SEGURINFO ENCRIPTACIN BIOMTRICA ROBUSTA TCNICAS DE DETECCIN DE FRAUDES INFORMTICA FORENSE ETPAS DE LA INVESTIGACIN CRIMINAL

SEGURIDAD DE LA INFORMACIN
DEPOSITOS: Banco de Crdito Nro. de cuenta: MN 201-50102539-3-07 YanapTI SRL Direccin: Av. Arce esquina Montevideo Edificio Venus No. 2105 5to Piso oficina 5A Telfonos: 2152273 - 2440985 Fax: 2440803
El factor humano, el mayor riesgo a gestionar Lic. Hugo Rosales Uriona Ing. Limberg Illanes

E-mail: capacitacion@yanapti.com. Sitio web www.segurinfo.com.bo La Paz- Bolivia Fechas Jueves 3 de Julio: Area Tcnica Viernes 4 de Julio: Area de Gestin Costos Estudiantes: 300 Bs. Profesionales: 400 Bs. Lugar Hotel EUROPA Calle Tiahuanaco N 64 "Saln GERMANIA"
MBA. Ing. Marcelo Villegas Salinas

Estado de la Seguridad en Entidades Financieras

Lic. Juan Carlos Ibieta Alconini

DESCUENTOS: 15% a grupos e inscripciones antes del 26 de Junio.

Contenido
Guido Rosales Uriona

EDITORIAL
Pag. 3 Cumpliendo un Compromiso

ENTREVISTA NOBOSTI
Pag. 43 Karina Medinacelli Derecho Informtico

Director Claudia Araujo M. Jefe de Redaccin

PERCEPCIONES
Pag. 7 Seguridad y auditora en sistemas Biomtricos Pag. 10 Portal Pas del desarrollo Bolivia Pag. 13 Encriptacin Biomtrica Robusta Pag. 16 Cripto que? Pag. 21 Usb, los dispositivos de robo de informacin Pag. 25 Tcnicas de deteccin de fraude Pag. 29 Diferente tecnologa en servicios de Banca, pero se mantiene el mismo riesgo Pag. 31 Transparencia de la informacin pblica Pag. 51 Informe Interpol Caso porttiles las FARC Colombia Pag. 52 Etapas de la investigacin criminal

ARTCULO NOBOSTI
Pag. 49 Tecnologa puede apoyar en lugar de aplastar las lenguas originarias

Vladimir Murillo Ch. Editor Mariela Nuez B. Rep. Comercial Sergio Calizaya A. Editor - Diseo Grfico Wilson Morales M. Editor Alvaro Rojas C. Editor Boris Murillo P. Editor - Web Master Martn Mendoza B. Diseo grafico Alejandra Ojeda O. Editor Rolando Rosales U. Rep. Comercial Cochabamba Daniel Vargas M. Rep. Comercial Santa Cruz

PLUS
Pag. 35 Segurinfo Pag. 40 Calendario de eventos Nacionales e Internacionales Relacionados con TI Pag. 58 Gratos Recuerdos

info@nobosti.com

www.nobosti.com

Ingeniero de Sistemas y Master en Ciencias de la Ingeniera desde el ao 1995, titulado por la Universidad Internacional de Aviacin Civil de Kiev Ucrania. Master en Direccin Estratgica de TI desde 2007, estudios cursados con FUNIBER ESPAA. Auditor CISA (Certified Information System Auditor) desde el ao 2000. Especialista CISM (Certified Information Security Manager) desde el ao 2003. Acreditado por ISACA - EEUU. Especialista CISO (Certified Information Security Officer), FCA (Forensic Computer Advisor) e ISSA (Information system security Auditor) desde el ao 2005. Acreditado por YANAPTI - Bolivia. Experiencia Docente en Universidades de La Paz, Cochabamba, Santa Cruz, Oruro, Tarija y Sucre (Tanto en Pre como Postgrado). Traductor, revisor e impulsor de la Primera norma en Bolivia sobre seguridad NB ISO/IEC 17799. Autor de los libros: Polticas y Normas de Seguridad (2007) y Sun Tzu - Estrategias de Seguridad en TI.

Con mucho agrado y con un sabor de satisfaccin,

emprendemos desde hoy la edicin de la revista que tienen en sus manos. Esperamos que las circunstancias nos permitan la sostenibilidad de este emprendimiento que ha tenido 4 aos de maduracin en su edicin electrnica NOBOSTI. Han existido muchos momentos cuando nos retrasamos en sus salidas quincenales debido a la falta de tiempo, pero creo que supimos mantenerla vigente como un espacio para compartir las novedades en su mayora internacionales pero siempre buscando resaltar temas nacionales. La Revista NOBOSTI es ese esfuerzo del equipo YANAPTI que desde 1999, inicialmente como COSIM Rosales SRL y desde el ao 2004 como YANAPTI SRL busca rescatar todo ese talento nacional para competir por los espacios profesionales, pero con calidad internacional. Creemos firmemente que las oportunidades las construimos da a da y este esfuerzo es precisamente una ventana para conocer logros, triunfos y porque no, fracasos que se dan en el acontecer tecnolgico de Bolivia.

Edicin Especial
Este primer nmero es sin duda un momento especial para la gran familia de Yanapti, momento que queremos dedicarlo al estado de la Seguridad en Bolivia desde nuestro punto de vista.

NOBOSTI, vol.0/08

Entendemos que hablar del Estado es bastante ambicioso por cuanto las variables para definirla son

4
muchas, pero queremos considerar por ejemplo: El estado de la regulacin. El mercado profesional especializado. El mercado de Capacitacin profesional y universitaria. El mercado de la consultora. El nivel de madurez promedio.

Tambin queremos acompaar esta edicin con el anuncio del primer evento profesional, SEGURYNFO, espacio que busca mostrar el talento nacional y de manera indirecta el estado de la seguridad en nuestro pas. Este evento que se llevara a cabo el mes de julio es sin duda parte indivisible de nuestras ediciones, son parte de ese TODO que es la seguridad.

Nuestra Mstica
Cada nombre tiene o debe tener un significado, quiero hacer remembranza de los nombres que componen nuestra familia. Empezando con YANAPTI, es en realidad la fusin de raz YANAP que tanto en aimara y quechua hace referencia a AYUDAR nicamente cambian las terminaciones y la palabra Tecnologa de Informacin que se representan como TI, entonces YANAPTI significa ayudar en TI, busca ser un punto de ayuda para las empresas, los profesionales y la comunidad en general.

NOBOSTI Viene de la palabra NOBOSTI que en el idioma ruso significa novedades. Para nosotros significa Novedades Bolivianas en Seguridad y TI.

Nuestro Alcance
Nuestro pblico objetivo es sin duda el segmento de profesionales en reas relacionadas directa e indirectamente con la Tecnologa. Sin embargo tambin consideramos que el espacio universitario es de vital importancia. Fomentar la continua renovacin e insercin de nuevos profesionales le inyecta la dinmica necesaria al mercado. Preparar las futuras generaciones hace que las actuales no pierdan el ritmo de capacitacin y entrenamiento que debe caracterizar al sector tecnolgico. Si muchas veces nos quejamos de la fala de integracin entre Universidad y empresa creemos que podemos aportar creando un espacio reservado para la produccin intelectual universitaria y las actividades que sin duda permiten a las empresas anticiparse a los acontecimientos y de una manera estrechamente ligada, entregar al segmento universitario informacin sobre las necesidades empresariales. Buscamos un alcance equilibrado entre la prctica y a teora, la universidad y la empresa. Entro lo que quisiera hacer y lo que puedo hacer.

Nuestras Creencias
Creemos en el uso de la tecnologa para mejorar la calidad de vida en todos los sectores. Si vemos a nivel mundial, independientemente de la lnea poltica o religiosa, la tecnologa es utilizada en todo lugar. Se ha llegado a convertir en el motor de la era del conocimiento, por ello creemos que podemos devolver a nuestra sociedad calidad de vida, optimizando procesos, transparentando operaciones, asegurando este nuevo mundo virtual para el beneficio de la sociedad.
NOBOSTI, vol.0/08

Creemos que podemos aportar y sobre todo dedicarnos a brindar un espacio seguro para lograr esa ansiada mejora en la calidad de vida.

7 SEGURIDAD Y AUDITORIA DE SISTEMAS BIOMTRICOS

Introduccin
La biometra en los ltimos aos se ha hecho ms popular a travs de sistemas de autenticacin ms confiables, por ejemplo se puede ver lectores biomtricos en aeropuertos, en bancos, en entidades pblicas, etc. Dada la importancia de la informacin a la cual permiten el acceso estos sistemas, organizaciones como la ISO (International Standards Organization) o NIST (National Institute of Standards and Technology) estn trabajando continuamente para proporcionar los marcos de evaluacin para la industria biomtrica. Por lo tanto los estndares existentes servirn para la ejecucin de la auditoria de un sistema biomtrico una vez que se haya establecido un anlisis de riesgos el cual permitir identificar: las amenazas, vulnerabilidades y los controles existentes en los sistemas a ser evaluados.

Por: Lic. Jorge Ormachea

Captura.
Est definido como la captura automtica o medicin de una caracterstica fisiolgica o de comportamiento de una persona. Extraccin Este componente extrae y preserva las caractersticas biomtricas que permitirn generar el modelo. Dentro de este componente esta un algoritmo de control de calidad el cual puede ayudar a determinar si una captura es aceptable o debe volver a ser capturada. Creacin del Modelo Este componente crea el modelo a partir de la salida generada por el componente de extraccin. Comparacin Es en este punto donde entran en juego dos caractersticas bsicas de la fiabilidad: la tasa de falso rechazo (FRR) que se entiende como la probabilidad de que el sistema de autenticacin rechace a un usuario legitimo, y la tasa de falsa aceptacin (FAR) que es la probabilidad de que el sistema autentique correctamente a un usuario ilegitimo. Este componente compara la informacin biomtrica extractada del modelo obtenido y la informacin obtenida de un modelo de referencia. Este tpicamente proporciona un valor de resultado o valor umbral (threshold). Riesgos de los Sistemas Biomtricos Ataques biomtricos. a) Biometra falsa Es representada por cualquier huella falsa

Biometra
El concepto biometra proviene de las palabras bio (vida) y metra (medida), se define como el conjunto de caractersticas fisiolgicas y de comportamiento que pueden ser utilizadas para verificar la identidad de un individuo en este caso especfico se hablar de la huella digital, debido a que es la biometra de mayor uso y la cual presenta un trabajo ms continuo en cuanto a estndares. 2.1 Procesamiento de la informacin biomtrica

NOBOSTI, vol.0/08

8
utilizada para burlar un sistema biomtrico. Estos incluyen huellas de cadveres, y huellas falsas hechas con silicona, gelatina, plstico, arcilla modelada o cualquier otra sustancia. b) Ataques de Reenvi/ Introduccin de datos falsos Se basa en la introduccin de tramas de datos biomtricos falsos entre el dispositivo biomtrico y el sistema de procesamiento. c) Reutilizacin de residuos Algunos sistemas pueden retener en la memoria las imgenes y los modelos de las huellas capturadas, si un atacante puede acceder a memoria puede obtener valiosa informacin biomtrica y re utilizarla. d) Interferencia del proceso de extraccin. Consiste en interferir el proceso de extraccin de caractersticas biomtricas para introducir datos falsos y forzar un nuevo procesamiento. e) Caracterstica biomtrica sintetizada. Una trama de datos representando una caracterstica biomtrica falsa es introducida durante la transmisin. f) Interferencia de la verificacin/Verificacin falsa Consiste en interferir o ignorar la decisin del proceso de verificacin reemplazndola con una verificacin valida. g) Intercepcin del canal de almacenamiento e introduccin de datos. Tal vez el ataque que presenta las ms significativas consecuencias, ya que puede comprometer el procesamiento del sistema y la base de datos biomtrica. h) Modificacin no autorizada de un modelo biomtrico. Los modelos biomtricos pueden ser alterados, reemplazados o adicionados en el sistema. i) Interferencia de la decisin / Falsa aceptacin. Este tipo de ataque ignora la decisin del proceso de verificacin e introduce un resultado de falsa aceptacin entre el sistema biomtrico y el dispositivo final. los datos biomtricos despus de obtener el modelo biomtrico, esto constituye un gran reto en la implementacin de controles para mantener la privacidad y proteccin de la base de datos biomtrica. c) Deteccin en vivo. Un elemento clave para la defensa de un ataque spoofing es la implementacin de controles en vivo para verificar que la huella presentada corresponde a una persona viva y no una persona muerta, o una huella falsa. d) Biometra mltiple. Al igual que los datos aleatorios este control adiciona un nivel mayor de complejidad a los ataques, este control requiere el uso de ms de una tecnologa biomtrica por ejemplo: biometra de la huella y del iris. e) Autenticacin Multi-factor. Al igual que con los datos aleatorios y la biometra mltiple, este control usa mltiples fuentes de autenticacin, tales como smart cards, tokens, pines, paswords etc. f) Criptografa y firmas digitales. La encriptacin proporciona un medio efectivo para cifrar y proteger la informacin que atraviesa la red de ataques de intercepcin e introduccin de datos falsos. g) Seguridad Fsica. La seguridad fsica es a menudo el sistema ms barato y ms efectivo sobre todo para proteger el acceso fsico a los dispositivos biomtricos, al mismo tiempo la presencia de guardias puede proteger a los usuarios autorizados de ataques coercitivos.

Marco de Referencia
Seguridad en Biometra El primer documento formal que trata el anlisis de la Seguridad en Biometra, es el BEM (Biometric Evaluation Methodology), que se emiti para ser considerado como una propuesta hacia el comit de CC (Common Criteria). La conclusin ms Ejecucin del proceso de Auditoria de los sistemas biomtricos. Evaluacin de la seguridad biomtrica. Segn el BEM fase previa a la evaluacin se requieren los siguientes materiales. Posterior a los materiales requeridos, los atributos biomtricos que pueden ser evaluados son: funcionamiento tcnico, aceptacin social, riesgos de negocio y beneficios, y la confiabilidad

Defensas
a) Datos aleatorios. El sistema requiere que el usuario registre mltiples caractersticas biomtricas, posteriormente el proceso de verificacin solicitar mltiples huellas al azar. b) Retencin de datos. La mayora de los sistemas biomtricos elimina

NOBOSTI, vol.0/08

ver tabla 1

9
Tabla 1 Materiales requeridos para la evaluacin

Materiales requeridos para la evaluacin

Objetivos de seguridad. Objeto de evaluacin (TOE: Target Of Evaluation). Documentacin de administracin de Configuracin. Especificaciones funcionales. Documentacin de diseo de alto y bajo nivel Guas de usuario y administrador.. Documentacin del ciclo de vida. Documentacin de herramientas de desarrollo. Modelo de poltica de seguridad. Anlisis de correspondencia. Procedimientos de instalacin e inicio. Procedimientos de entrega y soporte.

de la seguridad del sistema. A partir de la confiabilidad de la seguridad del sistema se considera como criterios de evaluacin: mantenimiento, confiabilidad, disponibilidad, vulnerabilidad y seguridad. Posteriormente la evaluacin puede iniciar considerando los siguientes tems: a) Documentacin de desarrollo: considera si estn usndose estndares biomtricos. b) Directrices de documentacin: considera como los requisitos de privacidad son documentados, como los factores del entorno son documentados y como la configuracin de los umbrales de verificacin son descritos y documentados. c) d) Pruebas: considera los procesos de testeo y requiere la verificacin del entorno de configuracin. Evaluacin de vulnerabilidades.

e) Robustez del sistema: considera amenazas y vulnerabilidades especificas tales como biometras similares, pruebas de stress, factores del entorno, y requisitos de privacidad. Finalmente los controles mnimos que el sistema biomtrico debe incorporar son (ver Tabla 2):

Controles en los Sistemas Biomtricos

1 Tan pronto se detecte una violacin, se debe generar una alarma. Si no hay una comunicacin inmediata con el Administrador, el sistema debe, al menos, auto-bloquearse durante un tiempo. 2 Se debe mantener un registro indicando todos aquellos eventos auditables. 3 El acceso a los datos biomtricos ha de ser totalmente restringido. 4 Un mximo nmero de errores sucesivos en la autenticacin debe ser definido. 5 El sistema debe indicar la informacin mnima al mundo exterior. 6 Todo tipo de ataques por introduccin debe ser detectado y rechazado. 7 Las condiciones atmosfricas deben de ser analizadas (humedad, temperatura ambiente etc.) para un optimo uso de los dispositivos biomtricos.

Conclusin.
Al igual que en muchos otros campos, la tecnologa biomtrica sigue avanzando tanto en la mejora de las tcnicas utilizadas en los sistemas ya existentes y en el desarrollo de nuevas tcnicas, esto es consecuencia de una demanda cada vez mayor de seguridad en un gran nmero de campos. Hoy en da los sistemas biomtricos tienen un lugar importante en una variedad de aplicaciones, ms all de controlar el acceso, inmigracin, control de asistencias, centros de atencin mdica, programas de beneficencia y puntos de ventas son solo unas cuantas de las aplicaciones donde se utilizan sistemas biomtricos, al mismo tiempo las mejoras tecnolgicas, precios ms bajos e innovaciones van creciendo ao a ao. Finalmente los estndares biomtricos y las buenas prcticas estn permitiendo establecer controles adecuados para mitigar el riesgo de ataques a los sistemas biomtricos.

NOBOSTI, vol.0/08

10

NOBOSTI, vol.0/08

continua en la pag. 24

13 ENCRIPTACIN BIOMTRICA ROBUSTA

La encriptacin desde la antigedad ha sido
una forma de proteger la informacin valiosa; a travs de la historia se realizaron infinidad de tcnicas, por ejemplo en la segunda guerra mundial se trabaj con la mquina enigma para transmitir secretos militares. En la actualidad, la criptografa se suele realizar, tomando en cuenta los estndares internacionales de seguridad y aplicando los distintos tipos de algoritmos criptogrficos, entre ellos: RSA, DES, 3DES y AES. Entre estos, se puede sintetizar la combinacin de clave pblica-privada o asimtrica y la clave simtrica. La autenticacin robusta se basa en la combinacin de al menos dos de tres principios de reconocimiento: algo que s (contrasea, usuario); algo que tengo (tarjeta, flash, dispositivo electrnico) o algo que soy (biometra). La generacin de la clave biomtrica es simtrica, lo cual implica falencias en el caso de compartir la clave, ya que este hecho implicara la posibilidad de hacerse con la clave pblica y suplantar la iidentidad encriptando con la clave biomtrica.

Por: MSc Ricardo Ivn Gottret Ros

Por otro lado, esto se puede subsanar mediante el principio de la autenticacin robusta, que solicita que adems de utilizar la clave, se aplique una contrasea el momento de la encriptacin o desencriptacin que slo el emisor conozca y que comparta slo con los receptores finales, los cuales la recibirn por otro medio. Es as, que se tendr una clave biomtrica relativamente robusta frente al hecho de que se puede robar la clave, pero se requerir a la persona como tal para desencriptarla. Entre los mtodos biomtricos sugeridos, se tienen la generacin de clave mediante: muestra de ADN digitalizado, huella dactilar y finalmente cdigo de Iris.

ADN: El ADN es un depsito de informacin que

se trasmite de generacin en generacin, conteniendo toda la informacin necesaria para construir y sostener el organismo en el que reside. La funcin principal de la herencia es la especificacin de las protenas, siendo el ADN una especie de plano para las protenas. La estructura del ADN es una pareja de largas cadenas de nucletidos nica para cada ser humano.

NOBOSTI, vol.0/08

14
Cdigo de Iris: El proceso del Reconocimiento de Iris realizado por el dispositivo biomtrico, consta
de los pasos siguientes: captura de la imagen, localizacin del iris. optimizacin de la imagen y clasificacin de la imagen.

Huella Digital: Utilizan un escner que hace rebotar rayos de luz en el dedo, donde un sistema procesa el patrn refractado. Esto permite al lector crear una imagen del dedo, que es trasmitida al software biomtrico.
Prototipo diseado por el autor del artculo, para combinar ambas tcnicas y realizar as la arquitectura de un software que realiza la encriptacin biomtrica, para una autenticacin robusta con clave pblica en sistemas criptogrficos avanzados como aquellos que aplican el algoritmo de encriptacin AES o el 3DES.

Donde: KBio: Clave Biomtrica generada por el dispositivo biomtrico Biomtrico: Dispositivo de reconocimiento biomtrico (Huella, ADN, Iris, etc) KPr: Clave privada generada por el algoritmo

KPu: Clave pblica generada por el algoritmo Generacin Clave: Algoritmo de Encriptacin (AES, TDES, etc.) KPuB: Clave pblica encriptada por el dispositivo Biomtrico.

Como se observa, es posible combinar tcnicas de encriptacin biomtrica y de clave asimtrica; asimismo utilizar un algoritmo veloz de encriptacin para el efecto, como lo es el algoritmo AES. La combinacin de ambas tcnicas de encriptacin de mensajes se realiz segn el diagrama en bloques de la figura anterior donde se muestra el proceso de la generacin de claves, ya sean biomtricas o la generacin de claves pblica-privada por otro medio.

NOBOSTI, vol.0/08

15
Es as que en el transmisor se crea la clave pblica biomtrica KPuB, que es generada al utilizar la clave pblica KPu por un mtodo tradicional, como el algoritmo AES; el emisor encriptar el mensaje a ser transmitido mediante la generacin de la clave privada KPr. La clave pblica biomtrica KBio, ser difundida por otro medio y slo servir para desencriptar la clave pblica biomtrica KPuB, no conocida por la entidad que produce la clave privada, ya que sta no tendra la clave biomtrica. Las aplicaciones que trabajen con este tipo de autenticacin, deben ser amigables y tomar en cuenta que los diseadores de redes y tcnicos no son ni sern los usuarios finales, ya que tanto los sistemas biomtricos como el cifrado sern parte de la vida cotidiana en los prximos aos. Finalmente hacemos notar que: La seguridad ser utilizada por el usuario siempre y cuando la forma segura de hacer las cosas sea a su vez la ms sencilla de hacerla.

Por otra parte en el receptor, se reciben tanto la clave biomtrica generada por el mecanismo biomtrico KBio, como la clave pblica encriptada por esta clave biomtrica KpuB, denominada clave pblica biomtrica, es as que en el receptor del mensaje se permitir finalmente, desencriptar mediante la segunda clave generada.

Por lo tanto, se implementa un algoritmo asimtrico, que cree una clave asimtrica mediante una metodologa conocida tanto para la generacin de la clave biomtrica como para la de la clave asimtrica de cifrado dada; en este caso el algoritmo criptogrfico sugerido es AES y como formas de autenticacin biomtrica se toman las aplicadas mediante: huella digital, cdigo del iris o una clave generada mediante la codificacin del ADN del emisor.

Es importante notar que todo este proceso es transparente para el usuario receptor del mensaje, ya que el procedimiento es prcticamente el mismo que la desencritacin de un mensaje firmado. Asimismo, con la diferencia de utilizar una clave generada por un medio de reconocimiento biomtrico, el proceso nuevo es tan simple como el tradicional, para el caso de la encriptacin.

Concete a ti mismo y conoce al enemigo; nunca te encontraras en peligro en cien batallas

SUN TZU

El prototipo mencionado fue aplicado y comparado el mismo con otros mtodos de encriptacin en entornos distintos, de tal manera que se demostr el hecho de que efectivamente es posible incrementar el grado de seguridad de los datos transmitidos en sistemas criptogrficos avanzados de clave pblica aplicando encriptacin biomtrica a la clave generada por el algoritmo Rijndael (AES) de manera que solo el receptor pueda autentificar el origen del mensaje recibido.

NOBOSTI, vol.0/08

16 CRIPTO QU?
La introduccin del ordenador (computador), en las oficinas pblicas, privadas y nuestros hogares, y la aplicacin de estos en el trabajo conjunto o cooperativo a travs de las redes de datos, especficamente en Internet, ha popularizado enormemente la utilizacin de servicios tales como el correo electrnico, mensajera instantnea, transacciones administrativas y financieras y en suma para el envi de informacin a las personas (familiares, colegas) con las cuales trabajamos o mantenemos algn contacto.
La mayora de estas personas no saben que es lo que ocurre por debajo de este proceso (enviar informacin), y lgicamente tampoco debera importarles, pues para ellos, la cuestin es, enviar la informacin y la otra persona llammosla Receptor, y con la cual mantiene el contacto reciba esta informacin, as de sencillo es esto, no importndoles tambin si la informacin enviada sea interceptada por algn otro tipo de persona (Intruso), en otras palabras poco les importa la seguridad de la informacin transferida. Sin embargo existen personas y entidades, que tambin utilizan los servicios de una Red (Intranet, Extranet o Internet), que saben y tienen el

Por: Ing. Remberto Gonzales Cruz

conocimiento que la informacin (su informacin), que transferirn solo sea conocida y recibida por una persona/entidad autorizada, evitando as las amenazas y riesgos a la que esta expuesta su informacin. Y es este tipo de persona/entidad que debera utilizar algn mecanismo que le permita proteger esta informacin. Y es aqu donde entra uno de los mecanismos ms importantes (sino la mas primordial), para securizar, la informacin, y la cual se denomina Criptografa. Una definicin general de lo que es Criptografa es la siguiente: La criptografa es el estudio de tcnicas matemticas relacionadas a aspectos de la seguridad, tales como la confidencialidad, integridad de datos, autenticacin, y no repudio. Una definicin ms comn para la criptografa es: Criptografa es la tcnica de convertir un texto en claro (plaintext), en otro llamado criptograma (ciphertext), cuyo contenido de informacin es igual al anterior pero slo lo pueden entender las personas autorizadas.

NOBOSTI, vol.0/08

17
Los trminos Cifrar y Descifrar, son utilizados comnmente para la conversin respectiva, CIFRAR, para convertir el Texto en Claro en Criptograma y DESCIFRAR para convertir el Criptograma en Texto en Claro, y es en esta comprensin de trminos que mucha gente, inclusive profesionales del rea se confunden y tienden a denominar estos trminos como Encriptar y Desencriptar, alguien en un Blog (que no me acuerdo, pero que esta por ah), escriba que ENCRIPTAR es el proceso de meter en un cripta y DESENCRIPTAR el proceso inverso, y tiene totalmente la razn pues los trminos ltimos son eso mismo. No se enojen, no se enojen, es as, y ejemplos hay muchsimos, pero bueno, a seguir se dijo, ya conociendo lo que es la Criptografa y lo que hace, podemos ya movernos a escenarios mas prcticos y reales y ver como podemos apoyndonos y aplicando este mecanismo proteger nuestra informacin. Pero (siempre hay un pero), primero conocer un poco mas de otros aspectos que son importantes para comprender mejor este mecanismo (tcnica para algunos). La criptografa en su forma ms bsica utiliza dos conceptos para su aplicacin: La Transposicin y la Sustitucin, conceptos clave para entender esto de la Criptografa. La Transposicin: Consiste en una reordenacin de los elementos bsicos (caracteres -letras, nmeros, smbolos-), La Sustitucin: Que consiste en el cambio de significado de los elementos bsicos (caracteres -letras, nmeros, smbolos-), del mensaje a cifrar.

C R I P T O G R A F I A
3 E Z # A T I E T 9 Z T
As de simple entonces haba sido la criptografa, mira vos, (alto, alto, tanto as no), para aplicar estos dos conceptos se utilizan algunos aspectos matemticos (formulas matemticas), que nos ayudaran a realizas estas dos tareas, y la aplicacin de estas formulas a travs de lo que se denomina Algoritmos, Criptogrficos, que nos permitirn Cifrar y Descifrar los mensajes. Y es aqu donde entra el concepto de Criptosistema (este mete puro conceptos parece). Un Criptosistema es una quntupla de elementos de la siguiente forma: (m, c, k, e, d), donde: m: representa el conjunto de todos los mensajes sin cifrar (texto en claro) c: representa el conjunto de todos los posibles mensajes cifrados, o criptogramas. k: representa el conjunto de claves que se pueden emplear en el criptosistema. e: es el conjunto de transformaciones de cifrado que se aplica a cada elemento de m para obtener un elemento de c. d: es el conjunto de transformaciones de descifrado, anlogo a e. Entonces todo criptosistema ha de cumplir la siguiente condicin: dk ( ek ( m ) ) = m, es decir, que si tenemos un mensaje m, lo ciframos empleando la clave k y luego lo desciframos empleando la misma clave, obtenemos de nuevo el mensaje original m.

F R A T O I P A R G C I
del mensaje a cifrar.

C R I P T O G R A F I A

NOBOSTI, vol.0/08

18
Tipos de Criptosistemas:
Criptosistemas Simtricos: La criptografa simtrica se refiere al conjunto de mtodos que permiten tener comunicacin segura entre las partes siempre y cuando anteriormente se hayan intercambiado la clave correspondiente, que llamaremos clave o llave simtrica. La SIMETRIA se refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar. Ejemplos de Criptosistemas simtricos: AES, TDES, IDEA, BLOWFISH, TWOFISH, DES.

Ventajas y Desventajas de los Criptosistemas Simtricos

Los Criptosistemas simtricos, son ms rpidos en el cifrado y descifrado.S Una desventaja tiene que ver con el intercambio de la Clave. Otra desventaja es si una persona desea comunicarse de forma segura con otras personas, pues tendra que tener una clave por cada persona que se comunica. Criptosistemas Asimtricos: La criptografa asimtrica, fue introducido por Whitfield Diffie y Martin Hellman, a mediados de los aos 70, su novedad fundamental con respecto a la criptografa simtrica es que las claves no son nicas, sino que forman pares, denominadas clave privada y clave pblica. Una de ellas se emplea para Cifrar, y la otra para Descifrar. Dependiendo de la aplicacin que se le

de al algoritmo, la clave pblica ser la de cifrado o viceversa. Ejemplos de Criptosistemas Asimtricos: RSA, RW, DSA, DH, (considerando que DSA y DH se utilizan mas en la firma digital),

Ventajas y Desventajas de los Criptosistemas Asimtricos

Los Criptosistemas asimtricos, son lentos en el cifrado y descifrado. Para una misma longitud de clave y mensaje se necesita mayor tiempo de proceso. Las claves deben ser de mayor tamao que las simtricas. El mensaje cifrado ocupa ms espacio que el original. Otra ventaja de la criptografa asimtrica es que se puede cifrar con una clave y descifrar con otra o viceversa.

NOBOSTI, vol.0/08

19
Los algoritmos asimtricos emplean generalmente longitudes de clave mucho mayores que los simtricos. Por ejemplo, mientras que para algoritmos simtricos se considera segura una clave de 256 bits, para algoritmos asimtricos se recomiendan claves de al menos 2048 bits. Adems, la complejidad de clculo que comportan estos ltimos los hace considerablemente ms lentos que los algoritmos de cifrado por bloques. Las aplicaciones de este tipo de criptosistemas es la autenticacin de mensajes con ayuda de funciones hash, que nos permiten obtener una firma a partir de un mensaje. Dicha firma es mucho ms pequea que el mensaje original, y es muy difcil encontrar otro mensaje que tenga la misma firma. Bueno, ya conocemos lo que es la criptografa, en que se apoya y el como funciona, y como diablos aplicamos esto ? En primer lugar, necesitamos un programa (sistema, software), que implemente estos algoritmos criptogrficos (en otras palabras necesitamos un software que nos permita Cifrar y Descifrar la informacin), sino tenemos la capacidad de poder desarrollar uno de estos programas, pues podemos bajarnos de Internet algunos (existen varios gratuitos), que tienen su documentacin o manual de usuario inclusive. Aplicando un Algoritmo Simtrico, un escenario prctico sera el siguiente: Deseamos enviar informacin, ciframos nuestra informacin (ya sean datos o archivos completos), con una clave y a travs del correo electrnico enviamos la informacin o el archivo cifrado, el receptor (la persona a la cual enviamos la informacin), recibir la informacin o el archivo cifrado y utilizando el mismo programa, proceder a descifrar, lgicamente utilizando la misma clave con la cual se cifro. Aplicando un Algoritmo Asimtrico, un escenario prctico seria el siguiente: Deseamos enviar informacin, ciframos nuestra informacin (ya sean datos o archivos completos), con nuestra LLAVE PRIVADA y a travs del correo electrnico enviamos la informacin o el archivo cifrado, el receptor (la persona a la cual enviamos la informacin), recibir la informacin o el archivo cifrado y utilizando el mismo programa, proceder a descifrar, utilizando la CLAVE PBLICA del emisor. Para ambos casos, las personas que realicen la transferencia tendran que conocer la Clave Simtrica o la Clave Pblica del Emisor. Ya se cansaron no?, entonces para terminar, no solamente aplicando la Criptografa podemos afirmar que nuestra informacin este segura, sino ms bien complementar con otro tipo de mecanismos para poder minimizar las amenazas y riesgos para nuestra informacin, como son los, Modelos de Gestin de Informacin, Planes de Seguridad y el sentido comn. Luego de leer este articulo, hay quien, que ya no se preguntara CRIPTO QUE?

NOBOSTI, vol.0/08

21 USB, LOS DISPOSITIVOS DE ROBO DE INFORMACIN

Recuerdan esas pelculas de espas en las que un cientfico provea de todo un arsenal de armas miniaturizadas a un agente secreto?, esa era mi parte favorita, desde cmaras que se convierten en pistolas, lser en un reloj de pulsera, etc.
Es interesante como el avance de la tecnologa permite dicho nivel de miniaturizacin, basta con explorar un poco la evolucin de los procesadores y la capacidad de almacenamiento (figura 1), es increble que hoy en da podamos llevar en el bolsillo gigas y gigas de informacin listos para ser descargados

Por: Ing. Boris Murillo Prieto*

famoso plug and 'play'!!!): Uno de los ejemplos mas sencillos de nombrar, es tambin uno de los mas comunes, prcticamente toda persona hoy en da viaja de un lugar a otro con su Ipod en mano (o clones de fabricacin asitica, pero con la misma funcionalidad), en varias oficinas es comn ver estos dispositivos constantemente conectados a las estaciones de trabajo de los empleados, ahora pensemos: cul es el nivel de acceso que tienen esos usuarios a los datos importantes de la empresa?, pensemos en, tal vez lo mas importante, la informacin de la Base de Datos, incluso si esta debidamente protegida, nuestra pesadilla no acaba all, pensemos en los datos de los usuarios, desde planes de marketing, formularios de correo, documentos confidenciales, etc., todo tipo de datos que imaginemos visible a travs de la red es tambin fcil de almacenar mediante estos dispositivos, al fin y al cabo un IPod comn y corriente tiene hoy en dia poco mas de 80 Gb, listos para ser almacenados. Por cierto esta tcnica se denomina 'Pod Slurping' aunque no hace falta conocer el nombre para aplicarla, pregunten a sus usuarios. En este sentido lo que ms debe causarnos preocupacin (adems de la existencia de estos dispositivos) es la naturalidad con que permitimos su conexin, se nos hace difcil prohibir el uso de estos, puesto que a veces es mas fcil enviarnos informacin por un Flash USB que hacerlo por otros medios, de ah que la vida sin estos dispositivos se nos imagine imposible. Tal vez la mejor forma de mostrar la peligrosidad de los dispositivos 'plug-and-play' sea dando mas ejemplos. Veamos, cunta informacin importante tiene en su escritorio? (el fsico, no el virtual), desde papeles de trabajo, pasando por contratos, y tal vez por all alguna que otra clave de acceso a sus sistemas de informacin. Una cmara promedio

Figura 1: Conversor de discos SSD a IDE. En una de esas casuales visitas a los centros de venta tecnolgicos de la ciudad, me puse a revisar el arsenal de dispositivos que existe a la venta hoy en da, desde mini-cmaras, dispositivos de comunicacin: bluetooth y wi-fi, unidades de almacenamiento externo, etc, o incluso un 'todoen-uno'. Se me ocurri realizar una breve recopilacin de tcnicas, herramientas de hacking y robo de informacin que se aprovechen de la facilidad de instalacin de dichos dispositivos (el

NOBOSTI, vol.0/08

22
hoy en da tiene una resolucin de 5 Megapixeles (ni que decir de las nuevas Cibershot ...), que bastan para capturar con una sola fotografa todo lo que uno tiene en el escritorio con una visibilidad aceptable, y nuevamente, su unidad de almacenamiento es lo suficientemente grande para robar los datos del escritorio (esta vez si hablo del virtual : ) ). Suficiente?, pasemos a otro ejemplo, los famosos ataques va bluetooth, las aplicaciones de este tipo caben en un celular con mediano poder de procesamiento, y son capaces de robar toda la informacin de una agenda electrnica, leer sus mensajes, ver sus contactos y sus nmeros telefnicos, cambiar el profile, reproducir una cancin, reiniciar el mvil, apagarlo, restaurar todos los cambios a defaults, cambiar el volumen del celular, enviar spam a todos los celulares o dispositivos cercanos, etc. En nuestro laboratorio trabajamos con 2 tipos de ataque: el bluespaming y el bluesnarfing (existen otros como el bluesniffing y el bluebugging). El primero de ellos se trata, por decirlo de una forma elegante, de marketing via bluetooth, el dispositivo identifica la categora de los dispositivos cercanos y comienza a enviar mensajes a todos los que encuentre a su alrededor, podemos utilizar la herramienta para dispositivos palm disponible a travs de http://www.mulliner.org/palm/bluespam.php, su uso es muy simple, simplemente se activa el programa y el mismo realiza todos los pasos automticamente, solamente se necesita cargar el archivo a ser enviado en una carpeta de la palm, y ...listo. Incluso existe software comercial que utiliza este tipo de vulnerabilidades en los dispositivos, el caso de Blue Market de la empresa RIA Software, cuyo producto cuesta aproximadamente 512 $US. Figura 2: Blue Market, herramienta de spaming via bluetooth El segundo tipo de ataque es mucho mas critico, el bluesnarfing consiste en el robo de informacin de un dispositivo a travs de una conexin de bluetooth, podramos utilizar una de las mas completas herramientas: 'Super Bluetooth Hack', es una aplicacin desarrollada en java (por lo que podemos instalarlo a nuestros celulares Ericsson y Nokia) que permite la conexin contra otro celular, la primera conexin requiere que la victima acepte un cdigo, un poco de ingeniera social nos facilitara el trabajo. Una vez realizada la primera conexin, ya no es necesario ningn cdigo, la victima queda vinculada al atacante el cual puede realizar distintas acciones, desde ver el calendario hasta realizar llamadas remotas, etc.

Figura 3: Super Bluetooth Hack La recomendacin en los ataques de tipo blue'x' es desactivar el bluetooth del dispositivo y nicamente activarlo cuando vaya a ser utilizado. Pasemos a otros dispositivos: los dispositivos wifi, la variedad mas interesante es la de dispositivos portables con conexin por USB, por su portabilidad, no tienen mucho que envidiar a los de tipo PCI, el tipo de ataque mas comn consiste en conectar este dispositivo en algn lugar oculto de la computadora (en la parte trasera basta), y configurar dicho dispositivo en modo puente, de tal manera que una vez estemos fuera del edificio sea posible conectarnos a travs de dicho dispositivo a la red institucional, justamente su portabilidad permite

NOBOSTI, vol.0/08

23
pasar inadvertido por la mayora de los usuarios y administradores del sistema. es modificable, entonces podramos cargar aun mas herramientas como keyloggers, spyware, etc. Otra cosa interesante de estas tcnicas es que viene incorporado con una aplicacin denominada 'avkill.exe', el cual deshabilita la mayor parte de las funciones del antivirus para que la herramienta pueda infectar la terminal sin interrupciones, el ataque como tal, toma de 40 a 60 segundos y graba el resultado en la misma memoria USB, ejecutando todo en segundo plano, de manera que todo el proceso es transparente al usuario. Si desea saber mas acerca de esta herramienta, existe un excelente manual disponible en http://www.nobosti.com/spip.php?article258. Hasta aqu un breve repaso de algunas de las tcnicas utilizadas hoy en da que aprovechan estos nuevos aparatos, no por nada las instituciones britnicas estn bloqueando completamente los puertos de comunicacin USB, unindose al movimiento que llevan bastante tiempo en otros pases del primer mundo. Las recomendaciones mas efectivas van desde la desactivacin de los puertos de USB por bios (y con contrasea), hasta la implementacin de productos de control de perifricos, tipo DeviceWall, DeviceLock o GFI EndPoint Security. Finalmente depende de nosotros, realizando un examen al interior de nuestras instituciones, el permitir o no el uso de los mismos, a sabiendas que corremos un grave riesgo por la falta de control.

Obviamente del otro lado debemos disponer de una buena antena para realizar la conexin, pero con las nuevas tecnologas WIFI '811.n' se mejora la probabilidad de xito de dicho ataque. El ejemplo final que deseo presentar, consiste en los ataques realizados mediante dispositivos de almacenamiento USB flash. Tal vez el ejemplo ms tpico que encontramos al respecto son los virus y troyanos, estos han encontrado en los dispositivos flash USB uno de los mejores medios de almacenamiento y contagio; al respecto uno de los proyectos ms avanzados es el desarrollado por el grupo HAK5 (www.hak5.org), mediante las tcnicas: switchblade y hacksaw. Dichas tcnicas se basan en la 'nueva' caracterstica U3 de algunos dispositivos, al conectar el dispositivo U3 se visualizan 2 unidades nuevas, la unidad de almacenamiento del dispositivo y una unidad virtual de CD perteneciente al mismo dispositivo, el cual 'emula' una unidad de CD virtual que contiene las aplicaciones del dispositivo, dichas aplicaciones se cargan automticamente debido a la caracterstica de autoarranque de las unidades de CD, lo que permite llevar aplicaciones como Firefox, Thunderbird, McAfee, etc. de forma porttil, sin necesidad de instalar nada. El ataque se lleva a cabo modificando el contenido de ese CD virtual, insertando aplicaciones de hacking, como scanners a nivel de red, recuperadores de contraseas, instalacin de escritorio remoto, etc., los cuales se lanzan automticamente mediante un archivo '.bat', el cual, por supuesto

* Boris Murillo Prieto Ingeniero de Sistemas Escuela Militar de Ingeniera, actualmente Consultor y Oficial de Seguridad en YanapTI SRL. Especializado en Seguridad y Auditoria de Sistemas, CISO (Certified Information Security Officer). Analista de seguridad en aplicaciones e infraestructura tecnolgica basado en OSSTM y ASSIF. Capacitador en ataque y defensa a profundidad de sistemas de informacin. Experiencia en implementacin y hardenning de infraestructura de VoIP. Experto en desarrollo e implementacin de sistemas basados en teconologa WEB. Experiencia en recoleccin y anlisis de medios en investigacin forense, facilitador en eventos y capacitaciones de Ethical Hacking.
NOBOSTI, vol.0/08

24

viene de la pag. 10

iniciativas y programas pblicos de desarrollo productivo, econmico y social en Bolivia, promoviendo la participacin de la ciudadana en general. Proveer un foro de discusin y accin que promueva colaboraciones y sinergias entre la sociedad civil y los sectores pblicos y privados en temas de Desarrollo productivo. Tambin promover el desarrollo de una red activa de expertos en temas de desarrollo. Promover la movilizacin de recursos econmicos para aquellos proyectos y programas a nivel local, regional o nacional que tengan el objetivo de reducir la diferencia al acceso de tecnologa e informacin e incentivar el uso de tecnologa para promover la lucha contra la pobreza. Incorporar las experiencias innovadoras desarrolladas en otros pases de Amrica Latina como puntos de referencia para la evaluacin comparativa de la situacin de Bolivia y para la formulacin de nuevas propuestas. Promover el desarrollo sustentable y la reduccin de la pobreza compartiendo conocimientos y recursos.

Beneficios que ofrece el Portal de Desarrollo. Conglomerar empresas, principalmente pequeas y medianas concentradas geogrficamente y especializadas sectorialmente a travs de la red. Encadenamiento en un conjunto hacia adelante y hacia atrs entre los agentes econmicos con base en el intercambio de bienes, informacin a travs de los mercados o por fuera de ellos. Enfatizar los aspectos culturales y sociales, que son factores determinantes en la confianza que debe existir entre los agentes de complejo productivo para que se d una cooperacin intensa entre los agentes. Apoyo al conglomerado de instituciones de carcter privado y pblico a travs de distintos servicios de informacin, que permiten mejorar las condiciones de competencia: o o o o o o o o o o o o o o o o o o Acceso a informacin sobre precios de productos agrcolas y otra informacin relevante. Oferta y Demanda de Subcontratacin y produccin conjunta Provisin de informacin en procesos productivos. Provisin de informacin de productos especializados. Provisin de informacin de Proveedores de materias primas y componentes. Informacin Turstica Rural. Provisin de Informacin sobre Proveedores de maquinaria nueva, segunda mano o partes. Apoyo a agentes comerciales que venden en mercados distantes ya sean nacionales o externos. Ofertas y demandas de insumos. Flujos de Informacin. Compras en comn. Provisin de informacin de productores especializados de servicios tcnicos, financieros y contables. Informacin sobre posibilidades de exportacin del sector productivo Formacin de asociaciones para proveer servicios a la comunidad del Portal. Surgimientos de medios para compartir informacin tales como boletines o pequeos peridicos Cofinanciacin de institutos tcnicos y de capacitacin. Organizacin y participacin de eventos como ferias. Ecuacin virtual sobre distintas temticas para apoyar al sector productivo.

NOBOSTI, vol.0/08

25 TCNICAS DE DETECCIN DE FRAUDES

Las tcnicas de deteccin de fraudes utilizadas
por el FRAUDITOR (Auditor Investigador de Fraudes) son variadas y muchas de ellas no tan nuevas, algunas son bastante simples y otras algo complicadas, la complicacin de estas tcnicas se sobrelleva con la gran cantidad de programas que tenemos disponibles en el mercado desde una hoja de clculo (Microsoft Excel), programas de base de datos (Access, MySQL, Informix, SQL Server, Oracle), programas estadsticos (SPSS, Minitab), programas de minera de datos (Clementina, Darwin, Enterprise Miner, Intelligent Miner), programas de extraccin, anlisis de datos y deteccin - prevencin de fraudes (IDEA, ACL, Gestor AUDISIS, DATAS), otros (TOAD, Sistema de Auditoria Seguridad y Control - SAS).

Por: Lic. Aud. Daniel Vargas Madrid

Procedimientos analticos de auditoria: Anlisis vertical y horizontal de las cuentas de balance y de resultados; anlisis de ndices/ratios histricos Los resultados de estas tcnicas no necesariamente indican que existe fraude en un grupo de datos analizados, simplemente nos dan indicaciones donde poner mayor atencin en el anlisis, los resultados se tendrn que valorar de acuerdo a las particularidades del negocio, por ejemplo puede ser que existan transacciones en Depsitos a Plazo Fijo que las realiza el Administrador de Base de Datos (ABD), entonces una vez detectadas estas transacciones de carcter operativo se debe investigarlas ms a fondo, es decir determinar que tipo de operaciones son, en que fechas se realizan y creo que lo ms importante si existe autorizacin formal para que el ABD las realice y la revisin de la normativa interna relacionada.

El presente artculo se centra en el Anlisis de Frecuencia Digital y La Ley de Benford.

Para los ejemplos que se plantearan, se tiene como base la siguiente estructura de datos de una tabla que almacena los transacciones en ventanilla (caja) de una entidad financiera del segundo semestre de la gestin 2007: Dentro de estas tcnicas podemos mencionar las siguientes: Anlisis Estadstico: Anlisis de regresin, anlisis de correlacin, anlisis de dispersin, La Ley de Benford Anlisis de Frecuencia digital. Patrones: Secuencias, investigacin de faltantes y duplicados, anlisis histrico de tendencias, anlisis de ratios. Tcnicas de anlisis visual: Anlisis de relaciones, anlisis de lneas de tiempo, grficos de agrupamiento (clustering).

Anlisis de Frecuencia Digital

Consiste en agrupar los datos en funcin a una variable para luego realizar operaciones de totalizacin como: contar, sumar, promediar,

NOBOSTI, vol.0/08

26
encontrar el mximo o mnimo, calcular la desviacin estndar o la varianza. estos 3 usuarios y poner especial nfasis en la autorizacin para realizar las 2 transacciones que realiza el usuario genrico admin y que funcionario lo utiliza, asimismo se deber realizar una revisin de las Polticas, Normas y Procedimientos (PNPs) sobre el ciclo de vida de los identificadores de usuarios.

Ejemplo: La variable elegida ser Usuario y la operacin de totalizacin ser un simple conteo, es decir, que se ir contando cuantas transacciones realiz cada usuario en el segundo semestre del 2007, obtenindose los siguientes resultados:

De acuerdo al criterio del FRAUDITOR, este podr combinar los otros operadores de totalizacin, analizarlos y concluir sobre la base de sus resultados. Asimismo como en este caso no solamente se elije una tcnica y centrarse nicamente en la elegida, sino ms bien integrarla con otras tcnicas, tal es el caso del Anlisis de Frecuencia Digital que se puede combinar con las tcnicas de Anlisis de Correlacin, Anlisis de dispersin y Generar informacin histrica para realizar Anlisis de Tendencias, Anlisis de Ratios, Anlisis de Regresin.

De este resultado se puede comenzar ya una investigacin tomando en cuenta los valores extremos el mnimo y el mximo, o solamente comparar los usuarios que se tiene en el resultado con la planilla de sueldos del segundo semestre 2007. Esta misma informacin se la puede realizar mes por mes e ir acumulando un histrico por usuario para determinar tendencias de cantidad de transacciones por cada usuario y realizar su grfico respectivo:

Como se mencion lneas arriba, este tipo de tcnicas se pueden realizar con diversas herramientas, entre ellas: Excel a travs de las Tablas y Grficos Dinmicos con las limitaciones que tiene esta herramienta de 65.536 registros hasta la versin 2003 y 1.048.576 registros en la versin para Vista. Access mediante las Consultas de Tablas de Referencias Cruzadas. IDEA y ACL se puede calcular a travs de o p c i o n e s d e To ta l i z a c i n d e c a m p o s .

LEY DE BENFORD
De esta tcnica se puede comentar que no es nada nueva, puesto que tiene su origen el ao 1881 enunciada por Simon Newcomb y posteriormente el ao 1930 por Frank Benford quien era un fsico de la General Electric. En 1994 Mark Nigrini utiliza esta Ley para detectar posibles fraudes e irregularidades en datos fiscales y para d e t e c ta r c o n ta b i l i d a d e s c o n ta m i n a d a s .

Del anterior grfico se puede determinar la evolucin en cantidad de transacciones por cada usuario y verificar que los usuarios admin, dvargas y hrosales no son usuarios habituales en caja en ninguno de los meses analizados respecto de los usuarios rrivero, mmarco, froca y lvaca; otra revisin adicional podra consistir en revisar los perfiles de

NOBOSTI, vol.0/08

La Ley de Benford en trminos sencillos dice que aquellos nmeros de la vida real que empiezan

27
por el dgito 1 ocurren con mucha ms frecuencia que el resto de nmeros.

Recomendaciones:
El tamao del conjunto de datos debe ser mayor a 1.000 elementos para establecer conclusiones de auditoria para la prueba del primer digito y para la prueba de los 3 primeros dgitos se recomienda al menos 10.000 datos. El valor mximo entre el mnimo (diferente de cero) debe ser por lo menos 100. Preferiblemente analizar datos generados en periodos largos de tiempo (una o varias gestiones fiscales por ejemplo) que sobre cortos (un da por ejemplo). Lo ideal es trabajar con datos que registren 4 o ms dgitos, aunque con 3 dgitos se pueden obtener excelentes resultados. La Ley de Benford es de escala invariante, se puede utilizar esta Ley independientemente de su escala de medida, es decir si trabajamos en metros o millas se tendra el mismo resultado, en trminos financieros es independiente de la moneda en la cual se expresa los importes.

Esta Ley plantea que la ocurrencia de los dgitos en una serie de datos puede predecirse. Ningrini define la Ley de Benford como aquella que predice la frecuencia esperada de aparicin de los dgitos en series de nmeros. Otra forma de enunciarla es: los primeros dgitos de los nmeros no se distribuyen de manera equiprobable. Los resultados que arroja esta Ley respecto a la probabilidad de ocurrencia de los dgitos es la siguiente:

Como toda Ley, para que sea aplicable deben cumplirse ciertas condiciones: El conjunto de datos debe estar formado por magnitudes medibles de un mismo fenmeno, es decir las transacciones de caja de una entidad, importes de gastos familiares, los votos obtenidos por un candidato en las diferentes mesas de sufragio. No debe existir una limitacin de mximo y mnimo, es decir debe ser una variable cuantitativa sin restricciones. En el caso de Moneda, los resultados de nuestro anlisis no tendran sentido, puesto que este campo solo puede asumir dos valores 1 o 2. Los datos no deben ser nmeros asignados por ejemplo los nmeros de telfono de Santa Cruz comienzan siempre con 3, los de Cochabamba con 4, estos conjuntos de datos no se ajustan a la Ley de Benford. Debe haber un mayor nmero de valores pequeos que grandes, es decir el cumplimiento de La Ley de Pareto que dice que generalmente el 80% del importe total se encuentra en el 20%

Utiliza programas que incluyen esta Ley dentro de sus opciones como son el IDEA, ACL, DATAS, Auriga, aunque si uno no dispone de estas, con una planilla Excel podra ser suficiente con las limitaciones inherentes del Excel. Ejemplo: La variable analizada ser Importe considerando que todas las transacciones estn en una misma moneda. Los resultados del ejemplo tomado versus la Ley de Benford se expresan en la siguiente tabla y luego se realiza su grafica correspondiente:

NOBOSTI, vol.0/08

Para el primer dgito de un conjunto de datos se

28
toma la probabilidad de ocurrencia del primer dgito segn La Ley de Benford, de tal manera que si esta cantidad esperada y la real muestran una diferencia significativa es un indicador de que los datos son posiblemente inventados, errados o fraudulentos. Con el ejemplo de transacciones de caja, para el primer digito significa que existirn mas transacciones que comiencen con el numero 1 que transacciones que comiencen con el numero 9, realizando los clculos tenemos que 15.430 transacciones tienen como primer digito 1 y solamente 1.230 transacciones tienen como primer digito 9. 47.634) con Excel teniendo como resultado el siguiente grafico cuyos primeros dgitos tienen una probabilidad de ocurrencia entre 10% y 11%, verificando que la Ley no se cumple para estos datos, algunos llaman a esto el grado de Benforicidad, es decir cuan aplicable es La Ley de Benford a un conjunto de datos.

Aplicaciones de esta Ley se hicieron en procesos eleccionarios: Elecciones de Ecuador (Noboa, Correa, Roldos, Viteri, Rosero, Villacis), Elecciones de Presidente de los EEUU (2004), Referndum de Venezuela (2004), Presidente de Mxico (Julio 2006) De los resultados anteriores se tiene: para el primer digito 5 una probabilidad de ocurrencia segn la Ley de Benford de 7.92 % y con los datos actuales se tiene 11.76 %, esta diferencia es una alerta de un posible fraude o irregularidad en las operaciones que comienzan con el digito 5 en su importe. Las diferencias que indican posibles fraudes pueden estar en ms o en menos respecto la Ley de Benford. Para confirmar o afinar los resultados se puede realizar anlisis adicionales como son la prueba del segundo digito, tercer digito, primeros 2 dgitos, primeros 3 digitos y la prueba de los 2 ultimos digitos.

La Ley de Benford y los nmeros aleatorios

Si se aplica La Ley de Benford a una serie de nmeros generados aleatoriamente, la Ley no se cumple, puesto que todos los dgitos tendrn la misma probabilidad de ocurrencia (equiprobables). Ejemplo: Se generaron datos aleatorios (la mism a cantidad que los analizados en el ejemplo anterior

Finalmente concluir que las herramientas son solo eso, herramientas y no reemplazan la experiencia y criterio del FRAUDITOR. Parafraseando el dicho El genio es 10% inspiracin y 90% de trabajo se dice que: El Frauditor utiliza 10 % de tcnicas y herramientas y 90 % de criterio profesional. Para las investigaciones forenses (informtica y auditoria) no solamente se deben considerar los resultados de las tcnicas y herramientas, tambin y quizs lo mas importante es considerar la validez de los resultados obtenidos y su debido respaldo para fines legales, considerar por ejemplo: garantizar la cadena de custodia de la evidencia, diferenciar la evidencia persuasiva (auditoria) de la evidencia conclusiva (legal)

NOBOSTI, vol.0/08

29 DIFERENTE TECNOLOGA EN SERVICIOS DE BANCA, PERO SE MANTIENE EL MISMO RIESGO Por: Msc. Ing. Guido Rosales Uriona
E l surgimiento de diferentes tecnologas ha llevado a innovar servicios bancarios acorde al momento. Desde varios aos atrs se cuenta con servicios de Banca Telefnica, el internet dio lugar a la Banca Electrnica y ahora el boom de la telefona celular est dando lugar a la Banca Mvil. Sin lugar a dudas servicios que facilitan el acceso a los servicios bancarios y en general servicios financieros. Sin embargo existe un riesgo entre otros que a la fecha se mantiene y es un comn denominador en todos estos servicios, me refiero a la autenticacin simple o esttica. El presente articulo hace consideracin bsica a las soluciones propuestas de acuerdo con la exigente regulacin de la FFIEC, Authentication in an Internet Banking Environment.
Cabe resaltar que durante la preparacin de la presente opinin, tambin se est preparando un sondeo sobre el estado de la seguridad en la autenticacin en entidades financieras de Bolivia. Esperamos terminar sino los resultados sern publicados en el siguiente nmero de NOBOSTI. por la lnea hasta la central o sistema de la entidad financiera. Pero esta seal pasa por diferentes puntos, desde el mismo cable interno, la central telefnica interna, el cable pblico, los dispositivos de conmutacin del operador telefnico y similar ruta hasta el dispositivo de la entidad financiera donde se desmodula para convertir en seal digital y transmitirlo al servidor y consecuentemente ejecutar la transaccin o consulta realizada.

Identificacin y Autenticacin en Banca Electrnica

En este caso la identificacin y autenticacin se da mediante una de Internet donde el cliente desde un computador, utilizando un navegador, consulta la pgina web de la entidad financiera. Generalmente el sistema le presenta una ventana de consulta donde el cliente coloca su identificacin, numero de cliente o nmero de tarjeta y su PIN. De igual manera que en la Banca Telefnica es un numero esttico de cuatro dgitos. En este caso el riesgo de interceptacin esta minimizado por cuanto la conexin se establece mediante un protocolo encriptado, generalmente SSL o https. La encriptacin comn de la parte simtrica es de 128 bits. Es un esquema de llaves y firma digital donde el sitio de la entidad financiera posee un certificado digital. La posibilidad de interceptacin del canal es mnima, llegando incluso algunos proveedores o asegurar sus algoritmos contra cualquier tipo de ataque. Sin embargo este esquema tambin es vulnerable debido al uso de claves estticas o autenticacin simple, ya que el PIN o la clave es reutiliza. En estas situaciones los ataques mas comunes estn realizados con el uso de keyllogers, programas que interceptan lo que el usuario teclea, desplaza el mouse o hace doubl click. Por ejemplo vemos que la mayor parte de entidades financieras tienen ventanas donde se

Identificacin y Autenticacin en Banca Telefnica.

La identificacin se da va telfono, comnmente se solicita el numero de cliente o el numero de tarjeta, sea debito o crdito, pero en todos los casos se solicita la clave o el PIN(Personal Identification Number) como elemento de autenticacin. Esta clave o PIN es de tipo esttico, es decir si no es cambiado por el usuario se mantiene en el tiempo y se reutiliza para cada autenticacin. El riesgo se da en la conexin telefnica, si esta interceptada o comnmente llamada pinchada, el atacante obtiene de manera verbal o por impulsos tanto la identificacin como la autenticacin. Al final los impulsos de cada tecla son transformados a seal elctrica que viajara

NOBOSTI, vol.0/08

30
debe teclear los datos de identificacin y autenticacin. Otras usan un esquema ms sofisticado donde la disposicin de los nmeros cambia en cada conexin, sin embargo presentan riesgos ante keylogger por ejemplo la atenuacin que sufre la tecla oprimida con el mouse. Al margen de estos comentarios, el problema sigue siendo la autenticacin o uso de password esttico. Si el atacante logra reunir los 4 elementos del PIN o algunos mas en caso de claves, tendr mucho tiempo para fraguar su ataque. password esttico, si el atacante logra ver la clave, tendr tiempo suficiente para organizar el ataque.

Conclusin:
En los tres servicios brindados actualmente tenemos el mismo problema. El uso de claves estticas. Vemos por ejemplo que la regulacin en Chile ya exige el uso de autenticacin con password dinmico y el mercado de soluciones ya ofrece este tipo de servicios. Debemos puntualizar que actualmente la seguridad est en manos del cliente cuando las Entidades Financieras deberan ser mas proactivas para minimizar el Riesgo. Evidentemente representa un costo, pero con el ciclo de la tecnologa cada vez es ms accesible y debe hacerse. La solucin viene por el lado de SmartCards o Tokens donde las claves son generadas para un solo uso ya sea bajo un esquema de sincronizacin (Chip interno) o por desafo respuesta(Circuito interno). Tambin debemos resaltar el rol de la Super intendencia de bancos, especficamente en su circular SB 443/03 o SB 466/03 sobre requisitos mnimos de seguridad informtica, puntualmente la Seccin 4, articulo 1, donde se dice sobre Banca electrnica, sin considerar la opcin de telfono fijo y mvil. Esta regulacin debe ser ampliada en su concepto o en su alcance sobre las tecnologas utilizadas.

Identificacin y Autenticacin en Banca Movil

El esquema utiliza un telfono celular con conexin a servicios mviles desde la entidad financiera, estos pueden ser va SMS, WAP o generalmente aplicaciones JAVA. El telfono celular debe tener facilidad de navegar o recibir SMS. La conexin se hace identificando el nmero de celular, el cliente y autenticando los mismos con un nmero clave o PIN. Algunos Bancos utilizan la misma conexin codificada de 128 bits para garantizar la confidencialidad del canal adems de PIN de seis dgitos. Tenemos el riego de clonacin, en este esquema solo nos quedamos con Lo que SE, pero esto puede ser interceptado cuando no se utilizan conexiones adicionalmente encriptadas. Al final volvemos al mismo esquema de uso de

NOBOSTI, vol.0/08

31 TRANSPARENCIA DE LA INFORMACIN PBLICA: UN PAPEL DEL GOBIERNO ELECTRNICO A TRAVS DE LAS TIC
Por: Ph.D. Prof. Csar D. Vargas Daz Investigador Econmico

El Gobierno Electrnico (a partir de ahora) eGobierno como campo de investigacin y prctica ha ido ocupando un importante espacio en el mbito de la modernizacin de los Estados, ya sea en la Gestin Pblica, en la relacin Administracin Pblica-Ciudadano. La entrada de las nuevas Tecnologas de la Informacin y Comunicacin (TICs) en el mbito de la Administracin Pblica ha despertado un inters general por encontrar mecanismos que permitan que el Gobierno Electrnico impacte positivamente en su quehacer d i a r i o . D i c h o c o n o t r a s pa l a b r a s , l a s Administraciones Pblicas necesitan ser ms eficientes y eficaces (Rocheleau y Liangfu, 2002), los ciudadanos reclaman que estas sean ms transparentes, las empresas demandan un entorno operativo que facilite su competitividad y todos los actores sociales estn expectantes de mayor informacin y participacin en la vida pblica (Fieldman y Khademian, 2007).
En este contexto el tema del Gobierno Electrnico se ha instalado en los debates y en las agendas polticas con mucha fuerza, siendo un concepto que al parecer se encuentra en un constante estado de desarrollo (Jaeger, 2003). Esta tendencia es entendida como una de las formas de expresin de la Sociedad de la Informacin, as como un mbito en el proceso de modernizacin de la Administracin Pblica, permitiendo el uso estratgico e intensivo de las TICs, tanto en las relaciones internas de las Administraciones Pblicas, como en la relacin de estos organismos con los ciudadanos y empresas del sector privado. De hecho, el e-Gobierno se considera una de las mayores iniciativas del sector pblico tendente a la transformacin de las Administraciones Pblicas, con un magnfico potencial para cambiar las relaciones de los ciudadanos con los organismos pblicos y la visin pblica de estos (Holden y Millett, 2005). Este reciente inters se ha visto reflejado en el vertiginoso aumento de estudios realizados sobre e-Gobierno, que han sido llevados a cabo por profesionales, investigadores y entendidos en la materia en campos de estudios muy heterogneos no siendo de extraar que existan un gran nmero de revistas, libros, conferencias, etc., que lo tengan

como tema central. As, podemos encontrarnos con artculos que hacen referencia a la utilidad de Gobierno Electrnico bien como mtodo para reducir la -corrupcin- en las funciones gubernamentales ofreciendo una -mayor transparencia en la informacin- y funciones pblicas (Maor, 2004), bien como mtodo para mejorar los actuales servicios pblicos (Hartley, 2005), o bien como instrumento para aumentar la rendicin de cuentas en el resultado ms preciso y eficaz de sus servicios (Holliday y Yep, 2005). Asimismo, el Gobierno Electrnico puede actuar como mecanismo conductor para acelerar la descentralizacin de la administracin pblica y, al mismo tiempo, mejorar la capacidad del gobierno para supervisar las actividades principales, reducir los costes administrativos y el tiempo dedicado a tareas repetitivas para los funcionarios, facilitar una mayor transparencia a la administracin, y aumentar el acceso a los servicios debido a la disponibilidad las veinticuatro horas del da los siete das de la semana de Internet. No obstante, el proceso de e-Gobierno tambin presenta una serie de limitaciones entre las que se encuentran: la disparidad existente en el acceso al gobierno electrnico o brecha digital, la educacin que necesitan los ciudadanos para que puedan apreciar el verdadero valor de esta herramienta, los problemas relacionados con la privacidad y confidencialidad, y la escasa participacin de los ciudadanos en la toma de decisiones pblicas (Devas y Grant, 2003). En lo que a Informacin Econmico Financiera Pblica (IEFP) se refiere, es decir, los recursos de los ciudadanos-contribuyentes que administran los Gobiernos-Administradores, la divulgacin de dicha informacin a travs de Internet es fundamental (AECA, 2002). Considera que los principales usuarios de la informacin econmico financiera pblica son los ciudadanos. Con el paso del tiempo, los ciudadanos sienten cada mayor necesidad por conocer las prcticas llevadas a cabo por los administradores pblicos, que les obligue a dotar

NOBOSTI, vol.0/08

32
a los organismos pblicos con ms eficaces y eficientes sistemas de informacin que racionalicen el uso de recursos financieros y consiguiendo mejorar con ello el desempeo de los servicios pblicos. La divulgacin de informacin podra aumentar la transparencia y disminuir la corrupcin tal como esta ocurriendo en los pases ms desarrollados (Global E-government Readiness Report , 2007), de este proceso como parte de una tendencia mundial hacia la -Rendicin de Cuentas al Pblico. Aunque son muchos los pases que elaboran la informacin econmico-financiera pblica, usualmente no es de fcil acceso para los ciudadanos (Tayib, Coombs and Ameen, 1999), lo cual en la prctica supone una carencia de Transparencia de Informacin. Estas limitaciones hacen que la informacin econmica y contable pblica sea escasamente til para la toma de decisiones y requiere la aplicacin de herramientas de seguridad e instrumentos que permitan aumentar la transparencia que necesitan los ciudadanos de un economa globalizada e informatizada en la que vivimos. El instrumento usado en el sector privado para hacer ms transparente la informacin, no es otro que la aplicacin de las Tecnologa de la Informacin y la Comunicacin (TICs). Desde hace relativamente poco tiempo estamos siendo testigos del increble aumento del uso de este tipo de tecnologas en todas las esferas de nuestro quehacer diario, es ms, el sector privado las utiliza como instrumento para diferenciarse de sus competidores y ser ms competitivos a la hora de ofrecer y distribuir sus servicios entre sus consumidores. Por lo tanto, las Administraciones Pblicas han sentido la necesidad, o mejor dicho se han visto obligadas a implantar las TICs en sus funciones, y guiar a travs de las mismas sus relaciones con los ciudadanos, las empresas y otros organismos pblicos. Estas herramientas tecnolgicas permiten a los organismos pblicos ser ms eficaces y eficientes en el desarrollo de sus funciones. Por lo que con la correcta divulgacin de informacin on-line, se espera soluciones a los siguientes problemas, entre otros: Mayor transparencia supone un mayor control por parte de los ciudadanos de los recursos utilizados por los organismos pblicos, por lo tanto menores casos de corrupcin. Mayor responsabilidad por parte del Gobierno en divulgar informacin pblica con seguridad, veracidad y fiabilidad. Poner de manifiesto si los gobiernos estn llevando a cabo esfuerzos para disear las pginas Web gubernamentales accesibles, que permitan un acceso fcil por parte del ciudadano. Observar las caractersticas cualitativas que ofrecen la informacin finalmente divulgada La divulgacin de informacin permite a los gobiernos ser ms eficaces y eficientes en el desempeo de sus funciones pblicas. Aumentar la participacin ciudadana en la toma de decisiones pblicas. Por ltimo, concluir en base a lo mencionado que el Gobierno Electrnico o e-Gobierno es de gran beneficio para cualquier gobierno o administracin pblica. En el caso boliviano, a mi juicio es importante la implementacin del eGobierno en todos sus mbitos (Nacional, Regional y Local) y ms aun en la coyuntura en la que se encuentra Bolivia.

Bibliografa
(AECA) Asociacin Espaola de Contabilidad y Administracin de Empresas (2002): Cdigo de buenas prcticas para la divulgacin de informacin financiera en Internet. Madrid, Autor: Fieldman M. S. y A. M. Khademian (2007): The Role of the Public Management in Inclusion: Creating Communities of Participation. Governance: An International Journal of Policy, Administration and Institution, 20(2): 305-324. Global E-government Readiness Report (2007): (Consultar en la Web) http://www2.unpan.org/egovkb/global_reports/05repor t.htm Holden, S. H. y L. I. Millett (2005): Authentication, Privacy, and the Federal E-Government. The Information Society, 21 (5): 367-377. Holliday, I. y R. Yep (2005): E-Government in China. Public Administration and Development, 25 (5): 239249. Jaeger, P. T. (2003): The endless wire: E-government as global phenomenon. Government Information Quarterly, 20 (4): 323-331. Maor, M. (2004): Feeling the Heat? Anticorruption Mechanisms in Comparative Perspective. Governance: An International Journal of Policy, Administration and Institutions, 17(1): 1-28. Rocheleau, B. y W. Liangu (2002): Public Versus Private Information Systems. Do they differ in important ways? A review and empirical test. American Review of Public Administration, 32 (4): 349-397. Tayib, M., Coomsb, H. G., and Ameen. J. R. M. (1999): Financial reporting by Malaysian local authorities. A study of the needs and requirements of the users of local authority financial accounts. The International Journal of Public Sector Management, 12(2), 103-120

NOBOSTI, vol.0/08

34

35

SEGURYNFO es una actividad que tenamos pendiente en la agenda de nuestra empresa. Ahora
saldamos una deuda con nuestra comunidad profesional que pretendemos propagarla a nivel nacional.

antecedentes:
Los antecedentes de caracterstica internacional para esta iniciativa se remontan al ao 1999 cuando organizamos el primer evento sobre auditoria de sistemas contando en su oportunidad como invitado con el Presidente del Captulo ISACA del Per el Lic. Manuel Guevara, ocasin en la que se conform el primer proyecto de Captulo en Bolivia. El segundo evento desarrollado el ao 2001, llevo la denominacin de DESEIN Derecho y Seguridad Informtica, actividad que cont con la visita del Dr. David Prez Arnaldo, especialista espaol en Derecho Informtico. El ao 2005 contamos con la presencia de uno de los ms famosos hackers mundiales, Sergio Alvares o shadown. Quien dejo marcada una escuela en la seguridad. A nivel Nacional hemos desarrollado desde conferencias de 3 horas hasta programas de Maestra de 2 aos. La actividad de capacitacin nos he permitido llegar a casi TODAS las ciudades capital del Pas, aun nos falta Cobija, pero llegaremos sin duda.

Objetivo:
Retomar la modalidad de eventos abiertos, destinados a profesionales del rea con la finalidad de convertir los temas de seguridad en conocimientos transversales a todas las disciplinas informticas.

Desde el inicio de actividades, durante el ao 1999, hemos visto crecer profesionalmente a muchos colegas quienes hoy han alcanzado talla internacional reconocida con certificaciones internacionales. Queremos brindarnos la posibilidad de un espacio para compartir los conocimientos y experiencias logradas que nos devuelvan la confianza en la capacidad nacional. Queremos aportar a los varios esfuerzos que se realizan de tal manera que podamos tener una agenda anual sin un solo mes libre en el campo de la Seguridad de la Informacin. Tecnologa? La tenemos. Seguridad? Nos falta mucho en este campo.

Audiencia:
NOBOSTI, vol.0/08

Evento destinado a todos los profesionales relacionados con la Tecnologa de Informacin. Podemos asistir para aprender temas nuevos, para profundizarlos o simplemente para ver que el conocimiento logrado es un comn denominador, es decir todos tenemos un motivo por el cual asistir.

36
Cronograma de Actividades

Lic. Hugo Rosales Uriona El factor humano, el mayor riesgo a gestionar Ing. Limberg Illanes

Estado de la Seguridad en Entidades Financieras

Lic. Juan Carlos Ibieta Alconini

MBA. Ing. Marcelo Villegas Salinas

NOBOSTI, vol.0/08

37

Expositores
Ing. Teddy Vctor Mercado Rodrigo
Ingeniero en Computacin, Universidad Catlica de Santiago, Argentina del Estero, graduado con mencin de honor. CISM (Certified Information Security Manager), CISSP (Certified Information Systems Security Professional). Actualmente es el encargado de seguridad de la gerencia de Tecnologa de la Informacin y Telecomunicaciones (TIT) - Petrobras Bolivia. Asimismo fue Lder de proyectos en el diseo e implementacin de proyectos llave en mano de seguridad en redes para Internet y redes de rea local, PROCOM SRL Santa Cruz (1999 2003) Divisin comunicaciones. Administrador de red y Administrador del nodo regional de Internet de la red boliviana BOLNET (1995 1998) Universidad Andina Simn Bolvar Sucre, Bolivia.

MSc. Lic. Angel Hilmar Baspineiro Valverde

Licenciado en Anlisis de Sistemas, graduado con honores. Universidad Nacional de Salta, Argentina. Ingeniero de Sistemas, ttulo revalidado. USFXCH, Bolivia.Master en Informtica Aplicada, en la mencin Redes y Comunicaciones. USFXCH- ISPJAE, Bolivia Cuba. Instructor Certificado en Seguridad en Redes y Seguridad Empresarial & Riesgos, Fundacin Proydesa, Buenos Aires - Argentina, para los programas de la CISCO LOCAL ACADEMY. CISA (Certified Information Systems Auditor), CISO (Certified Information Security Officer). Docente de la Universidad de San Francisco Xavier desde 1997, actual responsable de la Comisin Acadmica del XV Congreso Nacional de Ciencias de la Computacin, CCBOL.

Ing. Juan Mauricio Pacheco Paz

Ingeniero de Sistemas Universidad Catlica Boliviana. En agosto del ao 2000 ingres al Banco BISA S.A. como Encargado de Software de Base y Administrador de Redes.El ao 2005 trabaj como Administrador de Seguridad de la Informacin en el Banco BISA S.A., desde junio de 2007 a la fecha trabaja como Auditor de Sistemas del Banco BISA S.A. y del Grupo Financiero BISA. Miembro de la ACM Association for Computer Machinery desde el ao 2002 y de ISACA Information Systems Audit and Control Associations desde el ao 2007

Mit. Ing. Alfredo Alvaro Cuadros

Ingeniero de Sistemas, Universidad Catlica Boliviana. Master en Tecnologas de Informacin. MIT - Adelaide University, Adelaide, Australia, Master of Business Administration MBA - Adelaide University, Adelaide, Australia C I S S P. C e r t i f i e d I n f o r m a t i o n S y s t e m s S e c u r i t y P r o f e s s i o n a l . CISM . Certified Information Security Manager (with Honors)Jefe de Seguridad de Sistemas en ITS Information Technology Services, Australia (2000-2002), Subgerente Nacional de Seguridad de Sistemas del Banco Mercantil (2002 2006), actualmente Gerente Nacional de Riesgos del Banco Mercantil.

NOBOSTI, vol.0/08

38
Ing. Roberto Escalante Mendoza
Ingeniero Electrnico, mencin Sistemas Digitales UMSA. CISM Candidato a Certified Information Security Officer ISACA, CISO (Certified Information Security Officer), FCA (Forensic Computer Advisor), MCSE (Microsoft Certified Systems Engin), CCNA Administrador de redes de computadoras certificado por CISCO Systems Inc. Docente del Diplomado en Auditoria de Sistemas y Seguridad de los Activos de Informacin UMSA Docente del MAGESI Maestra en Gestin de Seguridad de la Informacin - EMI Docente del programa de Certificacin en Gerencia de Seguridad de la Informacin - YanapTI

MSc. Ing. Javier Marcelo Mercado Castro

Ingeniero electrnico Universidad Mayor de San Andrs. Docente titular Postgrado: Tecnologa criptogrfica. Escuela Militar de Ingeniera. Maestra en Geston de Seguridad en Tecnologas de Informacin - Escuela Militar de Ingeniera. Maestra en Ingeniera Matemtica e Informtica, mencin Sistemas Flexibles e Inteligentes - Universidad Catlica Boliviana Maestra en Administracin de Empresas -Universidad de Aquino Bolivia. Jefe ASP Pensiones - Grupo Zurich Bolivia Jefe Nacional de Sistemas - AFP Futuro de Bolivia S.A.

Ph.D Esteban Saavedra Lpez

Doctor en Tecnologas de la Informacin y Telecomunicaciones (Universidad Politcnica de Espaa) , Magster en Ciencias de la Computacin y Sistemas Informticos de la Universidad Politcnica de Valencia (Espaa), Especialista Master Telecom de la Universidad Cambridge (Inglaterra), Especialista en Redes y Sistemas Telemticos de la Universidad de Granada (Espaa), Especialista en sistemas Telemticos (Colombia), especialista en Seguridad Informtica (Chile), Internacional Instructor Ethical Hacking (Chile). Internacional Instructor Web Development (Chile). Investigador senior, miembro de la Sociedad Cientfica Europea, director nacional de Open Telematics Bolivia.

Lic. Jorge Ormachea Patio

Licenciado en Informtica, Facultad de Ciencias Puras y Naturales de la UMSA. Trabaja desde el ao 2003 en el anlisis, diseo y desarrollo de sistemas biomtricos en la empresa 123ID, Inc. Diplomado en Administracin Pedaggica del Aula en Educacin Superior, diplomado en Tecnologas de Informacin y Comunicacin, diplomado en Auditoria de Sistemas y Seguridad de los Activos de Informacin - UMSA. Maestra en Gerencia Estratgica de Te c n o l o g a s y Sistemas de Informacin UMSA. CISO (Certified Information Security Officer), CISA (Certified Information Systems Audit).
NOBOSTI, vol.0/08

39
Ing. Limberg Illanes Murillo
Ingeniero de Sistemas Escuela Militar de Ingeniera, Diplomado en Educacin Superior, Maestra en Gestin de Seguridad de Informacin. Ex miembro del directorio de ISACA Bolivia Capitulo 173. CISO (Certified Information Security Officer) Facilitador en diferentes seminarios y cursos de seguridad y auditoria informtica. Trabaj durante 3 aos en Yanapti SRL, oportunidad en la cual ha participado en trabajos de consultoria especializada en Seguridad y auditoria de sistemas tanto a nivel tcnico como de gestin. Ex Encargado Nacional de Seguridad del Banco Los Andes Procredit. Actualmente se desempea como Administrador de Sistemas de Seguridad en la Empresa Minera San Cristobal.

MBA Ing. Marcelo Villegas Salinas

Ingeniero en Sistemas Informticos Universidad Privada del Valle - Cochabamba. Master en Administracin de Empresas, Maestras para el Desarrollo - Universidad Catlica Boliviana La Paz Consultor con 14 aos de experiencia en la administracin, gestin y capacitacin en tecnologa de bases de datos Oracle. Lider del proyecto de implementacin de las aplicaciones informticas del Registro Unico Automotor (1995 1999); Jefe del Departamento de Sistemas Comerciales de Aguas del Illimani (1999 2002); Jefe Nacional del Departamento de Desarrollo y Mantenimiento de Sistemas del Servicio de Impuestos Nacionales (2002 2005). Gerente Nacional de Informtica y Telecomunicaciones del Servicio de Impuestos Nacionales (2005- 2006). Gerente de Tecnologa en Gnesios Informtica (2007). Director Nacional de Informtica de la Corte Nacional Electoral (2008) OCP: Oracle Certified Professional Database Administration. Arquitecto empresarial en mltiples aplicaciones utilizadas a nivel nacional

Ing. Boris Murillo Prieto

Ingeniero de Sistemas Escuela Militar de Ingeniera, actualmente Consultor y Oficial de Seguridad en YanapTI SRL. Especializado en Seguridad y Auditoria de Sistemas, CISO (Certified Information Security Officer). Analista de seguridad en aplicaciones e infraestructura tecnolgica basado en OSSTM y ASSIF. Capacitador en ataque y defensa a profundidad de sistemas de informacin. Experiencia en implementacion y hardenning de infraestructura de VoIP. Experto en desarrollo e implementacion de sistemas basados en teconologia WEB. Experiencia en recoleccin y anlisis de medios en investigacion forense, facilitador en eventos y capacitaciones de Ethical Hacking.

Lic. Hugo Rosales Uriona

Licenciado en Auditoria Financiera, diplomado en gestin financiera, 14 aos de experiencia en el sector financiero. Especialista en Control interno y Auditoria de Sistemas. Docente universitario. Gerente General de COSIM ROSALES SRL. ASIC- Auditor de Sistemas de Informacin Certificado, CISO - Certified Information Security Officer

Lic. Juan Carlos Ibieta Alconini

Licenciado en Administracin de Empresas Universidad Catlica Boliviana, Supervisor de la Superintendencia de Bancos y Entidades Financieras SBEF. Especializado en Gestin y Auditoria de Sistemas de Informacin. Encargado del rea de Riesgo Operativo y Tecnolgico de la Intendencia de Riesgo I. Funcionario de la SBEF desde el ao 1988. CISO (Certified Information Security Officer), Diplomado en Gestin de Seguridad de la informacin.

NOBOSTI, vol.0/08

40
Lic. Claudia Araujo Michel
Licenciada en Ciencias jurdicas, Diplomada y especializada en investigacin criminal, procedimiento penal, procedimiento civil, administrativo y derecho informtico. Asesor Legal corporativo desde el ao 2000 con ms de 50 casos atendidos. Examinador de Fraudes Certificado CFE. Asesor legal de YanapTI SRL. Miembro de la Comisin de Derecho Informtico del Ilustre Colegio de Abogados de La Paz. Docente universitario en cursos de pre y post grado. Asesor de la Polica Nacional en casos de Delitos informticos.

MSc. Ing. Guido Rosales Uriona

Ingeniero de Sistemas y Master en Ciencias de la Ingenieria, titulado por la Universidad Internacional de Aviacion Civil de Kiev Ucrania. Master en Direccion Estratgica de TI, estudios cursados con FUNIBER - ESPAA. Auditor CISA (Certified Information System Auditor) desde el ao 2000. Especialista CISM (Certified Information Security Manager) desde el ao 2003. Acreditado por ISACA - EEUU. Especialista CISO (Certified Information Security Officer), FCA (Forensic Computer Advisor) e ISSA (Information system security Auditor) acreditado por YANAPTI - Bolivia.

CALENDARIO DE EVENTOS NACIONALES E INTERNACIONALES RELACIONADOS CON TECNOLOGAS DE INFORMACIN

NACIONALES
24 al 27 de mayo de 2008: Congreso Internacional de Ingenieria de Sistemas: Jornadas de Auditoria de Sistemas: (Cochabamba Bolivia) 3 y 4 de junio. Defensa y Seguridad. Evento Organizado por IEEE y Hansa ltda (La Paz Bolivia) Julio 10 y 11 de 2008: SEGURINFO 2008 ( La Paz Bolivia) Octubre 6 al 10 de 2008: XV Congreso CCBol 2008 (Sucre - Bolivia)

INTERNACIONALES
Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona - Espaa) * Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informtica ACIS 2008 (Bogot - Colombia) Junio 19 al 21 de 2008: III Conferencia Ibrica de Sistemas y Tecnologas de la Informacin CISTI 2008 (Ourense - Espaa) Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega) Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamrica 2008 (Madrid - Espaa) Julio 9 al 11 de 2008: XIV Jornadas de Enseanza Universitaria de la Informtica (Granada - Espaa)
NOBOSTI, vol.0/08

Agosto 17 al 20: Latin CACS Conferencia de IT Governance, Control, Seguridad y Aseguramiento en Tecnologa de Informacin: (Santigo Chile) Septiembre 2 al 5 de 2008: X Reunin Espaola de Criptologa y Seguridad de la Informacin

41
RECSI 2008 (Salamanca - Espaa) Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracaj - Brasil) Septiembre 15 al 19 de 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo - Valladolid - Espaa) Septiembre 22 al 24 de 2008: XXIII Simposio Nacional de la Unin Cientfica Internacional de Radio (Madrid - Espaa) Septiembre 22 al 26 de 2008: International School on Mathematical Cryptology 2008: Mathematical Foundations of Cryptology (Barcelona Espaa) Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Mlaga - Espaa) CIMATEL 2008 "Una opcin sin lmites". Del 13 al 15 de octubre (Habana Cuba) Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai- China) Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander - Espaa) Octubre 29 al 31 de 2008: 15th International Congress on Computer Science Research (Aguascalientes - Mxico)

NOBOSTI, vol.0/08

43 LA ENTREVISTA NOBOSTI.
ENTREVISTA A KARINA MEDINACELI, UNA PIONERA Y MASTER EN EL REA DE DERECHO INFORMTICO, ACTUALMENTE COORDINADORA DEL DIPLOMADO EN DERECHO INFORMTICO Y NUEVAS TECNOLOGAS EN SU SEGUNDA VERSIN Y SIN DUDA UNA GRAN PROFESIONAL

Karina Medinaceli es abogada, experta como Asesora Legal y Master en Derecho Informtico. Promotora del conocimiento del Derecho Informtico en nuestro pas, con una amplia experiencia tanto profesional como personal.
En esta oportunidad nos brinda un espacio para poder conocerla mejor. En cuanto a su vida personal y acadmica nos comenta: Entrevista realizada por: Vladimir Muriilo. Ch. Mariela Nuez B.

Hola a todos y gracias por invitarme a sumar mi voz al contenido de esta revista. NOBOSTI: Muchas personas creen que el Derecho es solo teora, pero en este caso tu nos demuestras que es algo ms. Desde tu punto de vista que relacin encontraste entre Derecho y Tecnologa para asociarlas? Bueno cuando estaba trabajando en el Ministerio de Hacienda en la Unidad de Normas, lo que anteriormente era conocida como la Direccin de Normas, Organizacin y Procedimientos Administrativos DONPA, se estaba formando el Sistema de Informacin de Contrataciones del Estado - SICOES, uno de los pilares fundamentales que tena en ese momento el gobierno del Presidente Hugo Banzer era la transparencia, una forma de llegar a la transparencia era tener un Sistema de Informacin de Contrataciones del Estado, ver los diferentes procesos, como por ejemplo: en qu estado se encontraba dicho proceso de contratacin, as tambin la construccin de un camino, la compra de bienes y/o servicios, el responsable de la contratacin entre otros. Entonces, como consejo de uno de mis colegas informticos del SICOES, comenc a buscar una nueva especialidad. Por lo que mi perfil hasta el 2001 era ms dirigido a Derecho Administrativo, ya que al trabajar en la Administracin Pblica, estaba trabajando en la parte prctica de lo que es el Derecho Administrativo y al momento de buscar informacin me quede sorprendida que en

Espaa no haba Maestras en Derecho Administrativo, sino ofrecan Doctorados, para esa poca era un salto muy cualitativo, pasar de la Licenciatura en Derecho a un Doctorado, lo que yo buscaba era una Maestra. Entonces, los temas que me llamaron la atencin fueron de Derecho Informtico y de Ordenamiento Territorial, por esta razn empec a hablar ms con los informticos y me comentaron que era un rea que no estaba explotada en Bolivia, que en el 2001 haba un Anteproyecto de modificar el Cdigo de Comercio incluyendo un Ttulo y/o Captulo referido al Comercio Electrnico y me comenc animar por el tema ya que muy poca gente es especialista en el rea, que era un campo virgen para explotar digamos no comunes en el rea de Derecho (Civil, Penal, Comercial, Constitucional), y es as como tomo la decisin de hacer la Maestra en Derecho Informtico, la eleccin estaba entre dos ofertas de universidades espaolas tanto la Pontificia de Comillas - UPCO y la Complutense de Madrid que a nivel de Espaa es la nmero uno en Universidades estatales, como pasa en nuestro pas la gente prefiere estudiar en la universidad estatal por el tema de prestigio de obtener un titulo. En consecuencia, por consejo de un informtico estoy en esta especialidad, posteriormente otros docentes espaoles han influido a tomar la decisin de mi Doctorado en Sociedad de la Informacin y del Conocimiento. Por qu no un Doctorado en Derecho? Siendo abogada y con un perfil ms dirigido a mi rea. Pero soy una abogada con una Maestra en Derecho Informtico, porque no dar un salto cualitativo hablando ya de un Doctorado en

NOBOSTI, vol.0/08

44
Ingeniera Informtica, pero en un programa multidisciplinario como es Sociedad de la Informacin y del Conocimiento, porque en este programa haba socilogos, abogados, licenciados, informticos, todo tipo de profesionales. NOBOSTI: Vindolo ahora dentro de las universidades como materia de carrera Se debera tomar en cuenta el Derecho Informtico como tal para la Carrera de Derecho o Sistemas?

NOBOSTI: Qu relacin hallas entre Derecho Informtico e Informtica Forense?

Bueno, la informtica forense estara ms relacionada con la parte de Delitos Informticos y Auditoria Informtica, hay que resaltar primero que es lamentable que en la Malla Curricular de las universidades pblicas y/o privadas boliviana no haya una asignatura correspondiente a Derecho Informtico, son pocas las universidades que tienen en su malla curricular Derecho Informtico como asignatura, porque la caracterstica del Derecho Informtico es que es transversal a todas las reas del derecho, por ejemplo Derecho Constitucional: proteccin de datos personales y Recurso de Hbeas Data; Derecho Comercial: contratos informticos o comercio electrnico; Derecho Tributario: impuestos, que es el taln de Aquiles del tema del comercio electrnico (Dnde yo voy a pagar mis impuestos cuando hago una compra a travs de Internet?); Derecho Penal: delitos informticos, es aqu donde entra la informtica forense o pericia informtica forense, entre otras reas relacionadas con el Derecho Informtico. Yo creo que hoy en da la informacin es valiosa, depende cuan importante es para la entidad tanto pblica como privada, ya que la informacin da poder. Tiene ms poder aquella persona que sabe usar la informacin que la persona que detenta la informacin, por eso digo que estamos viviendo en la denominada Sociedad de la Informacin y del Conocimiento. Es este el valor agregado que sacan los pases del primer mundo, como Europa y Estados Unidos que encabezan en los temas relacionados a la tecnologa. Pero nosotros en Bolivia ya estamos viviendo casos de delitos informticos y de ah viene la especialidad de la pericia informtica forense o informtica forense. A medida que haya ms informatizacin en nuestro medio, en nuestra cultura, mbito publico como privado la informacin tomar un valor importante; es una nueva especialidad, tanto para abogados como para informticos, un nuevo campo que explotar es el tema de la Seguridad de Informacin.

Puedo decir, que la Facultad de Derecho y Ciencias Polticas de la Universidad Mayor de San Andrs, es una de las precursoras sobre el tema, porque incluye en su malla curricular la materia como Derecho Informtico. Otras universidades que yo tenga conocimiento es la Universidad Salesiana, San Francisco de Ass, de Aquino Bolivia; que tenga conocimiento en la Carrera de Informtica no la consideran. En la Escuela Militar de Ingeniera EMI, tienen una asignatura denominada Ingeniera Legal, pero desconozco su contenido. Pero yo creo que el contenido que dicto en Derecho Informtico es mucho ms interesante para un informtico, porque los temas que se abordan en esta materia son Informtica Jurdica que es un campo amplio para que los informticos puedan desarrollar; el tema de Comercio Electrnico, Firma Electrnica, Documento electrnico, Contratacin Electrnica, Propiedad Intelectual del Software, Base de Datos, Contratos Informticos, Delitos informticos, y as puedo continuar con muchos temas, que lamentablemente no estn desarrollados y que en las Facultades de Sistemas, Ingeniera, Electrnica, Telecomunicaciones deberan formar parte de la Malla Curricular. NOBOSTI: Usted cree que lo estn viendo ms por el lado de especialidad? Yo tuve esa experiencia cuando regrese de Espaa, me preguntaban cual es tu especialidad, y yo contestaba Derecho Informtico y ellos me decan ah. que bien, pero esto se daba porque es un tema tan nuevo que mucha gente no saba que trataba y se preguntaban Cul es su utilidad? Esta nueva especialidad trata del rgimen jurdico de todo lo que es Informtica, Internet y Comercio Electrnico, y cuando les empezaba a comentar un poquito sobre el tema, como que ya les sonaba interesante, pero igual pensaban que yo haba ido a perder tiempo y dinero en Espaa, ya que en ese entonces no lo consideraban el negocio del futuro y menos como una especialidad exitosa. Cuando retorne de mi Doctorado, empec cursando un Diplomado en Educacin Superior ya que es lo primero que te piden para ser docente en cualquier universidad pblica y/o privada. A mi parecer es lo correcto ya que uno no nace docente

NOBOSTI, vol.0/08

45
sino se hace docente y la prctica hace al maestro. El 2006 propuse a todas las Universidades de La Paz, especialmente a las Carreras de Derecho e informtica, pero todos me decan que el contenido de la materia de Derecho Informtico era ms para un Diplomado o Especialidad que para una materia de Pre Grado, me llamo la atencin porque en Espaa se dicta la materia en Pre Grado sobre todo en las Facultades de Informtica y a mi parecer era muy importante que incluyan esta asignatura en Pre Grado, as fue que me impulsaron a desarrollar el Diplomado en Derecho Informtico y Nuevas Tecnologas ampliando el contenido. Ahora pienso que si no la consideran en la Malla Curricular de Pre Grado, la opcin es tener un Diplomado, Especialidad o Maestra en Derecho Informtico. NOBOSTI: En cuanto al tema de Diplomado tengo entendido de que se realiz una primera versin, Que opinin me podras dar acerca de dicho evento? Bueno gracias a la buena relacin que tengo con mi ex Director de la Maestra, Dr. Emilio Su Llins, de la Universidad Complutense de Madrid, se realiz un Convenio Acadmico por cinco aos no solo para Facultad de Derecho y Ciencias Polticas de la UMSA sino en general para toda la Universidad Mayor de San Andrs, es decir, un Convenio Acadmico para todas las facultades, pero empezamos actividades con la Facultad de Derecho y Ciencias Polticas lanzando la primera versin, en ese entonces denominado, Diplomado en Derecho de Tecnologas de la Informacin y las Comunicaciones, para entonces vino el Dr. Emilio Su Llins Phd., que es una autoridad reconocida en el rea de Derecho Informtico en Espaa, tambin vino otro docente estrella en Sociedad de la Informacin y del Conocimiento, Javier Bustamante Donas Phd., que tiene doble doctorado, su segundo doctorado lo realiz en Estados Unidos sobre Ciencia, Sociedad y Tecnologa. Este inicio fue positivo ya que ahora por lo menos el concepto de Derecho Informtico ya suena ms familiar en el entorno jurdico. Luego decidimos cambiar el nombre del Diplomado de Derecho de Te c n o l o g a s d e l a I n f o r m a c i n y l a s Comunicaciones, que es un rea ms amplia por Derecho Informtico y Nuevas Tecnologas. Para mi fue una experiencia positiva ya que pude replicar un poco de la experiencia que tuve con la maestra en Espaa, con la aplicacin de una parte terica que esta a cargo del docente titular y para la parte prctica se invita a conferencistas relacionados con cada Mdulo que se dicta en el Diplomado, destacados profesionales en el tema especfico. NOBOSTI: Hablando de la aplicacin del Diplomado tiene alguna experiencia que le fue til o no? La experiencia que tengo se ha dado en el rea de la Proteccin de Datos Personales y Recurso de Hbeas Data. Lo que siempre digo es que el Responsable de Sistemas o de Recursos Humanos, simplemente es el detentador de la base de datos, banco de datos o archivo, pero no es el propietario de los datos personales sino son los titulares de los mismos, es decir, nosotros mismos. Creo ha habido un poco mas de concientizacin, de cmo se debe tratar los datos personales. En consecuencia, el que administra los datos personales, ahora tiene el cuidado de dar esta informacin a cualquier persona, incluso a sus autoridades superiores, pese a que nosotros no tenemos una Ley de carcter preventivo donde indique, quin es el responsable, el encargado, las medidas de seguridad que se deben tener para el tratamiento de estos datos, cules son nuestros derechos, entre otros temas. Hoy en da vivimos con las tecnologas de informacin y las comunicaciones (TIC), as como tienen un lado positivo, porque nos facilitan la vida cotidiana, tambin tienen un lado negativo, como puede ser la invasin a la intimidad y privacidad personal y familiar. Pese que no existe en Bolivia una Ley especfica aprobada sobre Mensajes de Datos, Documento Electrnico, Firma Electrnica y/o Comercio Electrnico, existe legislacin dispersa sobre estos temas, por ejemplo en el nuevo Cdigo Tributario, Decreto Supremo del SIGMA, Resoluciones de Directorio del Banco Central de Bolivia que tratan sobre la Firma Electrnica, interpretacin de algunos artculos del Cdigo Civil y el Cdigo de Comercio, entre otras disposiciones. Creer que por el hecho de que no hay una ley especfica, no hay legislacin en Bolivia sobre los temas entes citados, es simplemente taparse los ojos y detener el crecimiento del Comercio Electrnico. NOBOSTI: En su carrera profesional Usted utiliza algn tipo de software o ha escuchado de l? En Bolivia un software para el rea de jurdica

NOBOSTI, vol.0/08

46
lamentablemente no conozco. En otros pases utilizan diferente software para las oficinas jurdicas, las notaras, conocido como Ofimtica Jurdica, que agiliza la gestin del da a da para el profesional abogado (Espaa, Mxico, Argentina, entre otros pases). Existe otro software desarrollado para corregir errores en la redaccin de leyes y/o decretos, evita la redundancia, los vacos legales, las remisiones, contradicciones, creo que es necesario, ya que al haber tenido la experiencia de trabajar en la revisin, redaccin, y socializacin del Proyecto de Ley Documentos, Firmas y Comercio Electrnico (aprobado en grande y en detalle a finales de la gestin 2007 en la H. Cmara de Senadores), a veces no se pueden detectar los errores, aunque leas muchas veces el Proyecto de Ley, ese software ayudara mucho en la elaboracin de estas leyes, por ejemplo. NOBOSTI: Usted cree que el Derecho Informtico es aplicado en Bolivia y si lo es como vamos con este? En Bolivia ya se aplica el Derecho Informtico, aunque hay desconocimiento de su utilidad. Utilizamos las tecnologas todos los das en el trabajo, la universidad, para hacer transacciones (pago con tarjeta de debito, retirar dinero de un cajero automtico, por ejemplo), en la casa. Casos de la vida real se dan con los delitos informticos, como amenazas al celular o correo electrnico realizadas desde un Caf Internet; robo de crdito de tarjetas de celulares con la famosa frase usted a ganado un premio, as que debe ir a comprar 2 tarjetas de 100 Bs.- cada una para ser transferidos el crdito de las mismas a los celulares de los delincuentes; el secuestro de informacin; el robo de informacin, el phishing; que suban a un blog (Sitio Web gratuito) fotografas comprometedoras de nuestra persona sin autorizacin, por ejemplo, entre otros delitos. Por eso es muy importante tomar en cuenta en que mundo vivimos y que estamos sumergidos en la tecnologa (computadora, Internet, celular, televisin digital, agendas electrnica, ipod, etc.), ya que ahora los nios aprenden a utilizar computadoras sin saber leer ni escribir, nacen con la tecnologa. Por eso insisto en decir que ahora estamos viviendo en la denominada Sociedad de la Informacin y del Conocimiento, donde las TIC son parte de nuestra vida, como dice una frase de un informe sobre Brecha Digital de la Unin Internacional de Telecomunicaciones UIT si quieres saber que aportan las tecnologas, trata de vivir sin ellas. NOBOSTI: Cuales seran sus recomendaciones con respecto a este tema? Bueno lo que yo siempre les recomiendo sobre todo a los menores y jvenes, es que cuando entren o utilicen el Chat siempre sepan con quien chatean, porque uno nunca sabe quien esta chateando por al otro lado (hombre, mujer, nio, una persona mayor con malas intensiones), que tengan cuidado con la informacin que dan sobre su persona y fotografas que suben a redes como Facebook, Hi5, entre otras, porque quizs estas fotos les pueden perjudicar maana cuando estn buscando un trabajo. NOBOSTI: Felicidades! y muchas gracias Para mi a sido un gusto compartir este momento con ustedes les deseo xito en su revista.

Ligero e inaccesible, el que sabe no deja huellas; divinamente misterioso, es imperceptible. De este modo es dueo del destino de su enemigo.
SUN TZU

NOBOSTI, vol.0/08

47

Sobre estas lneas se escribe el futuro de su empresa

contactos a info@nobosti.com www.nobosti.com

16

NOBOSTI, vol.0/08

49 EL ARTCULO NOBOSTI
TecnologaPuede apoyar en lugar de aplastar las lenguas originarias?
Por: Amos B. Batto

Sin duda la electrnica moderna y las tecnologas de informacin y comunicacin (TICs) han llevado muchos beneficios a la humanidad en trminos de mejoramientos de productividad y comunicaciones. La televisin, el radio, los reproductores de CDs/DVDs, la computadora, el telfono celular y el internet han enlazado todo el mundo, llevando msica, vdeo, noticias y toda de moda a los ojos y los odos en los rincones ms remotos del planeta.
Estamos deslumbrados por las novedades de la globalizacin de los medios y el crecimiento de las TICs, pero muchas veces no estamos conscientes de los efectos negativos de la tecnologa moderna. A la vez que la tecnologa moderna nos ha conectado al mundo, tambin esta misma tecnologa ha facilitado el reemplazo de lo local por lo global, sirviendo como una fuerza aplastando y desprestigiando la cultura local y la lengua local. El nio andino bombardeado por la msica de Shakira y Mana y las pelculas de Hollywood rpidamente se vuelve pensar que todo lo que viene de afuera es ms importante y ms de moda que lo que viene de su comunidad. En la mente de muchos jvenes, la cultura local y la lengua que expresa esta cultura son concebidas como cosas del pasado que slo sirven para los abuelos. En este contexto lenguas originarias como quechua y aymara son considerados lenguas intiles que no sirven en la modernidad. Estas percepciones negativas hacia lenguas originarias estn reflejadas en las estadsticas del Censo Nacional de 2001 de Bolivia, mostrando un descenso preocupante en el porcentaje de jvenes que habla lenguas originarias. Solo 30,5% de los nios de 5 a 9 aos saben como hablar una lengua originaria, comparado a 76,3% de personas con 65 aos o ms. Bolivia es considerada un foco de diversidad lingstica, conteniendo dos veces ms familias de lenguas que todo el continente de Europa.

Desafortunadamente, muchas de estas lenguas est en riesgo de morir, una situacin ocurriendo en todo el mundo. La prediccin es slo 900 de las 7000 lenguas en el mundo sobrevivirn el siglo actual. La prdida de un lengua significa ms que la prdida de una coleccin de palabras, pero la prdida de los conocimientos, la msica, la danza, la mitologa, la tecnologa, las tradiciones orales, practicas culturales y estilos de vida que fueron expresados en esa lengua. Aunque hay muchas causas de la prdida de lenguas, como la globalizacin de la economa y las migraciones masivas del campo a los centros urbanos, la sobrevivencia de lenguas depende mucho de las actitudes acerca de la lengua, especialmente las actitudes de jvenes que transmiten la lengua al futuro. Hoy en da, la tecnologa influencia mucho las percepciones de jvenes, captando su atencin y su imaginacin. La cuestin es cmo podemos usar el poder de la tecnologa para promover el uso de lenguas originarias en lugar de aplastarlas y desprestigiarlas. A diferencia de tecnologas como el radio y la televisin donde el usuario es pasivo, recibiendo la emisin sin la habilidad de alterarla, la computadora es una tecnologa totalmente configurable, posibilitando que el usuario pueda usarla en cualquier lengua y en cualquier contexto cultural. Adems la computadora y el internet son tecnologas participativas e interactivas, permitiendo el usuario crear su propio contenido en cualquier lengua. Desafortunadamente, la computadora es generalmente controlada por empresas transnacionales que no tiene mucho inters en la promocin de diversidad lingstica ni cultural. Cuesta ms para desarrollar software en lenguas no dominantes, y mucho ms para desarrollar software con interfaces diferentes que reflejan culturas diversas. Por eso, casi todo el software es desarrollado para usar lenguas dominantes que tiene la mayora del mercado. Hablantes de lenguas originarias aprenden que sus lenguas maternas no valen y no son tiles en el mundo

NOBOSTI, vol.0/08

50
futuro porque la tecnologa que determinar sus habilidades de trabajar, comunicar, crear y divertirse en el futuro no funcionar en sus lenguas maternas. Adems, los usuarios de software en todo el mundo son forzados de usar la misma interfaz e iconografa, conformando a los paradigmas culturales de Norteamrica o Europa donde la mayora de software es creado. La iconografa usada en software es basada en la cultura occidental y su simbolismo. Por ejemplo, el icono en un navegador de web para volver a la pgina inicial es un casa de Europa nortea con ventanas de vidrio, techos empinados y un chimenea de ladrillos, pero la mayora del mundo no vive en tal tipo de casa. Una casa tradicional de los Andes tiene un techo ms plano y muros de adobe sin ventanasde hecho, quechua y aymara no tenan palabras para ventana. Un nio andino usando un navegador web es sutilmente entrenado para pensar que su casa no sea adecuada porque la computadora muestra otro tipo de casa. Para disfrutar los beneficios de computacin, el nio andino tiene que aceptar otro simbolismo que desprestigia su cultura local. Como muchas otras formas de globalizacin, la globalizacin de software minimiza la diversidad en nuestro mundo, empujando todos al mismo molde. El software de Microsoft, Adobe, Corel, Oracle y otras empresas transnacionales de software privativo (propietario) facilita la globalizacin y la occidentalizacin de lenguas y culturas, promoviendo un mundo donde no haya mucha diversidad. Afortunadamente, en aos recientes ha alzado una alternativa, conocido como software libre o fuente abierta, que permite a cualquier persona tener acceso al cdigo fuente y cambiarlo. A diferencia de software privativo que trata de forzar que todos conformen a la misma interfaz y el mismo paradigma de uso, software libre est desarrollando una diversidad de interfaces y diferentes formas de usar el software. Por ejemplo, software libre permite la creacin de su propia distribucin o combinacin de sistema operativo, gerente de ventanas y aplicaciones. Segn Distrwatch.com, actualmente existen 533 distribuciones diferentes de GNU/Linux, BSD y otros sistemas operativos relacionados. Cada una es diseada para las metas y los gustos diferentes de sus desarrolladores. Aunque la mayora de estas distribuciones son basadas en culturas occidentales, la tecnologa ha empezado de a adaptar a otras lenguas y culturas. Ahora algunas distribuciones promueven el uso de lenguas originarias como Indux promuevan el uso de las lenguas nativas de India. Tambin, pueden promover culturas diferentes en la manera que Tumix promueva el patrimonio precolombino de Per con imgenes de artefactos de los Chavin y los Incas. Otra distribucin de Per, Condorux, reconoce el patrimonio quechua, nombrando sus versiones con palabras quechuas.

Igualmente, software libre permite el desarrollo de una diversidad de interfaces. En Windows y Mac OS, hay solo un tipo de escritorio, pero en XWindows, existen 23 diferentes gerentes de ventanas, permitiendo muchas diferentes formas de GUI (interfaz grfica del usuario). Aplicaciones tambin muestra esta diversidad de interfaces en software libre. Aunque la mayora de usuarios de OpenOffice utiliza la interfaz desarrollado por SUN, IBM ha aadido su propia interfaz basado en Eclipse y el gobierno de China est desarrollando otra interfaz diseada para la lengua china. ARTICULO PROPORCIONADO POR: Amos B. Batto es el cofundador de Runasimipi.org, un grupo que ha traducido AbiWord en quechua y aymara y desarrollado un corrector ortogrfico de quechua.

Lo que se llama conocimiento previo, no puede obtenerse a partir de los espritus, ni de dioses, ni por analoga con hechos pasados, ni por clculos. Debe obtenerse de hombres que conocen la situacin del enemigo. SUN TZU

NOBOSTI, vol.0/08

51 INFORME DE LA INTERPOL EN EL CASO DE LAS PORTTILES DE LAS FARC EN COLOMBIA

Por: MSc. Ing. Guido Rosales Uriona

Introduccin: Al leer el informe presentado por Interpol, surgen muchas dudas e interrogantes sobre el caso, el procedimiento, las conclusiones. Debemos entender que se fusionan varias aspectos: tcnicos, legales y hasta polticos. Mi intensin es expresar una opinin personal basado en el conocimiento y experiencia en el campo de la informtica forense y de una manera ms general, en el campo de los sistemas de informacin. Anlisis del Informe Entre las recomendaciones de Interpol se indica que las Fuerzas del Orden deben prepararse y capacitarse para encarar situaciones relacionadas con Tecnologas de Informacion. Esta conclusin asume que la manipulacin inicial de las pruebas instrumentales o como ha sido denominado el acceso a estas fue ocasionado por la premura de tiempo y el desconocimiento de los procedimientos bsicos de informtica forense. Pero seamos MAS ESEPTICOS con esta conclusin y bajo la prctica del Abogado del diablo trabajemos la hiptesis contraria a la que expone Interpol. Los funcionarios de la unidad antiterrorista dominan las tcnicas anti forenses y manipularon los datos a nivel hexadecimal, encendiendo posteriormente los dispositivos y accediendo a las unidades de almacenamiento para borrar las huellas y cubrir los rastros Bajo esta posicin podemos analizar el informe con otro enfoque: Veamos algunos puntos: El informe publicado por INTERPOL en fecha 15 de mayo y que est disponible en su sitio oficial http://www.interpol.int/ presenta algunos aspectos importantes a considerar. 1.Dice que se encontraron 609 Gb de datos, sin embargo no indica la capacidad de almacenamiento exacta de las 8 pruebas

instrumentales (3 porttiles, 2 discos duros externos y 3 memorias flash). Si asumimos que los 609 Gb son el total de la capacidad de almacenamiento surge la interrogante siguiente: Estaban al tope de capacidad? Y si vamos por el otro lado, los 609Gb son espacio ocupado, tambin surge otra interrogante Qu informacin existe en el espacio no utilizado? Se habr procedido a la recuperacin de archivos borrados? 2.El informe es muy puntual y exacto en citar cuantos archivos han sido creados, abiertos, modificados o suprimidos. En todas las pruebas instrumentales se hace esta puntualizacin y tambin se concluye que en total son 48.055 archivos que evidentemente es una suma exacta por prueba instrumental. Si el informe precisa estos datos, porque no es tan puntual en citar cuantos archivos son de sistema, cuntos son de usuario, cuanto espacio estaba ocupado, cuanto espacio estaba libre, etc?. Ahora si existe tal cantidad con fechas modificadas, Cmo pueden asegurar que entre esos archivos no existen algunos que fueron modificados manualmente? Se est tomando las fechas como dato de referencia para ver cuantos archivos fueron modificados, pero se debe tambin entender que se pudo modificar el reloj del computador o algo mejor, hacer una edicin hexadecimal para modificarlos. 3.En los archivos de las porttiles se puede entender la cantidad de archivos de sistema creados, modificados, suprimidos y abiertos, lo que representa dudas es por ejemplo en los discos duros externos (Pruebas N30 y N 31)

NOBOSTI, vol.0/08

continua pag. 57

52 ETAPAS DE LA
Por: Msc. Ing. Guido Rosales Uriona

INVESTIGACIN CRIMINAL

Caracteristicas de un crimen electrnico

Antes de comenzar con la investigacin criminal debemos analizar la secuencia tpica de un ataque informtico o del uso de un medio electrnico para la comisin de un delito.
Estos pasos son generales, entonces no necesaria y nicamente encontraremos pistas en el dispositivo afectado o utilizado, el atacante ha tenido que colectar la informacin y bajo el principio de elocard ha dejado huellas electrnicas que debemos encontrar, cada caso es peculiar, segn el atacante. Por supuesto, que debemos tomar en cuenta la naturaleza e intelecto del atacante que puede haber utilizado tcnicas Anti Forenses (Trmino utilizado a las propiedades del Borrado Seguro demostradas en 1996 por el Dr. Guttman) en cuyo caso estaremos frente a un atacante o perpetrador del hecho muy sofisticado que si bien minimiza la posibilidad de encontrar rastros, tambin limita en sentido positivo el espectro de posibles atacantes, dado el conocimiento y las tcnicas utilizadas.

que en el mbito virtual, que puede representar la mayor complejidad, cerrada en el mbito fsico, pero abierta en el campo virtual. Cuando se sospecha o se tiene certeza de la ocurrencia de un hecho anormal, se debe bloquear el uso y acceso a todos los dispositivos, medios electrnicos, magnticos u pticos que puedan estar comprometidos. Si en una escena fsica se procede con el acordonamiento del lugar, en casos de escenas que comprendan computadores, se debe tomar en cuenta que estos pueden estar conectados a redes de computadores, por ello se deber aislar de la forma ms eficiente. Consideremos por ejemplo una oficina, fcilmente podemos deducir que un escritorio puede contener algunos, o todos los dispositivos siguientes: Un Computador personal, de escritorio o mvil, un celular, una agenda electrnica, una o varias Memorias flash, CDs o DVDs, diskettes, una impresora, un telfono / Fax que puede tener memoria de grabacin, Dispositivos USB, por ejemplo infrarrojos, Bluethoot, greles, etc. En caso de que se vea en pantalla algo que podra perderse si el computador es apagado, se recomendar redactar un acta, donde se exponga lo que se tena en pantalla. Este procedimiento debe ser muy rpido, dado que es mayor el peligro de una conexin por red que est con la potencialidad de borrar todos los datos del disco duro. En caso de un incidente informtico perpetrado desde fuera o desde la red interna se mantiene latente la posibilidad de acciones del atacante. Una de las mejores maneras de aislar la escena electrnica del hecho: es quitar la alimentacin de forma inmediata. En caso de computadores personales se quitar la energa elctrica sin apagar, va sistema operativo. En caso de un computador portable se apagar removiendo la batera o en su defecto por el botn de energa. Se debe tomar en

ETAPA 1: Proteccin de escena de hecho

Una escena del hecho o del crimen es caracterizada frecuentemente con un espacio fsico delimitado de alguna manera, por paredes, por un rea ms extensa o simplemente delimitadas por el suelo. En funcin de estas caractersticas, se dice, que la escena es cerrada, abierta o mixta. Un componente electrnico puede hallarse en cualquiera de estas escenas; cuando se encuentra en escena abierta, se puede asumir que el dispositivo electrnico se halla en una escena virtual cerrada. Con esa misma lgica de los opuestos complementarios, cuando la escena fsica es cerrada por ejemplo, delimitada por un edificio u oficina, se puede presumir que la escena virtual ser abierta o mixta en el entendido que existirn redes de computacin. Entonces trabajemos por ejemplo, sobre la escena

NOBOSTI, vol.0/08

53
cuenta que lo que se llega a perder, es poco comparado con la proteccin que se logra. Tambin se debe tomar en cuenta que, por el principio de administracin de memoria RAM, gran parte de lo que existe en ella est tambin en el disco duro, en espacio de memoria virtual. Si la persona que tiene contacto inicial con la escena del crimen, puede llamar a los especialistas o en este caso a los investigadores de la FELCC, entonces solo deber efectuar la Etapa 1. En caso de no existir la posibilidad de llegada en un tiempo corto, deber efectuar los pasos siguientes por su cuenta. Importante.- La escena del hecho electrnica es dem a la fsica en los cuidados requeridos, no se le ocurra navegar, prender o apagar los dispositivos dado que estara contaminando las evidencias. Tome en cuenta que con el solo hecho de conectar una memoria flash por ejemplo, podra introducir un virus que modificara la escena del crimen introduciendo elementos forneos al hecho, cambiando fechas, modificando archivos, borrando huellas, etc. No se puede predecir las acciones que un virus puede ejecutar en cuestin de segundos. Cerrado PCs sin conexin a redes Abierto PCs con conexion a Internet va ISP M i x t o P C S e n L A N / M A N / WA N . Principio de e-Locard: Todo dispositivo en comunicacin con otro, deja huella binaria (Es una modificacin al principio bsico que se me ocurri para encontrar un analoga). Este principio nos obligar a no descartar ningn dispositivo que tenga capacidad de almacenamiento. Dado que a simple vista no podemos concluir; al respecto, debemos considerar todos los dispositivos electrnicos como fuente posible de evidencia digital. Se aplica el principio de pecar por exageracin que lamentar lo contrario. Considere que hoy en da generalmente tenemos escenas mixtas o abiertas. Tambin considere que por precaucin un delincuente avanzado no colocara su evidencia en su propio computador, entonces es importantes que al momento de revisar la escena trate de evaluar las conexiones directas que puedan existir, sino le tocara levantar evidencia posteriormente cuando establezca la relacin del tringulo del crimen.

ETAPA 2: Evaluacin de la escena del hecho

Esta etapa consiste en tomar conocimiento del hecho ocurrido, el jefe de grupo o uno de los investigadores o personal interno a la empresa, debe realizar la observacin de la escena y decidir acerca de la presencia de los peritos o especialistas que deben participar en la investigacin y planificar el procedimiento a seguir. La inspeccin debe absorber toda la informacin indiciaria y asociativa al hecho sucedido: Anlisis de esquemas de conexin: Se deber determinar si existen medios visibles que indiquen presencia de redes de computadores como cables de red, conexin a lnea telefnica o dispositivos wireless externos. Determinacin de los dispositivos y medios comprometidos: Se debe observar qu existe en el lugar que pueda contener evidencia digital. Determinacin del escenario: La escena del hecho tiene mucha similitud virtual en su determinacin con la escena del hecho fsica. Si en la escena fsica esta determinada por los componentes: piso, pared y techo. En la escena virtual tiene que ver con la propiedad del medio fsico o canal por el cual se transmiten los datos.

ETAPA 3: Fijacin de ka escena del hecho

Todo proceso de investigacin requiere de un registro confiable del o de los hechos producidos, plasmados de una manera ms adecuada en un acta, con todas las formalidades de rigor; de forma tal, que permita el estudio posterior, la reconstruccin en una poca alejada de la ocurrencia o utilizarla en un proceso judicial. Narracin y Fijacin con fotografa o videograbacin. Procure que el medio a utilizar sea en un formato estandar: MP3 por ejemplo. Sealctica: Utilice la ubicacin de seas numeradas que nos permitan reconstruir con exactitud la ubicacin fsica de cada objeto, con detalle de la cantidad de evidencias colectadas. Considere que la capacidad de memoria de los dispositivos electrnicos no depende de su tamao, con el adelanto actual, una memoria muy pequea puede tener ms memoria que varios Discos compactos. Fijacin planimtrica, en sus formas de planta o abatimiento. Utilice la forma de croquis de red a mano alzada para identificar los posibles puntos. Para hacer el relevamiento se puede utilizar el esquema de cuadrantes donde podremos ubicar

NOBOSTI, vol.0/08

54
cada dispositivo en un cuadrante especfico. Cuadrante I: Servidor marca Compac Serial 456789123 Cuadrante II: PC con IP 192.168.01, 192.168.002 y HUB con serial 123456789 Cuadrante III: PC con IP 192.168.03, 192.168.004 Cuadrante IV: HUB serial 789456789, MODEM serial 78978797, firewall marca PIX serial 7897879777, MODEM ADSL serial 78945611212 Video grabacin de la disposicin de los dispositivos y medios. Por ejemplo la grabacin podra decir. jueves 25, horas 09:45, escritorio de Juan Prez, se encuentra un CD serial 123, una mquina porttil marca Compac, que se encontraba apagada, etc. Identificacin de planos elctricos y datos. Cableado o dispositivos inalmbricos En este punto se recomienda validar mediante la observacin el cableado existente y registrarlo en actas. Se debe asumir que muchas veces no se ve la presencia de conexiones wireless, entonces, no se pude afirmar su existencia o ausencia. Etiquete los cables segn el dispositivo al que pertenecen. Conforme haga el barrido cubra con cinta de embalaje todos los puertos, disketeras y unidades de discos. Procure utilizar algo similar al lacrado, por ejemplo utilice papel con su firma como sello, recubierto con cinta de embalaje transparente. Etiquete los puertos no utilizados como tal, si separa un dispositivo perifrico identifique los cables conectados y el puerto para poder reconstruir la conexin existente.

ETAPA 4: Rastreo de evidencias o indicios

Concluida la etapa de las fijaciones que nos impedan tocar la escena, en esta fase, podemos alterar la escena del hecho en busca de las evidencias o algn rastro, mover todo tipo de objetos en busca de huellas digitales o de indicios de otro tipo. Y en ese caso volver a fotografiar mediante sealctica los nuevos descubrimientos, utilizando diferentes mtodos: Mtodo espiral, cuadrantes, triangulacin, etc. Los dispositivos fsicos y medios removibles se rastrean siguiendo los mtodos tradicionales. En funcin de los esquemas de red o croquis se rastrean los elementos remotos o lgicos, se consideran: datos, aplicaciones, tecnologa, gente e infraestructura. En funcin de la Topologa se va identificando los elementos que deben ser tomados en cuenta como fuente de evidencia digital. En escenas mixtas y abiertas se entender que esta etapa requiere de ms personas y especialistas, dada la complejidad de entornos informticos y redes actuales.

SITUACIN 1:
Si encuentra que existen en la escena varios computadores, se puede suponer que existe una red de computadores, en ese caso, debe procurar la presencia de un especialista en informtica forense dado que el alcance de la escena puede comprender muchos sitios geogrficamente distantes.

SITUACIN 2:
El computador est encendido y el monitor presenta algo en pantalla. Entonces, tome fotografas o efecte un croquis a mano alzada de lo que se ve en el monitor, procure tener un testigo adicional.

ETAPA 5: Reconocimiento del dispositivo comprometido

Se debe tomar en cuenta que los delitos informticos o los delitos comunes que involucran dispositivos electrnicos como medio o fin, pueden involucrar un sin fin de elementos, entonces se torna complejo determinar cual fue el objetivo principal, asumiendo teoras como la Estrategia del TERO (ave que cacarea en lugar distinto al que puso sus huevos) que sugiere la posibilidad de estar enfocado en un punto cuando en realidad la gravedad radica en otro. Examen del activo afectado: Un sistema, un dispositivo, un medio removible. Algo que inicialmente pueda ser identificado como hardware y posteriormente en su software si aplica.

SITUACIN 3:
El computador est encendido, pero el monitor est con pantalla de descanso. Entonces tome fotografas, luego mueva levemente el Mouse. Si aparece la pantalla pidiendo la clave fije la instancia con fotografa o en el acta, pero no efectu otro movimiento o tecleo de alguna clave, procure tener un testigo adicional.

NOBOSTI, vol.0/08

55
Por ejemplo, si el ataque se ha producido sobre los datos de un sistema, fsicamente tendremos el servidor, pero lgicamente se compromete la base de datos. Ahora el ataque puede ser va sistema, entonces se compromete el aplicativo mismo o directamente sobre la base de datos donde se compromete cada una de las tablas que hacen la Base misma. Los indicios y/o evidencias que se recolecten de la escena del hecho, se transportan hasta los ambientes predefinidos puede ser la oficina de auditoria interna, los laboratorios del Instituto de Investigacin Forense, ambientes de la Fiscalia u otros. Siempre apuntando la lista en el cuaderno de Investigaciones, bajo constancia en Acta, con la firma de todos los participantes y un testigo de actuacin. En este punto se debe considerar que al no existir las garantas de traslado, se podr pedir el anticipo de prueba, amparados en el Cdigo de Procedimiento Penal. Tome en cuenta el riesgo de traslado, sobre todo con evidencias con componentes mecnicos que pueden dessincronizarce como en el caso de los Discos Duros. Sea escptico y si alguna vez ha odo sobre la ley de Murphy, tmela en cuenta. Se recomienda tomar en cuenta lo siguiente: Colecta de todos los medios mviles y removibles, tomando en cuenta su rol en el esquema tecnolgico. Levantamiento de actas escritas, grabadas y/o filmadas. Fijacin de nmeros seriales y dems caractersticas. Busque el nmero serial de cada objeto, todos lo tienen, sino marque con un nmero y firme sobre el objeto utilizando en lo posible marcador indeleble. Pero cuide de dejar constancia de la marca en el acta del levantamiento. IMPORTANTE: No se le ocurra prender un dispositivo del lugar del hecho para elaborar su acta de colecta.

ETAPA 6: Primera hiptesis del crimen

Con las etapas anteriormente concluidas el investigador podr elaborar su primera hiptesis criminalstica, que le permitir definir si se han cubierto todos los posibles indicios o evidencias. Pueden formularse las siguientes preguntas tpicas: Quin? : empleado, proveedor, cliente, un hacker Qu?: manipulacin, acceso indebido, virus, falla tcnica Dnde?: al servidor, a la BD, al email Cmo?: exploit, virus, troyano, acceso directo, superusuario Cundo?: horas, das, semanas, meses, aos Por qu?: venganza, robo, lucro, sabotaje Con qu?: local, remoto, algo fsico Formulacin de Hiptesis Con las respuestas iniciales debe formular su primera hiptesis, para dar por concluida la etapa de colecta de revisin de la escena del hecho. El ataque fue realizado por un usuario interno con privilegio de administrador que utilizando una conexin remota va ftp accedi a

ETAPA 8: Cadena de custodio

La cadena de Custodio es el mecanismo que garantiza la autenticidad de los elementos probatorios recolectados y examinados. Esto significa, que las pruebas correspondan al caso investigado sin que se d lugar a confusin, adulteracin, prdida, ni sustraccin alguna. Por lo tanto, todo funcionario que participe en el proceso de Cadena de Custodio debe velar por la seguridad, integridad y preservacin de dichos elementos. Es un procedimiento de seguridad, para garantizar que el perito criminalstico reciba del investigador especial y/o fiscal, los elementos de prueba en el mismo estado en que fueron colectados en el lugar del hecho, igualmente que sean devueltos al investigador en la misma situacin, que al ser presentados ante el tribunal se pueda comprobar su autenticidad y no existan dudas sobre la misma. Conforme lo dispuesto en el Art. 295 del CPP. Toda transferencia de custodia debe quedar consignada en las hojas del registro de la Cadena de Custodio,

ETAPA 7: Colecta de embalaje de evidencias

Antes de comenzar con esta etapa cuide de tener los elementos necesarios, no utilice como material de empaque documentos o material de la misma escena del hecho, procure llegar con su propio material: bolsas antiestticas, sobres antihumedad, cajas de cartn, etc. Sino vaya y bsquelas, con seguridad si es un da laboral podr encontrar en los puntos de venta de computadores todo el material de embalaje necesario. Si bien las guas del FBI recomiendan contar con dispositivos super confiables y super caros, puede dotarse de elementos que basados en el principio fsico de la evidencia digital, no tienen mucha dependencia con la marca o calidad.

NOBOSTI, vol.0/08

56
indicando: fecha, hora, nombre y firma de quin recibe y de quin entrega. La naturaleza de los medios de almacenamiento digital, corren el riesgo de cambiar su estado o sufrir daos de transporte y conservacin, debiendo la Fiscalia proveer las medidas para garantizar su permanencia en el tiempo. CPP: Artculo 307. (Anticipo de prueba). Cuando sea necesario practicar un reconocimiento, registro, reconstruccin o pericia, que por su naturaleza o caractersticas se consideren como actos definitivos e irreproducibles, o cuando deba recibirse una declaracin que, por algn obstculo, se presuma que no podr producirse durante el juicio, el fiscal o cualquiera de las partes podrn pedir al juez que realice estos actos. El juez practicar el acto, si lo considera admisible, citando a todas las partes, las que tendrn derecho a participar con las facultades y obligaciones previstas en este Cdigo. Si el juez rechaza el pedido, se podr acudir directamente al tribunal de apelacin, quien deber resolver dentro de las veinticuatro horas de recibida la solicitud, ordenando la realizacin del acto, si lo considera admisible, sin recurso ulterior. En casos de evidencia digital, se recomienda que cuando no exista la posibilidad de garantizar un ambiente de conservacin adecuado, la Fiscalia apoyada en el artculo 307, del c.p.p., puede generar medidas que garanticen la permanencia inalterable de la evidencia digital. Ya los peritos de parte, podrn ponerse de acuerdo en los medios a utilizar para garantizar el Anticipo de prueba, segn el caso. Considere la proteccin de traslado tomando en cuenta las condiciones ambientales como humedad, temperatura, exposicin prolongada a vibracin.

Ser invencible depende de mi mismo. La vulnerabilidad del enemigo depende de l. La posibilidad de ser invencible se funda en la defensa, la posibilidad de la victoria en el ataque.
SUN TZU

NOBOSTI, vol.0/08

viene de la pag. 51
reloj del computador o algo mejor, hacer una edicin hexadecimal para modificarlos. 3.En los archivos de las porttiles se puede entender la cantidad de archivos de sistema creados, modificados, suprimidos y abiertos, lo que representa dudas es por ejemplo en los discos duros externos (Pruebas N30 y N 31) por qu existe tal cantidad de archivos?. En uno son 11579 archivos abiertos y en el otro 13. 366 y tampoco se indica cuantos son exactamente archivos de usuario y cuantos de sistema. 4.En el informe no se menciona si el anlisis tcnico ha considerado la edicin hexadecimal, solo se toma las modificaciones que pudieron hacerse desde sistema operativo. Consideremos que una edicin hexadecimal puede alterar el contenido de los archivos sin modificar las fechas y se puede hacer cambio de cadenas sobre todo el disco en un tiempo breve. 5.Se tiene alrededor de 4000 archivos con fechas futuras, ao 2009 y ao 2010. Segn la Conclusin de Interpol, simplemente estos archivos NO deberan ser tomados en cuenta para el anlisis. Pero esta es una conclusin inconcebible, en realidad encontrar archivos con fechas futuras cuestiona TODAS las fechas. Entendamos que la autenticidad de una prueba recae entre otras cosas en su directa relacin con los hechos investigados. Sabemos que la fecha de un archivo o lo que comnmente se llama metadata puede ser modificada de varias formas: manualmente o cambiando la fecha al computador no se podra concluir que simplemente debe excluirse del anlisis esos archivos. 6.Utiliza aspectos propios de la sealizacin de pruebas, claramente indica la existencia de 8 pruebas instrumentales, pero en el mismo informe tiene imgenes donde se puede apreciar lo siguiente a.Como se observa en la imagen de la derecha se ven 9 pruebas instrumentales, la prueba 29 aparentemente una memoria electrnica, es presentada en el conjunto de pruebas, sin embargo no se realiza un anlisis de la misma y tampoco existen conclusiones. Cul la intencin de presentar 9 pruebas pero solo concluir sobre 8? b.Como se puede apreciar tomando las dos imgenes del informe, la prueba sealada con el N 32 en una de las imgenes y en todo el documento corresponde a una memoria flash tipo U3 de color negro, pero en a)Entre el 1 y 3 de marzo tenemos alrededor de 72 horas. Si tenemos 609Gb en cuestin y utilizamos herramientas forenses bsicas y open source como HELIX, podemos decir que tardaramos alrededor de 609 minutos haciendo una imagen a razn de 1 Gb por minuto, eso nos da alrededor de 10 horas, si adems sacamos la imagen, podemos incrementar el tiempo en un 50% lo que nos da alrededor de 15 horas en total, pero en forma separada no ms de 3 horas por prueba instrumental. Si consideramos que contar con un laboratorio con instrumentos forenses adecuados, el tiempo se reduce fcilmente en un 50% lo que nos deja alrededor de 7 u 8 horas en total y menos 2 horas por prueba instrumental. Efectuar este procedimiento en ese tiempo es excesivo? El tema de Ral Reyes lleva aos. El Gobierno Colombiano ha mencionado una recompensa de 2,5 millones de dlares. El costo de un laboratorio forense apropiado que no excede los 30.000$US es una limitante? Conclusiones: El informe es incompleto en exceso. Tiene una visin ms poltica que tcnica dadas las imprecisiones. Mas parece un informe mutilado, hay elementos que dicen sobre su falta de integridad .Parece que trata de encubrir errores procedimentales determinantes y finalmente NO ES IMPARCIAL. Se asemeja a la Pericia de Parte , considerando que se manejan verdades a medias. Seria importante conocer la posicin de los colegas abogados sobre el marco legal violentado. Sin embargo el informe muestra elementos por ejemplo sobre la sealectica muy destacables y en general muestra que el Gobierno Colombiano est avanzando en este tema. Algo que debemos reclamar a nuestras autoridades en casos que estn pendientes relacionados con Computadores y evidencia digital. Uno ocurri ya hace casi un ao y el otro hace un par de meses. Esperemos los comentarios para seguir investigando. otra imagen, la prueba sealada con el numero 32 corresponde a una memoria Kingston color blanco. Por qu las imgenes presentan pruebas instrumentales sealizadas con diferentes nmeros? Es un simple error de numeracin? O que paso? 3.- El Informe textualmente dice: En las operaciones policiales que se efectan en todo el mundo es corriente que las primeras unidades policiales que llegan al lugar de los hechos accedan directamente a las pruebas electrnicas decomisadas en lugar de hacerles copias protegidas contra la escritura. En particular, las unidades antiterroristas consideran que hay que obtener y analizar las pruebas inmediatamente para evitar el prximo atentado De acuerdo a las fotografas presentadas en el mismo informe, los dispositivos fueron trasladados del campamento de las FARC y los mismos dispositivos fueron encendidos y apagados en diferentes momentos de tiempo hasta su entrega al DIJIN (Polica Colombiana) en fecha 3 de marzo. Surgen las siguientes dudas

57

NOBOSTI, vol.0/08

58

Formulario de suscripciones
Datos del suscriptor
Nombre:......................................................... C. I./NIT....................................................

Institucin:..................................................................................................................................... Profesin:....................................................... Telfono:........................................................ E-mail:....................................................... Fax:............................................................

Direccin:...................................................................................................................................... Ciudad:......................................................... Provincia/Estado:.............................................

Pas:................................................................................................................................................ Adjunto cheque No.: del Banco: por la cantidad de: ----------------------------------------------------------------------------------------------------------------------------

Enviar cheque a nombre de NOBOSTI SRL en sobre cerrado remitido a Claudia Araujo M Para suscribirse usted tambin puede realizar un depsito en la Cta. del Banco Nacional de Bolivia y enviarnos por fax el depsito y el formulario, o acercarse a nuestras oficinas para pago en efectivo. Las suscripciones institucionales tienen precios diferenciados segn su naturaleza. Contctenos para ms informacin a: e-mail: info@nobosti.com ARTICULOS, PUBLICIDAD E INVITACIONES Para todo articulo (opinin, entrevista, evento, sociales o cualquier actividad) deber contactar a Vladimir Murillo o Mariela Bellot vemurillo@nobosti.com y manunez@nobosti.com respectivamente.

Ejemplar suelto La Paz Resto del Pas Exterior

NOBOSTI, vol.0/08

Anual (tres nmeros) 20 45 400

10 20 150

El precio cubre la distribucin va courrier

Av. Arce N 2105, Edificio Venus 5A, Tel.: (591 2) 2152273 Fax: (591 2) 2440985, Casilla Postal 7266 La Paz - Bolivia

www.nobosti.com

NOBOSTI, vol.0/08

16

NOBOSTI, vol.0/08