrusos (detección de direcciones IP falsas o no autorizadas).
• Anticipación: Políticas de seguridad, auditorías, planes de contingencia.
12
Introducción a la seguridad informática
14. Tipos de ataques
• Malware (malicious software): daña a equipos y extrae información de los usuarios sin su
consentimiento. Dentro del Malware encontramos distintos tipos:
• Virus: programas que al ejecutarse infectan partes del ordenador, alterando el funcionamiento o dañando el
sistema. Están dentro de archivos o ejecutables.
• Gusanos: similares a los virus con la capacidad de copiarse a sí mismos y propagarse a otros equipos de la red,
por su propia cuenta. Los gusanos son capaces de replicarse por sí solos, pudiendo enviarse vía correo electrónico
a otros equipos y redes sin la intervención de un ser humano, a diferencia de los virus que no pueden replicarse
solos (link).
• Adware: programas de publicidad que se instalan en los navegadores o como ventanas emergentes.
• Spyware: software espía que recopila información de un ordenador y la transfiere a otros dispositivos.
• Troyanos: programas que al ejecutarlos permiten el acceso remoto al equipo infectado.
• Riskware: software que sin ser malicioso, su instalación supone una brecha de seguridad en nuestro equipo.
• Phishing: emails que suplantan la identidad de servicios o compañías solicitando datos confidenciales.
• Ransomware: restringe el acceso a determinados archivos, pidiendo un rescate para liberar esa información.
Tipos de intrusión informática
14
15. Tipos de ataques
• Ataques “Denial-of-service (DoS)” y “Distributed denial-of-service (DDoS)” : ataques a webs
que provocan el colapso y la denegación de servicio a los clientes. Ejemplo: ICMP Flood
(Saturación por Ping) o HTTP Flood (Saturación HTTP), más info:
https://openwebinars.net/blog/top-10-de-ataques-dos-denial-of-service-o-denegacion-de-
servicios/
• Ataque Man-in-the-middle (MitM): se da cuando el hacker se introduce entre la comunicación
de un cliente y un servidor.
Tipos de intrusión informática
15
https://blog.netwrix.com/2018/05/15/top-10-most-common-types-of-cyber-attacks/#Malware%20attack
16. Tipos de ataques
• Atacar contraseñas: ataque por fuerza bruta o ataque de diccionario.
• SQL injection attack: se ejecuta una query SQL hacia la base de datos del cliente al servidor.
• Ataque Cross-site scripting (XSS):
Tipos de intrusión informática
16
Hijacking: toda técnica ilegal para
adueñarse o robar algo
(información, secuestro de
sesiones de terminal, de
conexiones de red, etc.).
17. Tipos de ataques
• Ataque Eavesdropping (escuchar secretamente): interceptar tráfico de datos en la red, el
atacante puede obtener contraseñas, números de tarjeta de crédito, u otra información
confidencial.
• Ataque Birthday: ataque criptográfico basado en las matemáticas de la “Paradoja del
cumpleaños” (info).
Tipos de intrusión informática
17
18. Elementos de Defensa
• Autentificación y control de acceso: Sistemas de claves y criptografía, Acceso
biométrico (huella), Listas de Control de Acceso (ACLs) para usuarios y direcciones IP.
• Tarjetas inteligentes y chips (Smart cards): acceso bancario o a edificios
• Claves para compra con Internet combinado con PIN a un dispositivo móvil
• Políticas de permisos a diferentes tipos de usuarios (privilegios) y en acceso a
ficheros o partes de un sistema
• Firmas y certificados digitales (e.g, FNMT en España)
• Programas de defensa: antivirus, anti Spyware, anti Malware, …
• Contraseñas seguras
Tipos de intrusión informática
18
19. Elementos de Defensa
Diferentes tipos de cifrados:
Simétricos: Se utiliza una clave para cifrar y descifrar el mensaje, que conocen el emisor y
el receptor.
Asimétricos: Uso de dos claves, la pública (se distribuye a toda persona que envía algo
cifrado) y la privada (nunca es desvelada y conoce solo el receptor).
… (otros tipos)
Tipos de intrusión informática
19
20. Elementos de Defensa
• Zona desmilitarizada (DMZ) – Firewalls:
• Zona insegura que se ubica entre la red interna de una organización y una red externa
(ej. Internet).
• Los hosts que dan dichos servicios web se agrupan en la zona desmilitarizada (DMZ)
mediante cortafuegos.
• La DMZ se usa habitualmente para ubicar servidores que es necesario que sean
accedidos desde fuera.
Tipos de intrusión informática
20
El tráfico de la intranet y la DMZ hacia internet esta
permitido, pero el cortafuegos bloquea las peticiones hacia la
intranet y solo aceptara el tráfico hacia la DMZ.
El servidor de bases de datos se queda en la intranet!
21. Entre los delitos informáticos que se consideran entre las nuevas leyes se encuentran:
Delitos informáticos:
• Acceso no autorizado a información
• Destrucción de datos
• Infracción de los derechos de autor
• Infracción de copyright de las bases de datos
• Estafas electrónicas
• Interceptar correos electrónicos
• Transferencia de fondos
Para poder legislar sobre la información y su infraestructura se creó el concepto del ciberespacio,
sobre el cual se escribieron leyes que regulan el uso del mismo, en donde se define que
representa un delito sobre este nuevo campo, y que no.
Delitos, legislación y peritación
21
22. Delitos convencionales
• Espionaje
• Terrorismo
• Narcotráfico
Mal uso de la red:
• Usos comerciales no éticos
• Obstaculizar la comunicación
• Interrumpir comunicaciones de modo reiterado
Efectos transfronterizos:
• Debido a la universalidad de la red los delitos pueden tener efecto o ser originados en otros
países.
Delitos, legislación y peritación
22
23. Legislación en España
• LOPD 10/1995 del código penal
• El que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se
apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o
efectos personales o intercepte sus telecomunicaciones……
• Penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses
• Pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos
descubiertos o las imágenes captadas
• Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas
en los apartados 1 al 4 años
Delitos, legislación y peritación
23
x euros/día
24. Legislación en España
• El que revelare secretos ajenos, de los que tenga conocimiento por razón de su oficio o sus
relaciones laborales, será castigado con la pena de prisión de uno a tres años y multa de seis
a doce meses.
• El profesional que, con incumplimiento de su obligación de sigilo o reserva, divulgue los
secretos de otra persona, será castigado:
• Con la pena de prisión de uno a cuatro años
• Multa de doce a veinticuatro meses
• Inhabilitación especial para dicha profesión por tiempo de dos a seis años.
Delitos, legislación y peritación
24
25. Legislación en España
• Para proceder por los delitos previstos en este capítulo será necesaria denuncia de la persona
agraviada
• Funcionario público: Si divulgare o revelare la información obtenida, se impondrán las penas
de inhabilitación especial, en su mitad superior y, además, la de multa de seis a dieciocho
meses
• Otras Leyes
• Ley Orgánica de Protección de Datos de Carácter Personal.
• Ley de Servicios de la Sociedad de la Información y Comercio Electrónico.
• Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos
de carácter personal.
• Ley General de Telecomunicaciones.
• Ley de Propiedad Intelectual.
• Ley de Firma Electrónica
Delitos, legislación y peritación
25
26. Peritación Informática
• Puede ser necesario auditar y peritar un sistema informático
• Bajo encargo privado o por orden judicial
• Asociación Nacional de Tasadores y Peritos Judiciales Informáticos www.antpji.com
• Cursos de Derecho Informático y Peritaciones Judiciales
• Peritaciones con retribución económica
• Informática Forense y evidencias electrónicas
Delitos, legislación y peritación
26
Se conoce como peritaje informático a los estudios e
investigaciones orientados a la obtención de una prueba
informática de aplicación en un asunto judicial para que
sirva a un juez para decidir sobre la culpabilidad o
inocencia de una de las partes.
https://es.wikipedia.org/wiki/Peritaje_inform%C3%A1tico
27. Peritación Informática
• El objetivo del analista forense es contestar a preguntas:
• ¿Qué ha ocurrido? ¿dónde? ¿cuándo? ¿cómo? ¿por
qué?
• Algunas herramientas: FTK Imager, Autopsy, Recover My
Files, AIR, etc.
• Se debe mantener en todo momento la cadena de custodia
para
• Disponer de evidencias electrónicas suficientes
• Se deberán realizar copias para evitar alteraciones
• Firma de las evidencias (hash) para evitar su manipulación
Delitos, legislación y peritación
27
“hash”- es un algoritmo
matemático que transforma
cualquier bloque arbitrario de
datos en una nueva serie de
caracteres con una longitud
fija
https://latam.kaspersky.com/bl
og/que-es-un-hash-y-como-
funciona/2806/
28. Peritación Informática
• Herramientas y HW para clonar discos
• Bloqueadores de escritura para no contaminar las pruebas
• Desencriptar discos duros cifrados
• TrueCrypt, Bitlocker, PGP, Passware Kit Forensic
• Recuperar las información perdida
• EASEUS Data Recovery Wizard
• Dictamen pericial: Opinión técnica y experta que se emite sobre hechos o cosas ¿verbal?
• Informe pericial: Descripción escrita de las características y circunstancias de hechos, cosas,
sucesos o asuntos emitidos por un experto
• Recoger durante el periodo examinado ¿logs, videograbaciones, incidencias analizadas..?
• Indicar alcance / ámbito (servidores revisados, ubicaciones, personas entrevistadas ¿nombres?)
Delitos, legislación y peritación
28
29. Peritación Informática
• Existe un código deontológico del perito judicial
• Exigencias éticas:
• Integridad
• Independencia
• Objetividad
• Confidencialidad
• Competencia profesional
Delitos, legislación y peritación
29
30. Peritación Informática
• Los códigos deontológicos del perito informático deben cumplir:
• Fijar una serie de criterios de carácter científico-funcional para el ejercicio de la
profesión, con el objetivo de dar operatividad y eficacia a la función pericial.
• Difundir orientaciones éticas para el ejercicio de la profesión y plasmarlas en
códigos de deontología profesional.
• Posibilidad de imponer sanciones disciplinarias a los asociados que incumplan los
dictados de los códigos deontológicos.
• Es necesario firmar un documento de secreto profesional y confidencialidad
• En algunos proyectos software se utiliza un NDA (Non-disclosure Agreement)
• No revelar secretos durante el tiempo del acuerdo de confidencialidad
Delitos, legislación y peritación
30
acuerdo de no divulgación
31. Organizaciones Españolas
• GDT (Grupo de Delitos Telemáticos ) de la Guardia Civil
• Aviso de posibles estafas y otros delitos en redes sociales
• Permite la denuncia de delitos telemáticos
• Brigada de Investigación Tecnológica de la Policía Nacional
• Denuncias sobre delitos informáticos
• Oficina virtual de denuncias de cualquier tipo
• Centro Nacional de Inteligencia (CNI)
• Investigaciones sobre ciber-defensa, en particular sobre ataques informáticos y ciber-
terrorismo
Organizaciones para la defensa informática
31
32. Organizaciones Españolas
• INCIBE (Instituto Nacional para la CIBER SEGURIDAD)
• Protección de empresas y sistemas de control
• Alertas de virus informáticos
• Modelos de ciber-seguridad y planes de contingencia
• Gestiona la oficina de ciberseguridad del internauta (OSI)
Organizaciones para la defensa informática
32
33. Organizaciones Españolas
• CERTSI, ahora INCIBE-CERT
• Es un CERT (Computer Emergency Response Team) para seguridad e industria
(ciudadanos y entidades de derecho privado).
• Orientados a ciudadanos y empresas y operaba bajo el INCIBE y el CNPIC:
• Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC)
Organizaciones para la defensa informática
33
34. USA
• SEI-CERT (Software Engineering Institute – Computer Emergency Response Team)
CERT Division
• Nació para informar de ataques a sistemas Unix principalmente
• Gestiona cualquier tipo de incidencia de seguridad
• Los avisos llegan a través de listas de distribución sobre vulnerabilidades y
potenciales ataques
Europa
• ISS (Institute for Security Studies)
• CYBERSEC (European Cybersecurity Forum)
• ECS (European Cybersecurity Organization)
• ENISA (European Union Agency for Network and Information Security)
• ENCS (Europan Network for Cybersecurity)
Organizaciones para la defensa informática
34