Ley de delitos informáticos en Colombia ley 1273

CONGRESO DE LA REPÚBLICA

Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

EL CONGRESO DE COLOMBIA

DECRETA:

ARTÍCULO 1o. Adiciónese el Código Penal con un Título VII BIS denominado “De la Protección de la información y de los datos”, del siguiente tenor:

CAPITULO I

De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos

Artículo 269A: Acceso abusivo a un sistema informático.  <Ver Nota del Editor> El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.

Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269E: Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Artículo 269G: Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

Artículo 269H: Circunstancias de agravación punitiva: Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere:

1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros.

2. Por servidor público en ejercicio de sus funciones.

3. Aprovechando la confianza depositada por el poseedor de la información o por quien tuviere un vínculo contractual con este.

4. Revelando o dando a conocer el contenido de la información en perjuicio de otro.

5. Obteniendo provecho para sí o para un tercero.

6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional.

7. Utilizando como instrumento a un tercero de buena fe.

8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales.

CAPITULO II

De los atentados informáticos y otras infracciones

Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.

ARTÍCULO 2o. Adiciónese al artículo 58 del Código Penal con un numeral 17, así:

Artículo 58. Circunstancias de mayor punibilidad. Son circunstancias de mayor punibilidad, siempre que no hayan sido previstas de otra manera:

17. Cuando para la realización de las conductas punibles se utilicen medios informáticos, electrónicos o telemáticos.

ARTÍCULO 3o. Adiciónese al artículo 37 del Código de Procedimiento Penal con un numeral 6, así:

Artículo 37. De los Jueces Municipales. Los jueces penales municipales conocen:

6. De los delitos contenidos en el título VII Bis.

ARTÍCULO 4o. La presente ley rige a partir de su promulgación y deroga todas las disposiciones que le sean contrarias, en especial el texto del artículo 195 del Código Penal.

Políticas de seguridad informática lógicas y físicas
La Seguridad Informática no tiene una solución definitiva aquí y ahora, sino que es y será el resultado de la innovación tecnológica, a la par del avance tecnológico, por parte de aquellos que son los responsables de nuestros sistemas, estos algunos conceptos aplicados y muy utilizados en las políticas de seguridad informática por lo cual no pareció adecuado darlos a conocer y explicarlos;
Decisión: elección de un curso de acción determinado entre varios posibles.
Plan: conjunto de decisiones que definen cursos de acción futuros y los medios para conseguirlos. Consiste en diseñar un futuro deseado y la búsqueda del modo de conseguirlo.
Estrategia: conjunto de decisiones que se toman para determinar políticas, metas y programas.
Política: definiciones establecidas por la dirección, que determina criterios generales a adoptar en distintas funciones y actividades donde se conocen las alternativas ante circunstancias repetidas.
Meta: objetivo cuantificado a valores predeterminados.
Procedimiento: Definición detallada de pasos a ejecutar para desarrollar una actividad determinada.
Norma: forma en que realiza un procedimiento o proceso.
Programa: Secuencia de acciones interrelacionadas y ordenadas en el tiempo que se utilizan para coordinar y controlar operaciones.
Proyección: predicción del comportamiento futuro, basándose en el pasado sin el agregado de apreciaciones subjetivas.
Pronostico: predicción del comportamiento futuro, con el agregado de hechos concretos y conocidos que se prevé influirán en los acontecimientos futuros.
Control: capacidad de ejercer o dirigir una influencia sobre una situación dada o hecho. Es una acción tomada para hacer un hecho conforme a un plan.
Riesgo: proximidad o posibilidad de un daño, peligro. Cada uno de los imprevistos, hechos desafortunados, etc., que puede tener un efecto adverso. Sinónimos: amenaza, contingencia, emergencia, urgencia, apuro.

La Política de Seguridad es un conjunto de requisitos definidos por los responsables de un sistema, que indica en términos generales que está y que no está permitido en el área de seguridad durante la operación general del sistema.
 La política se refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo una política de seguridad es una forma de comunicarse con los usuarios... Siempre hay que tener en cuenta que la seguridad comienza y termina con personas y debe:
Ser holística (cubrir todos los aspectos relacionados con la misma), no tiene sentido proteger el acceso con una puerta blindada si a esta no se la ha cerrado con llave.
Adecuarse a las necesidades y recursos
Ser atemporal, el tiempo en el que se aplica no debe influir en su eficacia y eficiencia.
Definir estrategias y criterios generales a adoptar en distintas funciones y actividades, donde se conocen las alternativas ante circunstancias repetidas.
Cualquier política de seguridad ha de contemplar los elementos claves de seguridad ya mencionados: la Integridad, Disponibilidad, Privacidad y adicionalmente, Control, Autenticidad y Utilidad.
No debe tratarse de una descripción técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a conductas de los empleados, es más bien una descripción de los que deseamos proteger y el porqué de ello.
Políticas físicas: La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma.
Así que la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial, se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para protege el sistema
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales, incendios accidentales tormentas e inundaciones.
Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados.
La Seguridad Lógica consiste en la "aplicación de barreras y procedimientos que resguarden el acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informática que dicta que "todo lo que no está permitido debe estar prohibido" y esto es lo que debe asegurar la Seguridad Lógica.
Los objetivos que se plantean son:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan.
Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto.
Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro.
Que la información recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la transmisión de información.
Controles de Acceso
Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicación, en bases de datos, en un paquete específico de seguridad o en cualquier otro utilitario.
Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicación y demás software de la utilización o modificaciones no autorizadas; para mantener la integridad de la información (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la información confidencial de accesos no autorizados.
Así mismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lógica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology  ha resumido los siguientes estándares de seguridad que se refieren a los requisitos mínimos de seguridad en cualquier sistema:
Identificación y Autentificación
Roles
El acceso a la información también puede controlarse a través de la función o rol del usuario que requiere dicho acceso.
Algunos ejemplos de roles serían los siguientes: programador, líder de proyecto, gerente de un área usuaria, administrador del sistema, etc.
En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios.
Transacciones
También pueden implementarse controles a través de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transacción determinada.
Limitaciones a los servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o pre-establecidos por el administrador del sistema.
Un ejemplo podría ser que en la organización se disponga de licencias para la utilización simultánea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario.
Modalidad de Acceso
Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación física o lógica de los datos o personas.
En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de día o a determinados días de la semana.
De esta forma se mantiene un control más restringido de los usuarios y zonas de ingreso.
Se debe mencionar que estos dos tipos de controles siempre deben ir acompañados de alguno de los controles anteriormente mencionados.
Control de Acceso Interno
Control de Acceso Externo
Administration
 Bibliografía: http://www.segu-info.com.ar/logica/seguridadlogica.htm
Video Para consultar: http://www.youtube.com/watch?v=ci1I5AkrYVQ&feature=fvsr
Políticas de seguridad-Restringir la instalación de programas

La seguridad informática, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.

 Objetivos de la seguridad informática.

La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran:

§  La información contenida

Se ha convertido en uno de los elementos más importantes dentro de una organización. La seguridad informática debe ser administrada según los criterios establecidos por los administradores y supervisores, evitando que usuarios externos y no autorizados puedan acceder a ella sin autorización. De lo contrario la organización corre el riesgo de que la información sea utilizada maliciosamente para obtener ventajas de ella o que sea manipulada, ocasionando lecturas erradas o incompletas de la misma. Otra función de la seguridad informática en esta área es la de asegurar el acceso a la información en el momento oportuno, incluyendo respaldos de la misma en caso de que esta sufra daños o pérdida producto de accidentes, atentados o desastres.

§  La infra-estructura computacional

 Esta es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización por ende la función de la seguridad informática en esta área es velar por que los equipos funcionen adecuadamente y prever en caso de falla planes de robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.

§  Los usuarios

Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los funcionarios y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.

 Bibliografía: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

                     http://www.youtube.com/watch?v=S30nmOEbKIs (video sobre la seguridad informática.)

AMENAZAS INFORMATICAS.

Una vez que la programación y el funcionamiento de un dispositivo de almacenamiento (o transmisión) de la información se consideran seguras, todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables, de modo que la única protección posible es la redundancia (en el caso de los datos) y la descentralización -por ejemplo mediante estructura de redes- (en el caso de las comunicaciones).

Estos fenómenos pueden ser causados por:

§  El usuario: causa del mayor problema ligado a la seguridad de un sistema informático (porque no le importa, no se da cuenta o a propósito).

§  Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica o un programa espía o Spyware.

§  Un intruso: persona que consigue acceder a los datos o programas de los cuales no tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).

§  Un siniestro (robo, incendio, inundación): una mala manipulación o una mal intención derivan a la pérdida del material o de los archivos.

§  El personal interno de Sistemas. Las pujas de poder que llevan a disociaciones entre los sectores y soluciones incompatibles para la seguridad informática.

A continuación daremos a conocer los diferentes tipos de amenazas informáticas

 Virus: Es un programa informático diseñado para infectar archivos. Suelen venir dentro del código de otros programas. Los objetivos de los virus suelen ser los programas ejecutables.

·         Gusanos: Los gusanos son programas que realizan copias de sí mismos, alojándolas en diferentes ubicaciones del ordenador. El objetivo de este malware suele ser colapsar los ordenadores y las redes.

·         Troyanos: El principal objetivo de este tipo de malware es introducir e instalar otras aplicaciones en el equipo infectado, para permitir su control remoto desde otros equipos.

·         Adware: Los programas de tipo adware muestran publicidad asociada a productos y/o servicios ofrecidos por los propios creadores o por terceros.

·         Spyware: El spyware o programas espías son aplicaciones que recopilan información sobre una persona u organización sin su consentimiento ni conocimiento.

·         Rootkits: Se trata de programas diseñados para ocultar objetos como procesos, archivos o entradas del Registro de Windows.

·         Exploits: Es una técnica o un programa que aprovecha un fallo de seguridad existente en un determinado protocolo de comunicaciones, sistema operativo, etc.

·         Dialers: Generalmente, un dialer trata de establecer una conexión telefónica con un número de tarificación especial. Se trata de una categoría que tiende a desaparecer.

·         Cookies: Las cookies son pequeños archivos de texto que el navegador de Internet guarda en el ordenador del usuario cuando se visitan páginas web. Pueden derivar en una amenaza para la privacidad del usuario.

·         Phishing: El phishing consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario.

·         Spam: El spam es el correo electrónico no solicitado que es enviado en cantidades masivas a un número muy amplio de usuarios generalmente con el fin de comercializar.

·         Redes de bots: “Bot” es el diminutivo de la palabra “Robot”. Son pequeños programas que se introducen en el ordenador por intrusos, con la intención de tomar el control remoto del equipo del usuario sin su conocimiento ni consentimiento.

·         Scams: El scam es un tipo de correo electrónico fraudulento que pretende estafar económicamente al usuario presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero.

A continuación daremos a conocer algunos mecanismos o soluciones básicas de defensa de sus sistemas informáticos y la información almacenada de los computadores  frente a las amenazas informáticas ya sean para pequeñas empresas  o para personas comunes como nosotros los cuales día a día nos vemos seriamente perjudicados por los constantes ataques de virus  y demás mecanismos destructores

·         Software antivirus proporciona protección frente a los archivos que penetran en la red a través de correos electrónicos, descargas de Internet, disquetes u otros medios, ya que esta solución comprueba de forma automática las más recientes amenazas, analiza los sistemas de forma periódica para detectar las mismas y vigila en tiempo real la descarga de archivos cuando se bajan de Internet o se abren correos electrónicos, garantizando la seguridad de la red. El software antivirus no sólo debería proteger sus estaciones de trabajo y servidores, sino también los firewalls e importantes aplicaciones como los servidores de correo electrónico y servidores Web, para eliminar los problemas antes de que se extiendan por la red empresarial.

·         Tecnología de firewall la cual actúa como una barrera entre su red y el exterior, asegurando el perímetro y evitando que los hackers accedan a datos financieros de importancia o información sobre clientes, incluyendo los números de cuentas bancarias o tarjetas de crédito.

·         Los firewalls pueden tener forma de software o de hardware, y se encargan de examinar cada dato o paquete que intenta llegar desde Internet a su equipo, y viceversa. Todos los paquetes de datos tienen una firma que muestra la persona que lo ha enviado y cómo se debe procesar y este a su vez analiza esta información y posteriormente realiza las decisiones para permitirle el acceso (o rechazarlo) basándose en una serie de reglas predeterminadas. Estas reglas se pueden personalizar para asegurar que únicamente los usuarios autorizados tengan permiso para acceder a la red de forma remota.

·         La detección de intrusiones añade otra capa a la seguridad informática, examinando el contenido del tráfico en Internet para eliminar ataques y códigos maliciosos. El software para detección de intrusiones monitoriza constantemente la red para detectar cualquier actividad sospechosa o posibles ataques, enviando avisos a usted o a su personal de TI para que tomen acciones de inmediato.

El empleo de una solución para seguridad  de los equipos de computo o mejor dicho de la información que se tengan en ellos se pueden conseguir  combinando el antivirus, un firewall y tecnología para detección de intrusiones puede ofrecer a su empresa una seguridad a diferentes niveles en una solución única y fácil de gestionar.

 Además de los mecanismos que mencionamos anteriormente hay que tener claro diariamente y poner en uso unas buenas prácticas para el uso diario de nuestros equipos de cómputo

·         Tener  el software actualizado para obtener el máximo provecho de los últimos parches para evitar que los agujeros a la seguridad puedan servir de vía de acceso a los ataques.

·         Formación del personal sobre seguridad: eduque a sus trabajadores para que conozcan su papel a la hora de mantener un nivel básico de seguridad en la empresa. Ponga en marcha un plan de formación para que los empleados no abran documentos adjuntos al correo electrónico a menos que los estén esperando y hayan sido analizados para comprobar que no contienen virus.

·         Creación de una política para seguridad para tener bajo control sus bienes informáticos y los derechos para acceder a dichos bienes: establezca una serie de reglas para el acceso remoto a los equipos de la empresa.

·          Desconectar y eliminar servicios innecesarios: muchos sistemas informáticos instalan por defecto servicios auxiliares que no son esenciales y que pueden abrir puertas a posibles ataques. La eliminación de estos servicios reduce el riesgo de ataques a su empresa.

·          Bloquear documentos adjuntos sospechosos: configure el servidor de correo electrónico para bloquear o eliminar cualquier correo electrónico que contenga los documentos adjuntos más utilizados para difundir virus como, por ejemplo, archivos con extensiones .vbs, bat, exe, pif y scr.

·          Aislar las amenazas: aísle los ordenadores infectados para evitar que infecten a más sistemas dentro de su red. Si un ataque combinado llegara a explotar uno o más de servicios de red, inhabilite o bloquee el acceso a estos servicios hasta que se aplique el parche correspondiente.

Bibliografía: http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n

                          Video para tener en cuenta:  http://www.youtube.com/watch?v=lbgtuoJvpCc&feature=relmfu  Hackers: Peligros en la red,