Importancia de la aplicación de la ley de firma electrónica y mensaje de datos
La legislación colombiana sobre los documentos electrónicos
1.
2.
3. El documento electrónico ya hace parte de nuestro diario vivir, lo
encontramos en diferentes actividades : contratos, órdenes de
pago, transferencias electrónicas, correo electrónico,
documentos digitales, etc.
Por esta razón se hace necesario analizar las cuestiones
jurídicas relacionadas con los documentos electrónicos y en
general al intercambio electrónico de datos ya que su
conocimiento y manejo será de vital importancia para no incurrir
en errores relacionados con su manejo y funcionamiento.
La legislación existente sobre documentos electrónicos ayudan a
regular la forma y el valor probatorio de estos, así como su
valides para cualquier acto jurídico, además las diferentes
normas, leyes y decretos dan las directrices necesarias
enfocadas principalmente a prevenir adulteraciones y
salvaguardar su autenticidad y sancionar legalmente su
adulteración.
4. Dar a conocer las leyes, decretos normas
existentes en Colombia sobre documentos
electrónicos.
Reconocer la importancia de la seguridad
informática dentro de las organizaciones.
5. Reseña Histórica: El día 21 de abril de 1998 se
presentó el proyecto de ley número 227 de 1998 ante
la cámara de representantes para su debate y
aprobación con el fin de definir y reglamentar el
acceso y uso del comercio electrónico, de las firmas
digitales y la autorización de las entidades de
certificación. En la exposición del proyecto de ley se
estableció la importancia de ajustar el ordenamiento
jurídico nacional con los adelantos tecnológicos
presentes y dejar la puerta abierta para tecnologías
futuras que pudiesen aplicarse en estas esferas.
6. Ley 527 de 1999: Por medio de la cual se define y
reglamenta el acceso y uso de los mensajes de
datos, del comercio electrónico y de las firmas
digitales, y se establecen las entidades de certificación
y se dictan otras disposiciones.
Esta ley establece la misma
validez de los documentos
electrónicos frente a los
documentos cuyo soporte
es el papel.
7. Los nuevos soportes tecnológicos conviven con el
soporte en papel, existiendo en muchos casos
duplicidad de soportes por el paso a papel de los
documentos electrónicos y en otros casos a la inversa,
con la digitalización de documentos. Po lo tanto se
puede decir que nos hemos introducido al desarrollo de
un nuevo derecho enmarcado en la libertad y la
confianza, acorde a un hecho factico imposible de
negar como es la Interdependencia de los estados y en
general de la comunidad internacional, a través de la
interacción y unión por medio de los avances
tecnológicos.
8. La ley 527 de 1999 define y reglamente el acceso y uso de los mensajes de datos, el
comercio electrónico, las firmas digitales, las entidades de certificación y dicta otras
disposiciones. Esta conformada por 47 artículos, distribuidos en cuatro partes, así: 1.
mensaje de datos y comercio electrónico; 2 transporte de mercancía; 3 firmas digitales,
certificados y entidades de certificación; 4 reglamentación y vigencia.
.
Para la elaboración del proyecto de ley que culmino con la promulgación de la ley 527 de
1.999 se utilizo como ya se anoto el proyecto modelo o proyecto tipo de ley preparado por
la comisión de las naciones Unidas parea el desarrollo del derecho mercantil internacional
“CNUDMI” sobre comercio electrónico.
Colombia entro a regular con dichas disposiciones del comercio electrónico y las relaciones
económicas generadas a través de los nuevos mecanismos de comunicación electrónica,
óptica, vía telefax, telegrama, etc., para ponerse a tono con la tecnología en las
comunicación y con las regulaciones sugeridas por la ONU.
La legislación Colombiana sobre comercio electrónico y mensajes de datos regula la nueva
forma tecnológica de realizar negocios, las pruebas virtuales y electrónicas, útiles para el
derecho privado y público, pero especialmente útil al derecho comercial, cada vez en
mayor expansión.
9. Medios de prueba: sirven como
pruebas la declaración de parte, el testimonio de terceros, el dictamen
pericial, la inspección judicial, los documentos, los indicios y cualesquiera
otros medios que sean útiles para la formación del convencimiento del
juez.
”
Establece por primera vez en la legislación
colombiana, el reconocimiento del documento electrónico (validez y eficacia)
cuando en su artículo 95 dispone : “Tecnología al servicio de la
Administración de Justicia : El Consejo Superior de la Judicatura debe
propender por la incorporación de tecnología de avanzada al servicio de la
administración de justicia. Esta acción se enfocará principalmente a mejorar
la práctica de la pruebas, la formación, conservación y reproducción de los
expedientes, la comunicación entre los despachos y a garantizar el
funcionamiento razonable del sistema de información. Los juzgados,
tribunales y corporaciones judiciales podrán utilizar cualquier medios
técnicos, electrónicos, informáticos y telemáticos, para el cumplimiento de
sus funciones.
10. certificadora de los mensajes de datos, control que esta a cargo de la
superintendencia de la industria y comercio, organismo estatal que vigila
a las entidades de certificación en sus aspectos técnicos y
operativos, entre otras razones:
1. Por la necesidad de poner a tono nuestra legislación con los
novedosos medios de comunicación que son una realidad
arrolladora y que impone tal necesidad, vale decir por la fuerza
normativa de los hechos, de la que hablaba jellinek;
2. Por los riesgos de abuso con los nuevos medios de comunicación y
comercio virtuales y, en general, con la utilización de los mensajes
datos en el comercio.
3. Se considera con razón, que se trata de la creación de instrumentos
eminentemente tecnico-juridicos que apuntan a dotar de mayor
seguridad los mensajes de datos y el comercio electrónico.
Es necesario regular la creación, operación y funciones de las entidades
de certificación, entidades que no son notarias electrónicas, pero si
entidades fedantes, que al igual que los demás instrumentos de la
ley generan una nueva dimensión en el Derecho Probatorio
Comercial.
11. Eleva la factura electrónica a la categoría de factura de venta.
expedida por la
secretaría jurídica de la Presidencia de la República: en ella se determina
que el derecho de petición de los ciudadanos que se realice mediante el uso
de las modernas herramientas tecnológicas (internet, por ejemplo), debe ser
asumido como si fuese una petición de la que trata el articulo 23 de la Carta
Política.
, en el que se
establece la forma de utilización de los sistemas electrónicos de archivo y
transmisión de datos al interior de la Administración Pública: “Las entidades
de la Administración Pública deberán habilitar sistemas de transmisión
electrónica de datos para que los usuarios envíen o reciban información
requerida en sus actuaciones frente a la administración.”
12. Son aquellas transacciones comerciales realizadas o basadas en sistemas
electrónicos de procesamiento y transmisión de información, especialmente
EDI (electronic data interchange) e internet (interconnected networks).
El comercio electrónico es un área que actualmente está experimentando
gran crecimiento e importancia jurídica; está innovando y cambiando los
hábitos comerciales en la forma de realizar negocios y es considerado un
elemento esencial para el crecimiento económico mundial en la sociedad de
la información.
13. El articulo 6º de la ley 527 de 1996 resulta ser una norma jurídica básica del
derecho Probatorio Informático, en cuanto que dispone que la exigencia
legal del escrito tradicional queda satisfecha con un mensaje de datos, bajo
la condición que la información en el contenida sea accesible parta su
posterior consulta
El citado articulo 6º establece:
Cuando cualquier norma requiera que la información conste por escrito, ese
requisito quedara satisfecho con un mensaje de datos, si la información que
este contiene es accesible para su posterior consulta.
Lo dispuesto en este articulo se aplicara tanto si el requisito establecido en
cualquier norma constituye una obligación, como en si las normas prevén
consecuencias en el caso de que la información no conste por escrito.
Así, por ejemplo, la exigencia previstas en el articulo 232º del código de
P.C. estarán plenamente satisfechas a través del documento electrónico o
de cualquier mensaje de datos.
14. El documento electrónico, para poseer valor probatorio, debe reunir los mismos
requisitos de un documento o instrumento percatan, esto es aquellos requisitos
que se refieren a la esencia del documento mismo. En primer término, deberá
reunir las exigencias instrumentales probatorias propias de todo acto o
contrato, como:
a) ser instrumento público o privado, de aquellos reconocidos por el
ordenamiento jurídico como tales;
b) reunir los requisitos de eficacia que establecen los códigos de
procedimiento, para que tengan valor probatorio en juicio.
15. El derecho informático es el conjunto de normas que regulan la incidencia de la
informática en la sociedad y los conflictos con los derechos de las personas incluyendo
aspectos desde una óptica tecnológica, económica, ética y social.
En las relaciones sociales y económicas generadas como consecuencia del desarrollo
e introducción de las tecnologías de información en las actividades humanas, surgen
cuestionamientos acerca de cómo resolver conflictos originados de esa relación;
algunos aspectos que guardan íntimo vínculo con el fenómeno de la
desmaterialización, son:
Aplicación de conceptos que típicamente han estado asociados a actividades basadas
en la utilización del papel, tales como original, firma, escrito.
Las responsabilidades, derechos y obligaciones derivados de la transferencia
electrónica de fondos o datos, inclusive entre países con diferentes regulaciones
jurídicas, y las responsabilidades de operaciones en cadena por medio de redes de
comunicación pertenecientes a distintos territorios y bajo ordenamientos jurídicos
dispares.
La validez probatoria de documentos electrónicos.
Aspectos de seguridad y autenticación.
16. En los años 90 crece la tendencia en el
uso de las tecnologías de de la
información y la comunicación en la
práctica mercantil internacional, la cual
adquirió unos alcances hasta ese
momento no imaginados, que condujeron
a distintas disciplinas del conocimiento a
estudiar las condiciones en que se
desarrollaban las relaciones mercantiles
internacionales y los efectos jurídicos que
ellas producían.
17. Los antecedentes de la legislación del comercio
electrónico, en nuestro país, se expedía en el Decreto
663 de ese mismo año “por medio del cual se actualiza
el Estatuto Orgánico del Sistema Financiero y se
modifica su titulación y numeración”, en el cual prevé en
el numeral 6 del artículo 127 y en el artículo 139 la
viabilidad del uso de los sistemas electrónicos y del
intercambio electrónico. Posteriormente en el año 1995,
el Congreso de la República promulgó la Ley 222 por
medio de la cual se reformó el Código de Comercio. En
ésta norma se dispuso la posibilidad de efectuar
reuniones de accionistas sin que fuera indispensable su
presencia física y simultánea, toda vez que se
cumplieran los requisitos previstos en la Circular Externa
05-96 de la Superintendencia de Sociedades.
18. Más adelante se expide el Decreto 2150 “por medio del
cual se suprimen y reforman regulaciones,
procedimientos o trámites innecesarios, existentes en la
Administración Pública”, y se dispuso en su artículo 26
que las entidades de administración pública deberían
habilitar sistemas de transmisión electrónica de datos
para que los usuarios enviaran o recibieran información
requerida en su actuación frente a la administración y
que en ningún caso las entidades públicas podrían
limitar el uso de tecnologías para el archivo documental
por parte de los particulares, sin perjuicio de sus niveles
tecnológicos. Más tarde, se establecieron disposiciones
concernientes a la factura electrónica a través de la Ley
223 de 1995, el Decreto 1094 de 1996 y el Concepto de
la Dian No. 40333 de 2000.
19. La iniciativa legislativa colombiana surge pues, del
acercamiento con los organismos internacionales interesados
en el tema y de los debates e investigaciones realizados por
la comisión redactora de la ley colombiana, donde estuvieron
representados los organismos públicos y privados, los cuales
concluyeron que la ley modelo propuesta por la Comisión de
Naciones Unidas para el Derecho Mercantil Internacional
(CNUDMI) era el instrumento idóneo de base para adecuar el
derecho interno a las tendencias jurídicas mundiales.
20. Decreto 1747 de 2000: por el cual se reglamenta
parcialmente la Ley 527
Decreto 266 de 2000: por el cual se dictan normas para
suprimir y reformar las regulaciones , trámites y
procedimientos.
Este decreto se aplica a todos los organismos públicos
o bien privados que ejerzan por atribución legal
funciones públicas y adoptan una postura uniforme
frente al mensaje de datos y la firma digital.
21. Mensaje de datos:
“La información generada, enviada, recibida, almacenada o
comunicada por medios electrónicos, ópticos o similares, como
pudieran ser entre otros, el Intercambio Electrónico de Datos
(EDI), internet, el correo electrónico, el telegrama, el télex o el
telefax.”
El mensaje de datos como tal debe recibir el mismo tratamiento
de los documentos consignados en papel, es decir, debe dársele
la misma eficacia jurídica, por cuanto el mensaje de datos
comporta los mismos criterios de un documento.de datos:
Efectos jurídicos del mensaje
Los mensajes de datos tienen plena validez
jurídica, por ello es esencial determinar quién
ha sido el emisor del mensaje y esto solo se
puede probar con el uso de la firma digital.
22. b. Comercio electrónico:
“Abarca las cuestiones suscitadas por toda relación de índole
comercial, sea o no contractual, estructurada a partir de la
utilización de uno o más mensajes de datos o de cualquier otro
medio similar…”
23. “Se entenderá como un valor
numérico que se adhiere a un
mensaje de datos y que, utilizando
un procedimiento matemático
conocido, vinculado a la clave del
iniciador y al texto del mensaje
permite determinar que este valor
se ha obtenido exclusivamente con
la clave del iniciador que el mensaje
inicial no ha sido modificado
después de efectuada la
transformación
24. d. Entidad de certificación:
“Es aquella persona que, autorizada conforme a la presente ley, está
facultada para emitir certificados en relación con las firmas digitales
de las personas, ofrecer o facilitar los servicios de registro y
estampado cronológico de la transmisión y recepción de mensajes
de datos, así como cumplir otras funciones relativas a las
comunicaciones basadas en las firmas digitales
e. Intercambio Electrónico de Datos (EDI):
“La transmisión electrónica de datos de una computadora a otra, que
está estructurada bajo normas técnicas convenidas al efecto”
f. Sistema de Información:
“Se entenderá todo sistema utilizado para generar, enviar, recibir,
archivar o procesar de alguna otra forma mensajes de datos
25. IMPORTANTE: Para dar el efecto jurídico de la firma digital se requiere
el cumplimiento cabal de las normas antes mencionadas, de lo
contrario estaremos en presencia de una firma electrónica al
momento de valorarla probatoriamente, la cual puede, entre otros
casos ser tenida como un indicio, más no como una firma digital en
estricto sentido y por lo tanto no se podrá asemejar a una firma
manuscrita
26. El artículo 29 indica que las entidades de certificación pueden ser:
27. Artículo 29. Características y requerimientos de las entidades de certificación.
Podrán ser entidades de certificación, las personas jurídicas, tanto públicas como
privadas, de origen nacional o extranjero y las cámaras de comercio, que previa
solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que
cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en
las siguientes condiciones:
a) Contar con la capacidad económica y financiera suficiente para prestar los
servicios autorizados como entidad de certificación;
b) Contar con la capacidad y elementos técnicos necesarios para la generación de
firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la
conservación de mensajes de datos en los términos establecidos en esta ley;
c) Los representantes legales y administradores no podrán ser personas que hayan
sido condenadas a pena privativa de la libertad, excepto por delitos políticos o
culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta
grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará
vigente por el mismo
período que la ley penal o administrativa señale para el efecto.
28. Artículo 35: “Un certificado emitido por una entidad de
certificación autorizada, además de estar firmado
digitalmente por ésta, debe contener por lo menos lo
siguiente:
1. Nombre, dirección y domicilio del suscriptor.
2. Identificación del suscriptor nombrado en el certificado.
3. El nombre, la dirección y el lugar donde realiza
actividades la entidad de certificación.
4. La clave pública del usuario.
5. La metodología para verificar la firma digital del
suscriptor impuesta en el mensaje de datos.
6. El número de serie del certificado.
7. Fecha de emisión y expiración del certificado.
29. Con este decreto se complementó el sentido de concepto de firma digital y se dictaron algunas
definiciones sobre varios de los términos que están íntimamente ligados a esta:
INICIADOR: Persona que actuando por su cuenta, o en cuyo nombre se haya actuado, envíe o
genere un mensaje de datos.
SUSCRIPTOR: Persona a cuyo nombre se expide un certificado.
REPOSITORIO: Sistema de información utilizado para almacenar y recuperar certificados y otra
información relacionada con los mismos.
CLAVE PRIVADA: Valor o valores numéricos que, utilizados conjuntamente con un procedimiento
matemático conocido, sirven para generar la firma digital de un mensaje de datos.
CLAVE PÚBLICA: Valor o valores numéricos que son utilizados para verificar que una firma
digital fue generada con la clave privada del iniciador.
CERTIFICADO EN RELACIÓN CON LAS FIRMAS DIGITALES: Mensaje de datos firmado por la
entidad de certificación que identifica, tanto a la entidad de certificación que lo expide, como al
suscriptor y contiene la clave pública de éste.
ESTAMPADO CRONOLÓGICO: Mensaje de datos firmado por una entidad de certificación que
sirve para verificar que otro mensaje de datos no ha cambiado en un período que comienza en la
fecha y hora en que se presta el servicio y termina en la fecha en que la firma del mensaje de
datos generado por el prestador del servicio de estampado, pierde validez.
30. Artículo 11. – Incorporación de medios técnicos: copia de las leyes, de
los actos administrativos de carácter general o de documentos de
interés público, relativos a cada entidad, serán puestos a disposición del
público a través de medios electrónicos. Las reproducciones efectuadas
se reputarán auténticas para todos los efectos legales, siempre que no
se altere el contenido del acto o documento.
Artículo 26. - Medios tecnológicos: Se autoriza a la administración
pública el empleo de cualquier medio tecnológico o documento
electrónico que permita la realización de los principios de igualdad,
economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la
función administrativa, así como el establecimiento de condiciones y
requisitos de seguridad que para cada caso sean procedentes, sin
perjuicio de las competencias que en la materia tengan algunas
entidades especializadas.
31. Podemos definir la seguridad informática como cualquier medida que
impida la ejecución de operaciones no autorizadas sobre un sistema o red
informática, cuyos efectos puedan conllevar daños sobre la
información, comprometen su confidencialidad, autenticidad o
integridad, disminuir el rendimiento de los equipos o bloquear el acceso
de usuarios autorizados al sistema.
Todos los días se escucha, se lee, se comenta sobre los riegos que
representan esos seres extraños para nuestros sistemas de
información, para nuestra privacidad y para nuestra tranquilidad.
Asociamos los riesgos a factores externos, a personas que desde
afuera vulneran nuestra seguridad. Algunos llegan a sostener que si han
violado la seguridad de grandes organizaciones, incluso dedicadas a la
seguridad de países, ¿Qué podemos decir entonces de las nuestras?;
son muchas las personas que piensan que es preferible olvidarnos de
Internet y ganar tranquilidad en nuestros sistemas. Pero que son?, que
métodos utilizan? Que los motiva? Como protegernos,…..Algunos de
estos interrogantes se trataran de resolver a lo largo de esta
presentación.
32. Múltiples son las situaciones que se pueden presentar: hurtos de
identidad, ladrones de contraseñas, mercaderes de correos electrónicos,
etc. Hay que saber que todo lo que se hace en línea deja una pista.
Cuando se visitan los sitios Web estos monitorean los viajes, gustos y
preferencias, grabando esta información (incluso las contraseñas) en
archivos de texto llamados Cookies o galletitas y guardándolas en el
propio computador. Además los navegadores de Internet , guardan un
historial de los últimos sitios y archivos visitados y los almacena en
carpetas para hacer mas rápida las siguientes visitas al mismo lugar
Muchas de las actividades que se realizaban de forma cidiana en los
países desarrollados dependen en mayor o meno medida de sistemas y
redes informáticas.
El espectacular crecimiento de internet y de los servicios telemáticos
(comercio electrónico, servicio multimedia de banda ancha,
administración electrónica, herramientas de comunicación como el
correo electrónico o la video conferencia…) ha contribuido a popularizar
a un mas, si cabe, el uso de la información y de las redes de
ordenadores, hasta el punto de que en la actualidad no se circunscriben
al ámbito laboral y profesional, sino que incluso se han convertido en un
elemento cotidiano en muchos hogares, con un creciente impacto en las
propia actividades de comunicación y ocio de los ciudadanos.
33. Integrida
d
Confidencia Disponibilida
lidad d
.
Accesibi
lidad
34. Mediante este servicio o función de seguridad se
garantiza que cada mensaje transmitido o almacenado en un sistema
informático solo podrá ser leído por su legitimo destinatario. Si dicho
mensaje cae mensajes de terceras personas, estas no podrán acceder al
contenido del mensaje original. Por lo tanto, este servicio, pretende
garantizar la confidencialidad de los datos almacenados en un equipo, de
los datos guardados en dispositivos backup y/o de los datos transmitidos
a través de redes de comunicaciones.
la autenticación garantiza que la identidad del creador
de un mensaje o documento es legitima, es decir, gracias a esta función,
el destinatario de un mensaje podrá estar seguro que su creador es la
persona que figura como remitente de dicho mensaje.
esta función se encarga de garantizar que un mensaje o
fichero no ha sido modificado desde su creación o durante su
transmisión a través de una red informática. De este modo, es posible
detectar si se ha añadido o eliminado algún dato en un mensaje o
fichero almacenado, procesado o transmitido por un sistema o red
informática.
la disponibilidad del sistemas informático también es
una cuestión de especial importancia para garantizar el cumplimiento de
sus objetivos , ya que se debe diseñar un sistema lo suficientemente
robusto frente al ataque e interferencias como para garantizar su correcto
funcionamiento, de manera que pueda estar permanentemente a
disposición de lo usuarios que deseen hacer acceder a sus servicios.
35. Entre los principales objetivos de la seguridad informática podríamos destacar los
siguientes:
Minimizar y gestionar lo riesgos y detectar los posibles problemas y amenazas a la
seguridad.
Garantizar la adecuada utilización de los recursos y de las aplicaciones del sistema.
Limitar las perdidas y conseguir la adecuada recuperación en caso de un incidente de
seguridad.
Cumplir con el marco legal y con los requisitos impuestos por los clientes en sus
contratos.
Para cumplir con estos objetivos una organización debe contemplar cuatro planos de
actuación:
Técnico: tanto a nivel físico como a nivel lógico.
Legal: algunos países obligan por ley a que en determinados sectores se implanten
una serie de medidas de seguridad (Sector de servicios financieros y sector sanitario en
Estados Unidos, protección de datos personales en todos los estados de la Unión
Europea, etc.).
Humano: Sensibilización y formación de empleados y directivos, definición de
funciones y obligaciones del personal.
Organizativo: definicion e implantación de políticas de
36. Plano Técnico
Plano Humano -
- Sensibilización formación Selección, instalación, configuració
n y actualización de soluciones
-Funciones, obligaciones y HW y SW
responsabilidades del personal
- Criptografía
-Control y supervisión de los
empleados - Estandarización de productos
-Desarrollo seguro de aplicaciones
Organización
- Políticas, normas y
procedimientos
Legislación
- Planes de contingencia y
respuesta al incidente -Cumplimiento y adaptación a la
legislación vigente
-Relaciones con terceros
(clientes, proveedores…)
37.
38. TIPOS DE AMENAZAS EJEMPLOS
• Falsificar mensajes de correo electrónico
Suplantación • Reproducir paquetes de autenticación
Alteración • Alterar datos durante la transmisión
• Cambiar datos en archivos
Repudio • Eliminar un archivo esencial y denegar este hecho
• Adquirir un producto y negar posteriormente que se ha
adquirido
Divulgación de información • Exponer la información en mensajes de error
• Exponer el código de los sitios web
Denegación de servicio • Inundar una red con paquetes de sincronización
• Inundar una red con paquetes ICMP falsificados
Elevación de Privilegios • Explotar la saturación de un búfer para obtener privilegios en
el sistema
• Obtener privilegios de administrador de forma ilegítima
39. Podemos definir las amenazas Web como
programas maliciosos que se instalan en su
computador personal, sin la autorización ni
conocimiento del usuario. Estos programas
usan la Web para
dispersarse, ocultarse, actualizarse a sí
mismos y enviar la información privada robada
hacia los delincuentes.
40.
41.
42. La palabra hackers proviene etimológicamente del termino anglosajón
“Hack” ( que podría traducir por golpear con un hacha)
Son intrusos que se dedican a estas tareas como pasatiempos y como reto
técnico: entran en los sistema informáticos para demostrar y poner a
prueba la inteligencia y conocimiento de los entresijos de internet, pero no
pretenden provocar daños en estos sistemas.
Sin embargo, hay que tener en cuenta que pueden tener acceso a
información confidencial, por lo que su actividad esta siendo considerada
como un delito en bastantes países de nuestro entorno.
Por otra parte, la actividad de un hacker podrían provocar otros daños en el
sistema: dejar puertas traseras que podrían ser a aprovechadas por otros
usuarios maliciosos, dañar su funcionamiento. Además, la organización
debe dedicar tiempo y recursos para detectar y recuperar los sistemas que
ha sido comprometidos por un hacker.
43. Son individuos con interés en atacar un sistema informático para obtener
beneficios de forma ilegal o, simplemente, para provocar algún daño a
organización propietaria del sistema, motivado por intereses económicos,
políticos, religiosos, etc.
Los sniffers don individuos que se dedican a rastrear y tratar de recomponer y
descifrar los mensajes que circulan por redes de ordenadores como Internet.
Los phreakers son intrusos especializados en sabotear las redes telefónicas
para poder realizar llamadas telefónicas gratuitas. Estos desarrollan las
famosas cajas azules que podían emitir distintos tonos en las frecuencias
utilizadas por la operadoras para la señalización interna de sus redes, cuando
estas todavía eran análogas.
44. Los spammers son los responsables del envió de masivo de miles de mensajes de
correo electrónico no solicitados a través de redes como Internet, provocando el
colapso de los servidores y la sobrecarga de los buzones del correo de los
usuarios.
Los piratas informáticos son los individuos especializados en el pirateo de
programas y contenidos digitales, infringiendo la legislación sobre propiedad
intelectual.
45. Draper Thomas (nacido en 1943), también
conocido como Captain Crunch, es un
programador de computadoras estadounidense
y phreaker anterior. Él es una figura legendaria en
el mundo de la programación de computadoras
Biomédico graduado en metematica por la
Universidad Tecnológica de San
Petersburgo, Rusia. Abandonó la ciencia
para dedicarse al asalto de sistemas
informáticos de entidades financieras, lo
que le proporcionaría mayor rentabilidad
que sus estudios por si solos.
46. Establecer politicas de seguridad en las empresas, no solo a través de
cortafuegos (firewalls) en internet , también dentro de sus redes privadas.
Claves diferentes para los distintos sitios a que tenga acceso.
Consejo para claves o contraseñas: use combinaciones alfanuméricas,
mayúsculas y minúsculas, no use palabras, ni secuencias de letras o números
(ejemplo 123), no use fechas de nacimiento, números de sus tarjetas, que su
clave sea el mismo nombre de usuario y use por lo menos 8 caracteres.
Cambiar periódicamente su clave.
No permitir acceso simultaneo con el mismo login.
Bloqueo de cuenta luego de tres intentos fallidos al digital la clave.
Para su programa de correo o el acceso a otros sitios, generalmente es posible
permitir que Windows automáticamente recuerde la clave, sin que sea necesario
que usted digite, esto permite que cualquier usuario en su maquina entre con solo
tener su login. Evite esto.
Los passwords son claves de seguridad, por lo tanto deben ser solo de su
conocimiento.
No conectarse a internet directamente a través de la red local.
Emplear un sistema operativo de red lo mas seguro posible, aprovechando las
herramientas que provee.
47. Dar a conocer a los usuarios de la empresa los riesgos y mecanismos
que usan, para que por inocencia o desconocimiento no sirvan en bandeja
de plata la seguridad de la organización a otros. Hay que evitar hacer
atractiva la empresa para los intrépidos crackers u otro.
No entregar información personal, a menos que sea necesario.
Borrar los rastros y las galleticas ( lo puede hacer utilizando un editor
de texto), pero recuerde que esto hará mas lento su trasegar por
aquellos sitios.
Es necesario revisar con frecuencia el registro de ingreso ( logs).
48. Seguridad física: acceso físico, estructura del edificio, centro de datos
Seguridad de la red corporativa: configuración de los sistemas
operativos, acceso lógico y remoto, autenticación.
Seguridad de usuarios: composición de claves, seguridad en estaciones
de trabajo
Seguridad de datos: criptografía, clasificación, privilegios, copias de
seguridad y recuperación, antivirus, plan de contingencia
Auditoría de seguridad: análisis de riesgo, revisiones periódicas, visitas
técnicas, monitoreo y auditoría
49. El ISO 17799 es una norma del Sistema de Gestión de Seguridad
de la Información, reconocida internacionalmente. Suministra los
procedimientos a seguir por una organización para construir un
programa de gestión de seguridad de la información.
50. Los controles que se consideran esenciales para una organización
desde un punto legislativo comprenden:
La protección de los datos de carácter personal
La salvaguarda de los registros de la organización
Los derechos de la propiedad intelectual
51. Cubillos Velandia, Ramiro. Introducción jurídica al comercio electrónico.
Bogotá : Ediciones jurídicas Gustavo Ibáñez, 2002. 436 p.
Dussan Clavijo, Ciro Antonio. Políticas de seguridad informática En:
Entramado Vol. 2 No. 1 (enero, 2006); 86-92
www.google.com
http://www.ixp.net.co/contenido/normatividad/seguridad-informatica
http://html.rincondelvago.com/comercio-electronico-en-colombia.html
El Acto Administrativo Electrónico y las Nuevas Tecnologías de la
Información.
Enciclopedia de la seguridad informática / Álvaro Gómez Vieites. México :
Alfaomega, 2007.
Noos : revista del Departamento de Ciencias. Manizales : Universidad
Nacional de Colombia
Nueva época. Bogotá : Corporación Universidad Libre. Facultad de Derecho
Piratas cibernéticos : cyberwars, seguridad informática e internet / Jesús de
Marcelo Rodao. México : Alfaomega, 2002
Seguridad informática Técnicas criptográficas Pino Caballero Gil México
Alfaomega 1997