utilizamos para cortar árboles y hacer casas con su madera. Has de aprender a descubrir lo mucho bueno que hay en lo malo y lo malísimo que puede resultar lo bueno." - Don Cesar de Echague by Jose Marllorquí ¡Yo también tengo internet!
Protege a la información contenida en medios físicos, electrónicos y sistema informáticos, contra accesos y usos no autorizados, con la finalidad de conservar su confidencialidad, integridad y disponibilidad. • Brinda seguridad y confidencialidad a la información que sea: sensible, reservada, privada, secreto industrial, secreto bancario, secreto profesional, secreto técnico, secreto comercial, secreto de fabricación, dato personal, entre otros. @JoelGomezMX @LexInformatica •Derecho de la Seguridad de la Información
guardar estrictamente el secreto de los asuntos que se le confíen por sus clientes, salvo los informes que obligatoriamente establezcan las leyes respectivas. @JoelGomezMX @LexInformatica Ley Reglamentaria del Artículo 5° Constitucional, relativo al Ejercicio de las Profesiones en el D.F.
motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado. • Artículo 86.- La persona física o moral que contrate a un trabajador que esté laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de ésta, será responsable del pago de daños y perjuicios que le ocasione a dicha persona. @JoelGomezMX @LexInformatica Ley de la Propiedad Industrial
transacciones electrónicas se cumplirá con lo siguiente: • I. El proveedor utilizará la información proporcionada por el consumidor en forma confidencial, por lo que no podrá difundirla o transmitirla a otros proveedores ajenos a la transacción, salvo autorización expresa del propio consumidor o por requerimiento de autoridad competente; • II. El proveedor utilizará alguno de los elementos técnicos disponibles para brindar seguridad y confidencialidad a la información proporcionada por el consumidor e informará a éste, previamente a la celebración de la transacción, de las características generales de dichos elementos; @JoelGomezMX @LexInformatica Ley Federal de Protección al Consumidor
cabo tratamiento de datos personales deberá establecer y mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no autorizado. • Artículo 21.- El responsable o terceros que intervengan en cualquier fase del tratamiento de datos personales deberán guardar confidencialidad respecto de éstos, obligación que subsistirá aun después de finalizar sus relaciones con el titular o, en su caso, con el responsable. • Artículos 63 y 64.- La multa por incumplir el deber de confidencialidad respecto de cualquier fase del tratamiento de datos personales puede ser de hasta $19,142,400 pesos. @JoelGomezMX @LexInformatica Ley Federal de Protección de Datos Personales en Posesión de Particulares
• V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestión, soporte y revisión de la seguridad de la información a nivel organizacional, la identificación y clasificación de la información, así como la concienciación, formación y capacitación del personal, en materia de protección de datos personales; @JoelGomezMX @LexInformatica Reglamento de la LFPDPPP
acciones y mecanismos, ya sea que empleen o no la tecnología, destinados para: • a) Prevenir el acceso no autorizado, el daño o interferencia a las instalaciones físicas, áreas críticas de la organización, equipo e información; • b) Proteger los equipos móviles, portátiles o de fácil remoción, situados dentro o fuera de las instalaciones; • c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y • d) Garantizar la eliminación de datos de forma segura; @JoelGomezMX @LexInformatica Reglamento de la LFPDPPP
actividades, controles o mecanismos con resultado medible, que se valen de la tecnología para asegurar que: • a) El acceso a las bases de datos lógicas o a la información en formato lógico sea por usuarios identificados y autorizados; • b) El acceso referido en el inciso anterior sea únicamente para que el usuario lleve a cabo las actividades que requiere con motivo de sus funciones; • c) Se incluyan acciones para la adquisición¸ operación, desarrollo y mantenimiento de sistemas seguros, y • d) Se lleve a cabo la gestión de comunicaciones y operaciones de los recursos informáticos que se utilicen en el tratamiento de datos personales; @JoelGomezMX @LexInformatica Reglamento de la LFPDPPP
las Medidas de Seguridad en el Tratamiento de Datos Personales: • Alcance • Atenuación de sanciones • Funciones de seguridad • Factores para determinar las medidas de seguridad • Acciones para la seguridad de los datos personales • Actualizaciones de las medidas de seguridad • Vulneraciones de seguridad • Notificación de vulneraciones de seguridad • Información mínima al titular en caso de vulneraciones de seguridad • Medidas correctivas en caso de vulneraciones de seguridad @JoelGomezMX @LexInformatica
la relación de trabajo, sin responsabilidad para el patrón: • IX. Revelar el trabajador los secretos de fabricación o dar a conocer asuntos de carácter reservado, con perjuicio de la empresa; • Artículo 134.- Son obligaciones de los trabajadores: • XIII. Guardar escrupulosamente los secretos técnicos, comerciales y de fabricación de los productos a cuya elaboración concurran directa o indirectamente, o de los cuales tengan conocimiento por razón del trabajo que desempeñen, así como de los asuntos administrativos reservados, cuya divulgación pueda causar perjuicios a la empresa. @JoelGomezMX @LexInformatica Ley Federal del Trabajo
y mantendrá actualizado, un Registro de Usuarios que no deseen que su información sea utilizada para fines mercadotécnicos o publicitarios. • Queda prohibido a las Instituciones Financieras utilizar información relativa a la base de datos de sus clientes con fines mercadotécnicos o publicitarios, así como enviar publicidad a los clientes que expresamente les hubieren manifestado su voluntad de no recibirla o que estén inscritos en el registro a que se refiere el párrafo anterior. Las Instituciones Financieras que sean objeto de publicidad son corresponsables del manejo de la información de sus Clientes cuando dicha publicidad la envíen a través de terceros. • Los usuarios se podrán inscribir gratuitamente en el Registro Público de Usuarios, a través de los medios que establezca la Comisión Nacional, la cual será consultada por las Instituciones Financieras. @JoelGomezMX @LexInformatica Ley de Protección y Defensa al Usuario de Servicios Financieros
a las operaciones y servicios a que se refiere el artículo 46 de la presente Ley, tendrá carácter confidencial, por lo que las instituciones de crédito, en protección del derecho a la privacidad de sus clientes y usuarios que en este artículo se establece, en ningún caso podrán dar noticias o información de los depósitos, operaciones o servicios, incluyendo los previstos en la fracción XV del citado artículo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operación o servicio. @JoelGomezMX @LexInformatica Ley de Instituciones de Crédito
crédito podrán pactar con terceros, incluyendo a otras instituciones de crédito o entidades financieras, la prestación de servicios necesarios para su operación […]. • Lo dispuesto en el artículo 117 de esta Ley le será también aplicable a los terceros a que se refiere el presente artículo, así como los representantes, directivos y empleados de dichos terceros, aún cuando dejen de laborar o prestar sus servicios a tales terceros. @JoelGomezMX @LexInformatica Ley de Instituciones de Crédito
de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algún secreto o comunicación reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto. • Artículo 211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público o cuando el secreto revelado o publicado sea de carácter industrial. @JoelGomezMX @LexInformatica
quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa. @JoelGomezMX @LexInformatica
• Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de la Administración Pública Federal • Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones • Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental. @JoelGomezMX @LexInformatica
informáticos (DI) son aquellas actividades ilícitas que: • Se cometen mediante el uso de computadoras, sistemas informáticos u otros dispositivos de comunicación (la informática es el medio o instrumento para realizar un delito); o • Tienen por objeto causar daños, provocar pérdidas o impedir el uso de sistemas informáticos (delitos per se). @JoelGomezMX @LexInformatica
típica, antijurídica, culpable y punible, en que se tiene a las computadoras como instrumento o fin. • Ataque informático es la conducta indebida que también causa daños informáticos pero no esta contemplada en la legislación como delito. LEX @JoelGomezMX @LexInformatica
por diseño y con víctimas en todo el mundo. • Continuamente aparecerán aspectos o conflictos de jurisdicción en múltiples países. • Los ciberdelincuentes explotan las debilidades existentes en las leyes y prácticas de ejecución de los países, exponiendo a todos los demás países que van más allá de su capacidad de responder unilateral o bilateralmente. • La velocidad y complejidad técnica de las actividades cibernéticas requiere de procedimientos pre-acordados entre la comunidad internacional para lograr la cooperación en investigaciones y para responder a ataques y amenazas. @JoelGomezMX @LexInformatica
• Mercenarios y traficantes de información • Terroristas y Grupos Extremistas • Personas físicas al azar y eventualmente empresas • Empresas, grandes corporativos y personas físicas a nivel masivo • Gobierno y eventualmente grandes empresas @JoelGomezMX @LexInformatica
Individuo que penetra un sistema informático sólo por gusto o para probar sus habilidades. Usualmente no tiene fines delictivos graves este tipo de intrusión. • Cracking / Cracker • Persona que penetra un sistema informático con el fin de robar o destruir información valiosa, realizar transacciones ilícitas, o impedir el buen funcionamiento de redes informáticas o computadoras. @JoelGomezMX @LexInformatica
Penetrar sitios web para modificar su contenido, desplegando imágenes obscenas, amenazas, mensajes ridiculizantes, burlas, etc. • Phreaking / Phreaks • Penetrar ilícitamente sistemas telefónicos o de telecomunicaciones con el fin de obtener beneficios o causar perjuicios a terceros. @JoelGomezMX @LexInformatica
personas amantes de la piratería de software. Su meta es violar códigos de seguridad (cracking) o generar, obtener o compartir números de registro (regging) de programas de computo, para luego subirlos a Internet y compartirlos con el mundo. • Usualmente son delitos o ilícitos contra la Propiedad Intelectual o Derechos de Autor. @JoelGomezMX @LexInformatica
Grupos de hackers o extremistas se reúnen para cometer o planear delitos, o para expresar ideas racistas, discriminatorias o xenofóbicas. • Hacking for Girlies • Legion of the Underground (LoU) • Masters of Destruction/Deception (MoD) • Cult of the Dead Cows @JoelGomezMX @LexInformatica Algunos de estos grupos eventualmente “se convierten” en “consultores de seguridad informática”.
identidad • Aprovechamiento de datos personales para hacerse pasar por otra persona, con el objeto de obtener beneficios económicos o cometer delitos. • CiberAcoso • Acosar, hostigar, molestar, intimidar o amenazar personas o entidades usando medios informáticos. • Falsificaciones y fraudes electrónicos • Virus, gusanos y códigos malignos @JoelGomezMX @LexInformatica
Delitos Informáticos vs. Derechos de Autor • Warez (Piratería) • Publicación de Serial Numbers • Vulneración de sistemas de seguridad de software • File sharing – P2P (litigio por redes peer to peer) • Ilícitos o infracciones vs. Marcas Registradas • Disputas sobre nombres de dominio (UDRP/LDRP) • Venta de palabras clave (google) • Framing • Meta-tagging • Web defacement • Phishing, clonación de sitios web @JoelGomezMX @LexInformatica
Confidencialidad Industrial • Contra las empresas, instituciones y gobierno • Virus • Spyware / Malware • Sniffing / packet sniffers • Keyloggers • Hacking / Cracking • Ingeniería Social • Robo informático de información confidencial o secretos industriales • Contra las personas • Robo de identidad • Phishing • Carding y clonación • CiberAcoso • “Spamming” • Difamación y calumnia en redes sociales y cadenas de correos electrónicos • Pornografía infantil • Corrupción de menores @JoelGomezMX @LexInformatica
o “fraude 419” • El fraude del “pariente” te invita a reclamar una herencia de millones de dólares en un Banco Nigeriano que pertenece a un pariente lejano. • El boleto ganador de la lotería europea que nunca compraste. • Lavado de dinero de una fortuna billonaria que sólo puede ser sacada de Nigeria a través de un depósito a una cuenta en el extranjero. Johannesburgo República de Sudáfrica
FAX: 27-83-506 97 68 No 45 SMITH AVENUE PARKTOWN JOHANNESBURG SOUTH AFRICA. Attn: Joel Alejandro Gómez Treviño URGENT BUSINESS RELATIONSHIP I am MR.ANDREW ODAME, Director, project implementation with Eskom South Africa and a member of the Contract Tenders Board (CTB) of the above corporation. Your esteemed address was reliably introduced to me at the South Africa Chamber of Commerce and Industry in my search for a reliable individual company who can handle a strictly confidential transaction, which involves the transfer of a reasonable sum of money to a foreign account. This amount of money is total sum of US$13,500,000.00 (Thirteen Million, Five Hundred Thousand United States Dollars), already extracted from various contracts awarded by my corporation. As a result of over-invoicing masterminded by the concerned officials, has been drafted to represent final payment for a contract that has been executed to the corporation some years back. The money is now floating in the suspense account of Federal Reserve Bank of South Africa awaiting claim by Foreign Partner which status we now want you to assume.
<[email protected]> To: [email protected] Date: Fri, 28 Jun 2002 16:58:13 -0700 Subject: INVESTMENT CONSULTANT NEEDED Dear friend, I am Mrs. Sese-seko widow of late President Mobutu Sese-seko of Zaire, now known as Democratic Republic of Congo (DRC). I am moved to write you this letter. This was in confidence considering my present circumstance and situation. I escaped along with my husband and two of our sons ivvone and Basher out of Democratic Republic of Congo (DRC) to Abidjan, Cote d'ivoire where my family and I settled, while we later moved to settled in Morroco where my husband later died of cancer disease. However, due to this situation we decided to change most of my husband's billions of dollars deposited in Swiss bank and other countries into other forms of money coded for safe purpose because the new head of state of (Dr) Mr Laurent Kabila has made arrangement with the Swiss government and other European countries to freeze all my late husband's treasures deposited in some european countries. Hence, my children and I decided laying low in Ivvoneto study the situation till when things gets better. Like now that president Kabila is dead and the son taking over (Joseph Kabila). One of my late husband's chateaux in Southern France was confiscated by the french government, and as such I had to change my identity so that my investment will not be traced and confiscated. I have deposited the sum Eighteen Million United State Dollars (US$18,000,000,00.) With a security company for safe keeping. What I want you to do is to indicate your interest that you can assist us in receiving the money on our behalf, so that I can introduce you to my son (ivvone) who has the out modalities for the claim of the said funds. I want you to assist in investing this money, but I will not want my identity revealed. I will also want to acquire real/landed properties and stock in multi-national companies and to engage in other safe and non-speculative investments as advise by your good self.
[email protected] Subject: Seeking Your Partnership Date: Mon, 21 Jan 2002 08:33:55 +0100 Dear Partner to be, Hope this mail will not constitute an embarrassment to you. I came across your name while searching for a good company. My Name is Mr. Kenneth Usman the Project Director at the Federal Ministry of Science and Technology (FMST) of Federal Republic of Nigeria. Recently, a large sum of money was recovered by the present democratic government from the estate of the former military dictator, General Sanni Abacha who died in 1998. This money was stashed in various accounts abroad, especially in Luxemburg, Switzerland. After recovering this money, it was discovered that the money had already accrued interest payments to the tune of over US$49.5 Million. Now, this money is not part of the money recovered. And no one knows about it, but me and a few trusted aides. I intend to transfer this money abroad, to be invested or held by you on trust. This transaction is risk free and can be completed within ten working days.
objeto que el propio consumidor o internauta proporcione datos personales de manera voluntaria al delincuente cibernético. •Los ciberdelitos más recientes!
• El delincuente envía un email a miles de usarios, mediante listas proporcionadas por spammers. • Un internauta recibe el correo, aparentemente de una tienda o institución bancaria reconocida. • Se solicita al usuario que rectifique o actualice sus datos personales para poder seguir operando con la institución, haciendo clic a una liga que lo dirige a una página de internet.
• Una vez haciendo clic en la liga, el usuario es dirigido a una página web aparentemente oficial de la institución que envió el correo. • La página luce como la original, con logotipo, colores y hasta firma de un supuesto equipo Anti-Fraudes de la institución. • El defraudador recibe la información personal y tarjeta de crédito del usuario cuando éste “actualiza” su información en la página falsa.
hace obligatoria la seguridad para quienes tengan redes inalámbricas. El año pasado un estudiante de 20 años de Michigan robó tarjetas de crédito de una tienda al tener acceso a su red inalámbrica.
se entiende normalmente la utilización ¿“no-violenta”? de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines políticos. • Estas herramientas incluyen desfiguraciones de webs, redirecciones, ataques de denegación de servicio, robo de información, parodias, sustituciones virtuales, sabotajes virtuales y desarrollo de software. @JoelGomezMX @LexInformatica •¿Qué es Hacktivismo?
entre el hackeo y el activismo; incluye procedimientos que usan técnicas de hackeo contra un sitio web con la intención de interrumpir las operaciones normales sin causar daños serios. Ejemplos son: protestas web y bloqueos virtuales, bombas automatizadas de correo electrónico, intrusiones a computadoras, y virus/gusanos informáticos. Dra. Dorothy Denning Profesora de la Universidad de Georgetown @JoelGomezMX @LexInformatica
es el uso normal no disruptivo de Internet para apoyar una causa a agenda. Operaciones en esta área incluyen navegación en la web, construcción de sitios web y publicación de materiales en ellos, difundir publicaciones electrónicas y cartas por correo electrónico, y uso del internet para discutir asuntos, formar coaliciones y planear o coordinar actividades. Dra. Dorothy Denning Profesora de la Universidad de Georgetown @JoelGomezMX @LexInformatica
Grupos ambientalistas, anti-nucleares, anti-guerras, pro-derechos humanos, etc. pueden usar la red para promover ciber-desobediencia civil. • Ciber-guerra civil • 1995: Ciudadanos franceses e italianos protestaron contra las acciones y políticas de su gobierno sitiando la presencia de dichos gobiernos en internet. • 1996: La Casa Blanca fue el blanco de una imensa tormenta de transmisión de correos electrónicos, cada uno conteniendo una copia del Bill of Rights. El objetivo era inhibir el sitio web de la presidencia. @JoelGomezMX @LexInformatica
Ciber-guerra civil (1998)... • Una instalación nuclear de la India fue hackeada después de pruebas de armamento y bombas atómicas. • Un grupo llamado “The Hong Kong Blondes” hackeo la red informática de la Policía China, como forma de protesta en contra de los arrestos políticos. @JoelGomezMX @LexInformatica
mexicanos promovieron “huelgas por internet” similares a las que habían ocurrido en Europa en 1995 y 1996 (ataques cibernéticos a sitios web franceses, italianos y de EUA, como protesta por sus políticas públicas). • En mayo de 1996, hacktivistas lanzaron ataques de denegación de servicio al grupo de noticias de usernet llamado “alt.religion.scientology” en un intento aparente de sofocar la crítica e intolerancia de la Iglesia hacia sus detractores. @JoelGomezMX @LexInformatica
el grupo de hackers- hacktivistas llamado “Electronic Disturbance Teather - EDT”, como muestra de apoyo y solidaridad a los Zapatistas Mexicanos, lanzó un ataque masivo de denegación de servicios en contra de sitios web del Pentágono, la Casa Blanca y del gobierno mexicano presidido en aquel entonces por Ernesto Zedillo. @JoelGomezMX @LexInformatica
los líderes de EDT, creó un programa de software llamado “The Zapatista FloodNet” para facilitar los ataques. • 18,615 personas en 46 distintos países, apoyaron desde sus computadoras el ataque masivo contra estos sitios de gobierno de México y Estados Unidos. Ricardo Domínguez, neoyorquino de padres mexicano, fue uno de los principales protagonistas del EDT y de este ataque DDoS. @JoelGomezMX @LexInformatica
Ataque de Denegación de Servicios y DDoS corresponde a Ataque Distribuido de Denegación de Servicios. • El objetivo de un ataque de denegación de servicio (DoS) es hacer inoperable a un sistema (computadora). Algunos ataques de denegación de servicio están diseñados para bloquear el sistema de destino, mientras que otros sólo tienen por objeto provocar que el sistema de destino tan ocupado que no pueda manejar su carga normal de trabajo. •¿Qué es un DoS / DDoS? @JoelGomezMX @LexInformatica
en realidad un ataque de denegación de servicios (distribuido o no) puede llevarse a cabo de muy diversas maneras. • ¿Qué NO es un DoS / DDoS? Este tipo de ataques no representan un hackeo tradicional, es decir, no hay intrusión o vulneración de una computadora por acceso no autorizado. El agresor no tiene acceso a los archivos o información personal contenida en el servidor o computadora objetivo del ataque. •¿Qué es un DoS / DDoS? @JoelGomezMX @LexInformatica
estos ataques se sustentan en ingeniería social. • Jorge Arciga, CIO de la Presidencia • Un ataque de negación de servicio puede ser tan simple o complejo como el atacante quiera. Puede requerir la participación de personas o ser completamente automatizado. • Adolfo Grego, especialista en seguridad informática • En realidad no considero que se requiera un grado avanzado de habilidades, sino sólo un poco de curiosidad y tal vez, la ‘voluntad’ de querer ser parte de un movimiento (anti)social. • Alberto Ramírez, Gerente de Riesgo Tecnológico de una institución financiera •¿Qué tan sencillo es realizar un DoS? @JoelGomezMX @LexInformatica
servicio (DDoS), un atacante puede controlar decenas o incluso cientos de servidores y apuntar toda esa potencia de ataque acumulada de todos estos sistemas a un único objetivo (servidor o computadora). En lugar de lanzar un ataque desde un único sistema (como sucede con el DoS), el atacante irrumpe en numerosos sitios, instala el script del ataque de denegación de servicio a cada uno, y luego organiza un ataque coordinado para ampliar la intensidad de estas agresiones cibernéticas. A este método suele conocérsele como “El Ataque de los Zombis”, el cual dificulta a los investigadores forenses el rastreo de la fuente real del ataque. •¿Qué es un DoS / DDoS? @JoelGomezMX @LexInformatica
Convenio de la Ciberdelincuencia (Convenio de Budapest, vigente en 32 países) • Artículo 5 (1) – Ataques a la integridad del sistema. Cada Parte adoptará las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno la obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos. @JoelGomezMX @LexInformatica
España • El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años. • El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años. @JoelGomezMX @LexInformatica
Estados Unidos • 18 U.S.C. § 1030 (a) (5) (A) (i). A quien conscientemente provoque la transmisión de un programa, información, código o comandos, y como resultado de dicha conducta, intencionalmente cause daño sin autorización, a una computadora protegida, será sancionado con: • Multa y/o prisión por no más de 10 años, 20 años en caso de reincidencia. • Multa y/o prisión hasta por cadena perpetua si el delincuente conscientemente o negligentemente cause o intente causar la muerte. • “Daño” es definido por el artículo 18 U.S.C. § 1030 (e) (8) como “cualquier deterioro, insuficiencia o menoscabo a la integridad o disponibilidad de datos, programas, sistemas o información”. @JoelGomezMX @LexInformatica
Colombia • Artículo 269 B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. @JoelGomezMX @LexInformatica
electrónico es el uso de medios de tecnologías de información, comunicación, informática, electrónica o similar con el propósito de generar terror o miedo generalizado en una población, clase dirigente o gobierno, causando con ello una violencia a la libre voluntad de las personas. Los fines pueden ser económicos, políticos o religiosos principalmente. @JoelGomezMX @LexInformatica
la inteligencia informática y el Internet con la finalidad de divulgar información sensible, con lucro, intervención y daño, tanto a las estructuras gubernamentales como para causar caos entre la sociedad civil, que al final del día pueden vulnerar la seguridad de un país. Francisco Farrera Unisys México @JoelGomezMX @LexInformatica
del ciberespacio y el terrorismo. Incluye operaciones de hackeo políticamente motivadas con la intención de causar graves daños, como pérdida de vidas humanas o severos daños económicos. Dra. Dorothy Denning Profesora de la Universidad de Georgetown @JoelGomezMX @LexInformatica
Aprovechamiento de las redes informáticas (internet) para obtener información, fomentar o cometer actos de terrorismo. • Los grupos extremistas, milicias y guerrillas pueden intentar ciberasaltos masivos contra el gobierno e infraestructura crítica de un país, como el transporte, la energía y servicios de emergencia. • Algunos grupos árabes han denominado al internet como “un arma a ser dominada”. @JoelGomezMX @LexInformatica
guerra digital o ciberguerra, se refiere al desplazamiento de un conflicto, en principio de carácter bélico, que toma el ciberespacio y las tecnologías de la información como escenario principal, en lugar de los campos de batalla convencionales. • También se podría definir como el conjunto de acciones que se realizan para producir alteraciones en la información y los sistemas del enemigo. @JoelGomezMX @LexInformatica
este concepto. • Toda la infraestructura básica y servicios de un país está controlada por computadoras y redes informáticas conectadas a internet o vía intranet. • Agua, Electricidad, Gas, Petróleo, Combustibles, etc. • Servicios de tránsito vehicular. • Servicios de seguridad pública, de inteligencia, de defensa, militares y de seguridad nacional. • Información total sobre gobiernos municipales, estatales y federales, así como de partidos políticos. • Servicios financieros, hospitalarios y de emergencias. • Servicios y redes de telecomunicaciones. @JoelGomezMX @LexInformatica
• Durante la intervención de los aliados en la Guerra de Kosovo, más de 450 expertos informáticos, se enfrentaron a las computadoras militares de los aliados. Penetraron las computadoras estratégicos de la OTAN, la Casa Blanca y del portaaviones norteamericano Nimitz, sólo como una demostración de fuerza, pues éste no era su objetivo principal. • 2003 - Taiwan • En 2003, Taiwán recibió un posible ataque del que culpó a las autoridades China. Dejó sin servicio infraestructuras como hospitales, la Bolsa y algunos sistemas de control de tráfico. El supuesto ataque provocó un caos, progresivo y con una aparente organización, que además de un ataque de denegación de servicio (DDoS), incluyó virus y troyanos. @JoelGomezMX @LexInformatica
2007, Estonia culpó a las autoridades de Rusia de diversos ataques continuados que afectaron a medios de comunicación, bancos y diversas entidades e instituciones gubernamentales. • 2008 - Georgia • En agosto de 2008 -guerra Rusia, Osetia del Sur, Georgia- se produjeron ciberataques a Georgia por parte de Rusia orientados hacia sitios gubernamentales. @JoelGomezMX @LexInformatica
finales de septiembre de 2010, Irán también registró un ataque a las centrifugadoras del programa de enriquecimiento de uranio -programa nuclear iraní-. El troyano, virus o programa infiltrado recibió el nombre de Stuxnet. Irán acusó a Estados Unidos de su autoría. • 2011 - Canadá atacada desde China • En enero de de 2011, según las autoridades canadienses, los sistemas de contraseñas del ministerio de Finanzas fueron víctimas de un ciberataque procedente de máquinas instaladas en China. @JoelGomezMX @LexInformatica
Computer Intrusions: • Bots, worms, viruses, spyware, malware & hacking. • The collective impact is staggering. Billions of dollars are lost every year repairing systems hit by such attacks. • Some take down vital systems, disrupting and sometimes disabling the work of hospitals, banks and 911 services.
Who is behind such attacks? • Computer geeks looking for bragging rights; • Businesses trying to gain an upper hand in the marketplace by hacking competitor websites; • Rings of criminals wanting to steal your personal information and sell it on black markets; and • Spies and terrorists looking to rob the nation vital information or launch cyber strikes.
Combating the threat: • A Cyber Division at FBI Headquarters; • Specially trained cyber squads at FBI HQ in each of their 56 field offices with agents and analysts who protect against: • Computer intrusions • Theft of IP and personal information • Child pornography and exploitation • Online fraud • Cyber Action Teams (CATs) that travel worldwide on a moment’s notice to assist in computer intrusion cases; • 93 Computer Crimes Task Forces nationwide.
company, is wanted in Los Angeles, California for allegedly hiring computer hackers to launch attacks against his company's competitors. • On August 25, 2004, Echouafni was indicted by a federal grand jury in Los Angeles in connection with the first successful investigation of a large-scale distributed denial of service attack (DDOS) used for a commercial purpose in the United States. In a DDOS, a multitude of compromised systems attack a single target causing a sustained denial of service for its customers.
users out of approximately $800,000. • In the fall of 2003, Dong allegedly offered items on the auction site and collected money from the purported winning bidders. • Dong is alleged to have never produced the promised merchandise to the nearly 5,000 victims. • Dong is believed to have later fled from the United States to China and may now be in Hong Kong. 93
WITH INFECTING UP TO A QUARTER MILLION COMPUTERS THAT WERE USED TO WIRETAP, ENGAGE IN IDENTITY THEFT, DEFRAUD BANKS • In the first prosecution of its kind in the nation, a well-known member of the “botnet underground” was charged today with using “botnets” – armies of compromised computers – to steal the identities of victims across the country by extracting information from their personal computers and wiretapping their communications. • John Schiefer, 26, of Los Angeles (90011), has agreed to plead guilty to four felony counts: accessing protected computers to conduct fraud, disclosing illegally intercepted electronic communications, wire fraud and bank fraud.
Ley de Ciberseguridad del 2009 presentado en el Senado de Estados Unidos permitiría al presidente cerrar redes privadas de internet. El gobierno tendría la autoridad para demandar seguridad de redes privadas sin justificarla en alguna ley, regulación o política que restrinja dicho acceso. • Este proyecto legislativo dará al presidente una autoridad sin precedente sobre los servicios de Internet del sector privado, así como aplicaciones y software. El presidente podrá declarar una "emergencia de ciberseguridad" y ordenar la limitación o el "cierre" del tráfico de internet para y de redes o sistemas designados del sector privado.
Delitos Informáticos vs. Ataques Informáticos • Estadísticas y Problemática • ¿Quiénes son los Ciber-Delincuentes? • Tipos de Delitos y Ataques Informáticos • Panorama Internacional • Convenio de Cibercriminalidad • Legislación Estadounidense • Situación en México • Casos y Estadísticas • Legislación • Persecución y Proceso Penal • Estrategias de prevención
necesario para prevenir los actos atentatorios de la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y de los datos, así como el uso fraudulento de tales sistemas, redes y datos, asegurando la incriminación de dichos comportamientos, como los descritos en el presente Convenio, y la atribución de poderes suficientes para permitir una lucha eficaz contra estas infracciones penales, facilitando la detección, la investigación y la persecución, tanto a nivel nacional como internacional, y previendo algunas disposiciones materiales al objeto de una cooperación internacional rápida y fiable.
que deben ser adoptadas a nivel nacional • Sección 1 – Derecho penal material • Título 1 – Infracciones contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos
ilícito • Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, el acceso doloso (3) y sin autorización a todo o parte de un sistema informático. Las Partes podrán exigir que la infracción sea cometida con vulneración de medidas de seguridad, con la intención de obtener los datos informáticos o con otra intención delictiva, o también podrán requerir que la infracción se perpetre en un sistema informático conectado a otro sistema informático.
ilícita • Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la interceptación, dolosa y sin autorización, cometida a través de medios técnicos, de datos informáticos – en transmisiones no públicas– en el destino, origen o en el interior de un sistema informático, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporta tales datos informáticos. Las Partes podrán exigir que la infracción sea cometida con alguna intención delictiva o también podrán requerir que la infracción se perpetre en un sistema informático conectado a otro sistema informático.
contra la integridad de los datos • 1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la conducta de dañar, borrar, deteriorar, alterar o suprimir dolosamente y sin autorización los datos informáticos. • 2. Las Partes podrán reservarse el derecho a exigir que el comportamiento descrito en el párrafo primero ocasione daños que puedan calificarse de graves.
contra la integridad del sistema • Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la obstaculización grave, cometida de forma dolosa y sin autorización, del funcionamiento de un sistema informático, mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos.
de equipos e instrumentos técnicos • 1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, las siguientes conductas cuando éstas sean cometidas dolosamente y sin autorización: • a. la producción, venta, obtención para su utilización, importación, difusión u otras formas de puesta a disposición: • i. de un dispositivo, incluido un programa informático, principalmente concebido o adaptado para permitir la comisión de una de las infracciones establecidas en los artículos 2 a 5 arriba citados;
informática • Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la introducción, alteración, borrado o supresión dolosa y sin autorización de datos informáticos, generando datos no auténticos, con la intención de que sean percibidos o utilizados a efectos legales como auténticos, con independencia de que sean directamente legibles e inteligibles. Las Partes podrán reservarse el derecho a exigir la concurrencia de un ánimo fraudulento o de cualquier otro ánimo similar para que nazca responsabilidad penal.
informática • Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la producción de un perjuicio patrimonial a otro, de forma dolosa y sin autorización, a través de: • a. la introducción, alteración, borrado o supresión de datos informáticos, • b. cualquier forma de atentado al funcionamiento de un sistema informático, • con la intención, fraudulenta o delictiva, de obtener sin autorización un beneficio económico para sí mismo o para tercero.
Abuse Act • § 1030(a)(1) Obtaining National Security Information • § 1030(a)(2) Compromising Confidentiality • § 1030(a)(3) Trespassing in a Government Computer • § 1030(a)(4) Accessing to Defraud and Obtain Value • § 1030(a)(5) Damaging a Computer or Information • § 1030(a)(6) Trafficking in Passwords • § 1030(a)(7) Threatening to Damage a Computer
Federal se reforma el 17 de Mayo de 1999 para incluir tres nuevas categorías bajo el nuevo capítulo “Acceso Ilícito a Sistemas y Equipos de Informática”: • Accesos ilícitos a sistemas de particulares • Accesos ilícitos a sistemas de gobierno • Accesos ilícitos a sistemas del sector financiero @JoelGomezMX @LexInformatica
al 7.- Castiga… • Al que sin autorización (o estando autorizado) modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática {particulares, estatales o financieros} protegidos por algún mecanismo de seguridad. • Al que sin autorización (o estando autorizado) conozca o copie información contenida en sistemas o equipos de informática {particulares, estatales o financieros} protegidos por algún mecanismo de seguridad. @JoelGomezMX @LexInformatica
o provoque pérdida de información [equipos privados]: 6 meses a 2 años de prisión. • Sin autorización conozca o copie información contenida en [equipos privados]: 3 meses a 1 año de prisión. • Sin autorización, modifique, destruya o provoque pérdida de información [equipos del Estado]: 1 a 4 años de prisión. • Sin autorización conozca o copie información contenida en [equipos del Estado]: 6 meses a 2 años de prisión. • Sin autorización conozca, obtenga, copie o utilice información contenida en [equipos de Seguridad Pública]: 4 a 10 años de prisión. @JoelGomezMX @LexInformatica
o provoque pérdida de información [equipos del Estado]: 2 a 8 años de prisión. • Con autorización, copie información [equipos del Estado]: 1 a 4 años de prisión. • Con autorización, obtenga, copie o utilice información [equipos de Seguridad Pública]: 4 a 10 años de prisión. • Si es servidor público en institución de SP, se incrementará la pena hasta en una mitad, se destituirá e inhabilitará por un plazo igual al de la pena para desempeñarse en otro empleo o cargo público. • Sin autorización, modifique, destruya o provoque pérdida de información [equipos del Sistema Financiero]: 6 meses a 4 años de prisión. • Sin autorización conozca o copie información contenida en [equipos del S.F.]: 3 meses a 2 años de prisión. @JoelGomezMX @LexInformatica
o provoque pérdida de información [equipos del S.F.]: 6 meses a 4 años de prisión. • Con autorización, copie información [equipos del S.F.]: 3 meses a 2 años de prisión. • Las penas previstas para delitos cometidos contra equipos del Sistema Financiero se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de dichas instituciones. • Todas las penas anteriores se incrementarán en una mitad cuando la información obtenida se utilice en provecho propio o ajeno. @JoelGomezMX @LexInformatica
Policía Federal Preventiva Policía Cibernética • Principalmente buscan e investigan en la red a pedófilos y traficantes de pornografía infantil. • Reciben e investigan reportes sobre otro tipo de delitos informáticos. • La mayoría de los reportes que reciben son sobre fraudes en sitios de subastas y víctimas de phising. Sólo investiga, no puede perseguir a los delincuentes
ante el Ministerio Público Federal (PGR). • Debería ser por querella para los casos de daño al patrimonio a los particulares. • Se inicia la averiguación previa, en donde el MPF debe acreditar dos cosas: • La existencia de elementos constitutivos del delito • La probable responsabilidad de un sujeto determinado.
Pre-instrucción: Consignación – Auto de Término Constitucional • Instrucción: Se dicta Auto de Término Constitucional – Pretensiones del MPF • 1ª Instancia: MPF señala pretensiones al Juez – Juez dicta sentencia • 2ª Instancia: Apelación ante Tribunal Colegiado o Unitario de Circuito Radiografía del Proceso Penal
de Coordinación de Servicios Periciales nace de la necesidad de contar con una área específica encargada de auxiliar al Ministerio Público de la Federación, en la búsqueda, preservación y obtención de indicios y pruebas tendientes a la acreditación de los elementos del tipo penal en la probable responsabilidad de una persona en un ilícito, mediante procedimientos técnicos y científicos que coadyuven a aportar pruebas periciales para la debida integración ministerial, o dentro del órgano jurisdiccional en el ámbito de la procuración e impartición de justicia.
la Federación, se ve precisado, para ejercitar legalmente la acción penal, a recabar dictámenes u opiniones de expertos en el examen de hechos que exigen conocimientos especiales para acreditar el cuerpo del delito o bien la presunta responsabilidad del inculpado. • En los artículos 220 al 238 del Código Federal de Procedimientos Penales se establece y regula la actuación de los peritos.
Procuraduría General de la Republica, en su artículo 20 Fracción I, inciso b), determina que los servicios periciales son auxiliares directos del Ministerio Público de la Federación, lógicamente en la investigación de los delitos del orden federal. • En el artículo 22 de la citada ley se precisa que los peritos actuarán bajo la autoridad y mando inmediato del Ministerio Público de la Federación, sin perjuicio de la autonomía técnica e independencia de criterio que les corresponde en los asuntos sometidos a su dictamen.
apegada a los lineamientos que rigen su especialidad, ya que por disposición de ley podrían incurrir en responsabilidad penal por no cumplir, retrasar o perjudicar por negligencia la debida actuación del Ministerio Público de la Federación; o por distraer de esta actuación, en beneficio propio o ajeno, elementos materiales o bienes asegurados bajo su custodia o de la institución.
verdad no se descubre, simplemente se prueba". • Entendamos entonces que actualmente la prueba pericial es la "reina de las pruebas", ya que puede determinar con bastante efectividad mediante un completo análisis de indicios, que involucran a una persona en un presunto hecho delictuoso, si ésta es responsable o no de dicho hecho.
aplica conocimientos técnicos y científicos relacionados al estudio de las computadoras, incluyendo: • * Diseño • * Funcionamiento • * Metodos de almacenamiento • * Uso de la información presentada en Internet Combinando aspectos teóricos y practicos de la ingeniería, electrónica, teoría de la información, matemáticas, lógica y comportamiento humano.
fundamentos técnicos que sirvan como soporte en la investigación de hechos presuntamente delictivos concernientes a la modificación, destrucción, reproducción y pérdida no autorizada de la información contenida en dispositivos informáticos, así como el uso de la información presentada en Internet.
La intervención se enfoca a aquellos casos en los que se utiliza el equipo de cómputo como medio para cometer una conducta presuntamente delictuosa así como cuándo el equipo es violentado en sus partes lógicas (programas) o en sus partes físicas.
capacitados para tratar este tipo de delitos de cuello blanco. • Los jueces tampoco están capacitados y son renuentes a creer o valorar el impacto de este tipo de delincuencia tecnológica.
y Problemática • ¿Quiénes son los Ciber-Delincuentes? • Tipos de Delitos y Ataques Informáticos • Situación en México • Casos y Estadísticas • Legislación • Persecución y Proceso Penal • Estrategias de prevención
Firewalls (software y hardware). • Antivirus, antispyware, antiadware, etc. • Herramientas de cómputo forense. • Recursos Humanos: • Capacitación continua al personal (“Risk Awareness”). • Contratos y cláusulas de confidencialidad con empleados, proveedores y socios de negocios.
Política de Uso de Recursos Informáticos y métodos para verificar su cumplimiento (auditoria). • Política de Seguridad Informática y métodos para verificar su cumplimiento (auditoria). • Política de Cómputo Forense (qué hacer y cómo reaccionar ante un ataque informático). • Monitoreo y resguardo continuo de evidencia informática (logs, respaldos, etc.) • Jamás alterar la evidencia!
un ataque, usted deberá tener la capacidad y los elementos para que el Perito de la PGR: • Auxilie al Ministerio Público de la Federación, en la búsqueda, preservación y obtención de indicios y pruebas tendientes a la acreditación de los elementos del tipo penal en la probable responsabilidad de una persona en un ilícito. • Proporcione los fundamentos técnicos que sirvan como soporte en la investigación de hechos presuntamente delictivos concernientes a la modificación, destrucción, reproducción y pérdida no autorizada de la información contenida en dispositivos informáticos.
joelgomezmx
yamitzky
nwiizo
kkuv
sansan_randd
keisuke198619
line_developers_tw
oracle4engineer
iwamot
tajimon
kameitomohiro
lamodatech
maltzj
scottboms
reverentgeek
akosma
bcantrill
chriscoyier
swwweet
kneath
sachag
mraible
hatefulcrawdad
skipperchong
![www.JoelGomez.mx www.DerechoInformatico.mx •Emails nigerianos reales From: "Kenneth Usman(Dr.)" <[email protected]> To:](https://files.speakerdeck.com/presentations/cbc003f0ce5201303f693a52e10fa920/slide_36.jpg){kind=link}
![• Joel A. Gómez Treviño • [email protected] • Twitter.com/JoelGomezMX •](https://files.speakerdeck.com/presentations/cbc003f0ce5201303f693a52e10fa920/slide_133.jpg){kind=link}