MODELO SKRAM

JUAN CAMILO CARREÑO BELEÑO

INSTITUTO UNIVERSITARIO DE LA PAZ UNIPAZ

BARRANCABERMEJA
2021
IDENTIFICACIÓN DEL DELITO Y EL DELINCUENTE

Caso resuelto phishing a Bancolombia

“Las quejas de los clientes de Bancolombia que utilizan sus servicios en línea han
crecido como la espuma en los últimos meses. El banco, que cuenta con alrededor
de 1,5 millones de usuarios de su sitio web (de los cerca de 7 millones de clientes
en total), ha sido en el país uno de los principales blancos de fraudes electrónicos,
como los ataques de phishing (suplantación en mensajes de correo y sitios web
para obtener contraseñas y otra información de las víctimas, y robarlas).
Durante años, las historias de clientes del banco a los que los delincuentes en línea
les desocuparon sus cuentas han sido frecuentes, en algunos casos acompañadas
con un final relativamente feliz (que el banco les haya retornado sus fondos) y en
otros, con la queja de que la entidad financiera decidió echarle la culpa al cliente de
dejarse robar y no asumió su parte de responsabilidad de los hechos. En ambos
casos, la historia tiene 2 víctimas, el banco y su cliente.”
Se planteó el modelo en el que los ataques e incidentes informáticos son planeados
y ejecutados por individuos que poseen:

● HABILIDADES
● CONOCIMIENTOS
● RECURSOS
● MOTIVACIÓN
● AUTORIDAD

Es por lo anterior que surgieron los componentes del modelo SKRAM, los cuales se
presentan como:

1. Skills > habilidades

El primer componente del modelo SKRAM, las habilidades se refiere a aptitud de un

sospechoso con las computadoras y la tecnología. Para determinar el nivel de
competencia de un sospechoso y sus habilidades, un investigador puede comenzar
por el examen de experiencia laboral de dicho sospechoso. Normalmente, son
competentes en el uso de computadoras para cometer delitos informáticos. Cuentan
con capacitación técnica en la creación de redes, conocimientos de hardware,
paquetes de software, sistemas operativos, sistemas de seguridad, el desarrollo de
software, bases de datos y administración de sistemas, son áreas clave que deben
ser examinados por un investigador.

2. Knowledge > conocimiento

El conocimiento a primera vista se parece mucho a las habilidades. A diferencia de

las habilidades, el conocimiento es una medida más general de las habilidades
específicas adquiridas por un sospechoso y que le son fundamentales para
perpetrar el ataque informático en cuestión.
El conocimiento incluye la capacidad de un sospechoso de planear y predecir las
acciones de sus víctimas, su objetivo es la infraestructura computacional y un
conocimiento firme de lo que buscan. Los investigadores deben tratar de identificar
quién tiene el cuerpo de conocimientos específicos para llevar a cabo el delito
informático que se investiga.
3. Resources > recursos

Un sospechoso calificado y conocedor es incapaz de cometer un delito si no posee

los recursos necesarios. Los recursos incluyen tanto los componentes físicos, así
como los contactos que el sospechoso tiene a su disposición. Al examinar los
recursos de un sospechoso, los investigadores no debemos pasar por alto los
socios comerciales de un sospechoso, sus membresía a clubes y la red de amigos
si pueden ser identificados.

4. Authority > autoridad

La autoridad es una medida de acceso del sospechoso y le ayuda a ejercer control

sobre la información necesaria para cometer un delito. Un sospechoso puede ser el
administrador de información vital, como los archivos de contraseñas y por lo tanto
tienen fácil acceso para cometer un delito usando esa información. Los
investigadores deben determinar la relación de un sospechoso con los datos
necesarios para llevar a cabo un delito informático.

5. Motivation > motivación

Todos los conocimientos técnicos en el mundo podrían no ser suficientes para

determinar que un sospechoso ha cometido un delito informático.
Independientemente de la habilidad técnica y el conocimiento, la motivación es tal
vez uno de los criterios generales más importantes a evaluar. El motivo podría ser
emocional, social, político, económico o extorsivo.
COMPONENTE PREGUNTAS RESPUESTAS

Autoridad ¿Tiene acceso a Sí, soy administrador de

servidores, bases de diferentes entornos por mi
datos y dominios de red? formación y experiencia.

Autoridad ¿Tiene aplicaciones que Sí, eventualmente he

ejecuten comandos desarrollado diferentes
remotos? aplicaciones con esta
funcionalidad.

Autoridad ¿Es posible acceder a la Esto depende de los

información bancaria conocimientos y el
fácilmente? cuidado de cada persona
al momento de
suministrar su
información financiera.

Conocimiento ¿Qué nivel de Lenguajes de

conocimiento tiene en programación
informática? Desarrollo web
Administración de Bases
de Datos
Seguridad Informática
Networking
Máquinas virtuales

Conocimiento Ningún sistema es

¿Conoce usted perfecto, todo sistema
vulnerabilidades de tiene puertas, la cuestión
acceso al sistema es encontrarlas y
bancario? saberlas abrir.

Conocimiento ¿Conoce usted cómo Tengo conocimiento de

obtener datos de acceso diferentes métodos, esto
al sistema financiero? en base a mi formación
académica ya
mencionada en
interrogantes anteriores.

Habilidades ¿Maneja sistemas Sí, varias de sus

operativos GNU/Linux? distribuciones.

Habilidades ¿Si se le solicita captar Existen diferentes

información de acceso de métodos para tener
Clientes, está en la acceso a la información
capacidad de hacerlo? ingresada por los
 usuarios en el sistema,
sin embargo esto se
considera fraude ya que
no se está informando de
manera pertinente a la
persona involucrada.

Habilidades ¿Cuál considera que es Tengo alto dominio en

su nivel de dominio en este tema sobre
Desarrollo Web? diferentes lenguajes y
usando diferentes
arquitecturas.

Motivación ¿Siente que la Mi potencial está

remuneración económica subestimado.
que recibe por su trabajo
cumple con sus
expectativas?

Motivación ¿Tiene usted alguna No, mi dinero está por

relación con la entidad fuera de esta entidad.
financiera?

Motivación ¿Esta en desacuerdo con Sí, hace de los ricos mas

la administración del ricos y a los asalariados
sistema financiero del como nosotros no nos
país? deja ni siquiera eso.

Recursos ¿De las siguientes Sptoolkit -> Sí

aplicaciones, cuáles tiene BackTrack -> Sí
en su poder y utiliza? SET (Social Engineer
Toolkit) -> No

Recursos ¿Tiene acceso a la base Eventualmente tuve

de datos de Clientes de la acceso a la información
entidad financiera? de nómina en la empresa.

Recursos ¿Maneja cuentas de Sí, eventualmente uso

correo electrónico? algunas cuentas aparte
de mi cuenta personal,
esto porque no me gusta
tener mi cuenta personal
llena de mensajes spam.
 Resumen
Ley 1247 de 2009

El ser humano desde un principio ha estado destinado a aprovecharse de la

debilidad de otros.

El tiempo corre y avanza y pareciera que la evolución, el desarrollo y el crecimiento

del mundo estuvieran acompañada además de la manera de cómo el corazón
humano busca insaciablemente de cómo hacerle fraude a la verdad.

La Internet es un escenario amplio donde el usuario promedio llámese "cybernauta"

o "internauta”, puede "navegar" o "surfear" para conseguir o alcanzar la cantidad
que desee de una información específica (datos, imágenes y sonidos) para
satisfacer su curiosidad o simplemente, para dejar claro algunos vacíos sobre algún
tema en específico. Para otras personas estas distintas herramientas constituyen un
medio para obtener ilegalmente cualquier tipo de beneficios o ventajas de la propia
tecnología, adquieren información de cualquier tipo sea financiera, gubernamental,
social, política, y en muchos casos información personal muy específica. Este tipo
de acciones ilegales son conocidas hoy en día como delitos informáticos.

Para enfrentar a estos individuos, sabiendo primeramente la dificultad que existe

para descubrirlos, varios países han dispuesto un sistema judicial especializado que
permite procesarlos y castigarlos. A ese grupo de países se unió Colombia en 2009.
El Congreso de la República promulgó la Ley 1273 “Por medio del cual se modifica
el Código Penal, se crea un nuevo bien jurídico tutelado.

La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos
informáticos y la protección de la información y de los datos con penas de prisión de
hasta 120 meses y multas de hasta 1500 salarios mínimos legales mensuales
vigentes. El 5 de enero de 2009, el Congreso de la República de Colombia promulgó
la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien
jurídico tutelado denominado “De la Protección de la información y de los datos” y
se preservan integralmente los sistemas que utilicen las tecnologías de la
información y las comunicaciones, entre otras disposiciones”.

Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de
datos personales, por lo que es de gran importancia que las empresas se blinden
jurídicamente para evitar incurrir en alguno de estos tipos penales.