Post on 30-Oct-2018
Dr. Alfredo A. Reyes Krafft
Aspecto Legal de la Seguridad
Informática
ADMINISTRACIÓN DEL RIESGO
Black hat (criminal informático)
Blue hat (consultor)
Grey hat (hacker
o buenasintenciones )
White hat (hacker ético)
Elite Hacker (experto)
bots
(herramientas
automatizadas)
Neophyte
(nuevo, sin experiencia)
Script kiddie
(usa herramientas de otros)
Nation StateServicios de Inteligencia
Organized Criminal gangs
Crimen Organizado
Hacktivist
Usa tecnología para mensaje social
Clave de relaciones:Usa a
Le paga a
Servicios de InteligenciaHacktivistas
Delincuencia Organizada Empresas
Delito es el acto u omisión que sancionan las
leyes penales (Art. 7 CPF)
Conducta típica, antijurídica y culpable (G.
Colín Sánchez)
Aspecto Legal:
Como instrumento o medio (Delito Informático en estricto sentido):
La conducta que usa a las computadoras como mecanismo para obtener un fin
ilícito, por ejemplo:
• Falsificación o copia (clonación de tarjetas, he ues…).• Adulteración de datos (Variación en la contabilidad de empresas)
• Espionaje Industrial o Comercial.
• Ciber Acoso
• Robo de Identidad (datos personales y financieros)
• Revelación de secretos e información confidencial.
Como fin u objetivo (Delito Computacional):
Aquí la conducta esta dirigida en contra del hardware o software, por
ejemplo:
• Daños a los componentes: memorias, discos, redes.
• A eso ilí ito a siste as de ó puto y e uipos…• Sabotaje informático, gusanos, virus
• Ataques de denegación de servicios
Clasificación del Delito Informático: DELITOS INFORMÁTICOS
Ley Federal de Datos Personales en posesión de particulares
Leyes Federales
y Radiodifusión )14 julio 2014
del Mercado de Valores
Para tipificar los delitos llamados computacionaleses importante la participación en conjunto detécnicos y abogados
Código Penal Federal (Reformas 17 de mayo de 1999)
Responsable Conducta
Persona física o moral del sector privado (Art. 211 Bis 1)
Modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridadConozca o copie información contenida en dichos sistemas o equipos
Servidor público del Estado (Arts. 211 Bis 2 y 3)
Modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridadConozca o copie información contenida en dichos sistemas o equipos•A quien estando autorizado para acceder a sistemas y equipos de informática, indebidamente:modifique, destruya o provoque pérdida de la
información que contengan copie la información contenido en ellos
Empleados de las instituciones financieras, (Instituciones de crédito, de seguros y de fianzas, almacenes generales de depósito, arrendadoras financieras, sociedades de ahorro y préstamo, sociedades financieras de objeto limitado, uniones de crédito, empresas de factoraje financiero, casas de bolsa y otros intermediarios bursátiles, casas de cambio, administradoras de fondos de retiro y cualquier otro intermediario financiero) (Arts. 211 Bis 4 al 6 y 400 Bis)
Al que sin autorización:modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática, protegidos por algún mecanismo de seguridadconozca o copie información contenida en dichos sistemas o equipos•Quien estando autorizado para acceder a sistemas y equipos de informática, indebidamente:modifique, destruya o provoque pérdida de
información que contengan, o copie la información que contengan
Sist. o Equipo
Informático:
Provecho Provecho Provecho
propio o ajeno propio o ajeno propio o ajeno*
Prisión: 6 m - 2 a Prisión: 9 m - 3 a Prisión: 1 a - 4 a Prisión: 1.5 a - 6 a Prisión: 6 m - 4 a Prisión: 9 m - 6 a Prisión: 13.5m - 9a
Multa: 100 a 300 d Multa: 150 a 450 d Multa: 200 a 600 d Multa: 300 a 900 d Multa: 100 a 600 d Multa: 150 a 900 d Multa: 225 a 1350 d
Prisión: 3 m - 1 a Prisión: 4.5m-1.5a Prisión: 6 m - 2 a Prisión: 9 m - 3 a Prisión: 3 m - 2 a Prisión: 4.5 m - 3 a Prisión: 6.75m-4.5a
Multa: 50 a 150 d Multa: 75 a 225 d Multa: 100 a 300 d Multa: 150 a 450 d Multa: 50 a 300 d Multa: 75 a 450 d Multa: 112 a 675 d
Prisión: 2 a - 8 a Prisión: 3 a - 12 a Prisión: 6 m - 4 a Prisión: 9 m - 6 a Prisión: 13.5m - 9a
Multa: 300 a 900 d Multa: 450 a 1350 d Multa: 100 a 600 d Multa: 150 a 900 d Multa: 225 a 1350 d
Prisión: 1 a - 4 a Prisión: 1.5a - 6 a Prisión: 3 m - 2 a Prisión: 4.5 m - 3 a Prisión: 6.75m-4.5a
Multa: 150 a 400 d Multa: 225 a 600 d Multa: 50 a 300 d Multa: 75 a 450 d Multa: 112 a 450 d
m = meses, a = años, d = días multa, N/A = No Aplica
* Penas de esta columna, suponiendo se den las dos agravantes (empleado o funcionario Y en provecho propio o ajeno). Si sólo se da el agravante de "en provecho propio
o ajeno", las penas serían iguales a la columna de "empleado o funcionario".
N/A
Con autorización,
conozca o copie
información N/A N/A
Sin autorización,
modifique, destruya
o provoque pérdida
de la información
Sin autorización,
conozca o copie
información
Con autorización,
modifique, destruya
o provoque pérdida
de la información N/A
Privado Del Estado Sistema Financiero
Agravantes: Sin agravante Sin agravante Sin agravante
Empleado o
Funcionario
CPF: Acceso Ilícito a sistemas y equipos
• Contempla que constituye el delito sólo si
se accesa un sistema informáticoprotegido por un mecanismo de
seguridad.
• El Código Penal no define qué debeentenderse por "mecanismo de
seguridad".
• Nuestro Código específicamente nocontempla aún los tipos más comunesde ataques informáticos
Algunos delitos informáticos que pueden
ser procesados conforme a nuestra
legislación federal vigente
Oscar Lira (PGR)
Primera definición
de Delito informático
Código Penal de
Sinaloa art.217
Contempla el
Fraude cometido
por medios
cibernéticos, lo
que conocemos
como phishing.
Legislación Estatal
Estado Tipo Penal Sanción Comentarios
Aguascalientes Acceso informático indebido
Art. 181
1 a 3 meses de p isión, de
150 a 300 días multa.
Contempla el pago de la
epa a ión de los daos y
perjuicios ocasionados a las
víctimas.
Chihuahua Uso y acceso ilícito a los sistemas y equipos
i fo ticos y de o u i a ión
Arts. 327 Bis, ter, quater y quinquies.
Entre 6 meses a 4 años y de
100 a 500 días multa.
Comprende el aumento de la
pena en caso de ser un delito
cometido contra el Estado.
Colima Delito Informático
art.240 BIS
6 meses a 6 aos de p isión
y de 300 a 1000 días multa.
Reforma 2008
Jalisco O te ión Ilícita de I fo a ión Ele t ónica y
Uiliza ión ilícita de i fo a ión confidencial.
Art. 143 bis y ter
Entre 6 meses a 6 años de
prisión y de 100 a 600 días
multa.
Se considera agravante cuando el
sujeto pasivo del delito sea una
entidad pblica o i situ ión que
integre el sistema financiero.
Puebla Fraude cometido a través de mecanismos
cibernéticos,
Delitos informáticos.
Arts. 404 y Capítulo Vigésimo Quinto
Desde 3 meses hasta 5
años de prisión y entre 50 y
900 días multa.
Contempla dentro del tipo penal
de fraude, el medio de comisión
cibernético.
Querétaro Acceso ilícito a sistemas de informática.
Arts. 159 Ter y Quater
Desde 3 meses hasta 5
años de prisión y de 100 a
300 días multa.
Contempla la violación a la
intimidad y privacidad de la
víctima.
Sinaloa Delito Informático
Art. 217
6 meses a 2 aos de p isión
y de 90 a 300 días multa.
Primera definición de delito
informático en México
Veracruz Delito Informático
Art. 181
De 6 meses a 2 aos de
p isión y 300 días multa
Es agravante si se realiza con
fines de lucro.
Legislación Aplicable
• La ley en sus diversas modalidades aplica tanto en el mundofísico como en el mundo virtual . Es decir, un fraude tipificadocomo tal lo sigue siendo si dicho fraude usa medios informáticospara su comisión. Las penas que marca la Ley son por tantoaplicables a dichos ilícitos a menos que por la existencia de algunaley particular pudiera aplicarse supletoriedad de la misma, o inclusocuando por cuestión de comisión de múltiples delitos por un mismohecho, se puede llegar a considerar la existencia de un concurso dedelitos.
• En México ya se ha procesado criminales que han cometidodelitos informáticos y cuyo rastro ha sido perfectamenteidentificado y tornado en evidencia . Estos casos no sólo incluyenel acceso no autorizado a equipos informáticos, sino también temasde violación de propiedad intelectual, delitos derivados del acoso yel sexting, que pueden entenderse desde lenocinio, pornografíainfantil, estupro, delitos financieros, robo y suplantación deidentidad, fraude en grado de tentativa, fraude financiero y de otrasíndoles, y varios de ellos con agravantes como la asociacióndelictiva.
Investigación y Cómputo Forense
• No es lo mismo investigar un delito consumado que uno enprogreso, y del mismo modo, no es lo mismo un delito quesólo supone pérdidas financieras que uno que pone en riesgola salud, la seguridad y/o la integridad de una persona o más,o que podría representar incluso un riesgo de seguridad a unpaís.
• Habrá que aplicar las técnicas científicas y analíticas a quese refiere el análisis forense con el objeto de contestar laspreguntas básicas: Qué, Quién, Cómo, Cuándo, Por dóndey Por qué . Se debe hacer un levantamiento de evidenciasiguiendo una cadena de custodia conforme lo marca la leypara garantizar la integridad de la evidencia, la información yal final del día la investigación.
• El cómputo forense permite identificar, preservar, analizar ypresentar la evidencia de modo que sea aceptada en unproceso legal o investigación judicial.
Cómo denunciar en México
• Las denuncias deben hacerse a través delMinisterio Público (PGR o PGJs locales) solicitandoel apoyo de peritos (la Dirección de Ingenierias yTelecomunicaciones en materia forense de la PGRpuede apoyar con peritos a traves de los acuerdosinteprocuradurias)
Cómo denunciar en México
• La Secretaría de Gobernación a través dela Comisión Nacional de Seguridad puederecibir denuncias sobre delitos informáticos yhacer las investigaciones pertinentes.
• El Centro Nacional de Respuesta a IncidentesCibernéticos de la Policía Federal recibedenuncias anónimas a través del Centro deAtención del Comisionado (CEAC) en elteléfono 088 o bien a través del correoelectrónico ceac@cns.gob.mx.
• De igual modo el CEAC está en Twitteren @CEAC_CNS
Cómo denunciar en México
• En cualquier caso recomendamos que la
denuncia sea asistida por un abogadoexperto en la materia.
Un ejemplo para compartir
Artículo 52.- Los bancos pueden ofrecer servicios a sus clientes através de medios electrónicos siempre que se establezcan en loscontratos que celebren:
I. “Las operaciones y servicios cuya prestación se pacte;II. Los medios de identificación del usuario y las
responsabilidades correspondientes a su uso, yIII. Los medios por los que se hagan constar la creación,
transmisión, modificación o extinción de derechos yobligaciones inherentes a las operaciones y servicios de quese trate”.
El uso de esos medios de identificación, “en sustitución de la firmaautógrafa, producirá los mismos efectos que las leyes otorgana los documentos correspondientes y, en consecuencia,tendrán el mismo valor probatorio .”La CNBV emitirá reglas para la instalación y uso de esos medioselectrónicos
Ley de Instituciones de Crédito
• Previo acuerdo con sus clientes, el Banco podrá“suspender o cancelar el trámite de operaciones”siempre que cuente con “elementos suficientes parapresumir que los medios de identificación fueron utilizadosen forma indebida” o detecten algún error.
• También restringir la disposición de los recursos (hastapor 15 días y 10 mas si se ve involucrada la autoridadcorrespondiente), en caso de que detecte probableshechos ilícitos cometidos en virtud de la operaciónrespectiva.
• Todo lo anterior deberá ser notificado al clienterespectivo .
Reforma art. 52 LIC(febrero 2008, DOF)
CAPÍTULO X
Concientización - Riesgos y recomendaciones
Confidencialidad - Manejo de información sensible
SESIÓNIDENTIFICADORDEUSUARIO
2° FACTORDEAUTENTICACIÓN
CONTRASEÑA OPERACIÓN
Longitud Estructura No permitidas Intentos Inactividad Restablecimiento
OTP Una a la vez Time out
OTP cuentas OTP transacciones Montos por cliente Monitoreo Notificación Alertamiento
Continuidad – Áreas de Soporte y Comité de Auditoria
ESQUEMA CIRCULAR ÚNICA BANCARIA
Administración del Riesgo Tecnológico
• Evaluar la vulnerabilidad• Controles internos:
• Mantener políticas y procedimientos• Registros de auditoria.
• Niveles de disponibilidad y tiempos de respuesta
• En canales:• Asegurar confidencialidad en la generación, almacenamiento, transmisión y
recepción de las claves de identificación y acceso.
• Medidas de control que garanticen la protección, seguridad y confidencialidad de la información generada.
• Políticas de operación, autorización y acceso a los sistemas, bases de datos y aplicaciones.
• Medios adecuados para respaldar y, en su caso, recuperar la información.
• Planes de contingencia,
• Mecanismos para la identificación y resolución de:
• Fraudes.
• Contingencias• El uso inadecuado por parte de los usuarios,
Circular Única BancariaADMINISTRACIÓN DEL RIESGO TECNOLÓGICO
¿La legislación orientada a mecanismos o herramientas de seguridad nos da másseguridad o nos la quita?
• Ladrón invierte en formas de ataque
• Estandarizar mecanismos de seguridad implica fomentar uniformidad
• Y por ende mas RIESGO…
Ni tanto que queme al santo… ni tan poco que no lo alumbre
Aspecto
Internacional
• Convenio Iberoamericano de cooperación
sobre investigación, aseguramiento y
obtención de prueba en materia de
ciberdelincuencia (2013)
• Recomendación de la Conferencia de Ministros de
Justicia de los paises iberoamericanos (COMJIB)
relativa a la tipificación y sanción de la
ciberdelincuencia (2014)
Convenio sobre Cibercriminalidad
39 RATIFICACIONES DE PAISES MIEMBROS + 8 DE PAISES NO MIEMBROS(INCLUYENDO CANADA, JAPÓN Y ESTADOS UNIDOS)
HAN FIRMADO PERO NO RATIFICADO 6 PAISES MIEMBROS + 1 PAIS NOMIEMBRO ( SUDAFRICA)
VARIOS PAISES NO MIEMBROS QUE HAN MANIFESTADO SU INTERES PERO NOHAN FIRMADO NI RATIFICADO (ENTRE ELLOS MEXICO)
http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185/signatures?p_auth=z4OdjTRV
Organizaciones de la Sociedad Civil
http://www.navegaprotegido.org.mx/
http://www.seguridad.unam.mx/usuario-casero/
http://www.eseguridad.gob.mx
Combate y prevención del Phishing
Combatir y prevenir el Fraude, Robo de Identidad, Phishing, Pharming ampliando el ámbito de acción
Analizar e informar las ultimas técnicas de Engaño por email en todas sus variantes.
Ataques a la Infraestructura (DNS, fibra,etc.)
Impulsar una cultura de la Seguridad de la Informaciónen las organizaciones
CNBV
IFT
PROFECO
CONDUSEF
Sector
Público
Sector
PrivadoCERT
Org.
Civiles
CANACINTRA
ABM
VISAPolicía Científica:
AMIPCI
BSA
ALAPSI
Iniciativas
Ciberdelitos contra niños, niñas y adolescentes
Dr. Alfredo A. Reyes Krafft
Lex Informatica
a.reyes@lexinf.com
@aareyesk
www.lexinformatica.co