Revista digital by Juan Perez

SEGURIDAD INFORMÁTICA 7833825

Nombre: Sting Jiménez CI: 18.655.601

COSTO TOTAL DE PROPIEDAD: CONCEO Y COMPONENTES El principio básico del TCO es que los costos de propiedad de cualquier bien tienen componentes más allá de los estipulados en el precio de compra del mismo y costos en los cuales se debe incurrir para garantizar el funcionamiento correcto del bien durante la vida útil del mismo. Se puede hablar de dos tipos de costos: · Directos · Indirectos Costos directos: corresponden al capital, honorarios, costos de mano de obra generados por el departamento, o por el personal de sistemas contratado para prestar servicios y soluciones para la organización. Dichos costos incluyen los gastos de capital, administración de sistemas, soporte, costos de trabajo de desarrollo, honorarios externos, adquisiciones, capacitación, viajes, mantenimiento, soporte y honorarios de comunicación. Los costos directos buscan regular y capturar todos los gastos directos relacionados con los clientes, servidores, periféricos y la red dentro de un ambiente de computación distribuida. Costos indirectos (sin presupuestar): evalúan el capital y la eficiencia de administración del área de Sistemas cuando brinda servicios requeridos por los usuarios finales. Si la administración y las soluciones en sistemas son eficientes, es menos probable que los usuarios finales tengan necesidad de buscar apoyo, tanto por sí mismos como en línea, o de tener tiempos sin productividad. Si la administración y las soluciones son ineficientes, los usuarios finales tendrán que invertir más tiempo en soporte, ya sea que ellos mismos resuelvan sus problemas o que busquen asesoría, y esto tendrá un impacto en la organización, pues generará más tiempo sin producir. A menudo, en la mayoría de las organizaciones, los costos están ocultos, por lo que no resulta sencillo evaluarlos o llevar un registro de ellos. Por esta razón, muchas empresas reducen sus costos directos en una forma menos eficiente, transfiriendo la carga o soporte y la falta de confiabilidad al usuario final. Las reducciones ineficientes o demasiado agresivas en los gastos a menudo llevan a una pérdida en la productividad significativa.

COSTO TOTAL DE PROPIEDAD (TCO): GESTIÓN INTEGRAL DE LOS COSTOS DE TECNOLOGIA El uso de la información y de las nuevas tecnologías como elementos que apoyan la de las empresas, ha hecho que la administración de la información se convierta en una parte integral del negocio. El costo de la tecnología y los sistemas está, muchas veces, fuera de control en varias empresas. El Total Cost of Ownership (TCO por su sigla en inglés) o Costo Total de propiedad es una práctica destinada a analizar y hacer más eficiente la adquisición de tecnología y los costos asociadas a sostenerla. Es utilizada tanto por quien toma la decisión de la inversión como quien oferta los productos como argumento de venta. Uno de los aspectos más importantes que se considera cuando se desea comprar un auto, en general es el precio. Esto es así porque el precio es lo que vamos a ir a cancelar en la caja, es lo único que desembolsamos por el producto que adquirimos en ese momento. Muy pocas veces se analiza el consumo de gasolina, los costos de los mantenimientos periódicos y mucho menos se revisa si el carro, que cuesta US20.000 ó US30.000, va a salir más barato en el largo plazo según sus consumos. El Costo Total de Propiedad o TCO, es una medida diseñada por el Grupo Gartner a finales de los 70, y ampliamente difundida para evaluar el costo total en que se incurre al adquirir, inicialmente un sistema de información o tecnología. A continuación se presentan los conceptos de TCO, los principios y mejores prácticas de implantación al igual que las ventajas de su utilización. 1. COSTO TOTAL DE PROPIEDAD: CONCEPTO Y COMPONENTES Los costos de propiedad de cualquier bien tienen componentes más allá de los estipulados en el precio de compra. Son costos en los cuales se debe incurrir para

garantizar la operación y funcionamiento del bien durante su vida. Se conocen dos (2) tipos de costos: · Directos · Indirectos Costos directos: corresponden al capital, honorarios, mano de obra generados por el departamento, o por el personal contratado para prestar servicios y soluciones para la organización. Incluyen los gastos de capital, administración de sistemas, soporte, costos de trabajo de desarrollo, honorarios externos, adquisiciones, capacitación, viajes, mantenimiento, soporte y honorarios de comunicación. Buscan involucrar todos los gastos directos relacionados con los clientes, servidores, periféricos y la red. Costos indirectos: evalúan el capital y la eficiencia de administración del área de Tecnología cuando brinda servicios para los usuarios finales. Tiene en cuenta la productividad de los mismos cuando las soluciones son ineficientes. A menudo estos costos están ocultos, por lo que no es fácil evaluarlos o llevar su registro. Muchas empresas reducen sus costos directos en una forma menos eficiente, transfiriendo parte del soporte y la falta de confiabilidad al usuario final lo que significa disminución de la productividad. TCO • El coste total de propiedad (Total Cost of Ownership o TCO), es un método de cálculo diseñado para ayudar a los usuarios y a los gerentes a determinar los costos directos e indirectos, relacionados con la compra de equipos. • El TCO ofrece un resumen que refleja no sólo el costo de la compra sino aspectos del uso y mantenimiento. • El análisis de TCO fue creado por el Grupo Gartner en 1987 y desde entonces se ha desarrollado en diferentes metodologías y herramientas de software. • TCO=suma(costos Directos + costos indirectos) ($$$) • Por ejemplo, la compra de un ordenador puede incluir la compra en sí misma, reparaciones, mantenimiento, actualizaciones, servicios y soporte, redes, seguridad, formación de usuarios y costos de licencias. El retorno sobre la inversión (return of investment o ROI) es el beneficio que obtenemos por cada unidad monetaria invertida durante un período de tiempo. • Suele utilizarse para analizar la viabilidad de un proyecto y medir su éxito. • ROI = Beneficios/Costos • Su medida es un número relacionado con la razón Costo/Beneficio.

• El costo es más sencillo de medir: casi siempre sabemos cuánto nos estamos gastando lo complicado es calcular el beneficio. • El ROI es problemático de medir por la entrada en juego de factores como: – el cambio tecnológico – el desorden al controlar y medir finanzas durante un proyecto – factores intangibles como satisfacción de usuarios, mejoras o comunicación. ¿Por qué utilizar indicadores? • Porque a veces no solamente es necesario estar uno mismo convencido… sino convencer a los demás • Porque lo que no se mide, no puede ser mejorado • Porque es necesario disponer de datos cuantitativos para: – Tomar decisiones – Escoger la mejor opción – Ahorra recursos.

En el actual clima de incertidumbre económica, el capital y los presupuestos deben estirarse como nunca antes. Si bien la inversión en la última tecnología, es crucial para mantener la competitividad y maximizar la productividad, representa un gasto muy importante para la mayoría de las empresas y siendo el gasto en informática objeto de un seguimiento cada vez más restrictivo, esperándose que las organizaciones justifiquen cualquier inversión que se proponga en informática mediante una evaluación del coste total de propiedad. ¿QUÉ SE ENTIENDE POR COSTE DE PROPIEDAD? La evaluación del Coste Total de Propiedad permite a los responsables informáticos cuantificar los costes directos e indirectos derivados de la adquisición, el uso y el despliegue de una solución informática y buscar el equilibrio entre dichos costes y los beneficios que la nueva tecnología aportará a la organización.

Los costes directos son los gastos reales capital/presupuestos que supone la compra, la instalación y el mantenimiento de la infraestructura informática. Los costes indirectos u ocultos son más difíciles de cuantificar e incluyen: • El mantenimiento del equipo al final de período de garantía • Las operaciones del usuario final • El tiempo adicional dedicado a actualizar y dar soporte a equipos antiguos • El consumo energético • Los costes asociados al desecho • Administración y soporte ¿QUÉ ES LO QUE AUMENTA EL COSTE TOTAL DE PROPIEDAD? Hay muchos factores que pueden aumentar el Coste Total de Propiedad, los principales son: • Aferrarse a activos informáticos demasiado tiempo e incurrir en gastos adicionales • Costes y riesgos elevados asociados con la necesidad de deshacerse del equipo • Falta de consistencia en los estándares • Multiplicidad de distribuidores y configuraciones • Procesos de compra, gestión y retirada • Menor vida económica del equipo informático PUEDE REDUCIRSE EL COSTE TOTAL DE PROPIEDAD: • Sustituyendo los equipos de manera regular - mejora la utilización de recursos - reduce el riesgo de obsolescencia tecnológica - reduce los costes de soporte al final de la vida útil - reduce el riesgo de reducción de la productividad • Financiando su infraestructura informática - contribuye a reducir los costes de adquisición - impulsa un programa de renovación regular - permite que los equipos se actualicen o se sustituyan fácilmente y de una manera rentable - asume los costes y las responsabilidades asociadas al desecho Que es el TCO? El coste total de propiedad (proveniente del término anglosajón Total Cost of Ownership o TCO), es un método de cálculo diseñado para ayudar a los usuarios y a los gestores empresariales a determinar los costes directos e indirectos, así como los beneficios, relacionados con la compra de equipos o programas informáticos.

El CTP ofrece un resumen final que refleja no sólo el coste de la compra sino aspectos del uso y mantenimiento. Esto incluye formación para el personal de soporte y para usuarios, el coste de operación, y de los equipos o trabajos de consultoría necesarios, etc. El análisis del coste total de propiedad fue creado por el Grupo Gartner en 1987 y desde entonces se ha desarrollado en diferentes metodologías y herramientas de software. Por ejemplo, la compra de un ordenador puede incluir la compra en sí misma, reparaciones, mantenimiento, actualizaciones, servicios y soporte, redes, seguridad, formación de usuarios y costes de licencias. El concepto de CTP es muy usado en la industria automotriz. En este contexto, el CTP implica el coste de tener un vehículo, desde la compra al mantenimiento y acabando en la posterior venta como usado. Los estudios de CTP entre varios modelos ayudan a los usuarios a decidir qué vehículo adquirir.

EL TCO EN LAS REDES CORPORATIVAS. La compra, implantación y puesta en marcha son sólo los factores iniciales que determinarán el Costo Total de Propiedad de cualquier proyecto en Tecnologías de la Información y Comunicaciones (TIC). A éstos se irán añadiendo en el tiempo costos incrementales derivados de la administración, integración, soporte y mantenimiento de las tecnologías adoptadas, sin olvidar los asociados a la formación, ampliación e innovación, entre otros. Hoy más que nunca, todos ellos deben ser tomados en cuenta desde un primer momento, especialmente cuando se trata de proyectos de gran dimensión y complejidad, como son las redes corporativas. Según los expertos, “el costo total de propiedad y el retorno de la inversión (ROI) son dos factores relacionados”. Está claro que para calcular el ROI de un proyecto antes hay que saber su costo real. Y para ello, además de conocer el costo de la compra, hay que investigar otros componentes, como el mantenimiento o los costos ocultos de formación, entre otros muchos elementos. Si bien es cierto que no existe una regulación que determine el modo de calcular el costo total de propiedad, sí se dispone de una serie de reglas que se pueden tener en cuenta. “En el mundo financiero se conocen desde hace mucho tiempo los valores que hay que calcular. Pero en nuestro sector, venimos de un mundo en el que medir las inversiones en tecnología era lo de menos, sólo contaba la necesidad de disponer de ella, sin que nadie se cuestionase otros factores. Es decir, el centro de datos era un centro de costos”.

CASOS DE ÉXITO DE SEGURIDAD INFORMÁTICA Y DE CONTROL WEB DE NAVEGACIÓN Una compañía dedicada a la distribución y venta de productos informáticos poseía una red corporativa central. La red corporativa tenía dos salidas a internet: una basada en ADSL de 2 Mbps y otra en 4 Mbps proporcionando un servicio de VPN. El servicio VPN conectaba una serie de sucursales pertenecientes a la misma empresa distribuidas por todo el país, con distancias entre las sucursales de hasta 1200 km. Asimismo tenía una gran navegación de todos los usuarios a internet, visitando cualquier tipo de páginas web, con la consiguiente pérdida de productividad. •La topología de red era la siguiente:

Solución adoptada: Después de un análisis específico de las distintas soluciones existentes en el mercado, valorando su coste, y el grado de respuesta que ofrecían al problema planteado, se llegó a elegir los productos de OpenWired como solución de Hardware y Software. OpenWired decidió implantar un cortafuegos de modelo FireWired 300. El FireWired 300 filtra la información entrante y saliente. Esto previene que sí pueda acceder externamente a cualquier nodo de la red interna. Además, el FireWired 300 se encarga de hacer un enrutamiento estático de las direcciones IP de las máquinas de gerencia, para que su salida sea a través del router 2 teniendo un mayor ancho de banda disponible. El enrutamiento se centra sólo en el tráfico según la política de seguridad configurada. Con esto se obtiene un rendimiento más óptimo del FireWired 300. Seguridad Informática Recientemente, leí un interesante artículo titulado, Paradoja del mundo informático: los riesgos de estar seguros. El post plantea el dilema que enfrentan muchas empresas cuando desean mejorar su nivel de seguridad y no tienen certeza sobre hasta qué punto o grado de seguridad se puede obtener o cuánto es suficiente para estar protegido sin que ello termine aislando a la empresa de la comunidad de la que desea formar parte. Por lo tanto y de acuerdo al perfil que la organización tenga en línea (vamos, no es lo mismo tener un sitio de e-commerce donde los usuarios deben entregar datos como los de su tarjeta de crédito, que un lugar destinado al entretenimiento o información) , la clave entonces se encuentra en la capacidad de administración de riesgos por parte

de la empresa, es decir que “los riesgos de seguridad deberán disminuirse hasta un umbral tolerable para el negocio”. Pero ¿qué es lo óptimo? En el ámbito de la seguridad, lo único seguro es que no hay nada seguro. Por tanto para preguntas como ¿Qué grado de seguridad se puede obtener? ó ¿hasta qué punto protegerse? La respuesta clara es que no existe un punto o grado en sí mismo, ya que aquello que pareciera no tener mayor impacto en la empresa en caso de ser comprometido, en realidad podría convertirse en una brecha de vulnerabilidad crítica que afecte a todo el sistema, a toda la organización y lo que en principio podría ser sustentado por el negocio (en cuanto a perdida de dinero), posiblemente ya no lo sea tanto. Esto se debe a que el mundo de la seguridad informática y de la información es un medio que se auto inventa constantemente. Entre los incidentes más comunes y que son noticia diaria se encuentran: fraudes electrónicos, phishing en banca online, paradas en comunicaciones, infecciones de malware, fugas de información o infiltraciones no deseadas de datos confidenciales y personales entre otros. Un ejemplo de ello, es la infiltración de los cables diplomáticos en Wikileaks, donde un militar estadounidense, Dradley Manning, tuvo acceso a la red SIPRNET (la red secreta de E.E.U.U de donde provienen los documentos filtrados). Manning, en una conversación via chat, le confiesa al ex hacker Adrian Lamo que había entregado a Wikileaks unos 260.000 informes y cables del Departamento de estado y de las embajadas (“Entraba en la sala de informática con un CD regrabable de música que decía algo como ‘Lady Gaga’, borraba la música y grababa los archivos”).

SEGURIDAD INFORMÁTICA 7833825

Ingeniería Social (Seguridad Informática) En el campo de la SEGURIDAD INFORMÁTICA, Ingeniería Social es la práctica de obtener información confidencial a través de la manipulación de usuarios legítimos. Es una técnica que pueden usar ciertas personas, tales como investigadores privados, criminales, o delincuentes computacionales, para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga la persona u organismo comprometido a riesgo o abusos.

El principio que sustenta la ingeniería social es el que en cualquier sistema "los usuarios son el eslabón débil". En la práctica, un ingeniero social usará comúnmente el teléfono o Internet para engañar a la gente, fingiendo ser, por ejemplo, un empleado de algún banco o alguna otra empresa, un compañero de trabajo, un técnico o un cliente. Vía Internet o la web se usa, adicionalmente, el envío de solicitudes de renovación de permisos de acceso a páginas web o memos falsos que solicitan respuestas e incluso las famosas "cadenas", llevando así a revelar información sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en ciertas situaciones, -por ejemplo proporcionando detalles financieros a un aparente funcionario de un banco- en lugar de tener que encontrar agujeros de seguridad en los sistemas informáticos. Quizá el ataque más simple pero muy efectivo sea engañar a un usuario llevándolo a pensar que un administrador del sistema está solicitando una contraseña para varios propósitos legítimos. Los usuarios de sistemas de Internet frecuentemente reciben mensajes que solicitan contraseñas o información de tarjeta de crédito, con el motivo de "crear una cuenta", "reactivar una configuración", u otra operación benigna; a este tipo de ataques se los llama phishing (pesca). Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente para que no divulguen contraseñas u otra información sensible a personas que dicen ser administradores. En realidad, los administradores de sistemas informáticos raramente (o nunca) necesitan saber la contraseña de los usuarios para llevar a cabo sus tareas. Sin embargo incluso este tipo de ataque podría no ser necesario — en una encuesta realizada por la empresa Boixnet, el 90% de los empleados de oficina de la estación Waterloo de Londres reveló sus contraseñas a cambio de un bolígrafo barato. Otro ejemplo contemporáneo de un ataque de ingeniería social es el uso de archivos adjuntos en emails, ofreciendo, por ejemplo, fotos "íntimas" de alguna persona famosa o algún programa "gratis" (a menudo aparentemente provenientes de alguna persona conocida) pero que ejecutan código malicioso (por ejemplo, usar la máquina de la víctima para enviar cantidades masivas de spam). Ahora, después de que los primeros e-mails maliciosos llevaran a los proveedores de software a deshabilitar la ejecución automática de archivos adjuntos, los usuarios deben activar esos archivos de forma explícita para que ocurra una acción maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente cualquier archivo adjunto recibido, concretando de esta forma el ataque.

PHISHING PHISHING es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea[1] o incluso utilizando también llamadas telefónicas.

Dado el creciente número de denuncias de incidentes relacionados con el phishing, se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas técnicas a los programas.

ESTAFA NIGERIANA La estafa nigeriana, timo nigeriano o timo 419, es un fraude, un engaño. Se lleva a cabo principalmente por correo electrónico no solicitado. Adquiere su nombre del número de artículo del código penal de Nigeria que viola, ya que buena parte de estas estafas provienen de ese país. Esta estafa consiste en ilusionar a la víctima con una gran fortuna, que en realidad es inexistente, con objeto de persuadirla luego para que pague una suma de dinero por adelantado como condición para acceder a la supuesta fortuna. Es decir, se le promete a la víctima el todo o parte de una inexistente cantidad millonaria de dinero, para luego convencerla - mediante excusas muy elementales inventadas - a adelantar cierta cantidad de dinero propio al estafador. Variantes Existen numerosas variantes de la estafa. Las más comunes son una herencia vacante que la víctima adquirirá, una cuenta bancaria abandonada, una lotería que la víctima ha ganado, un contrato de obra pública o simplemente una gran fortuna que alguien desea donar generosamente antes de morir. Algunos sostienen que la excusa de la lotería es la más común de todas. Por ejemplo, la víctima podría recibir un mensaje del tipo "Soy una persona muy rica que reside en Nigeria y necesito trasladar una suma importante al extranjero con discreción. ¿Sería posible utilizar su cuenta bancaria?" Las sumas normalmente suelen estar cerca de decenas de millones de dólares. A la víctima se le promete un determinado porcentaje, como el 10 o el 20 por ciento. El trato propuesto se suele presentar como un delito de guante blanco inocuo con el fin de disuadir a las víctimas - los supuestos inversionistas- de llamar a las autoridades. Los timadores le enviarán algunos documentos con sellos y firmas con aspecto oficial a quien acepte la oferta. Estos documentos normalmente son archivos gráficos adjuntados a mensajes de correo electrónico. A medida que prosiga el intercambio, se le pide a la víctima que envíe dinero o viaje al exterior para entregarlo personalmente, para hacer frente a supuestos honorarios, gastos, sobornos, impuestos o comisiones. Se va creando una sucesión de excusas de todo tipo, pero siempre se mantiene viva la promesa del traspaso de una cantidad millonaria. A menudo se ejerce presión psicológica, por ejemplo alegando que la parte nigeriana, para poder pagar algunos gastos y sobornos, tendría que vender todas sus pertenencias y pedir un préstamo. A veces, se invita a la víctima a viajar a determinados países africanos, entre ellos Nigeria y Suráfrica. Esto es especialmente peligroso, porque en ocasiones el supuesto inversor puede acabar secuestrado o incluso asesinado por el timador. En cualquier caso, la transferencia nunca llega, pues las millonarias sumas de dinero jamás han existido.

Últimamente, gran cantidad de estafadores provenientes del África Occidental se han establecido en diversas ciudades europeas, especialmente Ámsterdam, Londres y Madrid, entre otras, como también en Dubái. A menudo se les persuade a las víctimas a viajar allí para cobrar sus millones, para lo cual deben primero pagar una elevada suma, que parece sin embargo insignificante si se la compara con la fortuna que los incautos esperan recibir. Las operaciones están organizadas con gran profesionalidad en países como Nigeria, Sierra Leona, Costa de Marfil, Ghana, Togo, Benín y Sudáfrica. Cuentan con oficinas, números de fax, teléfonos celulares y a veces con sitios fraudulentos en internet. ORIGEN DE LA PALABRA El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo". A quien lo practica se le llama phisher. También se dice que el término "phishing" es la contracción de "password harvesting fishing" (cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la antigua forma de hacking telefónico conocida como phreaking. La primera mención del término phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600,[6] aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del boletín de noticias hacker "2600 Magazine".[7] El término phishing fue adoptado por quienes intentaban "pescar" cuentas de miembros de AOL. PHISHING EN AOL Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL. El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software falsificado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial, el mensaje podía contener textos como "verificando cuenta" o "confirmando información de factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas escritos por crackers, como el AOLHell. En 1997 AOL reforzó su política respecto al phishing y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). Simultáneamente AOL desarrolló un sistema que

desactivaba de forma automática una cuenta involucrada en phishing, normalmente antes de que la víctima pudiera responder. Los phishers se trasladaron de forma temporal al sistema de mensajería instantáneo de AOL (AIM), debido a que no podían ser expulsados del servidor de AIM. El cierre obligado de la escena de warez en AOL causó que muchos phishers dejaran el servicio, y en consecuencia la práctica. INTENTOS RECIENTES DE PHISHING Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente pesca con arpón). Los sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado que mucha de la información provista en estos sitios puede ser utilizada en el robo de identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales. A finales de 2006 un gusano informático se apropió de algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web diseñada para robar información de ingreso de los usuarios. RESUMEN DE LA LEY DE DELITOS INFORMÁTICOS DE VENEZUELA Recientemente se publicó la Ley sobre Delitos Informáticos ("la Ley"), cuyo objetivo es proteger los sistemas que utilicen tecnologías de información, así como prevenir y sancionar los delitos cometidos contra o mediante el uso de tales tecnologías (Gaceta Oficial N° 37.313 del 30 de octubre de 2001). Se trata de una ley especial que descodifica el Código Penal y profundiza aún más la incoherencia y falta de sistematicidad de la legislación penal, con el consecuente deterioro de la seguridad jurídica. La Ley define los términos tecnología de la información, sistema, data, documento, computadora, hardware, firmware, software, programa, procesamiento de datos o de información, seguridad, virus, tarjeta inteligente, contraseña y mensaje de datos. La ley presenta varias deficiencias y problemas, entre los que podemos mencionar los siguientes: (i) Utiliza términos en el idioma inglés, cuando la Constitución solo autoriza el uso del castellano o lenguas indígenas en documentos oficiales; (ii) No tipifica delito alguno relativo a la seguridad e integridad de la firma electrónica y a su registro; (iii) La terminología utilizada es diferente a la de la Ley de Mensaje de Datos y Firmas Electrónicas, tal como se observa en la definición que hace del mensaje de datos con lo que se propicia un desorden conceptual de la legislación en materia electrónica; (iv) Repite delitos ya existentes en el Código Penal y en otras leyes penales, a los cuales les agrega el medio empleado y la naturaleza intangible del bien afectado; (v) Tutela los sistemas de información sin referirse a su contenido ni sus aplicaciones; (vi) No tutela el uso debido de Internet; y (vii) Establece principios generales diferentes a los establecidos en el libro primero del Código Penal, con lo cual empeora la descodificación.

La Ley, que pretende ser un Código Penal en miniatura, pero carece de la sistematicidad y exhaustividad propias de tal instrumento, elabora cinco clases de delitos: 1) Contra los sistemas que utilizan tecnologías de información; 2) Contra la propiedad; 3) Contra la privacidad de las personas y de las comunicaciones; 4) Contra niños y adolescentes y; 5) Contra el orden económico. 1) Los delitos contra los sistemas que utilizan tecnología de información son los siguientes: a) El acceso indebido a un sistema, penado con prisión de uno a cinco años y multa de 10 a 50 unidades tributarias (UT); b) El sabotaje o daño a sistemas, incluyendo cualquier acto que altere su funcionamiento, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT, que aumentará a prisión de cinco a diez años y multa de 500 a 1.000 UT si para su comisión se utiliza un virus o medio análogo. Si se trata de sabotaje o daño culposo, la pena se reduce entre la mitad y dos tercios. Si se trata de sabotaje o acceso indebido a sistemas protegidos, la pena aumenta entre la tercera parte y la mitad; c) La posesión de equipos o prestación de servicios para actividades de sabotaje, penado con prisión de tres a seis años y multa de 300 a 600 UT; d) El espionaje informático, que incluye la obtención, difusión y revelación de información, hechos o conceptos contenidos en un sistema, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. El aumento será de la mitad a dos tercios si se pone en peligro la seguridad del Estado, la confiabilidad de la operación de las personas afectadas o si como resultado de la revelación alguna persona sufre un daño; y e) La falsificación de documentos mediante el uso de tecnologías de información o la creación, modificación o alteración de datos en un documento, penado con prisión de tres a seis años y multa de 300 a 600 UT. Si el delito se comete para procurar un beneficio para sí o para otro, la pena aumenta entre un tercio y la mitad. Si el hecho resulta en un perjuicio para otro, el aumento será de la mitad a dos tercios 2) Delitos contra la propiedad: La técnica legislativa utilizada en este caso es incorrecta, pues a delitos ya previstos en la codificación penal se les crea una supuesta independencia, cuando la única diferencia existente es el medio utilizado (electrónico en lugar de mecánico o material) y la naturaleza del bien tutelado, que en este caso es intangible, mientras que en los bienes muebles es física. En esta clase se incluyen: a) El hurto, que consiste básicamente en apoderarse de un bien o valor tangible o intangible de carácter patrimonial, sustrayéndolo a su tenedor mediante el acceso, interceptación, interferencia, manipulación o uso de un sistema que utilice tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT; b) El fraude realizado mediante el uso indebido de tecnologías de información, penado con prisión de tres a siete años y multa de 300 a 700 UT; c) La obtención indebida de bienes o servicios mediante el uso de tarjetas inteligentes (tarjetas de crédito, de débito o de identificación que garanticen el acceso a un sistema reservado u otras similares, penado con prisión de dos a seis años y multa de 200 a 600 UT; d) El manejo fraudulento de tarjetas inteligentes, o la creación, duplicación o incorporación indebida de datos a registros, listas de consumo o similares, penado con prisión de cinco a diez años y multa de 500 a 1.000 UT. La misma pena será impuesta a quienes sin tomar parte en los hechos descritos se beneficien de resultados obtenidos; e) La apropiación indebida de tarjetas inteligentes, penado con prisión de uno a cinco años y multa de 10 a 50 UT. La misma pena se impondrá a quien reciba o adquiera dichas tarjetas f) Provisión indebida de bienes o servicios utilizando una tarjeta inteligente, a sabiendas de que dicho instrumento ha sido falsificado, está vencido o ha sido alterado, penado con prisión de dos a seis años y multa de 200 a 600 UT; y

g) La posesión de equipos para falsificaciones, penado con prisión de tres a seis años y multa de 300 a 600 UT. 3) Los delitos contra la privacidad de las personas y las comunicaciones son los siguientes: a) La violación de la privacidad de la data o información de carácter personal que se encuentre en un sistema que use tecnologías de información, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si como consecuencia del delito descrito resulta un perjuicio para el titular de la información o para un tercero; b) La violación de la privacidad de las comunicaciones, penado con prisión de dos a seis años de prisión y una multa de 200 a 600 UT; y c) La revelación indebida de datos o información obtenidos por los medios descritos en los literales a) o b) anteriores, penado con prisión de dos a seis años y multa de 200 a 600 UT. Esta pena se aumentara de un tercio a la mitad si el delito se cometió con fines de lucro o si resulta en un perjuicio para otro. El tema de la privacidad ha sido uno de los mas discutidos en los ordenamientos jurídicos extranjeros, debido a los derechos humanos. Principalmente, en cuanto a los dos primeros puntos. Las discusiones se han concentrado, básicamente, en la posibilidad de que el empleador revise las conversaciones y envío de datos de los empleados que utilizan como medio el sistema del empleador, así como la propiedad de la información contenida en del sistema del empleador. Con relación al tercer punto, el tema se ha centrado en la posibilidad de que el dueño de un sistema venda información personal de los usuarios del sistema con fines de comercialización. 4) Los delitos contra niños y adolescentes son los siguientes: a) La difusión o exhibición de material pornográfico sin la debida advertencia para que se restrinja el acceso a menores de edad, penado con prisión de dos a seis años y multa de 200 a 600 UT; y b) La exhibición pornográfica de niños o adolescentes, penado con prisión de cuatro a ocho años y multa de 400 a 800 UT. 5) El último tipo contempla los delitos contra el orden económico, que son los siguientes: a) La apropiación indebida de propiedad intelectual mediante la reproducción, divulgación, modificación o copia de un software, penado con prisión de uno a cinco años y multa de 100 a 500 UT; y b) La oferta engañosa de bienes o servicios mediante la utilización de tecnologías de la información, penado con prisión de uno a cinco años y multa de 100 a 500 UT, sin perjuicio de la comisión de un delito más grave. Además de las penas principales indicadas anteriormente, se impondrán, sin perjuicio de las establecidas en el Código Penal, las siguientes penas accesorias: (i) El comiso de equipos, dispositivos, instrumentos, materiales, útiles, herramientas y cualquier otro objeto que haya sido utilizado para la comisión de los delitos previstos en los artículos 10 y 19 de la Ley (posesión de equipos o prestación de servicios de sabotaje y posesión de equipos para falsificaciones). (ii) Trabajo comunitario por el término de hasta tres años en los casos de los delitos previstos los artículos 6 y 8 de la Ley (acceso indebido y favorecimiento culposo del sabotaje o daño). (iii) La inhabilitación para el ejercicio de funciones o empleos públicos; para el ejercicio de la profesión, arte o industria; o para laborar en instituciones o empresas del ramo por un período de hasta tres años después de cumplida o conmutada la sanción principal, cuando el delito se haya cometido con abuso de la posición de acceso a data o información reservadas, o al conocimiento privilegiado de contraseñas, en razón del ejercicio de un cargo o función público, del ejercicio privado de una profesión u oficio, o del desempeño en una institución o empresa privada. (iv) La suspensión del permiso, registro o autorización para operar o para ejercer cargos directivos y de representación de personas jurídicas vinculadas con el uso de tecnologías de información, hasta por el período de tres años después de cumplida o conmutada la sanción principal, si para cometer el delito el agente se valió de o hizo figurar a una persona jurídica.

(v) Además, el tribunal podrá disponer la publicación o difusión de la sentencia condenatoria por el medio que considere más idóneo. En conclusión, la Ley llena parcialmente un vacío legislativo en una materia de mucha importancia. Sin embargo, múltiples deficiencias y problemas en la técnica legislativa empleada y los conceptos usados, así como diversas lagunas y contradicciones, la hacen insuficiente como complemento del resto de la legislación, por lo que será necesario hacer una nueva tipificación de forma sistemática y exhaustiva, en el nuevo Código Penal que se adelanta en la Asamblea Nacional.

Resumen de la Ley de Firma Electrónica Real decreto Ley 14/1999 de 17 de Septiembre, sobre Firma Electrónica.

 Titulo I (Disposiciones Generales) Capitulo único (Disposiciones generales) Artículo 1 (Ámbito de aplicación) La ley reconoce su eficacia Jurídica. Afecta a los prestadores de servicios establecidos en España. No afecta a la eficacia de los contratos. La ley no sustituye ni modifica las funciones de los notarios. Artículo 3 (Efectos jurídicos de la firma electrónica) Tiene el mismo efecto jurídico que la firma manuscrita. Titulo II (La prestación de servicios de certificación) Capitulo I (Principios generales) Artículo 4 (Régimen de libre competencia) Artículo 4.1 La prestación de servicios no está sujeta a autorización previa. Artículo 4.2 La Administración puede prestar servicios de certificación. Artículo 5 (Empleo de la firma electrónica por las administraciones públicas) Artículo 5.1 Las normas adicionales a la ley las pondrá el ministerio de administraciones públicas, previo informe del consejo superior de informática. Artículo 5.3 La defensa y la seguridad pública, podrán tener un régimen específico. Artículo 6 (Sistemas de acreditación de prestadores de servicios de certificación y de certificación de productos de firma electrónica) Artículo 6.1 Se podrán establecer sistemas voluntarios de acreditación de prestadores de servicios. Artículo 6.3 El prestador de servicios que se presente voluntariamente a la acreditación podrá obtener la correspondiente acreditación de su actividad, o certificado de producto de firma electrónica que empleen. Artículo 7 (Registro de prestadores de servicios de certificación)

Artículo 7.1 Se crea en el Ministerio de Justicia , el registro de prestadores de servicios de certificación. En el que deberán solicitar su inscripción, con carácter precio al inicio de su actividad, todos los establecidos en España. Su regulación se desarrollará por Real Decreto. Artículo 7.3 El registro de PSC será público, podrá acceder aquel que lo solicite, podrá ser telemático y el suministro de dicha información, podrá sujetarse al pago de una tasa. Capitulo II (Certificados) Articulo 8 (Requisitos par la existencia de un certificado reconocido) Obligatorios: - Indicación de que se expiden como certificados. - La identificación del prestador de servicios, NIF, Razón social. - La firma electrónica avanzada del PSC. - Identificación del signatario por su nombre y apellidos o por un seudónimo de manera unívoca. - El comienzo y el fin de validez del certificado. Opcionales: (Límite del uso del certificado si se prevén) -Limite del valor de las transacciones para las que puede utilizarse el certificado. -Cualquier otra información, a petición del signatario y con su consentimiento expreso. Articulo 9 (Vigencia de los certificados) Articulo 9.1.g Si el PSC cesa en su actividad, los certificados quedan anulados, salvo Que el signatario acepte que estos pasen a ser gestionados por otra PSC. Articulo 9.2, 9.3 Si un PSC cesa de actividad debe comunicarlo en el Registro. Articulo 9.4 El signatario puede solicitar la suspensión de su certificado. Articulo 10 (Equivalencia de certificados) Un certificado extranjero, será válido cuando: a) cumpla los requisitos establecidos en la normativa comunitaria sobre firma electrónica y haya sido acreditdo, conforme a un sistema voluntario establecido en un Estado miembro de la UE. b) Que este garantizado por un prestador de servicios de la UE que cumpla los requisitos de la normativa comunitaria sobre firma electrónica. c) Que esté reconocido por un acuerdo internacional. Capitulo III ( Condiciones exigibles a los PSC) Articulo 11 (Obligaciones de los prestadores de servicios de certificación) Articulo 11.c No almacenar la firma privada, ni los dato de creación de firma, salvo que el signatario los solicite. Articulo 11.e Mantener un registro con los certificados emitidos, al que los signatarios Podrán acceder en cualquier momento. Articulo 11.f En caso de cese de actividad, deberán comunicárselo a los signatarios y y al registro de PSC del Ministerio de Justicia. Articulo 11.g Tienen la obligación de solicitar su inscripción en el registro de PSC del ministerio de Justicia. Articulo 12 (Obligaciones exigibles a los PSC que expidan certificados reconocidos) Los PSC que espidan certificados reconocidos, además de lo expuesto en los artículos 7 y 11 han de cumplir: a) Indicar la fecha y la hora en la que se expidió un certificado. b) Demostrar la fiabilidad necesaria de sus servicios. Articulo 12.d Deben emplear personal cualificado. Articulo 12.f Deben garantizar la seguridad de los datos de creación de firma.

Articulo 12.g Deben tener un seguro por el total del 4% de las transacciones posibles realizables con los certificados expedidos. Articulo 12.h Conservar toda la documentación relativa a un certificado reconocido durante quince anos. Articulo 12.i Antes de expedir un certificado, deben informar al solicitante sobre las condiciones, límites de uso y el precio del certificado. Articulo 12.j Deben tener sistemas fiables de almacenamiento, y solo personal autorizado, puede acceder a ellos. Articulo 13 (Cese de la actividad del PSC) Articulo 13.1 El PSC que vaya a cesar su actividad, deberá comunicarlo a los titulares de los certificados por él expedidos y transferir bajo su consentimiento, los que sigan siendo válidos a otro PSC. Debe comunicarlo con 2 meses de antelación. Articulo 14.3 Si el PSC debe satisfacer una indemnización, y no tiene garantías suficientes, deberá responder de la deuda, con sus bienes presentes y futuros. Articulo 15 (Protección de datos personales) Articulo 15.1 La protección de datos esta sujeta a lo dispuesto en la Ley Orgánica 5/1992 del 29 de Octubre (LORTAD) Articulo 15.2 Los PSC que expidan certificados a los usuarios, sólo podrán recabar información de los titulares de los mismos, y los datos requeridos serán exclusivamente los necesarios para la expedición y mantenimiento del certificado. Capítulo IV (Inspección y control de la actividad de los prestadores de servicios de certificación) Articulo 16. (Supervisión y control.) Articulo 16.1 Ministerio de Fomento controlará, a través de la Secretaría General de Comunicaciones el cumplimiento de la Ley. Articulo 16.2 En el ejercicio de su actividad de control, la Secretaría General de comunicaciones actuará de oficio, mediante razonada petición del Ministerio de Justicia o de otros órganos administrativos o a instancia de persona interesada. Título III Los dispositivos de firma electrónica y su conformidad con la normativa aplicable. Capítulo único Artículo 20.1 Se presumirá que los productos de firma electrónica que se ajusten a las normas técnicas cuyos números de referencia hayan sido publicados en el "Diario Oficial de las Comunidades Europeas" Artículo 20.2 Se reconocerá eficacia a los dispositivos seguros de creación de firma que hayan sido expedidos por los organismos designados para ellos por los estados miembros de la unión Europea, cuando pongan de manifiesto que dichos dispositivos cumplen los requisitos contenidos en la normativa comunitaria sobre firma electrónica. Título IV Tasa por el reconocimiento de acreditaciones de PSC y certificaciones de los productos de creación de firma. Capítulo único Artículo 23.1.c Su cuota es de 47.500 pts por cada acreditación o certificación reconocida. Título V Infracciones y sanciones Capítulo único Artículo 24 Clasificación de las infracciones: muy graves, graves y leves. Artículo 25.1 Son infracciones muy graves: El incumplimiento por los PSC que expidan certificados reconocidos del artículo 11 excepto el apartado c, g, h. El incumplimiento por los PSC que expidan certificados reconocidos del artículo 12.c hasta el 12.j

Ejemplo: Guardar los datos de creación de certificado. Artículo 25.2 Son infracciones graves: El incumplimiento por los PSC que expidan certificados reconocidos del artículo 12.a 12.b y 12.k El incumplimiento por los PSC que expidan certificados reconocidos del artículo 12.c hasta el 12.j cuando no concurran las circunstancias del apartado 25.1.b Ejemplo: No comunicar al Ministerio de Justicia el cese de la actividad de PSC. Artículo 25.3 Son infracciones leves: El incumplimiento por los PSC que no expidan certificados reconocidos elincumplimiento del artículo 11 excepto la c) cuando no deba considerarse infracción grave de acuerdo con lo previsto en el 25.2.a Artículo 26 Sanciones. Muy Graves: Se aplicará una de estas tres sanciones. Entre 1-5 veces el beneficio bruto obtenido (Máximo 100 Millones pts) 1% de los ingresos del año anterior. 5% de los ingresos de ese año, si no ha tenido ingresos el año anterior. Además la sanción podrá llevar aparejada: Publicación de la resolución sancionadora en el B.O.E Publicación en dos periódicos de difusión Nacional. Graves: Se aplicará una de estas tres sanciones. Entre 1-2 veces el beneficio bruto obtenido (Máximo 50 Millones pts) 0,5% de los ingresos del año anterior. 2% de los ingresos de ese año, si no ha tenido ingresos el año anterior. Además la sanción podrá llevar aparejada: Publicación de la resolución sancionadora en el B.O.E Publicación en dos periódicos de difusión Nacional. Leves, se aplicará al infractor: Hasta una multa de 2.000.000 de pts. Artículo 26.4 Las notas relativas a las sanciones, se cancelarán una vez transcurridos los plazos de prescripción de las sanciones administrativas "5 años" Artículo 27 En los procedimientos sancionadores por infracciones graves o muy graves, se podrán adoptar, las medidas cautelares que se estimen necesarias. Artículo 28. El ejercicio de la potestad sancionadora atribuida por este Real Decreto-Ley corresponde a la Secretaría General de Comunicaciones del Ministerio de Fomento. Disposición adicional única. Disposición Transitoria única Los PSC establecidos en España antes de la entrada en vigor de la Ley, habrán de adaptarse a la ley en el plazo de un año, desde su entrada en vigor. No obstante conservarán su validez los certificados y expedidos que hayan surtido efectos.

RESUMEN LEY DE LA CIENCIA, LA TECNOLOGÍA Y LA INNOVACIÓN La Ley 14/2011 de la Ciencia, la Tecnología y la Innovación, aprobada el 1 de junio de 2011 (“LCTI”), nace con la vocación de establecer un marco general para el fomento y la coordinación de la investigación científica y técnica. Esta Ley deroga la Ley 13/1986, de

14 de abril, de Fomento y Coordinación General de la Investigación Científica y Técnica, que había servido en su momento para establecer la organización básica del Estado en materia de ciencia y tecnología pero que, después de 25 años de vigencia, había quedado obsoleta para responder a los retos que se plantean en el contexto de una nueva sociedad basada en el conocimiento. Los objetivos básicos de esta Ley se mencionan en su Preámbulo. En primer lugar, se pretende el establecimiento de un marco regulador integrado que establezca instrumentos de cohesión y coordinación entre Administraciones (básicamente entre la Administración General del Estado y las Comunidades Autónomas) y la internacionalización de la ciencia. En segundo lugar, se proponen mecanismos para favorecer la carrera científica y técnica del personal investigador, fomentando la transferencia de conocimiento y su difusión universal, en particular, institucionalizando un sistema de acceso abierto a la información científica financiada con fondos públicos. Por último, no menos ambicioso es el objetivo de transformar el modelo de gestión de la Administra-ción General del Estado mediante la creación de una Agencia Estatal de Investigación que garantice un marco estable de financiación de la actividad de investigación. Con todo, la grandilocuencia de objetivos tan loables mencionados en el Preámbulo de la LCTI contrasta, como veremos a continuación, con una deficiente concreción de los mismos en su articulado. 2 En este artículo comentaremos los aspectos más relevantes de la LCTI relacionados con los derechos de propiedad industrial e intelectual. Así, una vez esbozada la nueva gobernanza del Sistema Español de Ciencia, Tecnología e Innovación, analizaremos aquellos derechos y deberes concretos del personal investigador que inciden de forma más directa en el régimen jurídico de los derechos de propiedad industrial e intelectual. También analizaremos las normas que tratan de la movilidad del personal investigador y de los mecanismos de transferencia de tecnología previstos en esta Ley. No obstante, hay que advertir desde este momento que, excepto las novedades en materia de contratación del personal investigador, la LCTI no introduce modificaciones sustanciales en la legislación sobre propiedad industrial e intelectual. De hecho, la mayoría de los derechos y deberes que configuran el estatuto básico del personal investigador en la LCTI ya habían sido reconocidos previamente, bien en la legislación especial (Ley de Patentes, Ley de Propiedad

Intelectual), bien en la legislación aplicable a la actividad investigadora en el ámbito universitario (Ley Orgánica de Universidades, Estatutos de las Universidades y normativa de desarrollo, etc.), siendo que la única virtud que puede reconocerse a la LCTI en este sentido es la de aglutinar y coordinar normas hasta ahora dispersas.