El correo electrónico es una de
las herramientas más utilizadas hoy en día para intercambiar información. Es
una herramienta muy versátil, que permite comunicaciones entre partes distantes
de manera mucho más veloz que el correo convencional.
Sin embargo, debe tenerse presente que su uso puede conllevar
algunos riesgos, si no se toman ciertas precauciones. Antes de continuar,
resulta necesario precisar brevemente algunos términos fundamentales vinculados
a la Web y al uso de correos electrónicos, de acuerdo al alcance de este curso
básico.
Dirección de correo electrónico
Una dirección de correo electrónico adopta generalmente la
siguiente forma: nombre-usuario@dominio Por ejemplo:
“este.es.mi.correo@gmail.com” donde, haciendo una analogía con el sistema de
correspondencia postal, el “dominio” se asimila a todos los datos necesarios y
correspondientes al destino donde la carta debe llegar (código postal,
dirección, ciudad, país, etc.) y el “nombre-usuario”, con el nombre del
destinatario de esa carta en ese domicilio.
Dominio de Internet
El nombre de dominio de Internet es
una secuencia de caracteres, generalmente fácil de recordar que permite la
ubicación o identifi cación de los sitios por parte de las personas. Está
constituido por expresiones alfanuméricas concatenadas por medio de puntos
(“.”), en varios niveles organizados de forma jerárquica.
Cuando accedemos a un sitio Web, o página de Internet, dentro de
toda esa cadena de texto (dirección URL), el dominio se encuentra en la
siguiente ubicación: URL: http://DOMINIO/carpeta/archivo.ext
Este dominio, como dijimos anteriormente, sigue una estructura
jerárquica que se lee de izquierda a derecha. Por lo general, los nombres de
dominio tienen tres niveles.
Veamos un ejemplo: www.Municipalidad.gob.ar
El nivel superior, “top level domain” (TLD),
que en nuestro ejemplo es “gob.ar”, puede contar con tres variantes:
1) el “country code” (ccTLD) o “código
país”, que está basado en una norma internacional (ISO 3166) y está conformado
por dos letras (“.ar” en el caso de Argentina),
2) el genérico (gTLD), como “.com”, “.net”, “.org”, “.gov”,
etc., que por convención pertenece a dominios registrados en los EEUU, o
3) las variantes “com.ar”, “net.ar”, “org.ar”, etc. que clasifican tanto el tipo de organización a la que pertenece el dominio como su
nacionalidad.
El nivel secundario, “second level domain” (SLD),
que en nuestro ejemplo es “Municipalidad”, identifica al dominio propiamente dicho generalmente se asocia al nombre de una
organización, organismo, empresa, persona, producto, etc.
Finalmente, la expresión “www” es un dominio de tercer nivel, que permite el acceso a un servicio Web.
Existen más niveles de dominio, pero rara vez se los utiliza.
Esta estructura jerárquica nos permite identificar el lugar
donde se ha registrado el dominio y a qué tipo de organización pertenece. Por ejemplo:
> organizaciones comerciales: .com, .net
> entidades gubernamentales: .gov, .gob
> entidades militares: .mil
> entidades académicas: .edu
Así, un dominio finalizado en “gob.ar” será un dominio
registrado por un organismo del gobierno de Argentina, dado que “ar” es para el país y “gob” identifica a una entidad de
gobierno.
Luego el nombre de dominio completo
identifica a la entidad. En este punto es donde debe prestarse especial
atención. Veamos algunos ejemplos:
> seguridadinformatica.sgp.gob.ar: el
dominio es “sgp.gob.ar”, donde “seguridadinformatica”, es un subdominio dentro del dominio “sgp.gob.ar”. Se trata de un dominio
legítimo.
> www.sgp.gov.au: en este caso se trata
de un dominio de gobierno que estaría registrado de Australia, por la “au”. Claramente no es un dominio registrado en Argentina.
La URL (Uniform Resource Locator, o Localizador Uniforme de recursos)
es una secuencia de caracteres con la cual se asigna una dirección única a cada uno de los recursos de
información disponibles en Internet. Existe una URL única para cada página de la World
Wide Web.
Veamos la diferencia entre el dominio y la URL
URL: http://www.ejemplo.net/indice.html
Nombre de dominio: www.ejemplo.net
Nombre de dominio registrado: ejemplo.net
Sitios de Internet: indicadores de seguridad
Los usuarios de Internet deben tomar recaudos al acceder a un
sitio Web si van a ingresar algún dato que consideren que debe estar protegido durante su transferencia al sitio al
que está dirigido.
Los recaudos a tener en cuenta son los siguientes:
> Por un lado, visualice el inicio de la URL del sitio. Si puede
observar la expresión “https”, se trata de un sitio que ofrece cierta garantía de que la información que se
intercambia entre quien ingresa (cliente) y quien recibe los datos (servidor) se encuentra cifrada, es decir
no resultará comprensible para alguien que pueda visualizarla mientras “viaja”.
> Por otro lado, verifique la existencia del candado cerrado que
se encuentra en el margen inferior derecho de la pantalla en la mayoría de los navegadores. Haciendo clic
en el candado, el sistema debe mostrar el certificado de seguridad. Asimismo conviene observar en el
contenido del certificado que la denominación se corresponda con el nombre del sitio al que está ingresando.
Cadenas de correo electrónico
Las cadenas no suelen ser SPAM (mensaje no solicitado), porque
no es alguien que envía masivamente un mensaje, las cadenas suelen llegar de remitentes conocidos.
Armar cadenas de correos electrónicos es una de las herramientas
que se utiliza comercialmente para obtener direcciones de correo electrónico y armar bases de datos con ellas. También es una oportunidad que se le brinda a los piratas
informáticos, pues obtienen blancos reales a los que enviarles virus y todo tipo de software malicioso.
Es común leer en las cadenas de correo electrónico: “No sé si será cierto, pero por las dudas lo reenvío…” Debería cambiarse esa forma de pensar, por esta: “No sé si será cierto, pero por las dudas NO lo reenvío…”
La opción de “reenviar” un correo, cuando es mal utilizada, es uno
de los causantes de:
> Falta de privacidad de las direcciones y del contenido de correo
electrónico.
> Distribución de código malicioso (“malware”).
> Saturación del sistema de correo debido a mensajes no
solicitados (SPAM).
Recuerde que, al reenviar un correo electrónico sin tomar
precauciones, se copian:
> El “Asunto”, anteponiendo “RE” o “FW”.
> El contenido del mensaje original.
> Las direcciones de correo del remitente y de los destinatarios
originales.
Muchas personas no quieren que sus direcciones de correo
electrónico sean conocidas por terceros. Debe respetarse el uso de las direcciones de correo de otros como un dato que no
debe hacerse público. Si por algún motivo debe reenviar un correo electrónico y no
tiene la autorización para hacer públicas las direcciones que contiene dicho correo, proceda de la siguiente manera:
> Borre la/s dirección/es de correo del/los remitente/s.
> Mejor aún: copie el contenido del correo original y arme uno
nuevo.
> Si lo reenvía a más de una persona, utilice la opción de enviar
con “Copia Oculta”.
Suele decirse habitualmente que: “Finalmente, reenviar un e-mail
no cuesta nada, sólo un click…”
Pero sí tiene un costo:
> La privacidad de las direcciones de los remitentes y
destinatarios originales.
> El tiempo que emplearán los destinatarios en leerlo.
> El consumo de recursos (carga del servidor de correo, espacio en
disco utilizado, ancho de banda, etc.).
Mensajes no solicitados (SPAM)
SPAM: son mensajes no solicitados, habitualmente de tipo publicitario,
enviados en cantidades masivas.
Los spammers (quienes envían SPAM) utilizan diversas técnicas
para armar largas listas de direcciones de correo a las cuales enviarles SPAM:
> Búsqueda de direcciones en páginas Web y foros.
> Captura de direcciones de cadenas de correo.
> Suscripciones a listas de correo.
> Compra de bases de datos de direcciones de correo.
> Acceso no autorizado en servidores de correo.
Los mensajes no solicitados pueden adoptar tres formas, entre
otras:
> Hoax
> Scam
> Phishing
HOAX : Hoax es un término inglés que significa “engaño” o “broma”. Los “engaños” u “hoax” son mensajes fraudulentos que contienen
información inexacta o falsa, que inducen al receptor a reenviar el mensaje a fin de difundir su contenido o a
realizar acciones que, muy probablemente, le ocasionarán problemas. Muchas cadenas de correos electrónicos, aquellas que
“obligan” al destinatario a reenviar el mensaje bajo pena de diversos males, se inician solo con el fin de
recolectar direcciones de correos, en general para continuar con una actividad de SPAM. No pretenden ganancia económica directa.
Los hoax suelen ser del siguiente tipo:
> Alertas sobre virus “incurables”.
> Mensajes de temática religiosa.
> Cadenas de solidaridad.
> Cadenas de la suerte.
> Leyendas urbanas.
> Métodos para hacerse millonario.
> Regalos de empresas grandes conocidas.
Estos mensajes tienen características comunes que permiten
identificarlos:
> Suelen tener frases catastróficas y/o alarmistas.
> Suelen no estar firmados ni tener información válida de
contacto.
> Pueden contener frases amenazantes o que lo pueden hacer sentir
mal.
> Suelen estar mal redactados, o con vocablos que no son propios
del país o región.
> Algunos son malas traducciones del inglés u otro idioma
(traductores automáticos).
> Siempre piden al destinatario que reenvíe el mensaje a uno o a varios.
SCAM : Se denomina “scam”, (estafa en inglés), a un correo electrónico
fraudulento (o páginas Web fraudulentas) que pretenden estafar económicamente por medio del engaño, generalmente presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero. En la mayoría de estos mensajes, se inventa una historia en la que quien recibe el correo debe hacer un depósito o un pago previo con la promesa que luego le será reembolsado y devuelto con ganancias. Así puede ser alguien que resulta ser heredero de una fortuna que tiene que cobrar, pero necesita alguna colaboración para realizar el trámite de cobro. Así, quien recibe el mensaje es engañado y estafado. La característica principal de este tipo de mensajes es que
piden al receptor el gasto de un monto determinado.
El siguiente es un ejemplo de Scam:
Asunto: Requerimos personal honesto y ágil para vacante en España.
Es usted una persona responsable y esta buscando un trabajo de
medio tiempo muy bien pagado? Somos una compañía familiar especializados en varias operaciones
con antigüedades y joyería Antigua, somos “di-genaro Ltd” , y estamos buscando gente
honesta y responsable para que se nos una.
No te pierdas esta oportunidad - somos exactamente lo que estas
buscando!. Ganaras mas de EUR 1500 por mes, utilizando solo 3-4 horas de tu
tiempo. Es real con nosotros!.Nosotros no hacemos conversación de venta que requiera que
pagues cargos de inscripción o inscribirte a una lista de correo. No queremos que inviertas
dinero. Este trabajo requiere solo un monto limitado de tu tiempo. Te pagaremos en la primera semana de trabajo. No requerimos ninguna experiencia ni habilidad especial.
Trabajaras como un contratado independiente desde tu hogar. Si estas interesado, por favor siéntete libre de pedir
información adicional y las provisiones generales. Escríbenos ahora, te responderemos al instante.
Por favor responde a este mail: support@domain.com
Recomendaciones para evitar la propagación de mensajes no
solicitados
> No deje su dirección de correo electrónico en cualquier
formulario o foro de Internet.
> No responda los correos no solicitados. Bórrelos. Es lo más
seguro.
> En general, no conviene enviar respuesta a la dirección que figura para evitar envíos posteriores.
> Configure filtros o reglas de mensaje en el programa de correo
para filtrar mensajes de determinadas direcciones.
> No configure “respuesta automática” para los pedidos de acuse
de recibo.
> No responda a los pedidos de acuse de recibo de orígenes
dudosos.
PHISHING : es una forma de engaño mediante la cual los atacantes
envían un mensaje (anzuelo) a una o varias personas, intentando convencerlas para que revelen sus datos personales.
Usualmente, esta información es luego utilizada para realizar acciones fraudulentas, como transferencias de
fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otras acciones delictivas que pueden efectuarse
mediante la utilización de esos datos.
Actualmente el modo de difusión más utilizado por los atacantes
para realizar un ataque de “phishing” es el correo electrónico. Estos correos suelen ser muy convincentes, y
simulan haber sido enviados por una entidad conocida y confiable, con la cual la persona opera habitualmente, como por
ejemplo un banco o una empresa que realice operaciones comerciales por Internet. En el mensaje se alegan diversos motivos,
como problemas técnicos o la actualización o revisión de los datos de una cuenta, y a continuación se le solicita que
ingrese a un sitio Web para modificar o verificar sus datos personales: nombre completo, DNI, claves de acceso, etc.
Dicha página Web es en realidad un sitio falsificado que simula ser el de la organización en cuestión.
El diseño de estas páginas Web suele ser muy similar, y a veces
prácticamente idéntico, al de las páginas Web reales de la organización cuya identidad se simula. Asimismo, estos
sitios tienen direcciones Web que pueden confundir a un usuario desprevenido por su parecido con las direcciones Web
auténticas. En la mayoría de los casos, el texto que el usuario visualiza en el enlace escrito en el correo
electrónico es la dirección real del sitio Web. Sin embargo, si el usuario hace clic en ese enlace, se lo redirige a una página Web
falsa, controlada por el atacante.
También se han detectado casos en los cuales el usuario recibe
un mensaje SMS a su teléfono celular, un mensaje en un contestador automático o una llamada telefónica, en los
cuales, mediante técnicas muy similares, se lo intenta convencer para que llame a un número telefónico indicado en el
mensaje. Al llamar a dicho número, un sistema automatizado, haciéndose pasar por la organización, le solicitará sus datos
personales, los que luego serán utilizados sin su autorización, con las previsibles consecuencias gravosas.
Identificación de técnicas de engaño
El phishing suele utilizar varias técnicas de engaño, algunas
fácilmente detectables y otras no tanto. Nos remitiremos a las más simples
de identificar.
> El usuario recibe un correo electrónico que simula ser enviado
por una entidad (por ejemplo, un banco). Para ello, se utilizan nombres de cuenta engañosos para que
resulten creíbles, con imágenes, gráficos y tipografía de la entidad.
> Generalmente, el correo electrónico incluye una URL que
redirecciona a un sitio fraudulento. Esta URL, suele tener errores, o le falta una letra o tiene una letra
cambiada, por ej. una o (letra) por un 0 (cero), para que el usuario no lo note.
> Si el usuario recibe sus correos en formato html, también puede
visualizar un link (URL), mientras que el enlace real es otro. Esto se puede apreciar a simple vista,
cuando se posiciona el cursor sobre ese enlace y se verifica al pie que el enlace no coincide con el texto del
link html.
> La dirección real a la que se dirige al usuario (URL) también
puede ser engañosa en cuanto a los subdominios que muestra.
Veamos un ejemplo. Recibimos el siguiente correo en inglés donde
se solicita que actualicemos nuestros datos de cuenta en el sistema de pago por Internet “PayPal”:
El link que aparece visible en el correo es: https://www.paypal.com/cgi-bin/Webscr?cmd=_login-run . Sin embargo, si nos posicionamos con el mouse en el link se
puede leer al pie la siguiente dirección: http://paypal.verifying-database.com/index.htm
En este ejemplo, la dirección mostrada también cuenta con la
cadena https:// que indicaría que opera con protocolo HTTP seguro (es decir, HTTPS), pero la dirección real a la que
va a dirigir al usuario será la dirección no segura y de dudosa procedencia que se muestra en segundo lugar.
Además sabemos que el dominio real es www.paypal.com, por lo
tanto: paypal.cualquiercosa.com, no es el sitio de Paypal.
Recomendaciones para evitar ser víctima del "phising"
> Si recibe un correo electrónico que le pide información personal o
financiera, no responda.
> Si el mensaje del correo electrónico lo invita a acceder a un
sitio Web a través de un enlace incluido en su contenido, no lo haga.
> Las organizaciones que trabajan seriamente están al tanto de
este tipo de fraudes y por consiguiente, no solicitan información por medio del correo electrónico, ni telefónicamente, ni
mediante mensajes SMS ni por fax.
> Utilice medios confiables
Si le preocupa el estado de la cuenta que posee en la
organización que dice haber enviado el correo, o que lo ha contactado, comuníquese directamente utilizando un
número telefónico conocido y provisto por la entidad u obtenido a través de medios confiables, como
por ejemplo de su último resumen de cuenta. Alternativamente, puede ingresar en la página oficial de
la organización, escribiendo usted mismo la dirección de Internet correspondiente en el navegador.
> No envíe información personal usando mensajes de correo
electrónico.
> El correo electrónico, si no se utilizan técnicas de cifrado y/o
firma digital, no es un medio seguro para enviar información personal o confidencial.
> Para mayor información sobre recomendaciones para el uso del
correo electrónico seguro, puede consultar las lecturas del Entorno Virtual.
> No acceda a sitios de entidades financieras o de comercios desde
lugares públicos.
> En la medida de lo posible, evite ingresar al sitio Web de una
entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar público. Las PCs
instaladas en estos lugares podrían contener software o hardware malicioso destinado a capturar sus
datos personales.
> Verifique los indicadores de seguridad del sitio Web en el cual
ingresará información personal.
> Si es indispensable realizar un trámite o
proveer información personal a una organización por medio de su sitio Web, escriba la dirección Web usted mismo en el
navegador y busque los indicadores de seguridad del sitio. Al acceder al sitio Web, usted deberá notar que la
dirección Web comienza con “https://”, donde la “s” indica que la transmisión de información es
“segura”.
> Verifique también que en la parte inferior de su navegador
aparezca un candado cerrado. Haciendo clic sobre ese candado, podrá comprobar la validez del certificado
digital y obtener información sobre la identidad del sitio Web al que está accediendo.
> Mantenga actualizado todo el software de su PC.
> Instale las actualizaciones de seguridad de su sistema operativo
y de todas las aplicaciones que utiliza, especialmente las de su producto antivirus, su cliente Web y de
correo electrónico. La mayoría de los sistemas actuales permiten configurar estas actualizaciones en
forma automática.
> Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto
los reciba.
> Si detecta cargos u operaciones no autorizadas, comuníquese de
inmediato con la organización emisora.
> También contáctese con ella si se produce una demora inusual en
la recepción del resumen.
> No descargue ni abra archivos de fuentes no confiables.
> Estos archivos pueden tener virus o software malicioso que
podrían permitir a un intruso acceder a su computadora y por lo tanto, a toda la información que almacene o
introduzca en esta.
> Recuerde - No conteste ningún mensaje que resulte sospechoso.
> Si un mensaje en su contestador le avisa sobre un evento adverso
vinculado a su cuenta bancaria y le solicita que llame a un teléfono gratuito, no lo haga. Si recibe
un correo electrónico que le pide lo mismo, no lo crea. Si del mismo modo le envían un SMS de bienvenida a
un servicio que no ha contratado, bórrelo y olvídese. Las mencionadas prácticas no son sino diversas
modalidades que persiguen el mismo fin: obtener sus datos personales para defraudarlo.
> Finalmente: permanezca siempre atento para evitar el acceso
indebido a su información personal.
Observamos que día a día aparecen nuevas estrategias de engaño.
Su desconfianza y el cuidado con que analiza los sitios Web en los que ingresa sus datos de identidad, son su
mejor protección.
Glosario
Amenaza: Evento que puede desencadenar un incidente. Las amenazas pueden
ser accidentales o intencionales y se aprovechan de las vulnerabilidades para provocar incidentes.
Las amenazas a la seguridad de la información son sucesos que atentan contra la confidencialidad, integridad y disponibilidad
de la información. Existen amenazas relacionadas
con fallas humanas o técnicas, con ataques destinados a causar
daños o con catástrofes naturales.
Ataques a contraseñas: Prueba
metódica de contraseñas para lograr el acceso a un sistema. Este tipo de
ataques puede ser efectuado:
> Por diccionario: existiendo un diccionario de palabras, una
herramienta intentará acceder al sistema probando una a una las palabras incluidas en el diccionario.
> Por fuerza bruta: una herramienta generará combinaciones de
letras, números y símbolos formando posibles contraseñas y probando una a una en el login del sistema.
Auditoría: Conjunto de procesos
destinados a verificar en forma independiente del área que realiza las
operaciones el cumplimiento de las políticas, normas y estándares establecidos.
En particular, la auditoría de un sistema consiste en determinar qué transacciones se realizaron en el sistema, quién
las realizó y en qué momento a efectos del control de la administración de los recursos, la investigación de
incidentes y la verificación del cumplimiento de las políticas de seguridad del organismo y las normas que rijan su misión.
Autenticación: Mecanismo para
validar la identidad del usuario.
Clave de acceso: Cadena de
caracteres que se le asigna a una persona para ser autenticada en el acceso a
un recurso o sistema informático. De esta forma, una persona sólo podrá
acceder mediante la presentación de dicha clave.
Confidencialidad: Propiedad
por la cual se garantiza el acceso a la información únicamente a quien esté
autorizado, para evitar su divulgación inapropiada.
Control de Acceso lógico: Es el
control de acceso aplicado a sistemas informáticos.
Control de Acceso: Facultad
de permitir o denegar el acceso de una persona a un recurso.
Control de intentos fallidos: Acción
destinada a contabilizar la cantidad de veces que las credenciales se han ingresado de manera errónea a un sistema informático, con el
objeto de bloquear el acceso luego de una determinada cantidad de intentos fallidos. Este es un control que evita el
tipo de ataque a contraseñas.
Credenciales: Conjunto de elementos
que sirven para autenticar a una persona ante un sistema informático. Ej.: nombre de usuario y contraseña.
Disponibilidad: Propiedad que
garantiza que la información se encuentre disponible en tiempo y forma para
aquellas personas autorizadas.
Dominio de Internet: Es un
nombre que facilita la ubicación o identificación de sitios Web por parte de
las personas, constituido por expresiones alfanuméricas concatenadas en varios
niveles organizados de forma jerárquica.
Fraude informático: Perjuicio
económico o moral efectuado a una persona mediante la utilización de
herramientas informáticas. Ej.: robo de credenciales de homebanking de una
persona y operación con sus cuentas bancarias.
Hoax: Los “engaños” u “Hoax” son mensajes fraudulentos que contienen
información inexacta o falsa, que inducen al receptor a reenviar el mensaje a fi n de difundir su contenido o
a realizar acciones que, muy probablemente, le ocasionarán problemas. Muchas cadenas de correos electrónicos, aquellos
que “obligan” al destinatario a reenviarlo bajo pena de diversos males, se inician solo con el fin de recolectar
direcciones de correos. No pretenden ganancia económica directa.
Identificación: Proceso por el que el
usuario presenta una determinada identidad para acceder a un sistema.
Impacto: Conjunto de posibles efectos negativos sobre un sistema de
información como consecuencia del aprovechamiento de una vulnerabilidad.
Incidente de seguridad informática: Evento adverso en un entorno informático, que puede comprometer
o compromete la confidencialidad, integridad o disponibilidad de la
información. Violación o inminente amenaza de violación de una política de seguridad de la información, de políticas de
uso aceptable de uso o de mejores prácticas de seguridad.
Ingeniería de datos: Se refiere
a la recolección de datos de distintas e ingeniosas fuentes (blogs, datos de
redes sociales, participaciones en foros, nombres de usuarios en
juegos, consultas en sitios, etc.) para luego utilizarlos de manera que sirvan para realizar algún tipo de ataque.
Ingeniería Social: Se trata
de un conjunto de técnicas de engaño que se aplican sobre las personas para
obtener de ellas información de interés para el atacante, o para lograr que
aquellas efectúen alguna acción que este persigue.
Integridad: Propiedad por la cual
se garantiza la protección contra modificaciones no autorizadas, para evitar su alteración.
Malware: Con este nombre se denomina genéricamente a los programas que
tienen un fin malicioso. Su expresión sinónima en castellano es “código malicioso”.
Phishing: Es una forma de engaño mediante la cual los atacantes envían un
mensaje (anzuelo) a una o a varias personas, con el propósito de convencerlas de que revelen sus datos
personales. Generalmente, esta información es utilizada luego para realizar acciones fraudulentas, tales como
transferencias de fondos de su cuenta bancaria, compras con sus tarjetas de crédito u otros comportamientos delictivos que
requieren el empleo de dichos datos.
Políticas de Seguridad de la Información: Marco general establecido por las autoridades que define las
pautas para preservar la seguridad de la información de una
organización y del que se derivan las normas y procedimientos operativos para implementar esas disposiciones.
Riesgo: Combinación de la probabilidad de que una amenaza se aproveche
de una vulnerabilidad y del impacto resultante de dicho evento adverso en la organización.
Robo de identidad: Obtención
y utilización - por medios informáticos- de credenciales y otros datos ajenos
(nombre,número de tarjeta de crédito, información bancaria, número de
afiliado a un sistema de salud, etc.) sin autorización, con el propósito de realizar actividades fraudulentas en nombre
de otra persona.
SCAM: Se denomina “scam” (estafa en inglés) a un correo electrónico
fraudulento (o páginas Web fraudulentas) que pretenden estafar económicamente por medio del engaño,
generalmente presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero.
SPAM: Es la denominación del correo no deseado, enviado de manera
masiva.
Suplantación de identidad: Acción de
utilizar datos de identidad robados para hacerse pasar por otra persona.
URL: Uniform Resource Local es la cadena de caracteres con la cual se
asigna una dirección única a cada uno de los recursos de información disponibles en Internet.
Vulnerabilidad: Debilidad o
inexistencia de control. Las vulnerabilidades pueden ser aprovechadas por las
amenazas para ocasionar un incidente de seguridad.
Normativa
El siguiente listado no pretende ser exhaustivo, pero presenta
algunas normas que alcanzan principalmente al Sector Público Nacional.
> Decisión Administrativa Nº 669/2004 de la Jefatura de Gabinete de
Ministros: Políticas de Seguridad de
la Información para el Sector Público Nacional.
http://infoleg.mecon.gov.ar/infolegInternet/verNorma.do?num=102188&INFOLEG_OLD_QUERY=true
> Ley Nº 25.164: Ley marco de regulación del Empleo Público Nacional
(Art. 23).
http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-64999/60458/norma.htm
> Ley Nº 25.188: Ética en el servicio de la función pública (Art.
2).
http://infoleg.mecon.gov.ar/infolegInternet/anexos/60000-64999/60847/norma.htm
> Ley Nº 26.388: Modificación del Código Penal en materia de delitos
informáticos.
http://infoleg.mecon.gov.ar/infolegInternet/anexos/140000-144999/141790/norma.htm
> Ley Nº 25.326: Protección de Datos Personales.
http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/texact.htm