Introducción a la seguridad informática

Introducción
Las definiciones de seguridad informática y seguridad de la información (Romero Castro et al.,
2018), entre otras denominaciones, varían según los autores que las definen. En esta cátedra,
todas ellas se unificarán en un solo término: ciberseguridad. La cíbersegurídad es un área
transversal en la industria 4.0: loT (internet de las cosas), inteligencia artificial, realidad virtual,
realidad aumentada, big data, etc.
Hay cuatro acciones que involucran a todas las áreas de seguridad. Estas son:

• prevención del riesgo, en cíbersegurídad abarca acciones y medidas proactivas;

• transferir el riesgo;
• mitigar el riesgo: acciones y medidas reactivas;
• aceptar el riesgo.

A las empresas con presencia en el ciberespacio se les recomienda tener ciertos niveles de
cíbersegurídad. A continuación, se nombran algunos actores afectados en este aspecto.

• Los usuarios: Kaspersky publicó un informe cuyo título es "El impacto del
coronavirus en la seguridad corporativa". Este hace visible que el usuario es el
eslabón más débil de la cadena en cuanto a cíbersegurídad.

1. El 73 % de los empleados reconocen no haber recibido preparación en

cíbersegurídad.
2. 42 % de ellos utilizan medios propios para proteger sus equipos.
3. Solo un 53 % de los colaboradores utiliza una VPN al trabajar desde casa.

• La información: es uno de los principales activos a proteger (Baca, 2012).

• La infraestructura: se debe poder controlar toda acción que debilite el
funcionamiento de una empresa, organización o Estado. Esta necesidad quedó
demostrada en los distintos cíberataques que padeció la industria energética de
Ucrania. Estos fueron documentados por distintos medios de prensa e informes
como el de ESET, que se titula: "Nueva ola de ataques contra la industria energética
ucraniana". En este se registran: control y acceso físico al edificio, a los datos, a las
redes, discos, impresoras, etc.
 Es decir, cualquiera sea la infraestructura tecnológica que se use, esta debe mantener una
sólida protección de los pilares de la información. Estos son: confidencialidad, integridad y
disponibilidad.

Organizaciones, Estados, empresas, individuos, etc., deben analizar sus riesgos y dotar de las
previsiones en ciberseguridad necesarias. Esto es imprescindible para que cualquiera incidente
no les afecte más allá de su perímetro o entorno.

Debido a que la criminalidad y delincuencia se han trasladado al quinto dominio, es necesario

trabajar con estándares de ciberseguridad que ayuden a amortiguar los ciberataques. Los
ataques pueden afectar sensiblemente a una nación en forma directa o por medio de terceros
(empresas, personas, etc.).

Los estándares de ciberseguridad se encuadran en frameworks de trabajo que sugieren medidas

preventivas y reactivas. En estos marcos, se destaca el análisis de riesgos que utiliza conceptos
activos - vulnerabilidad (Dirección General de Modernización Administrativa, Procedimientos e
Impulso de la Administración Electrónica, 2012), amenaza y riesgo (de acuerdo con ISO/IEC
27002).

Existen distintas herramientas automatizadas y metodologías para el análisis de riesgo. Algunas

de ellas se presentan a continuación.

NIST SP 800-30:
Este método nació en el Instituto Nacional de Estándares y Tecnología. Fue fundado para
evaluar los riesgos de seguridad de la información especialmente en sistemas TI
(Tecnología de la Información) con el objetivo de apoyar a las organizaciones con todo lo
relacionado a Tecnología. (ISOTools Excellence, 2021, https://bit.ly/3MkdBPk)
ISO/IEC 31000: "BS ISO 31000 es la norma internacional para la gestión del riesgo. Al
proporcionar principios integrales y directivas, esta norma ayuda a las organizaciones con su
análisis y evaluación de riesgos" (bsi., s.f., https://bit.ly/3yu5Tg4).

ISACA COBIT: control objectives for information and related technologies (ISACA, s.f.).

ENS MAGERIT: Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

Norma Española (Dirección General de Modernización Administrativa, Procedimientos e Impulso
de la Administración Electrónica, 2012).
SEi OCTAVE: operationally critica/ threat, asset and vulnerability evaluation (Alberts et al., 2013).
Infraestructura crítica
Se entiende como infraestructura crítica aquellas tecnologías, instalaciones, servicios,
redes, información y equipos físicos esenciales para las funciones sociales vitales como la
salud, la seguridad, el bienestar social y la economía de los ciudadanos de un país. Por lo
que el Gobierno y las empresas tienen la obligación de implementar medidas que
disminuyan cualquier tipo de riesgo, ya que su perturbación o destrucción afectaría
gravemente diferentes ámbitos como el económico, el detrimento de la confianza como
nación y algo más grave que pudiera ser la pérdida de vidas. La infraestructura crítica
puede ser propiedad de particulares o del Estado. (Acatitla Angulano, 2019,
https://bit.ly/3eiy5f1)
OEA
La Organización de Estados Americanos (OEA) publicó un documento que pone de relieve la
importancia de las infraestructuras críticas.

A continuación se presenta un artículo de lectura obligatoria, que permitirá comprender la

importancia de la creación de un abordaje integral de la ciberseguridad.

Fuente: OEA y AWS. (2019). Ciberseguridad - Marco NIST Un abordaje integral de la Ciberseguridad.
https://www.oas.orgleslsms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf.

Dado un aumento sostenido de la cantidad de incidentes de ciberseguridad en los EEUU,

el presidente Barack Obama, el 12 de febrero de 2013, emite la orden ejecutiva 13636 en
donde se encarga al Instituto de Nacional de Estándares y Tecnologías (NIST, por sus
siglas en inglés) el desarrollo del Marco de ciberseguridad para la protección de
infraestructuras críticas, lo que hoy se conoce como el eybersecurity Framework (eSF).
EEUU identifica 16 sectores de infraestructuras críticas, estos son: químico; instalaciones
comerciales; comunicaciones; fabricación crítica; presas/represas; base industrial de
defensa; servicios de emergencia; energía; servicios financieros; comida y agricultura;
instalaciones gubernamentales; salud y salud pública; tecnología de información;
reactores nucleares, materiales y residuos; sistemas de transporte; sistemas de agua y
aguas residuales.

El Marco tomó como estrategia basarse en estándares de la industria ya aceptados por

el ecosistema de ciberseguridad (NIST SP 800-53 Rev.4, ISO/IEe 27001:2013, eOBIT 5,
eIs ese, entre otros).

El Marco fue, y sigue siendo, desarrollado y promovido a través del compromiso

continuo y con el aporte de las partes interesadas del gobierno, la industria y la academia.
 ra la actualización del CSF a la versión 1.1 cuya publicación se efectuó en abril de
2018, N1ST continuó con su estrategia de elaboración participativa dando lugar a expertos
e industria, así como a gobiernos y empresas no estadounidenses, a modo de ejemplo
participó el gobierno de Israel y la empresa Huawei Technologies.

La OTAN ya había desarrollado una serie de manuales orientados hacia la protección

de infraestructuras críticas para la defensa nacional, como es el caso del "Manual del
Marco de Trabajo de Ciberseguridad Nacional" (National Cyber Security Framework
Manual). Esto no quiere decir que el CSF de NIST excluya estos documentos, al contrario,
los complementa y mejora.

Empresas, academia y gobiernos han adoptado de manera voluntaria el CSF como

parte de su estrategia de ciberseguridad. Incluso organizaciones líderes en la generación
de normas y estándares han incorporado el CSF, como por ejemplo ISACA e ISO. En
particular, ISO generó la ISO/IEC TR 27103:2018 que proporciona orientación sobre cómo
aprovechar los estándares existentes en un marco de ciberseguridad, en otras palabras,
cómo utilizar el CSF. (OEA y AWS, 2019, https://bit.ly/3Cp6SiM)

Según la Directiva europea 2008/114/CE del 8 de diciembre de 2008, se entiende por

infraestructura crítica "el elemento, sistema o parte de este situado en los Estados
miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la
integridad física, la seguridad, y el bienestar social y económico de la población y cuya
perturbación o destrucción afectaría gravemente a un Estado miembro al no poder
mantener esas funciones". (Zarza, 2022, https://bit.ly/3rKC5I8)
"A pesar de que las infraestructuras críticas son similares en todos los países, su
práctica puede variar en función de las necesidades, recursos y nivel de desarrollo de
cada país en particular" (Triton, 2022, https://bit.ly/355zp7d).

1. Infraestructura crítica en Argentina

La normativa vinculada a las funciones de la Dirección Nacional de Infraestructuras críticas de la
información y ciberseguridad se encuentran detalladas en el sitio web de la misma Dirección
Nacional. En este sitio se exponen leyes, resoluciones y decretos.

• Decisión Administrativa 641/2021. Establece los requisitos mínimos de seguridad de

la información para organismos públicos
• Disposición 6/2021. Creación del Comité Asesor para el Desarrollo e Implementación
de aplicaciones seguras.
• Disposición 1/2021. Centro Nacional de Respuestas a Incidentes Informáticos
(CERT.ar) en el ámbito de la Dirección Nacional de Ciberseguridad.
 • Resolución 580/2011. Creación del Programa Nacional de Protección de
Infraestructuras Críticas de Información y Ciberseguridad.
• Disposición ONTI 3/2013. Aprobación de la Política Modelo de Seguridad de la
1nformación.

• Resolución 1523/2019. Definición de Infraestructuras Críticas. [l]

[1]
RESOL-2022-28-APN-SLYT de 2022 [Secretaría legal y técnica (Presidencia de la Nación)] Política de seguridad de la

información de la Secretaría legal y técnica de la Presidencia de la Nación. 23 de mayo de 2022.

Infraestructuras críticas en empresas

La infraestructura crítica de una empresa puede afectar gravemente a un organismo
gubernamental. A continuación, se enumeran algunos ejemplos de repercusión mundial (Becares,
2020).

• SolarWinds: es la empresa fabricante de Orion, un software usado por unas 33.000

empresas (Turton and Bloomberg, 2020) y organizaciones gubernamentales de
Estados Unidos como la NASA, la Fuerza aérea y el Pentágono. En este caso, se
aprovechó la vulnerabilidad llamada Sunburst o Solorigate (Solarwinds, 2021) que
compromete la seguridad de SolarWinds (Cybersecurity & infrastructure security
agency, s.f.). De esa forma es posible infiltrarse en compañías y entidades públicas
que usan sus servicios, por ejemplo: Microsoft, NASA, Cisco y empresas listadas en
Fortune 500.
• FireEye:

Tiene 9.600 clientes en 103 países del mundo. Cuando en el año 2014 Sony sufrió uno de
los mayores ataques de seguridad de la historia (que el FBI atribuyó más tarde a Corea
del Norte), FireEye fue la empresa contratada para poner remedio a la brecha de
seguridad. Ofrece a las empresas herramientas para que puedan detectar si algún cracker
los ataca con el software que le han robado. La marca tiene entre sus clientes al gobierno
de Estados Unidos. (Becares, 2020, https://bit.ly/3SPbGoE)

• En 2020, durante la pandemia de COVID-19, la Agencia Europea de Medicamentos;

ciertas vacunas experimentales de Johnson & Johnson y Novavax; farmacéuticas
surcoreanas como Genexine, Shin Poong y Celltrion; y la británica AstraZeneca han
declarado haber sido víctimas de ciberataques (Biontech, 2020).

Confidencialidad, integridad y disponibilidad

Las características de toda información son: efectividad, eficiencia, apego a los estándares,
confiabilidad, confidencialidad, integridad, disponibilidad. Esto establece el marco de gestión y de
negocio global para el gobierno y la gestión de las TI (tecnología informática) de las empresas
(COBIT, por sus siglas en inglés). A continuación, se explican tres de esos estándares.
Confidencialidad: consiste en asegurar que solo personas autorizadas accedan a la información
indicada. Puede estar amparada por la legislación de protección de datos y para garantizarla se
recurre principalmente a tres recursos:

1. autenticación de usuarios: identificar que quien accede a la información es quien

dice ser;
2. gestión de privilegios: los usuarios que acceden a un sistema podrán operar solo con
la información que se les autoriza y solo en la forma que se les autoriza, por ejemplo,
gestionar permisos de lectura o escritura (según el usuario);
3. cifrado de información: también denominado encriptación, evita que la información
sea accesible a quien no está autorizado. Es aplicable tanto a la información que es
transmitida como a la almacenada.

Integridad: consiste en garantizar que la información no se pierda ni se vea comprometida, ni

voluntaria o involuntariamente. Para garantizar la integridad de la información se debe considerar
lo siguiente:

1. monitorear el tráfico de red para descubrir posibles intrusiones;

2. auditar los sistemas para implementar auditorías que registren quién hace qué,
cuándo y con qué información;
3. implementar sistemas de control de cambios, por ejemplo: comprobar los resúmenes
de los archivos de información almacenados en los sistemas para comprobar si
cambian o no;
4. tener copias de seguridad para recuperar un estado anterior de la información.

Disponibilidad: la información debe estar disponible para quien la necesite, en todo momento.
También se deben implementar medidas necesarias para que tanto la información como los
servicios estén disponibles.

Referencias
Acatitla Angulano, J. L. (2019). Protección en infraestructura crítica en las telecomunicaciones.
Segurilatam. https://bit.ly/3COqlkJ

Alberts, C., Dorofee, A., Stevens, J., Woody, C. (2013). lntroduction to the OCTAVE®Approach.
Carnegie Mellan University. https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=51546.
Argentina.gob.ar (s.f.). Normativa - Ciberseguridad. Argentina.gob.ar. Recuperado el 6 de
octubre de 2022 de https://bit.ly/3RTtX2O.

Baca, G. (2012). Introducción a la seguridad informática. Grupo Editorial Patria.

Becares, B. (2021). FireEye ofrece a las empresas herramientas para que puedan detectar si
algún cracker los ataca con el software que le han robado. Xataka. https://bit.ly/3S7v8vl.

Biontech (2020). Statement Regarding Cyber Attack on European Medicines Agency. Biontech.
https://bit.ly/3MrjfPN.

Bsi. (s.f.). Gestión de Riesgos ISO 31000. Bsi. Recuperado el 6 de octubre de 2022 de
https://www.bsigroup.com/es-PE/gestion-de-riesgo-iso-31000-/.

Cybersecurity & infrastructure security agency (s.f.). Supply chain compromise. Cybersecurity
& infrestructure security agency. Recuperado el de octubb de 2022 de
https://www.cisa.gov/supply-chain-compromise.

Dirección General de Modernización Administrativa, Procedimientos e Impulso de la

Administración Electrónica (2012). MAGERIT - versión 3.0. Metodología de Análisis y Gestión
de Riesgos de los Sistemas. Libro I - Método. Ministerio de Hacienda y Administraciones
Públicas, Secretaría General Técnica, Subdirección General de Información, Documentación y
Publicaciones, Centro de Publicaciones. https://www.ccn-cert.cni.es/documentos-publicos/1789-
magerit-libro-i-metodo/file.htm1.

ISACA (s.f.). COBIT. ISACA. Recuperado el 6 de octubre de 2022 de

https://www.isaca.org/resources/cobit.

ISOTools Excellence (2021). Metodología NIST SP 800 - 30 para el análisis de Riesgos en

SGSI. ISOTools Excellence. https://bit.ly/3Mmlrli.

OEA y AWS. (2019). Ciberseguridad - Marco NIST. Un abordaje integral de la Ciberseguridad.

OEA. https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf.

RESOL-2022-28-APN-SLYT de 2022 [Secretaría legal y técnica (Presidencia de la Nación)]

Política de seguridad de la información de la Secretaría legal y técnica de la Presidencia de la
Nación. 23 de mayo de 2022.

Romero Castro, M. l., Figueroa Moran, G. L., Vera Navarrete, G. S., Álava Cruzatty, J. E.,
Parrales Anzúles, G. R., Álava Mero, C. J., Murillo Quimiz, A. L. y Castillo Merino, M. A.
(2018). Introducción a la seguridad informática y el análisis de vulnerabilidades. Editorial Área de
Innovación y Desarrollo, S.L. http://dx.doi.org/10.17993/lngyTec.2018.46.

Solarwinds (2021). SolarWinds Security Advisory. Solarwinds. https://www.solarwinds.com/sa­

overview/securityadvisory#anchor1.

Triton (2022). ¿Qué son las Infraestructuras Críticas? Triton Circular.

https://tritoncircular.com/intrinsecamente-seguros/que-son-las-infraestructuras-criticas/.

Turton and Bloomberg, W. (2020). Hackers used a little-known IT vendar to attack U.S.
agencies. Fortune. https://fortune.com/2020/12/15/solarwinds-hackers-u-s-agencies/.

Zarza, L. (2022). La seguridad de las infraestructuras hídricas en la era de la ciberguerra. lagua.

https://bit.ly/3CochXe.
Ciberseguridad

Introducción
La ciberseguridad la define el NIC de Argentina como “la rama de la informática que procura
detectar vulnerabilidades que ponen en juego la integridad, disponibilidad y confidencialidad de
los sistemas informáticos” (NIC Argentina, 2018, https://bit.ly/3VgRqhf). Una de sus áreas es la
forense digital (digital forensics), que comprende funciones de peritaje informático, delitos
informáticos, etc.

1. Principal objetivo
La ciberseguridad tiene como objetivo principal resguardar la infraestructura y la
información de los usuarios involucrados en ella. Se constituye como una esfera con
distintos protagonistas: empresas que ofrecen servicios asociados, expertos y analistas
que investigan nuevas soluciones, desarrolladores de nuevas herramientas (tanto a nivel
hardware como software), y aquellos usuarios que utilizan diferentes medios preventivos.
Es en este circuito que también actúan aquellos personajes que quieren interferir en estos
sistemas, ya sea con fines delictivos, políticos o por el hecho de demostrar sus
habilidades. Estos últimos son conocidos coloquialmente como hackers, aunque esta
denominación es muy discutida ya que en realidad no refiere a cuestiones ilícitas, sino que
se vincula con la manera de denominar aquellos expertos que detectan fallos y
vulnerabilidades en los sistemas. (NIC Argentina, 2018, https://bit.ly/3VgRqhf)
NIC Argentina también menciona las amenazas más comunes, que se listan a continuación.

Virus informáticos. En esta cátedra se utiliza el concepto de malware, que será definido más
adelante.
Phishing.
Denegación de servicios (DoS).
Spoofing.
Ransomware.

La entidad también menciona algunas medidas preventivas:

antivirus;
firewall o cortafuegos;
 encriptación de la información;
contraseñas o passwords.

Varios acontecimientos mundiales hicieron tomar conciencia de la importancia de la

ciberseguridad y de la ciberdefensa. Algunos de estos acontecimientos serán centrales para
debatir los conceptos que se aprenden en esta materia.
En primer lugar, se retoma como ejemplo el siguiente caso.

Edward Joseph Snowden (nacido en Elizabeth City, Carolina del Norte, el 21 de junio de 1983)
era consultor tecnológico y empleado de la Agencia Central de Inteligencia (CIA) y luego de la
Agencia Nacional de Seguridad (NSA) de Estados Unidos.

En junio de 2013, los periódicos The Guardian y The Washington Post hicieron públicos
documentos secretos sobre varios programas de la NSA. Entre ellos se incluían los programas de
vigilancia masiva PRISM y Xkeyscore, que Snowden habría dado a conocer.

¿Qué es lo que hacían estos programas? En el momento de su difusión, los diarios

internacionales de la época informaban sobre un espionaje masivo a ciudadanos de distintos
países, que incluía a presidentes de distintos países. Algunos de de los programas que se
revelaron fueron:

☰ Programa PRISM

lanzado en 2007 por la NSA, permite captar correos electrónicos, videos, fotografías, llamadas
de voz e imagen, actividad en los medios sociales, contraseñas y otros datos de usuarios
contenidos por las principales empresas de internet en EEUU. Algunas de ellas son: Microsoft y
su división Skype, Google y su división YouTube, Yahoo, Facebook, AOL, Apple. Esto también
incluye la captación de datos telefónicos de millones de usuarios (Márquez, 2013).

☰ Programa TEMPORA

según el informe, la agencia británica de escuchas electrónicas (Oficina Central de

Comunicación del Gobierno: GCHQ, por sus siglas en inglés) "pinchaba" cables de fibra óptica
que transportan comunicaciones globales y las compartían con la NSA. (Márquez, 2013)

De acuerdo con publicaciones periodísticas, la NSA no sabe exactamente qué otra información
robó Snowden. Una pregunta más importante aún es: ¿cómo logró hacerse con estos
documentos altamente protegidos?, si se considera que su cargo en la NSA no le daría acceso a
tal información. El Pentágono ha concluido que se filtraron 1.7 millones de documentos.

Se sugiere la lectura del siguiente artículo.

fuente: Redacción BBC (2013). Cómo espía EE.UU., según Snowden. BBC News Mundo.
https://www.bbc.com/mundo/noticias/2013/10/131031_eeuu_nsa_espionaje_tecnicas_az

Nota aclaratoria: desde la cátedra no se toma posición, ni se emite opinión alguna sobre los
casos presentados en la materia; solo se analizan los hechos. Del caso anterior pueden surgir
algunas preguntas más, por ejemplo: ¿por qué medio le fue posible a Snowden llevarse la
información: papel, pendrive, otros? ¿Recibió ayuda o lo hizo solo? Ante la importancia y
magnitud de las actividades de la NSA, ¿qué pudo haber sucedido con los controles de acceso
de entrada y salida al edificio, oficina, equipo, etc.? ¿No existían validaciones para sacar
información de los servidores o dispositivos de trabajo? ¿No quedaron registros de las
actividades realizadas por los usuarios en logs? La persona que contrató a Snowden, ¿analizó su
estado emocional o psíquico?

Es posible que en la investigación de este caso hayan intervenido peritos informáticos con
conocimiento de distintas áreas, que se hayan combinado con uno o varios equipos en
criminalística. Es muy probable que todo lo actuado en el peritaje forense se haya realizado de
acuerdo con una línea de investigación regida por la legislación norteamericana.

Según las leyes estadounidenses, este hecho tratado como delictivo plantea algunos
interrogantes: ¿quiénes formaron parte de ese equipo de investigación? ¿Qué procedimientos
se realizan en la investigación? ¿Qué documentos se filtraron? ¿Cómo se llevó a cabo el robo?
¿Qué fundamentos utilizan para obtener y decir que los resultados son favorables para la
investigación? ¿Qué busca un especialista en ciberseguridad y el equipo de criminalística en el
lugar del hecho? Los temas que abarcan estos interrogantes serán estudiados en mayor detalle
en el módulo 4.

2. Primeros pasos de la computación moderna

Uno de los principales influyentes de la computación moderna e inteligencia artificial fue Alan
Turing (1912 – 1954), matemático y criptógrafo (Bejerano, 2014). Se estima que Turing pudo
haber sido una de las piezas fundamentales en el triunfo sobre Alemania, ya que por medio de
una computadora logró descifrar los mensajes (desencriptar) que eran enviados en formato papel
por los nazis durante la segunda guerra mundial. En la película “El código enigma” se puede
observar que la computadora que hacía de descifrador (computadora de gran tamaño) dejaba de
funcionar, en algunas oportunidades, debido a la presencia de insectos (bugs). Este término es
usado actualmente para describir fallos inesperados en la ejecución del programa o para indicar
la presencia de un virus o malware. Si bien la película es una ficción, existen algunas personas
que ponen en discusión lo que esta plantea.
Figura 1: Máquina Enigma

Fuente: Bejerano, 2014, https://bit.ly/3rLBExk.

Figura 2: Desencriptador

Fuente: Ortiz, 2011, https://bit.ly/3STDM1O.

Virus informático
¿Qué es un virus informático? Esta idea se debatió por primera vez en una serie de
conferencias presentadas por el matemático John von Neumann a fines de la década del
cuarenta y en un informe publicado en 1966, Teoría del autómata autorreproductor. De
hecho, el informe fue un experimento de pensamiento en el que se especulaba sobre la
posibilidad de que un organismo "mecánico" (como un código informático) causara daño
en equipos, se replicara e infectara nuevos equipos host, de la misma manera que un
virus biológico. (Kaspersky, s.f., https://bit.ly/3fL25An)
John von Neumann (1903 – 1957) fue un matemático húngaro-estadounidense, que realizó
contribuciones a ciencias de la computación, la cibernética, entre otras.
El programa Creeper, a menudo considerado el primer virus, fue creado en 1971 por Bob
Thomas de BBN. En realidad, Creeper fue diseñado como una prueba de seguridad para
comprobar si era posible crear un programa capaz de replicarse. De cierta manera, lo fue.
Con cada disco duro nuevo infectado, Creeper trataba de eliminarse a sí mismo del equipo
anfitrión anterior. Creeper no tenía una intención maliciosa y solo mostraba un mensaje
 simple: "I'M THE CREEPER. CATCH ME IF YOU CAN!" (Soy Creeper, ¡atrápame si
puedes!). (Kaspersky, s.f., https://bit.ly/3fL25An)

Luego, en la línea de tiempo, “el primer virus que se transmitió fuera de laboratorios de
pruebas o entornos controlados fue el Elk Cloner para Apple, creado en 1981. En 1986
surgía el primer virus para PC, el BRAIN” (Significado, 2019, https://bit.ly/3fLGnfA).

Malware
Avast establece diferencias entre malware, antivirus y amenaza.

Virus: “diseñado para copiarse a sí mismo y propagarse a otros dispositivos tanto como sea
posible” (Avast, s.f., https://bit.ly/3fWcr0C).
Malware o código malicioso: son ataques mediante la utilización de troyanos. Son de
precisión, dirigidos a objetivos específicos: dispositivos, configuración o componente
específico de la red.
Amenazas: “engloban el malware y también otros peligros en línea como el phishing, el
robo de identidad, la inyección SQL y otros” (Avast, s.f., https://bit.ly/3fWcr0C).

Figura 3: Amenaza, malware y virus

Fuente: Avast, s.f., https://bit.ly/3fWcr0C.

Antivirus
El honor de ser la primera persona en eliminar un virus de una computadora corresponde
a Bernard Fix, que “limpió” el virus Vienna, aunque parece ser que lo hizo más con
técnicas artesanales que con el software que creó para ello, y que solo hacía una parte del
trabajo.

La corriente de opinión mayoritaria sobre quién creó el primer software antivirus tal y como
lo conocemos hoy en día se decanta por G Data, una empresa alemana que creó una
solución de este tipo para la plataforma Atari ST.

También en 1987, John McAfee fundaba en Estados Unidos la compañía que llevaría su
apellido, lanzando a finales de año VirusScan, su primer producto de este tipo, y
coincidiendo en el año con los checoslovacos (el país todavía existía antes de escindirse
 en Eslovaquia y República Checa) de NOD.

Las principales empresas del sector de la seguridad informática que tenemos hoy en día
surgieron en el periodo que abarca desde finales de la década de los ochenta y finales de
la de los noventa: F-PROT en 1989, Panda Software (más tarde Panda Security) en 1990,
Symantec/Norton en 1991 así como AVG, Bitdefender en 1996, y Kaspersky en 1997.
(Significado, 2019, https://bit.ly/3fLGnfA)
En la actualidad existen varias marcas de antivirus que brindan soluciones variadas para sus
clientes. El uso de la inteligencia artificial permite la detección de los malwares en sus vectores de
ataques cambiantes. Elegir qué antivirus es el que conviene a una organización no es una tarea
sencilla como sí lo era en décadas anteriores, en la actualidad es necesario un exhaustivo
análisis previo.

3. Vulnerabilidad
Una vulnerabilidad informática se puede definir como una debilidad en el software o en el
hardware que permite a un atacante comprometer la integridad, disponibilidad o
confidencialidad del sistema o de los datos que procesa (INCIBE, 2017).

Por su parte, una amenaza es toda acción que aprovecha una vulnerabilidad.
Las amenazas pueden proceder de ataques (fraude, robo, virus), sucesos físicos
(incendios, inundaciones) o negligencia y decisiones institucionales (mal manejo de
contraseñas, no usar cifrado). Desde el punto de vista de una organización pueden ser
tanto internas como externas.

El riesgo es la probabilidad de que se produzca un incidente de seguridad,

materializándose una amenaza y causando pérdidas o daños.
Figura 4: Riesgo

Fuente: INCIBE, 2017, https://bit.ly/3rMI5A4.

Algunas de las fuentes de amenazas más comunes en el ámbito de sistemas de

información son:

Ingeniería social: Utilizan técnicas de persuasión que aprovechan la buena voluntad

y falta de precaución de la víctima para obtener información sensible o confidencial.
Los datos así obtenidos son utilizados posteriormente para realizar otro tipo de
ataques, o para su venta.
 APT o Amenazas Persistentes Avanzadas (Advanced Persistent Threats): son
ataques coordinados dirigidos contra una empresa u organización, que tratan de
robar o filtrar información sin ser identificados. Se suelen ayudar de técnicas de
ingeniería social y son difíciles de detectar.
Botnets: conjunto de equipos infectados que ejecutan programas de manera
automática y autónoma, que permite al creador del botnet controlar los equipos
infectados y utilizarlos para ataques más sofisticados como ataques DDoS.
Servicios en la nube: una empresa que contrate este tipo de servicios tiene que tener
en cuenta que ha de exigir los mismos criterios de seguridad que tiene en sus
sistemas a su proveedor de servicios. Se ha de asegurar de contratarlos con
empresas cuya seguridad esté demostrada, y firmar SLA o ANS (Acuerdos de Nivel
de Servicio) en los que quede definida la seguridad que necesita la empresa.

Algunos incidentes pueden implicar problemas legales que pueden suponer sanciones
económicas y daños a la reputación e imagen de la empresa. Por eso, es importante
conocer los riesgos, medirlos y evaluarlos para evitar en la medida de lo posible los
incidentes, implantando las medidas de seguridad adecuadas.

Podemos identificar los activos críticos de los sistemas de información que pueden
suponer un riesgo para la empresa, realizando un análisis de riesgos. Análisis que nos
llevará a obtener una imagen rigurosa de los riesgos a los que se encuentra expuesta
nuestra empresa. (INCIBE, 2017, https://bit.ly/3rMI5A4)
Fase 1. Definir el alcance del análisis de riesgo: dónde se analizarán los riesgos. Puede ser en
todos los servicios, departamentos y actividades, o enfocarse en algunos puntualmente.

Fase 2. Identificar y valorar los activos de la información del departamente, proceso o sistema
objeto de estudio.

Fase 3. Identificar las amenazas a las que están expuestos los activos.

Fase 4. Estudio y análisis de las características de nuestros activos, para identificar los puntos
débiles o vulnerabilidades y las salvaguardas existentes.

Fase 5. Para cada par activo – amenaza, estimar la probabilidad de que la amenaza se
materialice y el impacto sobre el negocio que esto produciría.

Fase 6. Una vez calculado el riesgo, se deben tratar aquellos riesgos que superen un límite
establecido previamente. (INCIBE, 2017)
Este análisis nos servirá para averiguar la magnitud y la gravedad de las consecuencias
del riesgo a la que está expuesta nuestra empresa y, de esta forma, gestionarlos
 adecuadamente. Para ello tendremos que definir un umbral que determine los riesgos
asumibles de los que no lo son. En función de la relevancia de los riegos podremos optar
por:

Evitar el riesgo eliminando su causa, por ejemplo, cuando sea viable optar por no
implementar una actividad o proceso que pudiera implicar un riesgo.
Adoptar medidas que mitiguen el impacto o la probabilidad del riesgo a través de la
implementación y monitorización de controles.
Compartir o transferir el riesgo con terceros a través de seguros, contratos, etc.
Aceptar la existencia del riesgo y monitorizarlo. (INCIBE, 2017, https://bit.ly/3rMI5A4)

Medidas de protección
A continuación, se enuncian algunos consejos para el cuidado de la infraestructura crítica. Se
tiene en cuenta la premisa de que cualquiera puede ser el medio o transporte del
aprovechamiento de vulnerabilidades, o malwares.
1. Usar patrones de seguridad, pin, reconocimiento de huella dactilar, etc., en dispositivos
móviles, computadoras, notebooks, para verificar que las pantallas queden bloqueadas y que no
se puedan ver notificaciones.
2. No anotar en papel datos confidenciales de la empresa. Si fuese inevitable, asegurar que esos
datos queden resguardados y protegidos en algún lugar.
3. Usar un gestor de contraseñas cuando se inicie sesión en alguna aplicación (algunos antivirus
suelen incorporarlos, también algunos servicios de Google permiten almacenar contraseñas).
4. En caso de tener que enviar credenciales de acceso, asegurar el procedimiento con un sistema
de encriptación robusta. Nunca enviar datos comprometedores en formato plano.
5. No usar la misma contraseña para todos los accesos que se realicen.
6. Al usar un navegador web, asegurarse de que la URL sea segura. Es decir, tenga la “s” en la
fórmula https. Esto indica que los datos viajan encriptados hasta el destino, sin embargo, https no
garantiza la seguridad. Para ampliar información sobre este tema, consultar el siguiente artículo:

Ryabova, Y. (2018). El protocolo HTTPS no garantiza la seguridad. Kaspersky daily. https://www.kaspersky.es/blog/https-does-not-mean-

safe/15135/.

7. No hacer clic sobre ventanas emergentes que indiquen algún tipo de premio (un teléfono móvil,
viaje, suscripción de televisión, Netflix, etc.).
8. No utilizar versiones gratuitas de antivirus. Analizar las alternativas pagas antes de elegir una.
9. Restringir el uso de ingreso de información no autorizada al equipo, por ejemplo: pendrives.
10. Escanear con el antivirus de la empresa u organización todo ingreso de información (email,
mensajería, etc.).
11. En caso de usar información confidencial, la misma debe estar protegida mediante algún
mecanismo de encriptación robusta.
12. Usar correos electrónicos que tengan sistema de encriptación (algunos son gratuitos).
13. Realizar backups programados. Verificar previamente que la información no tenga malware.
14. En caso de conexión remota al entorno de trabajo, hacerlo mediante una red privada virtual
(VPN: virtual private network). Esto evitará ciberataques llamados “man in the middle”.
15. Tomar los recaudos necesarios para prevenir miradas curiosas sobre la pantalla de su equipo.
16. Usar un destructor de papel para eliminar la información sensible que se haya asentado por
escrito.
17. No hablar por fuera de la empresa sobre temas concernientes a la tarea que se realiza dentro
de ella.

Tipos de ataques en el modelo OSI

El modelo OSI está formado por siete capas. Cada una de ellas se puede afectar por algún tipo
de malware.

Figura 5: Ataques en el modelo OSI

Fuente: Delphi Magic, s.f., https://bit.ly/3rL2rcZ.

Referencias
Avast (s.f.). Malware frente a virus: ¿en qué se diferencian? Avast. Recuperado el 6 de octubre
de 2022 de avast.com/es-es/c-malware-vs-virus.
Bejerano, P. G. (2014). Código Enigma, descifrado: el papel de Turing en la Segunda Guerra
Mundial. El Diario.es. https://bit.ly/3rJWYTS.
Delphi Magic (s.f.). Tipos de ataques en cada nivel del modelo OSI. Delphi Magic. Recuperado el
6 de octubre de 2022 de https://delphimagic.blogspot.com/2019/08/tipos-de-ataques-en-cada-
nivel-del.html.
Kaspersky. (s.f.). Una breve historia de los virus informáticos y lo que nos deparará el futuro.
Kaspersky. Recuperado el 6 de octubre de 2022 de https://bit.ly/2nelf6P.
INCIBE (2017). Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian? INCIBE.
https://bit.ly/3COaXOG.
Márquez, W. (2013) Lo que Snowden ha revelado hasta ahora del espionaje de EE.UU. BBC.
News Mundo. https://bit.ly/3CLZAqy.
NIC Argentina (2018). ¿Qué es ciberseguridad? NIC Argentina.
https://nic.ar/es/enterate/novedades/que-es-ciberseguridad.
Ortiz, J. (2011). Colossus, la máquina que acortó la Segunda Guerra Mundial. El cajón de Grison.
http://www.elcajondegrisom.com/2011/05/el-coloso-la-maquina-que-descifro.html.
Redacción BBC (2013). Cómo espía EE.UU., según Snowden. BBC News Mundo.
https://bbc.in/3CNszu1
Ryabova, Y. (2018). El protocolo HTTPS no garantiza la seguridad. Kaspersky daily.
https://www.kaspersky.es/blog/https-does-not-mean-safe/15135/.
Significado (2019). Significado de antivirus. Significado. https://significado.com/antivirus/.
Ciberataques

La creación de ciberataques organizados entre naciones significó una irrupción en el tablero

geopolítico y sentó las bases de un tipo de guerra diferente. Las nuevas armas se basan en la
sofisticación tecnológica y en el ataque invisible. En muchos casos, estos ataques son difíciles de
detectar por equipos forenses que deben adaptarse a las circunstancias.
1. Stuxnex es considerada la primera arma digital de la historia.

En enero de 2010, los inspectores de la Agencia Internacional de Energía Atómica que visitaban
una planta nuclear en Natanz, Irán, notaron con desconcierto que las centrifugadoras usadas
para enriquecer uranio estaban fallando.

El fenómeno se repitió cinco meses después en el país, pero esta vez los expertos pudieron
detectar la causa: un malicioso virus informático.

El "gusano" - ahora conocido como Stuxnet - tomó el control de 1.000 máquinas que participaban
en la producción de materiales nucleares y les dio instrucciones de autodestruirse. (BBC Mundo,
2015, https://bit.ly/3ViajQP)

2. Flame es una nueva arma de ciberespionaje descubierta en Irán. Se trata de un malware

altamente sofisticado, que puede robar grandes cantidades de datos.
Uno de los módulos de Flame permite encender el micrófono de un equipo infectado para grabar
conversaciones cercanas o a través de Skype. Las conversaciones son almacenadas y enviadas
regularmente a los servidores de comando y control. También se rastreó un módulo que usaba
tecnología bluetooth para detectar otros equipos en las cercanías y robar nombres y números de
los contactos almacenados.

En Argentina se investiga académicamente una ciberarma, en una tesis de Maestría en Ingeniería

del software de la Universidad Nacional de San Luis. Esta investigación se llevó a cabo en la
Universidad Federal de Minas Gerais, Belo Horizonte, Brasil. El director de tesis fue el Dr.
Roberto Uzal (director de la Maestría en Ciberseguridad y Ciberdefensa de la UBA) y el codirector
fue el Dr. Daniel Macedo (profesor de la UFMG). En dicho trabajo se logró explicar de qué forma
se pudo elaborar el módulo del malware Flame que robaba datos de dispositivos bluetooth
(Agüero, 2019).

El descubrimiento de armas como Studnex y Flame marca un hito en la historia de la seguridad

informática mundial. El mundo dejó de combatir virus informáticos y empezó a protagonizar
denuncias por ciberataques entre naciones, llevados a cabo mediante software con alta
capacidad de desarrollo. El diario The New York Times informaba que este software malicioso,
Stuxnet, había sido patrocinado por Estados Unidos e Israel (Emergui, 2011). A partir de esto,
algunos países aceleraron sus procesos y otros empezaron a incursionar en la carrera
armamentista digital del quinto dominio (ciberespacio). Otro hecho fundamental fue el inicio de la
discusión de la gobernanza en internet (UNESCO, s.f.).

Mapa de dominio
El mapa de dominio permite una mirada global de la ciberseguridad.

Figura 1: Mapa de dominio

Fuente: Jiang, 2021, https://bit.ly/3Mj6KG9.

Lectura obligatoria: las siguientes lecturas permiten observar la realidad que llevó a
profundizar el estudio de medidas de seguridad y de políticas para otorgar valor a la
protección de las infraestructuras críticas.

BBC News Mundo. (2015, 11 octubre). El virus que tomó control de mil máquinas y les ordenó autodestruirse. Recuperado 11 de octubre de
2022, de https://www.bbc.com/mundo/noticias/2015/10/151007_iwonder_finde_tecnologia_virus_stuxnet
R. Lipovsky (2017) A siete años de Stuxnet, los sistemas industriales están nuevamente en la mira. We live security. https://bit.ly/2GZOv57

CCN. (s. f.). El gusano Stuxnet que afecta a sistemas SCADA causa revuelo internacional. Recuperado 11 de octubre de 2022, de
https://bit.ly/3RSya6E

Sturm, C. (2021, 8 octubre). Flame, una nueva arma de ciberespionaje descubierta en Irán. FayerWayer. Recuperado 11 de octubre de 2022,
de https://bit.ly/3ekJA5F

Escenarios reales de ciberataques

A continuación, puede observar distintos ciberataques, para entender cómo se comportan en un
escenario real.

Kaspersky
Muestra por medio de líneas de colores los ciberataques que se llevan a cabo en tiempo real.
Tiene también un apartado de estadísticas: https://cybermap.kaspersky.com/.

Fortinet
Muestra estadísticas de los ataques. Un mapa de día y otro de noche se superponen a los
ataques. Informa tipos de ataques, nivel de seguridad y ubicación:
https://threatmap.fortiguard.com/.

Deteque
Muestra las ubicaciones de las IP de los servidores que se usan para controlar los botnets
infectados con algún malware. También muestra cuáles son los 10 países con más cantidad de
botnets y el número de bots activos en las últimas 24 horas: https://www.deteque.com/live-threat-
map/.

Threatbutt
Tiene un diseño particular que incluye el sonido de videojuegos de los años 80:
https://threatbutt.com/map/.

Kaspersky: ransomware
Detección de ataques de ransomware en línea
https://cybermap.kaspersky.com/special/ransomware.

Tarea obligatoria
Ejecutar los mapas de detección de ciberataques en tiempo real enunciados en el apunte de
la cátedra. Leer sobre las vulnerabilidades detectadas.

2. Modelos y políticas de seguridad

El Instituto Nacional de Ciberseguridad de España (Incibe) define que una política de
ciberseguridad es un documento dinámico que se debe actualizar periódicamente para incluir
cambios en la tecnología y en las regulaciones de cumplimiento establecidas. También deberá
determinar cómo se autoevaluará la tarea.

¿Cómo redactar una política de seguridad de la información?

ISO 27001 requiere que para redactar una política de Seguridad de la Información se sigan los
siguientes pasos que se enuncian a continuación: estudiar los requisitos, tener los resultados de
su evaluación de riesgos, optimizar y alinear los documentos, estructurar el documento, narrar el
documento, alcanzar la aprobación del documento, concientización y capacidad de sus
trabajadores (ISOTools Excellence, 2014).

“La Plataforma Tecnológica ISOTools ayuda a las organizaciones a llevar a cabo la redacción de
una política de Seguridad de la Información según la norma ISO 27001 y a implantarla en busca
del éxito” (ISOTools Excellence, 2014, https://bit.ly/3ViqLkg).

Las políticas de seguridad para pymes elaborado por INCIBE pueden ser útiles y servir de guía
de excelencia en planificaciones de seguridad o marcos de trabajo (frameworks). Estas normas
se pueden encontrar en el sitio web de INCIBE.

Seguridad del entorno

La seguridad física y lógica son componentes que deben planificarse cuidadosamente. Con el
paso del tiempo, seguramente, podrán amoldarse a los cambios que se presenten.
Para garantizar que los procesos y el sistema funcionen y que la información esté protegida, se
suelen agrupar cuatro áreas de seguridad:

seguridad física;
seguridad lógica;
seguridad en la red;
control de acceso adecuado, tanto físico como lógico.

Existen diversos tipos de certificaciones en seguridad que ayudan a la protección de los datos:
● ISO 27001 / 9001: se aplica a la gestión de la seguridad de la información de la empresa. Se
enfoca en la alineación de los objetivos de seguridad con los requisitos del negocio. Permite
reducir el posible riesgo de fraude, pérdida y divulgación de la información.
● Circular A4609: es un datacenter apto para los bancos argentinos.
● CSA_CCM: cloud security alliance. Versión v.3.0.1 - threat and vulnerability management (cloud
computing).
● Otros tipos de certificación para profesionales:

CISSP. IT administration: gestionar y respaldar la postura y las políticas de seguridad

generales de una organización.
CCSK. Cloud security: adquirir, asegurar y administrar entornos en la nube o adquirir
servicios en la nube.
MVP: diseñar, desarrollar y gestionar la postura de seguridad general de una organización.

Seguridad física

Consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de

prevención y contramedidas ante amenazas a los recursos e información confidencial. En muchos
casos se refiere a la infraestructura crítica donde muchas veces se enfrentarán imprevistos que
deberán tenerse en cuenta, por ejemplo: sabotaje, espionaje, robo de información; y de otro tipo
como incendios, inundaciones, etc.

Control de acceso

La seguridad debe considerar fenómenos naturales y también atentados externos e internos. El

control de acceso no solo requiere la verificación de identificación, sino también asociarla a la
apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo,
área o sector dentro de una empresa o institución.
Figura 2: Elementos de seguridad física

Fuente: Diycontrols.com, s.f., https://bit.ly/3MpaCpa.

Lector biométrico.
Detector de metales.
Guardia de seguridad.
Protección electrónica: circuito cerrado de TV, detectores (aberturas, rotura vidrios,
vibraciones), barreras infrarrojas.
Seguridad con animales.
Alternativas de potencia de corriente.
Ups con batería.
Generador eléctrico.

Otros aspectos de la seguridad física.

Figura 3: Esquema de seguridad de acceso interno y/externo

Fuente: Electro Alarmas de Costa Rica, s.f., https://bit.ly/3EAl9M6.

Figura 4: Sistema de monitoreo remoto

Fuente: Point, s.f., https://bit.ly/3Eu7Ahl.

3. Seguridad lógica
Existe un viejo dicho en la seguridad informática que dicta que «todo lo que no está permitido
debe estar prohibido» y esto es lo que debe asegurar la Seguridad Lógica.
Los objetivos que se plantean serán:

1. Restringir el acceso a los programas y archivos.

2. Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
3. Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
4. Que la información transmitida sea recibida solo por el destinatario al cual ha sido enviada y
no a otro.
5. Que la información recibida sea la misma que ha sido transmitida.
6. Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
7. Que se disponga de pasos alternativos de emergencia para la transmisión de información.
(Zamenfeld, 2010, https://bit.ly/3CpB4Kp)

Figura 5: Aplicación de barreras y procedimientos que resguarden el acceso a los datos

Fuente: Welivesecurity, 2013, https://bit.ly/3VfFfkO.

En estos casos, solo se permite acceder a los datos a personas autorizadas.

La seguridad lógica involucra medidas establecidas por la administración de recursos para
minimizar riesgos.

Siempre se deben priorizar: confidencialidad, disponibilidad e integridad.

Figura 6: Causantes de violaciones de acceso lógico

Fuente: Eve_And, 2014, https://bit.ly/3yx8VQx.

Áreas que surgen de la seguridad lógica.

Malware.
Hacker.
Sistemas operativos adecuados.
Copias de seguridad.
Programas mal diseñados.
VPN.
Otros.

Resumen

Figura 7: Resumen gráfico de la seguridad informática

Fuente: Espinosa, s.f., https://bit.ly/3VumJp5.

Referencias
Agüero, F. (2019). Aportes y Detección de Vulnerabilidades en Redes Teleinformáticas: Primeros
pasos para la construcción académica de una ciberarma. Editorial Académica Española.
BBC Mundo (2015). El virus que tomó control de mil máquinas y les ordenó autodestruirse. La
Tercera. https://bit.ly/3ROtUFj.
Costa Santos, J. (2011). Seguridad y alta disponibilidad. RA-MA, S.A. Editorial y Publicaciones.
Diycontrols.com (s.f.). Sensaphone Applications: Data Center. Diycontrols.com. Recuperado el 6
de octubre de 2022 de https://bit.ly/3RMjzty
Electro Alarmas de Costa Rica (s.f.). Equipos de Seguridad. Electro Alarmas de Costa Rica.
https://www.electroalarmascr.com/equipos-de-seguridad/.
Emergui, S. (2011). Israel y EEUU crearon el virus que dañó el programa nuclear iraní. El mundo.
https://bit.ly/3fZpY7j.
Espinosa, J. (s.f.). Seguridad informática. Jessica Espinosa. Recuperado el 6 de octubre de 2022
de https://yikaxupuba.jimdofree.com/seguridad-cibernetica/.
Eve_And (2014). Seguridad física y lógica. Slideshare.
https://es.slideshare.net/Eve_And/seguridad-fsica-y-lgica.
F-Secure (s.f). Flame. F-Secure. Recuperado el 6 de octubre de 2022 de https://www.f-
secure.com/v-descs/flame.shtml.
Jiang, H. (2021). The Map of Cybersecurity Domains. Derecho de la red.
https://derechodelared.com/wp-content/uploads/2021/04/Cybersecurity-Domains-Map-3.0.pdf.
ISOTools Excellence (2014). ISO 27001 ¿Cómo redactar una política de Seguridad de la
Información? ISOTools Excellence. https://bit.ly/3CQ0vpS.
Panda (s.f.). Stuxnet.A. Panda Security. Recuperado el 6 de octubre de 2022 de
https://www.pandasecurity.com/es/security-info/222123/information/Stuxnet.A/.
Point (s.f.). Centro de control. Point. Recuperado el 6 de octubre de 2022 de
https://point.com.do/servicios/centro-de-control.
UNESCO (s.f.). Gobernanza de internet. UNESCO. Recuperado el 6 de octubre de 2022 de
https://es.unesco.org/themes/gobernanza-internet.
Welivesecurity (2013). ¿El fin de las contraseñas? La autenticación simple cada vez más
amenazada. ESET. https://bit.ly/3RXFIFb.
Zamenfeld, S. (2010). Recomendaciones en Seguridad Lógica. BrainLabs News IT.
https://www.brainlabs.com.ar/novedad/recomendaciones-en-seguridad-logica/.
Delitos informáticos y ciberseguridad

Introducción
La legislación específica varía en cada país, si bien hay un hilo conductor según el cual entienden
y tipifican el delito informático en el código penal. Nuestro país tiene de la experiencia de contar
con algunas leyes que se han aprobado con base en ciertos acontecimientos.

1. Delitos informáticos y ciberseguridad

A continuación, se resumen toda la información respecto de delitos informáticos de la República
Argentina.

Normas principales
● Código Penal de la Nación Argentina.
● Ley 26.388 de Delitos Informáticos.
● Ley 27.411 de Aprobación del Convenio sobre Ciberdelito (Convenio de Budapest sobre
Ciberdelito).
● Menores y pornografía infantil.
● Código Penal de la Nación Argentina.

Artículo 128 sobre producción, distribución y tenencia de pornografía infantil).

Artículo 131 sobre contacto a menores por medios electrónicos con una finalidad sexual
(grooming)
Artículo 125 sobre corrupción de menores por medios digitales.
Artículo 145 bis y 145 ter sobre trata de personas menores de edad.

● Ley 26.061 de Protección Integral de los Derechos de las Niñas, Niños y Adolescentes. Tiene
por objeto la protección integral de los derechos de las niñas, niños y adolescentes que se
encuentren en Argentina. Busca garantizar el ejercicio y disfrute pleno, efectivo y permanente de
los derechos reconocidos en el ordenamiento jurídico nacional y en los tratados internacionales
en los que la Nación sea parte. Estos derechos están asegurados por su máxima exigibilidad y
sustentados en el principio del interés superior del niño.
● Decreto 415/2006, que reglamenta la Ley 26.061 de Protección Integral de los Derechos de las
Niñas, Niños y Adolescentes.
● Ley 26.904 de Grooming, que incorpora el artículo 131 del Código Penal. Este último establece
una pena de prisión de 6 meses a 4 años a quien, por medio de comunicaciones electrónicas,
telecomunicaciones o cualquier otra tecnología de transmisión de datos, se contacte con una
persona menor de edad con el propósito de cometer cualquier delito contra la integridad sexual.
● Decisión marco 2004-68-JAI del Consejo de Europa, relativa a la lucha contra la explotación
sexual de los niños y la pornografía infantil.
● Ley 863 de la Legislatura de la Ciudad Autónoma de Buenos Aires, que establece que los
establecimientos comerciales que brinden acceso a internet deben instalar y activar filtros de
contenido en páginas pornográficas.
● Código Contravencional de la Ciudad De Buenos Aires.

Artículo 61 sobre el castigo a quien tolere o admita la presencia de menores en lugares no

autorizados, por ejemplo: local de espectáculos públicos, de baile o de entretenimientos.
Artículo 62 sobre el castigo a quien suministre o permita a un menor el acceso a material
pornográfico.

Hostigamientos, discriminación y daños al honor

● Código Penal de la Nación Argentina.

Artículo 109 sobre calumnias o imputaciones falsas de un delito.

Artículo 110 sobre injurias.

● Código Contravencional de la Ciudad De Buenos Aires.

Artículo 52 sobre el castigo a quien intimide u hostigue de modo amenazante, siempre que
el hecho no constituya delito. Se castiga con 1 a 5 días de trabajo de utilidad pública, multa
de $ 200 a $ 1.000 o 1 a 5 días de arresto.
Artículo 53 sobre la duplicación del castigo anteriormente estipulado en los casos de que la
víctima sea menor de 18 años.

● Ley 23.592 sobre actos discriminatorios.

Amenazas, extorsiones y chantajes

● Código Penal de la Nación Argentina.
 Artículo 149 bis sobre delito de amenazas.
Artículo 168 sobre delito de extorsiones.
Artículo 169 sobre delito de chantaje o amenaza de imputaciones contra el honor o violación
de secretos.

Apología del crimen

● Código Penal de la Nación Argentina.

Artículo 213 sobre hacer pública la apología de un delito o de un condenado por delito.

Acceso ilegítimo a datos o sistemas (hacking) y daños informáticos

(cracking)
● Código Penal de la Nación Argentina.

Artículo 153 bis sobre el acceso ilegítimo a un sistema o dato informático de acceso
restringido.
Artículos 183 y 184 sobre daño, alteración o destrucción de datos, programas o sistemas.

Violación de comunicaciones electrónicas

● Código Penal de la Nación Argentina.

Artículo 153 sobre violación de comunicaciones electrónicas ajenas.

Artículo 155 sobre violación de la privacidad de las comunicaciones electrónicas.
Artículo 197 sobre interrupción de comunicaciones electrónicas.

Estafas y defraudaciones informáticas

● Código Penal de la Nación Argentina.

Artículos 172 y 173, incisos 3, 8 y 16 sobre defraudación a través de mutilación y

ocultamiento de expedientes o documentos digitales. O manipulación del normal
 funcionamiento de un sistema informático o la transmisión de datos.

Seguridad en entidades financieras

● Comunicación “B” 9042 del Banco Central de la República Argentina (BCRA), relativa a los
requisitos mínimos de gestión, implementación y control de los riesgos relacionados con
tecnología informática, sistemas de información y recursos asociados para entidades financieras.

Competencias judiciales en la investigación de delitos informáticos

Ley 24.034, que aprueba el Tratado de Asistencia Jurídica Mutua en Asuntos Penales con el
gobierno de Estados Unidos de América.
Ley 2.257 del Gobierno de la Ciudad de Buenos Aires, que aprueba el Convenio N° 14/04:
“Convenio de Transferencia Progresiva de Competencias Penales de la Justicia Nacional al
Poder Judicial de la Ciudad Autónoma de Buenos Aires”. Este se suscribe entre el Gobierno
Nacional y el Gobierno de la Ciudad de Buenos Aires.
Resolución 501/FG/12 de la Fiscalía General de la Ciudad Autónoma de Buenos Aires, que
aprueba, en calidad de prueba piloto, la implementación del Equipo Fiscal “A” de la Unidad
Fiscal. Este se especializa en delitos y contravenciones informáticas, y actuará con
competencia especial única en la Ciudad Autónoma de Buenos Aires.
Resolución 1755/2008 del Ministerio de Justicia, Seguridad y Derechos Humanos, que
establece que el delito estipulado en el artículo 153 bis del Código Penal queda en
jurisdicción y competencia de la Justicia Nacional ordinaria en lo penal de la Capital Federal.
Resolución 152-2008 de la Fiscalía General del Ministerio Público Fiscal de la Ciudad
Autónoma de Buenos Aires, que establece el criterio general de actuación del Ministerio
Público Fiscal en orden a los delitos previstos en el artículo 153 bis y 183 párrafo 2 del
Código Penal. Esto se aplica luego de la entrada en vigencia de la ley 26.388 (14 de julio de
2008).
Resolución 234/2016 del Ministerio de Seguridad, que crea el Protocolo general de
actuación para las fuerzas policiales y de seguridad en la investigación y proceso de
recolección de pruebas en ciberdelitos.
Protección de las infraestructuras críticas de información y
ciberseguridad

Declaración de Panamá sobre “La Protección de la Infraestructura Crítica en el Hemisferio

frente al Terrorismo”, aprobada por el Comité Interamericano Contra el Terrorismo (CICTE -
OEA) (1 de marzo de 2007).
Resolución 580/2011 de la Jefatura de Gabinete de Ministros, que crea el Programa
Nacional de Infraestructuras Críticas de Información y Ciberseguridad en el ámbito de la
Oficina Nacional de Tecnologías de Información (ONTI).
Disposición 3/2011 de la Oficina Nacional de Tecnologías de Información (ONTI), que
establece el “Formulario de adhesión al Programa Nacional de Infraestructuras Críticas de
Información y Ciberseguridad”.
Disposición 2/2013 de la Oficina Nacional de Tecnologías de Información (ONTI), que crea
el grupo de trabajo “ICIC – CERT” (computer emergency response team) en el marco del
“Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad”.
Decreto 1067/2015, que establece la Subsecretaría de Protección de Infraestructuras
Críticas de Información y Cibserseguridad en el ámbito de la Secretaría de Gabinete de la
Jefatura de Gabinete de Ministros, en el organigrama de la administración pública nacional.
Disposición N° 5/2015 Jefatura de Gabinete, que crea el “Registro de Equipos de Respuesta
ante Incidentes de Seguridad Informática” al interior de la Subsecretaría de Protección de
Infraestructuras Críticas de Información y Ciberseguridad.
Resolución 1046/2015 de la Jefatura de Gabinete de Ministros, que establece la estructura
organizativa de la Dirección Nacional de Infraestructuras Críticas de Información y
Ciberseguridad.
Resolución 1252/2015 de la Jefatura de Gabinete de Ministros, que conforma el Comité de
Seguridad de la Información de la Jefatura de Gabinete de Ministros. Esta deroga la
Resolución 970/2014 de la JGM.
Decisión administrativa 669/2004 de la Jefatura de Gabinete de Ministros, que establece
que los organismos del sector público nacional deberán dictar o adecuar sus políticas de
seguridad y conformar comités de seguridad en la información.
Disposición 1/2015 de la Oficina Nacional de Tecnologías de Información (ONTI), que
aprueba la “Política de Seguridad de la Información Modelo” para el sector público nacional.
Esto reemplaza la Disposición 3/2013 de la ONTI (que, a su vez, reemplazaba a la
Disposición 6/2005 de la ONTI).
 Declaración “Fortalecimiento de la Seguridad Cibernética en las Américas”, del Comité
Interamericano Contra el Terrorismo (CICTE - OEA). Aprobado el 7 de marzo de 2012.
Resolución N° 2035/14 de la Procuración General de la Nación, que designa al “punto focal”
de la Procuración General de la Nación en materia de ciberdelincuencia.
Resolución N° 3743/15 de la Procuración General de la Nación, que crea la Unidad Fiscal
Especializada en Ciberdelincuencia (UFECI).
Decisión administrativa 15/2015 del Ministerio de Defensa, que incorpora la Dirección
General de Ciberdefensa.
MERCOSUR/CMC/DEC. Nº 17/14, que crea la Reunión de Autoridades sobre Privacidad y
Seguridad de la Información e Infraestructura Tecnológica del MERCOSUR (RAPRISIT).
Decreto 2645/2014, que establece la Directiva de Política de Defensa Nacional. Determina
que el Ministerio de Defensa elaborará las normas para la creación de una instancia de
naturaleza operacional en materia de Ciberdefensa y procederá a la adhesión al “Programa
Nacional de Infraestructuras Críticas de la Información y Ciberseguridad” de la ONTI. A su
vez, ordenará al Estado Mayor Conjunto de las Fuerzas Armadas la elaboración de un Plan
de Desarrollo de Ciberdefensa para el período 2014-2018.
Ley 27.126, que establece dentro de las funciones de la Agencia Federal de Inteligencia
(AFI) la producción de inteligencia criminal referida a los delitos federales complejos
relativos a ciberdelitos.
Decreto 1311/2015, que crea la Nueva Doctrina de Inteligencia Nacional de la Agencia
Federal de Inteligencia (AFI. Ley 27.126 de Inteligencia).
Acordada N° 6/2016 de la Corte Suprema de Justicia de la Nación (CSJN), que dispone que
este Tribunal, a través de la Dirección de Sistemas, dependiente de la Secretaria General
de Administración, tendrá a su cargo la seguridad informática de las bases de datos del
Poder Judicial de la Nación vinculadas funciones jurisdiccionales. Para ello, adoptará las
medidas que estime pertinentes, incluidas aquellas que tiendan preservar la integridad,
infraestructura control del Centro de Datos del Poder Judicial de la Nación.
Resolución N° 81/99 de la Secretaría de la Función Pública, que aprueba la creación de la
Coordinación de Emergencia en Redes Teleinformáticas de la Administración Pública
Argentina (ARCERT).

Programas gubernamentales contra la criminalidad informática

 Resolución N° 69/2016 del Ministerio de Justicia y Derechos Humanos, que crea el
Programa Nacional contra la Criminalidad Informática y reemplaza a la Comisión Técnica
Asesora de Cibercrimen.
Resolución N° 640-E/2016 del Ministerio de Justicia y Derechos Humanos, que transfiere el
Programa Nacional Contra la Criminalidad Informática a la órbita de la Subsecretaría de
Política Criminal de la Secretaría de Justicia. Nombra al Comité Consultivo. Deroga el
artículo 5 de la Resolución 69/2016 (M.J. y D.H.).
Resolución conjunta 866/2011 y 1500/2011 de la Jefatura de Gabinete de Ministros y el
Ministerio de Justicia y Derechos Humanos, que crea la Comisión Técnica Asesora de
Cibercrimen.

Ciberdelito
El Ministerio de Justicia y Derechos Humanos, en su sitio web, define al ciberdelito como
conductas ilegales realizadas por ciberdelincuentes en el ciberespacio a través de
dispositivos electrónicos y redes informáticas.
Consiste en estafas, robos de datos personales, de información comercial estratégica,
suplantación de identidad, fraudes informáticos, ataques como cyberbulling, grooming,
phishing cometidos por ciberdelincuentes que actúan en grupos o trabajan solos.
(Argentina.gob.ar, s.f., https://n9.cl/68hy2)
La ley 26.388 introduce los delitos informáticos en el Código Penal.
Ejercicio para debatir en clase: luego de leer la normativa legal de nuestro país, analizar de
acuerdo con la legislación argentina qué leyes podría haber infringido Edward Snowden.

Redes
Los ciberataques que se llevan a cabo en el ciberespacio aprovechan las vulnerabilidades de la
red de redes. Conocer las características de la misma ayuda a comprender los vectores de
ataque y cómo es posible la construcción de redes seguras.
Definición:
El término red hace referencia
a un conjunto de sistemas
informáticos independientes
conectados entre sí, de tal
forma que posibilitan un
intercambio de datos, para lo
 que es necesario tanto la
conexión física como la
conexión lógica de los
sistemas. Esta última se
establece por medio de unos
protocolos de red especiales,
como es el caso de TCP
(Transmission Control
Protocol). (Eduteka, s.f.,
https://n9.cl/tb8i2)

Clasificación
En función del tamaño y alcance de la red, se realiza la siguiente clasificación:

Local area networks (LAN) o red de área local: se les atribuye a las redes dentro de una
organización o establecimiento. Se conectan mediante cable UTP (categoría 5 y 6), fibra
óptica. Las redes inalámbricas reciben el nombre de wireless local area (WLAN).
Metropolitan area networks (MAN) o red de área metropolitana: se atribuyen a redes de
una ciudad. Utilizan como medio de conexión física como cable de red UTP (categoría 5 y
6), fibra óptica e inalámbrica.
Wide area networks (WAN) o red de área amplia: son las que unen ciudades, países,
continentes. Se conectan por medio de fibra óptica o inalámbricamente.

Alcances
Cable UTP categoría 5: la norma establece hasta 100 metros.

Cable UTP categoría 6: la norma establece hasta 1000 metros.

Conexión inalámbrica: según la antena, la potencia y el rango de cobertura es amplio.

Fibra óptica: cubre grandes rangos.

Topología de red
La topología de red es la forma en que se conectan las computadoras para intercambiar datos
entre sí. Las más comunes se nombran a continuación.

Anillo: reduce la posibilidad de fallo de red al conectar todos los nodos a un nodo central que
puede ser un router o switch. Cuenta con la ventaja de que si un nodo falla, la red continua su
trabajo sin inconvenientes.

Estrella: las estaciones de trabajo o computadoras se encuentran conectadas entre sí en forma

de un anillo, es decir, forman un círculo entre ellas. La información viaja en un solo sentido, por lo
tanto, si un nodo deja de funcionar, la red se cae.

Lectura obligatoria: la lectura que se presenta a continuación permite conocer las

topologías y enlaces desde el punto de vista de modelo de capa OSI. Esto ayudará a dar
claridad al conocimiento de vulnerabilidad, propagación, etc.

Sistemas Industriales Distribuidos (s.f.). Tema 2. Redes de comunicación: Topología y enlaces. Universitat de Valencia. Recuperado el 6 de
octubre de 2022 de https://www.uv.es/rosado/courses/sid/Capitulo2_rev0.pdf.

Referencias
Argentina.gob.ar (s.f.). ¿Qué es el ciberdelito? Argentina.gob.ar.
https://www.argentina.gob.ar/justicia/convosenlaweb/situaciones/que-es-el-ciberdelito.
Eduteka (s.f.) Tipos de redes. Universidad ICESI. Recuperado el 6 de octubre de 2022 de
https://eduteka.icesi.edu.co/proyectos.php/1/36163.
Sistemas Industriales Distribuidos (s.f.). Tema 2. Redes de comunicación: Topología y enlaces.
Universitat de Valencia. Recuperado el 6 de octubre de 2022 de
https://www.uv.es/rosado/courses/sid/Capitulo2_rev0.pdf.