Bienvenido a nuestro Blog!

Seguridad en Computación e Informática

Auditoria de Sistemas

Ing. Oscar Mujica Ruiz

Colaboradores:

Alumnos B 5-5

UNFV-FIIS-2011

sábado, 21 de mayo de 2011

Ciclo de Deming & Seguridad

El aspecto de la seguridad de información afecta a todas las organizaciones de todos los tamaños y sectores con un problema idéntico, su vulnerabilidad inherente.
Toda la información que se maneje en la empresa, ya sea en discos, papeles, en la memoria de los empleados, están en riesgo y de cualquier amenaza.
La seguridad de Información ya no es un problema solo de los administradores de TI, ya que un infracción de seguridad puede afectar no solo financieramente al organización, sino también su reputación, su capacidad de negociación, rentabilidad, etc.  por  lo tanto dependerá de su capacidad de gestionar los riesgos de manera eficaz.

Ciclo de Deming.
El ciclo de Deming ( mejora continua, kaizen, Shewhart, pdca, etc), es un estrategia de mejora continua que se fundamenta en 4 pilares.
Plan. Establecer Objetivos y procesos para lograr las metas propuestas, al ser un proceso enfocado al resultado esperado, es un proceso retroalimentantivo.
Do. Implementar los proceso definidos en la fase anterior.
Check. Verificar mediante datos o criterios establecidos si se ha logrado lo propuesto.
Act. Analizar y establecer ajustes necesarios en los procesos.

Seguridad de Información.
La seguridad en general, suele estar relacionada con «la protección de algo». Relacionado a la Seguridad de Información puede ser definida como «la protección de información de una amplia gama de amenazas a fin de garantizar la continuidad del negocio, minimizar los riesgos empresariales y maximizar el ROI y de negocios». (ISO/IEC 2005)….

Deseas saber más?
DESCARGAR
       

ISO 31000:2009 Risk Management

El riesgo se halla de forma implícita asociado a toda actividad, haciendo necesaria la implementación de una estrategia proactiva en las empresas, que no solo permita la identificación y la evaluación previa y sistemática de los mismos y sus consecuencias, sino también definir las acciones a seguir con el fin de evitarlos, transferirlos, asumirlos o implementar medidas de prevención y protección que permitan reducir la probabilidad de su ocurrencia.

La Organización Internacional para la Estandarización (ISO) ha puesto a  disposición la norma ISO 31000:2009, una norma que pretende dar un enfoque sobre la gestión general de los riesgos. La nueva norma acaba de ver la luz sólo en versión inglesa y francesa, por lo que habrá que esperar todavía un tiempo a la traducción oficial al español.

Hasta ahora, ISO simplemente contaba con la Guía ISO 73, una recopilación de términos sobre la gestión de riesgos que también acaba de ser revisada. A la par, a nivel internacional existían las normas de origen australiano-neozelandés AUS/NZ 4360 y canadiense CSA Q850, que durante más de 20 años han sido los estándares de referencia sobre la materia.

¿QUÉ ES LA NORMA ISO 31000:2009?
La norma, denominada ISO 31000:2009, RISK MANAGEMENT - PRINCIPLES AND GUIDELINES, de la  International Organization for Standardization (ISO) tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a gestionar el riesgo con efectividad.

Según explicó Kevin W. Knight, quien estuvo a cargo del grupo de trabajo de ISO que desarrolló este estándar, “Todas las organizaciones, no importa si son grandes o pequeñas, se enfrentan a factores internos y externos que le quitan certeza a la posibilidad de alcanzar sus objetivos. Este efecto de falta de certeza es el ‘riesgo’ y es inherente a todas las actividades.”

PRINCIPIOS BÁSICOS PARA LA GESTIÓN DE RIESGO 
La norma ISO 31000:2009 establece los principios y directrices de carácter genérico sobre la gestión del riesgo.
Para una mayor eficacia, la gestión del riesgo en una organización debe tener en cuenta los siguientes principios:
1.            Crea valor.
2.            Está integrada en los procesos de la organización.
3.            Es sistemática, estructurada y adecuada.
4.            Está basada en la mejor información disponible.
5.            Forma parte de la toma de decisiones.
6.            Es dinámica, iterativa y sensible al cambio.
7.            Es transparente e inclusiva.
8.            Trata explícitamente la incertidumbre.
9.            Está hecha a medida.
10.          Tiene en cuenta factores humanos y culturales.
Deseas saber más?
DESCARGAR
       

viernes, 20 de mayo de 2011

Gobierno de Seguridad de Información

El Gobierno de Seguridad de la Información (GSI) es el grupo de responsabilidades y acciones llevadas a cabo por un conjunto de directivos con el fin de proporcionar orientación táctica, confirmar que las metas se logren corroborar que los riesgos de los datos sean convenientemente manejados, y los capitales se utilicen de manera conveniente.
En resumen, el propósito básico de un GSDDI es disminuir los acontecimientos adversos para una entidad productiva a un nivel mínimo.
Se refiere a la protección de las infraestructuras de las tecnologías de la información y comunicación que soporta nuestro negocio.
Se refiere a la protección de los activos de
información fundamentales para el éxito de cualquier organización entre muchos ejemplos de información que podemos encontrar en nuestra empresa están los correos electrónicos, páginas web, imágenes, base de datos, faxes, contratos, presentaciones, documentos etc.
La información es un activo que, tiene valor para una organización y por consecuencia necesita ser protegida de manera adecuada  Fuente: ISO 17799:2000
  • Proteger la información, significa lograr los siguientes objetivos:
-          Confidencialidad
-          Integridad
-          Disponibilidad
          Política de Seguridad
-          Dar una dirección y soporte a las iniciativas de protección de la información, de acuerdo con los requerimientos de negocio y de acuerdo con las leyes y regulaciones aplicables.
§  Pobre alineación de Seguridad de Información (SI) con los objetivos de negocio

§  No hay presupuestos asignados a la función de SI

§  Roles de responsabilidad sobre la Información :

          Dueño de la información
          Dueño de los Sistemas
          Administrador de Seguridad
          Dueño de procesos
Custodio de la Información/ sistemas...

Deseas saber más?
DESCARGAR
       

Control de Seguridad

Hoy en día la rápida evolución del entorno técnico requiere que las organizaciones adopten un conjunto mínimo de controles de seguridad para proteger su información y sistemas de información. El propósito del plan de seguridad del sistema es proporcionar una visión general de los requisitos de seguridad del sistema y se describen los controles en el lugar o los previstos para cumplir esos requisitos. Para esto, existe un plan de seguridad del sistema que delinea las responsabilidades y el comportamiento esperado de todos los individuos que acceden al sistema.
Se debe reflejar las aportaciones de distintos gestores con responsabilidades sobre el sistema, incluidos los propietarios de la información, el propietario de la red, y el alto funcionario de la agencia de información de seguridad (SAISO).
Los administradores de programas, los propietarios del sistema, y personal de seguridad en la organización debe entender el sistema de seguridad en un proceso de planificación. Los responsables de la ejecución y gestión de sistemas de información deben  participar en el tratamiento de los controles de seguridad que deben aplicarse a sus sistemas.
La Seguridad de la Información se refiere a la Confidencialidad, Integridad y Disponibilidad de la información y datos, independientemente de la forma los datos pueden tener: electrónicos, impresos, audio u otras formas.

Los Gobiernos, entidades militares, instituciones financieras, los hospitales y las empresas privadas de información confidencial sobre sus empleados, clientes, productos, investigación y su situación financiera. La mayor parte de esta información es recolectada, tratada, almacenada y puesta a la disposición de sus usuarios, en computadoras y trasmitida a través de las redes entre los ordenadores.
Podríamos dividir los controles en 3 epatas bien marcadas:
1.    Preventivos
Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
Dentro de los preventivos podemos encontrar entre otros:
ü   Preparación del personal
ü  Políticas de Seguridad
ü  Firewalls
ü  Sistemas Automáticos de Backups
2.    Detectivos
Cuando fallan los preventivos para tratar de conocer cuanto antes el evento.
Dentro de los Detectivos podemos encontrar entre otros:ü  Antivirus
ü  Alarmas
ü  Sistemas de Monitoreo
ü  IDs
3.    Recuperativos
Facilitan la vuelta a la normalidad cuándo se han producido incidencias.
Dentro de los Recuperativos podemos encontrar entre otros:
ü  Recuperación de Backups
ü  Antivirus
ü  Sistemas de Recuperación
ü  Respaldos de Configuración
Además de estos tres grupos, tenemos además los controles físicos que pueden estar divididos de la siguiente manera:
1.    Controles Administrativos
Dentro de los Controles Administrativos podemos encontrar entre otros:
ü  Políticas
ü  Estándares
ü  Procedimientos
ü  Concientización del Personal
ü  Control de Cambios
2.    Controles Técnicos
Dentro de los Controles Técnicos podemos encontrar entre otros:
ü  Control de Acceso Lógico
ü  Sistemas de Seguridad a la Información (Cifrados, Backups)
ü  Identificación
ü  Autentificación
ü  Monitoreo Lógico
3.    Controles Físicos
Dentro de los Controles Físicos podemos encontrar entre otros:
ü  Protección Perimetral
ü  Cerraduras
ü  Cámaras de Seguridad
ü  Controles Ambientales
ü  Sistemas de Refrigeración
Estos controles, tanto lógicos como físicos, son los que mantendrán el activo de la empresa lo más seguro posible, recordando que no existe el riesgo cero dentro de la Seguridad Informática... 

Deseas saber más?
DESCARGAR
       

Replay Attack

El replay attack, ataque por reenvío o reproducción, básicamente consiste en capturar información (transmisión de datos) que viaja en una red predeterminada, y luego enviarla al destinatario original sin que su presencia se haga notar. Por esta definición fácilmente se puede confundir con la definición de otro método: “man in the middle”. En realidad se diría que el método man in the middle engloba al método “replay attack”, salvando algunas diferencias que a continuación se hacen presentes:
La diferencia entre el “man in the middle” y el “replay attack”,
es que el replay attack realiza una copia de la transmisión de datos antes de enviarla  al destinatario original para luego utilizarla como mejor le convenga, en cambio, en el otro método, simplemente se captura la información y se la envía, alterada o no, al destinatario original.
Siendo un poco más específicos, replay attack es un tipo de ataque donde una sesión de autenticación es repetida para hacer creer a la PC que realmente es un usuario autentificado y así ésta le otorgue el acceso solicitado, es decir, ganar autentificación de manera fraudulenta.

CARACTERÍSTICAS
El ataque de replay utiliza un método sencillo de explotar un paquete o paquetes capturados, y reenviar ese tráfico de datos para producir resultados inesperados. Si la fuente no detecta la duplicación de las comunicaciones y acepta los paquetes repetidos, el ataque tiene éxito. Aunque el canal de comunicación esté protegido con encriptación y alguna forma de autenticación fuerte, como la firma digital, el ataque puede todavía tener éxito sin que el atacante nunca sepa el contenido exacto de las transmisiones que se repite. A menudo, la actual reproducción del paquete se ejecutará en un momento posterior, pero algunos casos requieren la retransmisión que tendrá lugar en una sesión de cliente legítima sigue siendo válida. Versiones más sofisticadas de este ataque se pueden combinar los ataques de repetición con la modificación de paquetes / inyección, suplantación de identidad de origen...

Deseas saber más?
DESCARGAR
       

Estrategia de Seguridad & Organización

La cultura organizacional ha ofrecido algún tipo de directriz que sirve de referencia para entender de que manera las estrategias fluyen de manera efectiva en una organización.

Las tendencias actuales de las estrategias de seguridad de la información están basadas en aspectos que ayudan a definir la misión, dirección de la empresa y su plan estratégico.

La estrategia que la organización
establece respecto a la protección de la información está basada en los productos o servicios que brindan, los procesos internos y externos, enfocados al nivel de riesgo, bajo la evaluación de los conceptos de integridad, confidencialidad y disponibilidad.

SISTEMAS DE GESTION DE SEGURIDAD
La implantación de sistemas de seguridad facilita a la empresa los instrumentos más necesarios y eficaces para asegurar la protección de la información susceptible de intercepciones no autorizadas y salvaguardar la integridad y exactitud de sus activos.

¿Qué es un sistema de gestión de seguridad de Información (SGSI)?

Consiste en un conjunto de:
- Estructura Organizativa
- Activos físicos
- Conocimiento
- Procedimientos
- Recursos humanos

Objetivo:
- Garantizar la confidencialidad, integridad y disponibilidad de la información a todos los niveles.
- Reducir los riesgos a niveles aceptables
- Cumplir con las leyes , normas y regulaciones vigentes

Objetivo de un proyecto de implantación de SGSI
- Definir e implantar un proyecto de SGSI basado en los requisitos de la norma ISO…

Deseas saber más?
DESCARGAR
       

Man in the Middle

MITM es un ataque en el que el enemigo adquiere la capacidad de leer, insertar y modificar a voluntad, los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. El atacante debe ser capaz de observar e interceptar mensajes entre las dos víctimas. El ataque MitM es particularmente significativo en el protocolo original de intercambio de claves de Diffie-Hellman, cuando éste se emplea sin autenticidad.
Main in the Middle traducido al español seria “Hombre en el medio” se refiere a que existe alguien en medio de la comunicación entre el origen y el destino.

El atacante puede observar, interceptar, modificar y retransmitir la información lo que da origen a los siguientes posibles ataques
posteriores:

Ø SNIFFING:
-    Leer credenciales enviadas (Users, Passwords, Cookies, etc.).
-    Leer información enviada  (Archivos, chat, páginas, etc.).
-    Observar el comportamiento del usuario en base al tráfico de red.

Ø SPOOFING:
-         El atacante puede enviar datos como si fuera el origen.
-         Realizar operaciones con los datos del cliente.
-         Mostrar páginas falsas.
-         Enviar los datos a un destino diferente.

Ø NEGACION DEL SERVICIO
-         El atacante puede enviar datos como si fuera el origen.

Bloquear el acceso a ciertas páginas.
Deseas saber más?
DESCARGAR
       

jueves, 19 de mayo de 2011

Destrucción de Soportes Documentales

  DEFINICIÓN:
Medios en los cuales se contiene la información, según los materiales empleados. Además de los archivos en papel, existen los archivos audiovisuales, fotográficos, fílmicos, informáticos, orales y sonoros.
Por ejemplo; dentro del área de sistemas de una organización encontramos información de su cliente, almacenadas en sus servidores. 
·         Lo que define a la destrucción de archivos confidenciales es, primero que nada, su carácter irreversible, es decir capaz de garantizar que no existan posibilidades de que pueden ser salvados los soportes en donde se contenía la información confidencial.

·         Segundo, ese proceso depurativo, con respecto a la administración de una entidad productiva, debe de ser seguro y privado, lo cual significa que durante
el proceso de su destrucción los soportes han de tratarse con los mismos niveles de protección que han tenido durante su resguardo.

Deseas saber más?
DESCARGAR
       

Gestión de Riesgo

La realidad empresarial nos dice que la mayoría de las compañías, administraciones autonómicas o locales y ciudadanos apenas conocen los peligros que corren sus sistemas informáticos, no explotan en su totalidad la amplia gama de herramientas que existen para gestionar dichas situaciones, y tampoco han comenzado a implementar los conocimientos y los procesos necesarios para gestionar este tipo de riesgos.

Las corporaciones han sufrido en parte, porque la gestión de riesgos en tecnologías de información es un campo nuevo y emergente, en donde los modelos de riesgos tradicionales no se aplican siempre con total limpieza. Normalmente, las corporaciones suelen tener un conocimiento muy limitado del impacto que puede tener la pérdida de los bienes informáticos o la imposibilidad para acceder a sus aplicaciones o información. Por ejemplo, la capacidad para transferir riesgos es un concepto fundamental en materia de riesgos financieros; sin embargo, como en los mercados líquidos no es posible todavía comprar y vender riesgos informáticos,

las corporaciones deben crear sus propias competencias internas para gestionar este tipo de situaciones por sí mismas. Asimismo, los riesgos informáticos son más difíciles de cuantificar. En tecnologías de información aún no existe el tipo de modelo actuarial o estadístico avanzado que valora los riesgos financieros para darles un nivel de precisión razonable. Sin embargo, los puntos de vista "más o menos apropiados" basados en la heurística y en la experiencia ofrecen unas medidas precisas, valiosas y utilizables de los riesgos informáticos.
¿Qué es un riesgo?
El riesgo es la probabilidad de que una amenaza se convierta en un desastre. La vulnerabilidad o las amenazas por separado no representan un peligro pero si se juntan se convierten en un riesgo, o sea, en la probabilidad de que ocurra un desastre. Sin embargo los riesgos pueden reducirse o manejarse. Si somos cuidadosos en nuestra relación con el ambiente o con la información que manejamos, y si estamos conscientes de nuestras debilidades y vulnerabilidades frente a las amenazas existentes, podemos tomar medidas para asegurarnos de que las amenazas no se conviertan en desastres. Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. El riesgo es una media de las posibilidades del incumplimiento o exceso del objetivo planeado. Un riesgo conlleva a dos tipos de consecuencias: Ganancias o Pérdidas.
 ¿Cómo medimos El Riesgo?
Abarca dos dimensiones básicas:
·         La probabilidad de que se produzca la amenaza que  nos acecha, que se puede expresar en términos de frecuencia o, mejor en términos de frecuencia relativa
·         La severidad con que se produzca dicha amenaza.
Algunas situaciones de riesgo son del tipo si - no: el acontecimiento incierto y amenazador se produce o no se produce. En el primer caso, el resultado es una pérdida total; si dicho acontecimiento no se verifica, no se registra ninguna pérdida. Podemos decir, que el  grado de confianza de una medición mejora cuanto más alto es el número de datos observados, y si este número  es suficiente, el único problema que resta,  es anticipar el efecto de los cambios conocidos y no conocidos sobre los resultados totales.  Aunque las condiciones sean de incertidumbre, si el número de datos empíricos es suficiente, se puede planificar determinados indicadores de control con toda confianza.
¿Qué es riesgo informático?

En el campo de la informática el riesgo solo tiene que ver con la amenaza que la información puede sufrir, determinando el grado de exposición y la perdida de la misma. La ISO (Organización Internacional de Organización) define el riesgo informático como: “La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente en un activo o grupos de activos, generando se así pérdidas o daños. Algunos de los elementos que nos pueden afectar directamente a la información son: Los SPAM, los virus, los gusanos, Adware y Spyware. Software que se maneja como código malicioso, cabe señalar que esta amenaza existente de código malicioso no tiene nada, ya que fueron diseñados con inteligencia, con una secuencia bien estructurad, el nombre que deberían recibir es Software...

Deseas saber más?
DESCARGAR
       

sábado, 14 de mayo de 2011

Phishing

Phishing es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[] o incluso utilizando también llamadas telefónicas.
Se define al Phishing como la capacidad de duplicar una página web para hacer creer al visitante que se encuentra en el sitio web original, en lugar del falso. Normalmente, se utiliza con fines delictivos enviado SPAM e invitando acceder a la página señuelo.

El "phishing" es una modalidad de estafa con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc.
Resumiendo "todos los datos posibles" para luego ser usados de forma fraudulenta.
¿En qué consiste?
El Phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables, intentan obtener datos confidenciales del usuario. Para ello, suelen incluir un enlace que, al ser pulsado lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.
Se puede resumir de forma fácil, engañando al posible estafado, "suplantando la imagen de una empresa o entidad pública", de esta manera hacen "creer" a la posible víctima que realmente los datos solicitados proceden del sitio "Oficial" cuando en realidad no lo es.

¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes:

- SMS (mensaje corto);
La recepción de un mensaje donde le solicitan sus datos personales.


- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor suplanta a una entidad privada o pública para que usted le facilite datos privados. Un ejemplo claro es el producido estos días con la Agencia Tributaria, ésta advirtió de que algunas personas están llamando en su nombre a los contribuyentes para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles cargos monetarios.


- Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial, empresas, etc. pareciendo ser las oficiales.

Deseas saber más?

Delitos Informáticos

El fenómeno informático es una realidad incuestionable e irreversible; definitivamente, la informática se ha instalado entre nosotros para no marcharse jamás. Ello es consecuencia del continuo y progresivo desarrollo del campo de la informática aplicada en la actualidad a todos los aspectos de la vida cotidiana; así, por ejemplo, la utilización de computador as en la industria, el comercio, la administración pública, en instituciones bancarias y financieras.

Esta verdadera invasión de la computadora en todos los ámbitos de las relaciones socioeconómicas ha motivado que muchos hablen ya de una auténtica “era informática”. En efecto, pocas dimensiones de nuestra vida no se ven afectadas, dirigidas o controladas por la computadora, ya sea de manera directa o
indirecta; incluso, en determinados casos, las computadoras no sólo son utilizadas como medios de archivo y procesamiento de información, sino que, además, se les concede la capacidad de adoptar automáticamente decisiones.
¿Qué es?
“Delitos informáticos" son todos aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que hacen uso indebido de cualquier medio Informático El Delito Informático implica actividades criminales que en un primer momento los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robo, hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc., sin embargo, debe destacarse que el uso indebido de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho.
Existen actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sin número de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de data crédito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, ataques realizados por hackers, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información confidencial y muchos otros.

Dado que la seguridad completa no existe, el margen para un nuevo incidente de seguridad siempre se tiene, por tanto, cuando éste se presenta, se verifica en un alto porcentaje que las organizaciones no se encuentran preparadas para enfrentar la realidad de una intrusión o incidente.

Un incidente representa un reto para demostrar la diligencia de su organización para enfrentar el hecho, tomar el control, recoger y analizar la evidencia, y finalmente generar el reporte sobre lo ocurrido, que incluye las recomendaciones de seguridad y conceptos sobre los hechos del incidente.

La Organización de las Naciones Unidas (ONU) define tres tipos de delitos informáticos:
·         Fraudes cometidos mediante manipulación  de computadoras
·         Manipulación de los datos de entrada
·         Daños o modificaciones de programas o datos computarizados.
Fraudes cometidos mediante manipulación  de computadoras:

Manipulación de los datos de entradad. Este tipo de fraude informático conocido también como sustracción de datos, es muy común ya que es fácil de cometer y difícil de descubrir. No requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.

La manipulación de programas. Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.

Manipulación de los datos de salida. Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. En la actualidad se usan equipos y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito...

 Deseas saber más?

Twitter Delicious Facebook Digg Stumbleupon Favorites More

 
Design by Free WordPress Themes | Bloggerized by Blogger Templates - Premium Blogger Themes