Observar el film sugerido y realizar la
actividad Propuesta
https://www.youtube.com/watch?v=qFK4Kk88Tro
Acciones y productos individuales de los
estudiantes del grupo
Todos los puntos planteados deben ser basados
en la película sugerida, no en información generalizada de internet.
1.
Cada estudiante comparte 3 direcciones que se relacionen con el tema de
Hacker y un Cracker.
2.
Cada estudiante debe explicar con sus propias palabras el concepto de
Hacker y Cracker.
HACKER
Lo puedo explicar cómo una persona con profundos conocimientos
informáticos que sólo desea conocer el funcionamiento interno de los mismos,
ayudando a mejorarlos en el caso de que detecte fallos en su seguridad,
generalmente actúan por el ambición de
conocimiento y el reto de descifrar el funcionamiento interno de los computadores
y servidores de Internet, pero sin causar ningún daño. En la mayoría de los
casos los hackers informan a los interesados de los sitios atacados de los
agujeros de seguridad que tiene su servidor, para que puedan tomar las medidas
de seguridad respectivas.
CRACKER
Al igual que el hacker, el cracker es una persona con profundos
conocimientos informáticos, pero la principal diferencia es que la finalidad
del cracker es penetrar la seguridad de los sistemas informáticos, pero causando un daño en los
mismos, para obtener beneficios, generalmente económicos.
3.
Cada estudiante debe expresar según su propia opinión quien es el Hacker
y quien es el Cracker en la película, y explicar el porqué de su argumento.
Después de observar la película, se puede concluir que Kevin Mitnick es
el cracker, toda vez que utiliza todos los conocimientos de hacker para robar el Contempt, creado por el señor Shimomura,
utilizando todos los mecanismos para lograrlo.
En la película el señor Sakamura es el Hacker, toda vez que posee
profundos conocimientos en informática, pero no los utiliza para hacer daño o
sacar ventaja de los mismos, pero si los utiliza para realizar el seguimiento al señor Kevin Mitnick hasta dar
con su captura.
4.
Cada estudiante debe explicar con sus propias palabras el concepto de
Ingeniería Social.
La Ingeniería Social la puedo explicar como la técnica desarrollada para
aprovechar los errores humanos para vulnerar sistemas informáticos, ganar la confianza
de los usuarios con engaños, para estafarlos.
Esta técnica cuenta con una serie de métodos para engañar y manipular a
otras personas, y de esta forma conseguir los datos necesarios para acceder no
solo a sistemas, también a cuentas personales en redes sociales, correo
electrónico, números de tarjetas de crédito y en general a cualquier
información personal de carácter privado.
5.
Cada estudiante debe compartir 1 escena de la película donde se aplique
el concepto de Ingeniería Social (Cada escena que usted proponga debe ser
diferente a la de alguno de sus compañeros).
Del minuto 4:36 al minuto 8:20 se observa con Kevin Mitnick por medio de
la Ingeniería Social obtiene información con respecto al Sistema SAS (Servicio
de Intercambio de Accesos), hablando por teléfono con tres personas diferentes,
inclusive con el Ingeniero diseñador del Sistema SAS, al que convence que le
suministre el diseño de la información
de la aplicación en una copia en un disco magnético, y al tercer
funcionario para que le suministre los números de acceso al Sistema SAS.
6.
Cada estudiante debe exponer una ley digital actual o Informática
jurídica con respecto a delitos informáticos en Colombia, con sus respectivas
referencias bibliográficas y/o cibergráficas de apoyo. (Cada ley digital que
usted proponga debe ser diferente a la de alguno de sus compañeros).
La Ley
1273 de 2009 creó nuevos
tipos penales relacionados con delitos informáticos y la protección de la
información y de los datos con penas de prisión de hasta 120 meses y multas de
hasta 1500 salarios mínimos legales mensuales vigentes.
El 5 de enero de 2009, el Congreso de
la República de Colombia promulgó la Ley 1273 “Por medio del cual se modifica
el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la
Protección de la información y de los datos”- y se preservan integralmente los
sistemas que utilicen las tecnologías de la información y las comunicaciones,
entre otras disposiciones”.
Dicha ley tipificó como delitos una
serie de conductas relacionadas con el manejo de datos personales, por lo que
es de gran importancia que las empresas se blinden jurídicamente para evitar
incurrir en alguno de estos tipos penales.
No hay que olvidar que los avances
tecnológicos y el empleo de los mismos para apropiarse ilícitamente del
patrimonio de terceros a través de clonación de tarjetas bancarias, vulneración
y alteración de los sistemas de cómputo para recibir servicios y transferencias
electrónicas de fondos mediante manipulación de programas y afectación de los
cajeros automáticos, entre otras, son conductas cada vez más usuales en todas
partes del mundo. S
De ahí la importancia de esta ley, que
adiciona al Código Penal colombiano el Título VII BIS denominado "De la
Protección de la información y de los datos" que divide en dos capítulos, a saber: “De los
atentados contra la confidencialidad, la integridad y la disponibilidad de los
datos y de los sistemas informáticos” y “De los atentados informáticos y otras
infracciones”.
A
continuación, algunos Artículos de la Ley 1273 de 2009:
Artículo
269A: ACCESO ABUSIVO A UN SISTEMA
INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en
todo o en parte a un sistema informático protegido o no con una medida de
seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien
tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta
y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes.
Artículo
269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA
INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello,
impida u obstaculice el funcionamiento o el acceso normal a un sistema
informático, a los datos informáticos allí contenidos, o a una red de
telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes, siempre que la conducta no constituya delito sancionado con
una pena mayor.
Artículo
269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
El que, sin orden judicial previa intercepte datos informáticos en su origen,
destino o en el interior de un sistema informático, o las emisiones
electromagnéticas provenientes de un sistema informático que los trasporte
incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.
Artículo
269D: DAÑO INFORMÁTICO. El que, sin estar
facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos
informáticos, o un sistema de tratamiento de información o sus partes o
componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
Artículo
269E: USO DE SOFTWARE MALICIOSO. El que, sin
estar facultado para ello, produzca, trafique, adquiera, distribuya, venda,
envíe, introduzca o extraiga del territorio nacional software malicioso u otros
programas de computación de efectos dañinos, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes.
Artículo
269F: VIOLACIÓN DE DATOS PERSONALES. El que,
sin estar facultado para ello, con provecho propio o de un tercero, obtenga,
compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte,
divulgue, modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mínimos legales mensuales vigentes.
Artículo
269G: SUPLANTACIÓN DE SITIOS WEB PARA
CAPTURAR DATOS PERSONALES. El que con objeto ilícito y sin estar facultado para
ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas
electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con pena más grave.
En la misma sanción incurrirá el que
modifique el sistema de resolución de nombres de dominio, de tal manera que
haga entrar al usuario a una IP diferente en la creencia de que acceda a su
banco o a otro sitio personal o de confianza, siempre que la conducta no
constituya delito sancionado con pena más grave.
Artículo
269H: Circunstancias de agravación punitiva:
Las penas imponibles de acuerdo con los artículos descritos en este título, se
aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:
·
Sobre redes o
sistemas informáticos o de comunicaciones estatales u oficiales o del sector
financiero, nacionales o extranjeros.
·
Por servidor
público en ejercicio de sus funciones.
·
Aprovechando la
confianza depositada por el poseedor de la información o por quien tuviere un
vínculo contractual con este.
·
Revelando o
dando a conocer el contenido de la información en perjuicio de otro.
·
Obteniendo
provecho para sí o para un tercero.
·
Con fines
terroristas o generando riesgo para la seguridad o defensa nacional.
·
Utilizando como
instrumento a un tercero de buena fe.
·
Si quien incurre
en estas conductas es el responsable de la administración, manejo o control de
dicha información, además se le impondrá hasta por tres años, la pena de
inhabilitación para el ejercicio de profesión relacionada con sistemas de
información procesada con equipos computacionales.
Consultar la Ley 1273 de 2009 completa en:
7.
Basados en la
película cada estudiante debe explicar uno de los siguientes ítems: (Cada
elección debe ser diferente a la de alguno de sus compañeros).
o Pensamiento del
Hacker y un Cracker de la película frente a la obtención de conocimiento sin
importar el dinero que pueda obtener.
En primera instancia tenemos el
pensamiento filosófico de Kevin
Mitnick, quien define a los hackers como los "Defensores de la Primera
Enmienda", infiriendo que el público tiene derecho a saber lo que está
pasando, a saber en quien vas a confiar.
El Sr. Shimomura Sakamura tiene la
visión de la ley y la justicia, que castiga este tipo de acción por
considerarla un delito.
8.
Usted es el gerente
de la empresa SEGURIDAD SEGURA, que políticas de seguridad implantaría a sus
empleados (3 políticas) con respecto a las escenas observadas en la película
que me mencionan a continuación:
Deténgase en la escena que el exempleado de la empresa de teléfonos
cuenta con la información completa del diseño de SAS. Es decir en la empresa
que usted gerencia, un empleado fue despedido, renunció, o cualquier situación
por la que ya no pertenezca a su empresa y se llevó con El todo los códigos y
desarrollos de un sistema que sigue funcionando en su empresa.
1. El acceso a los medios informáticos será expresamente autorizado por el jefe del área correspondiente.
2. El acceso a
las áreas o
zonas controladas se
permite exclusivamente al personal
autorizado.
3. La información que se comparte en los servidores de la red se salvará en
los medios habilitados al efecto, diariamente en dos versiones, y por el
personal autorizado.
9.
Usted es
invitado a dictar una conferencia de seguridad informática a la empresa donde
en la escena se observa que:
“Llega un técnico informático cuya misión es ir a solucionar problemas
reportados (que nadie ha reportado) y se le permite la entrada al sistema”
Cada estudiante debe proporcionar una regla específica para el manejo de
este tipo de situación.
Políticas.
a. Para el acceso a los sitios y áreas restringidas se debe notificar al
Departamento de Sistemas, para la
autorización correspondiente, y así proteger la información y los bienes
informáticos.
b. El Departamento de Sistemas en cabeza del Director, establece las
políticas y procedimientos administrativos para regular, controlar y describir el
acceso de visitantes o funcionarios no autorizados a las instalaciones de
cómputo restringidas.
c. Cuando un funcionario no autorizado o un visitante requieran la
necesidad de ingresar a un computador, debe solicitar mediante comunicado
interno debidamente firmada y autorizado por el Jefe inmediato de su sección o
dependencia y para un visitante se debe solicitar la visita con anticipación la
cual debe traer el visto bueno del Departamento de Sistemas, y donde se especifique
tipo de actividad a realizar, y siempre contar con la presencia de un funcionario
del Departamento de Sistemas.
10. Cada estudiante elige uno de los aportes de sus compañeros y con todo
respeto le complementa, refuta, critica constructivamente y opina cerca de su
aporte.
Aporte
de Jesús Andrés Cerón, punto 4. “La
ingeniería social se basa en atacar por así decirlo al eslabón más débil de la
cadena que es el ser humano, este ataque se lo hace a través de los diferentes
medios tecnológicos o dispositivos utilizando la internet, telefónicamente o
hasta personalmente haciendo que la víctima caiga sin darse cuenta.”
Le complementaría lo siguiente:
La Ingeniería Social tiene cuatro
formas de actuar:
1. Técnicas pasivas: apoyadas en la observación y en el análisis de la víctima, el éxito
está sujeto al contexto en el que la persona se mueve, a través de la
observación se logra construir un perfil psicológico que permita un óptimo asalto.
2. Técnica No
presencial, se recurre a los medios de
comunicación como el teléfono, correos electrónicos, redes sociales para
intentar obtener información útil, esta técnica resulta ser la más común y la
más efectiva.
3. Técnicas presenciales
no agresivas: que incluyen el
seguimiento a las víctimas, vigilancia a residencias de las víctimas, búsqueda
en la basura con el fin de juntar la mayor cantidad de información.
4. Métodos
agresivos: recurren a la sustitución de
identidad, presiones psicológicas, la combinación de este último grupo de
técnicas, junto a la explotación de las tres técnicas anteriormente
mencionadas, resulta altamente efectiva.
0 comentarios:
Publicar un comentario