lunes, 23 de noviembre de 2015

ASPECTOS ÉTICOS Y LEGALES DE SEGURIDAD INFORMÁTICA


ASPECTOS ÉTICOS Y LEGALES DE SEGURIDAD INFORMÁTICA


Para mi concepto la ética, leyes, reglas o reglamentos tiene relación directa con la formación del ser humano en sus valores humanos como son los principios de la  moral, religiosos, de comportamiento, de disciplina, de respeto, de educación en el comportamiento humano, entre otros;  de tal forma que para un ser humano que tiene valores humanos en su formación personal no va a sentir represión en los controles que tiene que imponer la sociedad y las empresas para cumplir con los preceptos de ética, moral y leyes o reglamentos. Por el contrario una persona sin valores humanos va a sentir un rigor en los controles que tiene que recibir para encajar en la sociedad que busca el bien común.

Según el estudio hecho por María Cabañas Balcázar en su documento Códigos de ética en Informática [1] , plantea la importancia que tiene la ética en las empresas no solo en un ambiente interno si no externo, en un mundo globalizado; la ética en las empresas trae los  beneficios de menos conflictos entre sus miembros y de mejor imagen corporativa; bajo los principios de: igualdad, respeto, libertad, diálogo y solidaridad.

La ética en la informática se dedica al estudio de los impactos positivos o negativos que tiene la sociedad con el uso de las tecnologías de la información. Un impacto positivo es el buen uso que se la da a la información a nivel empresarial y a nivel personal, por ejemplo un portal Web con productos, servicios y transferencias claras y transparentes con sus clientes. Por el contrario, un ejemplo de impacto negativo es el uso de bases de datos de terceros para sacar provecho propio o de otras personas; tratando de manera inadecuada esa información. Ahora bien las tecnologías de información han impactado a la sociedad debido a la disponibilidad de la información a nivel global, de tal forma que los principios de la ética juegan un papel muy importante en la manipulación de la misma.

Cabañas, resalta en su texto los cuatro conceptos básicos identificados por Mason (1986: 486-498): Intimidad, exactitud, propiedad intelectual y accesibilidad.

La intimidad tiene que ver con la confidencialidad;  todo informático deben tratar la confidencialidad de la información con el respeto de no compartirla  si esta es de carácter privado.

La exactitud; todo informático debe mantener la integridad de los datos y salvaguardar la información sin alteraciones que afecten la legitimidad de la misma, de igual forma se debe mantener la integridad y la autenticidad en la transmisión de la información.

Propiedad intelectual; esta indica a los informáticos el respeto por la propiedad intelectual de las personas. Hoy en día existen leyes y reglamentos gubernamentales a nivel mundial para el respeto y protección de los datos personales. En Colombia existe la Ley 1581 del 2012 y el decreto 1377 de 2013. Mediante esta ley se dictan disposiciones generales para la protección de datos personales y los controles establecidos por ley en sentencia de la Corte Constitucional C-749 de 2011.

Acceso; se refiere al derecho de todas las personas a tener acceso a la información con respeto y sin discriminación. Hoy en día el acceso a Interne facilita la formación y el desarrollo a nivel personal y de la sociedad.

Francisco Nicolas Javier Solarte Solarte,  en su texto “Módulo de aspectos éticos y morales de seguridad informática” [2]  describe las funciones de los códigos y normas éticas para el uso de las tecnologías de la información y la comunicación de la siguiente manera:
  • Indica que todo usuario de tecnologías de la información y comunicación debe usarla de manera ética, profesional y con apego a la ley.      
  • La ética no solo exige al profesional su responsabilidad sobre el uso o implantación de la tecnología de información, sino también las implicaciones sociales, económicas y culturales que esta puede tener.
  • Las normas y código de ética aunque en el desfase que puede tener la legislación y controles con respecto a la velocidad de la evolución tecnológica, apoya a la sociedad en los controles del uso de la información.
  • Las normas éticas crean conciencia y estimulan responsabilidades.
  • Las normas éticas tienen una función sociológica, dado que da identidad a los profesionales informáticos en su forma de pensar.
  • Las normas de ética permiten armonizar la legislación entre los países con criterios divergentes.

Esas normas agrupan a profesionales de tecnologías de la información, pero plantea inconvenientes en los cumplimientos de estas normas y códigos de ética.

En seguridad informática se debe cumplir los preceptos de tratados arriba de ética y legalidad, se debe garantizar para ello:
  • La integridad de los datos.
  •  La confidencialidad de la información
  •  La disponibilidad de la información
  • La autenticidad de la información
  • El no repudio.


LEY DE DELITOS INFORMÁTICOS EN COLOMBIA
La Ley 1273 de 2009 [3]

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado "de la protección de la información y de los datos"- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

EL CONGRESO DE COLOMBIA
DECRETA:

Artículo  1°. Adicionase el Código Penal con un Título VII BIS denominado "De la Protección de la información y de los datos", del siguiente tenor:

CAPITULO I

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos

-  Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

- Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

- Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

- Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

- Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

- Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
 Al respecto es importante aclarar que la Ley 1266 de 2008 definió el término dato personal como “cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica”. Dicho artículo obliga a las empresas un especial cuidado en el manejo de los datos personales de sus empleados, toda vez que la ley obliga a quien “sustraiga” e “intercepte” dichos datos a pedir autorización al titular de los mismos.

- Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:
1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.
2. Por servidor público en ejercicio de sus funciones.
3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.
4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.
5. Obteniendo provecho para sí o para un tercero.
6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.
7. Utilizando como instrumento a un tercero de buena fe.
8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.

CAPITULO. II

De los atentados informáticos y otras infracciones

Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.

Artículo  2°. Adiciónese al artículo 58 del Código Penal con un numeral 17, así:
Artículo 58. Circustancias de mayor punibilidad. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera:
(...)
17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos o telemáticos.
Artículo  3°. Adiciónese al artículo 37 del Código de Procedimiento Penal con un numeral 6, así:
Artículo 37. De los Jueces Municipales. Los jueces penales municipales conocen:
(...)
6. De los delitos contenidos en el título VII Bis.
Artículo  4°. La presente ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.


Enlace al vídeo de sobre esta presentación:

https://youtu.be/-hWZ-VH2ImE



REFERENCIAS BIBLIOGRÁFICAS


[1] Cabañas, María. (2004). Códigos de Ética en la Informática. Universidad de Castilla la Mancha. Escuela superior de Informática. Recuperado de:
http://66.165.175.235/campus18_20152/mod/lesson/view.php?id=1134

[2] Solarte, Francisco. (2013). Módulo Aspectos Éticos y Legales de Seguridad Informática. Universidad Nacional Abierta y a Distancia (UNAD). Escuela de Ciencias Básicas Tecnología e Ingenierías. Recuperado de:
http://datateca.unad.edu.co/contenidos/233005/Mo_dulo_Aspectos_Eticos_y_Legales_de_la_Seguridad_Informatica.pdf

[3] Alcaldía de Bogotá. Régimen legal de Bogotá. Recuperado de:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=34492

Publicado por en No hay comentarios:

martes, 10 de noviembre de 2015

Seguridad en Redes


SEGURIDAD EN LAS REDES WiFi



Fuente: http://images.telequismo.com/IMG/seguridad_wifi.jpg

Evolución de las Redes WiFi


Las redes WiFi han venido evolucionando desde la primera norma 802.11b creada en el año 2.000; esta norma utilizaba la banda de 2.4 Ghz y alcanzaba velocidades de 11Mbps, luego se creó la norma 802.11a que trabajaba en la banda de 5 Ghz, pero esta tuvo problemas porque en Estados Unidos era libre pero Europa estaba reservada para fines militares.
Luego sale la norma 802.11g mejorando la 802.11b; aunque trabaja en la misma banda de 2.4 Ghz, mejoraba la velocidad a 54 Mbps. 
Luego de que se liberara la banda de los 5 Ghz para los civiles en Europa, surgen nuevas normas mejorando las anteriores:
  • La norma 802.11n lanzada por la IEEE en el año 2009; la cual permite velocidades con una tasa máxima de transferencia de 150 Mbps y canales de 20 y 40 MHz y puede trabajar en las dos bandas de 2.4 Ghz y la de 5 Ghz.
  • La 802.11ac aprobada por la IEEE en el año 2014; es la última versión, mejorando la versión 802.11n, con tasas máximas de transferencias por radio de 433 Mbps y canales de 20, 40 ,80 y hasta 180 MHz, opera en la banda de 5 Ghz, en teoría puede alcanzar velocidades de 1.3 Gbits/s si se usan 3 antenas.

La distancia teórica de alcance de la red WiFi es de 100 metros, pero su alcance real depende del arreglo de antenas y de los niveles de recepción que una interfaz con antena puede detectar.

Ataques que pueden sufrir las redes inalámbricas
Las redes WiFi, pueden sufrir diferentes ataques si no se implementan los mecanismos de seguridad necesarios, desde contraseñas robustas hasta tipos de cifrados seguros y controles de accesos a los usuarios. Se pueden presentar los siguientes ataques entre otros:

  • Ataques de Denegación de Servicios DoS (Denial of Service); se consigue produciendo ruido de propagación que afecte al AP (Access Point).
  • Ataque de Interceptación de la comunicación; este ataque consiste en interceptar las comunicaciones que viaja por el aire y obtener dados si estos no están cifrados, afectando con ello la confidencialidad de la información. este tráfico es indetectable.
  • Ataque de Inyección de tráfico; consiste en inyectar tráfico y modificar su comportamiento. Afectando la integridad de las comunicaciones.
  • Acceso a la red no autorizado; se puede tener acceso no autorizado a la red afectando la integridad de las comunicaciones

Protección de las redes WiFi


En el siguiente mapa mental podemos resumir las diferentes medidas de seguridad que debemos tener para proteger una red WiFi; desde la comprensión de los diferentes ataques, las diferentes tecnologías de cifrado (WEP, WPA, WPA2 y WPA2 Enterprise), las medidas de protección que se debe hacer en los clientes y en las redes WiFi y se debe seguir las siguientes recomendaciones de protección:
  • No configurar redes WiFi con SSID oculto
  • Reducir los alcances de la señal para que no llegue a sitios que no deben tener accesos.
  • Cifrar con WPA2 y cifrado AES + PSK en la versión personal.
  • Cifrar con WPA2 y cifrado AES + versión enterprise EAP adecuado.
  • Las WiFi empresariales se debe hacer control de acceso a usuarios con Servidor Radius.
  • Se debe proteger la red con un Firewall que incluya detección de intrusos IDS.
En la siguiente figura se resume los mecanismos de proteción.

                      Mapa mental de técnicas de seguridad WiFi

Una de las recomendaciones importantes a considerar es sobre la ocultación del SSID (Service Set Identifier); es un error que muchos administradores de redes cometemos al pensar que ocultando el SSID se alcanza un nivel de seguridad de la red WiFi, esto puede ser una mala praxis, debido a que los atacantes o Hackers se podría valer de la lista de redes WiFi guardadas en nuestro historial de redes frecuentemente utilizadas en nuestro Sistema Operativo, incluso se puede tener las redes ocultas. Podríamos estar conectados a un AP falso de un atacante suplantando uno de esos SSID.


Las recomendaciones para la implantación de una red WiFi segura a nivel empresarial es utilizando el método de Cifrado WPA2 Enterprise para las conexiones a la red WiFi + Autenticación de usuario con los protocolos 80211x y EAP para validación de usuarios y contraseña registrados en una Base de Datos de un servidor Radius. Esto se consigue configurando un Portal Cautivo para la solicitud Web segura (https) de usuario y contraseña. Este proceso valida la autenticación de accesos de usuarios.


Adicionalmente debemos cifrar las conexiones Web con certificados de autenticidad SSL; generamos la llave de cifrado a 2048 bits y adquirimos de una firma certificadora el certificado SSL a 2048 bits para garantizar la confidencialidad de las conexiones Web cifradas de los usuarios. Sin embargo estas medidas de seguridad no son suficientes, es necesario aplicar recomendaciones de seguridad a los clientes.



Diferentes tecnologías de cifrado



Seguido describo las diferentes tecnologías en orden de menor a mayor nivel de protección de redes WiFi:

  • WEP; se usa contraseñas cortas, es una técnica de cifrado no segura, basada en algoritmos de cifrado RC4 y HTTPS, que presentaban fallas de seguridad y se podían vulnerar en menos de un minuto.
  • WPA2; (Wireless Protected Acces), en su variante personal PSK (Pre-Shared Key) se emplea con claves de más 20 caracteres. Tiene dos variantes de cifrado; el TKIP que fue una transición mejorada entre WPA utilizando RC4 y la llegada de WPA2 basado en el algoritmo AES. Este último es el más recomendado por estar basado en el algoritmo reciente de seguridad AES (Advanced Encryption Standard).
  • WPA2 ENTERPRISE; es el método de protección para redes empresariales con cifrado WPA2 y con Servidor Radius (Remote Authentication Dial in User Service), utilizando los protocolos 802.11X y los protocolos EAP (Extensible Authentication Protocol). Este tecnología permite cifrado y autentificación de usuario.


 CONCEPTO DE HACKER Y CRACKER


QUÉ ES UN HACKER?


En mi concepto un hacker es una persona con suficientes conocimiento y experiencia en Informática y seguridad informática y de redes que puede hacer uso de sus habilidades en tecnología para detectar fallos o bugs, vulnerabilidades de un sistema de información o redes, descifrar contraseñas o penetrar sistemas de seguridad; muchas veces motivado por demostrar la vulnerabilidades de un sistema o por demostrar un grado de experiencia a nivel personal. El hacker debe considerarse como una persona experta en seguridad informática y redes que no tiene intenciones de hacer daño a terceros o hacer robos de contraseña o información para usufructúo propio; al practicar el hacking en estos términos lo podemos considerar como Hacking ético, que es la técnica empleada para hacer auditoría informática con fines de mejoramiento de la seguridad de un sistema de información o redes. El hacking ético se vale de técnicas de Pentesting para encontrar vulnerabilidades de un Sistema de información o redes.


QUÉ ES UN CRACKER?

Cracker es un hacker con intenciones de hacer daño a terceros; no le basta con romper los sistemas y penetrar a ellos, sino en que roba información, contraseñas y puede colapsar sistemas de información completos o redes; para sacar provecho propio o negociar información de terceros. 

El Cracker se vale de ingeniería inversa para modificar comportamientos del software o hardware, se vale de la ingeniería social para cumplir su ataque, y tomar el control de un sistema, borrar datos, obtener información, etc.

INGENIERÍA SOCIAL

“La Ingeniería Social” es la técnica que se utiliza para engañar a las personas y obtener información; el atacante se vale de vulnerabilidades humanas como desconocimiento de seguridad, estado de cansancio de las personas para lograr entrar a sitios restringidos o para obtener información de manera personal o a través de una llamada telefónica o un correo electrónico. Casi siempre la ingeniería social se hace suplantando a alguna persona que es autoridad o una entidad de seguridad o asesoría o soporte tecnológico.



Con la ingeniería social se busca obtener información necesaria para luego poder penetrar sistemas de seguridad o de información y poder conseguir el ataque informático a un sistema de información o redes.



LEY DIGITAL ACTUAL O INFORMÁTICA JURÍDICA CON RESPECTO A DELITOS INFORMÁTICOS EN COLOMBIA



Ley 1273 del 5 de enero de 2009. El Congreso de Colombia decreta [4]: 

Artículo 1°. Adiciónese el Código Penal con Título VII BIS denominado “De la Protección de la información y de los datos”, del siguiente tenor: 



CAPITULO PRIMERO



De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. 



Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. 



Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. 

Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. 

Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. 

Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. 

Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. 

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave. 

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave. 

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

[4] Ley No. 1273 de Enero 5 de 2009. “Ley de la protección de la información y de       los datos”. Congreso de Colombia. Consultado: [Octubre 18 de 2015]. Recuperado de:
       http://www.mintic.gov.co/portal/604/articles-3705_documento.pdf




ENLACES DE INTERES

Los siguientes tres enlaces nos ofrecen herramientas, información, foros, wikis en seguridad informática y técnicas de hacking ético y seguridad. A continuación cito las tres que he visitado y he tenido respuesta a muchas de mis preguntas y problemas:


http://www.elladodelmal.com/: “Un Informático en el lado del mal” es una página web o blog donde se puede encontrar tutoriales de hacking, seguridad informática, Pentesting, documentación y herramientas de seguridad. En esta página Web encontramos actualidad y el seguimiento de los eventos de Chema Alonso, quien es un hacker ético y Pentesting de seguridad. Chema Alonso ha realizado consultorías asesoría, Pentesting de Microsoft y ofrece auditoría y Pentesting, ha realizado grandes aportes de Pentesting con Foca; herramienta de Pentesting con fase de análisis de metadatos, descubrimiento de red, técnicas de fingerprinting y búsqueda de vulnerabilidades. En este portal encontramos conceptos y comentarios sobre definiciones de Hacker y Cracker, que hechos de primera mano de la comunidad experta nos reflejan la realidad de los conceptos.


http://www.portalhacker.net/hacker/hacking.php : El portalhacker.net encontramos todo lo concerniente al mundo hacker, herramientas, conceptos de hacker y cracker, libros sobre hacker, bug, troyanos, keyloggers, sniffers, parches, actualizaciones, Rootkists, Scanners, seguridad, entre otros artículos y herramientas de seguridad. En esta página se dan técnicas y prácticas de hacking y seguridad.



ttp://www.elhacker.net/ : Elhacker.net es un portal que ofrece servicios de seguridad y hacking, encontramos enlaces de descargas de herramientas, Linux y manuales. Encontramos también las novedades concernientes a tecnología, software y herramientas de seguridad informática, las últimas noticias de tecnología y seguridad informática. Es un portal rico en enlaces a foros, wikis, laboratorios espacialmente de seguridad informática.

 http://www.segu-info.com.ar/: Página argentina de Cristian Borghello que contiene todo sobre Seguridad Informática, cursos, noticias, foros de seguridad e información de estándares de seguridad.

 http://www.dragonjar.org : Página web de la comunidad Dragonjar; contiene cursos, tutoriales, información y laboratorios de seguridad informática.




Publicado por en No hay comentarios:
Etiquetas:
Ubicación: Montería, Montería, Córdoba, Colombia
Suscribirse a: Entradas (Atom)