delitos informáticos y derecho de la seguridad de la información
TRANSCRIPT
-
14/02/2012
1
Abogado especialista en Derecho Informtico Profesor de La Salle y Universidad Panamericana
Joel A. Gmez Trevio
@JoelGomezM
X
@LexInformati
ca
-
14/02/2012
2
www.JoelGomez.mx www.DerechoInformatico.mx
Rama de las ciencias jurdicas que:
Protege a la informacin contenida en medios fsicos,
electrnicos y sistema informticos, contra accesos y usos
no autorizados, con la finalidad de conservar su
confidencialidad, integridad y disponibilidad.
Brinda seguridad y confidencialidad a la informacin que
sea: sensible, reservada, privada,
secreto industrial, secreto bancario,
secreto profesional, secreto tcnico,
secreto comercial, secreto de
fabricacin, dato personal,
entre otros.
@JoelGomezMX
@LexInformatica
Derecho de la Seguridad de la Informacin
www.JoelGomez.mx www.DerechoInformatico.mx
ARTICULO 36.- Todo profesionista estar
obligado a guardar estrictamente el secreto de
los asuntos que se le confen por sus clientes,
salvo los informes que obligatoriamente
establezcan las leyes respectivas.
@JoelGomezMX
@LexInformatica
Ley Reglamentaria del Artculo 5 Constitucional, relativo al Ejercicio de las Profesiones en el D.F.
-
14/02/2012
3
www.JoelGomez.mx www.DerechoInformatico.mx
Artculo 85.- Toda aquella persona que, con motivo de su trabajo, empleo, cargo, puesto, desempeo de su profesin o relacin de negocios, tenga acceso a un secreto industrial del cual se le haya prevenido sobre su confidencialidad, deber abstenerse de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado.
Artculo 86.- La persona fsica o moral que contrate a un trabajador que est laborando o haya laborado o a un profesionista, asesor o consultor que preste o haya prestado sus servicios para otra persona, con el fin de obtener secretos industriales de sta, ser responsable del pago de daos y perjuicios que le ocasione a dicha persona.
@JoelGomezMX
@LexInformatica
Ley de la Propiedad Industrial
www.JoelGomez.mx www.DerechoInformatico.mx
Artculo 76 bis.- En la celebracin de transacciones electrnicas se cumplir con lo siguiente:
I. El proveedor utilizar la informacin proporcionada por el consumidor en forma confidencial, por lo que no podr difundirla o transmitirla a otros proveedores ajenos a la transaccin, salvo autorizacin expresa del propio consumidor o por requerimiento de autoridad competente;
II. El proveedor utilizar alguno de los elementos tcnicos disponibles para brindar seguridad y confidencialidad a la informacin proporcionada por el consumidor e informar a ste, previamente a la celebracin de la transaccin, de las caractersticas generales de dichos elementos;
@JoelGomezMX
@LexInformatica
Ley Federal de Proteccin al Consumidor
-
14/02/2012
4
www.JoelGomez.mx www.DerechoInformatico.mx
Artculo 19.- Todo responsable que lleve a cabo tratamiento de
datos personales deber establecer y mantener medidas de
seguridad administrativas, tcnicas y fsicas que permitan
proteger los datos personales contra dao, prdida, alteracin,
destruccin o el uso, acceso o tratamiento no autorizado.
Artculo 21.- El responsable o terceros que intervengan en
cualquier fase del tratamiento de datos personales debern
guardar confidencialidad respecto de stos, obligacin que
subsistir aun despus de finalizar sus relaciones con el titular
o, en su caso, con el responsable.
Artculos 63 y 64.- La multa por incumplir el deber de
confidencialidad respecto de cualquier fase del tratamiento de
datos personales puede ser de hasta $19,142,400 pesos.
@JoelGomezMX
@LexInformatica
Ley Federal de Proteccin de Datos
Personales en Posesin de Particulares
www.JoelGomez.mx www.DerechoInformatico.mx
El artculo 2 define los siguientes trminos:
V. Medidas de seguridad administrativas: Conjunto de acciones y mecanismos para establecer la gestin, soporte y revisin de la seguridad de la informacin a nivel organizacional, la identificacin y clasificacin de la informacin, as como la concienciacin, formacin y capacitacin del personal, en materia de proteccin de datos personales;
@JoelGomezMX
@LexInformatica
Reglamento de la LFPDPPP
-
14/02/2012
5
www.JoelGomez.mx www.DerechoInformatico.mx
VI. Medidas de seguridad fsicas: Conjunto de acciones y mecanismos, ya sea que empleen o no la tecnologa, destinados para:
a) Prevenir el acceso no autorizado, el dao o interferencia a las instalaciones fsicas, reas crticas de la organizacin, equipo e informacin;
b) Proteger los equipos mviles, porttiles o de fcil remocin, situados dentro o fuera de las instalaciones;
c) Proveer a los equipos que contienen o almacenan datos personales de un mantenimiento que asegure su disponibilidad, funcionalidad e integridad, y
d) Garantizar la eliminacin de datos de forma segura;
@JoelGomezMX
@LexInformatica
Reglamento de la LFPDPPP
www.JoelGomez.mx www.DerechoInformatico.mx
VII. Medidas de seguridad tcnicas: Conjunto de actividades,
controles o mecanismos con resultado medible, que se valen
de la tecnologa para asegurar que:
a) El acceso a las bases de datos lgicas o a la informacin en
formato lgico sea por usuarios identificados y autorizados;
b) El acceso referido en el inciso anterior sea nicamente para que el usuario lleve a cabo las actividades que requiere con
motivo de sus funciones;
c) Se incluyan acciones para la adquisicin operacin,
desarrollo y mantenimiento de sistemas seguros, y
d) Se lleve a cabo la gestin de comunicaciones y operaciones
de los recursos informticos que se utilicen en el tratamiento
de datos personales;
@JoelGomezMX
@LexInformatica
Reglamento de la LFPDPPP
-
14/02/2012
6
www.JoelGomez.mx www.DerechoInformatico.mx
Reglamento de la LFPDPPP
Captulo III.- De las Medidas de Seguridad en el Tratamiento de Datos Personales:
Alcance
Atenuacin de sanciones
Funciones de seguridad
Factores para determinar las medidas de seguridad
Acciones para la seguridad de los datos personales
Actualizaciones de las medidas de seguridad
Vulneraciones de seguridad
Notificacin de vulneraciones de seguridad
Informacin mnima al titular en caso de vulneraciones de seguridad
Medidas correctivas en caso de vulneraciones de seguridad
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Artculo 47.- Son causas de rescisin de la relacin de trabajo, sin responsabilidad para el patrn:
IX. Revelar el trabajador los secretos de fabricacin o dar a conocer asuntos de carcter reservado, con perjuicio de la empresa;
Artculo 134.- Son obligaciones de los trabajadores:
XIII. Guardar escrupulosamente los secretos tcnicos, comerciales y de fabricacin de los productos a cuya elaboracin concurran directa o indirectamente, o de los cuales tengan conocimiento por razn del trabajo que desempeen, as como de los asuntos administrativos reservados, cuya divulgacin pueda causar perjuicios a la empresa.
@JoelGomezMX
@LexInformatica
Ley Federal del Trabajo
-
14/02/2012
7
www.JoelGomez.mx www.DerechoInformatico.mx
Art. 8.- La Comisin Nacional (CONDUSEF) establecer y mantendr
actualizado, un Registro de Usuarios que no deseen que su
informacin sea utilizada para fines mercadotcnicos o publicitarios.
Queda prohibido a las Instituciones Financieras utilizar informacin relativa
a la base de datos de sus clientes con fines mercadotcnicos o publicitarios,
as como enviar publicidad a los clientes que expresamente les hubieren
manifestado su voluntad de no recibirla o que estn inscritos en el registro a
que se refiere el prrafo anterior. Las Instituciones Financieras que sean
objeto de publicidad son corresponsables del manejo de la informacin de
sus Clientes cuando dicha publicidad la enven a travs de terceros.
Los usuarios se podrn inscribir gratuitamente en el Registro Pblico de
Usuarios, a travs de los medios que establezca la Comisin Nacional, la
cual ser consultada por las Instituciones Financieras.
@JoelGomezMX
@LexInformatica
Ley de Proteccin y Defensa al
Usuario de Servicios Financieros
www.JoelGomez.mx www.DerechoInformatico.mx
Artculo 117.- La informacin y documentacin relativa a las operaciones y servicios a que se refiere el artculo 46 de la presente Ley, tendr carcter confidencial, por lo que las instituciones de crdito, en proteccin del derecho a la privacidad de sus clientes y usuarios que en este artculo se establece, en ningn caso podrn dar noticias o informacin de los depsitos, operaciones o servicios, incluyendo los previstos en la fraccin XV del citado artculo 46, sino al depositante, deudor, titular, beneficiario, fideicomitente, fideicomisario, comitente o mandante, a sus representantes legales o a quienes tengan otorgado poder para disponer de la cuenta o para intervenir en la operacin o servicio.
@JoelGomezMX
@LexInformatica
Ley de Instituciones de Crdito
-
14/02/2012
8
www.JoelGomez.mx www.DerechoInformatico.mx
Artculo 46 Bis 1.- Las instituciones de crdito podrn pactar con terceros, incluyendo a otras instituciones de crdito o entidades financieras, la prestacin de servicios necesarios para su operacin, as como comisiones para realizar las operaciones previstas en el artculo 46 de esta Ley, de conformidad con las disposiciones de carcter general que expida la Comisin Nacional Bancaria y de Valores, previo acuerdo de su Junta de Gobierno.
Lo dispuesto en el artculo 117 de esta Ley le ser tambin aplicable a los terceros a que se refiere el presente artculo, as como los representantes, directivos y empleados de dichos terceros, an cuando dejen de laborar o prestar sus servicios a tales terceros.
@JoelGomezMX
@LexInformatica
Ley de Instituciones de Crdito
www.JoelGomez.mx www.DerechoInformatico.mx
Cdigo Penal Federal
Artculo 210.- Se impondrn de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que sin justa causa, con perjuicio de alguien y sin consentimiento del que pueda resultar perjudicado, revele algn secreto o comunicacin reservada que conoce o ha recibido con motivo de su empleo, cargo o puesto.
Artculo 211.- La sancin ser de uno a cinco aos, multa de cincuenta a quinientos pesos y suspensin de profesin en su caso, de dos meses a un ao, cuando la revelacin punible sea hecha por persona que presta servicios profesionales o tcnicos o por funcionario o empleado pblico o cuando el secreto revelado o publicado sea de carcter industrial.
@JoelGomezMX
@LexInformatica
-
14/02/2012
9
www.JoelGomez.mx www.DerechoInformatico.mx
Cdigo Penal Federal
Artculo 211 Bis.- A quien revele, divulgue o utilice
indebidamente o en perjuicio de otro, informacin o
imgenes obtenidas en una intervencin de
comunicacin privada, se le aplicarn sanciones de seis
a doce aos de prisin y de trescientos a seiscientos
das multa.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Otras leyes
Ley Federal de Seguridad Privada
Acuerdo por el que se establece el Esquema de
Interoperabilidad y de Datos Abiertos de la
Administracin Pblica Federal
Acuerdo por el que se expide el Manual Administrativo
de Aplicacin General en Materia de Tecnologas de la
Informacin y Comunicaciones
Ley Federal de Transparencia y Acceso a la Informacin
Pblica Gubernamental.
@JoelGomezMX
@LexInformatica
-
14/02/2012
10
www.JoelGomez.mx www.DerechoInformatico.mx
Qu se mueve en Internet?
Dinero
Informacin
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Qu es un delito informtico?
Los delitos informticos (DI) son aquellas
actividades ilcitas que:
Se cometen mediante el uso
de computadoras, sistemas
informticos u otros dispositivos
de comunicacin (la informtica es
el medio o instrumento para realizar un delito); o
Tienen por objeto causar daos, provocar prdidas
o impedir el uso de sistemas informticos (delitos
per se).
@JoelGomezMX
@LexInformatica
-
14/02/2012
11
www.JoelGomez.mx www.DerechoInformatico.mx
Diferencia importante
Delito informtico es la conducta tpica, antijurdica, culpable y punible, en que se tiene a las computadoras como instrumento o fin.
Ataque informtico es la conducta indebida que tambin causa daos informticos pero no esta contemplada en la legislacin como delito.
LEX
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Problemtica
Los ataques ms significativos son transnacionales por diseo y con vctimas en todo el mundo.
Continuamente aparecern aspectos o conflictos de jurisdiccin en mltiples pases.
Los ciberdelincuentes explotan las debilidades existentes en las leyes y prcticas de ejecucin de los pases, exponiendo a todos los dems pases que van ms all de su capacidad de responder unilateral o bilateralmente.
La velocidad y complejidad tcnica de las actividades cibernticas requiere de procedimientos pre-acordados entre la comunidad internacional para lograr la cooperacin en investigaciones y para responder a ataques y amenazas.
@JoelGomezMX
@LexInformatica
-
14/02/2012
12
www.JoelGomez.mx www.DerechoInformatico.mx
Pirmide del Delincuente Informtico
Pe
ligro
sid
ad
y D
a
os
+
-
Phising
ID Theft
RATs
i
Mercenarios
y Traficantes
de Informacin
Hackers,
Crackers y Phreaks
Terroristas,
Extremistas
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Los Delincuentes Las Vctimas
Hackers y Crackers
Mercenarios y
traficantes de informacin
Terroristas y
Grupos Extremistas
Personas fsicas al azar y eventualmente empresas
Empresas, grandes
corporativos y personas fsicas a nivel masivo
Gobierno y
eventualmente grandes empresas
@JoelGomezMX
@LexInformatica
-
14/02/2012
13
www.JoelGomez.mx www.DerechoInformatico.mx
Tipos de CiberDelincuentes
Hacking / Hacker Individuo que penetra un sistema informtico slo
por gusto o para probar sus habilidades. Usualmente no tiene fines delictivos graves este tipo de intrusin.
Cracking / Cracker Persona que penetra un sistema informtico con el
fin de robar o destruir informacin valiosa, realizar transacciones ilcitas, o impedir el buen funcionamiento de redes informticas o computadoras.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Tipos de Ciberdelincuentes
CiberGrafitti / Defacements
Penetrar sitios web para modificar su contenido,
desplegando imgenes obscenas, amenazas,
mensajes ridiculizantes, burlas, etc.
Phreaking / Phreaks
Penetrar ilcitamente sistemas
telefnicos o de telecomunicaciones
con el fin de obtener beneficios o
causar perjuicios a terceros.
@JoelGomezMX
@LexInformatica
-
14/02/2012
14
www.JoelGomez.mx www.DerechoInformatico.mx
Tipos de CiberDelincuentes
Warez
Grupo de personas amantes de la piratera de
software. Su meta es violar cdigos de seguridad
(cracking) o generar, obtener o compartir nmeros
de registro (regging) de programas de computo, para
luego subirlos a Internet y compartirlos con el
mundo.
Usualmente son delitos o ilcitos contra la Propiedad
Intelectual o Derechos de Autor.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Tipos de Delitos y Ataques
CiberPandillerismo
Grupos de hackers o extremistas se renen para
cometer o planear delitos, o para expresar ideas
racistas, discriminatorias o xenofbicas.
Hacking for Girlies
Legion of the Underground (LoU)
Masters of Destruction/Deception (MoD)
Cult of the Dead Cows
@JoelGomezMX
@LexInformatica
Algunos de estos grupos eventualmente se convierten en consultores de seguridad informtica.
-
14/02/2012
15
www.JoelGomez.mx www.DerechoInformatico.mx
Tipos de Delitos y Ataques
Robo de identidad
Aprovechamiento de datos personales para hacerse
pasar por otra persona, con el objeto de obtener
beneficios econmicos o cometer delitos.
CiberAcoso
Acosar, hostigar, molestar, intimidar o amenazar
personas o entidades usando medios informticos.
Falsificaciones y fraudes electrnicos
Virus, gusanos y cdigos malignos
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Clasificacin de los D.I. por motivacin
D.I. de entretenimiento,
orgullo y exploracin:
Phreaking
Web defacement
Hacking
Warez
Virus
D.I. con causa:
Hacktivismo
CiberTerrorismo
CiberAcoso
DDoS
D.I. motivados por lucro:
Cracking
Fraude electrnico
Robo informtico
Robo de Identidad
Ingeniera Social
Phishing
Cartas Nigerianas
Wi-Fi hacking
WarDriving
Clonacin de tarjetas
DDoS, Virus, etc.
@JoelGomezMX
@LexInformatica
-
14/02/2012
16
www.JoelGomez.mx www.DerechoInformatico.mx
D.I. e Ilcitos vs. la Propiedad Intelectual
Delitos Informticos vs.
Derechos de Autor
Warez (Piratera)
Publicacin de Serial
Numbers
Vulneracin de
sistemas de seguridad
de software
File sharing P2P (litigio por redes peer to peer)
Ilcitos o infracciones vs.
Marcas Registradas
Disputas sobre nombres
de dominio (UDRP/LDRP)
Venta de palabras clave
(google)
Framing
Meta-tagging
Web defacement
Phishing, clonacin de
sitios web
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
D.I. e Ilcitos vs. la Privacidad, Intimidad y Confidencialidad Industrial
Contra las empresas,
instituciones y gobierno
Virus
Spyware / Malware
Sniffing / packet sniffers
Keyloggers
Hacking / Cracking
Ingeniera Social
Robo informtico de
informacin confidencial o
secretos industriales
Contra las personas
Robo de identidad
Phishing
Carding y clonacin
CiberAcoso
Spamming
Difamacin y calumnia en
redes sociales y cadenas
de correos electrnicos
Pornografa infantil
Corrupcin de menores
@JoelGomezMX
@LexInformatica
-
14/02/2012
17
www.JoelGomez.mx www.DerechoInformatico.mx
Hacktivismo (un acrnimo de hacker y activismo) se entiende normalmente la utilizacin no-violenta? de herramientas digitales ilegales o legalmente ambiguas persiguiendo fines polticos.
Estas herramientas incluyen desfiguraciones de webs, redirecciones, ataques de denegacin de servicio, robo de informacin, parodias, sustituciones virtuales, sabotajes virtuales y desarrollo de software.
@JoelGomezMX
@LexInformatica
Qu es Hacktivismo?
-
14/02/2012
18
www.JoelGomez.mx www.DerechoInformatico.mx
Qu es (H)ac(k)tivismo?
Hacktivismo es el matrimonio entre el hackeo y
el activismo; incluye procedimientos que usan
tcnicas de hackeo contra un sitio web con la
intencin de interrumpir las operaciones
normales sin causar daos serios. Ejemplos
son: protestas web y bloqueos virtuales,
bombas automatizadas de correo electrnico,
intrusiones a computadoras, y virus/gusanos
informticos. Dra. Dorothy Denning
Profesora de la Universidad de Georgetown
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Qu es el (Ciber) Activismo?
(Ciber) Activismo es el uso normal no disruptivo de Internet para apoyar una causa a agenda. Operaciones en esta rea incluyen navegacin en la web, construccin de sitios web y publicacin de materiales en ellos, difundir publicaciones electrnicas y cartas por correo electrnico, y uso del internet para discutir asuntos, formar coaliciones y planear o coordinar actividades.
Dra. Dorothy Denning
Profesora de la Universidad de Georgetown
@JoelGomezMX
@LexInformatica
-
14/02/2012
19
www.JoelGomez.mx www.DerechoInformatico.mx
Historia y orgenes del (H)ac(k)tivismo
(H)ac(k)tivismo Grupos ambientalistas, anti-nucleares, anti-guerras,
pro-derechos humanos, etc. pueden usar la red para promover ciber-desobediencia civil.
Ciber-guerra civil 1995: Ciudadanos franceses e italianos protestaron contra las acciones y polticas de su gobierno sitiando la presencia de dichos gobiernos en internet.
1996: La Casa Blanca fue el blanco de una imensa tormenta de transmisin de correos electrnicos, cada uno conteniendo una copia del Bill of Rights. El objetivo era inhibir el sitio web de la presidencia.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Historia y orgenes del (H)ac(k)tivismo
(H)ac(k)tivismo
Ciber-guerra civil (1998)...
Una instalacin nuclear de la India fue hackeada despus de
pruebas de armamento y bombas atmicas.
Un grupo llamado The Hong Kong Blondes hackeo la red informtica de la Polica China, como forma de protesta en
contra de los arrestos polticos.
@JoelGomezMX
@LexInformatica
-
14/02/2012
20
www.JoelGomez.mx www.DerechoInformatico.mx
(H)ac(k)tivismo en Mxico
En marzo de 1996, mexicanos promovieron huelgas por internet similares a las que haban ocurrido en Europa en 1995 y 1996 (ataques cibernticos a sitios web franceses, italianos y de EUA, como protesta por sus polticas pblicas).
En mayo de 1996, hacktivistas lanzaron ataques de denegacin de servicio al grupo de noticias de usernet llamado alt.religion.scientology en un intento aparente de sofocar la crtica e intolerancia de la Iglesia hacia sus detractores.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
-
14/02/2012
21
www.JoelGomez.mx www.DerechoInformatico.mx
(H)ac(k)tivismo en Mxico
En septiembre de 1998, el grupo de hackers-
hacktivistas llamado Electronic Disturbance Teather - EDT, como muestra de apoyo y solidaridad a los Zapatistas Mexicanos, lanz
un ataque masivo de denegacin de servicios
en contra de sitios web del Pentgono, la Casa
Blanca y del gobierno
mexicano presidido en
aquel entonces por
Ernesto Zedillo.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
(H)ac(k)tivismo en Mxico
Brett Stalbaum, uno de los lderes de EDT, cre
un programa de software llamado The Zapatista FloodNet para facilitar los ataques.
18,615 personas en 46 distintos pases,
apoyaron desde sus computadoras el ataque
masivo contra estos sitios de gobierno de
Mxico y Estados Unidos. Ricardo Domnguez,
neoyorquino de padres mexicano, fue uno de
los principales protagonistas del EDT y de este
ataque DDoS.
@JoelGomezMX
@LexInformatica
-
14/02/2012
22
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
-
14/02/2012
23
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
-
14/02/2012
24
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
-
14/02/2012
25
www.JoelGomez.mx www.DerechoInformatico.mx
@JoelGomezMX
@LexInformatica
Video de Anonymous > #Op15Septiembre
www.JoelGomez.mx www.DerechoInformatico.mx
DoS es la abreviatura en ingls de Ataque de Denegacin de Servicios y DDoS corresponde a Ataque Distribuido de Denegacin de Servicios.
El objetivo de un ataque de denegacin de servicio (DoS) es hacer inoperable a un sistema (computadora). Algunos ataques de denegacin de servicio estn diseados para bloquear el sistema de destino, mientras que otros slo tienen por objeto provocar que el sistema de destino tan ocupado que no pueda manejar su carga normal de trabajo.
Qu es un DoS / DDoS?
@JoelGomezMX
@LexInformatica
-
14/02/2012
26
www.JoelGomez.mx www.DerechoInformatico.mx
Es un solo tipo de ataque? No, en realidad un ataque de denegacin de servicios (distribuido o no) puede llevarse a cabo de muy diversas maneras.
Qu NO es un DoS / DDoS? Este tipo de ataques no representan un hackeo tradicional, es decir, no hay intrusin o vulneracin de una computadora por acceso no autorizado. El agresor no tiene acceso a los archivos o informacin personal contenida en el servidor o computadora objetivo del ataque.
Qu es un DoS / DDoS?
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Lamentablemente resulta ser extremadamente sencillo, dado que
estos ataques se sustentan en ingeniera social.
Jorge Arciga, CIO de la Presidencia
Un ataque de negacin de servicio puede ser tan simple o complejo
como el atacante quiera. Puede requerir la participacin de
personas o ser completamente automatizado.
Adolfo Grego, especialista en seguridad informtica
En realidad no considero que se requiera un grado avanzado de
habilidades, sino slo un poco de curiosidad y tal vez, la voluntad
de querer ser parte de un movimiento (anti)social.
Alberto Ramrez, Gerente de Riesgo Tecnolgico de una institucin financiera
Qu tan sencillo es realizar un DoS?
@JoelGomezMX
@LexInformatica
-
14/02/2012
27
www.JoelGomez.mx www.DerechoInformatico.mx
En un ataque distribuido de denegacin de servicio (DDoS), un atacante puede controlar decenas o incluso cientos de servidores y apuntar toda esa potencia de ataque acumulada de todos estos sistemas a un nico objetivo (servidor o computadora). En lugar de lanzar un ataque desde un nico sistema (como sucede con el DoS), el atacante irrumpe en numerosos sitios, instala el script del ataque de denegacin de servicio a cada uno, y luego organiza un ataque coordinado para ampliar la intensidad de estas agresiones cibernticas. A este mtodo suele conocrsele como El Ataque de los Zombis, el cual dificulta a los investigadores forenses el rastreo de la fuente real del ataque.
Qu es un DoS / DDoS?
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Es ilegal realizar un DoS / DDoS?
Convenio de la Ciberdelincuencia (Convenio
de Budapest, vigente en 32 pases)
Artculo 5 (1) Ataques a la integridad del sistema. Cada Parte adoptar las medidas legislativas y de
otro tipo que resulten necesarias para tipificar como
delito en su derecho interno la obstaculizacin
grave, deliberada e ilegtima del funcionamiento de
un sistema informtico mediante la introduccin,
transmisin, dao, borrado, deterioro, alteracin o
supresin de datos informticos.
@JoelGomezMX
@LexInformatica
-
14/02/2012
28
www.JoelGomez.mx www.DerechoInformatico.mx
Es ilegal realizar un DoS / DDoS?
Espaa El que por cualquier medio, sin autorizacin y de manera
grave borrase, daase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informticos o documentos electrnicos ajenos, cuando el resultado producido fuera grave, ser castigado con la pena de prisin de seis meses a dos aos.
El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informtico ajeno, introduciendo, transmitiendo, daando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informticos, cuando el resultado producido fuera grave, ser castigado, con la pena de prisin de seis meses a tres aos.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Es ilegal realizar un DoS / DDoS?
Estados Unidos 18 U.S.C. 1030 (a) (5) (A) (i). A quien conscientemente
provoque la transmisin de un programa, informacin, cdigo o comandos, y como resultado de dicha conducta, intencionalmente cause dao sin autorizacin, a una computadora protegida, ser sancionado con:
Multa y/o prisin por no ms de 10 aos, 20 aos en caso de reincidencia.
Multa y/o prisin hasta por cadena perpetua si el delincuente conscientemente o negligentemente cause o intente causar la muerte.
Dao es definido por el artculo 18 U.S.C. 1030 (e) (8) como cualquier deterioro, insuficiencia o menoscabo a la integridad o disponibilidad de datos, programas, sistemas o informacin.
@JoelGomezMX
@LexInformatica
-
14/02/2012
29
www.JoelGomez.mx www.DerechoInformatico.mx
Es ilegal realizar un DoS / DDoS?
Colombia
Artculo 269 B: Obstaculizacin ilegtima de sistema
informtico o red de telecomunicacin. El que, sin estar
facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema
informtico, a los datos informticos all contenidos, o a
una red de telecomunicaciones, incurrir en pena de
prisin de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mnimos
legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.
@JoelGomezMX
@LexInformatica
-
14/02/2012
30
www.JoelGomez.mx www.DerechoInformatico.mx
Delitos Informticos en Mxico
El Cdigo Penal Federal se reforma el 17 de
Mayo de 1999 para incluir tres nuevas
categoras bajo el nuevo captulo Acceso Ilcito a Sistemas y Equipos de Informtica:
Accesos ilcitos a sistemas de particulares
Accesos ilcitos a sistemas de gobierno
Accesos ilcitos a sistemas del sector financiero
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Cdigo Penal Federal
Articulo 211 bis 1 al 7.- Castiga
Al que sin autorizacin (o estando autorizado)
modifique, destruya o provoque perdida de
informacin contenida en sistemas o equipos de
informtica {particulares, estatales o financieros}
protegidos por algn mecanismo de seguridad.
Al que sin autorizacin (o estando autorizado)
conozca o copie informacin contenida en sistemas
o equipos de informtica {particulares, estatales o
financieros} protegidos por algn mecanismo de
seguridad.
@JoelGomezMX
@LexInformatica
-
14/02/2012
31
www.JoelGomez.mx www.DerechoInformatico.mx
Cdigo Penal Federal
Sin autorizacin, modifique, destruya o provoque prdida
de informacin [equipos privados]: 6 meses a 2 aos de
prisin.
Sin autorizacin conozca o copie informacin contenida en
[equipos privados]: 3 meses a 1 ao de prisin.
Sin autorizacin, modifique, destruya o provoque prdida
de informacin [equipos del Estado]: 1 a 4 aos de prisin.
Sin autorizacin conozca o copie informacin contenida en
[equipos del Estado]: 6 meses a 2 aos de prisin.
Sin autorizacin conozca, obtenga, copie o utilice
informacin contenida en [equipos de Seguridad Pblica]:
4 a 10 aos de prisin.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Cdigo Penal Federal
Con autorizacin, modifique, destruya o provoque prdida de
informacin [equipos del Estado]: 2 a 8 aos de prisin.
Con autorizacin, copie informacin [equipos del Estado]: 1 a 4
aos de prisin.
Con autorizacin, obtenga, copie o utilice informacin [equipos de
Seguridad Pblica]: 4 a 10 aos de prisin.
Si es servidor pblico en institucin de SP, se incrementar la pena hasta en
una mitad, se destituir e inhabilitar por un plazo igual al de la pena para
desempearse en otro empleo o cargo pblico.
Sin autorizacin, modifique, destruya o provoque prdida de
informacin [equipos del Sistema Financiero]: 6 meses a 4 aos de
prisin.
Sin autorizacin conozca o copie informacin contenida en
[equipos del S.F.]: 3 meses a 2 aos de prisin.
@JoelGomezMX
@LexInformatica
-
14/02/2012
32
www.JoelGomez.mx www.DerechoInformatico.mx
Cdigo Penal Federal
Con autorizacin, modifique, destruya o provoque prdida de
informacin [equipos del S.F.]: 6 meses a 4 aos de prisin.
Con autorizacin, copie informacin [equipos del S.F.]: 3 meses a 2
aos de prisin.
Las penas previstas para delitos cometidos contra equipos del
Sistema Financiero se incrementarn en una mitad cuando las
conductas sean cometidas por funcionarios o empleados de dichas
instituciones.
Todas las penas anteriores se incrementarn en una mitad cuando
la informacin obtenida se utilice en provecho propio o ajeno.
@JoelGomezMX
@LexInformatica
www.JoelGomez.mx www.DerechoInformatico.mx
Qu falta regular?
Virus, gusanos,
troyanos (cdigo
malicioso)
CiberAcoso o
CyberBullying
HappySlapping
CiberVandalismo
Secuestro de Datos Informticos
Fraude Electrnico
Phishing / ID Theft
Ataques DoS / DDoS
Hacktivismo
Ciberterrorismo
@JoelGomezMX
@LexInformatica
-
14/02/2012
33
Joel A. Gmez Trevio
Twitter.com/JoelGomezMX
Twitter.com/LexInformatica
www.derechoinformatico.mx