seginf_m2aa2l2_amenazas
DESCRIPTION
Este documento establece las posibles amenazas que se pueden obtener al utilizar internet y las posibles soluciones que se pueden dar.TRANSCRIPT
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
1
SegInf_M2AA2L2_Amenazas
Debido al gran desarrollo que han tenido las Tecnologiacuteas de informacioacuten y comunicacioacuten (TIC) las organizaciones han buscado implantar las tecnologiacuteas necesarias que le permitan eficientar esfuerzos tiempo y costos Una de las principales caracteriacutesticas ha sido la reduccioacuten de tiempo en la generacioacuten y obtencioacuten de informacioacuten eso se puede ver claramente en la realizacioacuten de traacutemites ya que con las computadoras servidores y bases de datos se obtiene la informacioacuten del cliente de manera maacutes raacutepida lo que agiliza el trabajo y el servicio
Sin embargo con el crecimiento de las tecnologiacuteas tambieacuten llegan los riesgos ello se ve con los fraudes ciberneacuteticos el robo de informacioacuten confidencial la creacioacuten y propagacioacuten de virus entre otros fenoacutemenos Este factor ha llevado a que las organizaciones creen e implementen estrategias y planes que le permitan proteger su informacioacuten de los piratas los cuales buscan ingresar a las computadoras y servidores con la finalidad de ocasionar un dantildeo desde el robo de informacioacuten hasta hacer que funcionen mal sus equipos con la finalidad de boicotear lograr una remuneracioacuten econoacutemica o robar y vender informacioacuten privada
Debido a esta situacioacuten ha surgido la seguridad informaacutetica que seguacuten Jean-Marc (2004 p 9) es ldquola proteccioacuten contra todos los dantildeos sufridos o causados por la herramienta informaacutetica y originados por el acto voluntario y de mala fe de un individuordquo
Los dantildeos que pueden ser causados por un pirata que utiliza herramientas informaacuteticas son muy variados Pueden ir desde el robo la modificacioacuten o eliminacioacuten hasta la saturacioacuten de servicios estrateacutegicos de una organizacioacuten Por ello en una organizacioacuten es muy importante contar con los planes pertinentes de seguridad informaacutetica Por lo que es necesario que la empresa comprenda claramente cuaacuteles son las principales amenazas potenciales para asiacute proteger la informacioacuten de los usuarios sus equipos servidores y en general todo elemento tecnoloacutegico valioso para la organizacioacuten
pirata Seguacuten Jean-Marc (2004 p 12) un pirata ldquoes un individuo cuyo objetivo es acceder a los ordena-dores de su empresa Sus motivos son bastantes distintosrdquo
Figura 1 Danger (Rehse 2006)
Amenazas potenciales a la peacuterdida y violacioacuten de la informacioacuten
por Lucero Mendoza
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
2
SegInf_M2AA2L2_Amenazas
Amenazas potenciales
1 Pirateo 2 Denegacioacuten de servicios
3 Virus 4 Intercepcioacuten de informacioacuten
Se refiere al
acceso no autorizado de un
pirata a los sistemas de
informacioacuten de acuerdo al nivel
de acceso que logre podraacute
modificar o eliminar la
informacioacuten de los sistemas
Se refiere al
acceso del pirata a componentes
estrateacutegicos como servidor de
correo y el sitio web de la
organizacioacuten
Se refiere a
propagacioacuten de programas
maliciosos en los equipos de la
organizacioacuten y el cliente esta es
una de las amenazas maacutes
comunes y frecuentes
Se refiere a la
obtencioacuten indebida de
informacioacuten o documentos
confidencias por parte del pirata
Tipos
Descripcioacuten
Figura 3 Hang on keyboard (Rehse 2006)
Cabe mencionar que existen una gran variedad de amenazas informaacuteticas y a diario se crean nuevas por lo que es difiacutecil mostrarlas todas Aquiacute se citaraacuten las maacutes conocidas para lo cual se ha realizado la clasificacioacuten que se muestra en la Figura 1 Amenazas potenciales que fue disentildeada con informacioacuten de Jean-Marc (2004 p 12)
En el diagrama de Amenazas potenciales en la columna 4 dice se refiere a la obtencioacuten indebida de informacioacuten o documentos confidencias por parte del pirata debe decir confidenciales en lugar de confidencias
Figura 2 Amenazas potenciales (Jean-marc 2004 p 12)
Fuente Elaboracioacuten propia con ideas del capiacutetulo 1 del libro Seguridad en la informaacutetica de empresa de Marc R (2004 p 12) Barcelona ENI
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
3
SegInf_M2AA2L2_Amenazas
El pirateo de informacioacuten es una actividad que busca conseguir aplicaciones muy especiacuteficas para delinquir Las razones pueden ser muy distintas desde un robo de informacioacuten hasta todo un ataque general En la Figura 4 Pirateo se muestran algunos tipos de actividades finalidad y caracteriacutesticas de pirateo
1 Pirateo
Figura 4 Pirateo (Jean-Marc 2004 pp 13-15)
Pirateo
Espionaje industrial
Pirateo econoacutemico
Pirata luacutedico Script kiddies Empleado insatisfecho
Los piratas que
sustraen informacioacuten
confidencial de la organizacioacuten
Tipos
Son
Extorsionar o
paralizar el funcionamiento
de la empresa
Finalidad
Los piratas que
realizan malversacioacutenes
ya sea de informacioacuten o
de fondos
Caracteriacutesticas
Trabajan para
alguna empresa
Son expertos en espionaje
Disponen del equipo y medios
adecuados
Obtener un
bien puede ser productos o
dinero
Organizado
competente y persistente
Trabaja por su cuenta
Experimentado
en informaacutetica Realiza
estudios en informaacutetica
Actuacutea por placer intelectual
Causa pocos dantildeos
Es un fuerte adversario
Los piratas que
buscan vulnerabilidades
en el sistema de informacioacuten y
acceden a controlar
Probar que es
maacutes inteligente que la persona
encargada de la seguridad
Son nintildeos o
adolescentes que utilizan
programas de pirateo que se
encuentran en Internet
A menudo son
adolescentes Tienen pocos
conocimientos de informaacutetica y
seguridad Son una
amenaza importante
Jugar o hacer lo
que desee
Son empleados
antiguos que conocen la
forma de acceder al
sistema
Vengarse de la
organizacioacuten
Salieron mal de
la organizacioacuten Trabajaron en el
aacuterea de informaacutetica
son
finalidad
caracteriacutesticas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
4
SegInf_M2AA2L2_Amenazas
Sus siglas son DoS que significan Denial Of Service y como se ha mencionado antes consiste en el acceso que busca conseguir el pirata a componentes estrateacutegicos de la empresa el cual se muestra en la Figura 5 Acceso a componentes estrateacutegicos
2 Denegacioacuten de Servicios
Pirata Servidor Objetivo
Usuario Normal
Internet
Figura 5 Acceso a componentes estrateacutegicos
Como se puede observar en la Figura 5 el pirata por medio de su computadora con conexioacuten a Internet ataca al servidor objetivo el cual puede alojar un sistema paacutegina web una base de datos entre otras cosas La finalidad del ataque es saturar el servidor con peticiones (pedir acceso al servidor) y esto hace que una sobresaturacioacuten de acceso lo que provoca que el servidor se desestabilice pues no puede atender todos los llamados que se le hacen raacutepidamente Por esta razoacuten cuando un usuario normal intente acceder al servidor eacuteste responderaacute muy lentamente
En algunos casos el servidor atacado puede quedar fuera de servicio por completo ya sea por la sobresaturacioacuten o porque los encargados del mantenimiento de los servidores opten por apagarlo hasta que el ataque termine o encuentren una forma de detener el ataque mismo
Este tipo de ataques se hacen generalmente a sistemas de computadoras o a una red
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
5
SegInf_M2AA2L2_Amenazas
La DoS se puede clasificar en Distribuida y Distribuida por virus Esta clasificacioacuten junto con sus caracteriacutesticas se muestra en la Figura 6 Denegacioacuten de Servicios
Denegacioacuten de servicios
Distribuida Distribuida por virus
Consiste en cargar un programa de ataque simultaacuteneamente en diversas computadoras externas (esclavos) el programa se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque la finalidad es que los usuarios no puedan tener acceso al servidor
Es una variante de la denegacioacuten de servicios distribuidas la diferencia consiste en que el pirata no logra acceder a diversas computadoras externas por lo que realiza un virus que distribuye por Internet el virus se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque logrando saturarlo y desestabilizarlo asiacute los usuarios no podraacuten tener acceso al servidor objetivo
Esclavos Servidor Objetivo
Usuario Normal
Internet
Pirata
PCs con Virus Servidor Objetivo
Usuario Normal
Internet
Pirata
Figura 6 Denegacioacuten de servicios
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
6
SegInf_M2AA2L2_Amenazas
3 Virus
4 Intercepcioacuten de informacioacuten
Talavaacuten (2006 p 9) dice que ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Los virus son programas que han sido creados con la finalidad de reproducirse difundirse para generar alguacuten tipo de dantildeo en un equipo de coacutemputo es importante mencionar que es difiacutecil categorizar los distintos tipos de virus ya que actualmente existen de manera indiscriminada programas maliciosos que aparentan ser virus pero no lo constituyen realmente pues sus caracteriacutesticas son diferentes por ello en la Tabla 1 Tipos de virus se ha categorizado a los virus de acuerdo a su funcionamiento
Existen virus que pueden pertenecer a varias categoriacuteas ya que pueden tener las caracteriacutesticas de 2 diferentes tipos de categoriacuteas
Ver Tabla 1 en la paacutegina siguiente
Para llevar a cabo la intercepcioacuten de informacioacuten el pirata requiere de utilizar otras amenazas las cuales pueden ser denegacioacuten de servicios y virus
Ademaacutes el pirata tambieacuten puede crear sitios falsos que tengan gran parecido a los reales Por ejemplo sitios web de bancos grandes empresas empresas de pagos en dinero electroacutenico como PayPal
A continuacioacuten se muestra el enlace a un video en el que se puede observar como un pirata roba informacioacuten confidencial httpwwwyoutubecomwatchv=3r63sT9cqs4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
2
SegInf_M2AA2L2_Amenazas
Amenazas potenciales
1 Pirateo 2 Denegacioacuten de servicios
3 Virus 4 Intercepcioacuten de informacioacuten
Se refiere al
acceso no autorizado de un
pirata a los sistemas de
informacioacuten de acuerdo al nivel
de acceso que logre podraacute
modificar o eliminar la
informacioacuten de los sistemas
Se refiere al
acceso del pirata a componentes
estrateacutegicos como servidor de
correo y el sitio web de la
organizacioacuten
Se refiere a
propagacioacuten de programas
maliciosos en los equipos de la
organizacioacuten y el cliente esta es
una de las amenazas maacutes
comunes y frecuentes
Se refiere a la
obtencioacuten indebida de
informacioacuten o documentos
confidencias por parte del pirata
Tipos
Descripcioacuten
Figura 3 Hang on keyboard (Rehse 2006)
Cabe mencionar que existen una gran variedad de amenazas informaacuteticas y a diario se crean nuevas por lo que es difiacutecil mostrarlas todas Aquiacute se citaraacuten las maacutes conocidas para lo cual se ha realizado la clasificacioacuten que se muestra en la Figura 1 Amenazas potenciales que fue disentildeada con informacioacuten de Jean-Marc (2004 p 12)
En el diagrama de Amenazas potenciales en la columna 4 dice se refiere a la obtencioacuten indebida de informacioacuten o documentos confidencias por parte del pirata debe decir confidenciales en lugar de confidencias
Figura 2 Amenazas potenciales (Jean-marc 2004 p 12)
Fuente Elaboracioacuten propia con ideas del capiacutetulo 1 del libro Seguridad en la informaacutetica de empresa de Marc R (2004 p 12) Barcelona ENI
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
3
SegInf_M2AA2L2_Amenazas
El pirateo de informacioacuten es una actividad que busca conseguir aplicaciones muy especiacuteficas para delinquir Las razones pueden ser muy distintas desde un robo de informacioacuten hasta todo un ataque general En la Figura 4 Pirateo se muestran algunos tipos de actividades finalidad y caracteriacutesticas de pirateo
1 Pirateo
Figura 4 Pirateo (Jean-Marc 2004 pp 13-15)
Pirateo
Espionaje industrial
Pirateo econoacutemico
Pirata luacutedico Script kiddies Empleado insatisfecho
Los piratas que
sustraen informacioacuten
confidencial de la organizacioacuten
Tipos
Son
Extorsionar o
paralizar el funcionamiento
de la empresa
Finalidad
Los piratas que
realizan malversacioacutenes
ya sea de informacioacuten o
de fondos
Caracteriacutesticas
Trabajan para
alguna empresa
Son expertos en espionaje
Disponen del equipo y medios
adecuados
Obtener un
bien puede ser productos o
dinero
Organizado
competente y persistente
Trabaja por su cuenta
Experimentado
en informaacutetica Realiza
estudios en informaacutetica
Actuacutea por placer intelectual
Causa pocos dantildeos
Es un fuerte adversario
Los piratas que
buscan vulnerabilidades
en el sistema de informacioacuten y
acceden a controlar
Probar que es
maacutes inteligente que la persona
encargada de la seguridad
Son nintildeos o
adolescentes que utilizan
programas de pirateo que se
encuentran en Internet
A menudo son
adolescentes Tienen pocos
conocimientos de informaacutetica y
seguridad Son una
amenaza importante
Jugar o hacer lo
que desee
Son empleados
antiguos que conocen la
forma de acceder al
sistema
Vengarse de la
organizacioacuten
Salieron mal de
la organizacioacuten Trabajaron en el
aacuterea de informaacutetica
son
finalidad
caracteriacutesticas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
4
SegInf_M2AA2L2_Amenazas
Sus siglas son DoS que significan Denial Of Service y como se ha mencionado antes consiste en el acceso que busca conseguir el pirata a componentes estrateacutegicos de la empresa el cual se muestra en la Figura 5 Acceso a componentes estrateacutegicos
2 Denegacioacuten de Servicios
Pirata Servidor Objetivo
Usuario Normal
Internet
Figura 5 Acceso a componentes estrateacutegicos
Como se puede observar en la Figura 5 el pirata por medio de su computadora con conexioacuten a Internet ataca al servidor objetivo el cual puede alojar un sistema paacutegina web una base de datos entre otras cosas La finalidad del ataque es saturar el servidor con peticiones (pedir acceso al servidor) y esto hace que una sobresaturacioacuten de acceso lo que provoca que el servidor se desestabilice pues no puede atender todos los llamados que se le hacen raacutepidamente Por esta razoacuten cuando un usuario normal intente acceder al servidor eacuteste responderaacute muy lentamente
En algunos casos el servidor atacado puede quedar fuera de servicio por completo ya sea por la sobresaturacioacuten o porque los encargados del mantenimiento de los servidores opten por apagarlo hasta que el ataque termine o encuentren una forma de detener el ataque mismo
Este tipo de ataques se hacen generalmente a sistemas de computadoras o a una red
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
5
SegInf_M2AA2L2_Amenazas
La DoS se puede clasificar en Distribuida y Distribuida por virus Esta clasificacioacuten junto con sus caracteriacutesticas se muestra en la Figura 6 Denegacioacuten de Servicios
Denegacioacuten de servicios
Distribuida Distribuida por virus
Consiste en cargar un programa de ataque simultaacuteneamente en diversas computadoras externas (esclavos) el programa se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque la finalidad es que los usuarios no puedan tener acceso al servidor
Es una variante de la denegacioacuten de servicios distribuidas la diferencia consiste en que el pirata no logra acceder a diversas computadoras externas por lo que realiza un virus que distribuye por Internet el virus se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque logrando saturarlo y desestabilizarlo asiacute los usuarios no podraacuten tener acceso al servidor objetivo
Esclavos Servidor Objetivo
Usuario Normal
Internet
Pirata
PCs con Virus Servidor Objetivo
Usuario Normal
Internet
Pirata
Figura 6 Denegacioacuten de servicios
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
6
SegInf_M2AA2L2_Amenazas
3 Virus
4 Intercepcioacuten de informacioacuten
Talavaacuten (2006 p 9) dice que ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Los virus son programas que han sido creados con la finalidad de reproducirse difundirse para generar alguacuten tipo de dantildeo en un equipo de coacutemputo es importante mencionar que es difiacutecil categorizar los distintos tipos de virus ya que actualmente existen de manera indiscriminada programas maliciosos que aparentan ser virus pero no lo constituyen realmente pues sus caracteriacutesticas son diferentes por ello en la Tabla 1 Tipos de virus se ha categorizado a los virus de acuerdo a su funcionamiento
Existen virus que pueden pertenecer a varias categoriacuteas ya que pueden tener las caracteriacutesticas de 2 diferentes tipos de categoriacuteas
Ver Tabla 1 en la paacutegina siguiente
Para llevar a cabo la intercepcioacuten de informacioacuten el pirata requiere de utilizar otras amenazas las cuales pueden ser denegacioacuten de servicios y virus
Ademaacutes el pirata tambieacuten puede crear sitios falsos que tengan gran parecido a los reales Por ejemplo sitios web de bancos grandes empresas empresas de pagos en dinero electroacutenico como PayPal
A continuacioacuten se muestra el enlace a un video en el que se puede observar como un pirata roba informacioacuten confidencial httpwwwyoutubecomwatchv=3r63sT9cqs4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
3
SegInf_M2AA2L2_Amenazas
El pirateo de informacioacuten es una actividad que busca conseguir aplicaciones muy especiacuteficas para delinquir Las razones pueden ser muy distintas desde un robo de informacioacuten hasta todo un ataque general En la Figura 4 Pirateo se muestran algunos tipos de actividades finalidad y caracteriacutesticas de pirateo
1 Pirateo
Figura 4 Pirateo (Jean-Marc 2004 pp 13-15)
Pirateo
Espionaje industrial
Pirateo econoacutemico
Pirata luacutedico Script kiddies Empleado insatisfecho
Los piratas que
sustraen informacioacuten
confidencial de la organizacioacuten
Tipos
Son
Extorsionar o
paralizar el funcionamiento
de la empresa
Finalidad
Los piratas que
realizan malversacioacutenes
ya sea de informacioacuten o
de fondos
Caracteriacutesticas
Trabajan para
alguna empresa
Son expertos en espionaje
Disponen del equipo y medios
adecuados
Obtener un
bien puede ser productos o
dinero
Organizado
competente y persistente
Trabaja por su cuenta
Experimentado
en informaacutetica Realiza
estudios en informaacutetica
Actuacutea por placer intelectual
Causa pocos dantildeos
Es un fuerte adversario
Los piratas que
buscan vulnerabilidades
en el sistema de informacioacuten y
acceden a controlar
Probar que es
maacutes inteligente que la persona
encargada de la seguridad
Son nintildeos o
adolescentes que utilizan
programas de pirateo que se
encuentran en Internet
A menudo son
adolescentes Tienen pocos
conocimientos de informaacutetica y
seguridad Son una
amenaza importante
Jugar o hacer lo
que desee
Son empleados
antiguos que conocen la
forma de acceder al
sistema
Vengarse de la
organizacioacuten
Salieron mal de
la organizacioacuten Trabajaron en el
aacuterea de informaacutetica
son
finalidad
caracteriacutesticas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
4
SegInf_M2AA2L2_Amenazas
Sus siglas son DoS que significan Denial Of Service y como se ha mencionado antes consiste en el acceso que busca conseguir el pirata a componentes estrateacutegicos de la empresa el cual se muestra en la Figura 5 Acceso a componentes estrateacutegicos
2 Denegacioacuten de Servicios
Pirata Servidor Objetivo
Usuario Normal
Internet
Figura 5 Acceso a componentes estrateacutegicos
Como se puede observar en la Figura 5 el pirata por medio de su computadora con conexioacuten a Internet ataca al servidor objetivo el cual puede alojar un sistema paacutegina web una base de datos entre otras cosas La finalidad del ataque es saturar el servidor con peticiones (pedir acceso al servidor) y esto hace que una sobresaturacioacuten de acceso lo que provoca que el servidor se desestabilice pues no puede atender todos los llamados que se le hacen raacutepidamente Por esta razoacuten cuando un usuario normal intente acceder al servidor eacuteste responderaacute muy lentamente
En algunos casos el servidor atacado puede quedar fuera de servicio por completo ya sea por la sobresaturacioacuten o porque los encargados del mantenimiento de los servidores opten por apagarlo hasta que el ataque termine o encuentren una forma de detener el ataque mismo
Este tipo de ataques se hacen generalmente a sistemas de computadoras o a una red
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
5
SegInf_M2AA2L2_Amenazas
La DoS se puede clasificar en Distribuida y Distribuida por virus Esta clasificacioacuten junto con sus caracteriacutesticas se muestra en la Figura 6 Denegacioacuten de Servicios
Denegacioacuten de servicios
Distribuida Distribuida por virus
Consiste en cargar un programa de ataque simultaacuteneamente en diversas computadoras externas (esclavos) el programa se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque la finalidad es que los usuarios no puedan tener acceso al servidor
Es una variante de la denegacioacuten de servicios distribuidas la diferencia consiste en que el pirata no logra acceder a diversas computadoras externas por lo que realiza un virus que distribuye por Internet el virus se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque logrando saturarlo y desestabilizarlo asiacute los usuarios no podraacuten tener acceso al servidor objetivo
Esclavos Servidor Objetivo
Usuario Normal
Internet
Pirata
PCs con Virus Servidor Objetivo
Usuario Normal
Internet
Pirata
Figura 6 Denegacioacuten de servicios
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
6
SegInf_M2AA2L2_Amenazas
3 Virus
4 Intercepcioacuten de informacioacuten
Talavaacuten (2006 p 9) dice que ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Los virus son programas que han sido creados con la finalidad de reproducirse difundirse para generar alguacuten tipo de dantildeo en un equipo de coacutemputo es importante mencionar que es difiacutecil categorizar los distintos tipos de virus ya que actualmente existen de manera indiscriminada programas maliciosos que aparentan ser virus pero no lo constituyen realmente pues sus caracteriacutesticas son diferentes por ello en la Tabla 1 Tipos de virus se ha categorizado a los virus de acuerdo a su funcionamiento
Existen virus que pueden pertenecer a varias categoriacuteas ya que pueden tener las caracteriacutesticas de 2 diferentes tipos de categoriacuteas
Ver Tabla 1 en la paacutegina siguiente
Para llevar a cabo la intercepcioacuten de informacioacuten el pirata requiere de utilizar otras amenazas las cuales pueden ser denegacioacuten de servicios y virus
Ademaacutes el pirata tambieacuten puede crear sitios falsos que tengan gran parecido a los reales Por ejemplo sitios web de bancos grandes empresas empresas de pagos en dinero electroacutenico como PayPal
A continuacioacuten se muestra el enlace a un video en el que se puede observar como un pirata roba informacioacuten confidencial httpwwwyoutubecomwatchv=3r63sT9cqs4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
4
SegInf_M2AA2L2_Amenazas
Sus siglas son DoS que significan Denial Of Service y como se ha mencionado antes consiste en el acceso que busca conseguir el pirata a componentes estrateacutegicos de la empresa el cual se muestra en la Figura 5 Acceso a componentes estrateacutegicos
2 Denegacioacuten de Servicios
Pirata Servidor Objetivo
Usuario Normal
Internet
Figura 5 Acceso a componentes estrateacutegicos
Como se puede observar en la Figura 5 el pirata por medio de su computadora con conexioacuten a Internet ataca al servidor objetivo el cual puede alojar un sistema paacutegina web una base de datos entre otras cosas La finalidad del ataque es saturar el servidor con peticiones (pedir acceso al servidor) y esto hace que una sobresaturacioacuten de acceso lo que provoca que el servidor se desestabilice pues no puede atender todos los llamados que se le hacen raacutepidamente Por esta razoacuten cuando un usuario normal intente acceder al servidor eacuteste responderaacute muy lentamente
En algunos casos el servidor atacado puede quedar fuera de servicio por completo ya sea por la sobresaturacioacuten o porque los encargados del mantenimiento de los servidores opten por apagarlo hasta que el ataque termine o encuentren una forma de detener el ataque mismo
Este tipo de ataques se hacen generalmente a sistemas de computadoras o a una red
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
5
SegInf_M2AA2L2_Amenazas
La DoS se puede clasificar en Distribuida y Distribuida por virus Esta clasificacioacuten junto con sus caracteriacutesticas se muestra en la Figura 6 Denegacioacuten de Servicios
Denegacioacuten de servicios
Distribuida Distribuida por virus
Consiste en cargar un programa de ataque simultaacuteneamente en diversas computadoras externas (esclavos) el programa se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque la finalidad es que los usuarios no puedan tener acceso al servidor
Es una variante de la denegacioacuten de servicios distribuidas la diferencia consiste en que el pirata no logra acceder a diversas computadoras externas por lo que realiza un virus que distribuye por Internet el virus se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque logrando saturarlo y desestabilizarlo asiacute los usuarios no podraacuten tener acceso al servidor objetivo
Esclavos Servidor Objetivo
Usuario Normal
Internet
Pirata
PCs con Virus Servidor Objetivo
Usuario Normal
Internet
Pirata
Figura 6 Denegacioacuten de servicios
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
6
SegInf_M2AA2L2_Amenazas
3 Virus
4 Intercepcioacuten de informacioacuten
Talavaacuten (2006 p 9) dice que ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Los virus son programas que han sido creados con la finalidad de reproducirse difundirse para generar alguacuten tipo de dantildeo en un equipo de coacutemputo es importante mencionar que es difiacutecil categorizar los distintos tipos de virus ya que actualmente existen de manera indiscriminada programas maliciosos que aparentan ser virus pero no lo constituyen realmente pues sus caracteriacutesticas son diferentes por ello en la Tabla 1 Tipos de virus se ha categorizado a los virus de acuerdo a su funcionamiento
Existen virus que pueden pertenecer a varias categoriacuteas ya que pueden tener las caracteriacutesticas de 2 diferentes tipos de categoriacuteas
Ver Tabla 1 en la paacutegina siguiente
Para llevar a cabo la intercepcioacuten de informacioacuten el pirata requiere de utilizar otras amenazas las cuales pueden ser denegacioacuten de servicios y virus
Ademaacutes el pirata tambieacuten puede crear sitios falsos que tengan gran parecido a los reales Por ejemplo sitios web de bancos grandes empresas empresas de pagos en dinero electroacutenico como PayPal
A continuacioacuten se muestra el enlace a un video en el que se puede observar como un pirata roba informacioacuten confidencial httpwwwyoutubecomwatchv=3r63sT9cqs4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
5
SegInf_M2AA2L2_Amenazas
La DoS se puede clasificar en Distribuida y Distribuida por virus Esta clasificacioacuten junto con sus caracteriacutesticas se muestra en la Figura 6 Denegacioacuten de Servicios
Denegacioacuten de servicios
Distribuida Distribuida por virus
Consiste en cargar un programa de ataque simultaacuteneamente en diversas computadoras externas (esclavos) el programa se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque la finalidad es que los usuarios no puedan tener acceso al servidor
Es una variante de la denegacioacuten de servicios distribuidas la diferencia consiste en que el pirata no logra acceder a diversas computadoras externas por lo que realiza un virus que distribuye por Internet el virus se ejecutaraacute en una fecha y hora establecida y saturaraacute el servidor que es objeto del ataque logrando saturarlo y desestabilizarlo asiacute los usuarios no podraacuten tener acceso al servidor objetivo
Esclavos Servidor Objetivo
Usuario Normal
Internet
Pirata
PCs con Virus Servidor Objetivo
Usuario Normal
Internet
Pirata
Figura 6 Denegacioacuten de servicios
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
6
SegInf_M2AA2L2_Amenazas
3 Virus
4 Intercepcioacuten de informacioacuten
Talavaacuten (2006 p 9) dice que ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Los virus son programas que han sido creados con la finalidad de reproducirse difundirse para generar alguacuten tipo de dantildeo en un equipo de coacutemputo es importante mencionar que es difiacutecil categorizar los distintos tipos de virus ya que actualmente existen de manera indiscriminada programas maliciosos que aparentan ser virus pero no lo constituyen realmente pues sus caracteriacutesticas son diferentes por ello en la Tabla 1 Tipos de virus se ha categorizado a los virus de acuerdo a su funcionamiento
Existen virus que pueden pertenecer a varias categoriacuteas ya que pueden tener las caracteriacutesticas de 2 diferentes tipos de categoriacuteas
Ver Tabla 1 en la paacutegina siguiente
Para llevar a cabo la intercepcioacuten de informacioacuten el pirata requiere de utilizar otras amenazas las cuales pueden ser denegacioacuten de servicios y virus
Ademaacutes el pirata tambieacuten puede crear sitios falsos que tengan gran parecido a los reales Por ejemplo sitios web de bancos grandes empresas empresas de pagos en dinero electroacutenico como PayPal
A continuacioacuten se muestra el enlace a un video en el que se puede observar como un pirata roba informacioacuten confidencial httpwwwyoutubecomwatchv=3r63sT9cqs4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
6
SegInf_M2AA2L2_Amenazas
3 Virus
4 Intercepcioacuten de informacioacuten
Talavaacuten (2006 p 9) dice que ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Los virus son programas que han sido creados con la finalidad de reproducirse difundirse para generar alguacuten tipo de dantildeo en un equipo de coacutemputo es importante mencionar que es difiacutecil categorizar los distintos tipos de virus ya que actualmente existen de manera indiscriminada programas maliciosos que aparentan ser virus pero no lo constituyen realmente pues sus caracteriacutesticas son diferentes por ello en la Tabla 1 Tipos de virus se ha categorizado a los virus de acuerdo a su funcionamiento
Existen virus que pueden pertenecer a varias categoriacuteas ya que pueden tener las caracteriacutesticas de 2 diferentes tipos de categoriacuteas
Ver Tabla 1 en la paacutegina siguiente
Para llevar a cabo la intercepcioacuten de informacioacuten el pirata requiere de utilizar otras amenazas las cuales pueden ser denegacioacuten de servicios y virus
Ademaacutes el pirata tambieacuten puede crear sitios falsos que tengan gran parecido a los reales Por ejemplo sitios web de bancos grandes empresas empresas de pagos en dinero electroacutenico como PayPal
A continuacioacuten se muestra el enlace a un video en el que se puede observar como un pirata roba informacioacuten confidencial httpwwwyoutubecomwatchv=3r63sT9cqs4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
7
SegInf_M2AA2L2_Amenazas
sector de arranque es el primer sector del disco duro que contiene la informacioacuten necesaria para cargar (iniciar) el sistema operativo de una computadora
macros ldquoAlmacenamiento cronoloacutegico de pulsaciones de teclas acciones de comandos instrucciones e incluso mov-imientos del mouse con el fin de automatizar o economizar procedimientosrdquo (Alegsa 2009 paacuterr 1)
Tabla 1 Tipos de virus
Nombre Caracteriacutesticas
Ejemplos
Virus residentes Son aquellos virus que se ocultan de manera permanente o residente en la memora RAM de la computadora con la finalidad de interceptar y controlar
las operaciones realizadas por el sistema operativo de esta forma infecta todos los archivos yo programas que se ejecuten abran cierren copien
etc
Randex
CMJ
Meve
MrKlunky
Virus de accioacuten
directa
Son aquellos virus que al momento de ser ejecutados se reproducen
ademaacutes buscan los archivos que se encuentran en el mismo directorio para contagiarlos Otra caracteriacutestica de estos virus es que los archivos
infectados se restauran completamente
Virus de
sobreescritura
Son aquellos virus que destruyen la informacioacuten que hay en los archivos
que infecta Way
TrjReboot
Trivial88D
Virus de Boot Son aquellos virus que infectan el sector de arranque de los dispositivos extraiacutebles (disquetes memorias usb memorias sd entre otros) y discos
duros de la computadora
PolybootB
AntiEXE
Virus de macros Son aquellos virus que infectan los archivos que se han creado utilizando
macros los programas que permiten el uso de macros son Microsoft Office Word Microsoft Office Excel Microsoft Office Access y Microsoft
Office PowerPoint entre otros
Relax
MelissaA
Bablas
O97MY2K
Virus de enlace
o directorio
Son aquellos virus que alteran las direcciones (Ejemplo CMis documentos ) en donde se guardan los archivos asiacute al tratar de abrir un
programa infectado lo que en realidad estaacute ejecutando es el virus el cual ya ha alterado la direccioacuten en el cual se aloja originalmente el programa y
hace referencia a la direccioacuten en donde se aloja el virus
Virus encriptado Es una teacutecnica utilizada por los virus que pertenecen a otras
clasificaciones estos virus se cifran a ellos mismos para no ser descubiertos por los antivirus despueacutes se descifran realizan su ataque y
se vuelven a cifrar
Elvira
Trile
Virus Polimoacuterfico Son aquellos virus que en cada infeccioacuten se cifran de diferente forma para
ello utiliza diversos algoritmos de encriptacioacuten Elkern
Marbug
Satan Bug
Tuareg
Virus
Multipatites
Son aquellos virus avanzados que realizan muacuteltiples infecciones para ello combinan diferentes teacutecnicas la finalidad es infectar archivos programas
macros y discos entre otros Estos virus son muy peligrosos pues al combinar diferentes teacutecnicas de
infeccioacuten los dantildeos que provocan son mayores
Ywinz
Virus de
programas o
archivos
Son aquellos virus que infectan programas o archivos ejecutables
(extensiones EXE o COM) el virus se activa cuando se ejecuta el programa infectado es importante mencionar que la mayoriacutea de los virus
pertenecen a esta categoriacutea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
8
SegInf_M2AA2L2_Amenazas
Actividades ilegales
Malware
Virus Gusanos Caballos de
troya Crimeware
Bot Programas
espiacutea
Backdoors
Fraude en liacutenea
Phishing Pharming
Otras actividades ilegales
Hoax Spam Bombas
loacutegicas
Residentes
De accioacuten
directa
De sobreescritura
De Boot
De Macros
De enlace o
directorio
Encriptado
Polimoacuterfico
Multipatites
De programas o
archivos
Adware
Actividades ilegales
Finalmente es importante mencionar que para llevar a cabo cualquiera de las cuatro amenazas potenciales se requiere de herramientas tecnoloacutegicas de software y de estrategias de infeccioacuten las cuales pueden ser muy variadas En la Figura 7 Actividades ilegales se muestra una clasificacioacuten de las herramientas y estrategias de infeccioacuten maacutes comunes
Figura 7 Actividades ilegales
Figura 7 Programmer 1 (MIlen 2005)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
9
SegInf_M2AA2L2_Amenazas
Lista de definiciones ilegales
En la Tabla 2 se muestran las definiciones de algunos de los conceptos que se muestran en el mapa anterior
Nombre Definicioacuten
Malware Se le conoce tambieacuten como software de actividades ilegales utiliza herramientas de comunicacioacuten
conocidas con la finalidad de distribuir virus gusanos y caballos de Troya por medio de correo electroacutenico y mensajes instantaacuteneos
Virus De acuerdo a Talavaacuten (2006 p 9) ldquoun virus (tambieacuten conocido como virus informaacutetico) no es otra cosa que un programa destinado a dantildear de alguna manera el equipo en que se encuentra instaladordquo
Gusanos Jamrichoja y Oja (2008 p p 159) dicen que un gusano ldquoes un programa que se duplica para realizar una actividad no autorizada en la computadora de la victimardquo
Caballo de
Troya
Jamrichoja y Oja (2008 p p 159) comentan que ldquoes un programa que parece realizar una funcioacuten cuando en realidad hace algo maacutes estaacute disentildeado para esparcirse a otras computadoras y no suelen
estar disentildeados para que se dupliquen
Bomba loacutegica Jean-Marc (2004 p 208) menciona que ldquoes un virus concedido para esperar un evento especiacutefico
para activarse El evento esperado puede ser una fecha una hora determinada el hecho de que el disco duro del ordenador alcance una cierta cuota un evento proveniente del exterior como la
recepcioacuten de un e-mail que contenga un cierto coacutedigo o la actualizacioacuten de una paacutegina de un sitio Webrdquo
Crimeware Son las herramientas de software que se utilizan para realizar delitos ciberneacuteticos generalmente se le llama software de actividades ilegales
Bot De acuerdo a Symantec (2010)
Es un tipo de programa malicioso que permite a un atacante tomar el control de un equipo infectado Por lo general los
bots tambieacuten conocidos como robots web son parte de una red de maacutequinas infectadas conocidas como ldquobotnetrdquo que comuacutenmente estaacute compuesta por maacutequinas viacutectimas de todo el mundo
Programas
espiacutea
Seguacuten Symantec (2010)
Es un teacutermino general que designa los programas que controlan de forma encubierta la actividad del usuario en el
equipo y que recopilan informacioacuten personal como por ejemplo nombres de usuario contrasentildeas nuacutemeros de cuenta archivos e incluso el nuacutemero de la licencia de conducir o de la seguridad social
Backdoors Jean-Marc (2004 p 208)menciona que (Puerta trasera u oculta) es un sistema que permite a su autor acceder al ordenador del usuario sobrepasando todas las protecciones implementadas
Hoax Alegsa (2009) menciona que es un ldquomensaje de e-mail con contenido falso o engantildeoso generalmente proveniente en forma de cadena Los hoaxes suelen anunciar virus desastrosos engantildeos sobre
personas enfermas que necesitan ayuda o cualquier tipo de noticia sensacionalista falsardquo
Spam De acuerdo a Symantec (2010)
Es la versioacuten electroacutenica del correo basura Supone enviar mensajes no deseados a gran cantidad de destinatarios y por lo general se trata de publicidad no solicitadardquo ldquopuede usarse para enviar caballos de troya virus gusanos software
espiacutea y ataques dirigidos de robo de identidad (paacuterr 1)
Adware Son programas que contienen alguna forma de publicidad que se muestra automaacuteticamente cuando el
usuario ejecuta el software o abre alguna paacutegina Web
Phising Seguacuten Symantec (2010b) el phising ldquoo robo de identidad es baacutesicamente un tipo de estafa en liacutenea y
los autores de estos fraudes son artistas del engantildeo con conocimientos teacutecnicos y ladrones de identidadrdquo
Pharming Es una teacutecnica que se utiliza para realizar fraudes en liacutenea mediante la redireccioacuten de sitios Web esto es el usuario al momento de escribir una direccioacuten Web de un servicio en liacutenea es redirigido a una
paacutegina Web falsa en al cual el usuario al ingresar su informacioacuten y enviarla realmente la estaacute mandando a otra persona no a la institucioacuten
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
10
SegInf_M2AA2L2_Amenazas
Medios de distribucioacuten de amenazas potenciales
Existen diversos medios para llevar al cabo la propagacioacuten de las amenazas potenciales que hemos visto entre estos medios se encuentran
Unidades de almacenamiento Redes de computadoras Internet
o Correo electroacutenicoo Paacuteginas webo Descarga de archivoso CD y DVDo Salas de charla (Chats)o Grupos de noticias
En una empresa que se dedica a los negocios electroacutenicos es muy importante asegurar al consumidor la fiabilidad y confiabilidad del sitio web de la organizacioacuten ya que en eacutel se realizan transacciones monetarias y de informacioacuten personal y confidencial por medio de Internet A estas transacciones se les llama comuacutenmente transacciones electroacutenicas utilizadas en su mayoriacutea para realizar pagos en Internet o pagos electroacutenicos Existen diversas maneras de realizar estos pagos entre las maacutes comunes y usadas se encuentran
Pagos electroacutenicos por medio de tarjetas de deacutebito y creacutedito En el momento de la transaccioacuten por Internet el usuario debe proporcionar sus datos el nuacutemero de su tarjeta (que viene al reverso o al frente de la tarjeta) y la cantidad a pagar por medio de un formulario en una paacutegina web Al presionar un botoacuten que permite finalizar la transaccioacuten se enviacutea la informacioacuten la cual es validada por los sistemas que se encuentran en los servidores de la empresa Esta forma de pago es la maacutes utilizada en Internet
Pagos electroacutenicos por medio de dinero electroacutenico El dinero electroacutenico funciona muy parecido al dinero real la principal finalidad es que la persona que adquiere el dinero electroacutenico puede abstenerse de proporcionar sus datos y solamente realizar el pago por un bien o servicio Generalmente se utiliza para realizar pagos de poca cantidad de dinero Entre las empresas que proporcionan servicios de dinero electroacutenico se encuentran eCharge iPIN e InternetCash PayPal
Pagos electroacutenicos por medio de pago en efectivo Para utilizar este medio de pago el usuario debe estar previamente registrado es decir debe llenar un formulario con sus datos nombre direccioacuten y teleacutefono entre otros La forma de realizar esta transaccioacuten es seguir todo el proceso de compra el producto y cerrar la transaccioacuten La empresa enviacutea un correo electroacutenico al cliente o bien le llama por teleacutefono para verificar la veracidad de la transaccioacuten despueacutes de esta verificacioacuten la empresa enviacutea el producto con su factura y finalmente el usuario debe pagar la factura al recibir el producto Una de las empresas que ofrece esta forma de pago es Office Depot
Proteccioacuten de pagos en liacutenea
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
11
SegInf_M2AA2L2_Amenazas
Como se ha visto en estas maneras de realizar pagos existe informacioacuten que se requiere y que es importante por ello el cliente y la empresa deben cerciorarse de que la transaccioacuten que se estaacute realizando es segura y para ello se requieren diversos mecanismos de proteccioacuten confianza y seguridad (que se muestran en la Tabla 3 ldquoMecanismos de proteccioacuten y de seguridad para los pagos en liacuteneardquo) que garanticen que el cliente y la organizacioacuten son quienes afirman ser garantizando que el producto o servicio seraacute entrado por y a la persona indicada
Para poder implementar los mecanismos de proteccioacuten y seguridad para los pagos electroacutenicos existen diferentes herramientas entre las que se encuentran
Cifrado de datos (encriptacioacuten) Esta estrategia es utilizada para proteger los datos (o informacioacuten) que se transmiten por medio de una red o Internet y se encarga seguacuten Date (2001 p 520) de ldquoel guardado y la transmisioacuten de datos sensibles en forma cifradardquo
Firma electroacutenica De acuerdo al Coacutedigo de Comercio (2009 p 17) son
ldquolos datos en forma electroacutenica consignados en un Mensaje de Datos o adjuntados o loacutegicamente asociados al mismo por cualquier tecnologiacutea que son utilizados para identificar al Firmante en relacioacuten con el Mensaje de Datos e indicar que el Firmante aprueba la informacioacuten contenida en el Mensaje de Datos y que produce los mismos efectos juriacutedicos que la firma autoacutegrafa siendo admisible como prueba en juiciordquo Para tramitar una firma electroacutenica avanzada debe realizarse el traacutemite en hacienda la informacioacuten se encuentra en su sitio web FIEL (httpwwwsatgobmxsitio_internete_sattu_firma60_12877html)
Certificado digit al De acuerdo con Laudon amp Laudon (2008 p 342) ldquoLos certificados digitales son archivos de datos utilizados para establecer la identidad de los usuarios y activos electroacutenicos para la proteccioacuten de las transacciones en liacutenea Un sistema de certificados digitales recurre a un tercero confiable conocido como autoridad de certificacioacuten (CA) para validar la identidad de un usuariordquo
Tabla 3 Mecanismos de proteccioacuten y de seguridad para los pagos en liacutenea
Mecanismo Descripcioacuten
Solucioacuten electroacutenica
Autentificacioacuten Aseguramiento de que el consumidor y la organizacioacuten
involucrados en la transaccioacuten son quienes dicen ser
Certificados de seguridad
Firmas digitales
Integridad Aseguramiento de que la informacioacuten llegue sin alteraciones
Firmas electroacutenicas
Privacidad Garantizar que la informacioacuten seraacute leiacuteda o alterada por las personas
autentificadas para ello
Cifrado de datos
No rechazo Comprobar que las transacciones se
efectuaron en la fecha y hora que se hicieron
Firmas electroacutenicas
Accesiblidad Impedir el acceso de personas no autorizadas a la informacioacuten
Cifrado de datos
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
12
SegInf_M2AA2L2_Amenazas
El proceso de certificacioacuten que se muestra en la Imagen 2 ldquoCertificados digitalesrdquo consiste en lo siguiente
1) Se realiza la solicitud de certificado digital2) Esta informacioacuten (solicitud de certificado) se manada a la CA (quien comprueba la identidad
del usuario de un certificado) 3) Se crea un certificado digital encriptado el cual tiene los datos referentes a la identificacioacuten
del propietario y una copia de su clave puacuteblica 4) El certificado a continuacioacuten autentificaraacute que la clave puacuteblica pertenece al propietario
destinado poniendo asiacute la CA su clave puacuteblica a disposicioacuten de cualquiera (por escrito o Internet) Permitiendo asiacute al receptor de un mensaje encriptado utilizar la clave puacuteblica de la CA para decodificar el cerificado digital que se encuentra anexo al mensaje tambieacuten verifica que haya sido emitido por la CA
5) Finalmente obtendraacute la clave puacuteblica y la informacioacuten de identificacioacuten del emisor contenida en el certificado
De acuerdo con Laudon amp Laudon (2008 p 342)
ldquoel sistema de certificacioacuten digital podriacutea permitir por ejemplo que un usuario de tarjeta de creacutedito y un comerciante validaran que sus respectivos certificados digitales fueran emitidos por un tercero autorizado y confiable antes de intercambiar datos La infraestructura de clave puacuteblica (PKI) el uso de la criptografiacutea de clave puacuteblica que funciona con una autoridad de certificacioacuten actualmente se utiliza de manera generalizada en el comercio electroacutenicordquo
Figura 7 Certificados digitales (Laudon et al 2008 p 342)Fuente Elaboracioacuten propia con ideas de Laudon K y Laudon J (2008 p342)
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
VersioacutenNuacutemero de serie
Nombre del emisorNo es vaacutelido antes de ldquofechardquoNo es vaacutelido despueacutes de ldquofechardquoNombre del sujetoClave puacuteblica del sujetoAlgoritmoExtensionesFirma
datos como nombre direccioacuten de correoelectroacutenico nombre de la empresa y clave puacuteblica)
ClienteAutoridad
Sitio web uotro socio de la
transaccioacuten
1
2
3
4
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
13
SegInf_M2AA2L2_Amenazas
Existen diferentes compantildeiacuteas certificadoras en el mundo entre las cuales se encuentran a) Verisign (httpwwwverisigncommx)b) IdenTrust (httpwwwidentrustcom)c) Keypost
En Meacutexico las certificadoras con las que se cuenta sona) Advantage Security afiliado a Verisign (httpwwwadvantage-securitycomspaPaginasDefaultaspx)
b) Ascertia (httpwwwascertiacom)
Entre las estrategias y medidas de proteccioacuten para el usuario es importante sentildealar que dentro de un negocio electroacutenico hablando de seguridad informaacutetica se tienen dos tipos de usuarios
Usuarios que trabajan dentro de la organizacioacuten Se refiere a las personas que laboran dentro de la organizacioacuten en cualquiera de las aacutereas que componen la misma
Usuarios (consumidores o clientes) de la organizacioacuten Se refiere a los consumidores o clientes que acceden a traveacutes de Internet a la organizacioacuten a realizar transacciones de compra y revisioacuten de estados de cuenta entre otros
Por ello se pueden definir las estrategias pertinentes para cada uno de estos usuarios ya que sus necesidades obligaciones y responsabilidades son diferentes
Estrategias y medidas de proteccioacuten para el usuario contra amenazas potenciales
Figura 8 Pictogram 3 (Szkurlatowski 2008)
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
14
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios que laboran dentro de la organizacioacuten se pueden definen en la Tabla 4 ldquoEstrategias y medidas de proteccioacuten para usuarios en la organizacioacutenrdquo la cual se muestra a continuacioacuten
Tabla 4 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Actualizacioacuten y
revisioacuten de
software
Escanear la computadora en busca de virus y definir un plan de accioacuten
junto con un cronograma de actividades para le revisioacuten instalacioacuten y actualizacioacuten de programas antivirus revisioacuten de las actualizaciones
del sistema operativo y versiones de software instalado en el equipo del usuario
Respaldo de
informacioacuten
Crear respaldos de la informacioacuten local (que se tenga dentro del disco duro) de la computadora
Informar Informar acerca de los nuevos virus y modos de transmisioacuten para asiacute evitar infecciones
Poliacuteticas de uso Definir e informar al usuario acerca de las poliacuteticas de uso que se le da equipo de coacutemputo
Restriccioacuten o acceso a mensajeros de acuerdo al a organizacioacuten y a los usuarios se permitiraacute o no
Acceso a paacuteginas de Internet delimitar el acceso a ciertos sitios Web de Internet en caso que aplique describir los sitios permitidos y
no permitidos Restriccioacuten o acceso a portales y juegos en el equipo
Restriccioacuten o acceso a la instalacioacuten de programas desconocido o pirateo queda restringido ello es por seguridad de la organizacioacuten ya
que en caso de una auditoriacutea informaacutetica si se descubre software instalado de forma ilegal la organizacioacuten seraacute acreedora a una multa
para restringir al usuario sus privilegios de instalacioacuten se le asigna un usuario y una contrasentildea
Es importante mencionar que en esta seccioacuten se le menciona al usuario los permisos y restricciones acerca del uso de hardware
software y sitios Web de la computadora
Restricciones Restringir el acceso a los componentes de cada equipo y acceso a los sistemas de informacioacuten esta restriccioacuten de acceso se realiza de
acuerdo a las necesidades del usuario
Capacitacioacuten Capacitacioacuten en el uso de sistemas de informacioacuten y software que
utilizan los usuarios o aacutereas en el uso de correo electroacutenico y medios digitales de comunicacioacuten capacitacioacuten en seguridad y su relevancia
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
15
SegInf_M2AA2L2_Amenazas
Las estrategias y medidas de proteccioacuten de informacioacuten para los usuarios (consumidores) de la organizacioacuten los cuales interactuacutean con la empresa por medio de su paacutegina web se definen en la Tabla 5 ldquoEstrategias y medidas de proteccioacuten de informacioacuten para usuarios (consumidores)rdquo
Tabla 5 Estrategias y medidas de proteccioacuten para usuarios en la organizacioacuten
Estrategia Descripcioacuten
Teacuterminos legales Incluir en el sitio Web los teacuterminos legales y poliacuteticas de privacidad con las que cuenta
la organizacioacuten en las que se incluyan los derechos y obligaciones del consumidor el proceso de ventas las poliacuteticas de entrega de productos y devoluciones de los
mismos
Certificado de
seguridad
Contar con alguacuten certificado de seguridad que le brinde al usuario la seguridad de sus
transacciones
Restricciones Restringir el acceso a informacioacuten confidencial por lo que el usuario deberaacute contar con
un usuario y contrasentildea que le permita el ingreso a su cuenta personal Pedir que las contrasentildeas tengan ciertas caracteriacutesticas como
No ser nombres propios o apellidos De preferencia no se relacione con informacioacuten personal del usuario
Sea de miacutenimo 6 caracteres
Delimitacioacuten De la cantidad de dinero que puede gastarse el usuario en caso de exceder cierta
cantidad verificar si la compra realmente la estaacute realizando ello con la finalidad de evitar cobros a tarjetas robadas o extraviadas
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
16
SegInf_M2AA2L2_Amenazas
Alegsa (2009) Definicioacuten de hoax Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDichoaxphp
Alegsa (2009) Definicioacuten de macros Recuperado el 12 de febrero de 2010 de httpwwwalegsacomarDicmacrophp
Caacutemara de Diputados del H Congreso de la Unioacuten (2011) Coacutedigo de Comercio Recuperado el 26 de enero de 2010 de httpwwwdiputadosgobmxLeyesBibliopdf3pdf (Coacutedigo publicado originalmente el 7 de octubre de 1889)
Date C J (2001) Introduccioacuten a los sistemas de bases de datos Meacutexico Pearson Educacioacuten
Jamrichoja J y Oja D (2008) Conceptos de computacioacuten Nuevas perspectivas Meacutexico Cengage Learning
Jean-Marc R (2004) Seguridad en la informaacutetica de empresa Riesgos amenazas y solucionesBarcelona Espantildea ENI
Laudon K y Laudon J (2008) Sistemas de informacioacuten Gerencial administracioacuten de la empresa digital Meacutexico Editorial PearsonEducacioacuten
Servicio de Administracioacuten Tributaria (2009) Conoce maacutes sobre la fiel Recuperado el 17 de febrero de 2010 de httpwwwsatgobmxsitio_internete_sattu_firma60_12877html
Symantec (2010a) Bots y botnets Una amenaza creciente Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortonthemejspthemeid=botnet
Symantec (2010b) Coacutemo atacan Recuperado el 12 de febrero del 2010 de httpwwwsymanteccomesmxnortonsecurity_responsespamjsp
Referencias
Symantec (2010c) Fraude en liacutenea pharming Recuperado el 12 de febrero de 2010 de httpwwwsyman-teccomesmxnortoncybercrimepharmingjsp
Symantec (2010d) iquestQueacute es el software de actividades ilegales Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimecrimewarejsp
Symantec (2010e) Software de actividades ilegales caballos de Troya y spyware Recuperado el 12 de febrero de 2010 de httpwwwsymanteccomesmxnortoncybercrimetrojansspywarejsp
Talavaacuten G (2006) PC coacutemo usarla en forma segura Buenos Aires Argentina Editorial Imaginador
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias
copyUVEG Derechos reservados Esta obra no puede ser reproducida modificada distribuida ni transmitida parcial o totalmente mediante cualquier medio meacutetodo o sistema impreso electroacutenico magneacutetico incluyendo el fotocopiado la fotografiacutea la grabacioacuten o un sistema de recuperacioacuten de la informacioacuten sin la autorizacioacuten por escrito de la Universidad Virtual del Estado de Guanajuato
17
SegInf_M2AA2L2_Amenazas
Imaacutegenes utilizadas
Krechowicz J (2010) Hand on keyboard Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1260787 (Bajo licencia SXCHu Free of charge)
Rehse A K (2006) Danger Recuperada el 12 de abril de 2010 de httpwwwsxchupho-to627282 (Bajo licencia SXCHu Free of charge)
Szkurlatowski K (2008) Gas mask pictogram 3 Recuperada el 12 de abril de 2010 de httpwwwsxchubrowsephtmlf=viewampid=1102836 (Bajo licencia SXCHu Free of charge)
Yakimov M (2005) Programmer 1 Recuperada el 12 de abril de 2010 de httpwwwsxchuphoto288950 (Bajo licencia SXCHu Free of charge)
Referencias