Portada del sitio > TRIBUNA LIBRE > LA SEGURIDAD DE LA INFORMACIÓN: PERSPECTIVA JURÍDICA E INFORMÁTICA
Grabar en formato PDF Imprimir este artículo Enviar este artículo a un amigo

LA SEGURIDAD DE LA INFORMACIÓN: PERSPECTIVA JURÍDICA E INFORMÁTICA

Valentín Justel Tejedor

España



LA SEGURIDAD DE LA INFORMACIÓN: PERSPECTIVA JURÍDICA E INFORMÁTICA





Introducidos plenamente en la denominada Sociedad de la Información, parece aceptado que la información se presenta como uno de los principales activos para cualquier Estado, organización, ciudadano, etc. La información en si misma tiene valor, y su posesión genera beneficios, sintéticamente económicos a quien la administra, pues le confiere ventajas competitivas de orden superior. La información en unos casos es el propio negocio, y en otros es un recurso, que permite incrementar la capacidad de acción del individuo, de la colectividad social, de las organizaciones, etc.





Si bien, la información por su importancia, como valor y activo estratégico -savia de las tecnologías de la comunicación-, debe ser protegida, desde y en todos los ámbitos.





De este modo, el legislador consciente de este hecho ha promulgado numerosas normas que exponen sus principios, regulan su recogida, tratamiento, cesión, suministro y aplicación, tutelando los derechos de los usuarios y demás actores implicados en los referidos procesos, y sancionando su incumplimiento. El objetivo final de este conjunto normativo es combatir la ciberdelincuencia; el garantizar a todo individuo el derecho a la libertad de opinión y de expresión, incluyendo el de no ser molestado a causa de sus opiniones, el de investigar y recibir informaciones y opiniones, y el de difundirlas, sin limitación de fronteras, por cualquier medio de expresión; el reconocimiento y respecto de los derechos fundamentales en la red informática; la ordenación de las actividades de intermediación relativas a la provisión de acceso a la red, a la transmisión de datos por redes de telecomunicaciones, etc; el uso eficiente del espectro radioeléctrico; la imposición de sanciones a quienes intenten acceder a la información protegida, vulneren el secreto de las comunicaciones; la regulación de las telecomunicaciones y las comunicaciones electrónicas; la regulación del dominio público radioeléctrico; la regulación del uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos; promover la educación de las nuevas tecnologías de la información a la sociedad civil.





Así, esta extensa normativa que impone obligaciones, establece deberes y confiere derechos, y en caso de incumplimiento sanciones, está formada por normas supranacionales, estatales, generales y especiales, primarias y secundarias, de derecho público y privado. En aras a una breve enumeración se referencian algunas de las más importantes, tales como la Declaración Universal de los Derechos Humanos (1948), el Pacto Internacional sobre Derechos Civiles y Políticos (1976) la Convención sobre la Eliminación de Todas las Formas de Discriminación contra la Mujer (1980); Directivas Comunitarias; La constitución Española de 1978; la Ley Orgánica de Protección de Datos (LOPD); La Ley de Servicios de la Sociedad de la Información (LSSICE); El Código Penal; La Ley General de Telecomunicaciones (LGT); Ley de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones; uso de las tecnologías de la información y la comunicación en la Administración de Justicia; Ley de acceso electrónico de los ciudadanos a los Servicios Públicos; Ley 59/2003, Ley de Firma Electrónica, ISO/IEC 27000; Ley Orgánica sobre protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen, así como un largo etcétera.
Ahora bien, toda esta prolija normativa tienen varios objetivos: garantizar la seguridad de la información, la intimidad y privacidad de los ciudadanos, en esencia su propia dignidad, así como la regulación de los diferentes actores e intervinientes en la denominada Sociedad de la Información.



Si bien, previamente a continuar con la exposición conviene aclarar cuáles son los conceptos de seguridad, de privacidad y de intimidad.





Así según Richard Bejtlich el concepto de seguridad es un "proceso consistente en mantener un nivel aceptable de riesgo percibido".





Mientras que la intimidad se define como la zona espiritual íntima y reservada de una persona o de un grupo, especialmente de una familia.





San Agustín ya lo definía como autoconciencia de la subjetividad.





La privacidad puede ser definida como el ámbito de la vida personal de un individuo que se desarrolla en un espacio reservado y debe mantenerse confidencial.





Alguno de estos tres conceptos es más antiguo que otro, así por ejemplo Sun Tzuen en El arte de la Guerra, y Nicolás Maquiavelo en El Príncipe, ya señalaban la importancia de la información sobre los adversarios y el cabal conocimiento de sus propósitos para la toma de decisiones, destacando la importancia de la seguridad de la Información.





El primer antecedente sobre el derecho a la intimidad aparece recogido en una sentencia del año 1348 en Inglaterra. El concepto de intimidad fue definido por el juez Thomas A. Cooley en 1873.





En su caso, la primera referencia que trata el tema de la privacidad es introducida por el profesor Alan F. Westin en su obra "Privacy and Freedom" en el año 1967.





Estas reseñas históricas, permiten conocer el origen de estos conceptos, y sentar las bases de lo que posteriormente, deviene extrapolable en la realidad contemporánea, es decir, en la denominada sociedad de la información, por ello se hace preciso definir otro concepto involucrado en este contexto.





En definitiva, está referida expresión no es otra que la Seguridad de la Información, que se puede definir como el conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.





En cualquier arquitectura de seguridad de la información, deben ser muy tenidos en cuenta los tres siguientes principios básicos:





Confidencialidad.



La norma ISO 27001 define la confidencialidad como: "el acceso a la información por parte únicamente de quienes estén autorizados". En el mismo sentido la norma ISO/IEC 13335-1:2004 la define como "la característica/propiedad por la que la información no está disponible o revelada a individuos, entidades, o procesos no autorizados".





Como consecuencia tanto la información transmitida entre un emisor y uno o más destinatarios, o el tratamiento de la misma por el propio usuario ha de ser preservada frente a terceros.


Así, para proteger la confidencialidad de la información se han definido los siguientes controles y medidas:



a. El desarrollo y la aplicación de las normas de funciones y obligaciones del personal en materia de seguridad de la información.



b. La adecuación de la información a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.



c. El desarrollo y la aplicación de los acuerdos de confidencialidad con terceros.



d. El desarrollo y la aplicación del control de acceso a la información realizado por identificadores únicos de usuarios.




e. El proceso de gestión de derechos de acceso mediante la utilización de roles y perfiles.



f. El desarrollo y la aplicación del control del registro de actividad de los usuarios implementado a través de herramientas de IDS/IPS.



g. El desarrollo y la aplicación del borrado seguro de la información a través de herramientas automatizadas y regladas de acuerdo con los estándares de seguridad



2. Confidencialidad en las comunicaciones a través del uso de:
a. Conexiones cifradas por medio del protocolo SSL



Disponibilidad



La norma ISO 27001, interpreta el principio de disponibilidad como: "acceso a la información y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran". En el mismo sentido la norma ISO/IEC 13335-1:2004 indica que la disponibilidad es "la característica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada".





Así, para proteger la confidencialidad de la información se han definido los siguientes controles y medidas:





1. Para poder disponer de la información frente amenazas externas provenientes de la utilización de medios de comunicación se han establecido las siguientes medidas:



a. Dispositivos de bloqueo/autorizador de comunicaciones (Firewall).
Dichos dispositivos previenen de ataques como pueden ser Denegación de Servicio.



b. Monitorización de la actividad del uso de la red que pudiera afectar a la disponibilidad de la información o los sistemas que la gestionan.



2. La tolerancia a fallos en la disponibilidad del servicio es proporcionada por la mediación de:
a. Centro alternativo de proceso de información donde se encuentran replicados los datos y los servidores para su utilización en los sistemas críticos.



b. Política de copia de seguridad de la información y su recuperación en caso de corrupción o desastre.



c. Utilización de sistemas de almacenamientos, que previenen error de pista en discos duros.



d. Redundancia de los elementos de comunicaciones y servidores web que ofrecen los servicios al usuario.



e. Contratos de acuerdo de nivel de servicio con proveedores de material informático.



f. Sistema de alimentación ininterrumpida (SAI) contra las posibles contingencias y caídas de suministro eléctrico, además de los sistemas contraincendios y mantenimiento climático de la infraestructura.



g. Mantenimiento y revisión de los equipos informáticos llevado a cabo por los técnicos encargados de los mismos.





Integridad



La norma ISO 27001, interpreta el principio de integridad como: "el mantenimiento de
la exactitud y completitud de la información y sus métodos de proceso". En el mismo
sentido la norma ISO/IEC 13335-1:2004 indica que la integridad es "la propiedad/característica de salvaguardarla exactitud y completitud de los activos".
La integridad vela porque no se realicen modificaciones no autorizadas de la información además de que sea consistente entre sí misma y respecto de la situación
real externa.



Así, para cumplir lo anteriormente descrito se han determinado los siguientes controles:



1. Control de modificaciones y solicitud de accesos a la información:
a. El desarrollo y la aplicación del control de acceso a la información realizado por identificadores únicos de usuarios.



b. Gestión de las autorizaciones a través de la gestión de incidencias.
c. Registro de actividad de los usuarios.



2. Seguridad de la identidad del usuario e integridad de la información tratada por el mismo mediante el empleo de certificados digitales y firma electrónica.





Si bien, la seguridad de la información debe extenderse a todos los ámbitos y soportes, la clara hegemonía de los dispositivos electrónicos, y sus formatos automatizados están ocasionando un descenso importante en la utilización del papel. La disminución de consumo medio de papel per cápita, ha pasado de los 176 kilos anuales por habitante en los años 90 a los actuales 116 kg anuales por habitante. De seguirse esta tendencia, su desaparición en la arquitectura de la información tendería a desaparecer a medio plazo, y ello es porque se derivan una serie de ventajas que dinamizan y abaratan los costes, tales como la supresión del propio soporte vegetal, la supresión de uso de tinta/tóner de impresoras/faxes, la eliminación de gastos de envío, la eliminación de espacio de almacenamiento físico (armarios, archivadores, almacenes,...), la existencia de un mayor control de las acciones erróneas, la mejora de la imagen empresarial adaptada a las nuevas tecnologías de la Información y las Comunicaciones, y especialmente motivos ecológicos y medio ambientales.





Lo reflejado en el párrafo precedente, junto con el vertiginoso y exponencial desarrollo de internet, que permite compartir, transmitir y divulgar contenidos, programas, y recursos con otros internautas y empresas de forma horizontal, sin ninguna jerarquía, ha generado la aparición de una emergente y próspera economía digital, que incluye los bienes y servicios en los que su desarrollo, producción, venta o aprovisionamiento dependen de forma crítica de las TIC.


En la economía digital las empresas dotan de valor añadido a sus servicios, tanto en el entorno virtual como en el mundo real, a través de la recogida, organización, selección, síntesis y distribución de la información. Se proporcionan a los clientes servicios impensables hace pocos años, generalmente estas star - up son empresas vinculadas a la innovación, desarrollo de tecnologías, diseño web, desarrollo web, e-commerce, Muchas empresas tecnológicamente avanzadas hace tiempo que dejaron atrás la web 1.0, ahora tienen otras estrategias para abordar el competitivo mercado virtual, mediante sitios webs 3.0, y superiores. Así la interactividad de los usuarios, la interoperatividad con las redes sociales, y el aprovechamiento de nuevas sinergias de comunicación permite a las empresas adoptar nuevas formas de competir.





En suma, la forma de hacer negocios, de interrelacionarse, y de interactuar se está desplazando inexorablemente desde el mundo real al entorno virtual.





Ello comporta que ese comercio electrónico, (B2B, B2C, etc) tenga en la mayoría de las ocasiones un componente transnacional, generándose por tanto conflictos sobre cual debe ser la jurisdicción competente, cual debe ser el derecho aplicable, cual es el régimen de fiscalidad de las transacciones, la responsabilidad contractual por productos defectuosos, etc. Si bien, al no existir una normativa de carácter universal y único, es necesario acudir a diversos foros, tanto nacionales como internacionales, para que sean éstos los que resuelvan los litigios planteados, en atención a determinados criterios vinculados con el caso concreto. La protección de los consumidores en el ámbito de la contratación electrónica, debe ser prioritaria y eficaz, pues en definitiva son la parte contratante más débil y vulnerable.





Igualmente, aunque en otro orden, el flujo de contenidos e interacciones entre derechos y libertades públicas, también puede plantear conflictos. Por ejemplo, entre el denominado derecho al olvido digital y la libertad de expresión. En palabras de José Luis José Luis Rodríguez Álvarez, director de la Agencia Española de Protección de Datos (AEPD) "Estamos en un momento crítico para la privacidad". Así, el derecho al olvido es un derecho relacionado con el Habeas Data y la protección de datos personales, y se puede definir como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera desactualizada, por el transcurso del tiempo, o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales. Este derecho lucha contra la perpetuidad de la información personal digital, y en esencia fundamenta su existencia tanto en el principio del consentimiento, esto es, el derecho a cancelar, acceder y oponerse a los tratamientos de datos personales cuando estos han sido divulgados o tratados sin el consentimiento de su titular, como en el principio de la finalidad en el sentido de que el derecho al olvido digital actuaría como un instrumento que persigue el efectivo cumplimiento del principio de finalidad, al exigir que los datos personales sólo puedan utilizarse para la finalidad concreta para la que fueron registrados, y una vez ya no son necesarios a tal efecto se produciría su cancelación.



Según manifiesta Samuel Parra, "los usuarios no son conscientes de la cantidad de información que vierten en la red y cómo las grandes compañías de información comercian con ella. Deberían entender que cuando una empresa les ofrece un servicio gratuito, ellos no son los usuarios de ese servicio, sino el producto".





Así, a tenor de este derecho al olvido, surgen otros de nuevo cuño, tales como el derecho de desindexación. Así, mediante este derecho se puede solicitar al sitio web que tiene indexada determinada información personal, por ejemplo obsoleta e imperecedera, que evite que los robots o arañas de los motores de búsqueda la rastreen y la hagan pública. Si bien según apuntan los expertos esta desindexación debería ser realizada por los propios buscadores. Ello no tiene dificultad alguna si el webmaster acepta la solicitud, pues consiste en la introducción de un disallow que configura el fichero para evitar que los robots rastreen algunas carpetas o directorios.





User-agent: *
Disallow:
Disallow: /_*/
Disallow: /ES/xxxxxxxx/yyyyyyyyyy/
Sitemap: http://www.zzzzzzzz.es/sitemap.xml





Ahora bien, no debemos olvidar, valga la redundancia, que el derecho al olvido es un derecho relativo, no absoluto, y que por tanto puede ceder en caso de conflicto en favor de otras finalidades a su vez también legítimas, como las informativas, culturales o históricas.





Para finalizar con este tema, exponer que el derecho al olvido es uno de los principales desafíos a los que el nuevo reglamento europeo deberá dar una respuesta efectiva, especialmente fijando sus límites. Desde estas líneas compartimos la afirmación que realizó el exdirector de la Agencia Española de Protección de datos Artemi Rallo, al expresar que, el derecho al olvido tiene un recorrido futuro extraordinario.





Así, comentábamos que ese flujo de bits compartido entre administraciones, empresas y ciudadanos, necesita un canal, un medio de transmisión a través del cual materializarse -Teoría de la Información-. Los ordenadores o nodos, necesitan estar conectados entre sí, ya sea a través de cables bifilares o coaxiales, fibra óptica, microondas, infrarrojos, satélites de comunicaciones, etc. para poder compartir información.





Es por ello, que la Seguridad de la información cada vez más, debe ser abordada desde una perspectiva más técnica, es decir, desde un punto de vista informático. Ello implica que el campo de actuación de las medidas y controles diseñados se actualice de forma constante, permanentemente, para adecuarse a una realidad de computación, de automatización, de procesos de tratamientos de la información digitalizados, completamente cibernéticos e informatizados.





De ahí que surja un concepto como es el de seguridad informática, disciplina que se encarga de la identificación de las vulnerabilidades de un sistema y del establecimiento de contramedidas, que eviten que las distintas amenazas posibles exploten estas vulnerabilidades. Ello nos obliga a adentrarnos en el ámbito informático.





No obstante, comenzaremos aludiendo a los principios fundamentales de la Seguridad Informática.





Seguridad en caso de fallo
Este principio afirma que en caso de que cualquier mecanismo de seguridad falle, nuestro sistema debe quedar en un estado seguro.





Participación universal
Cualquier mecanismo de seguridad que establezcamos puede ser vulnerable si existe la participación voluntaria de algún usuario autorizado para romperlo.





Simplicidad
La sencillez a veces resulta fundamental para detectar fallos en los sistemas, mientras que la complejidad permite esconder múltiples fallos.





Principio de menor privilegio
Cualquier objeto (usuario, administrador, programa, sistema, etc.) debe tener tan solo los privilegios de uso necesarios para desarrollar su tarea y ninguno más.





Principio del eslabón más débil En todo sistema de seguridad, el máximo grado de seguridad no es la suma de toda la cadena de medidas sino el grado de seguridad de su eslabón más débil.





Todos estos principios nos alertan de que es necesario implementar mecanismos de seguridad física y lógica en los sistemas de información.
La seguridad física está integrada por todos aquellos mecanismos de prevención y detección (IPS/IDP) destinados a proteger físicamente cualquier recurso del sistema.





La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación.





Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso específico, de las redes y terminales.





De este modo, para asegurar la seguridad lógica de un sistema de información, más concretamente se debe restringir el acceso a programas y archivos mediante claves y/o encriptación. Asignar las limitaciones correspondientes a cada usuario del sistema informático. Esto significa, no darle más privilegios extras a un usuario, sino sólo los que necesita para realizar su trabajo. Asegurarse que los archivos y programas que se emplean son los correctos y se usan adecuadamente. Por ejemplo, el uso defectuoso de una aplicación puede ocasionar agujeros en la seguridad de un sistema informático. Así mismo, se deben controlar los flujos de entrada/salida de la información (firewall). Esto incluye que una determinada información llegue solamente al destino que se espera que llegue, y que la información llegue tal cual se envió.


Así, desde el momento que enviamos, por ejemplo, un correo electrónico a otro destinatario, si no existen los controles adecuados, tanto el nodo del usuario como la información transmitida pueden sufrir un ataque, aprovechando la vulnerabilidad del sistema de información y de la red.





De este modo, el mail generado se transforma en distintos paquetes de datagramas, cada uno de los cuales tienen una estructura similar a la siguiente: cabecera (nombre_de_usuario@servidor_del_proveedor_de_correo_electrónico_del_usuario_de_emisor)(nombre_de_usuario@servidor_del_proveedor_de_correo_electronico_del_usuario_receptor), códigos de acceso y cuerpo o datos (bits).Todo esto ocurre en la capa superior o de aplicación del modelo de pila TCP/IP, donde se ejecuta el programa y protocolo SMTP. El Simple Mail Transfer Protocol (SMTP) (25) (Protocolo para la transferencia simple de correo electrónico), es un protocolo de red basado en texto, utilizado para el intercambio de mensajes de correo electrónico entre ordenadores u otros dispositivos. Estos paquetes comienzan su iter descendiendo por las capas inferiores de la referenciada pila de protocolos, en cada una de las cuales se le van añadiendo informaciones extra. No obstante, la capa de aplicación en la referida pila TCP/IP maneja aspectos de representación, codificación y control de diálogo, que en el modelo OSI basado en la tecnología de circuitos, está integrada por la capa de presentación donde se convierten e interpretan los datos procedentes del nivel de aplicación, la capa de sesión la cual, se encarga de mantener y controlar el enlace establecido entre dos anfitriones que están transmitiendo datos desde cualquier ubicación. Posteriormente, las tramas de datos pasan a la capa de transporte, encargada de efectuar el transporte de los datos (que se encuentran dentro de los paquetes) del host de origen al de destino, independientemente del tipo de red física que se esté utilizando. En esta capa es donde actúa el protocolo TCP, protocolo de comunicación orientado a la conexión fiable entre hosts. En la pila de protocolos TCP/IP, arquitectura real de conmutación de paquetes, TCP es la capa intermedia entre el protocolo de internet (IP) y la aplicación. Habitualmente, las aplicaciones necesitan que la comunicación sea fiable y, dado que la capa IP aporta un servicio de datagramas no fiable (sin confirmación), TCP añade las funciones necesarias para prestar un servicio que permita que la comunicación entre dos sistemas se efectúe libre de errores, sin pérdidas y con seguridad. Posteriormente, en el nivel de red se realiza el direccionamiento lógico y la determinación de la ruta de los datos a seguir hasta su receptor final. En esta capa es donde actúa el protocolo IP. Su función principal es el uso bidireccional en origen o destino de comunicación para transmitir datos mediante un protocolo no orientado a conexión que transfiere paquetes conmutados a través de distintas redes físicas previamente enlazadas. La siguiente capa de paso es la capa de enlace, la cual se ocupa del direccionamiento físico, de la topología de la red, del acceso al medio, de la detección de errores, de la distribución ordenada de tramas y del control del flujo.





Una vez decidido el enrutamiento a seguir mediante la correspondiente tabla de enrutamiento es cuando los paquetes de datos descienden a la capa de física. Es la capa que se encarga de las conexiones del ordenador hacia la red, tanto en lo que se refiere al medio físico como a la forma en la que se transmite la información. Está formada principalmente por el cableado por donde salen las tramas binarias de datos para dirigirse al servidor del proveedor de correo electrónico del usuario del host de origen. Una vez allí, éste proveedor lo encamina hacia el servidor de correo electrónico del usuario del host de destino, y lo deposita en su buzón para que el usuario de destino lo recoja. Así el usuario de destino recoge el mail, a través de su aceptación y los datagramas correspondientes al mismo corren desde el buzón del usuario a través de la capa física, donde mediante impulsos de corriente los datos ó bits, por ejemplo 5 voltios los unos, y 0 voltios los ceros, van ascendiendo por la pila en sentido inverso a como lo hacían al salir del nodo de origen. Cada capa por la que ascienden va eliminando marcos de datos, hasta llegar a la capa de aplicación donde ejerce sus funcionalidades el protocolo de Oficina de Correo POP3 (que en definitiva es el que se encarga de entregar los datos del correo electrónico solicitado), mostrándose en el interfaz del usuario receptor, y todo ello en escasos segundos.
De este modo, como acabamos de comprobar cualquier o paquete de datos, debe recorrer una intrincada trama formada por subredes, conmutadores, routers, repetidores, pasarelas, tunnelings, etc hasta llegar a su destino final.





Este recorrido en ocasiones no está exento de peligros, pues a modo de ejemplo se puede sufrir una interceptación o eavesdropping, proceso mediante el cual se monitoriza pasivamente una red para captar, o mejor escuchar información secretamente. Esta captación puede realizarse tanto en redes Ethernet como en inalámbricas, de este modo un dispositivo se dispone en modo promiscuo (analizando todo el tráfico que corre por la red), permitiendo detectar teclas pulsadas, contenidos de pantallas, passwords, e-mail, archivos, etc. El problema de este tipo de ataque contra la confidencialidad es que es pasivo, es decir, no se altera la comunicación, limitándose a la interceptación de paquetes y al análisis de tráfico.





La respuesta a esta violación de seguridad tiene una fácil solución, el cifrado de la información, mediante protocolos criptográficos SSL ó TLS, los cuales proporcionan comunicaciones seguras por Internet.
Así, tomando el referenciado ejemplo, se puede determinar que existen ataques activos y pasivos que atentan contra la seguridad de la información.
Un ataque no es más que la realización de una amenaza. En este sentido, señalar que la amenaza es una condición del entorno del sistema de información (host, usuario, o evento) que producida una oportunidad es capaz de producir una violación de la seguridad. Existen varias categorías ataques:





Interrupción (ataque contra la disponibilidad) un recurso del sistema es destruido, o se convierte en indisponible temporalmente, un claro ejemplo de este ataque sería la destrucción de un componente hardware, la memoria RAM, seccionar el cable de la línea de conexión a internet (sabotaje), o eliminar ficheros de la red.





Intercepción (ataque contra la confidencialidad) un usuario, programa o host no autorizado accede a un recurso del sistema de información. Algunos ejemplos de este ataque serían la copia ilícita de ficheros o programas (intercepción de datos), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad).





Modificación (ataque contra la integridad) un usuario, programa o host no autorizado no sólo consigue acceder a un recurso, sino que es capaz de manipularlo y transformarlo.



Fabricación (ataque contra la autenticidad) un usuario, programa o host no autorizado elabora perfiles, textos, o mensajes no correspondiendo su autoría a la persona suplantada.
Entre los ataqu


es activos destacaríamos aquellos que suponen tanto la alteración de las tramas de datos transmitidas, como la producción de un simulado movimiento de datos.



En este sentido resulta sorprendente comprobar, como disponiendo de las herramientas y los conocimientos adecuados, siempre que el objetivo (target) disponga de vulnerabilidades, puede hasta cierto punto ser sencillo, hackear un sitio web, mediante la utilización de técnicas de inyección de código SQL, ataques Cross site scripting (XSS) mediante la inyección de código JavaScript, cuya finalidad es la desfiguración de una web ("Deface"), la inserción de contenido inadecuado, el robo de sesiones, practicar ataques de suplantación ("Phising"), o tomar el control del navegador.





Así mismo, en ocasiones también puede perseguirse la obtención de determinadas contraseñas de usuarios de redes sociales, o de contraseñas de correos electrónicos mediante la manipulación de cabeceras. Igualmente, puede resultar también más o menos sencillo realizar hacking en dispositivos móviles, u ordenadores vulnerables, mediante la ejecución de código arbitrario o ataques de denegación de servicio (Dos), colapsando un sistema, sobrecargándolo de peticiones, de forma que sus usuarios legítimos no puedan acceder, o bien mediante un ataque DDOS, en el que se usan múltiples equipos "zombis" que lanzan el ataque simultáneamente. (Distribuido).





También decir que existe tecnología de securización o contramedidas, que por supuesto están al alcance de todos, para paliar estos y otros ataques, por ejemplo en ataques de inyección de código SQL, son medidas preventivas la validación de entrada, llevando a cabo la comprobación de la longitud, el tipo, la sintaxis, etc de todos los datos de entrada antes de ser mostrados o almacenados. Permitir los mínimos privilegios necesarios a las aplicaciones que conectan a las bases de datos. Evitar los mensajes de error detallados, la codificación de salida, mediante la codificación de los datos de forma apropiada. (ej, HTML Entities o MS Anti XSS library) de modo que no puedan llegar a mostrarse o almacenarse en forma ejecutable.





En general existe un amplio abanico de herramientas y aplicaciones al servicio del usuario para prevenir cualquier ataque malicioso, tales como los cortafuegos de software, la administración de cuentas de usuarios, los sistemas de detección y prevención de intrusos (IDS/IPS), los antivirus, los firewall y sus políticas de acceso y seguridad, el cifrado, la firma digital, la implementación de redes virtuales privadas (VPN/IPsec), las tecnologías de monitoreo, los intercambio electrónico de datos (EDI), las transferencias electrónicas de fondos (EFT), la deshabilitación de los servicios y cuentas no utilizados, la actualización de S.O. y aplicaciones (parche, el uso de contraseñas "seguras", un chequeo de integridad de aplicaciones y S.O., la realización de Back-ups periódicos, así como análisis periódico de logs, monitorización de las graficas y estadísticas, la auditoría con escáneres de vulnerabilidades, la limitación y control del uso de programación del lado del cliente (javascript), y técnicas de defensa a fondo y puntos de choque en redes, el mantenimiento de los sistemas operativos actualizados en sus últimas versiones.





Si bien, lo fundamental para prevenir cualquier incidente de seguridad, es anticiparnos a su existencia, siempre que ello sea posible.



Así los incidentes de seguridad podríamos clasificarlos en cinco grupos distintos:





Acceso no Autorizado: Esta categoría comprende todo tipo de ingreso y operación no autorizado a los sistemas, tanto exitosos como no exitosos. Entre los más frecuentes nos encontramos:





Accesos no autorizados exitosos, sin perjuicios visibles a componentes tecnológicos. Estos accesos suelen ser protagonizados por hacker "white hat", en el argot "buenos", su única finalidad es demostrar la existencia de un fallo de seguridad en el sistema de información. Si bien señalar, que este mero acceso no consentido, conocido como hacking directo realizado con el único ánimo de vulnerar el password sin intención delictiva adicional, no se encuentra penado en nuestro Código Penal. Ahora bien, si la conducta descrita anteriormente no es punible, si se castiga por el delito finalmente cometido (revelación de secretos, daños infomáticos o sabotaje).





Robo de información. En este caso manifestar que gran parte de la doctrina considera que no es posible el delito de robo ni de hurto de datos, porque no tienen naturaleza corpórea, tangible y no son susceptibles de aprehensión.





Borrado de información. Propio de crakers, los cuales muestran sus habilidades en informática rompiendo sistemas de seguridad de computadoras, colapsando servidores, entrando a zonas restringidas, infectando redes o apoderándose de ellas, entre otras muchas cosas utilizando sus destrezas en métodos hacking de "black hat".





Alteración de la información, en este supuesto podríamos estar hablando de la alteración, por ejemplo de las celdillas de las bases de datos de un servidor de páginas web con la finalidad de imposibilitar su tarea, o de la alteración de los nombres y calificaciones de los alumnos de una base de datos de una Universidad.





Intentos recurrentes y no recurrentes de acceso no autorizado, es decir, aquellos intentos reiterados por parte de usuarios, que no estando autorizados tratan de acceder al sistema.





Abuso y/o Mal uso de los servicios informáticos internos o externos que requieren autenticación.





Código Malicioso: Esta categoría comprende la introducción de códigos maliciosos en la infraestructura tecnológica de la Entidad. Son parte de esta categoría:





Virus informáticos, son un tipo de malware que tiene por objeto alterar el normal funcionamiento del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en un ordenador, aunque también existen otros más inofensivos, que solo se caracterizan por ser molestos, sin efecto destructivo.





Troyanos son una clase de software malicioso, el cual se presenta al usuario como un programa aparentemente legítimo e inofensivo, sin embargo al ejecutarlo ocasiona daños.





Gusanos informáticos son igualmente, un malware que tiene la capacidad de autoduplicarse. Los gusanos utilizan las partes automáticas de un sistema operativo que generalmente son invisibles al usuario.





Denegación del servicio: Esta categoría incluye los eventos que ocasionan pérdida de un servicio en particular. Los síntomas para detectar un incidente de esta categoría son:





Tiempos de respuesta muy bajos sin razones aparentes.



Servicio(s) interno(s) inaccesibles sin razones aparentes
Servicio(s) Externo(s) inaccesibles sin razones aparentes



Escaneos, pruebas o intentos de obtención de información de la red o de un servidor en particular: Esta categoría agrupa los eventos que buscan obtener información de la infraestructura tecnológica de la Entidad. Comprende:





Detección de Vulnerabilidades, según un amplio catálogo de vulnerabilidades, Cross Site Scripting, Inyección SQL, Inyección de comandos, Falsificación de frames, Desbordamiento de búfer, Listado directorios, Archivos/directorios backup, Archivos de configuración, Autenticación defectuosa, Fallos en lógica de negocio: no se valida un número de tarjeta o de cuenta, Modificación de precios, Modificación de cookies, Escalada de privilegios horizontal/vertical, SSL no requerido, Criptografía pobre, Info++ en mensajes de error.





Mal uso de los recursos tecnológicos: Esta categoría agrupa los eventos que atentan contra los recursos tecnológicos por el mal uso. Comprende:





Mal uso y/o Abuso de servicios informáticos internos o externos
Violación de las normas de acceso a Internet
Mal uso y/o Abuso del correo electrónico de la Entidad
Violación de las Políticas, Normas y Procedimientos de Seguridad Informática.





Así muchas de las conductas descritas son punibles, y ello gracias a que a pesar de que el derecho siempre parece avanzar por detrás de la sociedad, existen algunas conductas que se encuentran subsumidas en tipos legales preexistentes o adaptados a los nuevos tiempos.





En este sentido, debemos matizar que nuestro Código Penal actual, no recoge de modo homogéneo en un título específico los delitos informáticos, sino que éstos se encuentran diseminados por el texto normativo, sin orden cierto que los aglutine bajo un mismo denominador común, como el ser cometidos mediante el uso de aparatos, dispositivos o medios informáticos. Así de éste modo, podemos encontrar, entre otros:





Los delitos de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos. (Artículos del 197 al 201 del Código Penal).





Las falsedades, tales como la fabricación o tenencia de programas de ordenador para la comisión de delitos de falsedad. (Artículos 386 y ss. del Código Penal)



Los sabotajes informáticos, es decir, los delitos de daños cometidos mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos. (Artículo 263 y otros del Código Penal)



Los delitos de estafa cometidos a través de la manipulación de datos o programas para la obtención de un lucro ilícito. (Artículos 248 y ss. del Código Penal)



Las amenazas realizadas por cualquier medio de comunicación. (Artículos 169 y ss. del Código Penal)



Las calumnias y las injurias, cuando se difundan por cualquier medio de eficacia semejante a la imprenta o la radiodifusión. (Artículos 205 y ss. del Código Penal)





Las Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autor, especialmente la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas. (Artículos 270 y otros del Código Penal)



El uso ilegítimo de un terminal de telecomunicaciones.



Artículo 256 C.P: "El que hiciere uso de cualquier equipo terminal de telecomunicación, sin consentimiento de su titular, ocasionando a éste un perjuicio superior a cincuenta mil pesetas, (300,51 Euros)"



Existen otras conductas que quizá por su denominación, a priori, sean menos reconocibles, pero igualmente dañinas, tales como:



Ciberbullying: acoso mediante las nuevas tecnologías de la telefonía móvil y de Internet.



Grooming: conjunto de estrategias que una persona adulta desarrolla para ganarse la confianza del menor a través de Internet con el fin último de obtener concesiones de índole sexual.



Phishing: es el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario.





Sniffing: Se trata de dispositivos que permiten al atacante "escuchar" las diversas comunicaciones que se establecen entre ordenadores a través de una red (física o inalámbrica) sin necesidad de acceder física ni virtualmente a su ordenador.





Carding: consiste en la obtención de los números secretos de la tarjeta de crédito, a través de técnicas de phishing, para realizar compras a través Internet.





Pharming: Manipulación de la resolución de nombres de dominio producido por un código malicioso, normalmente en forma de troyano, que se nos ha introducido en el ordenador mientras realizábamos una descarga, y que permite que el usuario cuando introduce la dirección de una página web, se le conduzca en realidad a otra falsa, que simula ser la deseada. Con esta técnica se intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas. De manera que si el usuario accede a la web de su banco para realizar operaciones bancarias, en realidad accede a una web que simula ser la del banco, casi a la perfección, logrando los delincuentes, obtener los códigos secretos del usuario, pudiendo materializar el fraude con los mismos.


SMiShing es una variante del phishing, que utiliza los mensajes a teléfonos móviles, en lugar de los correos electrónicos, para realizar el ataque. El resto del procedimiento es igual al del phishing: el estafador suplanta la identidad de una entidad de confianza para solicitar al usuario que facilite sus datos, a través de otro SMS o accediendo a una página web falseada, idéntica a la de la entidad en cuestión.





Spoofing: Hace referencia al uso de técnicas de suplantación de identidad generalmente con usos maliciosos o de investigación.





Tipos:



IP Spoofing: suplantación de IP. Consiste básicamente en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar.





ARP Spoofing: suplantación de identidad por falsificación de tabla ARP. (ARP son las siglas en inglés de Address Resolution Protocol (Protocolo de resolución de direcciones).DNS Spoofing: Suplantación de identidad por nombre de dominio.





Web Spoofing: Suplantación de una página web realMail Spoofing:
Suplantación en correo electrónico de la dirección e-mail de otras personas o entidades.





Vishing: Fraude que persigue el mismo fin que el Phishing, la obtención de datos confidenciales de usuarios, pero a través de un medio distinto: la telefonía IP.





Los ataques de vishing se suelen producir siguiendo dos esquemas:



Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema relacionado con sus cuentas bancarias, con el fin de que éstos llamen al número de teléfono gratuito que se les facilita.





Utilización de un programa que realice llamadas automáticas a números de teléfono de una zona determinada.





En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje automático le solicita el número de cuenta, contraseña, código de seguridad, etc.





En definitiva, tanto el Derecho como la informática son necesarios para abordar la problemática que plantea la seguridad de la información. El primero tutelando los distintos derechos, deberes y garantías, así como imponiendo su coercibilidad y punibilidad para aquellas conductas y acciones que violen la norma legal establecida, y que sean típicas, antijurídicas, y reprochables. La segunda la informática, que hace ya tiempo abandono su carácter instrumental, proporcionando los mecanismos técnicos necesarios para securizar las arquitecturas de redes microinformáticas, el hardware y el software. La simbiosis tecnológico-jurídica de ambas ciencias, es decisiva para proporcionar soluciones necesarias desde ambas perspectivas, a los problemas que surgen en ambos campos, y que se encuentran indefectiblemente interrelacionados. Así, por un lado intervendría el derecho informático constituido por el conjunto de normas, aplicaciones, procesos, relaciones jurídicas que surgen como consecuencia de la aplicación y desarrollo de la informática. Mientras que por otro intervendría la informática jurídica como disciplina de las ciencias de la información que tiene por objeto la aplicación de la informática en el Derecho. Así, a pesar de que ambas ciencias disponen de principios distintos y de una estructura y enfoques muy diferentes, están obligadas a entenderse en pro de la seguridad de la información.

Este artículo tiene © del autor.

1378

Comentar este artículo

   © 2003- 2015 MUNDO CULTURAL HISPANO

 


Mundo Cultural Hispano es un medio plural, democrático y abierto. No comparte, forzosamente, las opiniones vertidas en los artículos publicados y/o reproducidos en este portal y no se hace responsable de las mismas ni de sus consecuencias.

Visitantes conectados: 10

Por motivos técnicos, reiniciamos el contador en 2011: 3354366 visitas desde el 16/01/2011, lo que representa una media de 630 / día | El día que registró el mayor número de visitas fue el 25/10/2011 con 5342 visitas.


SPIP | esqueleto | | Mapa del sitio | Seguir la vida del sitio RSS 2.0