ANLISIS DE LA PELICULA ALGORITMOS:

HACKER
Will, es un experto en seguridad informtica, que trabaja en San
Francisco, es contratado por una persona que dice que su mujer le
engaa y que necesitas pruebas para poder divorciarse de ella. El tipo le
da un sobre con $5000 y Will se marcha. A partir de aqu, Will llega a
comprometer una computadora de alguien que trabaja en una
compaa llamada Emergency, que trabaja para el gobierno de los
Estados Unidos. Logra acceder a un montn de programas, aunque se
estanca en uno de ellos llamado Sheperd. Para avanzar, pide ayuda a
otros colegas hackers. Curiosamente, se da cuenta que todos aquellos
que acceden a Shepherd, sufren graves consecuencias. Will descubrir
un sistema de identificacin y tracking de personas o programa de
espionaje que los departamentos de Inteligencia de USA mantienen para
llevar a cabo espionaje, que almacena todos lo que cualquier persona
realiza en cualquier momento, en cualquier sitio.

El argumento resulta un tanto exagerado para algunos, pero las

reflexiones realizadas es interesante y bastante ajustada a la
realidad.
El tema de informacin en nuestra poca es bastante
controversial, ya que muchas empresas se comprometen con los
usuarios a resguardar sus datos, segn ellos sin ningn trasfondo,
en realidad lo que hacen es apoderarse de ella y utilizarla en
nuestra contra en cualquier momento. Actualmente es muy difcil
poder tener nuestra informacin a salvo, casi imposible dira yo,
por las polticas y condiciones de los servicios de red e internet, es
tanto la ambicin de las instituciones gubernamentales como
privadas por nuestra informacin que hay especialistas en campo
de espionaje informtico que comnmente se les conoce como
hackers, la mayora de ellos trabajan para estas instituciones, y
otros trabajas para su conveniencia, tratando de estafar en
algunos casos a las personas, pero ms comnmente a las
instrucciones bancarias, gubernamentales, entre otras. Como
recomendacin debo de hacer hincapi de la importancia del
conocimiento de a quien o quienes le brindamos nuestra
informacin, y recordar que no es necesaria y a la vez inseguro,
brindar informacin personal.

AUDITORIA DE SISTEMAS
La naturaleza especializada
de
la auditora de
los sistemas de informacin y las habilidades necesarias para llevar a
cabo este tipo de auditoras, requieren el desarrollo y la promulgacin
de Normas Generales para la Auditora de los Sistemas de Informacin.
La auditora de los sistemas de informacin se define como cualquier
auditora que abarca la revisin y evaluacin de todos los aspectos (o de
cualquier porcin de ellos) de los sistemas automticos de
procesamiento de la informacin, incluidos los procedimientos no
automticos relacionados con ellos y las interfaces correspondientes.
Para hacer una adecuada planeacin de la auditora en informtica, hay
que seguir una serie de pasos previos que permitirn dimensionar el
tamao y caractersticas de rea dentro del organismo a auditar, sus
sistemas, organizacin y equipo.
A continuacin, la descripcin de los dos principales objetivos de una
auditora
de
sistemas,
que
son,
las
evaluaciones
de
los procesos de datos y de los equipos de cmputo, con controles, tipos
y seguridad.
En el caso de la auditora en informtica, la planeacin es fundamental,
pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
Para hacer una planeacin eficaz, lo primero que se requiere es obtener
informacin general sobre la organizacin y sobre la funcin de
informtica
a
evaluar.
Para
ello
es
preciso
hacer
una investigacin preliminar y algunas entrevistas previas, con base en
esto
planear
el programa de trabajo,
el
cual
deber
incluir tiempo, costo, personal necesario
y documentos auxiliares
a
solicitar o formular durante el desarrollo de la misma.
Consta de:

1.- Evaluacin de los Sistemas

Evaluacin de los diferentes sistemas en operacin (flujo de

informacin,
procedimientos, documentacin,
redundancia,
organizacin de archivos, estndares de programacin, controles,
utilizacin de los sistemas).
Evaluacin del avance de los sistemas en desarrollo y congruencia
con el diseo general
Evaluacin de prioridades y recursos asignados (humanos y
equipos de cmputo)
Seguridad fsica y lgica de los sistemas, su confidencialidad y
respaldos

2.- Evaluacin de los equipos

Capacidades
Utilizacin
Nuevos Proyectos
Seguridad fsica y lgica
Evaluacin fsica y lgica
Controles administrativos en un ambiente de Procesamiento de Datos
La mxima autoridad del rea de Informtica de una empresa o
institucin debe implantar los siguientes controles que se agruparan de
la
siguiente
forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
4.- Controles de Procesamiento
5.- Controles de Operacin
6.- Controles de uso de Microcomputadores

1.- Controles de Preinstalacin

Hacen referencia a procesos y actividades previas a la adquisicin e

instalacin
de
un
equipo
de computacin y
obviamente
a
la automatizacin de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de
computacin
Asegurar la elaboracin de un plan de actividades previo a la
instalacin
Acciones a seguir:
Elaboracin de un informe tcnico en el que se justifique la
adquisicin del equipo, software y servicios de computacin,
incluyendo un estudio costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo
el proceso de adquisicin e instalacin
Elaborar un plan de instalacin de equipo y software (fechas,
actividades, responsables) el mismo que debe contar con la
aprobacin de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la
seleccin y adquisicin de equipos, programas y servicios
computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.

Efectuar las acciones necesarias para una mayor participacin de

proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.

2.- Controles de organizacin y Planificacin

Se refiere a la definicin clara de funciones, lnea de autoridad
y responsabilidad de las diferentes unidades del rea PAD, en labores
tales como:
Disear un sistema
Elaborar los programas
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una
operacin.
Acciones a seguir
La unidad informtica debe estar al mas alto nivel de la pirmide
administrativa de manera que cumpla con sus objetivos, cuente
con el apoyo necesario y la direccin efectiva.
Las funciones de operacin, programacin y diseo de sistemas
deben estar claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin
del computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de
entrada como de los resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnticos deben
estar expresamente definidos por escrito.
Las actividades del PAD deben obedecer a planificaciones a corto,
mediano y largo plazo sujetos a evaluacin y ajustes peridicos
"Plan Maestro de Informtica"
Debe existir una participacin efectiva de directivos, usuarios y
personal del PAD en la planificacin y evaluacin del cumplimiento
del plan.
Las instrucciones deben impartirse por escrito.

3.- Controles de Sistema en Desarrollo y Produccin

Se debe justificar que los sistemas han sido la mejor opcin para la
empresa, bajo una relacin costo-beneficio que proporcionen oportuna y
efectiva informacin, que los sistemas se han desarrollado bajo un
proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseo e implantacin de los
sistemas pues aportan conocimiento y experiencia de su rea y esta
actividad facilita el proceso de cambio
El personal de auditora interna/control debe formar parte
del grupo de diseo para sugerir y solicitar la implantacin de
rutinas de control
El desarrollo, diseo y mantenimiento de sistemas obedece a
planes especficos, metodologas estndares, procedimientos y en
general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por
los usuarios mediante actas u otros mecanismos a fin de evitar
reclamos posteriores.
Los programas antes de pasar a Produccin deben ser probados
con datos que agoten todas las excepciones posibles.
Todos los sistemas deben estar debidamente documentados y
actualizados. La documentacin deber contener:
- Informe de factibilidad
- Diagrama de bloque
- Diagrama de lgica del programa
- Objetivos del programa
- Listado original del programa y versiones que incluyan los cambios
efectuados con antecedentes de pedido y aprobacin de modificaciones
- Formatos de salida
- Resultados de pruebas realizadas
Implantar procedimientos de solicitud, aprobacin y ejecucin de
cambios a programas, formatos de los sistemas en desarrollo.
El
sistema
concluido
ser
entregado
al
usuario
previo entrenamiento y elaboracin de los manuales de operacin
respectivos

4.- Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la

informacin desde la entrada hasta la salida de la informacin, lo que
conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con
fines de auditora
Asegurar que los resultados sean entregados a los usuarios en
forma oportuna y en las mejores condiciones.
Acciones a seguir:
Validacin de datos de entrada previo procesamiento debe ser
realizada en forma automtica: clave, dgito autoverificador,
totales de lotes, etc.
Preparacin de datos de entrada debe ser responsabilidad de
usuarios y consecuentemente su correccin.
Recepcin de datos de entrada y distribucin de informacin de
salida debe obedecer a un horario elaborado en coordinacin con
el usuario, realizando un debido control de calidad.
Adoptar acciones necesaria para correcciones de errores.
Analizar
conveniencia
costo-beneficio
de
estandarizacin
de formularios, fuente para agilitar la captura de datos y minimizar
errores.
Los procesos interactivos deben garantizar una adecuada
interrelacin entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando
todas las seguridades para garantizar la integridad de la
informacin y el buen servicio a usuarios.

5.- Controles de Operacin

Abarcan todo el ambiente de la operacin del equipo central de

computacin y dispositivos de almacenamiento, la administracin de la

cintoteca y la operacin de terminales y equipos de comunicacin por
parte
de
los
usuarios
de
sistemas
on
line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el
Centro de Cmputo durante un proceso
Evitar o detectar el manejo de datos con fines fraudulentos por
parte de funcionarios del PAD
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y
objetivos.
Acciones a seguir:
El acceso al centro de computo debe contar con las seguridades
necesarias para reservar el ingreso al personal autorizado
Implantar claves o password para garantizar operacin de consola
y equipo central (mainframe), a personal autorizado.
Formular polticas respecto a seguridad, privacidad y proteccin de
las facilidades de procesamiento ante eventos como: incendio,
vandalismo, robo y uso indebido, intentos de violacin y como
responder ante esos eventos.
Mantener un registro permanente (bitcora) de todos los procesos
realizados, dejando constancia de suspensiones o cancelaciones
de procesos.
Los operadores del equipo central deben estar entrenados para
recuperar o restaurar informacin en caso de destruccin de
archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben
guardarse en lugares seguros y adecuados, preferentemente en
bvedas de bancos.
Se deben implantar calendarios de operacin a fin de establecer
prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse
mediante manuales, instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deber proporcionar lo
siguiente:
- Manual de operacin de equipos
- Manual de lenguaje de programacin
- Manual de utilitarios disponibles
- Manual de Sistemas operativos
Las instalaciones deben contar con sistema de alarma por
presencia de fuego, humo, asi como extintores de incendio,
conexiones elctricas seguras, entre otras.

Instalar equipos que protejan la informacin y los dispositivos en

caso de variacin de voltaje como: reguladores de voltaje,
supresores pico, UPS, generadores de energa.
Contratar plizas de seguros para proteger la informacin,
equipos, personal y todo riesgo que se produzca por casos
fortuitos o mala operacin.

6.- Controles en el uso del Microcomputador

Es la tarea ms difcil pues son equipos mas vulnerables, de fcil acceso,
de fcil explotacin pero los controles que se implanten ayudaran a
garantizar la integridad y confidencialidad de la informacin.
Acciones a seguir:
Adquisicin de equipos de proteccin como supresores de pico,
reguladores de voltaje y de ser posible UPS previo a la adquisicin
del equipo
Vencida la garanta de mantenimiento del proveedor se debe
contratar mantenimiento preventivo y correctivo.
Establecer procedimientos para obtencin de backups de paquetes
y de archivos de datos.
Revisin peridica y sorpresiva del contenido del disco para
verificar la instalacin de aplicaciones no relacionadas a
la gestin de la empresa.
Mantener programas y procedimientos de deteccin e
inmunizacin de virus en copias no autorizadas o datos procesados
en otros equipos.
Propender a la estandarizacin del Sistema Operativo, software
utilizado como procesadores de palabras, hojas electrnicas,
manejadores de base de datos y mantener actualizadas las
versiones y la capacitacin sobre modificaciones incluidas.

HACKER Y SU APLICACIN
El trmino hacker tiene diferentes significados. Segn el diccionario de los
hackers, es todo individuo que se dedica a programar de forma entusiasta, o
sea un experto entusiasta de cualquier tipo, que considera que poner la
informacin al alcance de todos constituye un extraordinario bien.De acuerdo
a Eric Raymond el motivo principal que tienen estas personas para
crear software en su tiempo libre, y despus distribuirlos de manera gratuita,
es el de ser reconocidos por sus iguales. El trmino hacker nace en la segunda
mitad del siglo XX y su origen est ligado con los clubes y laboratorios del MIT.
En informtica, un hacker, es una persona que pertenece a una de estas
comunidades o subculturas distintas, pero no completamente independientes:

en seguridad informtica este trmino concierne principalmente a

entradas remotas no autorizadas por medio de redes de comunicacin
como Internet ("Black hats"). Pero tambin incluye a aquellos que depuran
y arreglan errores en los sistemas ("White hats") y a los de moral ambigua
como son los "Grey hats".

Una comunidad de entusiastas programadores y diseadores de

sistemas originada en los sesenta alrededor del Instituto Tecnolgico de
Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de
Inteligencia Artificial del MIT.5 Esta comunidad se caracteriza por el
lanzamiento del movimiento de software libre.How To Become A Hacker.
El RFC 13926 amplia este significado como "persona que se disfruta de un
conocimiento profundo del funcionamiento interno de un sistema, en
particular de computadoras y redes informticas" Leer historia del trmino

La comunidad de aficionados a la informtica domstica, centrada en el

hardware posterior a los setenta y en el software (juegos de computadora,
crackeo de software, la demoscene) de entre los ochenta/noventa.

Se utiliza la palabra Hacker, para describir a una persona que practica la

programacion informatica, con una especie de pasion artistica, o que forma
parte de la cultura de los hackers, es decir al grupo de programadores que
historicamente estan en los origenes de Internet, en Linux y en la World
Wide Web.

INGERNIERIA SOCIAL
Ingeniera social es la prctica de obtener informacin confidencial a
travs de la manipulacin de usuarios legtimos. Es una tcnica que
pueden
usar
ciertas
personas,
tales
como
investigadores
privados, criminales, o delincuentes informticos, para obtener
informacin, acceso o privilegios en sistemas de informacin que les
permitan
realizar
algn
acto
que
perjudique
o
exponga
la persona u organismo comprometido a riesgo o abusos.
El principio que sustenta la ingeniera social es el que en cualquier
sistema "los usuarios son el eslabn dbil". En la prctica, un ingeniero
social usar comnmente el telfono oInternet para engaar a la gente,
fingiendo ser, por ejemplo, un empleado de algn banco o alguna otra
empresa, un compaero de trabajo, un tcnico o un cliente. Va Internet
o la web se usa, adicionalmente, el envo de solicitudes de renovacin
de permisos de acceso a pginas web o memos falsos que solicitan
respuestas
e
incluso
las
famosascadenas,
llevando
as
a
revelar informacin sensible, o a violar las polticas de seguridad tpicas.
Con este mtodo, los ingenieros sociales aprovechan la tendencia
natural de la gente a reaccionar de manera predecible en ciertas
situaciones, -por ejemplo proporcionando detalles financieros a un
aparente funcionario de un banco- en lugar de tener que
encontrar agujeros de seguridad en los sistemas informticos.
Quiz el ataque ms simple pero muy efectivo sea engaar a un usuario
llevndolo a pensar que un administrador del sistema est solicitando
una contrasea para varios propsitos legtimos. Los usuarios de
sistemas de Internet frecuentemente reciben mensajes que solicitan
contraseas o informacin de tarjeta de crdito, con el motivo de "crear
una cuenta", "reactivar una configuracin", u otra operacin benigna; a
este tipo de ataques se los llama phishing (se pronuncia igual que
"fishing", pesca). Los usuarios de estos sistemas deberan ser advertidos
temprana y frecuentemente para que no divulguen contraseas u otra
informacin sensible a personas que dicen ser administradores. En
realidad, los administradores de sistemas informticos raramente (o
nunca) necesitan saber la contrasea de los usuarios para llevar a cabo

sus tareas. Sin embargo incluso este tipo de ataque podra no ser
necesario en una encuesta realizada por la empresa Boixnet, el 90%
de los empleados de oficina de la estacin Waterloo de Londres revel
sus contraseas a cambio de un bolgrafo barato.
Otro ejemplo contemporneo de un ataque de ingeniera social es el uso
de archivos adjuntos en e-mails, ofreciendo, por ejemplo, fotos "ntimas"
de alguna persona famosa o algn programa "gratis" (a menudo
aparentemente provenientes de alguna persona conocida) pero que
ejecutan cdigo malicioso (por ejemplo, usar la mquina de la vctima
para enviar cantidades masivas de spam). Ahora, despus de que los
primeros e-mails maliciosos llevaran a los proveedores de software a
deshabilitar la ejecucin automtica de archivos adjuntos, los usuarios
deben activar esos archivos de forma explcita para que ocurra una
accin maliciosa. Muchos usuarios, sin embargo, abren casi ciegamente
cualquier archivo adjunto recibido, concretando de esta forma el ataque.
La ingeniera social tambin se aplica al acto de manipulacin cara a
cara para obtener acceso a los sistemas informticos. Otro ejemplo es el
conocimiento sobre la vctima, a travs de la introduccin de
contraseas habituales, lgicas tpicas o conociendo su pasado y
presente; respondiendo a la pregunta: Qu contrasea introducira yo si
fuese la vctima?
La principal defensa contra la ingeniera social es educar y entrenar a los
usuarios en el uso de polticas de seguridad y asegurarse de que estas
sean seguidas.
Uno de los ingenieros sociales ms famosos de los ltimos tiempos
es Kevin Mitnick. Segn su opinin, la ingeniera social se basa en estos
cuatro principios:
1. Todos queremos ayudar.
2. El primer movimiento es siempre de confianza hacia el
otro.
3. No nos gusta decir No.
4. A todos nos gusta que nos alaben.

Universidad Mariano Glvez

Ingeniera en sistemas de informacin y ciencias de la computacin
DERECHO INFORMTICO
Tercer Ciclo

ANLISIS ALGORITMO: HACKER

AUDITORIA INFORMTICA
HACKER Y SU APLICACIN
INGENIERA SOCIAL

Anthony Jorge Emmanuell Cifuentes Valenzuela

0906-14-4066

18 de Abril de 2015

INTRODUCCIN
Los temas ms relevantes en la seguridad de informacin, estn tomando auge en
nuestra actualidad ya que la prctica de obtener informacin confidencial a travs
de la manipulacin de usuarios legtimos est en aumento, ya que existen ciertas
personas como investigadores privados, criminales, o delincuentes informticos,
hackers, para obtener informacin, acceso o privilegios en sistemas de
informacin que les permitan realizar algn acto que perjudique o exponga
la persona u organismo comprometido a riesgo o abusos.

CONCLUSIONES
- La auditora en informtica es la revisin y la evaluacin de los controles, sistemas,
procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad,
de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio
del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la
informacin que servir para una adecuada toma de decisiones.
- a auditora en informtica deber comprender no slo la evaluacin de los equipos de cmputo,
de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de
informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtencin de informacin.
- La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y
con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros
de informacin, hardware y software).
- En terminologa hacker, hacer ingeniera social es persuadir o manipular a una persona para
obtener datos tiles sobre ellos mismos o las empresas en donde trabajan. Suelen utilizarse
mtodos de engaos para obtener contraseas o informacin til. Pueden emplearse pginas
web falsas, programas engaosos o incluso simplemente chatear con una persona ignorante del
tema. Increblemente, la mayora de las personas son lo suficientemente ilusas como para dar
contraseas a un extrao.