Ante la práctica ilegal de lucrar con información sensible de personas físicas y morales, los ciberdelicuentes enfocan su atención al robo y espionaje digital, con inyecciones de consultas a las bases datos, peticiones a los servidores y configuraciones del sistema en modalidad remota, mediante la programación con técnicas de exploit y fuerza bruta, que le permiten violar los mecanismos de seguridad de sistemas, aplicaciones, plataformas y páginas web, sin consentimiento del que pueda resultar perjudicado.
Otra forma menos intrusiva pero igual de invasiva, son las técnicas de “ingeniería social” (phishing, vhising y pharming) que engañan y manipulan a las personas hasta obtener la información con páginas, enlaces y mensajes fraudulentos.
También existen las estrategias sociales que se enfocan en la recuperación de computadoras de escritorio y portátiles, tabletas, smartphone y demás dispositivos inteligentes, que son desechados en los contenedores de basura, por deterioro físico en la pila, pantalla, teclas táctiles, conexiones de USB y entradas de audio, o por considerarlos desactualizados; representando un alto riesgo a la privacidad debido a que son ‘tirados’ con información sensible, almacenada en las memoria del dispositivo y en las extraíbles, ocurriendo el mismo fenómeno en los equipos extraviados, o retirados por asalto con menoscabo a su integridad física.
Incluso, en búsqueda de mayores oportunidades, los intrusos dirigen sus esfuerzos en la restauración de los dispositivos declarados "con daño irremediable y mutilados" empleando técnicas forenses.
Aunado al panorama anterior, se considera el robo de datos con USB y memorias extraíbles, que se ingresan a los ordenadores o servidores mediante el engaño o descuido del usuario; y por último, la concesión voluntaria a terceros, convirtiéndola en el delito más invasivo por ser una acción dirigida con un propósito específico.
Como se presenta, hay diversas opciones de ataque que elevan el nivel de riesgo, causando afectaciones de índole financiero y operativo con impacto en la credibilidad y prestigio de las organizaciones, perdiendo en segundos el posicionamiento de la marca ante los consumidores; y a nivel personal dañan la economía familiar y salud pisco-emocional del individuo dejando una sensación de miedo y frustración.
Por lo tanto, mientras el delincuente obtenga un beneficio del perjuicio de alguien a causa-efecto de una invasión de seguridad, seguirá perfeccionando técnicas y estrategias para obtener mayor información en menor tiempo y con menos recursos, formando parte de las estadísticas de ataques, con montos totales y víctimas inherentes; es por ello que cuidar de la protección de la información se ha convertido en un deber tripartito, en el que participan: Organizaciones, Industrias TI y Personas; sin embargo, los esfuerzos se ven disminuidos cuando el factor humano es el elemento que fortalece las vulnerabilidades y amenazas de seguridad informática.
Por lo tanto, la importancia de incorporar en los modelos sociales y de negocios las guías de ciberseguridad y protocolos de actuación, obedece a la concientización de incluir en los procesos de mejora continua la Cultura de Seguridad para el correcto uso y manejo de dispositivos e información, compartiendo a continuación, algunas acciones:
Gestión de Contraseñas, métodos de autenticación y capas de seguridad.
Gestión de redes, servidores locales y remotos, y servicios web.
Gestión de bases de datos, archivos y documentos (local y Nube)
Gestión de Navegación en ambiente WEB.
Gestión de correos electrónicos y archivos adjuntos.
Gestión de aplicaciones, plataformas y programas.
Gestión de formateo y restauración de sistemas de arranque y configuraciones iniciales.
Gestión de datos personales de las bases de datos cumplido el plazo de prescripción legal
Gestión de Destrucción y/o reciclaje de las unidades de almacenamiento de disco duro interno y externo, incluyendo también a las tarjetas extraíbles SIM, SD y USB, los dispositivos CD, DVD, BLU RAY y DAT;
Gestión de Reducción, Reciclaje y Reutilización (RRR) de los equipos de cómputo, tabletas, celulares y dispositivos electrónicos con información digital en unidades de memoria.
Para mayor información y soporte en la implementación de un Sistema de Gestión de la Seguridad de la Información se facilita en este mismo sitio https://www.orcamx.mx/documentos
Norma ISO 27001. Gestión de la Seguridad de la Información
Ciber Guía de la Secretaría de Seguridad y Protección Ciudadana, gobierno de México
Guía de Ciberseguridad del Instituto Nacional de Ciberseguridad y Oficina de Seguridad del Internauta, de España.
En el contexto jurídico, se hace referencia al derecho del individuo regulado por la Constitución Política de los Estados Unidos Mexicanos (DOF 17-05-2021): “sobre la protección de los datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley (Art. 16-2)”.
Asimismo, a la responsabilidad que tienen los administradores de negocio y de tecnologías, en el amparo de nuestras garantías en la protección de datos y privacidad de la información escrita o digital, regulada por Ley Federal de Protección de Datos Personales en Posesión de los Particulares (DOF 05072010), en los artículos 7°, 9°, 11°, 19°, 20°, 21° del capítulo II y la sanción correspondiente en el Cap. XI Art. 67, se sugiere ver la publicación “La destrucción de la Información, protege mi privacidad” (https://www.orcamx.mx/)
Y en los términos de resolución judicial, bajo el derecho del individuo al Código Nacional de Procedimientos penales (DOF 19-02-2021), para los casos de extracción de información de documentos, archivos de texto, audio, imagen o video contenidos en cualquier dispositivo electrónico, incluyendo la almacenada en las plataformas digitales o remotas (Cap.II, Art. 291), partiendo del Código Penal Federal (Título 9° Cap.II, Art. 211 bis 1)- Acceso ilícito a sistemas y equipos de informática. Al que sin autorización conozca copia, modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán sanciones de 3 meses a 2 años de prisión y mutas de 50 a 300 días multa.
Con lo anterior, quedan expuestos los riesgos y controles tecnológicos, regulados por ordenamientos jurídicos.
Carolina Ortega
Impulsora de la simbiosis entre el Derecho y las TIC´s
06/agosto/2022
Comentarios