UNIVERSIDAD NACIONAL TECNOLÓGICA TECNOLÓGICA DE LIMA SUR
SEGURIDAD SEGURIDAD INFORMÁTICA INFORMÁTICA EN LIMA-PERÚ LIMA- PERÚ EN EL 2016
INTEGRANTES
ABANTO CALDAS, ELVIS
CARBAJAL ROJAS, CARLOS
DOMINGUEZ POLO, BRANDON
HUAMÁN VALDIVIA, DIEGO
MALLQUI TAMAYO, JORGE
RIOS ARANDIA, LEANDRO
RODRIGUEZ ESPINOZA, CRISTOFHER
DOCENTE Dra. GEZEL VÁZQUEZ JIMÉNEZ
Lima-Perú 2016
A nuestros padres, por aconsejarnos y educarnos con valores
AGRADECIMIENTOS A Gezel Vázquez Jiménez, doctora en Administración de la Educación, por exigirnos para ser grandes profesionales. A los compañeros del aula, por brindarnos su generosa amistad. A Dios y al universo por haber hecho que nos mantengamos firmes y no rendirnos a pesar las adversidades presentadas durante este gran esfuerzo.
ÍNDICE
Pág.
Portada Dedicatoria Agradecimientos Introducción .................................................................................................. 6 CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA
1.1 Descripción de la realidad problemática ......................... .................................... ...................... ............. .. 8 1.2 Formulación del problema.......... ..................... ...................... ...................... ...................... ....................... ................. ..... 9 1.3 Objetivos ................................................................................................. 9 1.4 Justificación ............................................................................................ 9 1.5 Limitaciones .......................................................................................... 11 1.6 Viabilidad .............................................................................................. 11 CAPÍTULO II: MARCO TEÓRICO TEÓRICO
2.1 Antecedentes de la investigación ......................................................... 13 2.2 Bases teóricas ...................................................................................... 15 2.3 Hipótesis ............................................................................................... 16 CAPÍTULO III: METODOLOGÍA
3.1 Diseño .................................................................................................. 17 3.2 Población y muestra ............................................................................. 17 3.3 Técnicas de recolección de datos ............ ....................... ...................... ...................... ...................... ........... 17 3.4 Técnicas para el procesamiento de la información .............................. .............................. 17 CAPÍTULO IV: RESULTADO .................................................................... 19 CAPÍTULO V: DISCUCIÓN DISCUCIÓN ....................................................................... 23 CONCLUSIONES ...................................................................................... 26 RECOMENDACIONES .............................................................................. 27 FUENTES DE INFORMACIÓN .................................................................. 28 ANEXOS .................................................................................................... 29
5
INTRODUCCIÓN Cuando se habla de las tecnologías con las que contamos en la actualidad, nos hacemos la idea de lo beneficioso que llegan a ser para nosotros ya que nos facilitan a realizar las tareas cotidianas, más aún si éstas son de gran importancia, como las transacciones o simplemente la comunicación a distancia. Y ello conlleva a que cada día, más y más personas mal intencionadas, intentan tener acceso a los datos de nuestros ordenadores. Es por eso que la seguridad informática debe ser tomada bien en cuenta, porque se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos. Consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida, así como su modificación, sólo sea posible a las personas que se encuentren acreditadas y dentro de los límites de su autorización. El acceso no autorizado a una red informática o a los equipos que en ella se encuentran puede ocasionar en la gran mayoría de los casos graves problemas como lo es la pérdida de datos, que es un hecho frecuente y ocasiona muchos trastornos, sobre todo si no estamos al día de las copias de seguridad Otro de los problemas más dañinos es el robo de información sensible y confidencial. La divulgación de la información que posee una empresa sobre sus clientes puede acarrear demandas millonarias contra esta, o un ejemplo más cercano a usted es el de nuestras contraseñas de las cuentas de correo por las que intercambiamos información con otros. Debido a ello, se realizó una investigación que tiene tres objetivos que consideramos que son de gran importancia y son: Identificar los protocolos para evitar el robo de información de una empresa en Lima, ya que que esto afectaría afectaría mucho en la parte económica. económica. •
Determinar el principal delito asociado a la seguridad informática, para que así se pueda accionar de manera benéfica hacia los usuarios.
•
Identificar los principales aspectos vulnerables de un sistema de seguridad informática y reforzar ello, evitando así ser víctimas del robo informático. •
Con lo mencionado buscamos detener los problemas relacionados con la inseguridad en el campo informático, pues se muestra que tanto empresas y personas se ven afectadas en aspectos principalmente relacionados con lo
6
económico y en la dignidad; que llega a ser muy perjudicial si se llega a concretar Los que realizamos la investigación analizamos el problema que presenta el ignorar la seguridad informática y con ello pasamos a ver qué tan informada se encuentran las personas con respecto a ello. Para la recolección de datos realizamos una encuesta de respuesta inmediata. Y, para realizar un análisis de los datos obtenidos usamos gráficos que detallan ideas de nuestras hipótesis. Con ellos pudimos observar que las personas conocen los protocolos básicos para evitar el robo de información, tienen conocimiento del principal delito asociado con la seguridad informática, que es la extorsión. Ahora sabemos que es preciso enfatizar en el proteger nuestra información y concientizar a los demás a hacerlo para así evitar que se sigan presentando estos casos.
7
CAPÍTULO I: PLANTEAMIENTO DEL PROBLEMA 1.1 1.1 Descr Descripci ipci ón d e la realidad pro blemática
Como se sabe, la seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, que se encargan de proveer condiciones seguras y confiables para el procesamiento de datos en sistemas informáticos y asegurar que los recursos del sistema de información de una organización se utilicen de la manera que se decidió y que el acceso a dicha información sea seguro. Tal vez desde que las computadoras empezaron a almacenar información de gran importancia de los usuarios nadie se imaginó por la gran amenaza que aborda a la privacidad digital, que es el robo de información, pero desde hace ya 12 años en el mundo, debido a los hechos generados a raíz de infiltraciones de piratas informáticos en empresas, que hasta ese momento, parecían impenetrables en el campo de seguridad física e informática como es el caso de las filtraciones de WikiLeaks que dio paso a la divulgación de material clasificado, las violaciones de acceso a las redes sociales de la Casa Blanca y el hecho más relevante, que fue sin duda el robo de más de 4 mil millones de dólares a bancos por parte de Hamza Bemdelladj, un hacker argelino que donó lo robado a las ONG de África. Estos casos han hecho que cuando se hable de seguridad informática no se haga referencia a un tema sin importancia sino a una necesidad que tienen todas las compañías, ya que corren el riesgo de perder información, ser víctimas de robo económico y esto podría detener procesos de producción o administrativos. El estudio que se realizó a 41 entidades de la industria financiera pertenecientes a siete países de América y, muestra que la seguridad de información se ha vuelto una prioridad para las empresas y que más del 50% de las instituciones encuestadas afirmaron que su presupuesto que se calculó para este rubro aumentó a medida que se generan nuevos marcos regulatorios. El problema, muy a aparte de la constante aparición de hackers, es el costo que resulta no estar al pendiente de estos ataques, porque las empresas solo se preocupan de su seguridad después de que ya se cometió el acto y es ahí donde pierden una pequeña parte de sus ingresos, cosa que les saldría menos costoso el contratar un servicio de seguridad temporal. (Redacción-El Heraldo, 2015) Sin embargo en el Perú, a pesar de que varias entidades internacionales ya han empezado a tomar sus precauciones en relación con su seguridad informática, a las empresas les cuesta pensar que, ante un problema que ya ha afectado a varias compañías, deban tomar previsiones y, al mismo tiempo, considerarlas como un problema muy importante. Las estadísticas que realizó Deloitte, una organización de seguridad informática, muestran que un 67% de las instituciones las instituciones financieras en Perú experimentaron incidentes de seguridad de seguridad o privacidad en los últimos años y señaló que el Perú tiene el segundo más alto porcentaje en la región, ubicándose solo después de Colombia (100%). Esto nos muestra que los ataques a la información privada en nuestro país pueden seguir en aumento si no se hace nada al respecto, claro está que el problema 8
la seguridad informática recae en menor parte al poco apoyo e impulso que reciben las instituciones que forman especialistas en ello. (El Comercio, 2014) Ahora, como se sabe, en Lima Sur hay un gran desarrollo económico y tecnológico con el surgimiento de empresas, bancos y universidades, especialmente en nuestro distrito, Villa el Salvador. Si bien no se reportan ataques cibernéticos, cibernéticos, varias de estas entidades corren el alto riesgo de sufrirlo, por el mismo hecho de que no se toman las precauciones necesarias y al parecer no se hará nada al respecto hasta que una empresa sufra una violación a sus datos o una universidad sufra el robo de información privada y de alta importancia. 1.2 Formulación del problema
1.2.1 Problema general
¿Cuáles son las medidas medidas para evitar evitar los riesgos en un sistema informático en Lima en el 2016?
1.2.2 Problema específico
¿Cuáles son son los delitos más frecuentes frecuentes asociados a la informática en Lima? ¿Qué es lo que primero que que se debe hacer hacer en un siste sistema ma informático informático de una entidad?
1.3 1.3 Objetivos
1.3.1 Objetivo general
Identificar los los protocolos para evitar el robo de información información de una una empresa en Lima.
1.3.2 Objetivos específicos
Determinar el principal delito asociado a la seguridad informática. Identificar los principales aspectos vulnerables de un sistema.
1.4 1.4 Just ificación
Los dispositivos electrónicos se han vuelto indispensables para el desarrollo normal de nuestro día a día. Los usamos para comunicarnos y mandar datos tanto en los estudios como en el trabajo. En sistemas Industriales se automatiza el control de procesos y en las empresas los sistemas informáticos enlazan las diferentes áreas para tener un mejor flujo de comunicación. Enviamos fotos, correos electrónicos, guardamos números de amigos, creamos cuentas en diferentes aplicaciones móviles involucrando nuestros datos personales y creando accesos “autorizados” a parte de nuestra información
guardada en la memoria del teléfono o en la nube. Durante el transcurso de este ir y venir de datos , los Criminales informáticos pueden vigilar, tomar y manipular todo tipo de información que es exclusivamente nuestra o incluso 9
recuperan datos eliminados hace mucho tiempo atrás (como fotos, mensajes o videos) debido al backup periódico que tiene algunos sistemas. Son muchos los casos de extorciones a personajes famosos quienes sufrieron el hackeo de sus dispositivos móviles y ordenadores, la publicación de fotos e información privada. El caso del Virus Stuxnet que ataco la central nuclear de Natanz en Irán con el objetivo de retrasar sus proyectos Nucleares. Usando una combinación de Ing. humana e informática para vulnerar los sofisticados sistemas de seguridad de la planta, logro acceder y manipular los componentes claves de la central central y así detener la investigación investigación para lograr construir construir una arma Nuclear. Lo mejor para evitar estos problemas de seguridad es tener todos nuestros terminales protegidos con aplicaciones de seguridad que analicen nuestro dispositivo para detectar cualquier problema y darnos indicaciones para su solución. Estas aplicaciones nos permitirán, en primer lugar, hacer un diagnóstico de la situación de nuestros terminales, que nos permitirán detectar cualquier problema que afecte a los aparatos. Tras el análisis, si se encontrasen problemas, la aplicación nos da la opción de desinstalar la aplicación infectada. Los derechos de acceso a la información se pueden modelar como una gran matriz, en donde las filas son los dominios (usuarios) y las columnas los objetos (por ejemplo, archivos). Mediante el uso de técnicas de modelado formales, se puede modelar y limitar el flujo de la información en un sistema. En cualquier sistema seguro, los usuarios se deben autenticar. Para ello se puede utilizar algo que el usuario conozca, algo que el usuario tenga o algo que el usuario sea (biométrica). Se puede utilizar la identificación de dos factores, como la exploración del iris y una contraseña, para mejorar la seguridad. Los internos (como los empleados de una empresa) pueden vencer la seguridad del sistema en una variedad de formas. Entre ellas se incluyen las bombas lógicas que se activan en cierta fecha futura, las puertas de trampa para permitir al interno un acceso no autorizado en un momento posterior, y la suplantación de nombres de inicio de sesión. Se pueden explotar muchos tipos de errores en el código para tomar el control de los programas y sistemas. Estos errores incluyen desbordamientos de búfer, ataques mediante cadenas de formato, ataques por desbordamiento de enteros, ataques por inyección de código y ataques por escalada de privilegios. Internet está llena de malware, incluyendo caballos de troya (conocidos también como troyanos), virus, gusanos, spyware y rootkits. Cada uno de estos tipos de malware es una amenaza a la confidencialidad de los datos y su integridad. O peor aún, un ataque de malware tiene la capacidad de tomar el control de una máquina y convertirla en un zombi que envíe spam o se utilice para lanzar otros ataques. La mejor estrategia es la defensa en profundidad, mediante el uso de varias técnicas. Algunas de ellas incluyen firewalls, exploradores de virus, firma de código, encarcelamiento, sistemas de detección de intrusos y encapsulamiento de código móvil.
10
1.5 1.5 Limitaci ones
En la actualidad, hay muchas variables, es decir, que cada día se crea y se van formando cada vez más virus, mejores, más rápidas y dañina para los equipos electrónico o computador, y más que es fácil de difundir por el medio del Internet, y dispositivos de almacenamiento movibles, como disquete, pen drive, CD, disco duro externo. La seguridad absoluta no es posible y la seguridad informática es un conjunto de técnicas a obtener altos niveles de seguridad en los sistemas informativos En los equipos más desactualizadas un antivirus realmente efectivo puede ser muy pesado, puede hacerlos más lentas, y ocupar mucho espacio en la memoria Los requisitos para su creación de contraseñas son cada vez más complejos, la mayoría de los sitios web requieren inicios de sesión, y el cambio de contraseñas con frecuencia se ha vuelto obligatorio en muchos lugares de trabajo, recordarlas en ocasiones es muy difícil La principal limitante para realizar ésta investigación es la débil infraestructura legal que posee nuestro país con respecto a la identificación y ataque a éste tipo de Delitos, no obstante se poseen los criterios suficientes sobre la base de la experiencia de otras naciones para el adecuado análisis e interpretación de éste tipo de actos delictivos No especifica los mecanismos e instituciones encargadas de actuar en caso de que se cometa un delito. La ley es solo de carácter punitivo, punitivo, no se hace referencia referencia a otros aspectos aspectos de la seguridad de las T.I como los certificados digitales. digitales. No ofrece regulaciones acerca del correcto uso de la Internet. Existen delitos que están fuera de la legislación como él envió de correo electrónico no deseado. 1.6 1.6 Viabili dad
Para conseguir una buena y verdadera información para el proyecto cada integrante del grupo debe contar con al menos una de estas facilidades: Tiempo, diversas fuentes de información, dinero, apoyo institucional. Cada uno de los integrantes tubo que adecuar un horario en donde haga espacio buscar información para el proyecto y en general sería en las mañanas ya que los horarios para la mayoría de los del primer ciclo de ingeniería son por las tardes. Lo cual es mejor porque por las mañanas se levantan fuera de estrés y del cansancio 11
Cada integrante debe tener una página, un libro, alguien a quien acudir en la búsqueda de información para poder aportar con su parte para el grupo. Aunque hoy en día conseguirla es demasiado fácil puesto que con solo dar un clic en el internet aparece frente a ti, ya no es necesario ir hasta las bibliotecas y leer por horas un libro para buscar algo de información como lo hacían antes. En este siglo XXI ya es casi inexistente aquella persona que no poseía una pc con internet o quizá un celular, más aun siendo de la carrera de Ingeniería de Sistemas. Cada integrante del grupo debería poseer estos instrumentos para obtener información de manera fácil y rápida No es tan indispensable para proyectos pequeños ya que no se necesita mucho dinero porque solo se gasta en impresión, fólderes, etc. Además que a la hora de cubrir los gastos para el proyecto se divide entre todos los integrantes integrantes del grupo haciendo haciendo de esta esta una cantidad asequible para nuestros bolsillos. El apoyo institucional es innegable y en la UNTELS tenemos a los de ciclos superiores y profesores para que nos puedan dar un poco de información para el proyecto. Conseguir información de esta manera es la más fiable a mi parecer ya que viene de personas con experiencia.
12
CAPÍTULO II: MARCO TEÓRICO TEÓRICO 2.1 2.1 Antecedentes de la investi gación
A medida que pasa el tiempo y avanza la tecnología, el uso de dispositivos electrónicos para tareas empresariales, industriales y cotidianas se está extendiendo de ma manera nera que ahora es casi imposible imposible desligarnos de ella. Por este motivo motivo la información personal personal y empresarial de los usuarios usuarios se ha convertido en información electrónica para un mejor manejo de ella pero también arrastra con esto una serie de de peligros inherentes al cuidado cuidado y la privacidad de los datos. En este sentido sentido es imprescindible conocer los aspectos aspectos técnicos relacionados a la protección de información en los sistemas informáticos. Andrew S. Tanenbaum (2008) profesor de Ciencias de la computación de la Universidad Libre de Ámsterdam y escritor de varios libros de sistemas operativos realiza un estudio y presenta todos los aspectos técnicos a tomar en cuenta para poder proteger y administrar la información a la hora de diseñar y crear un software de sistemas. En el capítulo 9 del libro Sistemas Operativos Modernos 3° Edición, expone todas las técnicas que se usan para la protección de datos en sistemas con redes LAN e internet. internet. El uso uso de claves claves y encriptado de información para resguardar datos. Criptografía de clave secreta y pública, la autentificación de usuarios, listas de control de acceso, listas confiables, seguridad multinivel, Bombas lógicas, trampas, el uso de métodos de programación para detectar fallos en los sistemas, inyección de códigos, ataque por escala de privilegios. También explica de manera detalla los distintos tipos de amenazas a los sistemas, como son los virus, los troyanos, el spinware y los rootkits que es el manejo de funciones del sistema sin que el usuario sepa. Tanembaum muestra también los primeros ataques a sistemas y robo de información por parte de delincuentes delincuentes informáticos en los primeros años de la computación masiva (1970 en adelante) haciendo uso de ingeniosas técnicas de programación y causando graves daños a diferentes industrias. Es indispensable entonces entonces conocer los aspectos aspectos más profundos profundos de la seguridad seguridad informática para poder tomar medidas y precauciones necesarias, y comprender las técnicas que se usan para defender los sistemas tanto de uso personal como industriales. De manera que este el capítulo de Seguridad del profesor Tanembaum nos ayuda a comprender en forma for ma profunda y concisa los mecanismos necesarios para iniciar y fundamentar nuestra investigación y desarrollar conceptos necesarios para ejecutar pruebas en los diferentes sistemas que analicemos.
13
Es también pertinente analizar los límites de hasta dónde puede llegar una violación de seguridad informática a un nivel macro, es decir al punto de causar daños a una nación. Se han revisado una serie de artículos publicados por la empresa multinacional Kaspersky Lab. (2010), líder en soluciones de seguridad informática. En su página web se analizó y mostro el funcionamiento de un virus informático llamado Stuxnet que invadía y alteraba resultados en pruebas de centrales nucleares, principalmente en Irán. En esta serie de artículos que se comienzan a publicar desde el 2010 hasta el 2015 se detalla los inicios y los mecanismos utilizados para socavar y sabotear el plan nuclear de Irán. En sus análisis figuran como este virus entraba a los terminales industriales y alteraba los resultados finales de la purificación de uranio, haciendo que parecieran inadecuados para su tratamiento nuclear. Según las publicaciones, este virus era exclusivo, en el sentido que no hacia ningún daño a sistemas computacionales simples y empresariales, sino que solo ejecutaba sus rutinas cuando detectaba industriales de control. Se logró descubrir por la forma de de actuar actuar del virus y su sofisticación que los responsables de su creación eran potencias interesadas en fracaso del plan nuclear de Irán, los principales sospechosos son E.E. U.U. e Israel. A través de estos artículos podemos comprender como funciona un virus a nivel profesional y sumamente sofisticado. También tomar en cuenta medidas de seguridad recomendadas por Kaspersky Lab, e implementarlas en diferentes partes de nuestras soluciones en el trabajo de seguridad informática. Los ataques informáticos y violaciones de seguridad no solamente se componen de códigos escritos en algún lenguaje y complicados algoritmos creados para traspasar traspasar las berreras de seguridad de los sistemas, sistemas, sino que muchas veces incluyen “artimañas” en donde los usuarios caen y brindan su
información personal casi voluntariamente. Esta sofisticación en el modo de usar técnicas no-computacionales para lograr este cometido, sin duda cambia la manera de pensar en seguridad informática, pues ahora no solo es la computadora la que debe tener mecanismos de protección y precaución, sino también los usuarios. Si se mira desde una perspectiva diferente, el uso de técnicas psicológicas e informáticas para violar la seguridad de un usuario se llama ingeniería Social. Sergio Arcos Sebastián (2011) en su tesis de licenciatura en Ingeniería Informática, titulada: “Ingeniería social: Psicología aplicada a la seguridad informática”, hace un estudio y descripción de estas técnicas. Señala al usuario como “el eslabón más débil”, pues un ataque de ingeniería social está diseñado
para evadir todo el complejo sistema de seguridad que se implemente y sea el propio cliente quien brinde todas las facilidades para que el cyber – ataque sea efectivo. Describe el ciclo de la Ingeniería Social para conseguir un objetivo: investigación, desarrollar rapport y credibilidad, explotar confianza y utilizar la información. Explica como un profesional en ingeniería Social no es necesariamente un especialista en software, sino una persona que hace uso de 14
su astucia y de métodos simples y cotidianos cotidianos que hacen creer al usuario de no estar en ningún peligro cuando es atacado. En este trabajo explica algunos ejemplos del uso de la ingeniería social, tales como el virus “I love you” que se propago en el año 2000 y logro infectar a
miles de computadoras en todo el mundo. Haciendo uso de una frase muy conocida como es “i love you” las personas que recibían el correo electrónico
con este virus, abrían el mensaje creyendo que era de algún ser querido, pues esa frase tan sugestiva, sugestiva, hacía que la mayoría de personas personas no desconfiasen desconfiasen y por ende, ejecutaran el enlace que contenía el virus. También explica sobre el Scam y el Scambaiting, que es un tipo de estafa económica, el uso de la inteligencia artificial para automatizar este tipo de delitos. Menciona la “estafa Nigeriana” un método ingenioso usado para pedir dinero a personas que
creyeran en una historia ficticia. También estudia desde esta perspectiva al Hishing, un ataque que consiste en vender dispositivos modificados a nivel de software o hardware en los cuales se instalaba algún spyware o malware con el objetivo de vulnerar la privacidad del usuario que compre. Se hace un estudio de las nuevas estafas y robo de información a través de las Redes Sociales que ahora son tan necesarias en el día a día de las personas y por lo tanto son una ventana hacia su privacidad. El sistema operativo Android por ser una de los más usados en todo el mundo, y sus vulnerabilidades cuando se trata de instalar aplicaciones que piden permisos para acceder a elementos privados del sistema y del usuario. 2.2 2.2 Bases teóri cas
A continuación se presentan las bases teóricas que sustentan la investigación sobre la seguridad informática como herramienta herramienta útil para promover mejor seguridad al gestionar informaciones de forma segura. El estudio se relaciona con con varias teorías que que busca citar medidas para evitar los riesgos en un sistema informático La seguridad informática consiste en asegurar que los recursos del sistema de información (material informático o programas) de una organización sean utilizados de la manera que se decidió y que el acceso a la información allí contenida así como su modificación sólo sea posible a las personas que se encuentren acreditadas acreditadas y dentro de los límites de su autorización. 2.2.1 Bases Psicológicas Se pueden utilizar infinidad de influencias psicológicas para lograr que los ataques a un servidor sean lo más sencillo posible, ya que el usuario estaría inconscientemente dando autorización para que dicha inducción se vea finiquitada hasta el punto de accesos de administrador. 2.2.2 Bases Pedagógicas
15
El hiperentorno de aprendizaje es una herramienta informática para contribuir contribuir a la capacitación de los usuarios de la red en cuanto a los elementos básicos necesarios de seguridad informática a tener en cuenta, contando además con el apoyo de otras herramientas informáticas que posee la Universidad de Ciencias Pedagógicas "Héctor Alfredo Pineda Zaldívar” para la administración de la red. 2.2.3 Bases Legales La Constitución Política del Perú: Ley 27309 – Ley que Incorpora los Delitos Informáticos dentro del Código Penal. Ley 28493 – Ley que regula el uso del correo electrónico comercial no solicitado (SPAM). Ley 28612 – Ley que norma el uso, adquisición y adecuación de software en la Administración Pública. Ley(N° 4079/2009-PE) –Ley de Protección de Datos Personales (N° 4079/2009-PE). 2.3 2.3 Hipótesis
2.3.1 Hipótesis general
Las empresas desconocen de de los protocolos que que los ayudaría ayudaría en proteger su información y es debido a esto que son vulnerables ante ello.
2.3.2 Hipótesis específica
El principal delito delito asociado a la seguridad seguridad informática informática es el robo de dinero a través las cuentas bancarias online. Las empresas ignoran ignoran del peligro peligro que corren al no asegurar asegurar su información digital. El problema está en que no se toman en cuenta los casos de violación de la información en Lima y esto hace que las empresas o personas descuiden ese aspecto. Por tanto, si se identifica cuáles son los puntos vulnerables en un sistema, es posible que los usuarios accedan a proteger su información.
16
CAPÍTULO III: METODOLOGÍA 3.1 Diseño
Este trabajo de investigación corresponde a un estudio cuantitativo, porque sigue procesos para la recolección de datos y así probar la hipótesis. Además es observacional y descriptivo porque los resultados del estudio no han sido alterados por las tendencias de otros y se intenta i ntenta explicar las teorías anteriores. 3.2 3.2 Población y mu estra
La población donde se desarrollará esta investigación pertenecen al distrito de Villa el Salvador para conocer qué tan informados están acerca de la seguridad informática, sus riesgos y las consecuencias de no proteger su información. Se hizo una encuesta a hombres y mujeres de veinte a veintiocho años de edad para obtener de esa manera los resultados. 3.3 3.3 Técni Técnicas cas de recolecci ón de datos
La técnica que se se realizó para la recolección recolección de datos, datos, para llevar a cabo el presente estudio fue una encuesta descriptiva de respuesta cerrada con ocho ítems que consta de cuatro alternativas cada una. Se realizó con el fin de recoger y analizar los datos obtenidos de cuanto conoce las personas acerca del del tema en desarrollo y así tener mayores mayores datos para la recolección de información requerida. La encuesta fue realizada a estudiantes de la UNTELS para saber que tanto conocimiento tienen acerca del tema para obtener la información requerida y dar respuestas a nuestros objetivos generales y especifico. 3.4 3.4 Técnicas Técnicas para el el procesamiento pr ocesamiento de la infor mación
Para la recopilación de información, se usa la técnica de revisión documental y bibliográfica, resaltando los documentos y fuentes de mayor confiabilidad. Tales documentos son avalados por editoriales de renombre y organizaciones científicas y tecnológicas tecnológicas mundialmente mundialmente conocidas. LLos os artículos de Kaspersky Lab analizados en un periodo de 6 años (2010,-2016) se usó para realizar un análisis cualitativo de diferentes casos de seguridad informática, pues siendo el mundo de la tecnología tan cambiante, es necesario analizar diferentes aspectos de los ataques informáticos. Los libros de Andrew Tanembaum describen de manera técnica y detallada los métodos de protección de sistemas. También se consultó documentos de periódicos y casos de diferentes revistas y medios internacionales, haciendo énfasis en los detalles metodológicos de los delitos informáticos ocurridos.
17
Se realizó un análisis cualitativo para ganar entendimiento de los procesos que se utilizaron utilizaron para los crímenes crímenes informáticos, informáticos, de esta manera manera se pueden pueden evidenciar las diferentes causas y motivos por los cuales se realizan estos crímenes. El análisis cualitativo de los documentos revisados y de los datos obtenidos por las encuestas, arrojan resultados que permiten conocer los comportamientos de las personas y entidades vulneradas. Se realizó un análisis cuantitativo con los datos obtenidos de la encuesta. De esta forma se pudo graficar las diferentes tendencias y costumbres que tiene las personas al momento de resguardar datos personales y privados. Tales como la cantidad de veces que cambian sus contraseñas para poder determinar una curva de conductas respecto a la inseguridad de mantener siempre la misma contraseña. Conociendo las edades de los encuestados, y sus costumbres sobre la seguridad, además del sexo de cada persona, se puede graficar y manejar estadísticas para modelar las tendencias comunes que existen entre los individuos analizados, para cuidar su información, además de saber si fueron víctimas de robos informáticos. Con estos datos se pueden interpolar y generalizar condiciones para los cuales una persona es vulnerable para ser atacada y así poder diseñar medios y sistemas de defensa contra las violaciones a la privacidad de los datos de los usuarios y empresas. Tanto los métodos de documentación que constituyen el pilar de la investigación, como los datos estadísticos obtenidos con las encuestas, conforman el cuerpo sobre el cual se desarrolla la investigación de la Seguridad Informática. Estructurando los diferentes caminos que se seguirán. Toda la información obtenida de la literatura literatura consultada consultada y de los métodos métodos del análisis cualitativo y cuantitativo se usara a lo largo de la investigación y se mencionara detalladamente la bibliografía para ampliar la información que sustenta este trabajo.
18
CAPÍTULO IV: RESULTADOS
El estudio se basó en una muestra de veinte personas, entre hombres y mujeres, con el fin de lograr los objetivos planteados de esta investigación, se presentará la información con su respectiva gráfica, obtenida mediante la encuesta realizada. 1. ¿Qué entiende entiende usted usted por seguridad informática? informática? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Antivirus
Protección de la información virtual
Desco De scono nozc zco o sobr sobre e ello ello
Traba Tra bajo jo de de hack hackers ers
Porcentaje
2. ¿Cambias periódicamente periódicamente la contraseña de tus cuentas? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Siempre
Regularmente Porcentaje
19
Solo una vez
Nunca
3. ¿A qué crees crees que debe el robo de información? información? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Para Pa ra ex exttor orsi sion ona ar
Porr de Po desc scui uid do del del mis ism mo usuario
Para obtener dinero
Por diversión
Porcentaje
4. ¿Dónde prefiere prefiere hacer hacer las transacciones económicas? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% E n el mi mismo ba banco
Por la las pá páginas we web
E n caj er eros au automáticos
Porcentaje
20
Agent es es d e pag o
5. ¿Hacia quiénes recurriría en caso caso de ser víctima víctima de robo de información? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% A un técn ic ico
A l a empresa fabricant e Y o trataría de arr eg eglarlo
Desconoz co co de de la las autoridades de ayuda
Porcentaje
6. ¿Qué aspectos aspectos debilitan la seguridad de un dispositivo? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% El antiv antiviru iruss que que posee posee
Su conex conexión ión a intern internet et El descu descuido ido del del usua usuario rio La marc marca a del dis dispos positi itivo vo
Porcentaje
21
7. ¿Qué tipo de información personal personal sueles guardar guardar en tus dispositivos? dispositivos?
100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Solo fotos
Solo videos
Contraseñas importantes
Nada personal
Porcentaje
8. ¿Qué daño le puede causar a usted el robo de información? 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Emocional
Familiar
Económica
Porcentaje
22
No causa daño
CAPÍTULO V: DISCUCIÓN DISCUCIÓN
La primera parte de este capítulo analizará contrastaciones contrastaciones entre los resultados estadísticos obtenidos en las encuestas y las características técnicas que se relacionan a ellas con respecto a la seguridad y el robo de información de los datos. Según los datos arrojados en el anterior capítulo capítulo solo el 35% de de la población encuestada cambia su contraseña regularmente, un 40% la cambio una vez y 25% nunca la ha cambiado. Ya sea en sus dispositivos móviles o de sus cuentas de usuario en alguna red social o correo electrónico. La gravedad de este problema está en la cantidad de dispositivos y lugares en los que se hace uso de ellas y por lo tanto es más fácil para un delincuente informático obtener información privada de muchos aparatos electrónicos con una misma contraseña robada. Actualmente es común tener una cuenta de Facebook abierta en el celular, la misma en la computadora de escritorio y abrirla también en algún lugar de atención informático como una cabina de internet o una tienda de impresiones. Si alguno de estos establecimientos tiene algún virus que hackee contraseñas, el delincuente que lo use podrá acceder entonces a los diferentes dispositivos e información guardada en ellos con una sola contraseña contraseñ a robada. Tomando en cuenta esta conducta de los usuarios con respecto a cambio de contraseñas, se se debería poner entonces entonces más énfasis en el diseño e implementación de mejores sistemas de encriptado encriptado para el sistema Operativo en donde se trabaje y en las aplicaciones que requieran de Login y contraseñas para poder poder tener acceso a ellas. ellas. Andrew S. Tanenbaum Tanenbaum en el libro Sistemas Operativos Operativos Modernos Modernos explica explica dos métodos para encriptar encriptar o cifrar información: la Criptografía de Clave Secreta y la Criptografía de Clave Pública. Poner un mayor énfasis a esta parte en el diseño de sistemas y métodos de seguridad, es crucial pues pues teniendo en cuenta los hábitos de los usu usuarios, arios, quienes en su gran mayoría no cambian sus contraseñas, deben entonces tener buenos métodos de protección que aseguren en secreto de sus datos. Los métodos algorítmicos utilizados para encriptar la información deben por tanto ser en extremos seguros y confiable, y sumamente difícil de vulnerar por un hacker. Tanenbaum explica que los dos métodos mencionados tienen ventajas y desventajas con respecto a la dificultad y costo de procesamiento por parte del CPU, pero que sin embargo es necesario para poder mantener la seguridad del usuario. Con la capacidad de cálculo que existe ahora en los equipos de hardware es mucho más factible implementar métodos sofisticados de encriptado, por lo tanto es responsabilidad de las empresas desarrolladoras, no solo de sistemas si no de aplicaciones y servicios web invertir más en este tipo de mecanismos de protección. En tanto al propósito del robo de de la información información un 40% de la población población encuestada cree que el objetivo es la extorción y un 25% que se hace para 23
obtener dinero, dinero, otro 25% 25% cree que sucede por descuido descuido del mismo usuario y un 10% por diversión de los hackers. Según un informa brindado por Kaspersky Lab el 20 de Enero del 2016, se descubrió un malware llamado Asacub que infectaba dispositivos con sistemas operativos Android. La cantidad de personas que hace pagos y movimiento bancarios a través de sus terminales móviles se cuentan por millones y aún están en aumento, con la creciente aparición y crecimiento de los mercados en línea esta tendencia de realizar pagos y movimientos bancarios por teléfono ha ido creciendo en los últimos años. Este malware se enfocaba en crear falsas ventana de registro bancario y los usuarios, ignorantes de la presencia de este, introducían sus datos sin saber que estos ya estaban siendo robados. De esta manera se confirma la preocupación de la población encuestada con respecto a que el robo de información se debe a un tema monetario. Esta preocupación de la población de que los ataques informáticos tiene razones delictivas como como la extorsión y el dinero, es justificado justificado pues, Kaspersky Lab también publico una serie de datos y rankings de los países que más ataques en línea sufrieron en el 2014 y 2015. En América Latina el país con más ataques es Brasil concentrando el 32% de usuarios con intentos de infección y 22,122,995 números de incidentes. El segundo lugar lo ocupa Perú con el 28.7% de intentos de infección y 4537175 incidentes registrados. Le siguen Panamá, México y Honduras, junto con los demás países de América pero con cifra mucho menos que los dos primeros. Según esta empresa, el hecho de que Perú y Brasil ocupen los dos primeros puestos se debe a que justamente es de estos dos países de donde proviene la mayor cantidad de criminales cibernéticos. Este resultado demuestra entonces que Perú es un foco importante de delitos informáticos y por ende se debe poner mayor énfasis en la seguridad al nivel de la capa de red. Con respecto ataques fuera de línea el Perú y Brasil vuelven a ser los protagonistas, los ataque fuera de línea son los que se se hacen con dispositivos dispositivos como USB USB infectados infectados u otro tipo tipo de método método que no haga uso de internet. El tipo de información que guardan los usuarios es variado, según los datos obtenidos, el 25% de los usuarios guarda contraseñas importantes, mientras que el resto (75%) se se reparte entre fotos, videos u otro tipo de información. información. Si nos centramos en la importancia que ahora toman los dispositivos móviles, en la vida de las personas y en las empresas tener contraseñas importantes aumenta el riesgo y el impacto de los delitos informáticos. El sistema operativo Android es una de los más difundidos difundidos en el planeta y es ahí donde los delincuentes informáticos orientan sus ataques. Según Kaspersky Lab 1 de cada 5 usuarios de este sistema es atacado, en América Latina la mayor parte de estos ataques son México y Colombia. Por ende tener datos sumamente importantes que es responsabilidad netamente de los usuarios no es prudente. Que un 25% de los encuestados encuestados guarde contraseñas contraseñas importantes es un sector 24
importante de la población contrastando estos datos con los de Kasperky, que pone a Perú en el segundo lugar de américa Latina evidencia una falta de cultura de seguridad y un grave descuido de los usuarios al no hacer cambios de contraseñas constantemente y usar muchas contraseñas importantes en dispositivo que pueden ser fácilmente vulnerados. En la tesis: Ingeniería social: Psicología aplicada a la seguridad informática de de Sergio Arcos Sebastián Sebastián para optar el grado de Ingeniería Ingeniería informática, escribe en sus conclusiones que: “Las personas no se guían por lo que se debería hacer, sino por lo que creen que deben hacer”. (Sergio Arcos
Sebastián, 2011, p. 116). Esto evidencia y concuerda con nuestros datos, pues el comportamiento de las personas con respecto de su seguridad es muy erróneo tal como demuestran las cifras entregadas por la encuesta. Para la muestra encuestada, el daño que causa el robo de información es 50% emocional, un 20% considera que el daño es familiar, un 15% que el daños es económico y otro 15% que no causa daños. Decir que el daño es emocional, evidencia que las personas guardan más información relacionada con su intimidad, y por ende en caso que sean robadas este tipo de información el miedo de que alguien más tenga tenga acceso a ella es perjudicial perjudicial para la salud salud mental. El método con que las personas obtiene materiales como fotos, videos e información intima, para luego publicarlo en internet o extorsionar, se puede enmarcar como Ingeniería Ingeniería Social, pues pues las personas que hacen hacen eso, no usan técnicas sofisticadas de programación e informática, si no que usan la persuasión principalmente emocional. Para Sergio Arcos, el uso de estas técnicas fusionada con la informática y el software constituye una forma más segura de vulnerar un sistema, pues muchos de las acciones son realizadas por los mismos usuarios, y por lo tanto son son ellos quienes permiten permiten el acceso de los perpetradores perpetradores y delincuentes, sin sin que se den cuenta que que lo están haciendo. Siendo un accionar principalmente humano, los mecanismos de protección como antivirus u otros no tendrían efectos con este tipo de métodos, por lo tanto hacer un estudio más profundo y poner énfasis en esta nueva forma de violación a los sistemas de seguridad, es una meta a la que los especialistas de seguridad informática deben apuntar actualmente.
25
CONCLUSIONES
Con los resultados obtenidos y constatándolos con nuestros objetivos, tenemos que las personas a las que encuestamos conocen los protocolos básicos para evitar el robo de información. i nformación. También se llegó a observar que se tiene conocimiento del principal delito asociado con la seguridad informática, que es la extorsión. Los usuarios conocen de los aspectos vulnerables de un sistema, algo que es bueno para su seguridad. Si bien día a día aparecen sistemas más “seguros”, aún se registran fallas de seguridad en ellos, quiere decir que tanto el campo de la seguridad y el de los hackers evolucione constantemente. Los incidentes de seguridad impactan en forma cada vez más directa sobre las personas que a pesar de conocer de las consecuencias, no toman en cuenta los consejos para evitar la violación de información.
26
RECOMENDACIONES
Esté al día con las actualizaciones, le ayudará a prevenir la posible intrusión de hackers y la aparición de nuevos virus. Analice con su antivirus todos los dispositivos de almacenamiento de datos que utilice y todos los archivos nuevos, especialmente aquellos archivos descargados de internet. Utilice contraseñas seguras, es decir, aquellas donde se combinen letras, números y símbolos. Modifique sus contraseñas con frecuencia en especial si accede con frecuencia desde equipos públicos. Navegue por páginas web web seguras y de de confianza e identifique si si dichas páginas tienen algún algún sello o certificado certificado que garanticen su su calidad y fiabilidad. No abra mensajes de correo de remitentes desconocidos. Estar al día de la aparición de nuevas técnicas que amenazan la seguridad de su equipo informático, para tratar de evitarlas o de aplicar la solución más efectiva posible.
27
FUENTES DE INFORMACIÓN
Encarnación Zúñiga, F. (2013). Modelo de humanos para el estudio del comportamiento humano en tareas de seguridad y vigilancia . (Tesis de doctorado, Universidad de Educación a Distancia). Recuperado de http://espacio.uned.es/fez/ese spacio.uned. es/fez/eserv/tesisuned:I rv/tesisuned:IngInf-Efolgado/Doc ngInf-Efolgado/Documento.pdf umento.pdf Delgado Mohatar, O. (2011). Nuevos protocolos y esquemas de seguridad para redes ad-hoc móviles inalámbricas. (Tesis de doctorado, Universidad Carlos III de Madrid). Recuperado de https://docs.google.c https://d ocs.google.com/viewerng/view om/viewerng/viewer?url=eer?url=earchivo.uc3m.es/bitstream/ha archivo.uc3m. es/bitstream/handle/10016/11 ndle/10016/11576/Tesis_Os 576/Tesis_Oscar_Delgado_Moh car_Delgado_Moh atar.pdf Borghello, C. (2001). Seguridad informática, sus implicancias e implementación. (Tesis de licenciatura, Universidad Nacional Técnica). Recuperado de http://w http://www.segu-info.com. ww.segu-info.com.ar/tesis/tesis-borg ar/tesis/tesis-borghello-full.zip hello-full.zip Tanenbaum, A. (2001). Sistemas operativos modernos. Reino Unido: Prentice Hall. Arcos Sebastián, S. (2011 ). Ingeniería social: Psicología aplicada a la seguridad informática. (Tesis de licenciatura, Universidad de Barcelona). Recuperado de http://upcommons.upc.edu/bitstream/handle/2099.1/12289/73827.pdf?seque nce=1&isAllowed=y
28
ANEXOS
Imagen 1:
Imagen 2:
29
Imagen 3:
Imagen 4:
30
Imagen 5:
Imagen 6:
31
Imagen 7:
Imagen 8:
32
Imagen 9:
Imagen 10:
33
Imagen 11:
Imagen 12:
34
Imagen 13:
Imagen 14:
35
