Hola buenas!

Soy nuevo por aquí, bueno, he de decir que ya me había pasado por aquí muchas veces antes sin estar registrado, así que lo primero hola a todos.

Hoy, en Madrid, se han celebrado varias conferencias debido al DISI 2009 (Día Internacional de la Seguridad de la Información), con expertos de lujo, ha estado realmente bien, y un tema que se ha tocado varias veces ha sido que la inyección SQL es algo cómodo y "moderno" con lo que pueden aprovecharse vulnerabilidades en una base de datos.

Y mi pregunta viene a ser más o menos esta:
¿cómo está penado el acceder a una base de datos remota?

Obviamente si se altera la base de datos (se borran tablas, etc) es grave, pero
si se consigue llegar a sacar información de una base de datos que en teoría es confidencial, como dni's o algo así,
¿está considerado un delito, o multado o penado de alguna forma?

Es simplemente que tengo curiosidad por el tema, ya que no sé hasta qué punto es delito, si lo fuese, o hasta que punto es "legal" hacer consultas mediante sql injection hasta obtener información de la base de datos, sin realizar nada más.

Bueno siento el rollete, espero respuestas, y gracias de antemano por ellas.
Saludos!

No ya si por ser ilegal... pero no creo que nuestra constitución recoja eso como delito.

Otro tema que se tocó hoy es que van a modificar la ley actual y van a insertar (lo van a hacer en Alemania y en España si no mal recuerdo) que aquel que tenga programas o herramientas dedicadas, o simplemente, que puedan ser usadas para fines perversos será castigado por la ley.

Viene a decir más o menos que a un cerrajero deberían multarle por tener herramientas para poder abrir una puerta blindada en menos de diez minutos...

Lo han comentado hoy en el DISI 09, no sé si será así exactamente pero.. menuda aberración.
Saludos!

Peibol presidente!

Haber no confundir cosas  , hacer un ping no es ilegal ni siquiera escanear un puerto.

Por lo que comentas de extraer información "confidencial" es un delíto igual que por ejemplo alterar o destruir la página web de una empresa. Por desgracia muchos delítos pasan impúnes pero cuando hay perdidas económicas por delante es a veces el motívo que hace que la ley sea eficiente.

Si a una empresa le roban información, puede crear una perdida económica importante, como también puede ser modificar parcialmente o totalmente la web de esta. Por lo que comenta alguien de sancionar a la empresa eso es muy relativo, hay empresas que se dejan los cuernos por la seguridad y un buen dia alguien puede entrar mediante una vulnerabilidad, sería diferente que se demostrase que una empresa que contiene información "confidencial" inviertiera 0 en la seguridad de sus datos.

Antetodo gracias por las respuestas.

Entiendo lo que skapunky quiere decir con lo de las pérdidas económicas, pero supongamos que encuentras una vulnerabilidad en una base de datos de una web, y ves que haciendo una consulta SQL puedes extraer esa información confidencial, pero ni la almacenas, ni la mandas a ningún sitio ni la haces pública ni nada, simplemente haces un un selec dni from tabla por ejemplo y funciona.

Tú no quieres la información, pero para descubrir la vulnerabilidad obviamente has tenido que probarla (aunque a veces no hace ni falta pero bueno).
¿Eso es un delito o puede estar penado? Porque sé de algún caso en el que se reporta y no ocurre nada y otros en el que ocurre todo lo contrario.

Pero vamos me refiero en cualquier descubrimiento de una vulnerabilidad.

O como por ejemplo al Todopoderoso Neptuno hijo de Chuck Norris que realizó un DoS hace poco a esta web, qué le puede caer a ese? En dos casos, sabiendo que es menor y suponiendo que no lo fuera.
Que no sé si visteis la entrevista que le hicieron en un periódico, pero era para cortarse las venas xD.
Saludos!

  Hombre eso no es ser Todo poderoso cualquiera cortando y pegando en el subforo de visual basic puede hacer algo asi la cuestion es que es muy chaval 17 años XD a lo mucho pasara dos años en la correccional y luego saldra becado para alguna UNI con un poco de compañias al acecho   en si no fue tan estupido dentro de 10 años podria estar en alguna empresa poderosa dando foros de como el hizo su botnet   y sin querer queriendo se hizo con un espacio en el Underground y quieranlo o no su carrera apenas com¡enza   ....

Haber, no se engañen, estos "hackers" que luego han trabajado para grandes empresas o han ganado mucha pasta no són como este chico que a abandonado los estudios en 2 de ESO, y su máxima aspiración en una entrevista es decir que se cree mas listo que los demás. Por descontar su imágen bastante bacala....

Las empresas, cogen a gente formada, estos "hackers" que comentavan sabian lo que hacían, tenían conocimientos y el mito ese que un sin estudios fracasito (diria Risto) puede liderar una empresa de seguridad o software, eso son leyendas.

Crear una botnet no quiere decir que sepas mucho...mal estaría al mundo si las empresas cojíeran a fracasitos.

PD: No se preocupen ni que las universidades privadas, ni las públicas, ni las empresas se interesarán. En eso no hay duda, no se confundan. Lo digo mas que nada porque quizá hay gente como este chico que cree que pueden conseguir algo así y lo único que consiguen es hundirse mas.

No, las empresas no cojen a fracasitos.

Mira, harémos una cosa, podríamos contrastar la notícia que al creador del virus ese para el iphone lo han contratado en una empresa. El chico del virus del iphone ha innovado, ha sido capaz de encontrar diversos "fallos" para poder propagar su virus. Se puede asegurar que este chico para lograr lo que ha hecho tiene unos conocimientos y no solo eso, sinó que ha sido capaz con estos de elaborar un software capaz de explotarlos. Dejando de lado si lo que hizo está bien o está mal nadie puede negar que lo que ha hecho ha sido un gran avance.

Por otro lado, el chico detenido por la botnet no ha innovado en nada, hay muchísimas botnets y muchos creadores de malware. Dejando de lado que cualquier puede copiar códigos, explotar vulnerabilidades ya descubiertas...el infectar 35.000 ordenadores hoy dia con un gusano no supone ningun privilegio ni hazaña.

Ya bajo mi punto de vista, y no solo aquí, he leído que seguro que las empresas lo irán a buscar para darle trabajo y me parece una afirmación totalmente errónea y negativa para la "sociedad virtual" que tenémos.

Haber si ahora todos los jóvenes se van a pensar que creando un malware he infectando o dañando sistemas las empresas los van a contratar, eso es totalmente falso. Por no decir que los poquisimos casos que se han dado són excpepcionales ya que las características de los hechos y estas personas són totalmente diferentes, y no solo eso, sinó también la contextualización de la época.

Por otro lado, cabe tener en cuenta la expansión mediática de cada caso, pero no por ser mayor la probabilidad de ser contratado aumenta. Las empresas no contratan al primer pirado que encuentran por el mundo.

Por último comentar lo que algún usuario a comentado en un post anterior, ninguna universidad como he dicho le dará beca. Una persona que no a acabado 2 de la ESO ni siguiera sabe hacer raizes cuadradas...vaya, decir esa afirmación ya es tener poco sentído común.