Antologia DSS Completa

32a
Institucin Certificada Norma ISO 9001:2000
INSTITUTO TECNOLGICO SUPERIOR DE CENTLA
Academia de Informtica y Sistemas Computacionales

Antologa
DSB-0705 DESARROLLO DE SOFTWARE SEGURO
Presentan Ing. Manuel Torres Vsquez
Revisado por los integrantes de la academia de Informtica y Sistemas Computacionales

Material compilado con fines acadmicos
Fecha elaboracin: Julio 2010
Tabla de Contenido
Unidad I Introduccin a la seguridad del software
1.1 1.2 1.3 1.4
1.5 1.6 1.7
1.8 1.9
Concepto de Software Casos reales de fallas en el software Futuro del software Fuentes para informacin de vulnerabilidades 1.4.1. Buqtraq 1.4.2. CERT Advisores 1.4.3. RISK Digest Tendencias tcnicas que afectan a la Seguridad del Software Breanking and patch (romper y actualizar) Metas de la Seguridad enfocadas al Software 1.7.1. Prevencin 1.7.2. Auditable y trazable 1.7.3. Monitoreo 1.7.4. Privacidad y Confidencialidad 1.7.5. Seguridad Multiniveles 1.7.6. Anonimato 1.7.7. Autenticacin 1.7.8. Integridad Conocer al enemigo Metas de proyecto de Software
Asignatura: Desarrollo de Software Seguro

Material compilado con fines acadmicos, se prohbe su reproduccin total o parcial sin autorizacin de cada autor.
Unidad II Administracin de los riesgos en la seguridad del software
2.1 Descripcin de la administracin de los riesgos en la Seguridad del Software 2.2 Administracin de los riesgos en la seguridad del Software en la prctica 2.2.1 Pruebas de Caja Negra 2.2.2 Equipo Rojo 2.3 Criterios Comunes
Unidad III Cdigo abierto o cerrado
3.1 3.2 3.3 3.4
Seguridad por Oscuridad Ingeniera en Reversa Cdigo Fuente Abierto Falacias del cdigo abierto

Unidad IV Principios guas del software seguro 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 Principio Principio Principio Principio Principio Principio Principio Principio Principio Principio 1. Reducir las lneas dbiles 2. Defensa por pasos o capas 3. Seguramente fallar 4. Menos privilegios 5. Segmentacin 6. Mantenerlo simple 7. Promover la privaca 8. Ocultar secretos es difcil 9. Transparentar el cdigo 10. Usar recursos comunes
Unidad V Auditoria de software
5.1 Definicin de Arquitectura de Seguridad 5.2 Principios de la Arquitectura de Seguridad 5.3 Anlisis de la Arquitectura de Seguridad 5.3.1 Diseo 5.3.2 Implementacin 5.3.3 Automatizacin y pruebas 5.3.4 rboles de Ataque 5.3.5 Reporte del Anlisis 5.4 Implementacin del Anlisis de Seguridad 5.4.1 Auditoria de Cdigo Fuente 5.4.2 Herramientas de Auditoria de Seguridad de Cdigo

Unidad VI Cdigo seguro
6.1 6.2 6.3 6.4
Definicin de Cdigo Seguro Lenguaje Ensamblador Lenguajes de Programacin Tcnicas de Cdigo Seguro 6.4.1 Buffer Overflows 6.4.2 Heap Overflows 6.4.3 Formato de cadena 6.4.4 Exploits 6.4.5 Race conditions 6.4.6 SQL injection 6.4.7 Cross Site & Cross-Domain Scripting 6.4.8 Fault Injection

Unidad VII Pruebas de software 7.1 Fases de las Pruebas de Software 7.1.1 Modelado del ambiente del software 7.1.2 Seleccin de escenarios de prueba 7.1.3 Ejecucin y evaluacin de los escenarios de prueba 7.1.4 Medicin del progreso de las pruebas 7.2 Prcticas de las Pruebas de Software 7.2.1 Bsicas 7.2.1.1 Especificaciones funcionales 7.2.1.2 Revisin e inspeccin 7.2.1.3 Entrada formal y criterios de salida 7.2.1.4 Prueba funcional 7.2.1.5 Pruebas multiplataforma 7.2.1.6 Ejecucin automatizada de prueba 7.2.1.7 Programas beta 7.2.2 Fundamentales 7.2.2.1 Escenarios de usuario 7.2.2.2 Pruebas de utilidad 7.2.2.3 Requerimientos para la planificacin de la prueba 7.2.2.4 Generacin automatizada de la prueba 7.2.3 Incrementales 7.2.3.1 Cobertura de cdigo 7.2.3.2 Generador de ambiente automatizado 7.2.3.3 Diagrama del estado de la prueba 7.2.3.4 Simulacin de falla en la memoria 7.2.3.5 Pruebas estadsticas 7.2.3.6 Mtodos semiformales 7.2.3.7 Registro de la prueba para el cdigo 7.2.3.8 Benchmark 7.2.3.9 Generacin de errores (bugs)

Unidad VIII Derechos de autor en Mxico (software)
8.1 Ley Federal del Derecho de Autor (LFDA) en Mxico 8.1.1 Definicin 8.1.2 Artculos para la proteccin jurdica del software 8.1.3 Derechos que se confieren a travs de la LFDA 8.1.3.1 Derechos morales 8.1.3.2 Derechos patrimoniales 8.2. Instituto Nacional del Derecho de Autor (INDAUTOR) 8.2.1 Definicin 8.2.2 Ubicacin del INDAUTOR 8.3 Direccin General de Asuntos Jurdicos de la UNAM (DGAJ) 8.3.1 Definicin 8.3.2 Relacin con el INDAUTOR 8.3.3 Ubicacin de la DGAJ 8.4 Registro del software 8.4.1 Procedimiento y requerimientos para registrar software en el INDAUTOR. 8.4.2 Procedimiento y requerimientos para registrar software en la DGAJ. 8.4.3 Ventajas y desventajas al registrar software 8.5 Violacin a los Derechos de Autor 8.6 Leyes que brindan proteccin jurdica al software en caso de violacin. 8.7 Sociedades de Gestin Colectiva 8.7.1 Qu es una Sociedad de Gestin Colectiva? 8.7.2 Procedimiento y requerimientos para registrar una Sociedad de Gestin Colectiva. 8.7.3 Obligaciones y privilegios al formar parte de una Sociedad de Gestin Colectiva.

Unidad I Introduccin a la seguridad del software Objetivo: El alumno conocer y comprender los fundamentos tericos, tendencias y metas de la seguridad en el software. Contenido: 1.1 1.2 1.3 1.4 Concepto de Software Casos reales de fallas en el software Futuro del software Fuentes para informacin de vulnerabilidades 1.4.1. Buqtraq 1.4.2. CERT Advisores 1.4.3. RISK Digest Tendencias tcnicas que afectan a la Seguridad del Software Breanking and patch (romper y actualizar) Metas de la Seguridad enfocadas al Software 1.7.1. Prevencin 1.7.2. Auditable y trazable 1.7.3. Monitoreo 1.7.4. Privacidad y Confidencialidad 1.7.5. Seguridad Multiniveles 1.7.6. Anonimato 1.7.7. Autenticacin 1.7.8. Integridad Conocer al enemigo Metas de proyecto de Software
1.5 1.6 1.7
1.8 1.9

1.1 CONCEPTO DE SOFTWARE
El software es el nexo de unin entre el hardware y el hombre. El computador, por s solo, no puede comunicarse con el hombre y viceversa, ya que lo separa la barrera del lenguaje. El software trata de acortar esa barrera, estableciendo procedimientos de comunicacin entre el hombre y la mquina; es decir, el software obra como un intermediario entre el hardware y el hombre. El software es un conjunto de programas elaborados por el hombre, que controlan la actuacin del computador, haciendo que ste siga en sus acciones una serie de esquemas lgicos predeterminados. Tal caracterstica lgica o inteligente del software es lo que hace que se le defina tambin como la parte inmaterial de la informtica, ya que aunque los programas que constituyen el software residan en un soporte fsico, como la memoria principal o los disquetes (o cualquier dispositivo rgido de almacenamiento), la funcin de los programas en un computador es semejante a la del pensamiento en un ser humano. Si bien el progreso del hardware es cada vez mayor y los dispositivos fsicos se construyen cada vez con ms inteligencia incluida, en forma que se resuelven por hardware funciones anteriormente slo factibles por software, es prcticamente imposible que el avance tecnolgico llegue algn da a eliminar la necesidad de software, ya que ste tambin evoluciona y las facilidades que el usuario pide al computador son cada da ms sofisticadas. La clasificacin bsica es: Software de Sistema y Software de Aplicacin. El software de sistema es el software bsico o sistema operativo. Es un conjunto de programas cuyo objeto es facilitar el uso del computador (asla de la complejidad de cada dispositivo, y presenta al exterior un modelo comn de sistema de manejo para todos los dispositivos) y conseguir que se use eficientemente El software de aplicacin Son los programas que controlan y optimizacin la operacin de la mquina, establecen una relacin bsica y fundamental entre el usuario y el computador, hacen que el usuario pueda usar en forma cmoda y amigable complejos sistemas

hardware, realizan funciones que para el usuario seran engorrosas o incluso imposibles, y actan como intermediario entre el usuario y el hardware. 1.2 CASOS REALES DE FALLAS EN EL SOFTWARE
El caso del desastre del Ariane-5, famoso por haberse producido por una falla en el software de abordo. Segn la European Spacial Agency (ESA), administradora del programa, la desviacin en la trayectoria fue ocasionada por la computadora que controlaba los dos poderosos impulsores del cohete. Se especulo que la computadora crey que el cohete se estaba saliendo de curso y de esta manera trataba de corregir la trayectoria de vuelo. De acuerdo con el reporte final, la causa de la falla del sistema ocurri durante la conversin de un nmero flotante de 64 bits a un nmero entero de 16 bits. Otro de los casos de fallas en software que caus graves daos a la integridad de las personas, Therac-25. Era un aparato para el tratamiento del cncer por emisin de rayos cuyos controles (de la cantidad de energa emitida) implementados en hardware fueron removidos y slo se dejaron los de software que (obviamente) fallaron. Error en un sistema de autenticacin de tarjetas de crdito (1995) Los dos sistemas ms grandes en ese pas para la autorizacin de crdito (Barclays PQD y NatWests Streamline) fallaron el sbado 28 de octubre de 1995 imposibilitando que los comercios verificaran las tarjetas de crdito de sus clientes. En el caso de Barclay, ms de 40% de las transacciones fallaron por un error en el sistema de software. Para NatWest, el problema fue ocasionado por una gran cola de llamadas, que obstruyo la comunicacin por razones desconocidas, y que retraso la autentificacin de tarjetas. Software inapropiado llev a un distribuidor de medicina a la quiebra. El 27 de agosto de 1998 la revista Der Spiege, en Alemania, inform de una demanda de 500 millones de dlares a SAP por parte del distribuidor de medicinas FoxMeyer Corp. Esta ltima acus a SAP de venderle software inapropiado para sus necesidades, lo cual tuvo como resultado la quiebra de Fox Meyre. Analistas alemanes comentaron que no consideran que un software sea apropiado para llevar a la ruina a una compaa.

Error en sistema de cobranza de MCI (1996). En la edicin de 29 de marzo de 1996 del Washington Post, MCI reporto que le devolveran aproximadamente 40 millones de dlares a sus clientes por un error de cobranza causada por un sistema de cmputo.
El error de cobranza fue descubierto por un reportero investigador de una estacin local de televisin en Richmond, VA, quien encontr que fueron facturados por 4 minutos siendo que en realidad la llamada fue de 2.5 minutos, dando lugar a una profunda investigacin.
1.3 FUTURO DEL SOFTWARE "El futuro del software es un desafo"
Empecemos con una paradoja: el futuro del software comienza con el fin del software. Al menos, el fin del software tal y como lo conocemos. El software cliente/servidor tradicional es un modelo acabado, en particular para las organizaciones de TI que desean contribuir realmente al balance final. Para comprender el futuro del software empresarial, no hace falta ir muy lejos: la Web de consumidores. Al igual que los servicios Web para consumidores como Google, eBay y Amazon.com estn sustituyendo al software estndar para consumidores, cada vez ms aplicaciones empresariales estn trasladndose a la Web. En 2005, se calcul que las ventas de SaaS (software como servicio) supusieron un 5% del total de las ventas de software empresarial. En 2011, se prev que la cuota aumente hasta el 25%. Los cambios implican un desafo interesante para todos los involucrados en el desarrollo de software. Y el hardware, que durante muchos aos ha sido el cuello de botella de los sistemas informticos, crecer hasta volverse de 50 a 100 veces ms poderoso que en la actualidad. Esto representa una dificultad adicional, la de utilizar toda esa capacidad ociosa para convertirla en algo productivo, ya que no sera inteligente tomar sistemas que actualmente desperdician millones de ciclos de CPU y agregarle ms capacidad

sin modificar el uso que reciben, para de ese modo desperdiciar ms poder an. Sin dudas, "se avecina un nuevo paradigma de software, y he aqu el mayor desafo". Cualquier especulacin sobre el futuro del software merece, como mnimo, una revisin de los principales cambios a lo largo de su historia, como:
El paso del ordenador central a los sistemas cliente/servidor, que tuvo como consecuencia la transicin desde sistemas existentes a sistemas empresariales estndar. El auge de los ordenadores personales que desemboc en una productividad de los usuarios sin precedentes, as como una proliferacin de islas de datos. El auge de Internet, que condujo a una explosin de informacin y cambi el modo en que millones de personas trabajan, juegan y compran. Tambin el aumento del uso de Internet y el acceso permanente a la red. La aparicin de estndares y tecnologas de servicios Web, como las arquitecturas multiusuario. El paso hacia los enfoques de arquitectura orientada a servicios (SOA) por parte de los principales proveedores de software, lo que facilitaba la integracin con los sistemas de servidor. La aparicin del modelo On-Demand, que supona el cambio de un modelo en propiedad a un modelo en alquiler y que liberaba a las empresas de los problemas y los gastos que conllevaba la propiedad. Salesforce.com es uno de los ejemplos ms satisfactorios de este modelo con 55,400 clientes y ms de 800 aplicaciones.

1.4 FUENTES PARA LA INFORMACIN DE VULNERABILIDADES
En cualquier caso conviene indicar las fuentes ms importantes de informacin asociada a vulnerabilidades de seguridad. No hay que olvidar que la mayor parte de esta informacin es de dominio pblico y que los desarrollos posteriores que puedan hacerse (bien a medida internamente o contratados) van a estar basados en las mismas fuentes:
El diccionario CVE, desarrollado por la corporacin Mitre y disponible en http: //cve.mitre.org, que sirve como un elemento integrado de distintas fuentes y herramientas de seguridad. En esencia se trata de llamar a una vulnerabilidad siempre igual (con el mismo identificador). La base de datos de vulnerabilidades y alertas del centro de respuesta y coordinacin ante emergencias de Internet, el CERT/CC, disponible en http:// www.kb.cert.org/vuls. Las bases de datos de vulnerabilidades son una herramienta clave a la hora de detectar posibles problemas de seguridad y prevenirlos La famosa base de datos de Bugtrag (basada en gran parte en la informacin publicada en la lista de correo de seguridad del mismo nombre), adquirida por la empresa de seguridad Symantec, disponible en http: //www.securityfocus.com/bid. Es posiblemente la ms completa (alrededor de 10.000 vulnerabilidades hasta la fecha) y sobre sta Symantec ha desarrollado un servicio comercial. La base de datos de Xforce, desarrollada por el fabricante de productos de seguridad Internet Security Systems (ISS), disponible en http://xforce.iss.net. Sirve de base tanto a los productos de seguridad de la compaa (herramientas de deteccin de intrusos, sistemas de anlisis de vulnerabilidades...) como de servicios comerciales basados en sta. La base de datos ICAT publicada por el instituto de estndares del Gobierno norteamericano, el NIST, y disponible en http://icat.nist.gov. Se trata de una metabase de datos de informacin de vulnerabilidades, con ms de 6.500 referencias a CVE y a las bases de datos arriba indicadas. Se

distribuye como un fichero de Microsoft Access (o en formato CSV) para su libre utilizacin. Dentro de estas fuentes de informacin podemos encontrar todo tipo de vulnerabilidades, desde ataques a servidores IIS de Microsoft a travs de cdigo Unicode hasta desbordamientos de bfer de Oracle Application Server, pasando por pequeas vulnerabilidades de sistemas Windows como las existentes en la ayuda online de Windows. Como es lgico todas estas bases de datos se estn actualizando continuamente, a medida que se publicitan nuevos fallos de seguridad. Las fuentes de informacin de vulnerabilidades de seguridad y, entre ellas, las bases de datos de vulnerabilidades, son una herramienta clave a la hora de detectar posibles problemas de seguridad y prevenirlos. Estas fuentes dan, si bien no en tiempo real, informacin de los principales problemas asociados a los principales fabricantes de software y hardware (y algunos menos conocidos), en muchos casos con sus posibles soluciones, y con informacin que permitir determinar la premura con la que se debe arreglar la vulnerabilidad (en base a su impacto, al riesgo existente debido a la existencia o no de aprovechamientos de la misma...).
1.5 TENDENCIAS TECNICAS QUE AFECTAN A LAS ENTIDADES DEL SOFTWARE
Tendencias que afectan a los sistemas de informacin Al considerar un Sistema de Informacin como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema:
Actualizaciones Se refiere a que los sistemas de informacin de cualquier empresa, debe ser revisado peridicamente; no con una frecuencia continua, sino mas bien espaciada, se recomienda las revisiones bianuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadsticos, es recomendable dentro de un ao cambiarlo, todo lo que es mquinas y software; porque si no realizaramos esto, se cambiara toda la estructura organizacional de la misma).

Reestructuracin Organizacional (Puede ser una reestructuracin con los mismos puestos). Una reestructuracin organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trmites o procesos, la reestructuracin puede ser de varios tipos, as por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuracin de objetivos, etc. Siempre la reestructuracin afecta a los sistemas de informacin de la empresa.
Revisin y Valorizacin del escalafn (No es para bien si no tambin para mal) La revisin y la revalorizacin del escalafn se espera que afecte a favor de los sistemas de informacin de las empresas, si el efecto es contrario el auditor deber emitir un informe del empleado a los empleados (Especficamente de departamentos), que estn boicoteando la informacin de la empresa.
Cambios en el flujo de Informacin (Datos para el sistema de Informacin) Se refiere al cambio de flujo de datos exclusivamente en el rea informtica, esto afecta directamente en sistema informtico y por tanto al sistema de informacin. En lo que respecta a la Auditora informtica, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, ms seguridad, backup). As por ejemplo: Se ha cambiado el flujo de informacin en el rea contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de informacin, en el cual se ingresan los datos a un sistema informtico, y de acuerdo a los parmetros y normas de la empresa el sistema arroja un sueldo lquido a cobrarse, genera automticamente el reporte, los cheques y el contador solo aprueba este reporte). (Un ejemplo es cuando existe migracin de datos, la informacin migra o se cambia a otro sistema ms sofisticado).

1.6
BREAKING AND PATCH
Actualizacin Modificacin que se aplica al software para corregir un problema o incorporar una funcin nueva. Realizar los pasos necesarios para aplicar actualizaciones a un sistema. El sistema se analiza y, a continuacin, se descargan y se aplican las actualizaciones. Se denomina tambin patch. Actualizacin con firma Actualizacin que incluye una firma digital vlida. Las actualizaciones firmadas ofrecen mayor seguridad que las que no disponen de firma. La firma digital de la actualizacin puede verificarse antes de aplicarla al sistema. Las firmas digitales vlidas aseguran que las actualizaciones no se han modificado desde que stas se aplicaron. Las actualizaciones firmadas se almacenan en archivos con formato Java Archive (JAR). Actualizacin de funcin Actualizacin que incorpora una nueva funcin en el sistema. Actualizacin sin firma Actualizacin que no incluye una firma digital. Parche (informtica) En informtica, un parche es una seccin de cdigo que se introduce a un programa. Dicho cdigo puede tener varios objetivos; sustituir cdigo errneo, agregar funcionalidad al programa, aplicar una actualizacin, etc. Los parches suelen ser desarrollados por programadores ajenos al equipo de diseo inicial del proyecto (aunque no es algo necesariamente cierto). Como los parches se pueden aplicar tanto a un binario ejecutable como al cdigo fuente, cualquier tipo de programa, incluso un sistema operativo, puede ser objeto de un parche. El origen del nombre probablemente se deba a la utilidad de Unix llamada patch creada por Larry Wall

Tipos segn su propsito Parches de depuracin El objetivo de este tipo de parches es reparar bugs, o errores de programacin que no fueron detectados a tiempo en su etapa de desarrollo. Se dice que un programa que se lanza con una alta probabilidad de contener este tipo de errores se le llama versin beta. Parches de seguridad Los parches de seguridad solucionan agujeros de seguridad y, siempre que es posible, no modifican la funcionalidad del programa. Los parches de seguridad son especialmente frecuentes en aplicaciones que utilizan la red. Parches de actualizacin Consiste en modificar un programa para convertirlo en un programa que utilice metodologas ms nuevas. Por ejemplo, optimizar en tiempo cierto programa, utilizar algoritmos mejorados, aadir funcionalidades, eliminar secciones obsoletas de software, etc.

1.7
METAS DE LA SEGURIDAD ENFOCADAS AL SOFTWARE
La Arquitectura de Seguridad de Informacin es la prctica de aplicar un mtodo riguroso y comprensivo para describir una estructura actual y/o futura y el comportamiento de los procesos de seguridad de una organizacin, sistemas de seguridad de informacin y subunidades de personal y organizativas, para que se alineen con las metas comunes de la organizacin y la direccin estratgica. Aunque a menudo se asocie estrictamente con tecnologas para la seguridad de la informacin, se relaciona en trminos ms generales con la prctica de seguridad de optimizacin del negocio, donde dirige la arquitectura de seguridad del negocio, la realizacin de gestiones y tambin la arquitectura de procesos de seguridad. La Arquitectura de Seguridad de Informacin en la Empresa est convirtindose en una prctica habitual dentro de las instituciones financieras alrededor del mundo. El propsito fundamental de crear una arquitectura de seguridad de informacin en la empresa es para asegurar que la estrategia de negocio y la seguridad de las tecnologas de la informacin (TI) estn alineadas. Como tal, la arquitectura de seguridad de la informacin en la empresa permite la trazabilidad desde la estrategia de negocio hasta la tecnologa subyacente. Metas de la Seguridad Proporcionar estructura, coherencia y cohesin Debe permitir un alineamiento del negocio hacia la seguridad Principios inicio-fin definidos con estrategias de negocio Asegurar que todos los modelos e implementaciones pueden ser trazados hacia atrs hasta la estrategia de negocio, especficamente requerimientos de negocio y principios clave Proveer abstraccin para que factores complicados puedan ser eliminados y reinstalados en niveles de detalle diferente slo cuando sean requeridos Establecer un lenguaje comn para la seguridad de la informacin dentro de la organizacin

Proteccin del software:
Los programas de ordenador actualmente estn expresamente excluidos de la proteccin a travs de patentes en el artculo 4 de la Ley espaola de patentes 11/1986. La proteccin que se aplica con carcter general a este tipo de resultado de investigacin ser la que le otorga la Ley de Propiedad Intelectual. Concretamente el ttulo VII se dedica los programas de ordenador. Una caracterstica principal de este tipo de proteccin consiste en que los derechos sobre la obra (en este caso programa de ordenador) se generan automticamente desde el momento en que se ha creado el programa. Esto significa: Que no hace falta inscribir el programa en ningn tipo de registro para que nazcan derechos de exclusiva sobre el mismo. Que se puede publicar cualquier referencia al programa en revistas especializadas haciendo referencia a los derechos de la UPV y a los autores. En ningn caso es conveniente desvelar el cdigo fuente a terceros.

1.7.1 PREVENCION
Un sistema de prevencin/proteccin para defenderse de las intrusiones y no slo para reconocerlas e informar sobre ellas, como hacen la mayora de los IDS. El software de prevencin contempla: Gestin de prevencin de riesgos a nivel de centros de trabajo y trabajadores. Gestin de subcontratas. Histrico de evaluaciones de riesgos realizadas. Composicin de equipos de emergencia. Histrico de cursos de prevencin y seguridad realizados. Estadsticas de siniestralidad. Anlisis de accidentes. Control de la Formacin en materia de prevencin. Gestin de Equipos de proteccin individual entregados al personal. La efectividad de la prevencin general tiene una doble vertiente: La prevencin general positiva: es aqulla que va encaminada a restablecer la confianza del resto de la sociedad en el sistema. La prevencin general negativa: es aqulla que va encaminada a disuadir a los miembros de la sociedad que no han delinquido, pero que se pueden ver tentados a hacerlo, a travs de la amenaza de la pena.

1.7.2 AUDITABLE Y TRAZABLE
Auditable: es tanto la solucin tecnolgica, como sus componentes de hardware y/o software debe ser abierta e ntegramente auditable antes y posteriormente a su uso. Consideramos que tambin debe ser auditable durante su uso y no restringirlo nicamente a las etapas del antes o el despus.
Auditabilidad de bases de datos El acceso global a la Informacin que trajo el advenimiento de la Tecnologa de Internet, ha hecho que el problema de Seguridad de la Informacin se acrecentara de manera alarmante. En funcin de esta realidad, se deben extremar los requerimientos de Seguridad en todos los elementos que configuren el Sistema de Informacin. El Sistema de Base de Datos que decidamos utilizar en una aplicacin determinada, deber ser valorado fundamentalmente por la Seguridad que brinda. Existen, actualmente, criterios de Evaluacin de Seguridad, con validez internacional, que permiten clasificar cada Sistema de Base de Datos en distintas categoras de acuerdo a la valoracin, que de l hagan, grupos de expertos en el tema. Asimismo deber estudiarse con sumo cuidado las facilidades que el Sistema de Base de Datos ofrezca para su auditabilidad, qu tipo de informacin generan, con qu facilidad se pueden definir opciones, etc. Un aspecto que merecer tambin nuestra atencin ser el control de acceso que posea, la posibilidad de definicin de perfiles y grupos de perfiles. Si el procesamiento es distribuido ser objeto de nuestra atencin el procesamiento y replicacin segura, cmo as tambin todo mecanismo que garantice la integridad de los Datos en forma automtica. La propiedad del resultado de una medida o del valor de un estndar donde este pueda estar relacionado con referencias especificadas, usualmente estndares nacionales o internacionales, a travs de una cadena contina de comparaciones todas con incertidumbres especificadas. En la actualidad existe una propuesta de formato estndar para contener, transmitir y compartir la trazabilidad. Son los archivos ILE de trazabilidad encapsulada. Estos archivos pueden contener la historia completa de cualquier producto, de acuerdo con las restricciones formales de cualquiera de las legislaciones vigentes en cuanto a trazabilidad y seguridad alimentaria. Estos archivos de trazabilidad encapsulada se pueden ver y editar de manera gratuita

con el software freeware ilEAN Writer 2.0 e ilEAN Reader 2.0... Adems de con una larga lista de sistemas estndar de los ms importantes fabricantes de software. Esta consiste en la capacidad para reconstruir la historia, recorrido o aplicacin de un determinado producto, identificando: Origen de sus componentes. Historia de los procesos aplicados al producto. Distribucin y localizacin despus de su entrega. Al contar con esta informacin es posible entregar productos definidos a mercados especficos, con la garanta de conocer con certeza el origen y la historia del mismo. El concepto de trazabilidad est asociado, sin duda, a procesos productivos modernos y productos de mayor calidad y valor para el cliente final. La trazabilidad es aplicada por razones relacionadas con mejoras de negocio las que justifican su presencia: mayor eficiencia en procesos productivos, menores costes ante fallos, mejor servicio a clientes, etc. En este mbito cabe mencionar sectores como los de automocin, aeronutica, distribucin logstica, electrnica de consumo, etc., Un sistema de trazabilidad es un conjunto de disciplinas de diferente naturaleza que, coordinadas entre si, nos permiten obtener el seguimiento de los productos a lo largo de cualquier cadena del tipo que sea. Si entendemos como trazabilidad a: "un conjunto de procedimientos preestablecidos y autosuficientes que permiten conocer el histrico, la ubicacin y la trayectoria de un producto, o lote de productos a lo largo de la cadena de suministros, en un momento dado y a travs de unas herramientas determinadas", un sistema de trazabilidad deber de estar compuesto por:
1. Sistemas de identificacin 1. Un sistema de identificacin del producto unitario 2. Un sistema de identificacin del embalajes o cajas 3. Un sistema de identificacin de bultos o palets 2. Sistemas para la captura de datos 1. Para las materias primas 2. Para la captura de datos en planta 3. Para la captura de datos en almacn 3. Software para la gestin de datos 1. Capaz de imprimir etiquetas

2. Capaz de grabar chips RFID 3. Capaz de almacenar los datos capturados 4. Capaz de intercambiar datos con los sistemas de gestin empresariales Cuando un sistema de trazabilidad est soportado sobre una infraestructura, basa en las tecnologas de la informacin y las comunicaciones (TIC), la trazabilidad puede brindar importantes utilidades a los diferentes actores de una cadena de valor como ser: gestin eficiente de la logstica y del suministro y aumento de la productividad. El Software Trazabilidad es el aplicativo de software capaz de registrar la traza de los productos a lo largo de la cadena de suministro interna o externa,[1] empaquetarlos en un formato legible y prepararlos para poder ser gestionados por el propio software o como respuesta a una solicitud de servicio. El desarrollo de las soluciones para el control de la trazabilidad ha venido desarrollndose parejo a: 1. Los esfuerzos de las administraciones para controlar la calidad del producto que llega al usuario final para crear las legislaciones pertinentes. 2. Las necesidades empresariales para obtener informacin en tiempo real con el fin de fidelizar a los clientes. 3. Al desarrollo tecnolgico en plataformas informticas y tecnologa para la identificacin de productos y obtener la informacin en la medida de sus movimientos. Parece curioso que a medida que se han ido generando exigencias y normativas por parte de las administraciones para proteger al consumidor final, falta la figura de un organismo regulador general, o de un sistema globalizado para determinar que aspectos debe tener un registro de trazabilidad. As, se han ido creando normativas y legislaciones sobre trazabilidad por organismos de la EU. Para un software de trazabilidad, la dificultad radica en que no existe un patrn de empaquetamiento e intercambio de datos entre ninguno de ellos, por lo que las exigencias de dichas normativas son diferentes entre s, lo que provoca que la fabricacin de un producto deba cumplir normativas diferentes dependiendo del pas al que vaya destinado.

1.7.3 MONITOREO El Monitoreo es el proceso continuo y sistemtico mediante el cual verificamos la eficiencia y la eficacia de un proyecto mediante la identificacin de sus logros y debilidades y en consecuencia, recomendamos medidas correctivas para optimizar los resultados esperados del proyecto. Es, por tanto, condicin para la rectificacin o profundizacin de la ejecucin y para asegurar la retroalimentacin entre los objetivos y presupuestos tericos y las lecciones aprendidas a partir de la prctica. Asimismo, es el responsable de preparar y aportar la informacin que hace posible sistematizar resultados y procesos y, por tanto, es un insumo bsico para la Evaluacin. Monitoreo de Sistemas de Seguridad Este sistema permite el monitoreo desde cualquier lugar usando una simple computadora con acceso a internet. Instalacin, suministro, sistemas de c.c.t.v., sensores de humo, depende de que est siempre conectado a la red, y si no es as la seguridad de su casa o su negocio puede estar en peligro. Nuestro sistema de monitoreo le permite conocer cuando su sistema de vigilancia se encuentra no disponible y le permite tomar acciones de emergencia, ya sea ponerse en contacto con su personal de vigilancia, centrales de monitoreo o con su proveedor de internet. Cmo monitoreo servidores de bases de datos detrs de un firewall Use su lenguaje de programacin web preferido (por ejemplo, ASP, JSP, PHP, ColdFusion, Perl) para escribir un script para conectarse al servidor de base de datos y realizar una simple consulta. Si la consulta se ejecuta exitosamente, el script retorna algo como "Servidor de base de datos est ARRIBA". Finalmente, vaya a Monitoreo -> Agregar un Test y seleccione monitorear un sitio web. Ingrese la URL del script y especifique la palabra clave requerida "Servidor de base de datos est ARRIBA". Si nuestro sistema no puede hallar la palabra clave en la pgina, le notificar y sabr que el servidor de base de datos est cado.

Monitoreo de Dominios El monitoreo de URLs le ayuda a monitorear la disponibilidad de su sitio Web (o sitios Web, si tiene ms de uno) y a verificar si estn sirviendo pginas en tiempo real. Algunas tipos de monitoreo se encuentran: Monitoreo de URLs, directorios virtuales, coincidencia de contenido, servidores y aplicaciones Web.
El Software de Excelencia para Vigilancia y Monitoreo en Internet Spector Pro es el software ms vendido en el mundo para monitorear y grabar cada detalle de la PC o de la actividad en Internet, para tu oficina o tu casa. Sistema Avanzado de Advertencia. Este software Aparte de monitorear y grabar, cuenta con un Sistema Avanzado de Advertencia que te informar cuando una PC monitoreada ha sido utilizada de manera no apropiada. A travs del uso de palabras y frases claves que t especifiques, Spector Pro estar "en alerta", envindote por e-mail inmediata y detalladamente el reporte de cundo, dnde y cmo una palabra especfica fue usada cada vez que se escriba, que aparezca en la PC, en un sitio Web, en el Chat/mensaje instantneo o en un e-mail. La alerta se enviar a tu oficina, casa, celular o a donde t quieras.
1.7.4 PRIVACIDAD Y CONFIDENCIALIDAD La privacidad puede ser definida como el mbito de la vida personal de un individuo que se desarrolla en un espacio reservado y debe mantenerse confidencial.
Como cuidar nuestra privacidad Instalar un cortafuegos ayudara mucho evitando que un sujeto pueda entrar a nuestra computadora o bien que usen un troyano y quiz pueda robar informacin valiosa como tarjetas de crdito o claves, etc. Un antivirus que en lo posible tambin detecte spyware servir mucho para evitar que nos manden troyanos o spyware que envie informacin confidencial aunque si tenemos un firewall es probable que este bloquee el troyano/spyware al tratar de conectarse.

Un antispyware que ayuda a eliminar el spyware que entro a travs de distintas pginas. Usar un explorador alternativo a Internet Explorer o bien mantenerlo actualizado completamente. Mantener actualizado nuestro sistema operativo es importante para evitar que a travs de un fallo del mismo alguien se pueda apoderar de nuestra computadora y posteriormente de algo valioso. No entrar en pginas web sospechosas de robar contraseas o de mandar virus/spyware al PC. Cuando enven un correo electrnico a varios contactos utilicen el CCO 'correo oculto' para no mostrar los contactos y parezcan como privados
La confiabilidad de software significa que un programa particular debe de seguir funcionando en la presencia de errores. Los errores pueden ser relacionados al diseo, a la implementacin, a la programacin, o el uso de errores. As como los sistemas llegan a ser cada vez ms complejos, aumenta la probabilidad de errores. Como mencionamos, es increblemente difcil demonstrar que un sistema sea seguro. Ross Anderson dice que la seguridad de computacin es como programar la computadora del Satn. Software seguro debe de funcionar abajo de un ataque. Aunque casi todos los software tengan errores, la mayora de los errores nunca sern revelados debajo de circunstancias normales. Un atacante busca esta debilidad para atacar un sistema. La Confidencialidad es la propiedad de un documento o mensaje que nicamente est autorizado para ser ledo o entendido por algunas personas o entidades.Se dice que un documento o mensaje es confidencial si ste slo est autorizado a ser ledo o entendido por un destinatario designado.
CONFIDENCIALIDAD Compromiso de no dar informacin sobre un hecho mas que a la persona involucrada y a quienes ella autorice. Los resultados de anlisis clnicos y en especial el de VIH deben ser confidenciales. En la prctica muchos doctores, incluyendo los de instancias pblicas, comunican un resultado positivo a las autoridades de quien depende la persona afectada, violando con ello la confidencialidad y provocando en muchos casos el despido o la no aceptacin en un nuevo trabajo de la persona seropositiva. La confidencialidad se refiere a que la informacin solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicacin de los datos. La transmisin a travs de un

medio presenta mltiples oportunidades para ser interceptada y copiada: las lneas "pinchadas" la intercepcin o recepcin electromagntica no autorizada o la simple intrusin directa en los equipos donde la informacin est fsicamente almacenada.
1.7.5 SEGURIDAD MULTINIVELES La seguridad multinivel dispara el mercado antivirus y las aplicaciones de software antivirus estn experimentando un notable crecimiento como consecuencia del gran incremento y la compleja naturaleza de la actividad de intrusin de los virus, causantes de la infeccin masiva de sistemas y un importante impacto econmico. Con las mejoras que brindan los nuevos sistemas de proteccin multinivel en su esfuerzo por combatir todos los perjuicios comunes ms extendidos, las grandes compaas en particular, estn aumentando su inversin destinada a la erradicacin de los fallos de seguridad. El cambio gradual en la proteccin multinivel contra los virus en el mercado empresarial, ofrece oportunidades a un amplio abanico de vendedores de sistemas de seguridad. La seguridad multinivel (MLS) proviene de los sistemas de alta seguridad utilizados en Defensa, donde la informacin es manejada de acuerdo a su nivel de sensibilidad y a los permisos que tiene la persona que desea acceder a ella, es tambin actualmente, una de las mayores preocupaciones en el entorno empresarial. La seguridad multinivel tiene los siguientes aspectos diferenciales: La suite protege la seguridad en todo momento, incluso antes del arranque del sistema operativo. Posibilidad de proteger la informacin mediante cifrado Compatibilidad con DNI electrnico y Smartcards como tarjeta de autenticacin Control de los dispositivos de almacenamiento que pueden conectarse al PC (memorias USB, MP3, etc.) Control de las aplicaciones que pueden ser ejecutadas Nivel de seguridad adaptable a las necesidades de la empresa, con gestin centralizada y polticas definibles en base a perfil de usuario, PC y dispositivos concretos

La seguridad de software aplica los principios de la seguridad de informacin al desarrollo de software. La seguridad de informacin se refiere a la seguridad de informacin comnmente como la proteccin de sistemas de informacin contra el acceso desautorizado o la modificacin de informacin, si esta en una fase de almacenamiento, procesamiento o trnsito. Tambin la protege contra la negacin de servicios a usuarios desautorizados y la provisin de servicio a usuarios desautorizados, incluyendo las medidas necesarias para detectar, documentar, y contrarear tales amenazas.
1.7.6 ANONIMATO Annimo proviene del griego anonymos "sin nombre", compuesto del prefijo negativo an- "sin" y onoma "nombre". El anonimato es el estado de una persona siendo annima, es decir, que la identidad de dicha persona es desconocida. El anonimato es la condicin de la persona que oculta su nombre o su personalidad, simplemente porque no se lo ha identificado o porque la persona no puede o no quiere revelar su identidad. El nombre de Peer-to-Peer annimo puede entenderse como un nombre equivocado. Esto es debido a su diseo, un nodo de la red debe tener pseudnimo desde que tiene que tener una "direccin" para poder ser alcanzado por otro nodo igual para intercambiar datos. Sin embargo, normalmente esta direccin, especialmente en redes annimas, no contiene ninguna informacin que pueda permitir la identificacin. Por tanto, un usuario es casi pero no completamente annimo. En las redes amigo-a-amigo, slo tus amigos pueden saber que tu direccin est siendo usada para intercambiar ficheros. La navegacin Web, algo que suele verse como una actividad annima, temporal e irrelevante. Pero cuando navegamos, es frecuente que vayamos dejando muchos rastros respecto a lo que hacemos. Quiz a algunos no les importe todo esto, a otros s que les preocupar.

1.7.7 AUTENTICACIN Autenticacin o autentificacin es el acto de establecimiento o confirmacin de algo (o alguien) como autntico, es decir que reclama hecho por, o sobre la cosa son verdadero. La autenticacin de un objeto puede significar (pensar) la confirmacin de su procedencia, mientras que la autenticacin de una persona a menudo consiste en verificar su identidad. La autenticacin depende de uno o varios factores. Autenticacin o autentificacin, en trminos de seguridad de redes de datos, se puede considerar uno de los tres pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada: Autenticacin En la seguridad de ordenador, la autenticacin es el proceso de intento de verificar la identidad digital del remitente de una comunicacin como una peticin para conectarse. El remitente siendo autenticado puede ser una persona que usa un ordenador, un ordenador por s mismo o un programa del ordenador. En un web de confianza, "autenticacin" es un modo de asegurar que los usuarios son quin ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorizacin para hacer as. Autorizacin Proceso por el cual la red de datos autoriza al usuario identificado a acceder a determinados recursos de la misma. Auditora Mediante la cual la red o sistemas asociados registran todos y cada uno de los accesos a los recursos que realiza el usuario autorizados o no. El problema de la autorizacin a menudo, es idntico a la de autenticacin; muchos protocolos de seguridad extensamente adoptados estndar, regulaciones obligatorias, y hasta estatutos estn basados en esta asuncin. Sin embargo, el uso ms exacto describe la autenticacin como el proceso de verificar la identidad de una persona, mientras la autorizacin es el proceso de verificacin que una persona conocida tiene la autoridad para realizar una cierta operacin. La autenticacin, por lo tanto, debe preceder la autorizacin. Para distinguir la autenticacin de la autorizacin de trmino estrechamente relacionada, existen unas notaciones de taquigrafa que son: A1 para la autenticacin y A2 para la autorizacin que de vez en cuando son usadas, tambin existen los trminos AuthN y AuthZ que son usados en algunas comunidades.

1.7.8 INTEGRIDAD
El trmino integridad de datos se refiere a la correccin y completitud de los datos en una base de datos. Cuando los contenidos se modifican con sentencias INSERT, DELETE o UPDATE, la integridad de los datos almacenados puede perderse de muchas maneras diferentes. Pueden aadirse datos no vlidos a la base de datos, tales como un pedido que especifica un producto no existente. Pueden modificarse datos existentes tomando un valor incorrecto, como por ejemplo si se reasigna un vendedor a una oficina no existente. Los cambios en la base de datos pueden perderse debido a un error del sistema o a un fallo en el suministro de energa. Los cambios pueden ser aplicados parcialmente, como por ejemplo si se aade un pedido de un producto sin ajustar la cantidad disponible para vender. Una de las funciones importantes de un DBMS relacional es preservar la integridad de sus datos almacenados en la mayor medida posible. Tipos de restricciones de integridad Datos Requeridos: establece que una columna tenga un valor no NULL. Se define efectuando la declaracin de una columna es NOT NULL cuando la tabla que contiene las columnas se crea por primera vez, como parte de la sentencia CREATE TABLE. Chequeo de Validez: cuando se crea una tabla cada columna tiene un tipo de datos y el DBMS asegura que solamente los datos del tipo especificado sean ingresados en la tabla. Integridad de entidad: establece que la clave primaria de una tabla debe tener un valor nico para cada fila de la tabla; si no, la base de datos perder su integridad. Se especifica en la sentencia CREATE TABLE. El DBMS comprueba automticamente la unicidad del valor de la clave primaria con cada sentencia INSERT Y UPDATE. Un intento de insertar o actualizar una fila con un valor de la clave primaria ya existente fallar. Integridad referencial: asegura la integridad entre las claves ajenas y primarias (relaciones padre/hijo). Existen cuatro actualizaciones de la base de datos que pueden corromper la integridad referencial:

La insercin de una fila hijo se produce cuando no coincide la clave ajena con la clave primaria del padre. La actualizacin en la clave ajena de la fila hijo, donde se produce una actualizacin en la clave ajena de la fila hijo con una sentencia UPDATE y la misma no coincide con ninguna clave primaria. La supresin de una fila padre, con la que, si una fila padre -que tiene uno o ms hijos- se suprime, las filas hijos quedarn hurfanas. La actualizacin de la clave primaria de una fila padre, donde si en una fila padre, que tiene uno o ms hijos se actualiza su clave primaria, las filas hijos quedarn hurfanas.
1.8 CONOCER EL ENEMIGO Medias de seguridad a tener en cuenta por las empresas: Establecer una poltica adecuada en la que deben figurar cules son los puntos crticos de la red corporativa y las medidas que se van a tomar para protegerlos. Instalar una solucin de seguridad eficiente tanto en los equipos de los trabajadores como en los servidores. Las contraseas de acceso a los equipos deber ser seguras. Contar con programas y soluciones de seguridad actualizada y proteccin en sus equipos porttiles y en sus redes inalmbricas. Conocer quin accede a la informacin. Realizar auditoras para saber qu ha pasado y cundo y as poder responder a las necesidades legales. Establecer distintos perfiles de acceso a intranets y extranet. Precauciones de los usuarios: Mantener actualizados los programas. No abrir corres que procedan de fuentes desconocidas. No seguir ningn vnculo que llegue por correo o mensajera instantnea. No ejecutar archivos que procedan de fuentes desconocidas. No descargarse por P2P archivos sospechosos. No conectar dispositivos mviles como llaves USB o PDA sin haberse asegurado antes de que no estn infectados. Bloquear el equipo cuando no se est en el puesto de trabajo.

1.9 META DE PROYECTO DE SOFTWARE Las metas y los objetivos proporcionan la direccin uniforme en un proyecto y aseguran una visin constante a travs del cuerpo de tenedores de apuestas. Idealmente, las metas y los objetivos sirven como referencia constante para la toma de decisin relacionada con el proyecto. Uso Las metas y los objetivos son pblico los elementos de informacin disponibles que se comparten normalmente o a travs de la documentacin de la reunin o mientras que la informacin introductoria en los planes del proyecto y el otro proyecto apoya la documentacin. Las metas y los objetivos se utilizan para unificar la visin del equipo y la organizacin con respecto a cul debe el proyecto lograr y el acercamiento general a lograr esa meta. Pueden ser fijadas en una localizacin altamente visible para asegurarse de que estn fcilmente disponibles para todos los miembros del equipo. El terico Peter Drucker de la gerencia sugiere que las metas de un negocio conduzcan sus objetivos especficos del trabajo, y que esos objetivos necesitan ser delineados claramente para asegurar niveles ms altos del funcionamiento. Contenido Las metas y los objetivos deben indicar claramente el intento de la organizacin, el proyecto, y las tareas o el esfuerzo bajo consideraciny los objetivos de trabajadores individuales en la organizacin deben ser complementarios en servir la meta. Las declaraciones de la meta se fijan en un alto nivel, describiendo lo que espera la organizacin alcanzar. Se atan de cerca a las declaraciones de la visin en que las metas son descripciones de lo que espera la organizacin lograr. Las metas se pueden construir en el nivel de organizacin (hacer un innovador reconocido del software cambiando cmo se disea y se apoya el software) o en un ms detallado, proyecto llano (proveer de la cumbre el software innovador de la logstica que apoya su seguir y mantenimiento del inventario). En cualquier caso, las metas son las declaraciones generales que son apoyadas por objetivos. Los objetivos sirven la meta. Proporcionan claramente, direccin inequvoca en cmo las metas sern resueltas. Idealmente, deben estar suficientemente claros que permiten autodominio y self-monitoring de los miembros del equipo a quienes se dan, que significa que cada uno objetivo debe tener cierta forma mtrica de medida que refleje los valores de la organizacin s. Si la meta es proporcionar

software innovador de la logstica a la cumbre de la ayuda, los objetivos pudieron incluir el siguiente: Para proporcionar un sistema que proporciona la informacin en tiempo real con respecto la localizacin, el almacenaje, y al envejecimiento materiales; Para proporcionar un sistema que responde con la direccin (detallada, paso a paso) modificada para requisitos particulares en las fuentes alternativas para el material que est fuera de accin o en fuente baja. Los trminos llegan a ser importantes en establecer metas y objetivos. La asuncin que cualquier cosa que puede ser malinterpretada ser malinterpretada es una asuncin justa y razonable. Una visin de la persona s de la fuente baja pudo ser diferente que otros. El esfuerzo en objetivos del edificio es reducir al mnimo la ambigedad tanto como es posible y razonable. Acercamientos Una lnea blurry existe entre las metas y los objetivos y entre los objetivos y los requisitos. Como tal, una declaracin general de la meta de la persona s se pudo detallar suficientemente para ser un objetivo para algn otro (particularmente alguien en un nivel ms alto en la organizacin). Porque los objetivos se deben rendir tan claramente como sea posible, el esfuerzo de construir en el nivel apropiado del detalle genera a veces los requisitos nacientes. Para construir metas y objetivos mejores, las metas deben tratar el estado futuro del proyecto, entregable, o de la organizacin. Los objetivos deben indicar cmo el equipo y el proyecto trabajarn en esa direccin. En algunas organizaciones, la declaracin objetiva se liga siempre a las limitaciones del momento especfico y del coste. Consideraciones Porque las metas y los objetivos proporcionan la direccin, deben ser declaraciones pblicas. En reuniones y en instalaciones del proyecto, los objetivos y las metas de un proyecto se deben fijar claramente para asegurar familiaridad del equipo con la documentacin. Tal franqueza sobre las metas y los objetivos puede imposibilitar algo de las rias inherentes a veces evidentes cuando los miembros del equipo de proyecto se parecen trabajar en los propsitos cruzados.

Unidad II Administracin de los riesgos en la seguridad del software
Objetivo: El alumno conocer e identificar los riesgos que se tienen al poner en prctica la seguridad del software, as como los mecanismos para la evaluacin del desarrollo de sistemas seguros.
Contenido: 2.1 Descripcin de la administracin de los riesgos en la Seguridad del Software 2.2 Administracin de los riesgos en la seguridad del Software en la prctica 2.2.1 Pruebas de Caja Negra 2.2.2 Equipo Rojo 2.3 Criterios Comunes

2.1 DESCRIPCIN DE LA ADMINISTRACIN SEGURIDAD DEL SOFTWARE
DE LOS RIESGOS
EN LA
La administracin de riesgo es un proceso de identificacin y anlisis de riesgos y de creacin de un plan para administrarlos. Un riesgo de seguridad se define como la prdida esperada debida o como consecuencia de amenazas anticipadas por vulnerabilidades del sistema y la fuerza y determinacin de los agentes amenazantes correspondientes. Identificacin de los riesgos de seguridad La identificacin de los riesgos de seguridad es el primer paso en la evaluacin de la seguridad de la organizacin. Para administrar el riesgo de seguridad de forma eficaz, debe establecerse claramente de modo que el equipo del proyecto llegue a un consenso y se disponga a analizar las consecuencias y crear un plan de accin para solucionar el riesgo. Aunque el mbito del riesgo de seguridad est limitado a la tecnologa que el equipo del proyecto trata de proteger, la atencin del equipo debe ser lo suficientemente amplia como para abordar todas las fuentes de riesgos de seguridad, incluido la tecnologa, proceso, entorno y personas. Actividades de identificacin de riesgos Durante el paso de identificacin de riesgos de seguridad, el equipo deber indicar o enumerar de forma precisa los problemas de seguridad mediante la declaracin concisa de los riesgos a los que se enfrenta la organizacin. Resulta til organizar una serie de talleres o sesiones de brainstorming del equipo de seguridad con el objetivo de identificar los riesgos asociados con una nueva situacin. Debido al cambio constante de la tecnologa y los entornos, es importante que la identificacin de riesgos de seguridad no se considere una actividad aislada, sino que el proceso debe repetirse peridicamente durante el ciclo de vida de las operaciones de la organizacin. Enfoque estructurado El uso de un enfoque estructurado con relacin a la administracin de riesgos de seguridad es fundamental porque permite que todos los miembros del equipo utilicen un mecanismo slido para tratar los problemas de seguridad. La clasificacin de las amenazas durante este paso es una forma til de proporcionar un enfoque slido, reproducible y perceptible.

Desarrollo de las soluciones a los riesgos de seguridad El desarrollo de las soluciones a los riesgos de seguridad es el proceso por el que se toman los planes que se han creado en la fase de evaluacin y se utilizan para generar una nueva estrategia de seguridad que incluya administracin de configuracin y revisiones, supervisin y auditora del sistema, y directivas y procedimientos operativos. Dado que se desarrollan diversas contramedidas, es importante realizar un seguimiento e informe minuciosos de este proceso. Declaracin de riesgos de seguridad Una declaracin de riesgos de seguridad es una expresin del lenguaje normal de la relacin causal entre el estado de seguridad existente de la organizacin y un resultado posible que no se ha realizado. La primera parte de la declaracin de riesgos de seguridad se denomina "la condicin", en la que se proporciona la descripcin de un estado existente o amenaza potencial que el equipo considera que puede causar algn dao. La segunda parte de la declaracin de riesgos se denomina "consecuencia", y en ella se describe la prdida no deseada de confidencialidad, integridad y disponibilidad de un activo. Las dos declaraciones estn unidas por un trmino como "entonces" o "puede resultar en" que implica una relacin no confiable (es decir, menos del 100%) o causal. Modelo de proceso de seguridad El modelo de proceso MSF se puede usar para desarrollar aplicaciones de software e implementar tecnologa de infraestructura. Este modelo sigue un ciclo iterativo diseado para abordar cambios de los requisitos de proceso en ciclos de desarrollo cortos y versiones incrementales de la solucin. Esto es posible gracias a la administracin de riesgo continua y los ciclos de pruebas. Marco de administracin de riesgos de seguridad Descripcin general El marco utiliza el modelo de proceso MSF y describe una secuencia de alto nivel de actividades para la creacin e implementacin de las soluciones de seguridad de TI. En lugar de recomendar una determinada serie de procedimientos, el marco es lo suficientemente flexible como para incorporar una amplia gama de procesos

de TI. El modelo de proceso abarca el ciclo de vida de una solucin desde el inicio del proyecto hasta la implementacin activa.
Figura 1

2.2 ADMINISTRACIN DE LOS RIESGOS SOFTWARE EN LA PRCTICA
EN LA SEGURIDAD DEL
Prcticas de administracin de riesgos de seguridad y de marco de seguridad Mientras se ejecuta el plan de seguridad, se llevan a cabo dos tipos de actividades de administracin de riesgo durante el ciclo de vida del proyecto. La primera es administrar el riesgo inherente al propio proyecto y la segunda es administrar el riesgo asociado a los componentes de seguridad. Los riesgos del proyecto se evalan slo durante el ciclo de vida del proyecto, mientras que los riesgos de seguridad se deben evaluar durante el ciclo de vida completo de la solucin o el sistema. La disciplina de administracin de riesgo MSF sirve como base para la administracin de riesgos de las evaluaciones de los proyectos y de la seguridad. La seguridad del sistema informtico se debe realizar de forma preventiva y continua para garantizar la seguridad de los activos de informacin y supervisar nuevas amenazas y vulnerabilidades. Siempre que se agreguen funcionalidades nuevas a la infraestructura de tecnologa de la organizacin deber tomarse en cuenta la seguridad de la informacin. Adems, es posible que algunos procesos y procedimientos empresariales deban alterarse para operar en el entorno modificado y proporcionar proteccin a los activos de informacin nuevos. Los nueve pasos de la Disciplina de administracin de riesgos de seguridad en la prctica son:
1. 2. 3. 4. 5. 6. 7. 8. 9.
Evaluacin y valoracin del activo Identificacin de los riesgos de seguridad Anlisis y ordenacin segn prioridad de los riesgos de seguridad Seguimiento, planeamiento y programacin de los riesgos de seguridad desarrollo e implementacin Desarrollo de las soluciones de seguridad Pruebas de las soluciones de seguridad Obtencin de informacin sobre seguridad Operacin Reevaluacin de los riesgos de seguridad y los activos nuevos y cambiados Estabilizacin e implementacin de contramedidas nuevas o cambiadas

Anlisis de los riesgos de seguridad El anlisis de los riesgos de seguridad se utiliza para examinar los posibles ataques, herramientas, mtodos y tcnicas que permiten explotar una posible vulnerabilidad. Se trata de un mtodo de identificacin de riesgos y evaluacin de posibles daos que podran producirse para justificar las salvaguardas de seguridad. Un anlisis de este tipo presenta tres objetivos principales: identificar riesgos, cuantificar la repercusin de posibles amenazas y proporcionar un balance econmico entre el efecto del riesgo y el coste de la contramedida. Se recopila informacin para calcular el nivel de riesgo de modo que el equipo pueda tomar decisiones razonables y centrar todos los esfuerzos en la solucin de los riesgos de seguridad. Este anlisis se utiliza posteriormente para dar prioridad a los riesgos de seguridad y permitir a la organizacin asignar recursos con los que se solucionarn los problemas de seguridad ms importantes. Un anlisis de riesgo permite integrar los objetivos del programa de seguridad en los objetivos y requisitos comerciales de la compaa. Cuanto ms coordinados resulten los objetivos comerciales y los de seguridad, ms fcil ser cumplirlos. Etapa: Pruebas La prueba del software es un elemento crtico para la garanta de la calidad del software. El objetivo de la etapa de pruebas es garantizar la calidad del producto desarrollado. Adems, esta etapa implica: Verificar la interaccin de componentes. Verificar la integracin adecuada de los componentes. Verificar que todos los requisitos se han implementado correctamente. Identificar y asegurar que los defectos encontrados se han corregido antes de entregar el software al cliente. Disear pruebas que sistemticamente saquen a la luz diferentes clases de errores, hacindolo con la menor cantidad de tiempo y esfuerzo. La prueba no es una actividad sencilla, no es una etapa del proyecto en la cual se asegura la calidad, sino que la prueba debe ocurrir durante todo el ciclo de vida: podemos probar la funcionalidad de los primeros prototipos; probar la estabilidad, cobertura y rendimiento de la arquitectura; probar el producto final, etc.

Plan de Pruebas Un plan de pruebas est constituido por un conjunto de pruebas. Cada prueba debe: dejar claro qu tipo de propiedades se quieren probar (correccin, robustez, fiabilidad, amigabilidad, ...) dejar claro cmo se mide el resultado especificar en qu consiste la prueba (hasta el ltimo detalle de cmo se ejecuta) definir cual es el resultado que se espera (identificacin, tolerancia, ...) Cmo se decide que el resultado es acorde con lo esperado? La prueba es un proceso que se enfoca sobre la lgica interna del software y las funciones externas. La prueba es un proceso de ejecucin de un programa con la intencin de descubrir un error. Un buen caso de prueba es aquel que tiene alta probabilidad de mostrar un error no descubierto hasta entonces. Una prueba tiene xito si descubre un error no detectado hasta entonces. La prueba no puede asegurar la ausencia de defectos; slo puede demostrar que existen defectos en el software. 2.2.1 PRUEBA DE CAJA NEGRA Las pruebas se llevan a cabo sobre la interfaz del software, y es completamente indiferente el comportamiento interno y la estructura del programa. Los casos de prueba de la caja negra pretende demostrar que: Las funciones del software son operativas. La entrada se acepta de forma adecuada. Se produce una salida correcta, y La integridad de la informacin externa se mantiene. Se derivan conjuntos de condiciones de entrada que ejerciten completamente todos los requerimientos funcionales del programa. La prueba de la caja negra intenta encontrar errores de las siguientes categoras: Funciones incorrectas o ausentes. Errores de interfaz. Errores en estructuras de datos o en accesos a bases de datos externas.

Errores de rendimiento. Errores de inicializacin y de terminacin. Los casos de prueba deben satisfacer los siguientes criterios: Reducir, en un coeficiente que es mayor que uno, el nmero de casos de prueba adicionales. Que digan algo sobre la presencia o ausencia de clases de errores. Mtodos de prueba de caja negra Algunos de los mtodos empleados en las pruebas de caja negra son los siguientes: Mtodos de prueba basados en grafos: en este mtodo se debe entender los objetos (objetos de datos, objetos de programa tales como mdulos o colecciones de sentencias del lenguaje de programacin) que se modelan en el software y las relaciones que conectan a estos objetos. Una vez que se ha llevado a cabo esto, el siguiente paso es definir una serie de pruebas que verifiquen que todos los objetos tienen entre ellos las relaciones esperadas. En este mtodo: 1. Se crea un grafo de objetos importantes y sus relaciones. 2. Se disea una serie de pruebas que cubran el grafo de manera que se ejerciten todos los objetos y sus relaciones para descubrir errores. Describe un nmero de modelados para pruebas de comportamiento que pueden hacer uso de los grafos: Modelado del flujo de transaccin. Los nodos representan los pasos de alguna transaccin (por ejemplo, los pasos necesarios para una reserva en una lnea area usando un servicio en lnea), y los enlaces representan las conexiones lgicas entre los pasos (por ejemplo, vuelo, informacin, entrada es seguida de validacin /disponibilidad, procesamiento). Modelado de estado finito. Los nodos representan diferentes estados del software observables por el usuario (por ejemplo, cada una de las pantallas que aparecen cuando un telefonista coge una peticin por telfono), y los enlaces representan las transiciones que ocurren para moverse de estado a estado (por ejemplo, peticin-informacin se verifica durante inventariodisponibilidad-bsqueda y es seguido por cliente-factura-informacinentrada).

Modelado de flujo de datos. Los nodos objetos de datos y los enlaces son las transformaciones que ocurren para convertir un objeto de datos en otro. Modelado de planificacin. Los nodos son objetos de programa y los enlaces son las conexiones secuenciales entre esos objetos. Los pesos de enlace se usan para especificar los tiempos de ejecucin requeridos al ejecutarse el programa. Grfica Causa-efecto. La grfica Causa-efecto. representa una ayuda grfica en seleccionar, de una manera sistemtica, un gran conjunto de casos de prueba. Tiene un efecto secundario beneficioso en precisar estados incompletos y ambigedades en la especificacin. Un grfico de causa-efecto es un lenguaje formal al cual se traduce una especificacin. El grfico es realmente un circuito de lgica digital (una red combinatoria de lgica), pero en vez de la notacin estndar de la electrnica, se utiliza una notacin algo ms simple. No hay necesitad de tener conocimiento de electrnica con excepcin de una comprensin de la lgica booleana (entendiendo los operadores de la lgica y, o, y no). Particin equivalente: Presenta la particin equivalente como un mtodo de prueba de caja negra que divide el campo de entrada de un programa en clases de datos de los que se pueden derivar casos de prueba. Un caso de prueba ideal descubre de forma inmediata una clase de errores que, de otro modo, requeriran la ejecucin de muchos casos antes de detectar el error genrico. La particin equivalente se dirige a la definicin de casos de prueba que descubran clases de errores, reduciendo as el nmero total de casos de prueba que hay que desarrollar. Una clase de equivalencia representa un conjunto de estados vlidos o no vlidos para condiciones de entrada. Tpicamente, una condicin de entrada es un valor numrico especfico, un rango de valores, un conjunto de valores relacionados o una condicin lgica. El objetivo de particin equivalente es reducir el posible conjunto de casos de prueba en uno ms pequeo, un conjunto manejable que evale bien el software. Se toma un riesgo porque se escoge no probar todo. As que se necesita tener mucho cuidado al escoger las clases. La particin equivalente es subjetiva. Dos probadores quienes prueban un programa complejo pueden llegar a diferentes conjuntos de particiones.

En el diseo de casos de prueba para particin equivalente se procede en dos pasos: 1. Se identifican las clases de equivalencia. Las clases de equivalencia son identificadas tomando cada condicin de entrada (generalmente una oracin o una frase en la especificacin) y repartindola en dos o ms grupos. Es de notar que dos tipos de clases de equivalencia estn identificados: las clases de equivalencia vlidas representan entradas vlidas al programa, y las clases de equivalencia invlidas que representan el resto de los estados posibles de la condicin (es decir, valores errneos de la entrada). 2. Se define los casos de prueba. El segundo paso es el uso de las clases de equivalencia para identificar los casos de prueba. El proceso es como sigue: se asigna un nmero nico a cada clase de equivalencia. Hasta que todas las clases de equivalencia vlidas han sido cubiertas por los casos de prueba, se escribe un nuevo caso de prueba que cubra la clase de equivalencia vlida. Y por ltimo hasta que los casos de prueba hallan cubierto todas las clases de equivalencia invlidas, se escribe un caso de la prueba que cubra una, y solamente una, de las clases de equivalencia invlidas descubiertas. Prueba de la tabla ortogonal: hay aplicaciones donde el nmero de parmetros de entrada es pequeo y los valores de cada uno de los parmetros est claramente delimitado. Cuando estos nmeros son muy pequeos (por ejemplo, 3 parmetros de entrada tomando 3 valores diferentes), es posible considerar cada permutacin de entrada y comprobar exhaustivamente el proceso del dominio de entrada. En cualquier caso, cuando el nmero de valores de entrada crece y el nmero de valores diferentes para cada elemento de dato se incrementa, la prueba exhaustiva se hace impracticable. La prueba de la tabla ortogonal puede aplicarse a problemas en que el dominio de entrada es relativamente pequeo pero demasiado grande para posibilitar pruebas exhaustivas. El mtodo de prueba de la tabla ortogonal es particularmente til al encontrar errores asociados con fallos localizados -una categora de error asociada con defectos de la lgica dentro de un componente software.

2.2.2 EQUIPO ROJO A finales de 1996, Dan Farmer (creador de una de las herramientas ms tiles en la deteccin de intrusos: SATAN) realiz un estudio sobre seguridad analizando 2.203 sistemas de sitios en Internet. Los sistemas objeto del estudio fueron Web Sites orientados al comercio y con contenidos especficos, adems de un conjunto de sistemas informticos aleatorios con los que realizar comparaciones. El estudio se realiz empleando tcnicas sencillas y no intrusivas. Se dividieron los problemas potenciales de seguridad en dos grupos: rojos (red) y amarillos (yellow). Los problemas del grupo rojo son los ms serios y suponen que el sistema est abierto a un atacante potencial, es decir, posee problemas de seguridad conocidos en disposicin de ser explotados. As por ejemplo, un problema de seguridad del grupo rojo es un equipo que tiene el servicio de FTP annimo mal configurado. Los problemas de seguridad del grupo amarillo son menos serios pero tambin reseables. Implican que el problema detectado no compromete inmediatamente al sistema pero puede causarle serios daos o bien, que es necesario realizar tests ms intrusivos para determinar si existe o no un problema del grupo rojo. La Agencia de Seguridad Nacional americana, una de los organismos ms poderosos del planeta, ayud a mejorar la seguridad de Windows Vista. (DT, AGENCIAS) El Washington Post publico que la agencia ha admitido su 'colaboracin no especfica' en Vista. Tony Sager, el jefe de anlisis de vulnerabilidades y del grupo de operaciones de la NSA, le dijo al rotativo que la intencin de esta agencia era la de ayudar a todo el mundo en todo lo posible. La NSA utiliz un equipo azul y otro rojo para analizar el software. El equipo rojo tena el rol de tratar de corromper o robar informacin como si de un "adversario tcnicamente competente y muy decidido" se tratase. El equipo azul ayud a los administradores del departamento de defensa con la configuracin de Windows Vista.

2.3 CRITERIOS COMUNES
Los Criterios Comunes(CC) tienen su origen en 1990 y surgen como resultado de la armonizacin de los criterios sobre seguridad de productos software ya utilizados por diferentes pases con el fin de que el resultado del proceso de evaluacin pudiese ser aceptado en mltiples pases. Los CC permiten comparar los resultados entre evaluaciones de productos independientes. Para ello, se proporcionan un conjunto comn de requisitos funcionales para los productos de TI (Tecnologas de la Informacin). Estos productos pueden ser hardware, software o firmware. El proceso de evaluacin establece un nivel de confianza en el grado en el que el producto TI satisface la funcionalidad de seguridad de estos productos y ha superado las medidas de evaluacin aplicadas. Los CC son tiles como gua para el desarrollo, evaluacin o adquisicin de productos TI que incluyan alguna funcin de seguridad. La lista de productos certificados segn los CC se encuentra disponible en la web de Common Criteria. Este estndar, los Criterios Comunes (CC), tiene como finalidad el ser usado como base para la evaluacin de las propiedades de seguridad de los productos y sistemas de Tecnologas de la Informacin (TI). Estableciendo esta base de criterios comunes, los resultados de una evaluacin de seguridad de TI ser significativa para una mayor audiencia. Los CC permitirn la comparacin entre los resultados de evaluaciones de seguridad independientes, al proporcionar un conjunto comn de requisitos para las funciones de seguridad de los productos y sistemas de TI y para las medidas de garanta aplicadas a stos durante la evaluacin de seguridad. El proceso de evaluacin establece un nivel de confianza del grado en que las funciones de seguridad de tales productos y sistemas y las medidas de garanta aplicadas coinciden con aquellos requisitos. Los CC son tiles como gua para el desarrollo de productos o sistemas con funciones de seguridad de TI y para la adquisicin de productos y sistemas comerciales con dichas funciones. Los CC tratan la proteccin de la informacin contra la revelacin no autorizada, modificacin o prdida de uso. Las categoras de proteccin relacionadas con estos tres tipos de fallos de seguridad son llamadas normalmente confidencialidad, integridad y disponibilidad respectivamente. Los CC pueden ser tambin aplicables en aspectos de seguridad de TI distintos a estos tres. Los CC se concentran en aquellas amenazas que provienen de una actividad humana, ya sea maliciosa o de otro tipo, pero tambin pueden ser aplicables a otras amenazas no humanas. Adems, los CC pueden ser aplicados

en otras reas distintas de TI pero no se hace ninguna declaracin de competencia fuera del estricto mbito de la seguridad de TI. Los CC son aplicables a las medidas de seguridad de TI implementadas en hardware, firmware o software. Cuando se pretenda tratar aspectos particulares de evaluacin a aplicar slo en determinados mtodos de implementacin, se indicar expresamente en las declaraciones de los criterios correspondientes. Algunos temas, porque involucran tcnicas especializadas o porque son, de alguna manera, adyacentes a la seguridad de TI, son considerados ajenos a la finalidad de los CC. Entre estos cabe destacar los siguientes: Los CC no contienen criterios de evaluacin de la seguridad correspondientes a medidas de seguridad administrativa no relacionadas directamente con las medidas de seguridad de TI. Sin embargo, se reconoce que una parte significativa de la seguridad de un TOE puede, a menudo, proporcionarse a travs de medidas administrativas (organizativas, de personal, fsicas y control de procedimientos). Las medidas de seguridad administrativas, en el entorno operativo del TOE, son tratadas como hiptesis de un uso seguro donde stas tienen un impacto importante en la capacidad de las medidas de seguridad de TI para contrarrestar las amenazas identificadas. La evaluacin de aspectos tcnicos fsicos de la seguridad de TI como control de radiaciones electromagnticas no se trata especficamente, aunque varios de los conceptos tratados sern aplicables en esta rea. En particular, los CC tratan algunos aspectos de la proteccin fsica del TOE.
Los CC no tratan ni la metodologa de evaluacin ni el marco administrativo y legal bajo el cual los criterios pueden ser aplicados por las autoridades de evaluacin. Sin embargo, se espera que los CC sean usados para propsitos de evaluacin en el contexto de un determinado marco administrativo y con una determinada metodologa. Los procedimientos para el uso de los resultados de la evaluacin en la acreditacin de productos o sistemas estn fuera del objetivo de los CC. La acreditacin de un producto o sistema es el proceso administrativo por el que se autoriza el uso de dicho producto o sistema de TI en su entorno operativo. La evaluacin se centra en las partes de seguridad de TI del producto o sistema y en aquellas partes del entorno operativo que pueden

afectar directamente el seguro uso de los elementos de TI. Los resultados del proceso de evaluacin son, por lo tanto, un dato de valor para el proceso de acreditacin. Sin embargo, como hay otras tcnicas ms apropiadas para la valoracin, tanto de las propiedades de seguridad de un producto o sistema no relacionados con TI, como de su relacin con las partes de seguridad de TI, los acreditadores debern establecer separadamente estos aspectos.
Los criterios para la valoracin de las cualidades inherentes de los algoritmos criptogrficos no se tratan en los CC. Si se necesita una valoracin independiente de las propiedades matemticas de la criptografa introducida en un TOE, deber ser proporcionada por el esquema bajo el cual se estn aplicando los CC. Funcionamiento Con el fin de poder certificar un producto segn los Criterios Comunes se deben comprobar, por parte de uno de los laboratorios independientes aprobados, numerosos parmetros de seguridad que han sido consensuados y aceptados por 22 pases de todo el mundo. El proceso de evaluacin incluye la certificacin de que un producto software especfico verifica los siguientes aspectos: Los requisitos del producto estn definidos correctamente. Los requisitos estn implementados correctamente. El proceso de desarrollo y documentacin del producto cumple con ciertos requisitos previamente establecidos. Los Criterios Comunes establecen entonces un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de Tecnologas de la Informacin y de los criterios para evaluar su seguridad. El proceso de evaluacin, realizado segn lo prescrito en los Criterios Comunes, garantiza que las funciones de seguridad de tales productos y sistemas renen los requisitos declarados. As, los clientes pueden especificar la funcionalidad de seguridad de un producto en trminos de perfiles de proteccin estndares y de forma independiente seleccionar el nivel de confianza en la evaluacin de un conjunto definido desde el EAL1 al EAL7.

Perfiles de proteccin Un perfil de proteccin (Protection Profile) define un conjunto de objetivos y requisitos de seguridad, independiente de la implantacin, para un dominio o categora de productos que cubre las necesidades de seguridad comunes a varios usuarios. Los perfiles de proteccin son reutilizables y normalmente pblicos y estn compuestos de: Requisitos funcionales (SFR, Security Funcional Requirement) proporcionan mecanismos para hacer cumplir la poltica de seguridad. Como ejemplos de requisitos funcionales mencionar la proteccin de datos de usuario, el soporte criptogrfico, la autenticacin, la privacidad o el control de acceso. Requisitos de confianza o aseguramiento (SAR, Security Assurance Requirement) proporcionan la base para la confianza en que un producto verifica sus objetivos de seguridad. Los requisitos de confianza se han agrupado en niveles de confianza en la evaluacin (EAL, Evaluation Assurance Levels) que contienen requisitos de confianza construidos especficamente en cada nivel. Los EALs proporcionan una escala incremental que equilibra el nivel de confianza obtenido con el coste y la viabilidad de adquisicin de ese grado de confianza. El incremento de confianza de un EAL a otro se obtiene incrementando rigor, alcance y/o profundidad en el componente y aadiendo componentes de confianza de otras familias de confianza (por ejemplo, aadiendo nuevos requisitos funcionales). Niveles de confianza Los niveles de confianza en la evaluacin definidos en el ISO/IEC 15408-3 [ISO 15408-3 2005] van desde EAL1 (el menor) a EAL 7 (el mayor) y se definen de forma acumulativa (verificaciones de nivel n+1 implican realizar las de nivel n, 1 n 7): EAL1 (funcionalidad probada): es aplicable donde se requiere tener cierta confianza de la operacin correcta, y donde adems, las amenazas a la seguridad no son vistas como serias. Una evaluacin en este nivel debe proporcionar evidencia de que las funciones del objeto de evaluacin son consistentes con su documentacin, y que proporcionan proteccin til contra amenazas identificadas.

EAL2 (estructuralmente probado): requiere la cooperacin del desarrollador en trminos de la distribucin de la informacin del diseo, y los resultados de las pruebas y proporciona confianza a travs de un anlisis de las funciones de seguridad, usando una especificacin funcional y de interfaz, manuales y diseo de alto nivel del producto para entender el comportamiento de seguridad. Adems, en este nivel se verifica que el desarrollador realiz un anlisis de vulnerabilidades a travs de la ejecucin de pruebas de caja negra (Black-box). EAL3 (probado y verificado metdicamente): permite a un desarrollador alcanzar una mxima garanta de ingeniera de seguridad positiva en el estado de diseo sin la alteracin substancial de prcticas de desarrollo vlidas existentes. El anlisis en este nivel se apoya en las pruebas de caja gris (grey box), la confirmacin selectiva independiente de los resultados de las pruebas del desarrollador, y la evidencia de bsqueda de vulnerabilidades obvias del desarrollador. Adems, se realizan controles del entorno de desarrollo y de gestin de configuracin del producto. EAL4 (diseado, probado y revisado metdicamente): este nivel le permite a un desarrollador alcanzar mxima garanta de ingeniera de seguridad positiva basada en buenas prcticas de desarrollo comercial, las cuales, aunque rigurosas, no requieren del conocimiento especializado substancial, destreza, ni otros recursos. En este caso, el anlisis se apoya en el diseo de bajo nivel de los mdulos del producto y se realiza bsqueda de vulnerabilidades independiente de las pruebas realizadas por el desarrollador. EAL5 (diseado y probado semiformalmente): permite a un desarrollador alcanzar mxima garanta de ingeniera de seguridad positiva mediante la aplicacin moderada de tcnicas de ingeniera de seguridad. La confianza se apoya, en este caso, en un modelo formal y una presentacin semiformal de la especificacin funcional y el diseo de alto nivel. La bsqueda de vulnerabilidades debe asegurar la resistencia relativa a los ataques de penetracin. EAL6 (diseo verificado y probado semiformalmente): permite a los desarrolladores alcanzar una alta garanta en la aplicacin de tcnicas de ingeniera de seguridad para un entorno de desarrollo riguroso y donde el objeto de evaluacin es considerado de gran valor para la proteccin del alto costo o estimacin de esos bienes contra riesgos significativos. Adems, es aplicable para el desarrollo de objetos de evaluacin, destinados a salvaguardar la seguridad informtica en situaciones de alto

riesgo donde el valor de los bienes protegidos justifica los costos adicionales. El anlisis en este nivel se apoya en un diseo modular y en una presentacin estructurada de la implementacin del producto. La bsqueda de vulnerabilidades debe mostrar una alta resistencia a los ataques de penetracin. EAL7 (diseo verificado y probado formalmente): es aplicable al desarrollo de objetos de evaluacin de seguridad, para su aplicacin en situaciones de muy alto riesgo o donde el alto valor de los bienes justifica los ms altos costos. La aplicacin prctica del nivel EAL7 est limitada actualmente a objetos de evaluacin con seguridad estrechamente enfocada a la funcionalidad, y que es sensible al anlisis formal y extenso. Este EAL representa un incremento
Significativo respecto a la garanta de nivel EAL6 a travs del requisito de anlisis de gran amplitud, mediante representaciones formales y correspondencia formal y pruebas de gran amplitud. Adems, el evaluador confirmar de forma independiente y completa los resultados de las pruebas de caja blanca (Whitebox) realizadas por el desarrollador. Los niveles EAL 5 al 7 incluyen modelos y demostraciones semiformales y formales por tanto, se aplican a productos con objetivos de seguridad muy especficos (entorno militar, por ejemplo). Por otra parte, estos niveles requieren de la generacin de una gran cantidad de documentacin durante el proceso de desarrollo que debe entregarse al evaluador para que ste pueda confirmar la informacin. Finalmente, para la aplicacin de los Criterios Comunes, existe una metodologa con los criterios a evaluar para cada uno de los niveles de confianza estandarizada por la Norma ISO/IEC 18045 (ISO 18045, 2008) y denominada CEM (Common Methodology for IT Security Evaluation) disponible en la web de Common Criteria.

Unidad III Cdigo abierto o cerrado
Objetivo: El alumno conocer los mecanismos que emplea la industria del software para proteger sus cdigos, tanto de los competidores como de los crackers; as como las ventajas y desventajas del cdigo abierto.
Contenido: 3.1 3.2 3.3 3.4 Seguridad por Oscuridad Ingeniera en Reversa Cdigo Fuente Abierto Falacias del cdigo abierto

3.1 SEGURIDAD POR OSCURIDAD Seguridad: certeza, firmeza, confianza. Sin riesgo. Oscuridad: Puedes estar seguro... de que, al final la vulnerabilidad ser encontrada. Definicin de seguridad por oscuridad: En criptografa y seguridad informtica, la seguridad por oscuridad o por ocultacin es un controvertido principio de ingeniera de la seguridad, que intenta utilizar el secreto (de diseo, de implementacin, etc.) para garantizar la seguridad. Un sistema que se apoya en la seguridad por ocultacin puede tener vulnerabilidades tericas o prcticas, pero sus propietarios o diseadores creen que esos puntos dbiles no se conocen, y que es probable que los atacantes no los descubran Argumentos Si la seguridad de un sistema depende nica o principalmente de mantener oculta una debilidad. Se argumenta que permitir a cualquier persona revisar la seguridad repercutir en una pronta identificacin y correccin de cualquier fallo o debilidad. Introduccin La seguridad por oscuridad es la creencia de que cualquier sistema puede ser seguro mientras nadie fuera de su grupo de implementacin de seguridad se le permita conocer nada de sus mecanismos internos. Ocultando contraseas en archivos binarios o esconder scripts suponiendo que "nadie lo va a encontrar nunca" es un buen ejemplo de Seguridad por oscuridad. La seguridad por oscuridad es la principal filosofa de las agencias burocrticas, y es el mtodo ms utilizado para proveer "pseudoseguridad" en sistemas de cmputo. Esta filosofa ha ido decreciendo en el mundo de la computacin con el aumento de los sistemas abiertos, Internet, la mayor comprensin de tcnicas de programacin, y tambin el crecimiento de conocimiento computacional en una persona promedio. Las bases de la seguridad por oscuridad es que si una persona no sabe como hacer algo para tener un impacto en la seguridad del sistema, entonces esa persona no es peligrosa.

Sin duda, esto es en teora, ya que esto te ata a confiar en un pequeo grupo de personas, tanto tiempo, como el que ellos vivan. Si tus empleados tiene una mejor oferta o les pagan mejor en otro lugar, sus conocimientos se van con ellos, ya sea que ese conocimiento sea reemplazable o no. Una vez que los secretos estn fuera, ah esta el fin de nuestra seguridad. Actualmente hay una gran necesidad de los usuarios ordinarios por conocer detalles de como funciona su sistema como nunca antes, y como resultado la Seguridad por oscuridad falla. Hoy en da muchos usuarios tienen conocimientos avanzados de como funcionan sus sistemas operativos, y porque toda su experiencia le permite obtener todo el conocimiento que el "necesite obtener". Esto esquiva todas las bases de la seguridad por oscuridad, y hace tu seguridad intil. Por lo tanto actualmente existe la necesidad de crear sistemas que intenten ser algortmicamente seguros (Kerberos, Secure RPC), que es mejor que ser filosficamente seguro. El sistema "Shadow" para contraseas en muchas ocasiones se incluyen en el grupo de la seguridad por oscuridad, pero esto es incorrecto, ya que la seguridad por oscuridad depende de restringir el acceso a algn algoritmo o tcnica, mientras que las contraseas Shadow nos proveen seguridad restringiendo el acceso a datos vitales. Argumentos contra la seguridad por oscuridad Muchos argumentan que la seguridad por oscuridad es dbil. Si la seguridad de un sistema depende nica o principalmente de mantener oculta una debilidad, entonces, claramente, si esa debilidad es descubierta, la seguridad se compromete fcilmente. Se argumenta que mantener ocultos los detalles de sistemas y algoritmos ampliamente utilizados es difcil. En criptografa, por ejemplo, hay un buen nmero de ejemplos de algoritmos de cifrado que han pasado a ser de conocimiento pblico, bien por ingeniera inversa bien por una fuga de informacin. Ms an, el mantener algoritmos y protocolos ocultos significa que la revisin de seguridad est limitada a unos pocos. Se argumenta que permitir a cualquier persona revisar la seguridad repercutir en una pronta identificacin y correccin de cualquier fallo o debilidad.

En la prctica Los operadores, desarrolladores y vendedores de sistemas que confan en la seguridad por oscuridad a menudo mantienen en secreto que sus sistemas tienen fallos, para evitar crear desconfianza en sus servicios o productos y por tanto, en su imagen de mercado. Es posible que esto pudiera conducir en algunos casos a una representacin fraudulenta de la seguridad de sus productos, aunque la aplicacin de la ley a este respecto ha sido poco contundente, en parte porque las condiciones de uso impuestas por los vendedores como parte del contrato de licencia redimen (con ms o menos xito) sus aparentes obligaciones bajo el estatuto legal de muchas jurisdicciones que requieren una adecuacin para el uso o estndares de calidad similares. A menudo esos diseadores o vendedores, o incluso ejecutivos, realmente creen que han garantizado la seguridad al mantener el diseo del sistema en secreto. Para quienes abordan la seguridad de esta manera les resulta difcil tener la suficiente perspectiva para darse cuenta de que estn dirigindose a un problema, y a veces un gran problema. El autoengao o la ignorancia son generalmente problemas muy difciles que tienen consecuencias (casi universalmente) desafortunadas. Cuando se usa software seguro por estar oculto de manera amplia, existe un riesgo potencial de problema global; por ejemplo, vulnerabilidades en las diferentes versiones del sistema operativo Windows o sus componentes obligatorios como su navegador web Internet Explorer, o sus aplicaciones de correo electrnico (Microsoft Outlook o Outlook Express) han causado problemas a lo largo y ancho del planeta cuando virus, troyanos, gusanos y dems se han aprovechado de ellas.
Seguridad por diseo Vs Seguridad por oscuridad Cuando hablamos de seguridad por oscuridad, aunque el nombre asuste un poco, nos estamos refiriendo a que se utiliza el secreto para garantizar la seguridad de algn programa, como ser un sistema operativo, navegador web, etc., este es el caso del software de cdigo cerrado o propietario, en donde los desarrolladores quizs conocen que el software tiene agujeros de seguridad pero, como nadie tiene acceso al cdigo, confan en este secreto siga siendo secreto para evitar que dichas vulnerabilidades sean explotadas. Cuidado, esto no quiere decir que todo el software propietario base su seguridad en este concepto, pero si que los ms grandes ejemplos de agujeros y vulnerabilidades que aprovechan este tipo de

seguridad se han dado en este tipo de software. Para que entendamos un poquito mejor, hagamos una analoga. Supongamos que a la llave de nuestra casa la escondemos abajo del felpudo de la puerta de entrada cuando salimos de vacaciones, solo nosotros sabemos que la llave est escondida ah y confiamos que nadie ms sabe la ubicacin de la misma y creemos que es muy improbable que un ladrn la encuentre. Por otro lado, existe lo que se llama seguridad por diseo, esta es aplicada claramente en aplicaciones que son de cdigo abierto, en donde la seguridad de los programas se basa en el diseo de los mismos el cual es conocido por todos, inclusive los atacantes, un ejemplo claro es el caso del software libre, (GNU/Linux, etc) donde desde el mismo kernel (ncleo) hasta los firewalls, antivirus, navegadores ponen a disposicin su diseo y su cdigo haciendo que la seguridad de los mismos no se base en ocultar sus vulnerabilidades, sino en un buen desarrollo. An as, el software libre es escrito por seres humanos, por lo que no es invulnerable, aunque si muy seguro.
3.2 INGENIERA INVERSA Definicin: Es la actividad que se ocupa de descubrir cmo funciona un programa, funcin o caracterstica de cuyo cdigo fuente no se dispone, hasta el punto de poder modificar ese cdigo. Trata de tomar algo (un dispositivo mecnico o electrnico, un software de computadora, etc.) para analizar su funcionamiento en detalle, generalmente para intentar crear un dispositivo o programa que haga la misma o similar tarea sin copiar la original. Es denominado ingeniera inversa porque avanza en direccin opuesta a las tareas habituales de ingeniera, que consisten en utilizar datos tcnicos para elaborar un producto determinado. Objetivo: Es obtener informacin a partir de un producto accesible al pblico, con el fin de determinar de qu est hecho, qu lo hace funcionar y cmo fue fabricado. Usos de la ingeniera inversa Suele ser empleada por empresas, para analizar si el producto de su competencia infringe patentes de sus propios productos.

En el software y en el hardware, es empleada para desarrollar productos que sean compatibles con otros productos, sin conocer detalles de desarrollo de stos ltimos. Es empleada para comprobar la seguridad de un producto. La gran mayora del software de pago incluye en su licencia una prohibicin expresa de aplicar ingeniera inversa a su cdigo, con el intento de evitar que se pueda modificar su cdigo y que as los usuarios tengan que pagar si quieren usarlo. Los conceptos de reingeniera e ingeniera inversa estn ligados al desarrollo de software a gran escala, donde una mejora en proceso de este desarrollo supone un aumento en la competitividad de la empresa. Aunque hay que tener en cuenta que esta mejora es, en general a largo plazo (normalmente de uno a dos aos) ambas actividades, estn orientadas a automatizar el mantenimiento de aplicaciones. Esta es una tarea que consume gran cantidad de recursos, por lo que cualquier reduccin en el tiempo y recursos empleados en ella supone una importante mejora en la productividad del proceso. Este es el principal objetivo de la reingeniera. Se trata, de analizar el cdigo o el diseo actual y modificarlo con la ayuda de herramientas automticas para traducirlos a cdigos ms estructurados, y ms eficientes. La reingeniera e ingeniera inversa prolongan la vida del software. Dado que es una labor estratgica, es conveniente conocer cuando conviene realizar la tarea de reingeniera para una aplicacin y cundo es ms rentable sustituirla e implementar una nueva.
Las aplicaciones para el primer paso, son aquellas en la que se produce las siguientes situaciones: Fallos frecuentes, que son difciles de localizar Son poco eficientes, pero realizan la funcin esperada Dificultades en la integracin con otros sistemas Calidad pobre del software final Resistencia a introducir cambios Pocas personas capacitadas para realizar modificaciones Dificultades para realizar pruebas El mantenimiento consume muchos recursos Es necesario incluir nuevos requisitos, pero los bsicos se mantienen.

Desarrollo de software con y para reso
El desarrollo de software con reso consiste en desarrollar una aplicacin usando software ya existente. Cualquier profesional lo utiliza. El desarrollo de software para reuso consiste en la construccin de un sistema con la intencin de reutilizar partes de l en futuros desarrollos. Con software a gran escala, un buen profesional con experiencia puede desarrollarlo. Estudios realizados determinan que la prctica de reutilizacin del software en un proyecto aumenta la productividad durante el desarrollo de dicho proyecto. Sin embargo, la reutilizacin del software no cubre solo el reso de cdigos, abarca todo un amplio de posibilidades en los diferentes niveles, metodologa, ciclos de vida, planes del proyecto, especificaciones de requisitos, diseos, arquitectura software, planes de validacin, juegos de prueba y documentacin. 3.3 CDIGO FUENTE ABIERTO.
Es el trmino con el que se conoce al software distribuido y desarrollado libremente Open Source centra su atencin en la premisa de que al compartir el cdigo el programa resultante tiende a ser de calidad superior al software propietario. Cdigo abierto (en ingls open source) es el trmino con el que se conoce al software distribuido y desarrollado libremente. Fue utilizado por primera vez en 1998 por algunos usuarios de la comunidad del software libre, tratando de usarlo como reemplazo al ambiguo nombre original en ingls del software libre (free software). Free en ingls puede significar diferentes cosas: gratuidad y libertad. Por ello, por un lado, permite pensar en "software por el que no hay que pagar" (software gratuito) y, por otro, se adapta al significado que se pretendi originalmente (software que posee ciertas libertades). El trmino para algunos no result apropiado como reemplazo para el ya tradicional free software, pues eliminaba la idea de libertad (incluso hay algunos que usan en ingls el trmino libre software para evitar la ambigedad de free).

Desde el punto de vista de una "traduccin estrictamente literal", el significado obvio de "cdigo abierto" es que "se puede mirar el cdigo fuente", por lo que puede ser interpretado como un trmino ms dbil y flexible que el del software libre. Basado en ello se argumenta que un programa de cdigo abierto puede ser software libre, pero tambin puede ser semilibre o incluso completamente no libre. Sin embargo, por lo general, un programa de cdigo abierto puede ser y de hecho es software libre, como igualmente un programa Software Libre es Open Source. Esto ocurre dado que ambos movimientos reconocen el mismo conjunto de licencias y tiene principios equivalentes. Por qu es importante el open source? Los programadores en Internet pueden leer, modificar y redistribuir el cdigo fuente de un programa. El software evoluciona, se desarrolla y mejora. Los usuarios lo adaptan a sus necesidades, corrigen sus errores a una velocidad impresionante, mayor a la aplicada en el desarrollo de software convencional o cerrado. Se obtiene la produccin de un mejor software.
Declogo para ser cdigo abierto open source 1. Libre redistribucin 2. Cdigo fuente 3. Trabajos derivados 4. Integridad del cdigo fuente del autor 5. Sin discriminacin de personas o grupos 6. Sin discriminacin de reas de iniciativa 7. Distribucin de la licencia 8. La licencia no debe ser especfica de un producto 9. La licencia no debe restringir otro software

10. La licencia debe ser tecnolgicamente neutral:
Caractersticas y ventajas Flexibilidad. Fiabilidad y seguridad. Rapidez de desarrollo. Relacin con el usuario. Libre. Combate efectivamente la piratera de software
Abierto y cerrado (la OpenDoc Society) Podr parecer a algunos un tema arcano e incluso ajeno, sobre todo a aquellos editores cuya relacin con la tecnologa sea todava tirante, tensa, pero lo que se est debatiendo hoy mismo en el seno de la ISO, resulta decisivo para que el circuito de generacin, intercambio, circulacin y consulta de contenidos escritos, editoriales, dependa de la intermediacin de formatos propietarios o, al contrario, del uso gratuito y universal de un formato de documentos abierto y compatible, independiente. La OpenDoc Society pretende, precisamente, alejar a las instituciones pblicas del uso de formatos cerrados y propietarios, con manifiestas incompatibilidades retrospectivas y dependientes, siempre, de que el cdigo del programa utilizado sea desentraado por sus creadores. La apuesta, por tanto, una vez ms, es la del cdigo abierto como fundamento de la libre circulacin de contenidos en la web, como garanta de que el acceso a la informacin sea un derecho garantizado mediante el uso de formatos inteligibles por todos, sostenidos en el tiempo, sin incompatibilidades arteras entre versiones.

Software abierta Software que gracias a estndares- permite su integracin o la complementacin por otros Cdigo Abierto Software donde se tiene acceso al Cdigo Fuente en algn lenguaje de Programacin Cdigo sin aranceles de licencias Software donde no se paga una licencia para usarla Cdigo con licencias abiertas Software donde se tiene el derecho de incorporarla en otros sistemas o de modificarla 0 Diferencia entre cdigo de fuente abierto & software libre. El Cdigo Fuente Abierto se basa en hacer software confiable y poderoso. Enfatizan los valores prcticos y se garantiza los derechos de modificacin y redistribucin de dichas versiones modificadas del programa. En tanto que el software libre brinda libertad a los usuarios sobre su producto adquirido puede ser usado, copiado, estudiado, modificado y redistribuido libremente. Se refiere a la libertad de los usuarios para ejecutar, copiar, distribuir, estudiar, cambiar y mejorar el software. 3.4 LAS FALACIAS DEL CDIGO ABIERTO No hay ningn beneficio en regalar las naranjas ni en ensear a otros a cultivarlas De acuerdo con la definicin de Software Libre, tenemos que es: La libertad de usar el programa, con cualquier propsito (libertad 0). La libertad de estudiar cmo funciona el programa, y adaptarlo a tus necesidades (libertad 1). El acceso al cdigo fuente es una condicin previa para esto. La libertad de distribuir copias, con lo que puedes ayudar a tu vecino (libertad 2). La libertad de mejorar el programa y hacer pblicas las mejoras a los dems, de modo que toda la comunidad se beneficie. (libertad 3). El acceso al cdigo fuente es un requisito previo para esto. Como fabricante de software, voy a ver si podra vender o distribuir software libre (ya que est tan en boga): Libertad 0 (parece que las libertades las han asignado a una Matriz Dim Libertad (2) as Variant) Mis programas los pueden usar los clientes para lo que quieran. Que no me demanden si el programa para un PC lo instalan en un horno y se les quema la

comida. En una sociedad como la norteamericana donde te demandan por cualquier motivo y donde las botellas de leche dicen Para beber y por la boca. No nos hacemos responsables si Vd. se atraganta esta restriccin me parece normal y prudente. Libertad 1 Si alguien pudiese tener acceso a mis programas, por lo pronto ya pierde la garanta. Lo segundo es que quin le impide que copie y pegue el cdigo en una solucin suya, lo venda y me haga la competencia? Un cdigo fuente cerrado protege la propiedad intelectual. Libertad 2 Libertad de distribuir copias. Vaya que bien!!! Si tu negocio se basa en vender programas, directamente cierra el negocio. Vende qu? Servicios que nadie demanda? Soporte? La mayora de las empresas no pagan soporte por algo que cueste 100, 200 euros. Pagan soporte por algo que cueste 30.000 euros. Libertad 3 Quin hace eso? Cuantos programadores avanzados se ponen a tocar el cdigo fuente? Los que estn aburridos o los que le dan un uso intensivo. Y luego cuntos despus de estar trabajando 1 mes para revisar todos los errores de programacin de un mdulo o crear otro mdulo nuevo van a compartirlo con el resto? Conociendo la faceta egosta del alma humana, creo que pocos. Recordemos las 4 libertades del software libre que son lo que la GPL (General Public License) defiende desde el punto de vista legal. 1. Ejecutar el software con cualquier propsito. 2. Estudiar el cdigo del software y poder adaptarlo a las necesidades, por lo tanto la liberacin del cdigo es un requisito fundamental. 3. Libertad de distribucin. 4. Libertad de mejorar el software y distribuir la mejora. Estas 4 libertades defienden los derechos que debera tener cualquier persona sobre cualquier producto adquirido, si yo me compro una escoba soy libre de usarla, de ver como funciona, dejrsela a mis amigos o de construir mis propias escobas con un mango ms cmodo y venderlas (o regalarlas si lo prefiero), parece lgico verdad?, es lo que a lo largo del tiempo ha permitido el desarrollo y la evolucin, lo que todos conocemos como la competencia.


Falacias Software abierto = Cdigo Abierto Falso: Bastan Interfaces abiertos para SW Abierta Cdigo abierto sin estndares no es SW-A Software sin pago de licencias = CA Falso: Hay sistemas CA donde se paga licencias Hay Software sin pago que no es CA Licencias abiertas = Cdigo Abierto Falso: Partes cerradas pero licencias abiertas Cdigo Abierto sin licencia abierta Software sin pago de licencias = Lic. Abierta Falso: Licencias Abiertas que se paga (caras a veces) Licencias free sin derecho a Integracin o Modificacin Linux es la base del Software Libre Falso
Corre ms SW Cdigo abierto / Licencia Abierta en Windows que en LINUX Hay bastante SW cerrada que se usa encima de LINUX IBM, Oracle .... JAVA no es Licencia Abierta ni Cdigo abierto
Software libre es ms econmico Falso: Que no se tiene que pagar licencias no implica de por si menores costos Costo total de usar SW contiene adems Costos de Entrenamiento Costos de Mantenimiento Costos recurrentes de Conversin Costos en 1+2+3 >> Licencias muchas veces Costos mano de obra mas bajos Costos de licencia igual o mas alto = Rentable gastar en trabajo no en licencias Argumento valido para 1. El estado (sector pblico) 2. Empresas formales 3. Receptores de cooperacin externa 4. Hasta cierto grado: Instituciones educativas

Pero no para quienes no pagan ni pagarn licencias! Software libre se puede modificar fcilmente Falso cuando son centenares de miles de lneas de cdigo 1. Sin documentacin ni herramientas imposible salvo despus de un intensivo estudio 2. Se tiene que garantizar compatibilidad con otros 3. Al modificar una versin se tiene que congelarse o enfrentar nuevo trabajo por cada nueva versin
Software libre es ms fcil a mantener Falso 1. Nadie garantiza la compatibilidad entre los diferentes versiones de los diferentes paquetes de diferentes orgenes 2. No hay actualizaciones automticas, ni en caso de errores garrafales 3. Sin conectes virtuales ni habilidades de buscar remedios imposible Software libre no es un negocio ni una mercanca Falso Explotar SL es costoso, tan que IBM, JBOSS, MYSQL, Otros lo han hecho base de su modelo de negocios Agencias de Cooperacin lo usan para traspasar costos no pagan ni licencias ni personal Centenares de ONG y Consultores viven de SL solo que no es el cliente final que paga

Unidad IV Principios guas del software seguro Objetivo: El alumno conocer e identificar los principios ms importantes que deben estar presentes usando el diseo o construyendo un sistema seguro, evitando los problemas ms comunes de seguridad.
Contenido: 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 Principio 1. Reducir las lneas dbiles Principio 2. Defensa por pasos o capas Principio 3. Seguramente fallar Principio 4. Menos privilegios Principio 5. Segmentacin Principio 6. Mantenerlo simple Principio 7. Promover la privaca Principio 8. Ocultar secretos es difcil Principio 9. Transparentar el cdigo Principio 10. Usar recursos comunes

4.1 PRINCIPIO 1. REDUCIR LAS LINEAS DBILES El eslabn ms dbil se basa en la idea de que una cadena es tan fuerte como su eslabn ms dbil. Se deben conocer los puntos dbiles de las defensas para, si es posible, eliminarlos o monitorizarlos. Aunque no por esto debe restarse importancia a la seguridad de otros aspectos del sistema. Esta estrategia, aplicada a las redes, establece que un sitio es tan seguro como lo es su enlace ms dbil. Este enlace suele ser el objetivo de los ataques a la privacidad de una red. Siempre habr algn punto que ser el ms dbil de todos, la idea es que ese enlace debe ser lo suficientemente seguro en proporcin al riesgo que implica que sea vulnerado. Algunos afirman que el eslabn ms dbil en la cadena de la seguridad informtica es el usuario. Un punto dbil es un recurso que puede utilizar una amenaza para tener acceso a travs de una vulnerabilidad en el entorno. Para poder realizar un anlisis de amenazas adecuado, es necesario compilar una lista con los agentes de amenaza ms comunes en el entorno. Una amenaza es cualquier peligro potencial para la informacin o los sistemas en el entorno. Un agente amenazante es la persona o el proceso que ataca a la red a travs de un puerto vulnerable en el servidor de seguridad, o un proceso que se utiliza para obtener acceso a informacin de una forma que infringe las directivas de seguridad. Tipos de puntos dbiles Punto de vulnerabilidad tcnica Ejemplo: Ataque de fuerza bruta Desbordamiento de buffer Configuracin errnea Reproduccin de ataque Secuestro de sesiones Recoleccin de informacin Identificacin de direccin Destruccin de documento Identificacin del SO Anlisis de puerto Anlisis de respuesta

Ingeniera social Anlisis de servicio y aplicacin Enumeracin de usuario Anlisis de vulnerabilidad Fuga inalmbrica
Denegacin del servicio (DoS) Dao fsico Extraccin de recursos Modificacin de recursos Saturacin de recursos
Los intrusos buscan el eslabn ms dbil. Tener un buen anlisis. El programa no siempre es dbil.
4.2 PRINCIPIO 2.DEFENSA POR PASO O CAPA
La poltica de seguridad define qu es lo que desea proteger y qu espera de los usuarios del sistema. El uso de un enfoque por capas al planificar la estrategia de seguridad de Internet garantiza que el atacante que penetre en una de las capas de defensa ser detenido en la capa siguiente. Capas del modelo informtico de red tradicional:
Seguridad a nivel de sistema Las medidas de seguridad del sistema representan la ltima lnea de defensa contra un problema de seguridad debido a Internet
Seguridad a nivel de red Cuando se conecta la red a Internet, debe asegurarse de que dispone de las medidas correctas de seguridad a nivel de red para proteger los recursos internos

de la red contra la intrusin y el acceso no autorizado. El medio ms comn para garantizar la seguridad de la red es unos cortafuegos.
Seguridad a nivel de aplicaciones Controlan la forma de interaccin de los usuarios con las distintas aplicaciones.
Seguridad a nivel de transmisin Las medidas de Seguridad a nivel de transmisin protegen la comunicacin de datos dentro de la red y entre varias redes.

4.3 PRINCIPIO 3.SEGURAMENTE FALLAR.
Cualquier sistema suficientemente complejo fallar procurando que eso no suponga un problema de seguridad. La seguridad absoluta no existe, por tanto, en la medida de lo posible los sistemas deben tener una falla segura, es decir, si van a fallar deben hacerlo de tal forma que nieguen el acceso a un atacante en lugar de dejarlo entrar, o dejen de funcionar si detectan alguna anomala. Los sistemas de software generalmente estn expuestos a muchos errores y fallas adems de que si sus usuarios no toman los recaudos apropiados, puede llegar a contraer algn virus informtico el cual puede llegar a ser muy daino o no, dependiendo del tipo de virus del que estemos hablando, es por eso que siempre que trabajemos con algn sistema, sin importar si lo hacemos por trabajo o bien, por entretenimiento, siempre tenemos que contar con algn tipo de seguridad en sistemas de software que son muy utilizados por nosotros mismos, ya que seguramente no querremos tener que hacernos cargo de los problemas que nos puede llegar a ocasionar el simple de hecho de no tener ningn tipo de proteccin. Ahora bien, es importante tener en cuenta a los riesgos que estamos exponiendo nuestro sistema, y uno de los ms comunes es, como mencionamos, las fallas en el sistema. No necesariamente la computadora debe estar infectada por algn virus informtico ara que esto suceda, ya que puede llegar a ocurrir que ya se por que se guarda mal un documento o porque instalamos algn programa nuevo que se encuentra daado sin darnos cuenta, ya son dos motivos para ocasionarle un falla general al sistema, especialmente en el segundo caso que es mucho ms comn. Si bien la seguridad en sistemas software est garantizada aunque la misma sea mnima ya que cualquier sistema operativo viene con un software bsico de proteccin, debemos decir que justamente al tratarse de un software bsico es comn que muchas veces se le escapen algunas pequeas fallas que pueden resultar muy dainas para el sistema en general. Este tipo de seguridad en sistemas software simplemente se encarga de anunciarla al usuario sobre la presencia de algn documento o programa que resulte riesgoso para el sistema, y ser justamente el usuario el que deba encargarse de eliminarlo, pero como bien dijimos antes, al tratarse de un software

de seguridad muy bsico, puede llegar a ocurrir que el mismo falle y no filtre algn error o directamente no lo encuentre. Por otro lado, la seguridad en sistemas software especialmente desarrollada para evitar todo tipo de problemas, se encarga principalmente de detectar las fallas y eliminarlas automticamente del sistema, para evitar mayores problemas, es por eso que recomendamos que siempre se cuente con algn software que sea especializado para la seguridad de nuestro sistema en general, especialmente si exponemos al mismo a las descargas de archivos o a la navegacin por Internet.
La seguridad en sistemas de software debe ser una prioridad
Como ya hemos mencionado en reiteradas oportunidades es importante que contemos siempre con algn tipo de seguridad en los sistemas software que utilicemos para evitar problemas y fallas en el funcionamiento de los mismos, en este sentido debemos decir que una de las ms comunes que suele darse, especialmente cuando la falla se produce por el ingreso de un virus al sistema, es la prdida total de todos los archivos que guardamos en nuestro sistema, por eso es importante que siempre tengamos una copia de seguridad de todo lo que guardamos en nuestro disco rgido. Ahora bien, antes de adquirir la seguridad para sistemas software debemos primero determinar cules son los riesgos de nuestro sistema.
Es decir que si utilizamos nuestra computadora nicamente para navegar por Internet, entonces deberemos adquirir algn tipo de seguridad de sistemas software para evitar que ingresen virus en el mismo y algo parecido sucede con las descargas online de archivos. Pero por ejemplo, si el sistema que utilizamos es el de una empresa entonces deberemos asegurarnos de que el mismo se encuentre asegurado contra los archivos de espionaje y robo de la informacin, algo que suele pasar mucho ms seguido en empresas comerciales que se mueven en un sistema competitivo. Tambin se debe ser muy cuidadoso con todos aquellos archivos que se ingresan permanentemente al sistema central de una empresa, ya que aqu tambin corremos el riesgo de que alguno de ellos posea alguna falla y que de esta manera produzca una falla general en el funcionamiento de todo el sistema, por eso es importante que siempre que se utilice algn tipo de sistema operativo,

tengamos muy en cuenta que la seguridad en sistemas software debe ser una prioridad.
4.4 PRINCIPIO 4. MENOS PRIVILEGIOS Dar el acceso mnimo necesario para la tarea encargada. Este es uno de los principios ms fundamentales de seguridad. La estrategia consiste en conceder a cada objeto (usuario, programa, sistema, etc.) solo aquellos permisos o privilegios que son necesarios para realizar las tareas que se program para ellos. El tipo de objeto al cual se apliquen los permisos determinar la granularidad el grado de detalle de la seguridad obtenida. Esta estrategia permite limitar la exposicin a ataques y limitar el dao causado por ataques particulares. Se basa en el razonamiento de que todos los servicios ofrecidos por una red estn pensados para ser utilizados por algn perfil de usuario en particular, y no que todos los usuarios pueden utilizar todos los servicios de la red. De esta forma es posible reducir los privilegios requeridos para varias operaciones sin afectar al servicio prestado a los usuarios del sistema.
Esta estrategia es difcil de implementar cuando no est prevista como una caracterstica de diseo en los programas y protocolos que estn siendo utilizados. Debe tenerse cuidado en asegurarse si realmente se est logrando implementar esta estrategia. En cualquier caso, es posible que se termine por implementar algo menos que el mnimo privilegio, o mucho ms.
Esta consideracin esta relacionada con el objeto sobre el cual se aplica la restriccin, es decir la granularidad de la proteccin. Por ejemplo, aplicar la restriccin sobre los usuarios, puede restringir el uso de servicios que fueron pensados para todos los usuarios. Al restringir qu privilegios tienen los usuarios y el software, usted puede ayudar a que el sistema sea ms seguro. Algunas de estas protecciones son invisibles, como el endurecimiento de servicio. Algunos pueden tomar tiempo para acostumbrarse, como el Control de cuentas de usuario. Y algunos tal vez requieran que el software se actualice para funcionar bien para las cuentas de Usuarios estndar antes de que todos puedan aprovechar los beneficios.

Cada programa y cada usuario del sistema debe operar utilizando el menor conjunto de privilegios necesario para completar el trabajo. Este es el principio de menos privilegios. El consejo sigue siendo cierto hasta ahora. Al restringir qu privilegios tienen los usuarios y el software, usted puede ayudar a que el sistema sea ms seguro. ste fue uno de los principios gua de seguridad detrs del desarrollo de Windows Vista. Por qu es importante ejecutar un sistema con un menor nmero de privilegios? Veamos el privilegio de las cuentas de usuarios como ejemplo. Si est ejecutando su PC con una cuenta de administrador completa, cualquier programa que ejecute y cualquier malware que pueda explotar ese programa, tambin se estar ejecutando con privilegios completos de administrador. Esos privilegios son suficientes para abrir puertos de firewall, crear cuentas de administrador adicionales e incluso instalar un kit raz para ocultar la presencia de malware. Sin embargo, si el cdigo intenta explotar el software que se est ejecutando con privilegios limitados, el malware podr descubrir que no puede ejecutar su ataque planeado y puede ser eliminado fcilmente debido a que no pudo crear ganchos profundos en el sistema.
Cuentas de usuarios La mayora de las personas utilizan Windows hoy con cuentas de administrador. Esto los coloca en un mayor riesgo de malware serio y dificulta tener un entorno de PC administrado, debido a que los usuarios pueden modificar las configuraciones confidenciales o instalar software no aprobado y posiblemente malicioso. La solucin es ejecutar Windows utilizando una cuenta estndar que no sea de administrador. An as, esto puede ser difcil de hacer debido a que los usuarios estndar no pueden ejecutar muchos programas y esto los restringe de realizar muchas tareas comunes por s mismos, tareas tan comunes como modificar sus configuraciones de energa o su zona horaria. Los usuarios estndar ahora pueden hacer ms tareas por s mismos, incluyendo modificar la zona horaria y las configuraciones de energa, conectarse a redes inalmbricas seguras e instalar dispositivos y controles ActiveX aprobados. Mejorar la compatibilidad de las aplicaciones para cuentas de usuarios estndar. Actualmente, muchas aplicaciones se rompen cuando intentan escribir en reas protegidas del sistema de archivos y del registro a los cuales el usuario estndar no tiene acceso. Para permitir que muchas aplicaciones funcionen para los usuarios estndar, Windows Vista incluye tecnologa de virtualizacin de archivos y registros que redirecciona las escrituras (y lecturas subsecuentes) a una ubicacin por usuario dentro del perfil del usuario. Al eliminar las barreras para

ejecucin con un menor nmero de privilegios, esperamos que la mayora de las cuentas de usuarios sean implementadas con permisos de Usuarios estndar en Windows Vista.
Exploracin del Web Internet Explorer es el programa ms utilizado en muchos PCs, pero lo que hace la mayor parte del tiempo requiere muy pocos privilegios del sistema. Descarga contenido del Web, lo muestra y cuando el usuario hace clic en el siguiente vnculo, lo hace de nuevo. El explorador no necesita tener acceso a muchos recursos del sistema para hacer eso, aunque los exploradores Web actuales se ejecutan con todos los privilegios del usuario conectado. Lo que significa que el malware que explota vulnerabilidades en el explorador o un control que se ejecuta en el explorador puede hacer cualquier cosa que el usuario pueda hacer, de manera programtica, sin conocimiento o interaccin del usuario. En lugar de dar al explorador Web ms privilegios de los que necesita, hemos aplicado el principio de menor nmero de privilegios a la tarea de exploracin del Web. Por predeterminacin, los sitios de Internet se ejecutarn en Modo protegido, lo cual limita el acceso de un explorador a las ubicaciones que se necesitan para las tareas arriba mencionadas: el directorio temporal de archivos de Internet, la carpeta de favoritos y unos cuantos directorios o configuraciones de registro. Por lo tanto, ayuda a evitar que los archivos o las configuraciones del usuario del sistema sean modificados sin el permiso explcito del usuario. Si los usuarios desean realizar una tarea que requiere mayores privilegios que los que tiene Internet Explorer por predeterminacin, existe un proceso de intermediario que les permite aprobar una accin que requiera privilegios adicionales. Sin embargo, el modo de menor nmero de privilegios es el predeterminado.
Servicios Los servicios Windows por lo general se ejecutan en la cuenta LocalSystem, la cuenta ms poderosa en el sistema. Esto hace que tales servicios sean objetivos atractivos para desarrolladores de virus. Algunos de los gusanos Windows ms severos Slammer, Blaster y Sasser todos estaban dirigidos a los servicios. De manera ideal, los servicios deben limitar su potencial de dao al ejecutarse en una cuenta con menores privilegios, tal como LocalService o NetworkService. Sin embargo, muchos servicios requieren por lo menos algunos privilegios que slo soporta LocalSystem. El modelo todo o nada que se utiliz antes de Windows Vista significaba que un servicio que requiriera cualquier privilegio de LocalSystem

tena tambin que incluir todos los dems privilegios de LocalSystem. Esto con frecuencia significaba incluir privilegios que el servicio no requera. En Windows Vista, hemos aplicado el principio de menor nmero de privilegios a servicios con un concepto nuevo llamado Windows Service Hardening. Los servicios se perfilan para tener slo los privilegios que necesitan. Un menor nmero de procesos en Windows Vista utiliza la cuenta SYSTEM. En comparacin con Windows XP, ocho servicios que acostumbraban ejecutarse con privilegios SYSTEM ahora se ejecutan como LOCAL SERVICE, y ahora cuatro se ejecutan como NETWORK SERVICE. Adems, los servicios que no requeran la cuenta SYSTEM se pueden perfilar para restringirlos contra escrituras en el sistema de archivos o al enviar trfico de salida, si el servicio no necesita esos privilegios para hacer la funcin para la cual se cre. Por ejemplo, el servicio Llamada de procedimiento remoto en Windows Vista est restringido contra el reemplazo de archivos del sistema, modificar el registro o manipular con otra configuracin de servicio en el sistema (tal como la configuracin de software antivirus y archivos de definicin de firma). Terceros tambin pueden aprovechar estas capacidades para que sus servicios sean ms seguros.
Controladores Los controladores por lo general se ejecutan en el kernel, lo que les da el mayor privilegio de todos. Con acceso al kernel, es posible crear un kit de raz que oculta todos los tipos de actividad maliciosa en el sistema. Windows Vista aplica el principio de menor nmero de privilegios a los controladores al ejecutar muchos controladores que normalmente se ejecutaban en modo de kernel en el modo de usuario ms restringido en cambio. Esto tambin mejorar la estabilidad del sistema, debido a que un bloqueo en el kernel con frecuencia poda resultar en un bloqueo de la pantalla azul de todo el sistema operativo, pero con frecuencia se puede recuperar de un bloqueo en modo de usuario.

4.5 PRINCIPIO 5. SEGMENTACIN
Es un esquema de manejo de memoria mediante el cual la estructura del programa refleja su divisin lgica; llevndose a cabo una agrupacin lgica de la informacin en bloques de tamao variable denominados segmentos. Cada uno de ellos tienen informacin lgica del programa: subrutina, arreglo, etc. Luego, cada espacio de direcciones de programa consiste de una coleccin de segmentos, que generalmente reflejan la divisin lgica del programa. Un fallo que muchas veces ocurre es el de enviar el mismo mail a todo el mundo por igual. Una alternativa es la segmentacin. No hacen falta grandes recursos para segmentar la lista de distribucin. Las organizaciones deben definir una serie de prioridades y la mayora de las veces la seguridad no suele ser de alta prioridad. A menudo, no es rentable hacer un sistema tan seguro como sea posible, ya que el riesgo es bajo y el coste es alto. Cuando recibimos los estudios de viabilidad de los clientes, revisamos en busca de requisitos de seguridad pero stos son escasos y en muchas ocasiones inexistentes. Si los analistas son buenos stos se encargan de incluir algunos, pero como las estimaciones de los proyectos suelen ser en la mayora de los casos muy ajustadas, tienden a omitirlos. El software est en la raz de la mayora de los problemas de seguridad informtica, si ste no se comporta de forma adecuada surgirn problemas de integridad, disponibilidad, confidencialidad... Los bugs y vulnerabilidades son la causa de un mal diseo y una mala implementacin. Debemos empezar a concienciarnos: la seguridad debe estar presente en todas las fases del ciclo de vida de un producto.

4.6 PRINCIPIO 6. MANTENERLO SIMPLE La simplicidad es una estrategia de seguridad que se basa en dos principios: 1. Mantener las cosas sencillas las hace ms fciles de comprender Si algo no se entiende, no se puede saber si es seguro o no, y 2. Lo complejo proporciona muchos escondites para que se oculten toda clase de cosas (por ejemplo, es ms fcil mantener seguro un apartamento que una mansin). Se sabe que cuanto ms grande y complejo es un sistema, ms errores tendr, ser ms difcil de utilizar y ms costoso de testear. Adems, probablemente posea agujeros de seguridad no conocidos que un atacante puede explotar, por ms complejos que sean. La simplicidad de los sistemas de seguridad es un factor importante de una slida defensa de red. Particularmente los sistemas de seguridad de red a nivel de aplicacin no deberan tener funcionalidades desconocidas y deberan mantenerse lo ms simples posible.
4.7 PRINCIPIO 7. PROMOVER LA PRIVACIA Tenemos que tratar de no comprometer los datos de nuestros usuarios. La mayora de sitios `serios' no guarda nuestra clave, ni el nmero de la tarjeta, Al menos, no mostrarla (nunca entera) Almacenarla cifrada Almacenarla en otra mquina diferente. Ejemplos: Microsoft dedica recursos importantes a la mejora de la proteccin de la privacidad, tanto en lo que se refiere al software, servicios y productos que ofrecemos a nuestros clientes para ayudarles a administrar la privacidad de su informacin como en lo que respecta al modo en que hacemos negocios. Como resultado de esto, la privacidad se ha incorporado a la cultura de Microsoft como una prioridad automtica en cada rea de la compaa. Los esfuerzos para ayudar a nuestros clientes a proteger su informacin estn centrados en tres reas clave: inversiones en tecnologa, liderazgo responsable y compromiso y orientacin al cliente.

Inversiones en tecnologa Comprendemos que nuestros clientes esperan que les proporcionemos herramientas que les permitan protegerse. Como resultado, Microsoft da prioridad al desarrollo de tecnologas que incorporen herramientas o servicios de mejora de la privacidad que contribuyan a proteger a nuestros clientes y a su informacin. Entre los ejemplos recientes de tecnologa de mejora de la privacidad se incluyen: Windows Defender. La herramienta antispyware de Microsoft mejora la seguridad de navegacin por Internet ayudando a salvaguardar contra spyware y eliminando paquetes de spyware ya instalados en su ordenador. Es la descargar ms popular de Microsoft download. Microsoft Windows Vista Service Pack 1. Microsoft ha llevado a cabo nuevas mejoras de seguridad y privacidad en Windows Vista SP1 para proteger mejor los equipos de piratas informticos, virus y otras amenazas en lnea. Lucha contra el correo electrnico no deseado y filtrado de contenido. En colaboracin con Microsoft Research, MSN, Microsoft Office, Microsoft Exchange Server y otros grupos internos, el grupo de tecnologas y estrategias contra el correo electrnico no deseado contribuye a integrar nuevas tecnologas contra el correo no deseado. Administracin de derechos. Windows Rights Management Services (RMS) es una nueva tecnologa de aplicacin de directivas que permite proteger el contenido en el nivel de archivo. Esta proteccin de nivel de archivo siempre est aplicada, independientemente del lugar donde se encuentre. MSN. La tecnologa avanzada en la red MSN y servicios de comunicacin (proteccin infantil de MSN, proteccin contra elementos emergentes, proteccin contra correo electrnico no deseado) contribuye a proteger a los clientes de las amenazas en lnea, incluido el correo electrnico no deseado y los virus. Sender ID. Sender ID es un nuevo estndar e iniciativa de lucha contra el correo electrnico no deseado de AOL, Yahoo!, EarthLink, Comcast, British Telecom y Microsoft. Sender ID combate un tipo especfico de falsificacin de correo electrnico denominado suplantacin de dominio, que falsifica la informacin de encabezado para dar la impresin de que un mensaje procede de un remitente legtimo.

Internet Explorer. Internet Explorer 8 ofrece seguridad gracias a una nueva estructura ms slida, caractersticas de seguridad que le protegen frente al software malicioso (tambin conocido como malware) y nuevas vas para proteger mejor su informacin personal frente a sitios Web fraudulentos, una prctica conocida como "phising".
Liderazgo responsable Reconocemos que compartir nuestros conocimientos, aprender de otros y colaborar con socios del sector en cada fase contribuye a que cada eslabn posterior de la cadena sea ms fuerte. En este sentido, invertimos en numerosos tipos de organizaciones y asociaciones. Por ejemplo:
Anti-Phishing Working Group. Como miembro colaborador de APWG, Microsoft tiene un compromiso activo con otros lderes del sector en reducir la amenaza de ataques tipo "phishing" elaborando y compartiendo informacin acerca del problema y promoviendo la visibilidad y la adopcin de soluciones para el sector. Antispam Technology Alliance. Microsoft y los miembros de ASTA trabajan conjuntamente, adems de otros participantes del sector y de otros sectores, en impulsar estndares tcnicos y en promover la colaboracin en el desarrollo de directrices del sector para solucionar el problema del correo electrnico no deseado. Online Privacy Alliance Microsoft es mimbro de Online Privacy Alliance, cuya finalidad es: identificar y anticipar medidas de proteccin de la privacidad en el sector privado, ofrecer apoyo y fomentar el desarrollo y el uso de mecanismos y actividades de aplicacin autorregulados, as como tecnologas y estndares que contribuyan a proteger la privacidad y facilitar el cumplimiento y la aplicacin estrictos de las legislaciones y normativas vigentes. Trustworthy Computing Academic Curriculum. La creacin de este programa acadmico fundar una serie de proyectos acadmicos para presentar los aspectos bsicos de Informtica de confianza en los currculos tcnicos y de negocio.

Trustworthy Computing Academic Advisory Board. La junta se cre para asesorar a Microsoft con respecto a las mejoras de seguridad, privacidad y confiabilidad en las tecnologas de Microsoft. TRUSTe proporciona aprobacin global lder para generar confianza en las transacciones en lnea. Ofrecemos apoyo a TRUSTe tanto como patrocinador lder como propietario de licencia global. Global Infrastructure Alliance. Microsoft forma parte de este grupo de trabajo, que se ha diseado para ofrecer un entorno de Internet ms seguro a todos los consumidores del mundo. GIAIS cubre el 60% de los suscriptores a Internet del mundo.
Compromiso y orientacin al cliente Las tecnologas de privacidad de Microsoft funcionan mejor cuando los clientes disponen de los conocimientos y de la orientacin que precisan para utilizarlas de una forma ms eficaz. Pretendemos mejorar las funciones de los clientes y las asociaciones mediante cursos, colaboracin con el cliente y el compromiso.
MSN Protect Your Privacy Online. En este sitio Web se ofrece informacin a los usuarios acerca de cmo mantener el control de su informacin, cmo pueden los criminales invadir su privacidad y qu pueden hacer para protegerse. Seguridad en el hogar. Este sitio Web est dedicado a ayudar a los usuarios a obtener soporte tcnico para problemas relacionados con la seguridad, como virus y actualizaciones de seguridad. Gua de privacidad en Microsoft. Punto de vista de Microsoft a travs de la explicacin de sus innovaciones tecnolgicas, prcticas y procedimientos internos, orientacin al consumidor y su liderazgo y cooperacin en el sector. Colaboracin en la aplicacin de la legislacin. Microsoft tiene el compromiso de trabajar en la aplicacin de la legislacin en todo el mundo para encontrar modos de detener la piratera y otros sabotajes de software mediante prcticas de seguridad proactivas. Un ejemplo de la dedicacin de Microsoft a su objetivo de colaboracin en la aplicacin de la legislacin lo

constituye el programa de recompensa de antivirus (Antivirus Reward Program). Esta iniciativa consiste en fondos donados por Microsoft para ayudar a la aplicacin de la legislacin con el fin de descubrir a los autores de gusanos, virus y otro cdigo malintencionado. Enterprise Engineering Center. Este recurso permite a los clientes implementar y probar las soluciones de Microsoft en una recreacin de su entorno heterogneo. Los programadores de Microsoft colaboran con los clientes para garantizar una configuracin correcta y solucionar los problemas que se produzcan en el momento. Campaa de cursos en todo el mundo. Estamos trabajando en una campaa de cursos en todo el mundo con fabricantes de equipos, distribuidores, proveedores de servicios Internet y otros socios para mantener a los profesionales de TI actualizados con las prcticas recomendadas en comprobacin y proteccin de equipos y cmo facilitar la habilitacin de las tecnologas de proteccin.
4.8 PRINCIPIO 8. OCULTAR SECRETOS ES DIFICIL
La idea de esta estrategia est basada en mantener oculta la verdadera naturaleza de seguridad, de esta forma, un atacante lo pasar por alto como una posible vctima. Pero esta suposicin es algo ingenua ya que varios estudios han demostrado que el inters de un atacante por un determinado sitio no solo est determinado por el inters que ste tenga sobre la informacin del sistema Seguridad a travs de oscuridad.
La idea de esta estrategia est basada en mantener oculta la verdadera naturaleza del sistema de seguridad, de esta forma, un atacante lo pasar por alto como una posible vctima. Pero esta suposicin es algo ingenua ya que varios estudios han demostrado que el inters de un atacante por un determinado sitio no solo est determinado por el inters que ste tenga sobre la informacin del sistema.

4.9 PRINCIPIO 9.TRANSPARENTAR EL CDIGO
Un software es seguro cuando ha sido bien desarrollado y se utiliza de forma correcta, y esto es independiente de la forma bajo la que se distribuya. Sin embargo, el software libre es ms transparente que el software propietario, ya que permite comprobar que fue desarrollado de forma correcta. Otra de las ventajas del software libre es que est basado en estndares abiertos, es decir cualquier empresa puede crear un programa que maneje la informacin que genera en ese software. De ese modo no se produce una dependencia tecnolgica haca una determinada empresa. Siempre es el usuario quien elige el programa con el que manejar sus datos, pudiendo cambiar su eleccin cuando lo desee, ya que la informacin estar almacenada en formatos estndar, que pueden ser manejados por otros programas diferentes al nuestro. Un ejemplo de esto son los ficheros jpg o png: cada usuario puede utilizar el programa que ms le guste para ver las imgenes almacenadas en estos formatos, ya que son formatos pblicos. Diseo para transparencia Adems de aplicar toda las tcticas para mantener el cdigo simple se debe pensar en las maneras que el cdigo se va comunicar con los seres humanos. Las cualidades en la reaccin humana al software son esenciales para reducir sus errores e incrementar su mantenibilidad.

4.10 PRINCIPIO 10. USAR RECURSOS COMUNES
Uso Aceptable Aquel que demande un gasto adicional para el organismo, excepto el que derive del uso normal de los recursos informticos.
Usos Indebidos Acceder al cdigo fuente de una obra de software sin autorizacin explcita del autor (rea de software y aplicaciones) con la finalidad de modificarlo.
Usos Prohibidos Prohibido el uso de cualquier recurso informtico para: Grabar, modificar o borrar software, informacin, bases de datos, que no estn incluidas como tareas propias del usuario.

Unidad V Auditoria de software Objetivo: El alumno conocer e identificar las etapas que se requieren para poder llevar a cabo la auditora de software una vez que ste ha sido terminado; as como las herramientas que permiten realizar auditora al cdigo fuente.
Contenido: 5.1 Definicin de Arquitectura de Seguridad 5.2 Principios de la Arquitectura de Seguridad 5.3 Anlisis de la Arquitectura de Seguridad 5.3.1 Diseo 5.3.2 Implementacin 5.3.3 Automatizacin y pruebas 5.3.4 rboles de Ataque 5.3.5 Reporte del Anlisis 5.4 Implementacin del Anlisis de Seguridad 5.4.1 Auditoria de Cdigo Fuente 5.4.2 Herramientas de Auditoria de Seguridad de Cdigo

AUDITORIA DEL SOFTWARE
CONCEPTO La Auditora de Software es un trmino general que se refiere a la investigacin y al proceso de entrevistas que determina cmo se adquiere, distribuye y usa el software en la organizacin. Conducir la auditora es una de las partes ms crticas de un Programa de Administracin de Software, porque la auditora ayuda a la organizacin a tomar decisiones que optimicen sus activos de software. Un estudio de Print UK Limited, firma de Administracin de auditora, descubri que una organizacin tpica con ms de 500 PCs muchas veces tiene un 20% ms de computadoras de lo que cree. El Gartner Group tambin descubri que ms de un 90% de las organizaciones han incrementado su base de activos de TI sin haber hecho ningn proceso para su seguimiento. Una de las razones por las que las organizaciones no maximizan su inversin en activos de software es que no hay informacin exacta disponible. La recopilacin de toda la informacin necesaria es un proceso intenso, especialmente cuando se hace por primera vez. Otro problema es que la perspectiva de una auditora puede ser vista con algunas reservas por algunos directivos de la organizacin, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos. Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la Auditora de Software y comunicar su valor por adelantado. Los siguientes factores favorecern la colaboracin entre la gerencia y el personal a travs del proceso de planificacin, el cual es una llave para el xito de cualquier auditora de software. Establecer y acordar una serie clara de objetivos y comunicarla a todos los empleados asociados con la auditora. Focalizarse en los resultados que se requieran de la auditora y discutir las reas donde se crea pueda haber problemas. Identificar las reas simples pero muchas veces olvidadas que necesitan ser consideradas, tales como: Acceso a sitios y creacin de mapas de esas locaciones Conocer con anticipacin los log-on scripts de seguridad o claves. Horario de la auditora (durante el da, noche o fin de semana). Disear el plan y el cronograma de la auditora, as como tambin las herramientas de auditora que sern usadas. Asignar recursos para cada elemento especfico de la auditora.

5.1 DEFINICION DE ARQUITECTURA DE SEGURIDAD
La seguridad de datos (seguridad lgica) se define en funcin de tres atributos, todos los cules se deben mantener para garantizar la seguridad del sistema:
I. CONFIABILIDAD (INTEGRIDAD): Se refiere a que la informacin a transmitir NO sea modificada durante la transmisin. Un interceptor NO debe ser capaz de cambiar un mensaje verdadero por uno falso. II. CONFIDENCIALIDAD (PRIVACIDAD / ANONIMATO): La informacin slo puede ser accedida por personas autorizadas. III. CONTINUIDAD OPERATIVA (DISPONIBILIDAD): Se refiere a la operacin ininterrumpida en el tiempo del sistema.
5.2 PRINCIPIOS DE LA ARQUITECTURA DE SEGURIDAD
Los principios son leyes naturales de carcter general que actan independientemente a que nosotros tengamos conocimientos o no de ellos, los principios pueden aparecer en la mayora de las doctrinas.
Principios Confidencialidad Integridad Disponibilidad Autenticacin Autorizacin Auditabilidad
Confidencialidad: Asegura que solos los individuos autorizados tengan accesos a los recursos que se intercambien. Integridad: Garantizan que los datos sean lo que se supone que son. Disponibilidad: Garantiza el correcto funcionamiento de los sistemas de informacin.

Autenticacin: Asegura que los individuos autorizados tengan accesos a los recursos (confirmacin de la entidad de un usuario) Autorizacin: Asegura que los individuos que accedan a la informacin tienen la suficiente autorizacin para ello. Auditabilidad: Asegura de que el sistema pueda ser sometido a demostraciones, verificaciones, o comprobaciones con el fin de buscar una mejora.
5.3 ANALISIS DE LA ARQUITECTURA DE SEGURIDAD
Diseo de la Entrada y Salida Entrada: consiste en realizar formato que permitan a los usuarios introducir datos, los formales sern pantallas que simularan que en estas se escriba la informacin. Salida: El diseo de salida en s, es disear los formatos de salida comnmente esta puede ser reporte de resultado. Anlisis Seleccionar un lenguaje de programacin, el lenguaje que se selecciona cumple con los requisitos tales como fcil de manejar y es conocido como el equipo de trabajo. Cada cdigo debe ser explicado a los trabajadores o a la persona que tendr uso de este, se tuvo que seleccionar un lenguaje que permitiera que el manejo de este sea sencillo.
5.3.1 DISEO
Se define como el conjunto de controles de infraestructura de TI recomendados para brindar, un ambiente que minimice los riesgos asociados a la utilizacin de tecnologas de informacin y apoye las estrategias de negocio 1.-Definicin del esquema de Autenticacin, Autorizacin y Auditoria 2.- Definicin de seguridad perimetral 3.- Definicin de conectividad segura 4.- Definicin de esquema de monitoreo 5.-Definicin de administracin Centralizada Con base en los requerimientos normativos establecidos en la ISO 27001 y los controles

recomendados en ISO27002, se establece el marco metodolgico que apoya la definicin de Arquitectura de Seguridad
5.3.2 IMPLEMENTACION
El proceso de implementacin contiene las actividades y tareas del operador. El proceso cubre la operacin del producto software y el apoyo a la operacin de los usuarios. Ya que la operacin del producto software est integrada a la operacin del sistema, las actividades y tareas de este proceso hacen referencia al sistema. El operador gestiona el proceso de operacin a nivel de proyecto usando el proceso de gestin, que se emplea en este proceso; establece una infraestructura basada en el proceso que se sigue en el proceso de infraestructura; adapta el proceso al proyecto siguiendo el proceso de adaptacin; y gestiona el proceso al nivel de organizacin siguiendo el proceso de mejora de proceso y el proceso de recursos humanos. Cuando el operador es el proveedor del servicio de operacin, el operador lleva a cabo proceso de suministro. Lista de actividades. Este proceso consta de las siguientes actividades: a) Implementacin del proceso. b) Pruebas de operacin. c) Operacin del sistema. d) Soporte al usuario. Implementacin del proceso: Esta actividad consta de las siguientes tareas: El operador debera preparar un plan y establecer un conjunto de normas de operacin para llevar a cabo las actividades y tareas de este proceso. Se deber documentar y ejecutar el plan. El operador deber establecer procedimientos para recibir, registrar, solucionar y hacer un seguimiento de los problemas y proporcionar informacin sobre su situacin. En cuanto se encuentren problemas, se debern registrar e introducir en el proceso de solucin de problemas.
Pruebas de operacin: Esta actividad consta de las siguientes tareas: Para cada relase del producto software, el operador deber llevar a cabo pruebas de operacin y tras satisfacerse los criterios especificados, liberar el software para uso en operacin. El operador deber asegurar que el cdigo software y las bases de datos se inicializan, ejecutan y terminan tal como se describe en el plan.

Operacin del sistema: Esta actividad consta de la siguiente tarea: El sistema deber ser operado en el entorno previsto de acuerdo con la documentacin de usuario. Soporte al usuario: Esta actividad consta siguientes tareas: El operador deber proporcionar asistencia y consultora a los usuarios cuando la pidan. Estas peticiones y las acciones subsecuentes se debern registrar y supervisar. El operador deber pasar las peticiones del usuario, cuando sea necesario, al proceso de mantenimiento para su solucin. Estas peticiones se debern tramitar y el originador de la peticin deber ser informado de las acciones que se planifiquen y se tomen. Se deber hacer un seguimiento de todas las decisiones hasta su conclusin. Si un problema reportado tiene una solucin temporal, antes de que se pueda liberar una solucin permanente, se deber dar la opcin a quien report el problema para que la use. Se debern aplicar al software en operacin, usando el proceso de mantenimiento, las correcciones permanentes, los raleases que incluyan funciones o caracterstica omitidas anteriormente y las mejoras del sistema.
5.3.3 AUTOMATIZACN Y PRUEBA Las pruebas de seguridad permiten mitigar los riesgos asociados a posibles ataques tanto internos como externos a los sistemas y aplicaciones del cliente. Los ataques pueden explotar defectos de diseo de la arquitectura, de la plataforma, y de las aplicaciones utilizadas por la organizacin. Las organizaciones que manejan software de seguridad se divide su actividad en dos grandes mbitos: 1. Revisiones de seguridad de sistemas. Bajo esta actividad se realizan anlisis del nivel de aplicacin de: o o o o Normativas internas de la organizacin Mejores prcticas Estndares internacionales Parches y actualizaciones de los fabricantes
2. Pruebas de seguridad en el nivel de aplicacin, con dos aproximaciones: o Pruebas de caja negra automatizadas, que permitan simular ataques estndar

o Pruebas de caja blanca que permiten simular ataques desde dentro de la organizacin pues presuponen conocimiento de la arquitectura de seguridad del cliente
En todas las reas de una organizacin puede aportar su conocimiento y experiencia con herramientas especficas. La automatizacin en un software seguro se refiere a realizar las tareas ms rpidas del software. Objetivos de la automatizacin Esfuerzo La tarea cuesta menos y se hace menos tediosa. Cuanto mayor tiempo lleva la tarea, menor es la probabilidad de hacerla. Y cuando la dejamos de hacer, minimizamos el valor del trabajo que hacemos. Reduce el tiempo Aumenta la previsibilidad Consistencia Extensibilidad Al ganar / ahorrar tiempo, surge la oportunidad de mejorar otras cosas. Mtricas Tomar mtricas en un proceso automatizado es mucho ms fcil que en un proceso manual. 5.3.4 ARBOLES DE ATAQUE Qu es un rbol de ataque? Los arboles de ataques ofrecen otro modo de controlar las amenazas potenciales. Un rbol de ataques es un diagrama jerrquico de los ataques posibles contra un sistema. La raz del diagrama en forma de rbol invertido representa el objetivo final de un atacante, como robar contraseas. Las ramas del rbol representan las acciones que pueden realizar los atacantes para alcanzar el objetivo. Al retrasar las rutas por el diagrama, los desarrolladores pueden descubrir que tipo s de ataques son los ms fciles los cuales son los ms difciles de detectar y cuales pueden provocar el mayor dao. Los arboles de ataques son utilizados por los anlisis de la seguridad en muchos campos.

5.3.5 REPORTE DE ANALISIS La informacin acerca del sistema actual se estudia en detalle, y se entrevista a los usuarios, se toman medidas, se desarrollan pronsticos de necesidades futuras y se toman todos los dems pasos necesarios para determinar lo que el nuevo sistema debe realizar. Los resultados de esta actividad minuciosa llevan al informe de especificaciones de requerimientos del sistema, con la cual termina la fase de anlisis de sistemas. (Este es el punto ms temprano del ciclo de vida de unos sistemas ene el cual se prepara un pedido de propuestas, o PP). El reporte escrito de la propuesta de sistemas debe contener: Memorndum de la portada. Resumen de recomendaciones. Panorama del estudio de sistemas. Hechos detallados. Otras soluciones. Recomendaciones. Presentacin oral. El anlisis de software tambin previene que las aplicaciones se vuelvan obsoletas y confirma si usted posee las funciones ms actualizadas y el software apropiado para subsistema. 5.4 IMPLEMENTACION DEL ANALISIS DE SEGURIDAD Debemos instalar herramientas, divulgar reglas, concienciar a los usuarios sobre el valor de la informacin, configurar los ambientes etc. Debemos elegir e implementar cada medida de proteccin, para contribuir con la reduccin de las vulnerabilidades. El siguiente listado de ejemplos nos permite darnos una idea de lo que se requiere para la proteccin de los activos en la organizacin: Control de acceso a los recursos de la red Implementacin de controles en las estaciones de trabajo que permiten la gestin de acceso, en diferentes niveles, a los recursos y servicios disponibles en la red.

Proteccin contra virus Implementacin de un software que prevenga y detecte software maliciosos, como virus. Seguridad para equipos porttiles Implantacin de aplicaciones y dispositivos para la prevencin contra accesos indebidos y el robo de informacin. Deteccin y control de invasiones Implantacin de una herramienta que analice el trnsito de la red en busca de posibles ataques para permitir dar respuestas en tiempo real, y reducir as los riesgos de invasiones en el ambiente. Firewall Sistema que controla el trnsito entre dos o ms redes, permite el aislamiento de diferentes permetros de seguridad, como por ejemplo, la red Interna e Internet. Seguridad en correo electrnico Utiliza certificados digitales para garantizar el sigilo de las informaciones y software para filtro de contenido, y proteger a la empresa de aplicaciones maliciosas que llegan por ese medio. Seguridad para las aplicaciones Implementacin de dispositivos y aplicaciones para garantizar la confidencialidad, el sigilo de las informaciones y el control del acceso, adems del anlisis de las vulnerabilidades de la aplicacin, al suministrar una serie de recomendaciones y estndares de seguridad. Monitoreo y gestin de la seguridad Implementacin de sistemas y procesos para la gestin de los eventos de seguridad en el ambiente tecnolgico, haciendo posible un control mayor del ambiente, para dar prioridad a las acciones e inversiones.

Seguridad en comunicacin Mvil Acceso a Internet para usuarios de aparatos mviles como telfonos celulares y PDAs, para permitir transacciones e intercambiar informacin con seguridad va Internet. Seguridad para servidores Configuracin de seguridad en los servidores, para garantizar un control mayor en lo que se refiere al uso de servicios y recursos disponibles. Firewall interno Este firewall funciona al aislar el acceso a la red de servidores crticos, minimizando los riesgos de invasiones internas a servidores y aplicaciones de misin crtica
5.4.1 AUDITORIA DE CDIGO FUENTE Es el proceso de revisar el cdigo de una aplicacin para encontrar errores en tiempo de diseo. Motivos para auditar el cdigo de una aplicacin: La auditora de cdigo es parte del ciclo de vida en el desarrollo de Software. Dejar la revisin de cdigo para el ltimo momento es mucho ms costoso en tiempo y en recursos que realizarlo como un proceso continuo. Es una forma sencilla de educar al equipo de desarrollo viendo por qu no se deben realizar ciertas codificaciones. Fomenta el uso de buenas prcticas. Mejora la calidad y minimiza el mantenimiento del cdigo que realizamos.

5.4.2 HERRAMIENTAS DE AUDITORIA DE SEGURIDAD Fuente herramientas de auditora de cdigo generalmente buscan vulnerabilidades comunes y el trabajo slo para determinados lenguajes de programacin. Estas herramientas automatizadas se podran utilizar para ahorrar tiempo, pero no debe ser invocado por una auditora a fondo. La aplicacin de herramientas como parte de un enfoque poltico basado es recomendable. Ejemplos de herramientas de auditora incluyen Skavenger, SSW Cdigo Auditor y muchos de los instrumentos enumerados en la lista de herramientas para anlisis de cdigo esttico. Una auditora de cdigo de software es un anlisis completo de cdigo fuente en una programacin de proyectos con la intencin de descubrir los errores, fallos de seguridad o violaciones de los convenios de programacin. Es una parte integral de la programacin defensiva paradigma, que intenta reducir los errores antes de que el software es puesto en libertad. C y C + + cdigo fuente es el cdigo ms comn de ser controladas desde muchos lenguajes de alto nivel, como Python, tienen menos funciones potencialmente vulnerables Mediante la auditora de cdigo fuente le proporcionamos a empresas que desarrollen su propio software la facilidad de externalizar las auditoras de cdigo, que permitirn a sus aplicaciones convertirse en software ms seguro y que le garantizarn la eliminacin de gran cantidad de vulnerabilidades conocidas en su cdigo. Entre los lenguajes de programacin que auditamos, se encuentran lenguajes de servidor como PHP, ASP, JSP y .NET
CONCLUSIN En este tema pude aprender que la auditoria del software es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin para salvaguarda la informacin de una organizacin, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Por eso es importante porque tiene la capacidad de verificar la integridad de la informacin mediante estas revisiones que se le efecta a los sistemas de informacin.

Unidad VI Cdigo seguro Objetivo: El alumno conocer, identificar y aplicar diferentes lenguajes de programacin que le permitan analizar, disear y desarrollar las diferentes tcnicas de cdigo de seguro. Contenido:
6.1 6.2 6.3 6.4
Definicin de Cdigo Seguro Lenguaje Ensamblador Lenguajes de Programacin Tcnicas de Cdigo Seguro 6.4.1 Buffer Overflows 6.4.2 Heap Overflows 6.4.3 Formato de cadena 6.4.4 Exploits 6.4.5 Race conditions 6.4.6 SQL injection 6.4.7 Cross Site & Cross-Domain Scripting 6.4.8 Fault Injection

6.1 DEFINICIN DE CODIGO SEGURO Es un cdigo diseado para soportar ataques de usuarios maliciosos. Las instrucciones siguientes proporcionan varias tcnicas para escribir cdigo seguro. Se requiere Utilice las herramientas de anlisis de cdigo. Visual Studio Team Edition para Developers se distribuye con herramientas de anlisis de cdigo que pueden aumentar en gran medida la posibilidad de encontrar los errores de seguridad del cdigo. Estas herramientas encuentran errores ocultos con mayor eficacia y menos esfuerzo. Realice una revisin de seguridad. El objetivo de toda revisin de seguridad es mejorar la seguridad de los productos que ya se han lanzado o garantizar que no se distribuya ningn producto nuevo hasta que sea lo ms seguro posible. No revise el cdigo de forma aleatoria. Prepare de antemano la revisin de seguridad y comience por crear un modelo exhaustivo de amenazas. Si no hace, puede desperdiciar mucho tiempo de su equipo. D prioridad al cdigo que debe recibir la revisin de seguridad ms intensa e indique qu errores de seguridad hay que buscar. Utilice una lista de comprobacin de revisin de cdigo para mayor seguridad. Independientemente de la funcin que desempee en el equipo de desarrollo de software, resulta de gran utilidad disponer de una lista de comprobacin que seguir a fin de garantizar que el diseo y el cdigo cumplen los requisitos mnimos. Valide todos los datos introducidos por los usuarios. Si permite que la aplicacin acepte datos proporcionados por los usuarios, directa o indirectamente, debe validar esos datos antes de utilizarlos. Los usuarios malintencionados intentarn provocar errores en la aplicacin manipulando los datos de modo que representen datos no vlidos. La primera regla para los datos introducidos por el usuario es: todos los datos son errneos hasta que se demuestre lo contrario. Valide perfectamente todos los parmetros de las interfaces de programacin de aplicaciones (API) exportadas. Asegrese de que todos los parmetros de las API exportadas son vlidos. Esto incluye los datos que parecen ser coherentes pero que estn ms all del intervalo de valores aceptado, como los tamaos bfer excesivos. No utilice aserciones para comprobar los parmetros de las API exportadas, porque las aserciones se quitarn en la versin de lanzamiento.

Utilice las API criptogrficas de Windows. En lugar de escribir a su propio software criptogrfico, utilice la API criptogrfica de Microsoft, que ya est disponible. Al utilizar una API criptogrfica de Microsoft, los desarrolladores quedan libres para concentrarse en la generacin de aplicaciones. Recuerde: el cifrado resuelve muy bien un reducido conjunto de problemas y se utiliza con frecuencia de maneras para las que no est diseado. Se debe evitar Las saturaciones del bfer. Una saturacin del bfer esttica se produce cuando un bfer declarado en la pila se sobrescribe porque se copian datos ms grandes que l. Las variables declaradas en la pila se ubican junto a la direccin de devolucin del llamador de la funcin. Las saturaciones del bfer tambin pueden aparecer en el montn y son igualmente peligrosas. Normalmente, la causa suele residir en datos introducidos por el usuario que se pasan a una funcin como strcpy, con el resultado de que la direccin de devolucin de la funcin se sobrescribe por una direccin elegida por el atacante. Para evitar las saturaciones del bfer, es fundamental escribir una aplicacin robusta. Aserciones para la comprobacin de los datos externos. Las aserciones no se compilan en las versiones de lanzamiento. No utilice aserciones para comprobar los datos externos. Todos los parmetros de las funciones y los mtodos exportados, todos los datos introducidos por el usuario y todos los datos de los archivos y socket deben verificarse atentamente para comprobar su validez, y rechazarse si hay algn error. Combinaciones de Id. de usuario y contrasea dentro del cdigo. No utilice contraseas contenidas dentro del cdigo. Modifique el instalador para que, al crear las cuentas de usuario integradas, se soliciten al administrador contraseas seguras para cada cuenta. De esta manera, se puede mantener la seguridad de los sistemas de nivel de produccin del cliente.

Utilizar el cifrado para resolver todos los problemas de seguridad. El cifrado resuelve muy bien un reducido conjunto de problemas y se utiliza con frecuencia de maneras para las que no est diseado. Rutas de acceso a archivos y direcciones URL cannicas. Evite situaciones donde sea importante la ubicacin de un archivo o una direccin URL. Utilice ACL del sistema de archivos en lugar de reglas basadas en nombres de archivo cannicos.
6.2 LENGUAJE ENSAMBLADOR
El lenguaje ensamblador es un tipo de lenguaje de bajo nivel utilizado para escribir programas informticos, y constituye la representacin ms directa del cdigo mquina especfico para cada arquitectura de computadoras legible por un programador. Fue usado principalmente en los inicios del desarrollo de software, cuando an no se contaba con los potentes lenguajes de alto nivel. Actualmente se utiliza con frecuencia en ambientes acadmicos y de investigacin, especialmente cuando se requiere la manipulacin directa de hardware, se pretenden altos rendimientos o un uso de recursos controlado y reducido. Muchos dispositivos programables aun cuentan con el lenguaje ensamblador como la nica manera de ser manipulados.
Caractersticas: El cdigo escrito en lenguaje ensamblador posee una cierta dificultad de ser entendido directamente por un ser humano ya que su estructura se acerca ms bien al lenguaje mquina, es decir, lenguaje de bajo nivel. El lenguaje ensamblador es difcilmente portable, es decir, un cdigo escrito para un microprocesador, suele necesitar ser modificado, muchas veces en su totalidad para poder ser usado en otra mquina distinta, aun con el mismo microprocesador. Los programas hechos en lenguaje ensamblador son generalmente ms rpidos y consumen menos recursos del sistema

Con el lenguaje ensamblador se tiene un control muy preciso de las tareas realizadas por un microprocesador por lo que se pueden crear segmentos de cdigo difciles de programar en un lenguaje de alto nivel. Tambin se puede controlar el tiempo en que tarda una rutina en ejecutarse, e impedir que se interrumpa durante su ejecucin. TIPOS DE LENGUAJES ENSAMBLADOR
Ensambladores bsicos. Son de muy bajo nivel, y su tarea consiste bsicamente en ofrecer nombres simblicos a las distintas instrucciones de la mquina apropiada, adems de ofrecer un formato de escritura cmodo para expresar los parmetros y cosas tales como los modos de direccionamiento. Ensambladores modulares, o macro ensambladores. Descendientes de los ensambladores bsicos, fueron muy populares en las dcadas de los 50 y los 60, antes de la generalizacin de los lenguajes de alto nivel. Hacen todo lo que puede hacer un ensamblador, y adems proporcionan una serie de directivas para definir e invocar macro instrucciones. Ensambladores modulares 32-bits. Pueden ser de alto y bajo nivel, pero solo emulado en 32-bits. Microsoft aun est reproduciendo el Microsoft Macro Assembler, es reproducido por un paquete preparado. El ml 6.14 emula poderosos compilados en 32-bits, su sintaxis es mezcla de; C API, ensamblador, y macros. HLA High-Level Assembler, es un lenguaje poderoso que soporta de bajo y altonivel pero solo en 32-bits. Tambin tiene fama de usar macros como los de ms. Otros ensambladores populares de 32-bits que emulan casi lo mismo aunque pueden soportar programar en 16-bits tambin llamados registros de segmento.
6.3 LENGUAJE DE PROGRAMACION
Un lenguaje de programacin es un idioma artificial diseado para expresar computaciones que pueden ser llevadas a cabo por mquinas como las computadoras. Pueden usarse para crear programas que controlen el comportamiento fsico y lgico de una mquina, para expresar algoritmos con precisin, o como modo de comunicacin humana. Est formado de un conjunto de smbolos y reglas sintcticas y semnticas que definen su estructura y el significado de sus elementos y expresiones. Al proceso por el cual se escribe, se prueba, se depura, se compila y se mantiene el cdigo fuente de un programa informtico se le llama programacin.

Tambin la palabra programacin se define como el proceso de creacin de un programa de computadora, mediante la aplicacin de procedimientos lgicos, a travs de los siguientes pasos: El desarrollo lgico del programa para resolver un problema en particular. Escritura de la lgica del programa empleando un lenguaje de programacin especfico (codificacin del programa) Ensamblaje o compilacin del programa hasta convertirlo en lenguaje de mquina. Prueba y depuracin del programa. Desarrollo de la documentacin. Existe un error comn que trata por sinnimos los trminos 'lenguaje de programacin' y 'lenguaje informtico'. Los lenguajes informticos engloban a los lenguajes de programacin y a otros ms, como por ejemplo el HTML. Permite especificar de manera precisa sobre qu datos debe operar una computadora, cmo deben ser almacenados o transmitidos y qu acciones debe tomar bajo una variada gama de circunstancias. Todo esto, a travs de un lenguaje que intenta estar relativamente prximo al lenguaje humano o natural, tal como sucede con el lenguaje Lxico. Una caracterstica relevante de los lenguajes de programacin es precisamente que ms de un programador pueda usar un conjunto comn de instrucciones que sean comprendidas entre ellos para realizar la construccin del programa de forma colaborativa. Los lenguajes de programacin facilitan la tarea de programacin, ya que disponen de formas adecuadas que permiten ser ledas y escritas por personas, a su vez resultan independientes del modelo de computador a utilizar. Existen estrategias que permiten ejecutar en una computadora un programa realizado en un lenguaje de programacin simblico. Los procesadores del lenguaje son los programas que permiten el tratamiento de la informacin en forma de texto, representada en los lenguajes de programacin simblicos. Hay lenguajes de programacin que utilizan compilador. La ejecucin de un programa con compilador requiere de dos etapas: 1) Traducir el programa simblico a cdigo mquina 2) Ejecucin y procesamiento de los datos. Otros lenguajes de programacin utilizan un programa intrprete o traductor, el cual analiza directamente la descripcin simblica del programa fuente y realiza las instrucciones dadas.

El intrprete en los lenguajes de programacin simula una mquina virtual, donde el lenguaje de mquina es similar al lenguaje fuente. La ventaja del proceso interprete es que no necesita de dos fases para ejecutar el programa, sin embargo su inconveniente es que la velocidad de ejecucin es ms lenta ya que debe analizar e interpretar las instrucciones contenidas en el programa fuente. Los tipos de lenguajes de programacin los podemos clasificar en dos grandes grupos. Los lenguajes de programacin de bajo nivel y los de alto nivel. El tipo de lenguaje de programacin de bajo nivel depende totalmente de la mquina, en este caso de la computadora u ordenador, estos solos entienden el lenguaje binario o el cdigo mquina, que consiste en ceros y unos. Es decir, que para realizar cualquier accin, solo utilizan este tipo de lenguaje de programacin. El tipo de lenguaje de programacin de bajo nivel es totalmente dependiente de la computadora u ordenador, es decir que no podemos utilizarlo en cualquier otra. Este tipo de lenguaje de programacin est prcticamente diseado a la medida del hardware y aprovecha las caractersticas de este. Dentro de este tipo de lenguajes de programacin podemos citar al lenguaje mquina y al lenguaje ensamblador. Dentro del tipo de lenguajes de programacin de alto nivel tenemos a todos aquellos lenguajes de programacin que son ms afines al lenguaje natural que al lenguaje mquina. Estos lenguajes de programacin son completamente independientes de la arquitectura del hardware de la computadora u ordenador. Por lo que en general, un programa escrito con un lenguaje de programacin de alto nivel lo podemos utilizar en cualquier otra computadora.
6.4 TECNICAS DE CODIGO SEGURO
1. Instrucciones para realizar revisiones de diseo y de cdigo: Proporciona varias tcnicas para realizar la revisin del diseo y del cdigo a fin de descubrir errores y supuestos incorrectos solicitando a sus homlogos que revisen el cdigo. 2. Instrucciones para escribir cdigo seguro: Describe tcnicas y estrategias para escribir cdigo seguro. 3. Instrucciones para la proteccin de cdigo de calidad: Muestra instrucciones para comprobar el cdigo de maneras diferentes a fin de garantizar que incorpora lo que estaba previsto en el diseo de calidad.

4. Instrucciones de depuracin: Proporciona varias instrucciones para encontrar defectos de cdigo. 5. Instrucciones de uso de las herramientas de anlisis de cdigo: Proporciona varias instrucciones para utilizar las herramientas de anlisis de cdigo. 6. Detectar y corregir defectos de cdigo de C/C++: Describe cmo detectar y corregir defectos de cdigo utilizando la herramienta de anlisis de cdigo para C/C++. 7. Detectar y corregir defectos de cdigo administrado: Describe cmo detectar y corregir defectos de cdigo utilizando la herramienta de anlisis de cdigo para cdigo administrado. 8. Directivas de proteccin de los anlisis de cdigo: Describe cmo crear directivas de proteccin personalizadas asociadas con las protecciones de control del cdigo fuente de Control de cdigo fuente Team Foundation.
6.4.1 BUFFER OVER FLOWS
En seguridad informtica y programacin, un desbordamiento de buffer (del ingls buffer over flows o buffer overrun) es un error de software que se produce cuando se copia una cantidad de datos sobre un rea que no es lo suficientemente grande para contenerlos, sobrescribiendo de esta manera otras zonas de memoria. Esto se debe en general a un fallo de programacin. La consecuencia de escribir en una zona de memoria imprevista puede resultar impredecible. Existen zonas de memoria protegidas por el sistema operativo. Si se produce la escritura fuera de una zona de memoria protegida se producir una excepcin del sistema de acceso a memoria seguido de la terminacin del programa. Bajo ciertas condiciones, un usuario obrando con malas intenciones puede aprovecharse de este mal funcionamiento o una vulnerabilidad para tener control sobre el sistema. En algunas ocasiones eso puede suponer la posibilidad de alterar el flujo del programa pudiendo hacer que ste realice operaciones no previstas. Esto es posible dado que en las arquitecturas comunes de computadoras, la memoria no tiene separacin entre la dedicada a datos y a programa. Si el programa que tiene el error en cuestin tiene privilegios especiales se convierte adems en un fallo de seguridad. El cdigo copiado especialmente preparado para obtener los privilegios del programa atacado se llama shellcode.

6.4.2 HEAP OVERFLOWS
Un desbordamiento de pila es un tipo de desbordamiento de bfer que se produce en la zona montn de datos. Al igual que todos los desbordamientos de bfer, un desbordamiento de pila puede ser introducida accidentalmente por un programador de la aplicacin, o puede ser consecuencia de una explotacin deliberada. En cualquier caso, el desbordamiento se produce cuando los datos de una aplicacin ms copias en un bfer que el bfer se propuso contener. Una rutina es vulnerable a la explotacin si las copias de datos a un bfer sin comprobar primero que la fuente de ajustar en el destino. Un desbordamiento accidental puede dar lugar a la corrupcin de datos o un comportamiento inesperado por cualquier procedimiento que utiliza el rea de memoria afectada. En los sistemas operativos, sin proteccin de memoria, esto podra ser un proceso en el sistema. Un ataque intencional puede dar lugar a los datos a una ubicacin especfica, siendo la alteracin de manera arbitraria, o en cdigo arbitrario ser ejecutado. El Microsoft GDI + JPEG vulnerabilidad MS04-028 es un ejemplo del peligro que un desbordamiento de pila puede representar a un usuario de la computadora.
6.4.3 FORMATO DE CADENA
Los problemas de cadena de formato constituyen uno de los pocos ataques realmente nuevos que surgieron en aos recientes. Al igual que con muchos problemas de seguridad, la principal causa de los errores de cadena de formato es aceptar sin validar la entrada proporcionada por el usuario. En C/C++ es posible utilizar errores de cadena de formato para escribir en ubicaciones de memoria arbitrarias, y el aspecto ms peligroso es que esto llega a suceder sin manipular bloques de memoria adyacentes. Esta capacidad de diseminacin permite a un atacante eludir protecciones de pila, e incluso modificar partes my pequeas de memoria. El problema tambin llega a ocurrir cuando las cadenas de formato se leen a partir de una ubicacin no confiable que controla el atacante. Este ltimo aspecto del problema tiende a ser ms frecuente en sistemas UNIX y Linux. En sistemas Windows las tablas de cadena de aplicacin suelen mantenerse dentro del programa ejecutable o de las bibliotecas de vnculo dinmico (DLL, Dynamic Link Libraries) del recurso. Si un atacante reescribe el ejecutable principal o de las

DLL, tendr la posibilidad de realizar ataques mucho ms directos que con errores de cadena de formato. Aunque no est trabajando con C/C++, los ataques de cadena de formato quiz conduzcan a problemas importantes; el ms obvio es engaar a los usuarios, pero bajo ciertas circunstancias es posible que un atacante lance ataques de creacin de script de sitio cruzado o de inyeccin de SQL, los cuales tambin se utilizan para corregir o transformar datos. Explicacin del problema de cadena de formato El formateo de datos para despliegue o almacenamiento tal vez represente una tarea un poco difcil; por tanto, en muchos lenguajes de computadora se incluyen rutinas para reformatear datos con facilidad. En casi todos los lenguajes la informacin de formato se describe a travs de un tipo de cadena, denominada cadena de formato. En realidad, la cadena de formato se define con el uso de lenguaje de procesamiento de datos limitado que est diseado para facilitar la descripcin de formatos de salida. Sin embargo, muchos desarrolladores cometen un sencillo error: utilizan datos de usuarios no confiables como cadena de formato; el resultado es que los atacantes pueden escribir cadenas en el lenguaje de procesamiento de datos para causar muchos problemas. El diseo de C/C++ hace que esto sea especialmente peligroso: dificulta la deteccin de problemas de cadena de formato, y entre las cadenas de formato se incluyen algunos comandos muy peligrosos que no existen en lenguajes de cadena de formato de algunos otros lenguajes. Explicacin del problema de cadena de formato El formateo de datos para despliegue o almacenamiento tal vez represente una tarea un poco difcil; por tanto, en muchos lenguajes de computadora se incluyen rutinas para reformatear datos con facilidad. En casi todos los lenguajes la informacin de formato se describe a travs de un tipo de cadena, denominada cadena de formato. En realidad, la cadena de formato se define con el uso de lenguaje de procesamiento de datos limitado que est diseado para facilitar la descripcin de formatos de salida. Sin embargo, muchos desarrolladores cometen un sencillo error: utilizan datos de usuarios no confiables como cadena de formato; el resultado es que los atacantes pueden escribir cadenas en el lenguaje de procesamiento de datos para causar muchos problemas. El diseo de C/C++ hace que esto sea especialmente peligroso, dificulta la deteccin de problemas de cadena de formato, y entre las cadenas de formato se incluyen algunos comandos muy peligrosos que no existen en lenguajes de cadena de formato de algunos otros lenguajes.

6.4.4 EXPLOIT
Un exploit es una pieza de software, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informticos, hardware, o componente electrnico. Con frecuencia, esto incluye cosas tales como la violenta toma de control de un sistema de cmputo o permitir la escalada de privilegios o un ataque de denegacin de servicio. El fin del Exploit puede ser violar las medidas de seguridad para poder acceder al mismo de forma no autorizada y emplearlo en beneficio propio o como origen de otros ataques a terceros. Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programacin, aunque mayoritariamente se suele utilizar lenguaje C. Tambin puede aprovecharse de distintos tipos de ataques tales como desbordamiento de bfer, Cross Site Scripting, Format Strings, Inyeccin SQL, entre otros. Un exploit es un programa o tcnica que aprovecha una vulnerabilidad. Los exploits dependen de los sistemas operativos y sus configuraciones, de las configuraciones de los programas que se estn ejecutando en un ordenador y de la LAN donde estn Una de las herramientas ms utilizadas para trabajar con este tipo de software es Metasploit Framework, una plataforma de test de penetracin escrita en lenguaje de programacin Ruby, como as tambin otros frameworks como Core Impact. 6.4.5 RACE CONDITION Race condition es un error de programacin en un sistema multitareas cuando el trabajo del sistema depende del orden en que secciones de cdigo se ejecutan. La raza es una condicin Heisenbug clsica. Condicin de anticipacin se produce cuando varios hilos de una aplicacin multi-hilo tratar de conseguir al mismo tiempo el acceso a los datos, mientras que al menos un hilo realiza el ahorro. Condicin de carrera puede dar lugar a resultados impredecibles ya menudo son difciles de detectar. A veces las consecuencias de condicin de carrera se producen slo despus de un largo periodo de tiempo y en alguna otra parte de la solicitud. Adems, esos errores son muy difciles de reproducir. Para evitar la condicin de carrera, los mtodos de sincronizacin se utilizan lo que le permite organizar adecuadamente las operaciones ejecutadas por diferentes hilos.

Este tipo de vulnerabilidad ocurre cuando un evento se produce fuera del periodo previsto, con un resultado imprescindible. El fallo puede ser utilizado para falsificar la barra de direcciones en la ventana del navegador mostrando un archivo. SWF desde un sitio web malicioso. Sin embargo, el impacto de este problema se ve reducido por la direccin del archivo flash malicioso, es visible como titulo de la ventana del navegador. 6.4.7 SQL INJECTION Es una vulnerabilidad informtica en el nivel de la validacin de las entradas a la base de datos de una aplicacin. El origen es el filtrado incorrecto de las variables utilizadas en las partes del programa con cdigo SQL. Es, de hecho, un error de una clase ms general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programacin o de script que est incrustado dentro de otro. Una inyeccin SQL sucede cuando se inserta o "inyecta" un cdigo SQL "invasor" dentro de otro cdigo SQL para alterar su funcionamiento normal, y hacer que se ejecute maliciosamente el cdigo "invasor" en la base de datos. La inyeccin SQL es un problema de seguridad informtica que debe ser tomado en cuenta por el programador para prevenirlo. Un programa hecho con descuido, displicencia, o con ignorancia sobre el problema, podr ser vulnerable y la seguridad del sistema puede quedar ciertamente comprometida. Esto puede suceder tanto en programas ejecutndose en computadores de escritorio, como en pginas Web, ya que stas pueden funcionar mediante programas ejecutndose en el servidor que las aloja. La vulnerabilidad puede ocurrir cuando un programa "arma" descuidadamente una sentencia SQL, con parmetros dados por el usuario, para luego hacer una consulta a una base de datos. Dentro de los parmetros dados por el usuario podra venir el cdigo SQL inyectado. Al ejecutarse esa consulta por la base de datos, el cdigo SQL inyectado tambin se ejecutar y podra hacer un sinnmero de cosas, como insertar registros, modificar o eliminar datos, autorizar accesos e, incluso, ejecutar cdigo malicioso en el computador. SQL injection es una tcnica de ataque que utiliza inyeccin SQL cuando una pgina web por motivos de seguridad no muestra mensajes de error de la base de datos al no haber un resultado correcto mostrndose siempre el mismo contenido.

6.4.7 CROSS-SITE Y CROSS DOMAN SCRIPTING Cross Site Scripting es el nombre que recibe una vulnerabilidad que afecta no tanto a los servidores como a los usuarios que navegan a pginas de Internet. La causa de la vulnerabilidad radica en la pobre verificacin por parte de los sitios web de las cadenas de entrada enviadas por los usuarios a travs de formularios, o directamente a travs del URL. Estas cadenas, en el caso de ser maliciosas, podran llegar a contener scripts completos. Cuando esta entrada se le muestra dinmicamente a un usuario dentro de una pgina web, en caso de contener un script, ste se ejecutar en el navegador del usuario dentro del contexto de seguridad de la pgina web visitada. Como consecuencia, podr realizar en el ordenador del usuario todas las acciones que le sean permitidas a ese sitio web, como por ejemplo interceptar entradas del usuario vctima o leer sus cookies. El mayor riesgo de este tipo de ataques es que la entrada maliciosa no la proporciona el mismo usuario que ve la pgina, sino un atacante, que consigue que el script se ejecute en el navegador del usuario. La vctima ejecuta el cdigo de manera indirecta cuando confiadamente hace clic sobre un hiperenlace fraudulento, que puede estar presente en el sitio web del atacante, en un mensaje de correo electrnico o de un grupo de noticias, o en cualquier otro lugar que no levante sospechas. Estos errores se pueden encontrar en cualquier aplicacin que tenga como objetivo final, el presentar la informacin en un navegador web. No se limita a sitios web, ya que puede haber aplicaciones locales vulnerables a XSS, o incluso el navegador en s. El problema est en que usualmente no se validan correctamente los datos de entrada que son usados en cierta aplicacin. Esta vulnerabilidad puede estar presente de forma directa o indirecta. Directa: este tipo de XSS comnmente filtrado, y consiste en invadir cdigo HTML peligroso en sitios que as lo permiten; incluyendo as etiquetas como lo son <script> o <iframe>. Indirecta: este tipo de XSS consiste en modificar valores que la aplicacin web utiliza para pasar variables entre dos pginas, sin usar sesiones y sucede cuando hay un mensaje o una ruta en la URL del navegador, en una cookie, o cualquier otra cabecera HTTP. Normalmente el atacante tratara de insertar tags como <iframe>, o <script>, pero en caso de fallar, el atacante puede tratar de poner tags que casi siempre estn permitidas y es poco conocida su capacidad de ejecutar cdigo. De esta forma el atacante podra ejecutar cdigo malicioso.

6.4.8 FAUL INJECTION En las pruebas de software, la inyeccin de fallos (faul injection) es una tcnica para mejorar la cobertura de una prueba mediante la introduccin de faltas para probar las rutas de cdigo, en particular, el manejo de error rutas de cdigo, que de otra forma rara vez se debe seguir. Es de uso frecuente con pruebas de esfuerzo y es ampliamente considerado como una parte importante del desarrollo de software robusto. Robustez prueba es un tipo de inyeccin de fallos de uso comn para detectar vulnerabilidades en los interfaces de comunicacin como los protocolos, los parmetros de lnea de comandos, o APIs. La propagacin de un fallo a travs de un fallo observable sigue un ciclo bien definido. Cuando se ejecuta, una falla puede provocar un error, que es un estado no vlido dentro de un lmite del sistema. Un error puede causar errores adicionales en la frontera del sistema, por lo que cada nuevo error acta como una falla, o se puede propagar a la frontera del sistema y ser observable. Cuando los estados de error se observan en la frontera del sistema se denominan fallas. Este mecanismo se denomina el ciclo de culpa-error-error y es un mecanismo clave en la fiabilidad. CONCLUSIN Para concluir con esta unidad es importante decir que los cdigos tambin requieren de seguridad, como ya sabemos la codificacin es la que hace funcionar a un software y si por equivocacin hacemos una modificacin puede fallar el software incluso daar la integridad de la informacin. Como pudimos ver en esta unidad existen tipos de lenguajes en el cual los cdigos es el enlace entre la computadora y el hombre permitiendo realizar tareas tan importantes para las organizaciones. Otra cosa importante son las tcnicas que se utiliza para garantizar la seguridad de los cdigos estas tcnicas ms que nada realizan monitoreo de seguridad y en algunos casos bloquean el acceso a usuarios no autorizados.

Unidad VII Pruebas de software Objetivo: El alumno conocer e identificar las fases y los diferentes tipos de pruebas que se realizan al software. Contenido: 7.3 Fases de las Pruebas de Software 7.3.1 Modelado del ambiente del software 7.3.2 Seleccin de escenarios de prueba 7.3.3 Ejecucin y evaluacin de los escenarios de prueba 7.3.4 Medicin del progreso de las pruebas 7.4 Prcticas de las Pruebas de Software 7.4.1 Bsicas 7.4.1.1 Especificaciones funcionales 7.4.1.2 Revisin e inspeccin 7.4.1.3 Entrada formal y criterios de salida 7.4.1.4 Prueba funcional 7.4.1.5 Pruebas multiplataforma 7.4.1.6 Ejecucin automatizada de prueba 7.4.1.7 Programas beta 7.4.2 Fundamentales 7.4.2.1 Escenarios de usuario 7.4.2.2 Pruebas de utilidad 7.4.2.3 Requerimientos para la planificacin de la prueba 7.4.2.4 Generacin automatizada de la prueba 7.4.3 Incrementales 7.4.3.1 Cobertura de cdigo 7.4.3.2 Generador de ambiente automatizado 7.4.3.3 Diagrama del estado de la prueba 7.4.3.4 Simulacin de falla en la memoria 7.4.3.5 Pruebas estadsticas 7.4.3.6 Mtodos semiformales 7.4.3.7 Registro de la prueba para el cdigo 7.4.3.8 Benchmark 7.4.3.9 Generacin de errores (bugs)

7.1 FASES DE LAS PRUEBAS DE SOFTWARE En la ingeniera del software el trmino fases de desarrollo expresa cmo ha progresado el desarrollo de un software y cunto desarrollo puede requerir. Cada versin importante de un producto pasa generalmente a travs de una etapa en la que se agregan las nuevas caractersticas (etapa alfa), despus una etapa donde se eliminan errores activamente (etapa beta), y finalmente una etapa en donde se han quitado todos los bugs importantes (etapa estable). Las etapas intermedias pueden tambin ser reconocidas. Las etapas se pueden anunciar y regular formalmente por los desarrolladores del producto, pero los trminos se utilizan a veces de manera informal para describir el estado de un producto. Normalmente muchas compaas usan nombres en clave para las versiones antes del lanzamiento de un producto, aunque el producto y las caractersticas reales son raramente secretas. La fase conocida como pre-alfa se publica a veces antes del lanzamiento de una versin alfa o beta. En contraste con la versin alfa y las versiones beta, la pre-alfa no tiene sus caractersticas completas. Los diseadores todava estn determinando en esta etapa exactamente qu funcionalidades debe tener el producto. Tales etapas se pueden llamar tambin development releases o nightly builds. La versin alfa de un producto es la primera para la que el equipo de desarrollo decide que implementa todas las funcionalidades especificadas en los requisitos. Es la primera versin del programa que se enva a los verificadores para probarla. Algunos equipos de desarrollo utilizan el trmino alfa informalmente para referirse a una fase donde un producto todava es inestable, aguarda todava a que se eliminen los errores o a la puesta en prctica completa de toda su funcionalidad, pero satisface la mayora de los requisitos. Cuando una versin beta llega a estar disponible para el pblico en general, a menudo es utilizada extensamente por los tecnolgicamente expertos o familiarizados con versiones anteriores, como si el producto estuviera acabado.

Generalmente los desarrolladores de las versiones betas del software gratuito o de cdigo abierto los lanzan al pblico en general, mientras que las versiones betas propietarias van a un grupo relativamente pequeo de probadores. En el siguiente diagrama mostramos las fases de pruebas, asi de la misma manera como se encuentran relacionadas con los diferentes tipos de pruebas con las que interactan:
7.1.1. MODELADO DEL AMBIENTE DEL SOFTWARE Al trabajo con ordenador se destina hoy gran parte del tiempo laboral. Sin embargo, las facilidades que genera el uso de datos digitales implican para el trabajador nuevas cargas de ndole fsica y anmica. Esta actividad, que el usuario lleva a cabo la mayor parte del tiempo sentado, puede ocasionar daos en la columna vertebral y la musculatura, adems de producir una mala circulacin sangunea, dolores de cabeza y trastornos de la visin.

Por otro lado, debido a que la comunicacin y colaboracin entre colegas es poco frecuente, esta situacin puede implicar a largo plazo el aislamiento social. Segn un decreto de la Unin Europea sobre seguridad y proteccin de la salud ante el trabajo con ordenadores, aprobado el 21 de agosto de 1997, las empresas de ms de diez trabajadores deben cumplir una serie de normativas que hacen referencia al lugar de trabajo (mesa, silla, superficie de trabajo), a las herramientas utilizadas (tipo de monitor y tamao del mismo, teclado, escabel, software), al ambiente de trabajo (iluminacin, acstica, temperatura, humedad del aire) y a la propia habitacin (superficie de movimiento, altura de la habitacin, contacto visual). En la prctica son numerosas las empresas que ignoran esta normativa debido a los costes que generara su puesta en prctica.
7.1.2. SELECCIN DE ESCENARIOS DE PRUEBA 1. Creando escenarios: Cuando ya tenemos un producto debemos: Saber a quien se lo queremos vender. Olvidar mercados y hablar de personas Caracterizar a la persona a la que le quieres vender Crear al menos 5 fichas que definan a la persona a la que le quieres vender. 2. Elige a alguien de tu tamao: Si eres pequeo elige a alguien de tu tamao. Debes ser capaz de llegar al menos a la mitad del escenario que elijas en el primer ao. 3. Crea una pgina por cada escenario, y numera cada Uno. Antes y al final realiza una hoja de Excel con todos los datos numricos de todos los escenarios. Nmero de clientes posibles.

Facturacin. N empleado. Todos los campos claves que utilices para definir el escenario. 4. Haz tormenta de ideas con tu equipo: Debes involucrar a todo el mundo en las valoraciones de los diferentes escenarios, y realiza media de las puntuaciones que haga cada uno. Ejemplo: Ocupando un Rango del (0 A 5) aplicado a: Dificultad de venta. Instalacin. Facilidad de mantenimiento. 5. Ordena: Resultados por puntuaciones medias. Elimina los escenarios que no pasen el primer corte. Repite una votacin privada de los escenarios finales. Vuelve a discutir. Puedes introducir ms indicadores de decisin sobre el escenario previsto. Lo importante es que el grupo de trabajo se implique en la decisin final. 6. Resultado final: Depende los resultados puede pasar los siguientes: a) El grupo est de acuerdo de cual es el escenario adecuado: A por l, sin miramientos, sin dudas, sin arrepentimientos, sin cambios, pelea por conseguir los objetivos marcados. b) El grupo no se pone de acuerdo en el escenario a elegir: Elige a una persona para que desarrolle la teora de bolos y elige el primer bolo de la teora. c) No hay ningn escenario que supere los mnimos: No trates de crecer. Quiz no sea el momento. El producto no est preparado.

La empresa, sigue vendiendo a clientes cercanos hasta que el momento y el escenario correcto se presenten.
7.1.3. EJECUCIN Y EVALUACIN DE LOS ESCENARIOS DE PRUEBAS La aplicacin manual de los escenarios de prueba es una tarea que consume demasiado tiempo. La evaluacin de los escenarios de prueba es un proceso que se puede descomponer en las siguientes fases: a) Revisar lo que dice la documentacin del software respecto a las funciones que debe realizar. b) Comparar los resultados de la ejecucin de los escenarios de prueba con lo que dice la documentacin. c) La documentacin se asume correcta. Desviaciones se consideran fallos. Una alternativa para permitir la evaluacin de los escenarios de prueba es la formalizacin de la escritura de las especificaciones del software. Formalizar escritura de las especificaciones y la forma en que el cdigo se genera basado en las especificaciones definidas. En muchos casos esta tarea es dejada de lado y se procede a desarrollar software de manera informal, pero sin estas especificaciones los escenarios de prueba podrn detectar los errores ms obvios y nada ms. 7.1.4 MEDICIN DEL PROGRESO DE LAS PRUEBAS Nuevas Necesidades para Pruebas La necesidad de pruebas nunca haba sido tan grande. Las expectativas del consumidor han aumentado: a) Se requiere la integracin de funciones en espacios reducidos y a un bajo costo. b) Quien sea que cumpla estas demandas; rpido, confiable y consistentemente, tiene la ventaja competitiva del mercado.

El sistema tendr que demostrar ser el mejor posible. La instrumentacin virtual es una solucin innovadora a estos retos: Combina el rpido desarrollo de software con el hardware modular y flexible para crear sistemas de prueba definidos por el usuario. Ofrece Herramientas de software intuitivas para pruebas de desarrollo rpidas Ofrece E/S basadas en tecnologas comerciales innovadoras, rpidas y precisas. Rapidez en el Desarrollo de Software de Prueba La automatizacin se ha convertido en un requisito para probar rpidamente sistemas complejos. El software se ha convertido en un elemento esencial en todos los sistemas de prueba, desde verificacin de diseo hasta pruebas de manufactura automatizadas. Para entregar sistemas de prueba que se adapten a probar nuevas caractersticas rpidamente, se requiere de un conjunto de herramienta de desarrollo de pruebas integradas. Estas pruebas incluyen pruebas de administracin y desarrollo, as como hardware de Entrada/Salida. 7.2 PRCTICAS DE LAS PRUEBAS DE SOFTWARE Existen muchos prcticas y mtodos para la prueba del Software. Entre ellas: Mtodos Pruebas del software (Dinmico): consisten en ejecutar comprobando que distintos valores de entrada producen los resultados deseados. Mtodos de inspeccin del software (Esttico): se basan en la revisin de la documentacin, requisitos, incluso cdigo sin ejecutar nada. Esta tarea puede realizarse por un grupo de expertos Pruebas de caja negra: no conocemos la implementacin del cdigo, slo la interfaz. Tan slo podemos probar dando distintos valores a las entradas y salidas.

Pruebas de caja blanca: conocemos el cdigo (la implementacin de ste) que se va a ejecutar y podemos definir las pruebas que cubran todos los posibles caminos del cdigo. Pero a las que nos enfocaremos son a las pruebas bsicas 7.2.1 BSICAS En la evolucin de la creacin del software tenemos que responder constantemente a las preguntas: Estamos construyendo el producto correctamente? Dada la especificacin que hemos tomado del usuario Estamos construyendo bien el cdigo? El resultado final del desarrollo software concuerda con la especificacin (requisitos) del sistema? Hay que intentar asegurar que el desarrollo final coincide con dicha especificacin. Las practicas en las fases de prueba para determinar que nuestro software cumpla el objetivo del cliente y como empresa pueden ser: Especificaciones funcionales Revisin e inspeccin Entrada formal y criterios de salida Prueba funcional Pruebas multiplataforma Ejecucin automatizada de prueba Programas beta 7.2.1.1 ESPECIFICACIONES FUNCIONALES Describe cmo funcionar un producto completamente desde la perspectiva del usuario. No le importa cmo se implemente la cosa. Habla de funciones. Especifica pantallas, mens, dilogos, etctera. Podemos decir que una especificacin es una declaracin de un acuerdo entre quien brinda un servicio y el consumidor del mismo.

Por ejemplo, las especificaciones de requerimiento son cuando el acuerdo es entre el usuario final y el desarrollador del sistema; especificaciones de diseo entre el diseador o arquitecto del sistema y el programador que implementa el diseo. Una especificacin nos puede decir qu queremos que el sistema haga, en el caso de los modelos de Anlisis. Otras veces indican al implementarlo cmo debe hacerlo, como en el caso de las especificaciones de Diseo. Esta divisin a veces no es tan clara. Muchas veces la manera de especificar qu es lo que queremos es por medio de un ejemplo de cmo debera hacerse (lo que no implica necesariamente que deba hacerse de esa forma sino que debe comportarse como si se hiciese as). 7.2.1.2 REVISIN E INSPECCIN Las inspecciones: Surgen a partir de la necesidad de producir software de alta calidad. Las podemos ver como una implementacin de las revisiones formales del software las cuales representan un filtro para el proceso de ingeniera de software, stas se aplican en varios momentos del desarrollo y sirven para detectar defectos que pueden as ser eliminados. Freeman y Weinberg [Fre90] argumentan de la siguiente forma la necesidad de revisiones: Una revisin es una forma de aprovechar la diversidad de un grupo de personas para: 1. Sealar la necesidad de mejoras en el producto de una sola persona o de un equipo.

7.2.1.3 ENTRADA FORMAL Y CRITERIOS DE SALIDA Entrada/salida (I/O, de Input/Output): Engloba las tareas complementarias de obtencin de datos que procesa el microprocesador y de entrega de los resultados a travs de un dispositivo: La pantalla La unidad de disco o la impresora, etc. Un dispositivo de entrada/salida transfiere informacin en las dos direcciones posibles. Para introducir datos se emplean dispositivos muy diversos. La mayora de las computadoras personales incluyen un teclado. El reconocimiento de voz es muy empleado en algunas aplicaciones, pero estos dispositivos de entrada son todava imperfectos y slo responden a un pequeo vocabulario de instrucciones. Los dispositivos de salida ms habituales son las impresoras y los monitores en color. La salida de audio tambin es corriente, as como las complejas conexiones con sintetizadores que producen una amplia gama de sonidos musicales. 7.2.1.4 PRUEBA FUNCIONAL Functional Testing, son pruebas de software que tienen por objetivo probar que los sistemas desarrollados, cumplan con las funciones especficas para los cuales han sido creados, es comn que este tipo de pruebas sean desarrolladas por analistas de pruebas con apoyo de algunos usuarios finales, esta etapa suele ser la ultima etapa de pruebas y al dar conformidad sobre esta el paso siguiente es el pase a produccin. Objetivo: Se asegura el trabajo apropiado de los requisitos funcionales, incluyendo la navegacin, entrada de datos, procesamiento y obtencin de resultados.

Metas: Verificar el procesamiento, recuperacin e implementacin adecuada de las reglas del negocio. Verificar la apropiada aceptacin de datos. Enfoque: Los requisitos funcionales (Casos de Uso) y las reglas del negocio. Estas pruebas nos dicen que: Se aplique apropiadamente cada regla de negocio. Los resultados esperados ocurran cuando se usen datos vlidos. Sean desplegados los mensajes apropiados de error y precaucin cuando se usan datos invlidos. En la mayora de los casos stas pruebas son realizadas manualmente por el analista de pruebas, tambin es posible automatizarlas utilizando herramientas como WinRunner o SilkTest las cuales permiten generar scripts conforme nosotros hagamos interacciones con el aplicativo a probar. 7.2.1.5 PRUEBAS MULTIPLATAFORMA Que tiene la capacidad de soportar mltiples plataformas. Esto significa que el software que es multiplataforma tiene la caracterstica de funcionar de forma similar en distintas plataformas (distintos sistemas operativos por ejemplo). Una plataforma es, por ejemplo, un sistema operativo, un gran software que sirve como base para ejecutar determinadas aplicaciones compatibles con este. Tambin son plataformas la arquitectura de hardware, los lenguajes de programacin y sus libreras en tiempo de ejecucin, las consolas de videojuegos, etc. Existen programas multiplataforma, que permiten ejecutarse en diversas plataformas. Tambin existen emuladores, programas que permiten ejecutar desde una plataforma programas de otra emulando su funcionamiento. Las aplicaciones multiplataforma son aquellas que pueden funcionar en diferentes sistemas operativos y/o ordenadores, pero el cdigo fuente es el mismo. Los

programadores tendemos a escribir programas slo vlidos para nuestra plataforma, olvidndonos de que hay usuarios que trabajan en otras. Una de las grandes ventajas de las aplicaciones multiplataformas es que dan la libertad al usuario de poder utilizar la mquina que ms le guste. Unos usuarios prefieren Linux (como es mi caso), otros prefieren Windows, otros MAC, etc. El usuario debe poder elegir. Normalmente, son los fabricantes los que deciden por nosotros: cuando sacan un nuevo software, slo est disponible para las mquinas que ellos decidan. En este cuaderno tcnico se explica cmo desarrollar aplicaciones para consola (no grficas) en entornos Linux que se puedan compilar para mquinas Windows, sin tener que cambiar ni una sola lnea de cdigo fuente. Es por ello que las pruebas del sistema desarrollado se debe tomar en cuenta que funcione en la mayora o todos los sistemas operativos que hay sin tener posibles fallos, eso hace de el sistema ms confiable y estable al momento de ser implantado en una empresa u organizacin. 7.2.1.6 EJECUCIN AUTOMATIZADA DE PRUEBA Una herramienta automatizada de la accesibilidad es un pedazo del software que puede probar un Web page, o an de un Web site entero, para la accesibilidad. Free Articles. Las herramientas automatizadas de la accesibilidad son tiles porque pueden ahorrarte una cantidad de tiempo enorme. No desean comprobar las imgenes para saber si hay texto del alt en cada pgina en tu Web site? Funcionar el sitio a travs de un probador automatizado. Las herramientas de prueba automatizadas de la accesibilidad utilizan generalmente las pautas de la accesibilidad de W3C. Estas pueden ser tiles mientras que pueden ahorrar una cantidad de tiempo grande en la ejecucin de algunas comprobaciones para muy bsicas accesibilidad. Sin embargo, deben ser utilizadas con la precaucin y no pueden ser utilizadas como gua independiente para la comprobacin de la accesibilidad. Herramienta de validacin de los colores de un website de acuerdo al Web Content Accessibility Guidelines.

Check My Colour es una aplicacin web con la que determinar la conformidad de nuestro website con el WCAG, el estndar centrado en los aspectos visuales, con el que lograr que nuestra web sea ms fcil de leer, mejorando el contraste de colores y la luminosidad. Simplemente con introducir la URL de nuestra web, obtendremos en apenas unos segundos y tras realizar una serie de pruebas basadas en World Wide Web Consortium (W3C), una tabla completa donde ver cada uno de los aciertos (verde) y los errores (rojo) encontrados, sealando en qu parte del cdigo se encuentra el error. http://www.checkmycolours.com 7.2.1.7 PROGRAMAS BETA Cuando la palabra beta se utiliza para referirse a un software, se trata de un trmino corto para beta-test tambin llamada versin beta. Un periodo donde dicho software est tcnicamente acabado, lo cual significa que no se le aadirn de momento ms funciones, y presumiblemente ser lo suficientemente estable para trabajar con normalidad. En contraste, la versin alfa, lo cual ocurre antes de la versin beta, ms inestable y no est completa. Hay betas que son realmente software por testear, y otros que, simplemente, son etiquetados como beta por los programadores por miedo a que puedan contener algn error. La beta es un comodn, haces algo si arriesgarte a que te critiquen por algn bug o problema que cause tu software. 7.2.2 FUNDAMENTALES El software ser fundamental para los nuevos servicios que traiga la telefona mvil y Microsoft est trabajando para garantizar la interoperatibilidad de los sistemas. Se trata de facilitar el acceso universal a la informacin y la creacin de nuevos servicios, aplicaciones y dispositivos mviles. El software es el que har inteligente al dispositivo mvil que tendr que poder utilizarse tanto cuando est en disposicin de ser utilizado para hablar o cuando est apagado como puede ser en un avin.

Entre las pruebas fundamentales podemos mencionar: 1. 2. 3. 4. Escenarios de usuarios. Pruebas de utilidad. Requerimientos para la planificacin de la prueba. Generacin Automatizada de la prueba.
7.2.2.1 ESCENARIOS DE USUARIO
En estos escenarios, el administrador desea controlar las aplicaciones que un usuario puede instalar y ejecutar. Al utilizar una directiva de restriccin de software, los administradores controlan qu aplicaciones pueden instalar los usuarios con sus niveles de permiso habituales. AIS, Application Information Service) es un nuevo servicio de Microsoft Windows Vista que implementa Proteccin de cuentas de usuario (UAP, User Account Protection). Repaso De los escenarios de prueba: Para probar una directiva de restriccin de software y la interaccin con AIS, se requiere que un usuario del dominio inicie la sesin en un equipo cliente de

Windows Vista con UAP habilitado y que intente instalar, ejecutar y desinstalar una aplicacin permitida y una no permitida, segn lo defina la directiva del dominio. Escenario 1 Solicite al usuario del dominio que intente instalar una aplicacin permitida. El usuario debera poder instalar la aplicacin sin que se le soliciten credenciales de administrador. Escenario 2 Para instalar una aplicacin permitida: Intente instalar una aplicacin que el administrador del dominio no haya permitido instalar explcitamente mediante una directiva. El usuario no debera poder instalar la aplicacin. Escenario 3 Intente ejecutar una aplicacin que el administrador del dominio haya permitido que los usuarios ejecuten. El usuario debera poder ejecutar la aplicacin. Escenario 4 Para ejecutar una aplicacin permitida: Intente ejecutar una aplicacin que el administrador de dominio no haya permitido que los usuarios ejecuten. El usuario no debera poder ejecutar la aplicacin. Escenario 5 Para intentar ejecutar una aplicacin no permitida: Intente desinstalar una aplicacin que el administrador del dominio haya permitido que los usuarios puedan desinstalar.

Nota: Esta prueba examina la interaccin del Servicio de informacin de aplicaciones y que el objeto de la directiva del dominio permite a los usuarios quitar aplicaciones sin la necesidad de utilizar credenciales administrativas. En este caso, se aplica configuracin de directivas del dominio para permitir al usuario instalar, actualizar y desinstalar aplicaciones. 7.2.2.2 PRUEBAS DE UTILIDAD Todo debe ser modificado Todas las cualidades relevantes del sistema deben ser verificadas: Correccin: la implementacin se comporta de acuerdo con las especificaciones; Portabilidad, Modificabilidad, Performance. Etc. La verificacin debe realizarse por distintas personas durante distintas etapas del desarrollo del software; La gente del equipo de desarrollo podra realizar esto. Objetivos de la Prueba de Software Las pruebas del software pueden usarse para demostrar la existencia de errores, nunca su ausencia. [Dijkstra, 1972] Utilidad de las Pruebas Si las pruebas no dan certeza sobre la correccin del software, tienen alguna utilidad? Si bien no proporcionan certeza, las pruebas pueden aumentar nuestra confianza en que el sistema se comportar como es esperado. Lo esencial de las pruebas es: elegir un conjunto de datos de prueba apropiados, aplicar las pruebas en forma sistemtica.

Valores Aleatorios de Prueba Los datos aleatorios de prueba suelen no ser los ms apropiados. Slo el desarrollador del programa sabe cules son los datos sensibles para cada aplicacin y cules los resultados esperados. En el ejemplo no sirven una cantidad de casos de diferentes valores de (x,y), sino solamente dos: un caso con x igual a y, un caso con x distinto de y. Localizable, Repetible y Precisas Las pruebas no solamente deben detectar la presencia de errores, sino que deben indicar cul es el error y dnde se encuentra. Las pruebas deben organizarse para que provean informacin acerca de la localizacin de los errores. Las pruebas tambin deben ser repetibles: aplicadas dos veces, debieran producir los mismos resultados. La influencia del ambiente de ejecucin atenta contra la repetibilidad de las pruebas. Los resultados esperados deben definirse dependiendo de los datos de entrada y de otros eventos del ambiente. Si la variable x no est inicializada y se tiene este trozo de programa, cul ser el resultado? a veces anormal, a veces normal. Esta prueba no es repetible. Algunos lenguajes no chequean que las variables estn inicializadas, por razones de eficiencia. Especificaciones Precisas Las especificaciones del software deben ser suficientemente precisas como para guiar las pruebas:

como consecuencia del estmulo X, el sistema debe producir la
Qu prueba debe aplicarse? Dar el estmulo X al sistema, medir el tiempo hasta que produzca la salida, segundos. Pero, qu sucede si ocurren otros eventos despus de dar el estmulo X? Cmo se prueba un sistema concurrente? Defectos, Fallas y Faltas La presencia de un error o defecto se demuestra encontrando un d tal que P(d) es incorrecto. Una falla es el sntoma de que existe un error; se da durante la ejecucin, pero un error puede existir en el cdigo sin causar ninguna falla, el objetivo de las pruebas es tratar de que todos los defectos existentes provoquen fallas. Una falta es un estado intermedio incorrecto en que entra un programa durante su ejecucin. Una falla solamente ocurre si existe una falta, Qu ocurre si un defecto no provoca una falla?, Qu ocurre si una falta no produce una falla? 7.2.2.3 REQUERIMIENTOS PARA LA PLANIFICACIN DE LA PRUEBA Durante la fase de requerimientos de software, las actividades deben realizarse de acuerdo a los planes definidos en la fase UR. La principal actividad de esta fase corresponde a la traduccin de los requerimientos del usuario a requerimientos de software. Las actividades a realizar son las siguientes: Construccin del Modelo Lgico: Se debe construir un modelo independiente de la implementacin que especifica lo que el usuario requiere. Las herramientas CASE facilitan la creacin y modificacin del modelo. El estndar ESA explicita una serie de reglas para lograr un modelo lgico de calidad (por ejemplo: Identificar Funciones Criticas). Especificacin de los Requerimientos de Software:

Los requerimientos de software son obtenidos analizando en el modelo lgico creado. Esta clasificacin de requerimientos es: a) Funcionales: Especifica lo que el software debe hacer. b) Performance: Especifica valores numricos para variables medibles (por ejemplo: velocidad y capacidad). c) Interfaz: Especifica los componentes de hardware, software o BD con que el sistema o parte del sistema debe interactuar. d) Operacionales: Especifica como el sistema funcionara y se comunicara con los operadores. e) Recursos: Especifica la necesidad de procesamiento, capacidad de memoria, entre otros, que el sistema debe tener. f) Verificacin: Especifica las restricciones que sern verificadas. g) Aceptacin: Especifica las restricciones que sern validadas. h) Documentacin: Especifica documentacin adicional al estndar para el sistema. i) Seguridad: Especifica lo necesario en seguridad del sistema para que sea confiable, integro y disponible en todo momento. j) Portabilidad: Especifica la facilidad del sistema para funcionar en otros PC o sistemas operativos. k) Calidad: Especifica atributos del sistema que asegurar que el sistema estar a la altura de su propsito. l) Confiabilidad: Especifica los intervalos de tiempo aceptable entre fallas del sistema. m) Mantenibilidad: Especifica la facilidad con se puede reparar las fallas en el sistema o realizar up grades de este. n) Safety: Especifica los requerimientos para reducir las posibilidades de dao que pueden darse cuando falla el sistema. Consistencia de los Requerimientos de Software: Debe existir consistencia entre todos los requerimientos de software, es decir, trminos con un solo significado y usados para un solo propsito, actividades secuencialmente realizadas y correctamente, etc Duplicacin de los Requerimientos de Software: Debe evitarse la duplicaron de requerimientos de software. Revisiones: Debe realizarse una revisin tcnica en la fase SR/R

Con su estrategia de prueba, apunte a responder las siguientes preguntas: Qu estamos verificando?, Qu enfoque tomaremos?, Qu otra informacin necesito para planificar con eficacia? Cuando planifique, formule preguntas como las siguientes: Cmo llevaremos a cabo nuestras pruebas?, Dnde las llevaremos a cabo?, Cundo las llevaremos a cabo?, Cmo gestionaremos los problemas que encontremos?, Etc. Los siguientes son temas que usted puede encarar en su planificacin de prueba: Preparaciones Asignacin de personal Cobertura de la prueba Todos los requerimientos de prueba (tcnicos u otros) Entornos de prueba Criterios de ingreso Criterios de salida Delegacin de responsabilidades Adquisicin de instalaciones Planificacin de tareas Programacin Documentacin sobre la coordinacin y colaboracin con otros equipos Riesgos y problemas que puedan impactar sobre las pruebas Entregables especficos del proyecto de prueba Cuando usted lleva a cabo la planificacin, deber contar con: Informacin sobre su contexto Informacin sobre el problema (o proyecto) Ideas sobre las pruebas Ideas sobre la cobertura de las pruebas Ideas sobre los riesgos del proyecto Ideas sobre los detalles de la ejecucin Documentos o artefactos que apuntan a compartir las ideas que usted tiene, y que resultan tiles para cuestionar los supuestos y las nociones

Documentos o artefactos que puedan ser necesarios para avanzar en el proceso (segn el contexto) 7.2.2.4 GENERACIN AUTOMATIZADA DE LA PRUEBA (Rice 2002) enumera y explica los diez retos ms importantes en la automatizacin del proceso de pruebas. De acuerdo con este autor, stos son los siguientes: 1. Falta de herramientas, debida fundamentalmente a su elevado recio o a que las existentes no se ajusten al propsito o entorno para el que se necesitan. La primera razn parece deberse a la no mucha importancia que habitualmente se le da a la fase de pruebas, y eso que el costo de corregir un error puede, en muchos casos, superar al de la licencia de uso. Sera conveniente evaluar el coste de correccin de defectos del software entregado y compararlo con el de la licencia de la herramienta de pruebas. 2. Falta de compatibilidad e interoperabilidad entre herramientas. 3. Falta de proceso de gestin de la configuracin. Igual que las diferentes versiones del cdigo fuente, las pruebas, especialmente las de regresin, deben someterse a un control de versiones. Recurdese que el proceso de Gestin de la Configuracin es uno de los procesos de soporte del estndar ISO/IEC 12207 (ISO/IEC 1995), que debera utilizarse en la ejecucin de los procesos principales, y muy especialmente en los de Desarrollo y Mantenimiento. 4. Falta de un proceso bsico de pruebas y de conocimiento de qu es lo que se debe probar. 5. Falta de uso de las herramientas de prueba que ya se poseen, bien por su dificultad de uso, por falta de tiempo para aprender a manejarla, por falta de soporte tcnico, obsolescencia, etc. 6. Formacin inadecuada en el uso de la herramienta. 7. La herramienta no cubre todos los tipos de prueba que se desean (correccin, fiabilidad, seguridad, rendimiento, etc.). Obviamente, a la hora de elegir la herramienta, deberan tenerse priorizados los tipos de pruebas, y entonces hacer la eleccin de la herramienta basados en esto. A veces tambin es necesario utilizar no una, sino varias herramientas de prueba, as como tener en cuenta que es imposible automatizar el 100% de las pruebas. 8. Falta de soporte o comprensin por parte de los jefes, debido otra vez a la escasa importancia que habitualmente se le da a la fase de pruebas. 9. Organizacin inadecuada del equipo de pruebas. 10. Adquisicin de una herramienta inadecuada

7.2.3 INCREMENTALES Entre estas prcticas de pruebas se destacan las siguientes: Cobertura de cdigo Generador de ambiente automatizado Diagrama del estado de la prueba Simulacin de falla en la memoria Pruebas estadsticas Mtodos semiformales Registro de la prueba para el cdigo Benchmark Generacin de errores (bugs) 7.2.3.1 COBERTURA DE CDIGO La cobertura de cdigo es una medida que se utiliza en las disciplinas de comprobacin automtica (automated testing) de software. Esta medida indica la fraccin de del software que las pruebas han cubierto. Si las pruebas nos indican que nuestro software es correcto, la cobertura de cdigo nos indica que partes de nuestro software son correctas (esto no es del todo cierto, como veremos ms adelante). Es decir, La cobertura de cdigo es una medida de calidad, pero no de calidad de nuestro software, sino de nuestras pruebas: nos indica que partes del software estn comprobando nuestras pruebas y, lo ms importante, cules partes no estamos comprobando. La cobertura de cdigo, como las pruebas automticas y la documentacin del cdigo son cosas que hacen perder el tiempo a los desarrolladores tontos y salvadores para los desarrolladores con cabeza, aunque en realidad La cobertura de cdigo no nos hace perder mucho el tiempo, ya que la mayora de los casos es cuestin de utilizar alguna herramienta sobre nuestro software, preferentemente sobre el ejecutable que realiza nuestras pruebas (si lo probamos sobre un ejecutable final lo mximo que obtendremos es las partes del software que el usuario ha utilizado). La medida de La cobertura de cdigo de nuestro software siempre ser mejor cuanto ms cerca del 100% est, pero llegar a esos nmeros o incluso cerca puede llegar a ser contra productivo. La idea es utilizar la herramienta de cobertura de cdigo sobre nuestras pruebas, comprobar que partes del cdigo no se han ejercitado y escribir nuevas pruebas que utilicen esas partes. Una cobertura de cdigo superior a 95% es un buen punto para detenerse.

Sin embargo la mayora de herramientas de cobertura de cdigo no son capaces de comprobar ms que lo que se llama cobertura de instruccin o de lnea (statement coverage o line coverage, a veces denominado C0), que indica si una instruccin se ha ejecutado o no. En la mayora de los casos esta medida ya dice mucho de la calidad de las pruebas, pero no siempre: por ejemplo, el siguiente cdigo obtendra un 100% de cobertura si se ejecutase cualquiera de las ramas: If (condicion) {cdigo 1;} else {cdigo 2;} Pero obviamente s solo se ha ejecutado una de las ramas no se han comprobado todos los caminos posibles. Otras medidas como la cobertura de ramas o la cobertura de bloques (branch coverage o C1, y block coverage) resuelven este problema. Ms all de C1 existen algunas medidas ms de cobertura de cdigo: entre las ms interesantes est C2 o cobertura de caminos (path coverage) que se encarga de comprobar que todos los caminos posibles entre el punto de entrada de una funcin y el/los puntos de salida han sido cubiertos. Int funcin (bool condicion1, bool condicion2, bool condicion3) {Int resultado = 0; If (condicion1) resultado += 1; If (condicion2) resultado += 2; If (condicion3) resultado += 3; Return resultado;} En el fragmento de cdigo anterior existen 23=8 caminos posibles. Nuestras pruebas deberan comprobar cada una de esas 8 posibilidades para conseguir una cobertura C2 del 100%, mientras que con una nica prueba conseguiramos una cobertura C0 total. Es por esto que los nmeros que nos proporcionan las herramientas para medir La cobertura de cdigo no deben ser tomados como valores absolutos, sino como indicaciones sobre como orientar nuestras siguientes pruebas. Para realizar las medidas de code coverage existen multitud de herramientas, sobre todo para Java y .Net (los lenguajes con mquina virtual y grandes

capacidades de reflexividad son ms sencillos de comprobar que programas nativos, adems de que ltimamente son mucho ms utilizados), pero se puede encontrar casi para cualquier lenguaje. Podis ver una pequea lista de herramientas de code coverage en el wiki de C2. La mayora de herramientas open source proporcionan medidas de C0 (que ya es bastante, tengo que decir) y si tenemos suerte de C1. Pocas herramientas open source proporcionan medidas de C2 o medidas ms sofisticadas, aunque s existen herramientas comerciales que dicen proporcionar tales medidas. Generalmente C0 nos da una buena idea de la calidad de nuestras pruebas y C1 nos proporciona ms seguridad sobre esas medidas, con lo que la mayora de herramientas open source nos bastarn para quitarnos un gran peso de encima. Una Herramienta ocupada para test de cobertura de cdigo en Windows es: Rational PurifyPlus for Windows. Ayuda a los desarrolladores a identificar los errores de fiabilidad y rendimiento en cdigo. Incluye deteccin de corrupcin de memoria, deteccin de prdidas de memoria, parametrizacin del rendimiento de aplicaciones y anlisis de cobertura del cdigo.

7.2.3.2 GENERADOR DE AMBIENTE AUTOMATIZADO Al disear sistemas de prueba automatizadas, resulta clave la maximizacin de exactitud. La mayora de los ingenieros de prueba tornan su mirada a las hojas de datos para los instrumentos que estn evaluando con la esperanza de que estos documentos proporcionen todas las respuestas. Sin embargo, otros factores son igualmente importantes en la maximizacin de la exactitud de sus sistemas de prueba automatizados. A continuacin se proponen cuatro estrategias que se pueden seguir para maximizar la exactitud de sus sistemas de prueba automatizados. 1. Comprender las Especificaciones del Instrumento. Resulta importante comprender que los diferentes vendedores de instrumentos con frecuencia especifican la exactitud de medida utilizando ya sea diferente terminologa o terminologa similar con diferentes significados. Es importante tener en claro todos los parmetros involucrados en definir las caractersticas de un instrumento. 2. Considerar Requerimientos de Calibracin. A pesar de la exactitud de los instrumentos que usted selecciona para sus sistemas de prueba automatizados, es importante darse cuenta que las exactitudes de los componentes electrnicos utilizados en todos los instrumentos cambian a travs del tiempo. 3. Monitoree el Sistema Operativo No todos los instrumentos tienen las mismas especificaciones ambientales. Sus sistemas de prueba automatizadas pueden encontrarse en un ambiente de oficina donde la temperatura y humedad estn altamente controladas, pero puede haber una fbrica u otra instalacin industrial. 4. Utilice la Configuracin Apropiada. Conectar su sistema de prueba automatizado al dispositivo bajo prueba (DUT) puede ser tan simple como conectar cables entre instrumentos hacia una caja de

escape o terminales de refuerzo y conectarlas al DUT para sistemas con menor de 50 puntos de prueba o bien, solo algunos instrumentos. Los efectos del tiempo en el servicio as como condiciones ambientales, se incorporan a este cambio. Para resolver este conflicto, sus instrumentos deben calibrarse a intervalos regulares. 7.2.3.3 DIAGRAMA DEL ESTADO DE LA PRUEBA Los diagramas de estado de la prueba: Describen grficamente los eventos y los estados de los objetos. Son tiles, entre otras cosas, para indicar los eventos del sistema en los casos de uso. Un evento es un acontecimiento importante a tomar en cuenta para el sistema. Un estado es la condicin de un objeto en un momento determinado: El tiempo que transcurre entre eventos. Una transicin es una relacin entre dos estados, e indica que, cuando ocurre un evento, el objeto pasa del estado anterior al siguiente. Un diagrama de estado representa el ciclo de vida de un objeto: los eventos que le ocurren, sus transiciones, y los estados que median entre estos eventos. Es til hacer diagramas de estado para describir la secuencia permitida de eventos en los casos de uso. Una transicin puede tener una proteccin condicional, o prueba booleana, que permite pasar al siguiente estado solemente si esta proteccin es vlida. Estas protecciones se colocan entre parntesis debajo de los eventos Los diagramas de estado describen grficamente los eventos y los estados de los objetos. Los diagramas de estado son tiles, entre otras cosas, para indicar los eventos del sistema en los casos de uso. Un evento es un acontecimiento importante a tomar en cuenta para el sistema. Un estado es la condicin de un objeto en un momento determinado: el tiempo que transcurre entre eventos. Una transicin es una relacin entre dos estados, e indica que, cuando ocurre un evento, el objeto pasa del estado anterior al siguiente.

En UML, los estados se representan mediante valos. Las transiciones se representan mediante flechas con el nombre del evento respectivo. Se acostumbra poner un estado inicial (crculo negro). Por ejemplo:
Un diagrama de estado representa el ciclo de vida de un objeto: los eventos que le ocurren, sus transiciones, y los estados que median entre estos eventos. En particular, es til hacer diagramas de estado para describir la secuencia permitida de eventos en los casos de uso. Por ejemplo, en el caso de uso comprar Productos no est permitido efectuar pago Tarjeta mientras no haya ocurrido el evento terminar Venta. Un diagrama de estado que describe los eventos globales del sistema y su secuencia en un caso de uso es un diagrama de estado para casos de uso. Por ejemplo, una versin simplificada del diagrama de estados para el caso de uso comprar Productos es el siguiente:

Una versin ms completa del diagrama anterior se muestra en la siguiente figura:
El diagrama anterior aun no est completo, pues falta considerar algunos casos excepcionales, como por ejemplo, si al rechazar una tarjeta de crdito o un cheque, el cliente decide pagar usando otro mtodo, por ejemplo pagando en efectivo. Una transicin puede tener una proteccin condicional, o prueba booleana, que permite pasar al siguiente estado solamente si esta proteccin es vlida. Estas protecciones se colocan entre parntesis debajo de los eventos (ver validacin del usuario al descolgar el auricular, en la siguiente figura). Tambin se pueden tener sub-estados anidados.

Las herramientas usadas en la etapa de anlisis (investigacin del problema) se pueden resumir en la siguiente tabla.
7.2.3.4 SIMULACIN DE FALLA EN LA MEMORIA El manejo de memoria consiste en la asignacin y liberacin de bloques de memoria a medida que un programa lo solicite. Particularmente, la liberacin de memoria puede realizarse en forma manual o mediante tcnicas automatizadas, tambin conocidas como tcnicas de recoleccin de basura, pues consisten en identificar y liberar los bloques asignados que ya no sern accedidos desde la aplicacin (Simsek, 2005). La Simulacin de falla en la memoria evala si las aplicaciones no exceden los lmites de memoria en los peores casos, o situaciones criticas. Puede ser utilizado para comprender el diseo de nuestro software que ejecuten de forma ptima un determinado tipo de programas paralelos o para mejorar el modo de operar de una arquitectura paralela concreta. Permite establecer la configuracin de los parmetros que definen la arquitectura del sistema, ofrecindonos la respuesta del mismo al someterlo a los accesos de memoria generados por los programas permitiendo evaluar si nuestro sistema no satura la memoria. 7.2.3.5 PRUEBAS ESTADSTICAS Pruebas Estadsticas A continuacin se presentan algunas de las opciones que el software debe proporcionar para la realizacin de las pruebas estadsticas que se utilizan para validar el cumplimiento de los supuestos planteados durante la elaboracin del modelo.

Estadsticas Descriptivas Incluye valor medio, desviacin estndar, altura, esbeltez, normalidad de los datos y valores mximos y mnimos. Principalmente utilizado para chequear si los datos se distribuyen en forma normal y con valor medio cero para el caso de los residuales. Test de Heterocedasticidad En primer lugar se debe crear una variable que contenga los valores de los residuales (previa definicin del modelo como fue indicado anteriormente), para luego continuar con el siguiente procedimiento. Test de Auto correlacin Luego de definirse el modelo, se puede chequear la presencia de auto correlacin mediante varios pasos. Entregando como resultado la aceptacin o rechazo de la hiptesis nula de no existencia de auto correlacin. Test de Multicolinealidad Para chequear si las variables independientes se encuentran o no relacionadas en forma lineal, se debe obtener la matriz de correlacin. El programa devuelve una matriz en donde aparecen las correlaciones entre todas las variables incorporadas al modelo y slo resta interpretar los resultados. Test de inferencia El programa incluye los test para verificar el cumplimiento de las hiptesis. Implica tener un mtodo para medir la fiabilidad. Este sistema, al contrario que los sistemas de test, no busca el fallo sino todo lo contrario Tiene cuatro etapas: 1. 2. 3. 4. Obtencin de un perfil operativo de los sistemas en uso. El perfil operativo es el estudio de conjunto de posibles entradas. Se construye un conjunto de entrada de test en funcin del perfil anterior Se prueba el sistema contra estos datos y se computa: Nmero de fallos Tiempo o frecuencia de los errores

7.2.3.6 MTODOS SEMIFORMALES Se encuentran dentro de las Metodologas o tcnicas de Desarrollo del Software, hablamos de especificaciones semi-formales cuando hacemos uso de un lenguaje semi-formal, es decir, un lenguaje que tiene una sintaxis ms o menos precisa y una semntica informal. Un ejemplo de este tipo de notacin son los diagramas de UML, los diagramas de Entidad-Relacin, etc. Notacin especifica y definida sigue reglas y normas que se pueden validar, Cuando hacemos uso de un lenguaje semiformal, es decir, un lenguaje que tiene una sintaxis ms o menos precisa y una semntica informal por ejemplo: Modelos Grficos. Notaciones. Mtodos Estructurados SA/SD (structured analysis & structured design) Mtrica Mtodos Orientados a Objetos OMT UML Mtodos Orientados a la Estructura de los Datos, Mtodos de flujo de datos

Los mtodos orientados a objeto describen e implementan los sistemas de informacin desde un punto de vista ontolgico.
7.2.3.7 REGISTRO DE LA PRUEBA PARA EL CDIGO Test Driven Development (TDD) es una prctica de programacin que involucra otras dos prcticas: Escribir las pruebas primero (Test First Development) y Refactorizacin (Refactoring). Para escribir las pruebas generalmente se utiliza la Prueba Unitaria (unit test en ingls). Primeramente se escribe una prueba y se verifica que las pruebas fallen, luego se implementa el cdigo que haga que la prueba pase satisfactoriamente y seguidamente se refactoriza el cdigo escrito. El propsito del desarrollo guiado por pruebas es lograr un cdigo limpio que funcione (Del ingls: Clean code that Works). La idea es que los requerimientos sean traducidos a pruebas, de este modo, cuando las pruebas pasen se garantizar que los requerimientos se hayan implementado correctamente. Estas pruebas son una herramienta esencial para la investigacin de la interaccin persona ordenador, y tambin dentro del campo que ha venido a llamarse "usabilidad". TDD se propone agilizar el ciclo de escritura de cdigo y realizacin de pruebas de unidad. Las pruebas de unidad son las que se aplican a una parte de un programa para comprobar que cumpla su funcin especfica. En los mtodos tradicionales de desarrollo de software, estas pruebas son llevadas a cabo por personas cuya nica tarea es asegurar la calidad del producto final. El hecho de que quienes estn a cargo de escribir el cdigo y quienes deban probarlo sean grupos distintos suele originar cierto nivel de competencia: los programadores se esfuerzan por escribir cdigo correcto, que luego debern entregar a sus "oponentes" para que traten de demostrar lo contrario, encontrando los casos en que el programa falla. Si bien la competencia resulta provechosa en ciertas circunstancias, un equipo de desarrollo debera estar conformado por

individuos que realizaran un esfuerzo conjunto detrs de un objetivo comn, sin enfrentarse entre ellos. Adems, el trmite que supone enviar el cdigo para que sea probado demora el avance del proyecto. El programador no entrega su cdigo hasta que lo ha revisado lo suficiente. Recin en ese momento se lo prueba, se documentan los errores y, para resolverlos, el programador - quien ha estado esperando o ha comenzado a trabajar en otra parte del proyecto - tiene que volver a sumergirse en ese cdigo que haba dejado de lado. La propuesta del Desarrollo guiado por Pruebas es radicalmente distinta a la explicada en el prrafo anterior. Segn esta prctica, es el programador quien realiza las pruebas de unidad de su propio cdigo, e implementa esas pruebas antes de escribir el cdigo a ser probado. Cuando el programador recibe el requerimiento de implementar una parte del sistema, y una vez que comprendi cul es la funcionalidad pretendida, debe empezar por pensar qu pruebas va a tener que pasar ese fragmento de programa (o unidad) para que se considere correcto. Luego procede a programar, pero no el cdigo de la unidad que le toc, sino el cdigo que se va a encargar de llevar a cabo las pruebas. Cuando est satisfecho de haber escrito todas las pruebas necesarias (y no antes), comienza a programar la unidad, con el objetivo de pasar las pruebas que program. La forma de trabajo del programador tambin cambia mucho durante la escritura del cdigo funcional propiamente dicho. En lugar de trabajar durante horas o das hasta tener la primera versin en condiciones de ser probada, va creando pequeas versiones que puedan ser compiladas y pasen por lo menos algunas de las pruebas. Cada vez que hace un cambio y vuelve a compilar, tambin ejecuta las pruebas de unidad. Y trata de que su programa vaya pasando ms y ms pruebas hasta que no falle en ninguna, que es cuando lo considera listo para ser integrado con el resto del sistema. Una de las grandes diferencias con el estilo de trabajo tradicional es que ya no compite con otro u otros, sino que compite consigo mismo; se enfrenta al desafo de escribir cdigo que pase las pruebas que l mismo program. Y siguiendo las premisas de muchos de los mtodos giles, solamente programar lo que sea estrictamente necesario para ese fin. Pasemos a un ejemplo muy simple, para ilustrar cmo funciona este proceso. Supongamos que me toca desarrollar un componente .NET que se encargue de

ordenar un arreglo de valores enteros y que, como parte del diseo, se ha decidido hacerlo mediante el algoritmo de bubble sort u ordenamiento por burbujeo. Para los que no recuerden o no conozcan este algoritmo; se trata de recorrer el arreglo intercambiando entre s los elementos contiguos que se encuentren en el orden inverso al buscado, y recomenzar ese procedimiento tantas veces como sea necesario, hasta que no queden pares por intercambiar. Como estoy haciendo TDD, tengo que empezar por decidir qu pruebas voy a hacer. Elijo probar con varios arreglos de cinco elementos que siempre sern los nmeros del 1 al 5. Y se me ocurren las siguientes pruebas: 1. Un arreglo ordenado; 2. Un arreglo que tenga solamente un par de elementos contiguos fuera de orden; 3. Un arreglo que tenga el ltimo elemento al principio (y el resto de ellos en orden); 4. Un arreglo que tenga el primer elemento al final; 5. Un arreglo completamente invertido. Tal vez no sea suficiente, pero yo me siento conforme. Pienso que si logro escribir un programa que pase odas estas pruebas, habr cumplido con lo pedido. l paso siguiente es implementar las pruebas en la forma de un programa que examine mi componente. Dado que todo desarrollador guiado por pruebas tiene que crear frecuentemente programas de este tipo, existen herramientas que facilitan el trabajo. 7.2.3.8 BENCHMARK Un benchmark es un conjunto de procedimientos (programas de computacin) para evaluar el rendimiento de un ordenador. Hay cuatro categoras generales de pruebas de comparacin: Pruebas aplicaciones-base (application-based) las ejecuta y las cronometra. Pruebas playback (playback test), las cuales usan llamadas al sistema durante actividades especificas de una aplicacin (Ej.: Llamados a grficos o uso del disco) y las ejecuta aisladamente. Prueba sinttica (synthetic test), la cual enlaza actividades de la aplicacin en subsistemas especficos.

Prueba de inspeccin (inspection tests), la cual no intenta imitar la actividad de la aplicacin, sino que las ejecuta directamente en los subsistemas especficos. Los test de aplicaciones base entregan la mejor forma de medir el rendimiento completo de el sistema en el mundo real. El programa Winstone de Zdnet, ejecuta mas de una docena de las aplicaciones ms populares en el ambiente Windows, es un ejemplo de este tipo de comparadores. Donde sea factible la tecnologa playback le da la manera ms real de medir subsistemas individuales en aislacin. El programa WinBench de ZDnet utiliza la tecnologa playback para probar grficos, Cd-rom y subsistemas de disco duro, tambin corre cientos de otras pruebas en reas especificas del computador. Los test Synthetic continan en el estado de medicin del rendimiento es por eso que winbench usa las pruebas de procesadores. Los test de inspeccin tienen su lugar verificando el comportamiento libre de fallas y midiendo rendimiento operacin por operacin, por esto se incluye el test de inspeccin en el winbench. Dhrystone Dhrystone es una medida de rendimiento de la CPU en entero, expresado en Millones de instrucciones por segundo (MIPS). El Dhrystone benchmark es ampliamente usado en la industria de las computadoras como una medida de rendimiento, Wintune (programa benchmark) usa la versin modificada del Dhrystone que mantiene sus datos en el almacenador del programa. Esto permite al benchmarks trabajar apropiadamente en mltiple threads en Windows NT. El Dhrystone estndar, fue originalmente diseado para un nico ambiente (singlethreaded), manteniendo alguno de sus datos en variables estticas globales. El Dhrystone es un benchmark sinttico, diseado para contener ejemplos representativos de las operaciones normalmente requeridas por las aplicaciones.

Estas no calculan el resultado de ningn tipo, pero hacen enlaces de complicadas secuencias de instrucciones usadas por las aplicaciones. El resultado del Dhrystone es determinado por el tiempo que toma la medicin para ejecutar esta secuencia de instrucciones. La aritmtica del entero simple, decisiones lgicas, y accesos de memoria son las actividades dominantes de la CPU en la mayora de los programas Windows. El Dhrystone benchmark hace un uso intensivo de estas reas. Por lo tanto el Dhrystone no tiene suficiente cdigo de programa o acceso suficiente a las locaciones de memoria para simular la actividad de la mayora de los programas reales. Su lugar de trabajo de cdigo y datos puede generalmente ser mantenido en el cache de la CPU, con lo cual resulta con un alto rendimiento. Desde que el Dhrystone no ofrece una buena indicacin del rendimiento de memoria, Wintune tiene un set separado de prueba de memoria. Whetstone Whetstone es una medida de rendimiento de la CPU en punto flotante, expresado en Millones de operaciones de punto flotante por segundo (MFLOPS). El Whetstone benchmark es ampliamente usado en la industria de la computacin como una medida de rendimiento, Wintune usa una versin modificada del Whetstone que mantiene sus datos en el programa de almacenamiento. Esto permite al benchmarks trabajar apropiadamente en mltiples threads en Windows NT. El Whetstone estndar, fue originalmente diseado para un ambiente nico, manteniendo alguno de sus datos en variables estticas globales. La aritmtica del punto flotante es la ms significativa en programas que requieren FPU. Estos son en su mayora ingeniera cientfica, de estadsticas, y programas de ayuda de diseo en computacin. Es tambin un pequeo componente en hoja de clculo, dibujo y pintado de programas. (Aunque la hoja de clculo trabaja con nmeros tambin tiene una mejor presentacin en pantalla.) Los programas procesadores de texto tpicamente no hacen ningn computo en punto flotante. El Whetstone hace mucha aritmtica del punto flotante un poco de acceso de memoria, y un poco la aritmtica del entero.

Porqu considerar el Rendimiento? Juzgar el rendimiento de un sistema cuando se estn tomando decisiones de compra es algo crtico a fin de retardar la obsolescencia y proteger su inversin. 7.2.3.9 GENERACIN DE ERRORES (BUGS) Resolver los problemas cuando se presentan es un proceso fcilmente determinado, pero prevenir problemas es una tarea muy minuciosa y muy difcil de determinar. En la antigua china exista una familia de curadores, uno de los integrantes de esta familia siendo ya muy reconocido fue contratado por uno de los grandes Seores del territorio como su medico personal. Una noche mientras cenaban el Seor le pregunta al medico cual de sus otros familiares era tan poderoso como el, entonces el medico comento; Yo atiendo a personas con grandes males, casi moribundos llegan a mi con cierta fe, y algunas veces logro curarlos, y mi nombre es reconocido en casi todo el territorio. Mi hermano mayor cura las enfermedades cuando recin comienzan a hacer raz en el cuerpo y su nombre es reconocido en los vecindarios, mi hermano menor cura enfermedades antes de que aparezcan y solo es conocido por la familia y su nombre no ha salido de la casa. Es decir, arreglar o corregir un problema o bug despus que sale a la luz es una tarea relativamente sencilla, ya que se conoce el foco del problema, el inconveniente esta en corregir un error que no esta visible o no ha sucedido todava. Cuales son las razones para que un programa contenga Bugs? Poca o falta de comunicacin entre diferentes aplicaciones. (Requerimientos de las aplicaciones.) Complejidad del software: Causa dificultad en la reutilizacin de cdigo y generalmente requiere personas con experiencia en desarrollo de software moderno como por ejemplo en sistemas cliente servidor, aplicaciones distribuidas, comunicacin de datos, manejo de enormes bases de datos relacionales y un gran manejo de tcnicas orientadas a objetos. A veces estos conocimientos tambin pueden causar ms errores de los que corrigen.

Errores de programacin: Los programadores son uno de los principales factores en la causa de errores o Bugs. Requerimiento de cambio en el sistema: El rediseo y la re planificacin causan efectos en otros proyectos que trabajan en conjunto o a partir de resultados del sistema modificado. Estos procesos cooperativos generan ms complejidad en las diferentes pruebas y en el control y generalmente el entusiasmo de los desarrolladores del sistema se ve afectado al tener que realizar actividades diferentes o no correspondientes a su labor. Como por ejemplo el de los ingenieros al tener que hacer un anlisis funcional a partir de su planificacin, todo esto influye y atenta con la integridad del programa y genera riesgos de una gran cantidad de errores. Presiones de tiempos: Una buena planificacin y un buen anlisis con sus respectivos controles de calidad y prueba se ven afectados por un lapso corto de tiempo para que esto sea completo. La falta de tiempo generalmente conlleva a no considerar u omitir ciertas fases de prueba y control. El ego (aspecto psicolgico del personal): A veces la situacin y el contexto llevan a que la gente diga: - No hay problema - Es muy fcil. - Puedo terminar esto en pocas horas. -No habr inconvenientes en adaptar ese viejo cdigo. En vez de decir: -Eso es muy complejo. -Nos llevara a cometer varios errores. -No puedo estimar cuanto tiempo me llevara este trabajo. -No se como readaptar ese cdigo. Son muchas las ocasiones en las que un No hay problema genera un Bugs.

Pobre documentacin del cdigo: Es difcil poder modificar cdigo cuya documentacin es escasa o esta mal escrita. En muchas organizaciones los directivos no incentivan a los programadores a realizar una buena documentacin e incluso a no darle importancia a la entendibilidad del cdigo, como tambin el hecho de incentivar demasiada seguridad en la documentacin y escritura del cdigo. Lo que fue difcil de escribir podra llegar a ser difcil de leer y aun mas complicado de modificarlo. Herramientas de desarrollo de software: Herramientas visuales, libreras de clases, compiladores, herramientas de escritura, etc., a menudo introducen cdigo extra con pobre documentacin lo cual genera un Bugs en el programa en cuestin. Un serio manejo de control de calidad en la codificacin es absolutamente necesario para evitar estos Bugs, por lo que un nuevo software debe garantizar cumplir con lo formalizado. Un Buen cdigo es aquel que funciona sin Bugs, adems debe ser legible y mantenible, se debe ajustar a los estndares de la organizacin para que todos los desarrolladores del sistema manejen y entiendan las mismas herramientas y mecanismos en la codificacin.

Unidad VIII Derechos de autor en Mxico (software) Objetivo: El alumno conocer y aprender cmo proteger y registrar un programa de cmputo en Mxico a travs la Ley Federal del Derecho de Autor. Contenido: 8.1 Ley Federal del Derecho de Autor (LFDA) en Mxico 8.1.1 Definicin 8.1.2 Artculos para la proteccin jurdica del software 8.1.3 Derechos que se confieren a travs de la LFDA 8.1.3.1 Derechos morales 8.1.3.2 Derechos patrimoniales 8.2. Instituto Nacional del Derecho de Autor (INDAUTOR) 8.7.1 Definicin 8.7.2 Ubicacin del INDAUTOR 8.3 Direccin General de Asuntos Jurdicos de la UNAM (DGAJ) 8.3.1 Definicin 8.3.2 Relacin con el INDAUTOR 8.3.3 Ubicacin de la DGAJ 8.4 Registro del software 8.4.1 Procedimiento y requerimientos para registrar software en el INDAUTOR. 8.4.2 Procedimiento y requerimientos para registrar software en la DGAJ. 8.4.3 Ventajas y desventajas al registrar software 8.5 Violacin a los Derechos de Autor 8.6 Leyes que brindan proteccin jurdica al software en caso de violacin. 8.7 Sociedades de Gestin Colectiva 8.7.1 Qu es una Sociedad de Gestin Colectiva? 8.7.2 Procedimiento y requerimientos para registrar una Sociedad de Gestin Colectiva. 8.7.3 Obligaciones y privilegios al formar parte de una Sociedad de Gestin Colectiva.

8.1. LEY FEDERAL DEL DERECHO DE AUTOR EN MXICO. El Derecho de autor es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores por el solo hecho de la creacin de una obra literaria, artstica o cientfica, tanto publicada o que todava no se haya publicado. Quin es el autor? La persona fsica que ha creado una obra literaria y artstica. Qu es el Derecho de Autor? Es el reconocimiento que hace el Estado a favor de todo creador de obras literarias y artsticas, en virtud del cual otorga su proteccin para que el autor goce de privilegios exclusivos de carcter personal y patrimonial. Qu vigencia tiene el Derecho de Autor? La vida del autor y, a partir de su muerte, cien aos ms, cuando la obra pertenezca a varios coautores los cien aos se contarn a partir de la muerte del ltimo, y cien aos despus de divulgadas. Qu tipo de obras protege el Derecho de Autor? Aquellas de creacin original susceptibles de ser divulgadas o reproducidas en cualquier forma o medio, las cuales estn incluidas en las siguientes ramas: Literaria. Musical, con o sin letra. Dramtica. Danza. Pictrica o de dibujo. Escultrica y de carcter plstico. Caricatura e historieta. Arquitectnica. Cinematogrfica y dems obras audiovisuales. Programas de radio y televisin. Programas de cmputo. Fotogrfica.

Obras de arte aplicado que incluyen el diseo grfico o textil. Coleccin de obras de arte.
BREVE DESCRIPCIN DE LOS SERVICIOS EN MXICO: El rea de los Derechos de Autor se ocupa de la presentacin de solicitudes de registros de los distintos tipos de obras protegidas por el Derecho de Autor, de la inscripcin de contratos y de la presentacin de recursos legales por violacin de los Derechos de Autor de los clientes. 8.1.1 DEFINICION El derecho de autor (del francs droit d' auteur) es un conjunto de normas y principios que regulan los derechos morales y patrimoniales que la ley concede a los autores (los derechos de autor), por el solo hecho de la creacin de una obra literaria, artstica, cientfica o didctica, est publicada o indita. En el derecho anglosajn se utiliza la nocin de copyright (traducido literalmente como "derecho de copia") que -por lo general- comprende la parte patrimonial de los derechos de autor (derechos patrimoniales). Una obra pasa al dominio pblico cuando los derechos patrimoniales han expirado. Esto sucede habitualmente trascurrido un plazo desde la muerte del autor (post mortem auctoris). Por ejemplo, en el derecho europeo, 70 aos desde la muerte del autor. Dicha obra entonces puede ser utilizada en forma libre, respetando los derechos morales. El titular de los derechos de autor goza de derechos exclusivos respecto de: Reproducir la obra en copias o fonogramas. Preparar obras derivadas basadas en la obra. Distribuir copias o fonogramas de la obra al pblico vendindolas o haciendo otro tipo de transferencias de propiedad tales como alquilar, arrendar o prestar dichas copias. Presentar la obra pblicamente, en el caso de obras literarias, musicales, dramticas y coreogrficas, pantomimas, pelculas y otras producciones audiovisuales. Mostrar la obra pblicamente, en el caso de obras literarias, musicales, dramticas coreogrficas, pantomimas, obras pictricas, grficas y esculturales, incluyendo imgenes individuales de pelculas u otras producciones audiovisuales.

En el caso de grabaciones sonoras, interpretar la obra pblicamente a travs de la transmisin audio digital.
La proteccin del derecho de autor existe desde que la obra es creada de una forma fijada. El derecho de autor sobre una obra creada se convierte inmediatamente en propiedad del autor que cre dicha obra. Slo el autor o aquellos cuyos derechos derivan del autor pueden reclamar propiedad. Los autores de una obra colectiva son co-dueos del derecho de autor de dicha obra a menos que haya un acuerdo que indique lo contrario. El derecho de autor de cada contribucin individual de una publicacin peridica o en serie, o cualquier otra obra colectiva, existen a parte del derecho de autor de una obra colectiva en su totalidad y estn conferidos inicialmente al autor de cada contribucin. La mera posesin de un libro, manuscrito, pintura o cualquier otra copia o fonograma le otorga al dueo el derecho de autor. Los menores de edad pueden reclamar derecho de autor, pero las leyes especficas pueden reglamentar cualquier transaccin relacionada con este tema donde ellos sean parte. CLASES DE DERECHOS DE AUTOR Dentro de la tradicin jurdica del Derecho continental, Derecho internacional, y Derecho mercantil, se suelen distinguir los siguientes tipos de derechos de autor: Derechos patrimoniales: son aquellos que permiten de manera exclusiva la explotacin de la obra hasta un plazo contado a partir de la muerte del ltimo de los autores, posteriormente pasan a formar parte del dominio pblico pudiendo cualquier persona explotar la obra. Derechos morales: son aquellos ligados al autor de manera permanente y son irrenunciables e imprescriptibles. Derechos conexos: son aquellos que protegen a personas distintas al autor, como pueden ser los artistas, intrpretes, traductores, editores, productores, etc. Derechos de reproduccin: es un fundamento legal que permite al autor de la obra impedir a terceros efectuar copias o reproducciones de sus obras. Derecho de comunicacin pblica: derecho en virtud del cual el autor o cualquier otro titular de los derechos puede autorizar una representacin o ejecucin viva o en directo de su obra, como la representacin de una pieza teatral o la ejecucin de una sinfona por una orquesta en una sala de

concierto. Cuando los fonogramas se difunden por medio de un equipo amplificador en un lugar pblico, como una discoteca, un avin o un centro comercial, tambin estn sujetos a este derecho. Derechos de traduccin: para reproducir y publicar una obra traducida se debe solicitar un permiso del titular de la obra en el idioma original.
8.1.2 ARTICULOS PARA LA PROTECCION JURIDICA DEL SOFTWARE. La proteccin de la propiedad intelectual en el mercado mundial ha tomado reciente significacin en los recientes aos. Los propietarios de tecnologa del mundo desarrollado, particularmente los estadounidenses, han presionado recientemente para obtener un rgimen legal de propiedad intelectual fuerte y relativamente uniforme, como piedra de toque para obtener un tratamiento equitativo en el sistema global del comercio que emerge. Por otro lado, la posibilidad de incorporar a la proteccin jurdica estos programas de computo en el mbito del derecho, especficamente en el de la propiedad intelectual y particularmente en las normas autorales, viene dictada por consideraciones de oportunidad, dada la dimensin econmica de los intereses en juego entre los que cabe destacar: la posible conservacin de la industria nacional frente a una fuerte concurrencia extranjera, la proteccin de un producto cuya elaboracin requiere un gran esfuerzo de inversin, investigacin y posterior difusin, y sobre todo, la evidente necesidad de una armonizacin internacional de reglamentaciones. En la prctica jurdica internacional, la evolucin de la materia no es especfica. Se puede comprobar, como en un principio, los programas de computadora fueron objeto de proteccin a travs de diversas formulas como el secreto industrial, las clusulas de confidencialidad en los contratos y la competencia desleal, pero pronto se puso de manifiesto su insuficiencia, y los medios profesionales interesados solicitaron una regulacin que les asegurara la propiedad y la proteccin derivada de la misma. PROTECCION JURIDICA EN NUESTRO PAS En nuestro pas, la Ley de Fomento y Proteccin de la Propiedad Industrial, publicada en el diario oficial de la federacin el 27 de junio de 1991 y modificada en su denominacin el 29 de julio de 1994 por la Ley de Propiedad Industrial, establece que los programas de computo no son considerados como invenciones y, por tanto no son susceptibles de proteccin por la va de patentes.

Esta nueva Ley viene a complementar e innovar la reglamentacin respecto a los programas de cmputo, que, si bien ya eran regulados por la anterior ley autoral de 1956, no se constituan en formacin y estructuracin como en el actual capitulo IV del titulo IV de la Ley Federal. En efecto, esta Ley Federal del derecho de autor, publicada en le Diario Oficial de la Federacin con fecha 24 de diciembre de 1996 cuya entrada en vigor se dio noventa das posteriores a su publicacin, establece un capitulo en particular aquellas regulaciones respecto a los programas de computacin y las bases de datos. LEY DE DERECHOS DE AUTOR EN SOFTWARE Captulo I DISPOSICIONES GENERALES Artculo 1.- Para efectos de la presente ley, se entiende por programa de computacin la expresin original en cualquier forma, lenguaje o cdigo, de un conjunto de instrucciones que, con una secuencia, estructura y organizacin determinada, tiene como propsito que una computadora o dispositivo realice una tarea o funcin especfica. Tendrn igual significado y connotacin, para los efectos de sistematizacin del presente ordenamiento jurdico, los siguientes trminos: a) "programa de cmputo", b) "programa de computacin", c) "programa para computadora", o d) "software". Artculo 2.- La proteccin a los derechos de autor de programas de computacin queda sujeta a lo previsto en la presente ley. A falta de disposicin expresa, se estar a las prevenciones de la Ley Federal de Derechos de Autor. Artculo 3.- La proteccin a que se refiere esta ley, se extiende tanto a los programas operativos como a los programas aplicativos, ya sea en forma de cdigo fuente o de cdigo objeto. Se exceptan aquellos programas de cmputo que tengan por objeto causar efectos nocivos a otros programas o equipos.

Artculo 4.- Para efectos de la presente ley, un programa de computadora ser considerado similar a otro cuando cumpla las condiciones siguientes: I. Ser funcionalmente equivalente, considerando que debe: a) b) c) Ser original y desarrollado de manera independiente. Tener, fundamentalmente, las mismas caractersticas de desempeo, considerando el tipo de aplicacin a que est destinado. Operar en equipo similar y en un ambiente de procesamiento similar.
II. Ejecutar substancialmente las mismas funciones, considerando el tipo de aplicacin al que est destinado y las caractersticas del mercado nacional. III. Presentar analogas en cuanto a los parmetros relevantes, incluyendo los numricamente mensurables, los requisitos de memoria, tiempo de procesamiento y capacidad de transaccin entre usuarios y sistemas. Artculo 5.- Por lanzamiento se entender el momento en que el autor del programa lo utiliza o pone a disposicin de otro. Queda asegurada la tutela de los derechos relativos a los programas para computadora por un plazo de 25 (veinticinco) aos, contados a partir de su lanzamiento en cualquier pas. Los derechos atribuidos por la presente Ley a los extranjeros con domicilio en el exterior, quedan asegurados siempre que el pas de origen del programa mantenga reciprocidad con Mxico, y conceda derechos equivalentes en extensin y duracin a los establecidos en el prrafo anterior del presente artculo.
Artculo 6.- Salvo pacto en contrario, los derechos patrimoniales relativos al programa para computadora, desarrollado y elaborado durante la vigencia del contrato o del vnculo estatutario, expresamente destinado a la investigacin y desarrollo, o donde est prevista la actividad del empleado, funcionario o prestador de servicios, o que pertenezca a la propia naturaleza de los encargos contratados, pertenecern exclusivamente al empleador o contratante de servicios. Salvo clusula en contrario, la compensacin del trabajo o servicio prestado se limitar a la remuneracin o salario convenido. Los derechos concernientes al programa para computadora creado sin relacin al contrato de trabajo, vnculo estatutario o prestacin de servicios, y sin utilizar recursos, informaciones tecnolgicas, materiales, instalaciones o equipos del empleador o

contratante de servicios, pertenecern con exclusividad al creador de dicho software. Artculo 7.- Cuando se estipule en contrato firmado entre las partes, los derechos sobre las modificaciones tecnolgicas y derivaciones, pertenecern a la persona autorizada que las haga, y que los ejercer autnomamente. Artculo 8.- El plazo de la cesin de derechos en materia de informtica no est sujeto a limitacin alguna; excepto en los casos en que no exista estipulacin expresa, y siendo as toda transmisin de derechos patrimoniales se considerar por el trmino de 5 aos, pudiendo pactarse por ms de 15 aos cuando la magnitud de la inversin as lo justifique. Artculo 9.- No constituirn ofensa al derecho de autor de un programa de cmputo: I. La reproduccin de una copia legtimamente adquirida, siempre que sea indispensable para la utilizacin adecuada del programa. II. La citacin parcial para fines didcticos, siempre que se identifiquen el autor y el programa referido. III. La semejanza entre un programa y otro ya existente, siempre que la misma est causada por las caractersticas funcionales de su aplicacin, por la observacin de los preceptos legales, reglamentarios o de normas tcnicas o de la limitacin de la forma alternativa para su expresin. IV. La integracin de un programa, con todas sus caractersticas esenciales, a un sistema aplicativo u operacional, tcnicamente indispensable para las necesidades del usuario siempre que sea para uso exclusivo de quien lo promovi. Captulo II DE LA INSCRIPCIN DEL PROGRAMA DE CMPUTO Artculo 10.- Los programas de cmputo sern inscritos en el Registro Nacional de Programas de Cmputo, creado al efecto. Para llevar a cabo la comercializacin de un programa de computacin, ser necesaria la inscripcin del programa o conjunto de programas bajo las siguientes categoras de clasificacin, las cuales debern ser proporcionadas por el interesado junto con el pedido de inscripcin y aprobadas por el Registro:

I. Por su procedencia: a) b) c) Nacionales: a aquellos creados y producidos en nuestro pas. Internacionales: los creados y producidos en cualquier otro pas del extranjero. Mixto: aquellos creados en asociacin de nacionales e internacionales.
II. Por sus componentes: a) b) c) d) e) f) De comando. Ejecutables. De complemento para aplicaciones. De control de perifricos o drivers. De sistema. De datos.
III. Por su estado de desarrollo: a) b) c) d) Core code o cdigo base. Demoware o programa de demostracin. Versiones beta o programas de prueba. Software V 1.0.0. programa comercializable.
IV. Por su destino: a) b) c) d) e) f) De investigacin y cientfico. Industrial. Gubernamental. Entretenimiento. Empresarial. Uso domstico.
Los dems programas de cmputo que, por analoga, puedan considerarse innovadores dentro de su medio, se incluirn dentro de las clasificaciones que les sean ms afines a su naturaleza. Los procedimientos operacionales sern regulados por el Reglamento del Registro Nacional de Programas de Cmputo. Artculo 11.- La aprobacin de los actos y contratos referidos en la presente Ley por parte de la Direccin General del Derecho de Autor y la inscripcin del programa de cmputo, son condiciones previas y esenciales para:

I. La validez y eficacia de cualquier tipo de negocio jurdico relacionado con software. II. La produccin de efectos fiscales, as como la legitimacin de pagos, crditos o remesas correspondientes, cuando sea el caso, sin perjuicio de otros requisitos y condiciones establecidas por ley. Artculo 12.- La inscripcin de programas de computadora quedar sin efecto, en cualquier momento: I. Por sentencia judicial tramitada en juzgado. II. Por acto administrativo, cuando quede comprobado que las informaciones presentadas por el interesado para presentar su pedido de registro no fueran verdicas. Artculo 13.-Las acciones de nulidad del registro podrn ser intentadas por cualquier interesado, ya sea particular o cualquier dependencia gubernamental. Artculo 14.-Para solicitar un pedido de registro de programa de cmputo, el autor deber presentar las siguientes informaciones: I. Ttulo del programa para computadora. II. Nombre civil, fecha de nacimiento, nacionalidad y domicilio del autor. III. Fecha de terminacin del programa para computadora. IV. Indicacin de la fecha y lugar del lanzamiento del programa. V. En el caso de un software resultante de modificaciones tecnolgicas y derivaciones, indicacin del programa que modifica o del que deriva, acompaando en este caso, el documento de autorizacin. VI. Indicacin de que el programa fue desarrollado por un particular, empleado, funcionario o prestador de servicios. VII. Indicacin de los lenguajes de programacin utilizados en el desarrollo del programa de cmputo.

Adems, en cualquier caso de solicitud de registro de programa para computadora, el requirente deber presentar los elementos esenciales para caracterizar la creacin independiente e identificar el programa, de manera que permita la lectura directamente por el hombre. Artculo 15.- No estarn sujetos a inscripcin, aquellos programas de cmputo: I. Importados por el usuario final para su uso exclusivo, en la forma de copia nica. II. Importados por el usuario final para su uso exclusivo, en asociacin a mquinas, equipos y dispositivos basados en tcnica digital. III. Residentes e integrados en mquinas, equipos y dispositivos basados en tcnica digital, siempre que esos programas no sean comercializados de manera separada de los productos que los contengan. Artculo 16.-Los programas de cmputo podrn ser inscritos de manera colectiva cuando constituyan un conjunto de programas destinados a una aplicacin especfica, recibiendo en este caso, un nico nmero de orden en el Registro Pblico del Derecho de Autor. Artculo 17.-La versin de un programa ya registrado deber ser tambin inscrita cuando presente caractersticas funcionales y condiciones de comercializacin diferentes de la versin anterior. Artculo 18.-La Direccin General del Derecho de Autor permitir el acceso a las informaciones de inters pblico que consten en el Registro de programas para computadora; siendo dichas informaciones las que a continuacin se enumeran: a) b) c) d) e) f) g) Nombre del programa de cmputo. Descripcin funcional de dicho programa. Nombre y domicilio del titular de la comercializacin en el pas. Clasificaciones dentro de las que podra encuadrarse. Categora, nmero de orden de registro y su validez. Ambiente de procesamiento Plazo de validez tcnica establecido por el titular de los derechos de comercializacin en el pas.
Artculo 19.-Cuando la transferencia de tecnologa haya sido resuelta de comn acuerdo entre las partes, se har necesario registrar los respectivos actos y contratos en el Instituto Mexicano de Propiedad Industrial (IMPI). En los

casos de programas de cmputo destinados a la aplicacin en reas de relevante inters estratgico o econmico, la Direccin General del Derecho de Autor podr condicionar el registro de los actos o contratos a la transferencia de la tecnologa correspondiente. Artculo 20.-Con el objeto de la creacin y posterior financiamiento del Fondo Nacional de Informtica (FNI), el 8% (ocho por ciento) de las erogaciones por costo de inscripcin de programas de cmputo en el Registro Pblico del Derecho de Autor sern destinadas a dicho Fondo. Captulo III DEL FONDO NACIONAL DE INFORMTICA Artculo 21.-El Fondo Nacional de Informtica (FNI) ser destinado a la financiacin de programas de: a) b) c) d) Investigacin y desarrollo de tecnologa de informtica. Formacin de recursos humanos en el rea de informtica. Equipamiento de Centros de Investigacin en Informtica. Transferencia y difusin de los hallazgos a la planta productiva, al sistema educativo y a la sociedad en general.
Artculo 22.- El Fondo Nacional de Informtica estar constituido por: a) b) c) d) Asignaciones del presupuesto. El 8% de los emolumentos por costo de inscripcin de software en el Registro Nacional de Programas de Cmputo. Cuotas de contribucin y derechos. Donaciones de origen interno o externo.
Artculo 23.-De manera paralela a este Fondo Nacional de Informtica, y como forma de incentivo, los organismos y entidades de la Administracin Pblica Directa o Indirecta, Fundaciones instituidas o mantenidas por el Poder Pblico y las dems entidades bajo control directo o indirecto del Poder Pblico, darn preferencia, en igualdad de condiciones, al uso de programas para computadora desarrollados en el pas por empresas pblicas o privadas nacionales.

Captulo IV DE LA COMERCIALIZACIN DEL SOFTWARE Artculo 24.- El titular de los derechos de programas de computacin y de su comercializacin es responsable ante el usuario por la calidad tcnica adecuada, as como por la calidad de fijacin o grabacin de los mismos en los respectivos soportes fsicos, cabiendo la accin regresiva contra eventuales titulares anteriores de esos mismos derechos. Artculo 25.- Los soportes fsicos de los programas de cmputo y sus embalajes respectivos, as como los contratos referidos, debern consignar de manera fcilmente legible por el usuario, el nmero de orden de registro y el plazo de validez tcnica de la versin comercializada. Artculo 26.-Durante el plazo de validez tcnica de la versin respectiva, el titular de los derechos de comercializacin queda obligado a: I. Divulgar, sin carga adicional, las correcciones de errores eventuales. II. Asegurar a los respectivos usuarios la prestacin de servicios tcnicos complementarios relativos al funcionamiento adecuado del programa de cmputo, considerando sus especificaciones y las particulares del usuario. III. No retirar dicho programa de la circulacin comercial sin indemnizar los perjuicios eventuales causados a terceros, y previa comunicacin de dicha salida a la Direccin General del Derecho de Autor. Artculo 27.-Cuando un programa para computadora presente una relacin de dependencia funcional con otro programa, ser necesario caracterizar claramente ante el usuario las responsabilidades individuales de los respectivos productores o titulares de los derechos de comercializacin en lo referente al funcionamiento conjunto adecuado de los programas. Artculo 28.- La explotacin econmica de los programas de cmputo en el pas, ser objeto de contratos de licencia o cesin efectuados libremente entre las partes, y en los que se fijar la responsabilidad por los pagos respectivos en lo referente a materia fiscal y tasas exigibles en el pas. En relacin a lo anterior, adems, se anularn las clusulas que:

a) b) c)
Fijen exclusividad. Limiten la produccin, distribucin y comercializacin. Eximan a cualquiera de los contratantes de responsabilidad por eventuales acciones de terceros en virtud de vicios, defectos o violacin de derechos de autor.
Artculo 29.-Como excepcin a lo previsto en el artculo anterior, el titular de los derechos de autor sobre un programa de cmputo conservar, an despus de la venta de ejemplares de los mismos, el derecho de autorizar o prohibir el arrendamiento de dichos ejemplares. Este precepto no se aplicar cuando el ejemplar del programa de computacin no constituya en s mismo un objeto esencial de la licencia de uso. Artculo 30.- Queda prohibida la importacin, fabricacin, distribucin y utilizacin de aparatos o la prestacin de servicios destinados a eliminar la proteccin tcnica de los programas de cmputo, de las transmisiones a travs del espectro electromagntico y de redes de telecomunicaciones y de los programas de elementos electrnicos, ya sean estos visuales, sonoros, tridimensionales o animados. Artculo 31.-Los programas, sus interpretaciones o ejecuciones transmitidos por medios electrnicos a travs del espectro electromagntico y de redes de telecomunicaciones, as como el resultado que se obtenga de dicha transmisin debern adecuarse a lo establecido por la legislacin mexicana. Artculo 32.-El derecho patrimonial sobre un programa de computacin comprende la facultad de autorizar o prohibir: I. La traduccin, la adaptacin, el arreglo o cualquier otra modificacin de un programa y la reproduccin del programa resultante. II. La reproduccin permanente o provisional del programa en todo o en parte, por cualquier medio y forma. III. Cualquier forma de distribucin del programa o de una copia del mismo, incluido el alquiler, y IV. La descompilacin, los procesos para revertir la ingeniera de un programa de computacin y el desensamblaje.

Artculo 33.-La obtencin de copias de un programa de computacin por parte del Registro Pblico del Derecho de Autor, slo se permitir mediante autorizacin del titular del derecho patrimonial o por mandamiento judicial. Captulo V DE LA COMPETENCIA Artculo 34.- Para los fines previstos en esta Ley, corresponde: I. A la Direccin General del Derecho de Autor decidir la forma del Reglamento Interno del Fondo Nacional de Informtica y del Reglamento Interno del Registro Nacional de Programas de Cmputo. II. A la Secretara de Educacin Pblica: a) Establecer normas a ser publicadas en el Diario Oficial de la Federacin, que reglamenten los procedimientos referentes al registro de programas de cmputo. b) Decidir sobre los recursos relativos al registro de programas de computacin. III. A la unidad administrativa correspondiente de la Secretara de Educacin Pblica, resolver los recursos administrativos de reconsideracin interpuestos ante las decisiones tomadas por la Direccin General de Derechos de Autor, o dependencias derivadas de sta. IV. A la Direccin General del Derecho de Autor, por conducto del Registro Nacional de Programas de Cmputo: a) Analizar, clasificar y decidir favorablemente sobre la inscripcin de programas para computadora. b) Analizar y aprobar actos y contratos relativos a la comercializacin de programas de cmputo desarrollados tanto por empresas nacionales como no nacionales. c) Analizar y aprobar proyectos de diseo y desarrollo de programas para computadora. d) Expresar su opinin, previamente, sobre cualquier importacin de programas para computadora.

V. Al Instituto Mexicano de Propiedad Industrial, analizar y registrar contratos de transferencia de tecnologa de programas para computadora. Captulo VI DE LAS PRESCRIPCIONES Artculo 35.-La responsabilidad civil derivada de la violacin a los derechos autorales de un programa de cmputo prescribe en 5 (cinco) aos. Artculo 36.-Prescriben tambin en 5 (cinco) aos las acciones fundamentadas en la falta de pago de las obligaciones respectivas, contando el plazo de la fecha: a) Que constituye el plazo final de validez tcnica de la versin comercializada. b) De la licencia de uso de programas de cmputo. c) De la terminacin de la garanta, en el caso de software desarrollado y elaborado por pedido. Captulo VII DE LAS SANCIONES Artculo 37.-Se impondr prisin de seis meses a seis aos y multa por el equivalente de cincuenta a quinientos das de salario mnimo, en los siguientes casos: I. Al que sin consentimiento del titular del derecho de autor, explote con fines de lucro un programa de cmputo registrado. II. A la persona que reproduzca, sin consentimiento del autor o sus causahabientes, un nmero mayor de los ejemplares autorizados o de los estipulados en el contrato. III. Al que sin autorizacin de la Federacin, los Estados o los Municipios, comercialice el software destinado para su servicio oficial. Artculo 38.- Se impondr prisin de ocho meses a cuatro aos al que importe, mantenga en depsito o exponga, para fines de comercializacin, programas de cmputo de origen externo no registrados. Lo dispuesto en el prrafo anterior, no se aplica a los programas destinados exclusivamente a la demostracin o

apreciacin de mercado en ferias o congresos de naturaleza tcnica, cientfica o industrial. Artculo 39.- Se impondr prisin de uno a cinco aos y multa por el equivalente de ochenta a seiscientos das de salario mnimo, en los casos siguientes: I. Al que modifique o altere sin autorizacin del creador, un programa de cmputo registrado. II. Al que publique compendios, adaptaciones, traducciones o modificaciones de programas de cmputo, sin la autorizacin del titular del derecho de autor sobre el programa original. III. Al que dolosamente emplee el ttulo de un programa que induzca a confusin con otro publicado con anterioridad. IV. Al que comercialice con el software de distribucin gratuita, sin autorizacin de su titular, adems de que en este caso en especfico, se deber reembolsar las regalas obtenidas por dicho comercializador. Artculo 40.- Se impondr prisin de treinta das a un ao o multa por el equivalente de cincuenta a trescientos das de salario mnimo, o ambas sanciones a juicio del juez, a quienes estando autorizados para comercializar un programa de cmputo, no consignen de manera legible la orden de registro y el plazo de validez tcnica de la versin comercializada del software en los soportes fsicos y sus respectivos embalajes, as como en los contratos. TRANSITORIOS PRIMERO.- El presente Decreto entrar en vigor a partir del da siguiente de su publicacin en el Diario Oficial de la Federacin. SEGUNDO.- Quedan revocadas las disposiciones en contrario existentes dentro de la legislacin mexicana. TERCERO.- Se concede a los titulares de programas de cmputo que estn siendo comercializados en el pas, un plazo de 180 (ciento ochenta) das a partir de la entrada en vigor de la presente ley, para inscribirlos en el Registro Nacional de Programas de Cmputo.

CUARTO.- La Direccin General del Derecho de Autor contar con un plazo de 30 (treinta) das para establecer los procedimientos operacionales previstos en la presente ley. 8.1.3. DERECHOS QUE SE CONFIEREN A TRAVES DE LA L.F.D.A (LEY FEDERAL DE DERECHOS DE AUTOR) Titulo I DISPOSICIONES GENERALES Captulo nico Artculo 1.-La presente Ley, reglamentaria del artculo 28 constitucional, tiene por objeto la salvaguarda y promocin del acervo cultural de la Nacin; proteccin de los derechos de los autores, de los artistas intrpretes o ejecutantes, as como de los editores, de los productores y de los organismos de radiodifusin, en relacin con sus obras literarias o artsticas en todas sus manifestaciones, sus interpretaciones o ejecuciones, sus ediciones, sus fonogramas o videogramas, sus emisiones, as como de los otros derechos de propiedad intelectual. Artculo 2.-Las disposiciones de esta Ley son de orden pblico, de inters social y de observancia general en todo el territorio nacional. Su aplicacin administrativa corresponde al Ejecutivo Federal por conducto del Instituto Nacional del Derecho de Autor y, en los casos previstos por esta Ley, del Instituto Mexicano de la Propiedad Industrial. Para los efectos de esta Ley se entender por Instituto, al Instituto Nacional del Derecho de Autor. Artculo 3.-Las obras protegidas por esta Ley son aquellas de creacin original susceptibles de ser divulgadas o reproducidas en cualquier forma o medio. Artculo 4.-Las obras objeto de proteccin pueden ser: A. Segn su autor: I. Conocido: Contienen la mencin del nombre, signo o firma con que se identifica a su autor. II. Annimas: Sin mencin del nombre, signo o firma que identifica al autor, bien por voluntad del mismo, bien por no ser posible tal identificacin.

III. Seudnimas: Las divulgadas con un nombre, signo o firma que no revele la identidad del autor; B. Segn su comunicacin: I. Divulgadas: Las que han sido hechas del conocimiento pblico por primera vez en cualquier forma o medio, bien en su totalidad, bien en parte, bien en lo esencial de su contenido o, incluso, mediante una descripcin de la misma; II. Inditas: Las no divulgadas, y III. Publicadas: a) Las que han sido editadas, cualquiera que sea el modo de reproduccin de los ejemplares, siempre que la cantidad de stos, puestos a disposicin del pblico, satisfaga razonablemente las necesidades de su explotacin, estimadas de acuerdo con la naturaleza de la obra. b) Las que han sido puestas a disposicin del pblico mediante su almacenamiento por medios electrnicos que permitan al pblico obtener ejemplares tangibles de la misma, cualquiera que sea la ndole de estos ejemplares. C. Segn su origen: I. Primigenias: Las que han sido creadas de origen sin estar basadas en otra preexistente, o que estando basadas en otra, sus caractersticas permitan afirmar su originalidad. II. Derivadas: Aquellas que resulten de la adaptacin, traduccin u otra transformacin de una obra primigenia. D. Segn los creadores que intervienen: I. Individuales: Las que han sido creadas por una sola persona. II. De colaboracin: Las que han sido creadas por varios autores. III. Colectivas: Las creadas por la iniciativa de una persona fsica o moral que las publica y divulga bajo su direccin y su nombre y en las cuales la contribucin personal de los diversos autores que han participado en su elaboracin se funde

en el conjunto con vistas al cual ha sido concebida, sin que sea posible atribuir a cada uno de ellos un derecho distinto e indiviso sobre el conjunto realizado. Artculo 5.-La proteccin que otorga esta Ley se concede a las obras desde el momento en que hayan sido fijadas en un soporte material, independientemente del mrito, destino o modo de expresin. El reconocimiento de los derechos de autor y de los derechos conexos no requiere registro ni documento de ninguna especie ni quedar subordinado al cumplimiento de formalidad alguna. Artculo 6.-Fijacin es la incorporacin de letras, nmeros, signos, sonidos, imgenes y dems elementos en que se haya expresado la obra, o de las representaciones digitales de aquellos, que en cualquier forma o soporte material, incluyendo los electrnicos, permita su percepcin, reproduccin u otra forma de comunicacin. Artculo 7.-Los extranjeros autores o titulares de derechos y sus causahabientes gozarn de los mismos derechos que los nacionales, en los trminos de la presente Ley y de los tratados internacionales en materia de derechos de autor y derechos conexos suscritos y aprobados por Mxico. Artculo 8.-Los artistas intrpretes o ejecutantes, los editores, los productores de fonogramas o videogramas y los organismos de radiodifusin que hayan realizado fuera del territorio nacional, respectivamente, la primera fijacin de sus interpretaciones o ejecuciones, sus ediciones, la primera fijacin de los sonidos de estas ejecuciones o de las imgenes de sus videogramas o la comunicacin de sus emisiones, gozarn de la proteccin que otorgan la presente Ley y los tratados internacionales en materia de derechos de autor y derechos conexos suscritos y aprobados por Mxico. Artculo 9.-Todos los plazos establecidos para determinar la proteccin que otorga la presente Ley se computarn a partir del 1 de enero del ao siguiente al respectivo en que se hubiera realizado el hecho utilizado para iniciar el cmputo, salvo que este propio ordenamiento establezca una disposicin en contrario. Artculo 10.-En lo no previsto en la presente Ley, se aplicar la legislacin mercantil, el Cdigo Civil para el Distrito Federal en Materia Comn y para toda la Repblica en Materia Federal y la Ley Federal del Procedimiento Administrativo. Titulo II

DEL DERECHO DE AUTOR Captulo I Reglas Generales Artculo 11.-El derecho de autor es el reconocimiento que hace el Estado en favor de todo creador de obras literarias y artsticas previstas en el artculo 13 de esta Ley, en virtud del cual otorga su proteccin para que el autor goce de prerrogativas y privilegios exclusivos de carcter personal y patrimonial. Los primeros integran el llamado derecho moral y los segundos, el patrimonial. Artculo 12.-Autor es la persona fsica que ha creado una obra literaria y artstica. Artculo 13.-Los derechos de autor a que se refiere esta Ley se reconocen respecto de las obras de las siguientes ramas: I. II. III. IV. V. VI. VII. VIII. IX. X. XI. XII. XIII. XIV. Literaria. Musical, con o sin letra. Dramtica. Danza. Pictrica o de dibujo Escultrica y de carcter plstico. Caricatura e historieta. Arquitectnica. Cinematogrfica y dems obras audiovisuales. Programas de radio y televisin. Programas de cmputo. Fotogrfica. Obras de arte aplicado que incluyen el diseo grfico o textil. De compilacin, integrada por las colecciones de obras, tales como las enciclopedias, las antologas, y de obras u otros elementos como las bases de datos, siempre que dichas colecciones, por su seleccin o la disposicin de su contenido o materias, constituyan una creacin intelectual.
Las dems obras que por analoga puedan considerarse obras literarias o artsticas se incluirn en la rama que les sea ms afn a su naturaleza. Artculo 14.-No son objeto de la proteccin como derecho de autor a que se refiere esta Ley:

I. Las ideas en s mismas, las frmulas, soluciones, conceptos, mtodos, sistemas, principios, descubrimientos, procesos e invenciones de cualquier tipo. II. El aprovechamiento industrial o comercial de las ideas contenidas en las obras. III. Los esquemas, planes o reglas para realizar actos mentales, juegos o negocios. IV. Las letras, los dgitos o los colores aislados, a menos que su estilizacin sea tal que las conviertan en dibujos originales. V. Los nombres y ttulos o frases aislados.
VI. Los simples formatos o formularios en blanco para ser llenados con cualquier tipo de informacin, as como sus instructivos. VII. Las reproducciones o imitaciones, sin autorizacin, de escudos, banderas o emblemas de cualquier pas, estado, municipio o divisin poltica equivalente, ni las denominaciones, siglas, smbolos o emblemas de organizaciones internacionales gubernamentales, no gubernamentales, de cualquier otra organizacin reconocida oficialmente, as como la designacin verbal de los mismos. VIII. Los textos legislativos, reglamentarios, administrativos o judiciales, as como sus traducciones oficiales. En caso de ser publicados, debern apegarse al texto oficial y no conferirn derecho exclusivo de edicin. Sin embargo, sern objeto de proteccin las concordancias, interpretaciones, estudios comparativos, anotaciones, comentarios y dems trabajos similares que entraen, por parte de su autor, la creacin de una obra original. IX. El contenido informativo de las noticias, pero s su forma de expresin.
X. La informacin de uso comn tal como los refranes, dichos, leyendas, hechos, calendarios y las escalas mtricas. Artculo 15.-Las obras literarias y artsticas publicadas en peridicos o revistas o transmitidas por radio, televisin u otros medios de difusin no pierden por ese hecho la proteccin legal.

Artculo 16.-La obra podr hacerse del conocimiento pblico mediante los actos que se describen a continuacin: I. Divulgacin: El acto de hacer accesible una obra literaria y artstica por cualquier medio al pblico, por primera vez, con lo cual deja de ser indita. II. Publicacin: La reproduccin de la obra en forma tangible y su puesta a disposicin del pblico mediante ejemplares, o su almacenamiento permanente o provisional por medios electrnicos, que permitan al pblico leerla o conocerla visual, tctil o auditivamente. III. Comunicacin pblica: Acto mediante el cual la obra se pone al alcance general, por cualquier medio o procedimiento que la difunda y que no consista en la distribucin de ejemplares. IV. Ejecucin o representacin pblica: Presentacin de una obra, por cualquier medio, a oyentes o espectadores sin restringirla a un grupo privado o crculo familiar. No se considera pblica la ejecucin o representacin que se hace de la obra dentro del crculo de una escuela o una institucin de asistencia pblica o privada, siempre y cuando no se realice con fines de lucro. V. Distribucin al pblico: Puesta a disposicin del pblico del original o copia de la obra mediante venta, arrendamiento y, en general, cualquier otra forma. VI. Reproduccin: La realizacin de uno o varios ejemplares de una obra, de un fonograma o de un videograma, en cualquier forma tangible, incluyendo cualquier almacenamiento permanente o temporal por medios electrnicos, aunque se trate de la realizacin bidimensional de una obra tridimensional o viceversa. Artculo 17.-Las obras protegidas por esta Ley que se publiquen, debern ostentar la expresin Derechos Reservados, o su abreviatura D. R., seguida del smbolo ; el nombre completo y direccin del titular del derecho de autor y el ao de la primera publicacin. Estas menciones debern aparecer en sitio visible. La omisin de estos requisitos no implica la prdida de los derechos de autor, pero sujeta al licenciatario o editor responsable a las sanciones establecidas en la Ley.

Captulo II DE LOS DERECHOS MORALES Artculo 18.-El autor es el nico, primigenio y perpetuo titular de los derechos morales sobre las obras de su creacin. Artculo 19.-El derecho moral se considera unido al autor y es inalienable, imprescriptible, irrenunciable e inembargable. Artculo 20.-Corresponde el ejercicio del derecho moral, al propio creador de la obra y a sus herederos. En ausencia de stos, o bien en caso de obras del dominio pblico, annimas o de las protegidas por el Ttulo VII de la presente Ley, el Estado los ejercer conforme al artculo siguiente, siempre y cuando se trate de obras de inters para el patrimonio cultural nacional. Artculo 21.-Los titulares de los derechos morales podrn en todo tiempo: I. Determinar si su obra ha de ser divulgada y en qu forma, o la de mantenerla indita. II. Exigir el reconocimiento de su calidad de autor respecto de la obra por l creada y la de disponer que su divulgacin se efecte como obra annima o seudnima. III. Exigir respeto a la obra, oponindose a cualquier deformacin, mutilacin u otra modificacin de ella, as como a toda accin o atentado a la misma que cause demrito de ella o perjuicio a la reputacin de su autor. IV. V. Modificar su obra. Retirar su obra del comercio.
VI. Oponerse a que se le atribuya al autor una obra que no es de su creacin. Cualquier persona a quien se pretenda atribuir una obra que no sea de su creacin podr ejercer la facultad a que se refiere esta fraccin. Los herederos slo podrn ejercer las facultades establecidas en las fracciones I, II, III y VI del presente artculo y el Estado, en su caso, slo podr hacerlo respecto de las establecidas en las fracciones III y VI del presente artculo.

Artculo 22.-Salvo pacto en contrario entre los coautores, el director o realizador de la obra, tiene el ejercicio de los derechos morales sobre la obra audiovisual en su conjunto, sin perjuicio de los que correspondan a los dems coautores en relacin con sus respectivas contribuciones, ni de los que puede ejercer el productor de conformidad con la presente Ley y de lo establecido por su artculo 99. Artculo 23.-Salvo pacto en contrario, se entiende que los autores que aporten obras para su utilizacin en anuncios publicitarios o de propaganda, han autorizado la omisin del crdito autoral durante la utilizacin o explotacin de las mismas, sin que esto implique renuncia a los derechos morales. Captulo III DE LOS DERECHOS PATRIMONIALES Artculo 24.- En virtud del derecho patrimonial, corresponde al autor el derecho de explotar de manera exclusiva sus obras, o de autorizar a otros su explotacin, en cualquier forma, dentro de los lmites que establece la presente Ley y sin menoscabo de la titularidad de los derechos morales a que se refiere el artculo 21 de la misma. Artculo 25.-Es titular del derecho patrimonial el autor, heredero o el adquirente por cualquier ttulo. Artculo 26.-El autor es el titular originario del derecho patrimonial y sus herederos o causahabientes por cualquier ttulo sern considerados titulares derivados. Artculo 26 bis.-El autor y su causahabiente gozarn del derecho a percibir una regala por la comunicacin o transmisin pblica de su obra por cualquier medio. El derecho del autor es irrenunciable. Esta regala ser pagada directamente por quien realice la comunicacin o transmisin pblica de las obras directamente al autor, o a la sociedad de gestin colectiva que los represente, con sujecin a lo previsto por los Artculos 200 y 202 Fracciones V y VI de la Ley. El importe de las regalas deber convenirse directamente entre el autor, o en su caso, la Sociedad de Gestin Colectiva que corresponda y las personas que realicen la comunicacin o transmisin pblica de las obras en trminos del Artculo 27 Fracciones II y III de esta Ley. A falta de convenio el Instituto deber establecer una tarifa conforme al procedimiento previsto en el Artculo 212 de esta Ley.

Artculo 27.-Los titulares de los derechos patrimoniales podrn autorizar o prohibir: I. La reproduccin, publicacin, edicin o fijacin material de una obra en copias o ejemplares, efectuada por cualquier medio ya sea impreso, fonogrfico, grfico, plstico, audiovisual, electrnico, fotogrfico u otro similar. II. La comunicacin pblica de su obra a travs de cualquiera de las siguientes maneras: a) La representacin, recitacin y ejecucin pblica en el caso de las obras literarias y artsticas. b) La exhibicin pblica por cualquier medio o procedimiento, en el caso de obras literarias y artsticas. c) El acceso pblico por medio de la telecomunicacin. III. La transmisin pblica o radiodifusin de sus obras, en cualquier modalidad, incluyendo la transmisin o retransmisin de las obras por: a) b) c) d) e) Cable. Fibra ptica. Microondas. Va satlite. Cualquier otro medio conocido o por conocerse.
IV. La distribucin de la obra, incluyendo la venta u otras formas de transmisin de la propiedad de los soportes materiales que la contengan, as como cualquier forma de transmisin de uso o explotacin. Cuando la distribucin se lleve a cabo mediante venta, este derecho de oposicin se entender agotado efectuada la primera venta, salvo en el caso expresamente contemplado en el artculo 104 de esta Ley. V. La importacin al territorio nacional de copias de la obra hechas sin su autorizacin. VII. La divulgacin de obras derivadas, en cualquiera de sus modalidades, tales como la traduccin, adaptacin, parfrasis, arreglos y transformaciones. VIII. Cualquier utilizacin pblica de la obra salvo en los casos expresamente establecidos en esta Ley.

Artculo 28.-Las facultades a las que se refiere el artculo anterior, son independientes entre s y cada una de las modalidades de explotacin tambin lo son. Artculo 29.-Los derechos patrimoniales estarn vigentes durante: I. La vida del autor y, a partir de su muerte, cien aos ms. Cuando la obra le pertenezca a varios coautores los cien aos se contarn a partir de la muerte del ltimo. II. Cien aos despus de divulgadas. Si el titular del derecho patrimonial distinto del autor muere sin herederos la facultad de explotar o autorizar la explotacin de la obra corresponder al autor y, a falta de ste, corresponder al Estado por conducto del Instituto, quien respetar los derechos adquiridos por terceros con anterioridad. Pasados los trminos previstos en las fracciones de este artculo, la obra pasar al dominio pblico. Titulo III DE LA TRANSMISIN DE LOS DERECHOS PATRIMONIALES Captulo I Disposiciones Generales Artculo 30.- El titular de los derechos patrimoniales puede, libremente, conforme a lo establecido por esta Ley, transferir sus derechos patrimoniales u otorgar licencias de uso exclusivas o no exclusivas. Toda transmisin de derechos patrimoniales de autor ser onerosa y temporal. En ausencia de acuerdo sobre el monto de la remuneracin o del procedimiento para fijarla, as como sobre los trminos para su pago, la determinarn los tribunales competentes. Los actos, convenios y contratos por los cuales se transmitan derechos patrimoniales y las licencias de uso debern celebrarse, invariablemente, por escrito, de lo contrario sern nulos de pleno derecho. Artculo 31.-Toda transmisin de derechos patrimoniales deber prever en favor del autor o del titular del derecho patrimonial, en su caso, una participacin

proporcional en los ingresos de la explotacin de que se trate, o una remuneracin fija y determinada. Este derecho es irrenunciable. Artculo 32.-Los actos, convenios y contratos por los cuales se transmitan derechos patrimoniales debern inscribirse en el Registro Pblico del Derecho de Autor para que surtan efectos contra terceros. Artculo 33.- A falta de estipulacin expresa, toda transmisin de derechos patrimoniales se considera por el trmino de 5 aos. Solo podr pactarse excepcionalmente por ms de 15 aos cuando la naturaleza de la obra o la magnitud de la inversin requerida as lo justifiquen. Artculo 34.-La produccin de obra futura slo podr ser objeto de contrato cuando se trate de obra determinada cuyas caractersticas deben quedar establecidas en l. Son nulas la transmisin global de obra futura, as como las estipulaciones por las que el autor se comprometa a no crear obra alguna. Artculo 35.-La licencia en exclusiva deber otorgarse expresamente con tal carcter y atribuir al licenciatario, salvo pacto en contrario, la facultad de explotar la obra con exclusin de cualquier otra persona y la de otorgar autorizaciones no exclusivas a terceros. Artculo 36.-La licencia en exclusiva obliga al licenciatario a poner todos los medios necesarios para la efectividad de la explotacin concedida, segn la naturaleza de la obra y los usos y costumbres en la actividad profesional, industrial o comercial de que se trate. Artculo 37.-Los actos, convenios y contratos sobre derechos patrimoniales que se formalicen ante notario, corredor pblico o cualquier fedatario pblico y que se encuentren inscritos en el Registro Pblico del Derecho de Autor, traern aparejada ejecucin.
Artculo 38.-El derecho de autor no est ligado a la propiedad del objeto material en el que la obra est incorporada. Salvo pacto expreso en contrario, la enajenacin por el autor o su derechohabiente del soporte material que contenga una obra, no transferir al adquirente ninguno de los derechos patrimoniales sobre tal obra. Artculo 39.-La autorizacin para difundir una obra protegida, por radio, televisin o cualquier otro medio semejante, no comprende la de redifundirla ni explotarla.

Artculo 40.-Los titulares de los derechos patrimoniales de autor y de los derechos conexos podrn exigir una remuneracin compensatoria por la realizacin de cualquier copia o reproduccin hecha sin su autorizacin y sin estar amparada por alguna de las limitaciones previstas en los artculos 148 y 151 de la presente Ley. Artculo 41.-Los derechos patrimoniales no son embargables ni pignorables aunque pueden ser objeto de embargo o prenda los frutos y productos que se deriven de su ejercicio. Captulo II DEL CONTRATO DE EDICIN DE OBRA LITERARIA Artculo 42.-Hay contrato de edicin de obra literaria cuando el autor o el titular de los derechos patrimoniales, en su caso, se obliga a entregar una obra a un editor y ste, a su vez, se obliga a reproducirla, distribuirla y venderla cubriendo al titular del derecho patrimonial las prestaciones convenidas. Las partes podrn pactar que la distribucin y venta sean realizadas por terceros, as como convenir sobre el contenido del contrato de edicin, salvo los derechos irrenunciables establecidos por esta Ley. Artculo 43.-Como excepcin a lo previsto por el artculo 33 de la presente Ley, el plazo de la cesin de derechos de obra literaria no estar sujeta a limitacin alguna. Artculo 44.-El contrato de edicin de una obra no implica la transmisin de los dems derechos patrimoniales del titular de la misma. Artculo 45.-El editor no podr publicar la obra con abreviaturas, adiciones, supresiones o cualesquiera otras modificaciones, sin consentimiento escrito del autor. Artculo 46.-El autor conservar el derecho de hacer a su obra las correcciones, enmiendas, adiciones o mejoras que estime convenientes antes de que la obra entre en prensa. Cuando las modificaciones hagan ms onerosa la edicin, el autor estar obligado a resarcir los gastos que por ese motivo se originen, salvo pacto en contrario.

Artculo 47.-El contrato de edicin deber contener como mnimo los siguientes elementos: I. II. III. El nmero de ediciones o, en su caso, reimpresiones, que comprende. La cantidad de ejemplares de que conste cada edicin. Si la entrega del material es o no en exclusiva.
IV. La remuneracin que deba percibir el autor o el titular de los derechos patrimoniales. Artculo 48.-Salvo pacto en contrario, los gastos de edicin, distribucin, promocin, publicidad, propaganda o de cualquier otro concepto, sern por cuenta del editor. Artculo 49.-El editor que hubiere hecho la edicin de una obra tendr el derecho de preferencia en igualdad de condiciones para realizar la siguiente edicin. Artculo 50.-Si no existe convenio respecto al precio que los ejemplares deben tener para su venta, el editor estar facultado para fijarlo. Artculo 51.-Salvo pacto en contrario, el derecho de editar separadamente una o varias obras del mismo autor no confiere al editor el derecho para editarlas en conjunto. El derecho de editar en conjunto las obras de un autor no confiere al editor la facultad de editarlas separadamente. Artculo 52.-Son obligaciones del autor o del titular del derecho patrimonial: I. Entregar al editor la obra en los trminos y condiciones contenidos en el contrato. II. Responder ante el editor de la autora y originalidad de la obra, as como del ejercicio pacfico de los derechos que le hubiera transmitido. Artculo 53.-Los editores deben hacer constar en forma y lugar visibles de las obras que publiquen, los siguientes datos: I. II. Nombre, denominacin o razn social y domicilio del editor. Ao de la edicin o reimpresin.

III. Nmero ordinal que corresponde a la edicin o reimpresin, cuando esto sea posible. IV. Nmero Internacional Normalizado del Libro (ISBN), o el Nmero Internacional Normalizado para Publicaciones Peridicas (ISSN), en caso de publicaciones peridicas. Artculo 54.-Los impresores deben hacer constar en forma y lugar visible de las obras que impriman: I. II. III. Su nombre, denominacin o razn social. Su domicilio. La fecha en que se termin de imprimir.
Artculo 55.-Cuando en el contrato de edicin no se haya estipulado el trmino dentro del cual deba quedar concluida la edicin y ser puestos a la venta los ejemplares, se entender que este trmino es de un ao contado a partir de la entrega de la obra lista para su edicin. Una vez transcurrido este lapso sin que el editor haya hecho la edicin, el titular de los derechos patrimoniales podr optar entre exigir el cumplimiento del contrato o darlo por terminado mediante aviso escrito al editor. En uno y otros casos, el editor resarcir al titular de los derechos patrimoniales los daos y perjuicios causados. El trmino para poner a la venta los ejemplares no podr exceder de dos aos, contado a partir del momento en que se pone la obra a disposicin del editor. Artculo 56.-El contrato de edicin terminar, cualquiera que sea el plazo estipulado para su duracin, si la edicin objeto del mismo se agotase, sin perjuicio de las acciones derivadas del propio contrato, o si el editor no distribuyese la obra en los trminos pactados. Se entender agotada una edicin, cuando el editor carezca de los ejemplares de la misma para atender la demanda del pblico. Artculo 57.-Toda persona fsica o moral que publique una obra est obligada a mencionar el nombre del autor o el seudnimo en su caso. Si la obra fuere annima se har constar. Cuando se trate de traducciones, compilaciones, adaptaciones u otras versiones se har constar adems, el nombre de quien la realiza.

Captulo III DEL CONTRATO DE EDICIN DE OBRA MUSICAL Artculo 58.-El contrato de edicin de obra musical es aqul por el que el autor o el titular del derecho patrimonial, en su caso, cede al editor el derecho de reproduccin y lo faculta para realizar la fijacin y reproduccin fonomecnica de la obra, su sincronizacin audiovisual, comunicacin pblica, traduccin, arreglo o adaptacin y cualquier otra forma de explotacin que se encuentre prevista en el contrato; y el editor se obliga por su parte, a divulgar la obra por todos los medios a su alcance, recibiendo como contraprestacin una participacin en los beneficios econmicos que se obtengan por la explotacin de la obra, segn los trminos pactados. Sin embargo, para poder realizar la sincronizacin audiovisual, la adaptacin con fines publicitarios, la traduccin, arreglo o adaptacin el editor deber contar, en cada caso especfico, con la autorizacin expresa del autor o de sus causahabientes. Artculo 59.-Son causas de rescisin, sin responsabilidad para el autor o el titular del derecho patrimonial: I. Que el editor no haya iniciado la divulgacin de la obra dentro del trmino sealado en el contrato. II. Que el editor incumpla su obligacin de difundir la obra en cualquier tiempo sin causa justificada. III. Que la obra materia del contrato no haya producido beneficios econmicos a las partes en el trmino de tres aos, caso en el que tampoco habr responsabilidad para el editor. Artculo 60.-Son aplicables al contrato de edicin musical las disposiciones del contrato de edicin de obra literaria en todo aquello que no se oponga a lo dispuesto en el presente captulo. Captulo IV DEL CONTRATO DE REPRESENTACIN ESCNICA

Artculo 61.-Por medio del contrato de representacin escnica el autor o el titular del derecho patrimonial, en su caso, concede a una persona fsica o moral, llamada empresario, el derecho de representar o ejecutar pblicamente una obra literaria, musical, literario musical, dramtica, dramtico musical, de danza, pantommica o coreogrfica, por una contraprestacin pecuniaria; y el empresario se obliga a llevar a efecto esa representacin en las condiciones convenidas y con arreglo a lo dispuesto en esta Ley. El contrato deber especificar si el derecho se concede en exclusiva o sin ella y, en su caso, las condiciones y caractersticas de las puestas en escena o ejecuciones. Artculo 62.-Si no quedara asentado en el contrato de representacin escnica el perodo durante el cual se representar o ejecutar la obra al pblico, se entender que es por un ao. Artculo 63.-Son obligaciones del empresario: I. Asegurar la representacin o la ejecucin pblica en las condiciones pactadas. II. Garantizar al autor, al titular de los derechos patrimoniales o a sus representantes el acceso gratuito a la misma. III. Satisfacer al titular de los derechos patrimoniales la remuneracin convenida. Artculo 64.-Salvo pacto en contrario, el contrato de representacin escnica suscrito entre el autor y el empresario autoriza a ste a representar la obra en todo el territorio de la Repblica Mexicana. Artculo 65.-Son aplicables al contrato de representacin escnica las disposiciones del contrato de edicin de obra literaria en todo aquello que no se oponga a lo dispuesto en el presente captulo. Captulo V DEL CONTRATO DE RADIODIFUSIN

Artculo 66.-Por el contrato de radiodifusin el autor o el titular de los derechos patrimoniales, en su caso, autoriza a un organismo de radiodifusin a transmitir una obra. Las disposiciones aplicables a las transmisiones de estos organismos resultarn aplicables, en lo conducente, a las efectuadas por cable, fibra ptica, ondas radioelctricas, satlite o cualquier otro medio anlogo, que hagan posible la comunicacin remota al pblico de obras protegidas. Artculo 67.-Son aplicables al contrato de radiodifusin las disposiciones del contrato de edicin de obra literaria en todo aquello que no se oponga a lo dispuesto por el presente captulo. Captulo VI DEL CONTRATO DE PRODUCCIN AUDIOVISUAL Artculo 68.-Por el contrato de produccin audiovisual, los autores o los titulares de los derechos patrimoniales, en su caso, ceden en exclusiva al productor los derechos patrimoniales de reproduccin, distribucin, comunicacin pblica y subtitulada de la obra audiovisual, salvo pacto en contrario. Se exceptan de lo anterior las obras musicales. Artculo 69.-Cuando la aportacin de un autor no se completase por causa de fuerza mayor, el productor podr utilizar la parte ya realizada, respetando los derechos de aqul sobre la misma, incluso el del anonimato, sin perjuicio, de la indemnizacin que proceda. Artculo 70.-Caducarn de pleno derecho los efectos del contrato de produccin, si la realizacin de la obra audiovisual no se inicia en el plazo estipulado por las partes o por fuerza mayor. Artculo 71.-Se considera terminada la obra audiovisual cuando, de acuerdo con lo pactado entre el director realizador por una parte, y el productor por la otra, se haya llegado a la versin definitiva. Artculo 72.-Son aplicables al contrato de produccin audiovisual las disposiciones del contrato de edicin de obra literaria en todo aquello que no se oponga a lo dispuesto en el presente captulo. Captulo VII

DE LOS CONTRATOS PUBLICITARIOS Artculo 73.-Son contratos publicitarios los que tengan por finalidad la explotacin de obras literarias o artsticas con fines de promocin o identificacin en anuncios publicitarios o de propaganda a travs de cualquier medio de comunicacin. Artculo 74.-Los anuncios publicitarios o de propaganda podrn ser difundidos hasta por un perodo mximo de seis meses a partir de la primera comunicacin. Pasado este trmino, su comunicacin deber retribuirse, por cada perodo adicional de seis meses, aun cuando slo se efecte en fracciones de ese perodo, al menos con una cantidad igual a la contratada originalmente. Despus de transcurridos tres aos desde la primera comunicacin, su uso requerir la autorizacin de los autores y de los titulares de los derechos conexos de las obras utilizadas. Artculo 75.-En el caso de publicidad en medios impresos, el contrato deber precisar el soporte o soportes materiales en los que se reproducir la obra y, si se trata de folletos o medios distintos de las publicaciones peridicas, el nmero de ejemplares de que constar el tiraje. Cada tiraje adicional deber ser objeto de un acuerdo expreso. Articulo 76.-Son aplicables a los contratos publicitarios las disposiciones del contrato de edicin de obra literaria, de obra musical y de produccin audiovisual en todo aquello que no se oponga a lo dispuesto en el presente captulo. TITULO IV DE LA PROTECCIN AL DERECHO DE AUTOR Captulo I Disposiciones Generales Artculo 77.-La persona cuyo nombre o seudnimo, conocido o registrado, aparezca como autor de una obra, ser considerada como tal, salvo prueba en contrario y, en consecuencia, se admitirn por los tribunales competentes las acciones que entable por transgresin a sus derechos. Respecto de las obras firmadas bajo seudnimo o cuyos autores no se hayan dado a conocer, las acciones para proteger el derecho correspondern a la persona que las haga del conocimiento pblico con el consentimiento del autor,

quien tendr las responsabilidades de un gestor, hasta en cuanto el titular de los derechos no comparezca en el juicio respectivo, a no ser que existiera convenio previo en contrario. Artculo 78.-Las obras derivadas, tales como arreglos, compendios, ampliaciones, traducciones, adaptaciones, parfrasis, compilaciones, colecciones y transformaciones de obras literarias o artsticas, sern protegidas en lo que tengan de originales, pero slo podrn ser explotadas cuando hayan sido autorizadas por el titular del derecho patrimonial sobre la obra primigenia, previo consentimiento del titular del derecho moral, en los casos previstos en la Fraccin III del Artculo 21 de la Ley. Cuando las obras derivadas sean del dominio pblico, sern protegidas en lo que tengan de originales, pero tal proteccin no comprender el derecho al uso exclusivo de la obra primigenia, ni dar derecho a impedir que se hagan otras versiones de la misma. Artculo 79.-El traductor o el titular de los derechos patrimoniales de la traduccin de una obra que acredite haber obtenido la autorizacin del titular de los derechos patrimoniales para traducirla gozar, con respecto de la traduccin de que se trate, de la proteccin que la presente Ley le otorga. Por lo tanto, dicha traduccin no podr ser reproducida, modificada, publicada o alterada, sin consentimiento del traductor. Cuando una traduccin se realice en los trminos del prrafo anterior, y presente escasas o pequeas diferencias con otra traduccin, se considerar como simple reproduccin. Artculo 80.-En el caso de las obras hechas en coautora, los derechos otorgados por esta Ley, correspondern a todos los autores por partes iguales, salvo pacto en contrario o que se demuestre la autora de cada uno. Para ejercitar los derechos establecidos por esta Ley, se requiere el consentimiento de la mayora de los autores, mismo que obliga a todos. En su caso, la minora no est obligada a contribuir a los gastos que se generen, sino con cargo a los beneficios que se obtengan. Cuando la mayora haga uso o explote la obra, deducir de la percepcin total, el importe de los gastos efectuados y entregar a la minora la participacin que corresponda. Cuando la parte realizada por cada uno de los autores sea claramente identificable, stos podrn libremente ejercer los derechos a que se refiere esta Ley en la parte que les corresponda. Salvo pacto en contrario, cada uno de los coautores de una obra podrn solicitar la inscripcin de la obra completa. Muerto

alguno de los coautores o titulares de los derechos patrimoniales, sin herederos, su derecho acrecer el de los dems. Artculo 81.-Salvo pacto en contrario, el derecho de autor sobre una obra con msica y letra pertenecer, por partes iguales al autor de la parte literaria y al de la parte musical. Cada uno de ellos, podr libremente ejercer los derechos de la parte que le corresponda o de la obra completa y, en este ltimo caso, deber dar aviso en forma indubitable al coautor, mencionando su nombre en la edicin, adems de abonarle la parte que le corresponda cuando lo haga con fines lucrativos. Artculo 82.- Quienes contribuyan con artculos a peridicos, revistas, programas de radio o televisin u otros medios de difusin, salvo pacto en contrario, conservan el derecho de editar sus artculos en forma de coleccin, despus de haber sido transmitidos o publicados en el peridico, la revista o la estacin en que colaboren. Artculo 83.-Salvo pacto en contrario, la persona fsica o moral que comisione la produccin de una obra o que la produzca con la colaboracin remunerada de otras, gozar de la titularidad de los derechos patrimoniales sobre la misma y le correspondern las facultades relativas a la divulgacin, integridad de la obra y de coleccin sobre este tipo de creaciones. La persona que participe en la realizacin de la obra, en forma remunerada, tendr el derecho a que se le mencione expresamente su calidad de autor, artista, intrprete o ejecutante sobre la parte o partes en cuya creacin haya participado. Artculo 83 bis.- Adicionalmente a lo establecido en el Artculo anterior, la persona que participe en la realizacin de una obra musical en forma remunerada, tendr el derecho al pago de regalas que se generen por la comunicacin o transmisin pblica de la obra, en trminos de los Artculos 26 bis y 117 bis de esta Ley. Para que una obra se considere realizada por encargo, los trminos del contrato debern ser claros y precisos, en caso de duda, prevalecer la interpretacin ms favorable al autor. El autor tambin est facultado para elaborar su contrato cuando se le solicite una obra por encargo. Artculo 84.-Cuando se trate de una obra realizada como consecuencia de una relacin laboral establecida a travs de un contrato individual de trabajo que conste por escrito, a falta de pacto en contrario, se presumir que los derechos patrimoniales se dividen por partes iguales entre empleador y empleado.

El empleador podr divulgar la obra sin autorizacin del empleado, pero no al contrario. A falta de contrato individual de trabajo por escrito, los derechos patrimoniales correspondern al empleado. Captulo II DE LAS OBRAS FOTOGRFICAS, PLSTICAS Y GRFICAS Artculo 85.-Salvo pacto en contrario, se considerar que el autor que haya enajenado su obra pictrica, escultrica y de artes plsticas en general, no ha concedido al adquirente el derecho de reproducirla, pero s el de exhibirla y el de plasmarla en catlogos. En todo caso, el autor podr oponerse al ejercicio de estos derechos, cuando la exhibicin se realice en condiciones que perjudiquen su honor o reputacin profesional. Artculo 86.-Los fotgrafos profesionales slo pueden exhibir las fotografas realizadas bajo encargo como muestra de su trabajo, previa autorizacin. Lo anterior no ser necesario cuando los fines sean culturales, educativos, o de publicaciones sin fines de lucro. Artculo 87.-El retrato de una persona slo puede ser usado o publicado, con su consentimiento expreso, o bien con el de sus representantes o los titulares de los derechos correspondientes. La autorizacin de usar o publicar el retrato podr revocarse por quien la otorg quin, en su caso, responder por los daos y perjuicios que pudiera ocasionar dicha revocacin. Cuando a cambio de una remuneracin, una persona se dejare retratar, se presume que ha otorgado el consentimiento a que se refiere el prrafo anterior y no tendr derecho a revocarlo, siempre que se utilice en los trminos y para los fines pactados. No ser necesario el consentimiento a que se refiere este artculo cuando se trate del retrato de una persona que forme parte menor de un conjunto o la fotografa sea tomada en un lugar pblico y con fines informativos o periodsticos. Los derechos establecidos para las personas retratadas durarn 50 aos despus de su muerte. Artculo 88.-Salvo pacto en contrario, el derecho exclusivo a reproducir una obra pictrica, fotogrfica, grfica o escultrica no incluye el derecho a reproducirla en cualquier tipo de artculo as como la promocin comercial de ste.

Artculo 89.-La obra grfica y fotogrfica en serie es aquella que resulta de la elaboracin de varias copias a partir de una matriz hecha por el autor. Artculo 90.-Para los efectos de esta Ley, los ejemplares de obra grfica y fotogrfica en serie debidamente firmados y numerados se consideran como originales. Artculo 91.-A las esculturas que se realicen en serie limitada y numerada a partir de un molde se les aplicarn las disposiciones de este captulo. Artculo 92.-Salvo pacto en contrario, el autor de una obra de arquitectura no podr impedir que el propietario de sta le haga modificaciones, pero tendr la facultad de prohibir que su nombre sea asociado a la obra alterada. Artculo 92 bis.-Los autores de obras de artes plsticas y fotogrficas tendrn derecho a percibir del vendedor una participacin en el precio de toda reventa que de las mismas se realice en pblica subasta, en establecimiento mercantil, o con la intervencin de un comerciante o agente mercantil, con excepcin de las obras de arte aplicado. I. La mencionada participacin de los autores ser fijada por el Instituto en los trminos del Artculo 212 de la Ley. II. El derecho establecido en este Artculo es irrenunciable, se transmitir nicamente por sucesin mortis causa y se extinguir transcurridos cien aos a partir de la muerte o de la declaracin de fallecimiento del autor. III. Los subastadores, titulares de establecimientos mercantiles, o agentes mercantiles que hayan intervenido en la reventa debern notificarla a la sociedad de gestin colectiva correspondiente o, en su caso, al autor o sus derechohabientes, en el plazo de dos meses, y facilitarn la documentacin necesaria para la prctica de la correspondiente liquidacin. Asimismo, cuando acten por cuenta o encargo del vendedor, respondern solidariamente con ste del pago del derecho, a cuyo efecto retendrn del precio la participacin que proceda. En todo caso, se considerarn depositarios del importe de dicha participacin. IV. El mismo derecho se aplicar respecto de los manuscritos originales de las obras literarias y artsticas. Artculo 93.-Las disposiciones de este captulo sern vlidas para las obras de arte aplicado en lo que tengan de originales. No ser objeto de proteccin el uso que se d a las mismas.

Captulo III DE LA OBRA CINEMATOGRFICA Y AUDIOVISUAL Artculo 94.-Se entiende por obras audiovisuales las expresadas mediante una serie de imgenes asociadas, con o sin sonorizacin incorporada, que se hacen perceptibles, mediante dispositivos tcnicos, produciendo la sensacin de movimiento. Artculo 95.-Sin perjuicio de los derechos de los autores de las obras adaptadas o incluidas en ella, la obra audiovisual, ser protegida como obra primigenia.
Artculo 96.-Los titulares de los derechos patrimoniales podrn disponer de sus respectivas aportaciones a la obra audiovisual para explotarlas en forma aislada, siempre que no se perjudique la normal explotacin de dicha obra. Artculo 97.-Son autores de las obras audiovisuales: I. II. III. IV. V. El director realizador. Los autores del argumento, adaptacin, guin o dilogo. Los autores de las composiciones musicales. El fotgrafo. Los autores de las caricaturas y de los dibujos animados.
VI. Salvo pacto en contrario, se considera al productor como el titular de los derechos patrimoniales de la obra en su conjunto. Artculo 98.-Es productor de la obra audiovisual la persona fsica o moral que tiene la iniciativa, la coordinacin y la responsabilidad en la realizacin de una obra, o que la patrocina. Artculo 99.-Salvo pacto en contrario, el contrato que se celebre entre el autor o los titulares de los derechos patrimoniales, en su caso, y el productor, no implica la

cesin ilimitada y exclusiva a favor de ste de los derechos patrimoniales sobre la obra audiovisual. Una vez que los autores o los titulares de derechos patrimoniales se hayan comprometido a aportar sus contribuciones para la realizacin de la obra audiovisual, no podrn oponerse a la reproduccin, distribucin, representacin y ejecucin pblica, transmisin por cable, radiodifusin, comunicacin al pblico, subtitulado y doblaje de los textos de dicha obra. Sin perjuicio de los derechos de los autores, el productor puede llevar a cabo todas las acciones necesarias para la explotacin de la obra audiovisual. Artculo 100.-Las disposiciones contenidas en el presente captulo se aplicarn en lo pertinente a las obras de radiodifusin. Captulo IV DE LOS PROGRAMAS DE COMPUTACIN Y LAS BASES DE DATOS Artculo 101.-Se entiende por programa de computacin la expresin original en cualquier forma, lenguaje o cdigo, de un conjunto de instrucciones que, con una secuencia, estructura y organizacin determinada, tiene como propsito que una computadora o dispositivo realice una tarea o funcin especfica. Artculo 102.-Los programas de computacin se protegen en los mismos trminos que las obras literarias. Dicha proteccin se extiende tanto a los programas operativos como a los programas aplicativos, ya sea en forma de cdigo fuente o de cdigo objeto. Se exceptan aquellos programas de cmputo que tengan por objeto causar efectos nocivos a otros programas o equipos. Artculo 103.- Salvo pacto en contrario, los derechos patrimoniales sobre un programa de computacin y su documentacin, cuando hayan sido creados por uno o varios empleados en el ejercicio de sus funciones o siguiendo las instrucciones del empleador, corresponden a ste. Como excepcin a lo previsto por el artculo 33 de la presente Ley, el plazo de la cesin de derechos en materia de programas de computacin no est sujeto a limitacin alguna. Artculo 104.- Como excepcin a lo previsto en el artculo 27 fraccin IV, el titular de los derechos de autor sobre un programa de computacin o sobre una base de datos conservar, an despus de la venta de ejemplares de los mismos, el derecho de autorizar o prohibir el arrendamiento de dichos ejemplares. Este

precepto no se aplicar cuando el ejemplar del programa de computacin no constituya en s mismo un objeto esencial de la licencia de uso.
Artculo 105.-El usuario legtimo de un programa de computacin podr realizar el nmero de copias que le autorice la licencia concedida por el titular de los derechos de autor, o una sola copia de dicho programa siempre y cuando: I. Sea indispensable para la utilizacin del programa. II. Sea destinada exclusivamente como resguardo para sustituir la copia legtimamente adquirida, cuando sta no pueda utilizarse por dao o prdida. La copia de respaldo deber ser destruida cuando cese el derecho del usuario para utilizar el programa de computacin. Artculo 106.-El derecho patrimonial sobre un programa de computacin comprende la facultad de autorizar o prohibir: I. La reproduccin permanente o provisional del programa en todo o en parte, por cualquier medio y forma. II. La traduccin, la adaptacin, el arreglo o cualquier otra modificacin de un programa y la reproduccin del programa resultante. III. Cualquier forma de distribucin del programa o de una copia del mismo, incluido el alquiler. IV. La decompilacin, los procesos para revertir la ingeniera de un programa de computacin y el desensamblaje. Artculo 107.-Las bases de datos o de otros materiales legibles por medio de mquinas o en otra forma, que por razones de seleccin y disposicin de su contenido constituyan creaciones intelectuales, quedarn protegidas como compilaciones. Dicha proteccin no se extender a los datos y materiales en s mismos. Artculo 108.-Las bases de datos que no sean originales quedan, sin embargo, protegidas en su uso exclusivo por quien las haya elaborado, durante un lapso de 5 aos. Artculo 109.-El acceso a informacin de carcter privado relativa a las personas, contenida en las bases de datos a que se refiere el artculo anterior, as como la publicacin, reproduccin, divulgacin, comunicacin pblica y transmisin de dicha informacin, requerir la autorizacin previa de las personas de que se trate.

Quedan exceptuados de lo anterior, las investigaciones de las autoridades encargadas de la procuracin e imparticin de justicia, de acuerdo con la legislacin respectiva, as como el acceso a archivos pblicos por las personas autorizadas por la ley, siempre que la consulta sea realizada conforme a los procedimientos respectivos. Artculo 110.-El titular del derecho patrimonial sobre una base de datos tendr el derecho exclusivo, respecto de la forma de expresin de la estructura de dicha base, de autorizar o prohibir: I. Su reproduccin permanente o temporal, total o parcial, por cualquier medio y de cualquier forma. II. Su traduccin, adaptacin, reordenacin y cualquier otra modificacin. III. La distribucin del original o copias de la base de datos; IV. La comunicacin al pblico. V. La reproduccin, distribucin o comunicacin pblica de los resultados de las operaciones mencionadas en la fraccin II del presente artculo. Artculo 111.-Los programas efectuados electrnicamente que contengan elementos visuales, sonoros, tridimensionales o animados quedan protegidos por esta Ley en los elementos primigenios que contengan. Artculo 112.-Queda prohibida la importacin, fabricacin, distribucin y utilizacin de aparatos o la prestacin de servicios destinados a eliminar la proteccin tcnica de los programas de cmputo, de las transmisiones a travs del espectro electromagntico y de redes de telecomunicaciones y de los programas de elementos electrnicos sealados en el artculo anterior. Artculo 113.-Las obras e interpretaciones o ejecuciones transmitidas por medios electrnicos a travs del espectro electromagntico y de redes de telecomunicaciones y el resultado que se obtenga de transmisin estarn protegidas por esta Ley. Artculo 114.-La transmisin de obras protegidas por esta Ley mediante cable, ondas radioelctricas, satlite u otras similares, debern adecuarse, en lo conducente, a la legislacin mexicana y respetar en todo caso y en todo tiempo las disposiciones sobre la materia.

Titulo V DE LOS DERECHOS CONEXOS Captulo I Disposiciones Generales Artculo 115.-La proteccin prevista en este ttulo dejar intacta y no afectar en modo alguno la proteccin de los derechos de autor sobre las obras literarias y artsticas. Por lo tanto, ninguna de las disposiciones del presente ttulo podr interpretarse en menoscabo de esa proteccin. Captulo II DE LOS ARTISTAS INTRPRETES O EJECUTANTES Artculo 116.-Los trminos artista intrprete o ejecutante designan al actor, narrador, declamador, cantante, msico, bailarn, o a cualquiera otra persona que interprete o ejecute una obra literaria o artstica o una expresin del folclor o que realice una actividad similar a las anteriores, aunque no haya un texto previo que norme su desarrollo. Los llamados extras y las participaciones eventuales no quedan incluidos en esta definicin. Artculo 117.-El artista intrprete o ejecutante goza del derecho al reconocimiento de su nombre respecto de sus interpretaciones o ejecuciones as como el de oponerse a toda deformacin, mutilacin o cualquier otro atentado sobre su actuacin que lesione su prestigio o reputacin. Artculo 117 bis.-Tanto el artista intrprete o el ejecutante, tiene el derecho irrenunciable a percibir una remuneracin por el uso o explotacin de sus interpretaciones o ejecuciones que se hagan con fines de lucro directo o indirecto, por cualquier medio, comunicacin pblica o puesta a disposicin. Artculo 118.-Los artistas intrpretes o ejecutantes tienen el derecho de oponerse a: I. II. La comunicacin pblica de sus interpretaciones o ejecuciones. La fijacin de sus interpretaciones o ejecuciones sobre una base material.

III.
La reproduccin de la fijacin de sus interpretaciones o ejecuciones.
Estos derechos se consideran agotados una vez que el artista intrprete o ejecutante haya autorizado la incorporacin de su actuacin o interpretacin en una fijacin visual, sonora o audiovisual, siempre y cuando los usuarios que utilicen con fines de lucro dichos soportes materiales, efecten el pago correspondiente. Artculo 119.-Los artistas que participen colectivamente en una misma actuacin, tales como grupos musicales, coros, orquestas, de ballet o compaas de teatro, debern designar entre ellos a un representante para el ejercicio del derecho de oposicin a que se refiere el artculo anterior. A falta de tal designacin se presume que acta como representante el director del grupo o compaa. Artculo 120.-Los contratos de interpretacin o ejecucin debern precisar los tiempos, perodos, contraprestaciones y dems trminos y modalidades bajo los cuales se podr fijar, reproducir y comunicar al pblico dicha interpretacin o ejecucin. Artculo 121.-Salvo pacto en contrario, la celebracin de un contrato entre un artista intrprete o ejecutante y un productor de obras audiovisuales para la produccin de una obra audiovisual conlleva el derecho de fijar, reproducir y comunicar al pblico las actuaciones del artista. Lo anterior no incluye el derecho de utilizar en forma separada el sonido y las imgenes fijadas en la obra audiovisual, a menos que se acuerde expresamente. Artculo 122.-La Duracin de la proteccin concedida a los artistas intrpretes o ejecutantes ser de setenta y cinco aos contados a partir de: I. II. La primera fijacin de la interpretacin o ejecucin en un fonograma. La primera interpretacin o ejecucin de obras no grabadas en fonogramas.
III. La transmisin por primera vez a travs de la radio, televisin o cualquier medio. Captulo III DE LOS EDITORES DE LIBROS

Artculo 123.-El libro es toda publicacin unitaria, no peridica, de carcter literario, artstico, cientfico, tcnico, educativo, informativo o recreativo, impresa en cualquier soporte, cuya edicin se haga en su totalidad de una sola vez en un volumen o a intervalos en varios volmenes o fascculos. Comprender tambin los materiales complementarios en cualquier tipo de soporte, incluido el electrnico, que conformen, conjuntamente con el libro, un todo unitario que no pueda comercializarse separadamente. Artculo 124.-El editor de libros es la persona fsica o moral que selecciona o concibe una edicin y realiza por s o a travs de terceros su elaboracin. Artculo 125.-Los editores de libros tendrn el derecho de autorizar o prohibir: I. La reproduccin directa o indirecta, total o parcial de sus libros, as como la explotacin de los mismos. II. La importacin de copias de sus libros hechas sin su autorizacin.
III. La primera distribucin pblica del original y de cada ejemplar de sus libros mediante venta u otra manera. Artculo 126.-Los editores de libros gozarn del derecho de exclusividad sobre las caractersticas tipogrficas y de diagramacin para cada libro, en cuanto contengan de originales. Artculo 127.-La proteccin a que se refiere este captulo ser de 50 aos contados a partir de la primera edicin del libro de que se trate. Artculo 128.-Las publicaciones peridicas gozarn de la misma proteccin que el presente captulo otorga a los libros. Captulo IV DE LOS PRODUCTORES DE FONOGRAMAS Artculo 129.-Fonograma es toda fijacin, exclusivamente sonora, de los sonidos de una interpretacin, ejecucin o de otros sonidos, o de representaciones digitales de los mismos. Artculo 130.-Productor de fonogramas es la persona fsica o moral que fija por primera vez los sonidos de una ejecucin u otros sonidos o la representacin

digital de los mismos y es responsable de la edicin, reproduccin y publicacin de fonogramas. Artculo 131.-Los productores de fonogramas tendrn el derecho de autorizar o prohibir: I. La reproduccin directa o indirecta, total o parcial de sus fonogramas, as como la explotacin directa o indirecta de los mismos. II. La importacin de copias del fonograma hechas sin la autorizacin del productor. III. La distribucin pblica del original y de cada ejemplar del fonograma mediante venta u otra incluyendo su distribucin a travs de seales o emisiones. IV. La adaptacin o transformacin del fonograma.
V. El arrendamiento comercial del original o de una copia del fonograma, an despus de la venta del mismo, siempre y cuando no se lo hubieren reservado los autores o los titulares de los derechos patrimoniales. Artculo 131 bis.-Los productores de fonogramas tienen el derecho a percibir una remuneracin por el uso o explotacin de sus fonogramas que se hagan con fines de lucro directo o indirecto, por cualquier medio o comunicacin pblica o puesta a disposicin. Artculo 132.-Los fonogramas debern ostentar el smbolo (P) acompaado de la indicacin del ao en que se haya realizado la primera publicacin. La omisin de estos requisitos no implica la prdida de los derechos que correspondan al productor de fonogramas pero lo sujeta a las sanciones establecidas por la Ley. Se presumir, salvo prueba en contrario, que es Productor de Fonogramas, la persona fsica o moral cuyo nombre aparezca indicado en los ejemplares legtimos del fonograma, precedido de la letra "P", encerrada en un crculo y seguido del ao de la primera publicacin. Los productores de fonogramas debern notificar a las sociedades de gestin colectiva los datos de etiqueta de sus producciones y de las matrices que se exporten, indicando los pases en cada caso. Artculo 133.-Una vez que un fonograma haya sido introducido legalmente a cualquier circuito comercial, ni los artistas intrpretes o ejecutantes, ni los

productores de fonogramas podrn oponerse a su comunicacin directa al pblico, siempre y cuando los usuarios que lo utilicen con fines de lucro efecten el pago correspondiente a aqullos. A falta de acuerdo entre las partes, el pago de sus derechos se efectuar por partes iguales. Artculo 134.-La proteccin a que se refiere este Captulo ser de setenta y cinco aos, a partir de la primera fijacin de los sonidos en el fonograma. Captulo V DE LOS PRODUCTORES DE VIDEOGRAMAS Artculos 135.-Se considera videograma a la fijacin de imgenes asociadas, con o sin sonido incorporado, que den sensacin de movimiento, o de una representacin digital de tales imgenes de una obra audiovisual o de la representacin o ejecucin de otra obra o de una expresin del folclor, as como de otras imgenes de la misma clase, con o sin sonido. Artculo 136.-Productor de videogramas es la persona fsica o moral que fija por primera vez imgenes asociadas, con o sin sonido incorporado, que den sensacin de movimiento, o de una representacin digital de tales imgenes, constituyan o no una obra audiovisual. Artculo 137.-El productor goza, respecto de sus videogramas, de los derechos de autorizar o prohibir su reproduccin, distribucin y comunicacin pblica. Artculo 138.-La duracin de los derechos regulados en este captulo es de cincuenta aos a partir de la primera fijacin de las imgenes en el videograma. Captulo VI DE LOS ORGANISMOS DE RADIODIFUSIN Artculo 139.-Para efectos de la presente Ley, se considera organismo de radiodifusin, la entidad concesionada o permisionada capaz de emitir seales sonoras, visuales o ambas, susceptibles de percepcin, por parte de una pluralidad de sujetos receptores. Artculo 140.-Se entiende por emisin o transmisin, la comunicacin de obras, de sonidos o de sonidos con imgenes por medio de ondas radioelctricas, por cable, fibra ptica u otros procedimientos anlogos. El concepto de emisin comprende

tambin el envo de seales desde una estacin terrestre hacia un satlite que posteriormente las difunda. Artculo 141.-Retransmisin es la emisin simultnea por un organismo de radiodifusin de una emisin de otro organismo de radiodifusin. Artculo 142.-Grabacin efmera es la que realizan los organismos de radiodifusin, cuando por razones tcnicas o de horario y para el efecto de una sola emisin posterior, tienen que grabar o fijar la imagen, el sonido o ambos anticipadamente en sus estudios, de selecciones musicales o partes de ellas, trabajos, conferencias o estudios cientficos, obras literarias, dramticas, coreogrficas, dramticomusicales, programas completos y, en general, cualquier obra apta para ser difundida. Artculo 143.-Las seales pueden ser: I. Por su posibilidad de acceso al pblico:
a) Codificadas, cifradas o encriptadas: las que han sido modificadas con el propsito de que sean recibidas y descifradas nica y exclusivamente por quienes hayan adquirido previamente ese derecho del organismo de radiodifusin que las emite. b) Libres: las que pueden ser recibidas por cualquier aparato apto para recibir las seales. II. a) b) Por el momento de su emisin: De origen: las que portan programas o eventos en vivo. Diferidas: las que portan programas o eventos previamente fijados.
Artculo 144.- Los organismos de radiodifusin tendrn el derecho de autorizar o prohibir respecto de sus emisiones: I. II. III. IV. V. La retransmisin. La transmisin diferida. La distribucin simultnea o diferida, por cable o cualquier otro sistema. La fijacin sobre una base material. La reproduccin de las fijaciones.

VI. La comunicacin pblica por cualquier medio y forma con fines directos de lucro. Artculo 145.-Deber pagar daos y perjuicios la persona que sin la autorizacin del distribuidor legtimo de la seal: I. Descifre una seal de satlite codificada portadora de programas.
II. Reciba y distribuya una seal de satlite codificada portadora de programas que hubiese sido descifrada ilcitamente. III. Participe o coadyuve en la fabricacin, importacin, venta, arrendamiento o realizacin de cualquier acto que permita contar con un dispositivo o sistema que sea de ayuda primordial para descifrar una seal de satlite codificada, portadora de programas. Artculo 146.-Los derechos de los organismos de radiodifusin a los que se refiere este Captulo tendrn una vigencia de cincuenta aos a partir de la primera emisin o transmisin original del programa. Ttulo VI DE LAS LIMITACIONES DEL DERECHO DE AUTOR Y DE LOS DERECHOS CONEXOS Captulo I DE LA LIMITACIN POR CAUSA DE UTILIDAD PBLICA Artculo 147.-Se considera de utilidad pblica la publicacin o traduccin de obras literarias o artsticas necesarias para el adelanto de la ciencia, la cultura y la educacin nacionales. Cuando no sea posible obtener el consentimiento del titular de los derechos patrimoniales correspondientes, y mediante el pago de una remuneracin compensatoria, el Ejecutivo Federal, por conducto de la Secretara de Educacin Pblica, de oficio o a peticin de parte, podr autorizar la publicacin o traduccin mencionada. Lo anterior ser sin perjuicio de los tratados internacionales sobre derechos de autor y derechos conexos suscritos y aprobados por Mxico.

Captulo II DE LA LIMITACIN A LOS DERECHOS PATRIMONIALES Artculo 148.-Las obras literarias y artsticas ya divulgadas podrn utilizarse, siempre que no se afecte la explotacin normal de la obra, sin autorizacin del titular del derecho patrimonial y sin remuneracin, citando invariablemente la fuente y sin alterar la obra, slo en los siguientes casos: I. Cita de textos, siempre que la cantidad tomada no pueda considerarse como una reproduccin simulada y sustancial del contenido de la obra. II. Reproduccin de artculos, fotografas, ilustraciones y comentarios referentes a acontecimientos de actualidad, publicados por la prensa o difundidos por la radio o la televisin, o cualquier otro medio de difusin, si esto no hubiere sido expresamente prohibido por el titular del derecho. III. Reproduccin de partes de la obra, para la crtica e investigacin cientfica, literaria o artstica. IV. Reproduccin por una sola vez, y en un slo ejemplar, de una obra literaria o artstica, para uso personal y privado de quien la hace y sin fines de lucro. Las personas morales no podrn valerse de lo dispuesto en esta fraccin salvo que se trate de una institucin educativa, de investigacin, o que no est dedicada a actividades mercantiles. V. Reproduccin de una sola copia, por parte de un archivo o biblioteca, por razones de seguridad y preservacin, y que se encuentre agotada, descatalogada y en peligro de desaparecer. VI. Reproduccin para constancia en un procedimiento judicial o administrativo.
VII. Reproduccin, comunicacin y distribucin por medio de dibujos, pinturas, fotografas y procedimientos audiovisuales de las obras que sean visibles desde lugares pblicos. Artculo 149.-Podrn realizarse sin autorizacin: I. La utilizacin de obras literarias y artsticas en tiendas o establecimientos abiertos al pblico, que comercien ejemplares de dichas obras, siempre y cuando no hayan cargos de admisin y que dicha utilizacin no trascienda el lugar en

donde la venta se realiza y tenga como propsito nico el de promover la venta de ejemplares de las obras. II. a) b) c) La grabacin efmera, sujetndose a las siguientes condiciones: La transmisin deber efectuarse dentro del plazo que al efecto se convenga. No debe realizarse con motivo de la grabacin, ninguna emisin o comunicacin concomitante o simultnea. La grabacin slo dar derecho a una sola emisin.
La grabacin y fijacin de la imagen y el sonido realizada en las condiciones que antes se mencionan, no obligar a ningn pago adicional distinto del que corresponde por el uso de las obras. Las disposiciones de esta fraccin no se aplicarn en caso de que los autores o los artistas tengan celebrado convenio de carcter oneroso que autorice las emisiones posteriores. Artculo 150.- No se causarn regalas por ejecucin pblica cuando concurran de manera conjunta las siguientes circunstancias: I. Que la ejecucin sea mediante la comunicacin de una transmisin recibida directamente en un aparato mono receptor de radio o televisin del tipo comnmente utilizado en domicilios privados. II. No se efecte un cobro para ver u or la transmisin o no forme parte de un conjunto de servicios. III. IV. No se retransmita la transmisin recibida con fines de lucro. El receptor sea un causante menor o una microindustria.
Artculo 151.-No constituyen violaciones a los derechos de los artistas intrpretes o ejecutantes, productores de fonogramas, de videogramas u organismos de radiodifusin la utilizacin de sus actuaciones, fonogramas, videogramas o emisiones, cuando: I. No se persiga un beneficio econmico directo.
II. Se trate de breves fragmentos utilizados en informaciones sobre sucesos de actualidad.

III.
Sea con fines de enseanza o investigacin cientfica.
IV. Se trate de los casos previstos en los artculos 147, 148 y 149 de la presente Ley. Captulo III DEL DOMINIO PBLICO Artculo 152.-Las obras del dominio pblico pueden ser libremente utilizadas por cualquier persona, con la sola restriccin de respetar los derechos morales de los respectivos autores. Artculo 153.-Es libre el uso de la obra de un autor annimo mientras el mismo no se d a conocer o no exista un titular de derechos patrimoniales identificado. Titulo VII DE LOS DERECHOS DE AUTOR SOBRE LOS SMBOLOS PATRIOS Y DE LAS EXPRESIONES DE LAS CULTURAS POPULARES Captulo I DISPOSICIONES GENERALES Artculo 154.-Las obras a que se refiere este Ttulo estn protegidas independientemente de que no se pueda determinar la autora individual de ellas o que el plazo de proteccin otorgado a sus autores se haya agotado. Captulo II DE LOS SMBOLOS PATRIOS Artculo 155.-El Estado Mexicano es el titular de los derechos morales sobre los smbolos patrios. Artculo 156.-El uso de los smbolos patrios deber apegarse a lo establecido por la Ley sobre el Escudo, la Bandera y el Himno Nacionales.

Captulo III DE LAS CULTURAS POPULARES Artculo 157.-La presente Ley protege las obras literarias, artsticas, de arte popular o artesanal, as como todas las manifestaciones primigenias en sus propias lenguas, y los usos, costumbres y tradiciones de la composicin pluricultural que conforman al Estado Mexicano, que no cuenten con autor identificable. Artculo 158.-Las obras literarias, artstica, de arte popular o artesanal; desarrolladas y perpetuadas en una comunidad o etnia originaria o arraigada en la Repblica Mexicana, estarn protegidas por la presente Ley contra su deformacin, hecha con objeto de causar demrito a la misma o perjuicio a la reputacin o imagen de la comunidad o etnia a la cual pertenecen. Artculo 159.-Es libre la utilizacin de las obras literarias, artsticas, de arte popular o artesanal; protegidas por el presente captulo, siempre que no se contravengan las disposiciones del mismo. Artculo 160.-En toda fijacin, representacin, publicacin, comunicacin o utilizacin en cualquier forma, de una obra literaria, artstica, de arte popular o artesanal; protegida conforme al presente captulo, deber mencionarse la comunidad o etnia, o en su caso la regin de la Repblica Mexicana de la que es propia. Artculo 161.-Corresponde al Instituto vigilar el cumplimiento de las disposiciones del presente captulo y coadyuvar en la proteccin de las obras amparadas por el mismo. Ttulo VIII DE LOS REGISTROS DE DERECHOS Captulo I DEL REGISTRO PBLICO DEL DERECHO DE AUTOR Artculo 162.-El Registro Pblico del Derecho de Autor tiene por objeto garantizar la seguridad jurdica de los autores, de los titulares de los derechos conexos y de los titulares de los derechos patrimoniales respectivos y sus causahabientes, as

como dar una adecuada publicidad a las obras, actos y documentos a travs de su inscripcin. Las obras literarias y artsticas y los derechos conexos quedarn protegidos aun cuando no sean registrados. Artculo 163.-En el Registro Pblico del Derecho de Autor se podrn inscribir: I. Las obras literarias o artsticas que presenten sus autores.
II. Los compendios, arreglos, traducciones, adaptaciones u otras versiones de obras literarias o artsticas, aun cuando no se compruebe la autorizacin concedida por el titular del derecho patrimonial para divulgarla. Esta inscripcin no faculta para publicar o usar en forma alguna la obra registrada, a menos de que se acredite la autorizacin correspondiente. Este hecho se har constar tanto en la inscripcin como en las certificaciones que se expidan. III. Las escrituras y estatutos de las diversas sociedades de gestin colectiva y las que los reformen o modifiquen. IV. Los pactos o convenios que celebren las sociedades mexicanas de gestin colectivas con las sociedades extranjeras. V. Los actos, convenios o contratos que en cualquier forma confieran, modifiquen, transmitan, graven o extingan derechos patrimoniales. VI. Los convenios o contratos relativos a los derechos conexos;
VII. Los poderes otorgados para gestionar ante el Instituto, cuando la representacin conferida abarque todos los asuntos que el mandante haya de tramitar ante l. VIII. Los mandatos que otorguen los miembros de las sociedades de gestin colectiva en favor de stas. IX. Los convenios o contratos de interpretacin o ejecucin que celebren los artistas intrpretes o ejecutantes. X. Las caractersticas grficas y distintivas de obras.
Artculo 164.-El Registro Pblico del Derecho de Autor tiene las siguientes obligaciones: I. Inscribir, cuando proceda, las obras y documentos que le sean presentados.

II. Proporcionar a las personas que lo soliciten la informacin de las inscripciones y, salvo lo dispuesto en los prrafos siguientes, de los documentos que obran en el Registro. Tratndose de programas de computacin, de contratos de edicin y de obras inditas, la obtencin de copias slo se permitir mediante autorizacin del titular del derecho patrimonial o por mandamiento judicial. Cuando la persona o autoridad solicitante requiera de una copia de las constancias de registro, el Instituto expedir copia certificada, pero por ningn motivo se permitir la salida de originales del Registro. Las autoridades judiciales o administrativas que requieran tener acceso a los originales, debern realizar la inspeccin de los mismos en el recinto del Registro Pblico del Derecho de Autor. Cuando se trate de obras fijadas en soportes materiales distintos del papel, la autoridad judicial o administrativa, el solicitante o, en su caso, el oferente de la prueba, debern aportar los medios tcnicos para realizar la duplicacin. Las reproducciones que resulten con motivo de la aplicacin de este artculo nicamente podrn ser utilizadas como constancias en el procedimiento judicial o administrativo de que se trate. III. a) b) c) d) Negar la inscripcin de: Lo que no es objeto de proteccin conforme al artculo 14 de esta Ley. Las obras que son del dominio pblico. Lo que ya est inscrito en el Registro. Las marcas, a menos que se trate al mismo tiempo de una obra artstica y la persona que pretende aparecer como titular del derecho de autor lo sea tambin de ella. Las campaas y promociones publicitarias. La inscripcin de cualquier documento cuando exista alguna anotacin marginal, que suspenda los efectos de la inscripcin, proveniente de la notificacin de un juicio relativo a derechos de autor o de la iniciacin de una averiguacin previa. En general los actos y documentos que en su forma o en su contenido contravengan o sean ajenos a las disposiciones de esta Ley.
e) f)
g)
Artculo 165.-El registro de una obra literaria o artstica no podr negarse ni suspenderse bajo el supuesto de ser contraria a la moral, al respeto a la vida privada o al orden pblico, salvo por sentencia judicial. Artculo 166.-El registro de una obra artstica o literaria no podr negarse ni suspenderse so pretexto de algn motivo poltico, ideolgico o doctrinario.

Artculo 167.-Cuando dos o ms personas soliciten la inscripcin de una misma obra, sta se inscribir en los trminos de la primera solicitud, sin perjuicio del derecho de impugnacin del registro. Artculo 168.-Las inscripciones en el registro establecen la presuncin de ser ciertos los hechos y actos que en ellas consten, salvo prueba en contrario. Toda inscripcin deja a salvo los derechos de terceros. Si surge controversia, los efectos de la inscripcin quedarn suspendidos en tanto se pronuncie resolucin firme por autoridad competente. Artculo 169.-No obstante lo dispuesto en el artculo anterior, los actos, convenios o contratos que se otorguen o celebren por personas con derecho para ello y que sean inscritos en el registro, no se invalidarn en perjuicio de tercero de buena fe, aunque posteriormente sea anulada dicha inscripcin. Artculo 170.-En las inscripciones se expresar el nombre del autor y, en su caso, la fecha de su muerte, nacionalidad y domicilio, el ttulo de la obra, la fecha de divulgacin, si es una obra por encargo y el titular del derecho patrimonial. Para registrar una obra escrita bajo seudnimo, se acompaarn a la solicitud en sobre cerrado los datos de identificacin del autor, bajo la responsabilidad del solicitante del registro. El representante del registro abrir el sobre, con asistencia de testigos, cuando lo pidan el solicitante del registro, el editor de la obra o los titulares de sus derechos, o por resolucin judicial. La apertura del sobre tendr por objeto comprobar la identidad del autor y su relacin con la obra. Se levantar acta de la apertura y el encargado expedir las certificaciones que correspondan. Artculo 171.-Cuando dos a ms personas hubiesen adquirido los mismos derechos respecto a una misma obra, prevalecer la autorizacin o cesin inscrita en primer trmino, sin perjuicio del derecho de impugnacin del registro. Artculo 172.-Cuando el encargado del registro detecte que la oficina a su cargo ha efectuado una inscripcin por error, iniciar de oficio un procedimiento de cancelacin o correccin de la inscripcin correspondiente, respetando la garanta de audiencia de los posibles afectados.

Captulo II DE LAS RESERVAS DE DERECHOS AL USO EXCLUSIVO Artculo 173.-La reserva de derechos es la facultad de usar y explotar en forma exclusiva ttulos, nombres, denominaciones, caractersticas fsicas y psicolgicas distintivas, o caractersticas de operacin originales aplicados, de acuerdo con su naturaleza, a alguno de los siguientes gneros: I. Publicaciones peridicas: Editadas en partes sucesivas con variedad de contenido y que pretenden continuarse indefinidamente. II. Difusiones peridicas: Emitidas en partes sucesivas, con variedad de contenido y susceptibles de transmitirse. III. IV. Personajes humanos de caracterizacin, o ficticios o simblicos. Personas o grupos dedicados a actividades artsticas.
V. Promociones publicitarias: Contemplan un mecanismo novedoso y sin proteccin tendiente a promover y ofertar un bien o un servicio, con el incentivo adicional de brindar la posibilidad al pblico en general de obtener otro bien o servicio, en condiciones ms favorables que en las que normalmente se encuentra en el comercio; se excepta el caso de los anuncios comerciales. Artculo 174.-El Instituto expedir los certificados respectivos y har la inscripcin para proteger las reservas de derechos a que se refiere el artculo anterior. Artculo 175.-La proteccin que ampara el certificado a que se refiere el artculo anterior, no comprender lo que no es materia de reserva de derechos, de conformidad con el artculo 188 este ordenamiento, aun cuando forme parte del registro respectivo. Artculo 176.-Para el otorgamiento de las reservas de derechos, el Instituto tendr la facultad de verificar la forma en que el solicitante pretenda usar el ttulo, nombre, denominacin o caractersticas objeto de reserva de derechos a fin de evitar la posibilidad de confusin con otra previamente otorgada. Artculo 177.-Los requisitos y condiciones que deban cubrirse para la obtencin y renovacin de las reservas de derechos, as como para la realizacin de cualquier

otro trmite previsto en el presente captulo, se establecern en el Reglamento de la presente Ley. Artculo 178.-Cuando dos o ms personas presenten a su nombre una solicitud de reserva de derechos, salvo pacto en contrario se entender que todos sern titulares por partes iguales. Artculo 179.-Los ttulos, nombres, denominaciones o caractersticas objeto de reservas de derechos, debern ser utilizados tal y como fueron otorgados; cualquier variacin en sus elementos ser motivo de una nueva reserva. Artculo 180.-El Instituto proporcionar a los titulares o sus representantes, o a quien acredite tener inters jurdico, copias simples o certificadas de las resoluciones que se emitan en cualquiera de los expedientes de reservas de derechos otorgadas. Artculo 181.-Los titulares de las reservas de derechos debern notificar al Instituto las transmisiones de los derechos que amparan los certificados correspondientes. Artculo 182.-El Instituto realizar las anotaciones y, en su caso, expedir las constancias respectivas en los supuestos siguientes: I. II. III. Cuando se declare la nulidad de una reserva. Cuando proceda la cancelacin de una reserva. Cuando proceda la caducidad.
IV. En todos aquellos casos en que por mandamiento de autoridad competente as se requiera. Artculo 183.-Las reservas de derechos sern nulas cuando: I. Sean iguales o semejantes en grado de confusin con otra previamente otorgada o en trmite. II. Hayan sido declarados con falsedad los datos que, de acuerdo con el reglamento, sean esenciales para su otorgamiento. III. Se demuestre tener un mejor derecho por un uso anterior, constante e ininterrumpido en Mxico, a la fecha del otorgamiento de la reserva.

IV.
Se hayan otorgado en contravencin a las disposiciones de este captulo.
Artculo 184.-Proceder la cancelacin de los actos emitidos por el Instituto, en los expedientes de reservas de derechos cuando: I. El solicitante hubiere actuado de mala fe en perjuicio de tercero, o con violacin a una obligacin legal o contractual. II. III. Se haya declarado la nulidad de una reserva. Por contravenir lo dispuesto por el artculo 179 esta Ley, se cause confusin con otra que se encuentre protegida. Sea solicitada por el titular de una reserva. Sea ordenado mediante resolucin firme de autoridad competente.
IV. V.
Artculo 185.-Las reservas de derechos caducarn cuando no se renueven en los trminos establecidos por el presente captulo. Artculo 186.-La declaracin administrativa de nulidad, cancelacin o caducidad se podr iniciar en cualquier tiempo, de oficio por el Instituto, a peticin de parte, o del Ministerio Pblico de la Federacin cuando tenga algn inters la Federacin. La caducidad a la que se refiere el artculo anterior, no requerir declaracin administrativa por parte del Instituto. Artculo 187.-Los procedimientos de nulidad y cancelacin previstos en este captulo, se substanciarn y resolvern de conformidad con las disposiciones que para tal efecto se establezcan en el Reglamento de la presente Ley. Artculo 188.-No son materia de reserva de derechos: I. Los ttulos, los nombres, las denominaciones, las caractersticas fsicas o psicolgicas, o las caractersticas de operacin que pretendan aplicarse a alguno de los gneros a que se refiere el artculo 173 la presente Ley, cuando: a) Por su identidad o semejanza gramatical, fontica, visual o conceptual puedan inducir a error o confusin con una reserva de derechos previamente otorgada o en trmite. No obstante lo establecido en el prrafo anterior, se podrn

obtener reservas de derechos iguales dentro del mismo gnero, cuando sean solicitadas por el mismo titular. b) Sean genricos y pretendan utilizarse en forma aislada. c) Ostenten o presuman el patrocinio de una sociedad, organizacin o institucin pblica o privada, nacional o internacional, o de cualquier otra organizacin reconocida oficialmente, sin la correspondiente autorizacin expresa. d) Reproduzcan o imiten sin autorizacin, escudos, banderas, emblemas o signos de cualquier pas, estado, municipio o divisin poltica equivalente. e) Incluyan el nombre, seudnimo o imagen de alguna persona determinada, sin consentimiento expreso del interesado. f) Sean iguales o semejantes en grado de confusin con otro que el Instituto estime notoriamente conocido en Mxico, salvo que el solicitante sea el titular del derecho notoriamente conocido. II. III. Los subttulos. Las caractersticas grficas.
IV. Las leyendas, tradiciones o sucedidos que hayan llegado a individualizarse o que sean generalmente conocidos bajo un nombre que les sea caracterstico. V. Las letras o los nmeros aislados. VI. La traduccin a otros idiomas, la variacin ortogrfica caprichosa o la construccin artificial de palabras no reservables. VII. Los nombres de personas utilizados en forma aislada, excepto los que sean solicitados para la proteccin de nombres artsticos, denominaciones de grupos artsticos, personajes humanos de caracterizacin, o simblicos o ficticios en cuyo caso se estar a lo dispuesto en el inciso e) de la fraccin I de este artculo. VIII. Los nombres o denominaciones de pases, ciudades, poblaciones o de cualquier otra divisin territorial, poltica o geogrfica, o sus gentilicios y derivaciones, utilizados en forma aislada. Artculo 189.-La vigencia del certificado de la reserva de derechos otorgada a ttulos de publicaciones o difusiones peridicas ser de un ao, contado a partir de la fecha de su expedicin. Para el caso de publicaciones peridicas, el certificado correspondiente se expedir con independencia de cualquier otro documento que se exija para su circulacin.

Artculo 190.-La vigencia del certificado de la reserva de derechos ser de cinco aos contados a partir de la fecha de su expedicin cuando se otorgue a: I. Nombres y caractersticas fsicas y psicolgicas distintivas de personajes, tanto humanos de caracterizacin como ficticios o simblicos. II. Nombres o denominaciones de personas o grupos dedicados a actividades artsticas. III. Denominaciones y caractersticas de operacin originales de promociones publicitarias. Artculo 191.-Los plazos de proteccin que amparan los certificados de reserva de derechos correspondientes, podrn ser renovados por periodos sucesivos iguales. Se excepta de este supuesto a las promociones publicitarias, las que al trmino de su vigencia pasaran a formar parte del dominio pblico. La renovacin a que se refiere el prrafo anterior, se otorgar previa comprobacin fehaciente del uso de la reserva de derechos, que el interesado presente al Instituto dentro del plazo comprendido desde un mes antes, hasta un mes posterior al da del vencimiento de la reserva de derechos correspondiente. El Instituto podr negar la renovacin a que se refiere el presente artculo, cuando de las constancias exhibidas por el interesado, se desprenda que los ttulos, nombres, denominaciones o caractersticas, objeto de la reserva de derechos, no han sido utilizados tal y como fueron reservados. Titulo IX DE LA GESTIN COLECTIVA DE DERECHOS Captulo nico DE LAS SOCIEDADES DE GESTIN COLECTIVA Artculo 192.-Sociedad de gestin colectiva es la persona moral que, sin nimo de lucro, se constituye bajo el amparo de esta Ley con el objeto de proteger a autores y titulares de derechos conexos tanto nacionales como extranjeros, as como recaudar y entregar a los mismos las cantidades que por concepto de derechos de autor o derechos conexos se generen a su favor. Los causahabientes de los autores y de los titulares de derechos conexos, nacionales o extranjeros, residentes en Mxico podrn formar parte de sociedades de gestin colectiva. Las

sociedades a que se refieren los prrafos anteriores debern constituirse con la finalidad de ayuda mutua entre sus miembros y basarse en los principios de colaboracin, igualdad y equidad, as como funcionar con los lineamientos que esta Ley establece y que los convierte en entidades de inters pblico. Artculo 193.-Para poder operar como sociedad de gestin colectiva se requiere autorizacin previa del Instituto, el que ordenar su publicacin en el Diario Oficial de la Federacin. Artculo 194.-La autorizacin podr ser revocada por el Instituto si existiese incumplimiento de las obligaciones que esta Ley establece para las sociedades de gestin colectiva o si se pusiese de manifiesto un conflicto entre los propios socios que dejara acfala o sin dirigencia a la sociedad, de tal forma que se afecte el fin y objeto de la misma en detrimento de los derechos de los asociados. En los supuestos mencionados, deber mediar un previo apercibimiento del Instituto, que fijar un plazo no mayor a tres meses para subsanar o corregir los hechos sealados. Artculo 195.-Las personas legitimadas para formar parte de una sociedad de gestin colectiva podrn optar libremente entre afiliarse a ella o no; asimismo, podrn elegir entre ejercer sus derechos patrimoniales en forma individual, por conducto de apoderado o a travs de la sociedad. Las sociedades de gestin colectiva no podrn intervenir en el cobro de regalas cuando los socios elijan ejercer sus derechos en forma individual respecto de cualquier utilizacin de la obra o bien hayan pactado mecanismos directos para dicho cobro. Por el contrario, cuando los socios hayan dado mandato a las sociedades de gestin colectiva, no podrn efectuar el cobro de las regalas por s mismos, a menos que lo revoquen. Las sociedades de gestin colectiva no podrn imponer como obligatoria la gestin de todas las modalidades de explotacin, ni la totalidad de la obra o de produccin futura. Artculo 196.-En el caso de que los socios optaran por ejercer sus derechos patrimoniales a travs de apoderado, ste deber ser persona fsica y deber contar con la autorizacin del Instituto. El poder otorgado a favor del apoderado no ser sustituible ni delegable. Artculo 197.-Los miembros de una sociedad de gestin colectiva cuando opten por que la sociedad sea la que realice los cobros a su nombre debern otorgar a sta un poder general para pleitos y cobranzas.

Artculo 198.-No prescriben en favor de las sociedades de gestin colectiva y en contra de los socios los derechos o las percepciones cobradas por ellas. En el caso de percepciones o derechos para autores del extranjero se estar al principio de la reciprocidad. Artculo 199.- El Instituto otorgar las autorizaciones a que se refiere el artculo 193 concurren las siguientes condiciones: I. Que los estatutos de la sociedad de gestin colectiva solicitante cumplan, a juicio del Instituto, con los requisitos establecidos en esta Ley. II. Que de los datos aportados y de la informacin que pueda allegarse el Instituto, se desprenda que la sociedad de gestin colectiva solicitante rene las condiciones necesarias para asegurar la transparente y eficaz administracin de los derechos, cuya gestin le va a ser encomendada. III. Que el funcionamiento de la sociedad de gestin colectiva favorezca los intereses generales de la proteccin del derecho de autor, de los titulares de los derechos patrimoniales y de los titulares de derechos conexos en el pas. Artculo 200.-Una vez autorizadas las sociedades de gestin colectiva por parte del Instituto, estarn legitimadas en los trminos que resulten de sus propios estatutos para ejercer los derechos confiados a su gestin y hacerlos valer en toda clase de procedimientos administrativos o judiciales. Las sociedades de gestin colectiva estn facultadas para presentar, ratificar o desistirse de demanda o querella a nombre de sus socios, siempre que cuenten con poder general para pleitos y cobranzas con clusula especial para presentar querellas o desistirse de ellas, expedido a su favor y que se encuentre inscrito en el Instituto, sin que sea aplicable lo dispuesto por el artculo 120 del Cdigo Federal de Procedimientos Penales y sin perjuicio de que los autores y que los titulares de derechos derivados puedan coadyuvar personalmente con la sociedad de gestin colectiva que corresponda. En el caso de extranjeros residentes fuera de la Repblica Mexicana se estar a lo establecido en los convenios de reciprocidad respectivos. Artculo 201.-Se debern celebrar por escrito todos los actos, convenios y contratos entre las sociedades de gestin colectiva y los autores, los titulares de derechos patrimoniales o los titulares de derechos conexos, en su caso, as como entre dichas sociedades y los usuarios de las obras, actuaciones, fonogramas, videogramas o emisiones de sus socios, segn corresponda.

Artculo 202.-Las sociedades de gestin colectiva tendrn las siguientes finalidades: I. Ejercer los derechos patrimoniales de sus miembros.
II. Tener en su domicilio, a disposicin de los usuarios, los repertorios que administre. III. Negociar en los trminos del mandato respectivo las licencias de uso de los repertorios que administren con los usuarios, y celebrar los contratos respectivos. IV. Supervisar el uso de los repertorios autorizados.
V. Recaudar para sus miembros las regalas provenientes de los derechos de autor o derechos conexos que les correspondan, y entregrselas previa deduccin de los gastos de administracin de la Sociedad, siempre que exista mandato expreso. VI. Recaudar y entregar las regalas que se generen en favor de los titulares de derechos de autor o conexos extranjeros, por s o a travs de las sociedades de gestin que los representen, siempre y cuando exista mandato expreso otorgado a la sociedad de gestin mexicana y previa deduccin de los gastos de administracin. VII. Promover o realizar servicios de carcter asistencial en beneficio de sus miembros y apoyar actividades de promocin de sus repertorios. VIII. Recaudar donativos para ellas as como aceptar herencias y legados.
IX. Las dems que les correspondan de acuerdo con su naturaleza y que sean compatibles con las y con la funcin de intermediarias de sus miembros con los usuarios o ante las autoridades. Artculo 203.-Son obligaciones de las sociedades de gestin colectiva: I. Intervenir en la proteccin de los derechos morales de sus miembros.
II. Aceptar la administracin de los derechos patrimoniales o derechos conexos que les sean encomendados de acuerdo con su objeto o fines.

III. Inscribir su acta constitutiva y estatutos en el Registro Pblico del Derecho de Autor, una vez que haya sido autorizado su funcionamiento, as como las normas de recaudacin y distribucin, los contratos que celebren con usuarios y los de representacin que tengan con otras de la misma naturaleza, y las actas y documentos mediante los cuales se designen los miembros de los organismos directivos y de vigilancia, sus administradores y apoderados, todo ello dentro de los treinta das siguientes a su aprobacin, celebracin, eleccin o nombramiento, segn corresponda. IV. V. Dar trato igual a todos los miembros. Dar trato igual a todos los usuarios.
VI. Negociar el monto de las regalas que corresponda pagar a los usuarios del repertorio que administran y, en caso de no llegar a un acuerdo, proponer al Instituto la adopcin de una tarifa general presentando los elementos justificativos. VII. Rendir a sus asociados, anualmente un informe desglosado de las cantidades de cada uno de sus socios haya recibido y copia de las liquidaciones, las cantidades que por su conducto se hubiesen enviado al extranjero, y las cantidades que se encuentren en su poder, pendientes de ser entregadas a los autores mexicanos o de ser enviadas a los autores extranjeros, explicando las razones por las que se encuentren pendientes de ser enviadas. Dichos informes debern incluir la lista de los miembros de la sociedad y los votos que les corresponden. VIII. Entregar a los titulares de derechos patrimoniales de autor que representen, copia de la documentacin que sea base de la liquidacin correspondiente. El derecho a obtener la documentacin comprobatoria de la liquidacin es irrenunciable. IX. Liquidar las regalas recaudadas por su conducto, as como los intereses generados por ellas, en un plazo no mayor de tres meses, contados a partir de la fecha en que tales regalas hayan sido recibidas por la sociedad. Artculo 204.-Son obligaciones de los administradores de la sociedad de gestin colectiva: I. Responsabilizarse del cumplimiento de las obligaciones de la sociedad a que se refiere el artculo anterior.

II. Responder civil y penalmente por los actos realizados por ellos durante su administracin. III. Entregar a los socios la copia de la documentacin a que se refiere la fraccin VIII del artculo anterior. IV. Proporcionar al Instituto y dems autoridades competentes la informacin y documentacin que se requiera a la sociedad, conforme a la Ley. V. VI. Apoyar las inspecciones que lleve a cabo el Instituto. Las dems a que se refieran esta Ley y los estatutos de la sociedad.
Artculo 205.-En los estatutos de las sociedades de gestin colectiva se har constar, por lo menos, lo siguiente: I. La denominacin. II. III. IV. V. VI. VII. El domicilio. El objeto o fines. Las clases de titulares de derechos comprendidos en la gestin. Las condiciones para la adquisicin y prdida de la calidad de socio. Los derechos y deberes de los socios. El rgimen de voto:
a) Establecer el mecanismo idneo para evitar la sobre representacin de los miembros. b) Invariablemente, para la exclusin de socios, el rgimen de voto ser el de un voto por socio y el acuerdo deber ser del 75% de los votos asistentes a la Asamblea. VIII. Los rganos de gobierno, de administracin, y de vigilancia, de la sociedad de gestin colectiva y su respectiva competencia, as como las normas relativas a la convocatoria a las distintas asambleas, con la prohibicin expresa de adoptar acuerdos respecto de los asuntos que no figuren en el orden del da.

IX. El procedimiento de eleccin de los socios administradores. No se podr excluir a ningn socio de la posibilidad de fungir como administrador. X. El patrimonio inicial y los recursos econmicos previstos.
XI. El porcentaje del monto de recursos obtenidos por la sociedad, que se destinar a: a) b) c) La administracin de la sociedad. Los programas de seguridad social de la sociedad. Promocin de obras de sus miembros.
XII. Las reglas a que han de someterse los sistemas de reparto de la recaudacin. Tales reglas se basarn en el principio de otorgar a los titulares de los derechos patrimoniales o conexos que representen, una participacin en las regalas recaudadas que sea estrictamente proporcional a la utilizacin actual, efectiva y comprobada de sus obras, actuaciones, fonogramas o emisiones. Artculo 206.-Las reglas para las convocatorias y qurum de las asambleas se debern apegar a lo dispuesto por esta Ley y su reglamento y por la Ley General de Sociedades Mercantiles. Artculo 207.- Previa denuncia de por lo menos el diez por ciento de los miembros el Instituto exigir a las sociedades de gestin colectiva, cualquier tipo de informacin y ordenar inspecciones y auditoras para verificar que cumplan con la presente Ley y sus disposiciones reglamentarias. Titulo X DEL INSTITUTO NACIONAL DEL DERECHO DE AUTOR Captulo nico Artculo 208.-El Instituto Nacional del Derecho de Autor, autoridad administrativa en materia de derechos de autor y derechos conexos, es un rgano desconcentrado de la Secretara de Educacin Pblica. Artculo 209.-Son funciones del Instituto: I. Proteger y fomentar el derecho de autor.

II. III. IV.
Promover la creacin de obras literarias y artsticas. Llevar el Registro Pblico del Derecho de Autor. Mantener actualizado su acervo histrico.
V. Promover la cooperacin internacional y el intercambio con instituciones encargadas del registro y proteccin del derecho de autor y derechos conexos. Artculo 210.-El Instituto tiene facultades para: I. II. Realizar investigaciones respecto de presuntas infracciones administrativas. Solicitar a las autoridades competentes la prctica de visitas de inspeccin.
III. Ordenar y ejecutar los actos provisionales para prevenir o terminar con la violacin al derecho de autor y derechos conexos. IV. Imponer las sanciones administrativas que sean procedentes.
V. Las dems que le correspondan en los trminos de la presente Ley, sus reglamentos y dems disposiciones aplicables. Artculo 211.-El Instituto estar a cargo de un Director General que ser nombrado y removido por el Ejecutivo Federal, por conducto del Secretario de Educacin Pblica, con las facultades previstas en la presente Ley, en sus reglamentos y dems disposiciones aplicables. Artculo 212.-Las tarifas para el pago de regalas sern propuestas por el Instituto a solicitud expresa de las sociedades de gestin colectiva o de los usuarios respectivos. El Instituto analizar la solicitud tomando en consideracin los usos y costumbres en el ramo de que se trate y las tarifas aplicables en otros pases por el mismo concepto. Si el Instituto est en principio de acuerdo con la tarifa cuya expedicin se le solicita, proceder a publicarla en calidad de proyecto en el Diario Oficial de la Federacin y otorgar a los interesados un plazo de 30 das para formular observaciones. Si no hay oposicin, el Instituto proceder a proponer la tarifa y a su publicacin como definitiva en el Diario Oficial de la Federacin. Si hay oposicin, el Instituto har un segundo anlisis y propondr la tarifa que a su juicio proceda, a travs de su publicacin en el Diario Oficial de la Federacin.

Titulo XI DE LOS PROCEDIMIENTOS Captulo I DEL PROCEDIMIENTO ANTE AUTORIDADES JUDICIALES Artculo 213.-Los Tribunales Federales conocern de las controversias que se susciten con motivo de la aplicacin de esta Ley, pero cuando dichas controversias slo afecten intereses particulares, podrn conocer de ellas, a eleccin del actor, los tribunales de los Estados y del Distrito Federal. Las acciones civiles que se ejerciten se fundarn, tramitarn y resolvern conforme a lo establecido en esta Ley y en sus reglamentos, siendo supletorio el Cdigo Federal de Procedimientos Civiles ante Tribunales Federales y la legislacin comn ante los Tribunales del orden comn. Artculo 214.-En todo juicio en que se impugne una constancia, anotacin o inscripcin en el registro, ser parte el Instituto y slo podrn conocer de l los tribunales federales. Artculo 215.-Corresponde conocer a los Tribunales de la Federacin de los delitos relacionados con el derecho de autor previstos en el Ttulo Vigsimo Sexto del Cdigo Penal para el Distrito Federal en Materia de Fuero Comn y para toda la Repblica en Materia de Fuero Federal. Artculo 216.-Las autoridades judiciales darn a conocer al Instituto la iniciacin de cualquier juicio en materia de derechos de autor. Asimismo, se enviar al Instituto una copia autorizada de todas las resoluciones firmes que en cualquier forma modifiquen, graven, extingan o confirmen los derechos de autor sobre una obra u obras determinadas. En vista de estos documentos se harn en el registro las anotaciones provisionales o definitivas que correspondan. Artculo 216 bis.- La reparacin del dao material y/o moral as como la indemnizacin por daos y perjuicios por violacin a los derechos que confiere esta Ley en ningn caso ser inferior al cuarenta por ciento del precio de venta al pblico del producto original o de la prestacin original de cualquier tipo de servicios que impliquen violacin a alguno o algunos de los derechos tutelados por esta Ley.

El juez con audiencia de peritos fijar el importe de la reparacin del dao o de la indemnizacin por daos y perjuicios en aquellos casos en que no sea posible su determinacin conforme al prrafo anterior. Para los efectos de este Artculo se entiende por dao moral el que ocasione la violacin a cualquiera de los derechos contemplados en las Fracciones I, II, III, IV y VI del Artculo 21 de esta Ley. Captulo II DEL PROCEDIMIENTO DE AVENENCIA Artculo 217.-Las personas que consideren que son afectados en alguno de los derechos protegidos por esta Ley, podrn optar entre hacer valer las acciones judiciales que les correspondan o sujetarse al procedimiento de avenencia. El procedimiento administrativo de avenencia es el que se substancia ante el Instituto, a peticin de alguna de las partes para dirimir de manera amigable un conflicto surgido con motivo de la interpretacin o aplicacin de esta Ley. Artculo 218.- El procedimiento administrativo de avenencia lo llevar a cabo el Instituto conforme a lo siguiente: I. Se iniciar con la queja, que por escrito presente ante el Instituto quien se considere afectado en sus derechos de autor, derechos conexos y otros derechos tutelados por la presente Ley. II. Con la queja y sus anexos se dar vista a la parte en contra de la que se interpone, para que la conteste dentro de los diez das siguientes a la notificacin. III. Se citar a las partes a una junta de avenencia, apercibindolas que de no asistir se les impondr una multa de cien veces el salario mnimo general diario vigente en el Distrito Federal. Dicha junta se llevar a cabo dentro de los veinte das siguientes a la presentacin de la queja. IV. En la junta respectiva el Instituto tratar de avenir a las partes para que lleguen a un arreglo. De aceptarlo ambas partes, la junta de avenencia puede diferirse las veces que sean necesarias a fin de lograr la conciliacin. El convenio firmado por las partes y el Instituto tendr el carcter de cosa juzgada y ttulo ejecutivo.

V. Durante la junta de avenencia, el Instituto no podr hacer determinacin alguna sobre el fondo del asunto, pero si podr participar activamente en la conciliacin. VI. En caso de no lograrse la avenencia, el Instituto exhortar a las partes para que se acojan al arbitraje establecido en el Captulo III de este Ttulo; Las actuaciones dentro de este procedimiento tendrn el carcter de confidenciales y, por lo tanto, las constancias de las mismas slo sern enteradas a las partes del conflicto o a las autoridades competentes que las soliciten. Captulo III DEL ARBITRAJE Artculo 219.-En el caso de que surja alguna controversia sobre los derechos protegidos por esta Ley, las partes podrn someterse a un procedimiento de arbitraje, el cual estar regulado conforme a lo establecido en este Captulo, sus disposiciones reglamentarias y, de manera supletoria, las del Cdigo de Comercio. Artculo 220.-Las partes podrn acordar someterse a un procedimiento arbitral por medio de: I. Clusula Compromisoria: El acuerdo de arbitraje incluido en un contrato celebrado con obras protegidas por esta Ley o en un acuerdo independiente referido a todas o ciertas controversias que puedan surgir en el futuro entre ellos. II. Compromiso Arbitral: El acuerdo de someterse al procedimiento arbitral cuando todas o ciertas controversias ya hayan surgido entre las partes al momento de su firma. Tanto la clusula compromisoria como el compromiso arbitral deben constar invariablemente por escrito. Artculo 221.-El Instituto publicar en el mes de enero de cada ao una lista de las personas autorizadas para fungir como rbitros. Artculo 222.-El grupo arbitral se formar de la siguiente manera: I. Cada una de las parte elegir a un rbitro de la lista que proporcionen el Instituto. II. Cuando sean ms de dos partes las que concurran, se debern poner de acuerdo entre ellas para la designacin de los rbitros, en caso de que no haya acuerdo, el Instituto designar a los dos rbitros.

III. Entre los dos rbitros designados por las partes elegirn, de la propia lista al presidente del grupo. Artculo 223.-Para ser designado rbitro se necesita: I. II. Ser Licenciado en Derecho. Gozar de reconocido prestigio y honorabilidad.
III. No haber prestado durante los cinco aos anteriores sus servicios en alguna sociedad de gestin colectiva. IV. V. No haber sido abogado patrono de alguna de las partes. No haber sido sentenciado por delito doloso grave.
VI. No ser pariente consanguneo o por afinidad de alguna de las partes hasta el cuarto grado, o de los directivos en caso de tratarse de persona moral. VII. No ser servidor pblico.
Artculo 224.-El plazo mximo del arbitraje ser de 60 das, que comenzar a computarse a partir del da siguiente a la fecha sealada en el documento que contenga la aceptacin de los rbitros. Artculo 225.- El procedimiento arbitral podr concluir con el laudo que lo d por terminado o por acuerdo entre las partes antes de dictarse ste. Artculo 226.-Los laudos del grupo arbitral: I. II. III. IV. Se dictarn por escrito. Sern definitivos, inapelables y obligatorios para las partes. Debern estar fundados y motivados. Tendrn el carcter de cosa juzgada y ttulo ejecutivo.
Artculo 227.-Dentro de los cinco das siguientes a la notificacin del laudo, cualquiera de las partes podr requerir del grupo arbitral, notificando por escrito al Instituto y a la otra parte, que aclare los puntos resolutivos del mimo, rectifique

cualquier error de clculo, tipogrfico o cualquier otro de naturaleza similar, siempre y cuando no se modifique el sentido del mismo. Artculo 228.-Los gastos que se originen con motivo del procedimiento arbitral sern a cargo de las partes. El pago de honorarios del grupo arbitral ser cubierto conforme al arancel que expida anualmente el Instituto. Titulo XII DE LOS PROCEDIMIENTOS ADMINISTRATIVOS Captulo I DE LAS INFRACCIONES EN MATERIA DE DERECHOS DE AUTOR Artculo 229.-Son infracciones en materia de derecho de autor: I. Celebrar el editor, empresario, productor, empleador, organismo de radiodifusin o licenciatario un contrato que tenga por objeto la transmisin de derechos de autor en contravencin a lo dispuesto por la presente Ley. II. Infringir el licenciatario los trminos de la licencia obligatoria que se hubiese declarado conforme al artculo 146 la presente Ley. III. Ostentarse como sociedad de gestin colectiva sin haber obtenido el registro correspondiente ante el Instituto. IV. No proporcionar, sin causa justificada, al Instituto, siendo administrador de una sociedad de gestin colectiva los informes y documentos a que se refieren los artculos 204 fraccin IV y 207 de la presente Ley. V. No insertar en una obra publicada las menciones a que se refiere el artculo 17 de la presente Ley. VI. Omitir o insertar con falsedad en una edicin los datos a que se refiere el artculo 53 de la presente Ley. VII. Omitir o insertar con falsedad las menciones a que se refiere el artculo 54 de la presente Ley.

VIII. No insertar en un fonograma las menciones a que se refiere el artculo 132 de la presente Ley. IX. Publicar una obra, estando autorizado para ello, sin mencionar en los ejemplares de ella el nombre del autor, traductor, compilador, adaptador o arreglista. X. Publicar una obra, estando autorizado para ello, con menoscabo de la reputacin del autor como tal y, en su caso, del traductor, compilador, arreglista o adaptador. XI. Publicar antes que la Federacin, los Estados o los Municipios y sin autorizacin las obras hechas en el servicio oficial. XII. Emplear dolosamente en una obra un ttulo que induzca a confusin con otra publicada con anterioridad. XIII. Fijar, representar, publicar, efectuar alguna comunicacin o utilizar en cualquier forma una obra literaria y artstica, protegida conforme al captulo III, del Ttulo VII, de la presente Ley, sin mencionar la comunidad o etnia, o en su caso la regin de la Repblica Mexicana de la que es propia. XIV. Las dems que se deriven de la interpretacin de la presente Ley y sus reglamentos. Artculo 230.-Las infracciones en materia de derechos de autor sern sancionadas por el Instituto con arreglo a lo dispuesto por la Ley Federal de Procedimiento Administrativo con multa: I. De cinco mil hasta quince mil das de salario mnimo en los casos previstos en las fracciones I, II, III, IV, XI, XII, XIII y XIV del artculo anterior. II. De mil hasta cinco mil das de salario mnimo en los dems casos previstos en el artculo anterior. Se aplicar multa adicional de hasta quinientos das de salario mnimo por da, a quien persista en la infraccin.

Captulo II DE LAS INFRACCIONES EN MATERIA DE COMERCIO Artculo 231.-Constituyen infracciones en materia de comercio las siguientes conductas cuando sean realizadas con fines de lucro directo o indirecto: I. Comunicar o utilizar pblicamente una obra protegida por cualquier medio, y de cualquier forma sin la autorizacin previa y expresa del autor, de sus legtimos herederos o del titular del derecho patrimonial de autor. II. Utilizar la imagen de una persona sin su autorizacin o la de sus causahabientes. III. Producir, reproducir, almacenar, distribuir, transportar o comercializar copias de obras, fonogramas, videogramas o libros, protegidos por los derechos de autor o por los derechos conexos, sin la autorizacin de los respectivos titulares en los trminos de esta ley. IV. Ofrecer en venta, almacenar, transportar o poner en circulacin obras protegidas por esta Ley que hayan sido deformadas, modificadas o mutiladas sin autorizacin del titular del derecho de autor. V. Importar, vender, arrendar o realizar cualquier acto que permita tener un dispositivo o sistema cuya finalidad sea desactivar los dispositivos electrnicos de proteccin de un programa de computacin. VI. Retransmitir, fijar, reproducir y difundir al pblico emisiones de organismos de radiodifusin y sin la autorizacin debida. VII. Usar, reproducir o explotar una reserva de derechos protegida o un programa de cmputo sin el consentimiento del titular. VIII. Usar o explotar un nombre, ttulo, denominacin, caractersticas fsicas o psicolgicas, o caractersticas de operacin de tal forma que induzcan a error o confusin con una reserva de derechos protegida. IX. Utilizar las obras literarias y artsticas protegidas por el captulo III, del Ttulo VII de la presente Ley en contravencin a lo dispuesto por el artculo 158 de la misma.

X. Las dems infracciones a las disposiciones de la Ley que impliquen conducta a escala comercial o industrial relacionada con obras protegidas por esta Ley. Artculo 232.-Las infracciones en materia de comercio, previstos en la presente Ley sern sancionadas por el Instituto Mexicano de la Propiedad Industrial con multa: I. De cinco mil hasta diez mil das de salario mnimo en los casos previstos en las fracciones I, III, IV, V, VII, VIII y IX del artculo anterior. II. De mil hasta cinco mil das de salario mnimo en los casos previstos en las fracciones II y VI del artculo anterior. III. De quinientos hasta mil das de salario mnimo en los dems casos a que se refiere la fraccin X del artculo anterior. Se aplicar multa adicional de hasta quinientos das de salario mnimo general vigente por da, a quien persista en la infraccin. Artculo 233.-Si el infractor fuese un editor, organismo de radiodifusin, o cualquier persona fsica o moral que explote obras a escala comercial, la multa podr incrementarse hasta en un cincuenta por ciento respecto de las cantidades previstas en el artculo anterior. Artculo 234.-El Instituto Mexicano de la Propiedad Industrial sancionar las infracciones materia de comercio con arreglo al procedimiento y las formalidades previstas en los Ttulos Sexto y Sptimo de la Ley de la Propiedad Industrial. El Instituto Mexicano de la Propiedad Industrial podr adoptar las medidas precautorias previstas en la Ley de Propiedad Industrial. Para tal efecto, el Instituto Mexicano de la Propiedad Industrial, tendr las facultades de realizar investigaciones; ordenar y practicar visitas de inspeccin; requerir informacin y datos. Artculo 235.-En relacin con las infracciones en materia de comercio, el Instituto Mexicano de la Propiedad Industrial queda facultado para emitir una resolucin de suspensin de la libre circulacin de mercancas de procedencia extranjera en frontera, en los trminos de lo dispuesto por la Ley Aduanera.

Artculo 236.-Para la aplicacin de las sanciones a que se refiere este Ttulo se entender como salario mnimo el salario mnimo general vigente en el Distrito Federal en la fecha de la comisin de la infraccin. Captulo III DE LA IMPUGNACIN ADMINISTRATIVA Artculo 237.-Los afectados por los actos y resoluciones emitidos por el Instituto que pongan fin a un procedimiento administrativo, a una instancia o resuelvan un expediente, podrn interponer recurso de revisin en los trminos de la Ley Federal del Procedimiento Administrativo. Artculo 238.-Los interesados afectados por los actos y resoluciones emitidos por el Instituto Mexicano de la Propiedad Industrial por las infracciones en materia de comercio que pongan fin a un procedimiento administrativo, a una instancia o resuelvan un expediente, podrn interponer los medios de defensa establecidos en la Ley de la Propiedad Industrial. 8.1.3.1 DERECHOS MORALES Los derechos morales en el campo del derecho de autor incluyen dos aspectos especficos, el derecho al reconocimiento de la paternidad de la obra (autora) y el derecho de un autor a preservar la integridad de la obra, es decir, a negarse a la realizacin de modificaciones u obras derivadas de la misma. El reconocimiento de los derechos morales apunta esencialmente a la idea de una supuesta conexin entre el autor y su obra, a la reputacin del autor y al derecho inalienable de este a disponer de la obra en trminos de reconocimiento as como de integridad. La infraccin ms comn a los derechos morales es el plagio. 1) Independientemente de los derechos patrimoniales del autor, e incluso despus de la cesin de estos derechos, el autor conservar el derecho de reivindicar la paternidad de la obra y de oponerse a cualquier deformacin, mutilacin u otra modificacin de la misma o a cualquier atentado a la misma que cause perjuicio a su honor o a su reputacin. 2) Los derechos reconocidos al autor en virtud del prrafo 1) sern mantenidos despus de su muerte, por lo menos hasta la extincin de sus derechos patrimoniales, y ejercidos por las personas o instituciones a las que la legislacin

nacional del pas en que se reclame la proteccin reconozca derechos. Sin embargo, los pases cuya legislacin en vigor en el momento de la ratificacin de la presente Acta o de la adhesin a la misma, no contenga disposiciones relativas a la proteccin despus de la muerte del autor de todos los derechos reconocidos en virtud del prrafo 1) anterior, tienen la facultad de establecer que alguno o algunos de esos derechos no sern mantenidos despus de la muerte del autor. 8.1.3.2 DERECHOS PATRIMONIALES El software, en tanto que es un bien, est sujeto a las reglas del derecho civil y, en tanto que es intangible, sujeto a las reglas de propiedad intelectual. No obstante, la actividad humana de desarrollarlo y otras relacionadas, como lo son su comercializacin, implementacin, integracin o mantenimiento, estn o pueden estar sujetas a una multiplicidad de reglas ms, como lo son las del derecho mercantil, fiscal, de la propiedad industrial y de la proteccin al consumidor. Asimismo, en tanto ms amplia y compleja sea una organizacin dedicada al desarrollo de software, la aplicacin de reglas adicionales se hace evidente, tales como las del derecho laboral y societario. La proteccin legal que se le otorga al software vara significativamente de pas a pas, dependiendo de cmo se perciba, el rgimen legal aplicable, e incluso su historia y cultura econmica. Por ejemplo, en Asia el desarrollo de software se percibe como una industria manufacturera, en donde los desarrolladores son fabricantes y el software un bien de produccin que juega un rol dentro de los procesos de otras industrias. En Norteamrica se percibe una industria, como una actividad creativa, pero con fines meramente econmicos. De ah que la proteccin otorgada por el Copyright se limite precisamente al derecho de prohibir o autorizar su reproduccin. En Mxico, al igual que en Europa, donde nuestro rgimen legal tiene como base al llamado Civil Law o Derecho Romano-Germnico, el desarrollo de software es considerado como un arte y los programas en s mismos son obras que merecen ser protegidas por el llamado Droit d Auteur o Derecho de Autor, el cual no se limita nicamente al derecho de prohibir o autorizar su reproduccin, sino que otorga al creador de una obra la proteccin al vnculo que lo une con su creacin intelectual, tanto desde una perspectiva personal como real, toda vez que protege su autora y sus derechos de propiedad sobre el mismo. Es por ello que nuestra legislacin protege tanto los derechos patrimoniales como morales de los desarrolladores de software.

El derecho patrimonial o econmico es el que el autor tiene para explotar de forma exclusiva su software o de permitir a otros explotarlo (copyright). Es decir, de autorizar o prohibir su reproduccin, publicacin o transmisin en cualquier medio (papel, CD, Internet). El autor de un software puede transmitir este derecho sobre su obra sin limitacin alguna. Por su parte, el derecho moral es el derecho que el autor tiene de decidir sobre si ha de divulgar o no su obra y la forma de hacerlo, as como de exigir su reconocimiento como autor de la misma, de modificarla y de oponerse a cualquier modificacin, deformacin o mutilacin. En este caso, este derecho es irrenunciable e intransferible. Cabe sealar que la proteccin legal es inmediata, sin necesidad de registro alguno, desde el momento en que la obra se fija en un soporte material, por ejemplo, en un papel o en un archivo electrnico. El registro de un programa de cmputo ante el Instituto Nacional del Derecho de Autor es meramente declarativo, ms no constitutivo de derechos, por lo que su utilidad principal es como medio de prueba. CONSIDERACIONES JURDICAS. Siendo el desarrollo de software una actividad que nuestros legisladores optaron por regular como un arte, no como una ciencia y mucho menos como una industria, los empresarios mexicanos que buscan expandir el desarrollo de software bajo un esquema de negocios deben tomar en cuenta no slo este enfoque regulatorio, sino muchas otras consideraciones jurdicas ms. Antes de constituirse como entidad legal, el empresario mexicano debe definir el core business de su empresa y su mercado. Decidir desarrollar software a la medida o software empaquetado, o prestar servicios de integracin o implementacin de software, tiene una incidencia directa en el tipo legal ms adecuado bajo el cual debe constituir su empresa. No pocas veces ha sucedido que por esta falta de enfoque se elija, por ejemplo, constituir una sociedad annima en vez de una sociedad civil, sujetndose as, sin ninguna necesidad, a un rgimen fiscal mucho ms estricto. Asimismo, por muy pequea que parezca su empresa en un inicio, la integracin de la definicin del core business con la visin de crecimiento que se tenga a mediano o largo plazo, deben ir de la mano con el establecimiento del objeto social de la empresa y la estructura corporativa idnea. En el mejor de los casos, una falta de previsin en cualquiera de estos sentidos puede implicar gastos innecesarios en modificaciones a los estatutos de su empresa o en su representacin legal; pero en el peor de ellos, podra impedir la inclusin de

nuevos inversionistas en el momento y lugar adecuados, dejando pasar as valiosas oportunidades de crecimiento. Otra consideracin de vital importancia es la aplicabilidad de legislacin especial, como es el caso de la laboral. Hay que recordar que esta regulacin es de orden pblico y en todo caso, en situacin de conflicto, la carga de la prueba la tiene el empleador. Por lo anterior, es muy importante que queden bien documentadas todas las obligaciones que los empleados de una empresa dedicada al desarrollo de software tienen, tanto los desarrolladores, como el personal administrativo. Hay que tener en mente que la proteccin mnima que la ley otorga a los desarrolladores de software como empresarios es la presuncin de que, salvo pacto en contrario, los derechos patrimoniales del software desarrollado por el empleado dentro de las funciones de su cargo y bajo instrucciones del empleador nicamente, pertenecen a este ltimo. Por lo anterior, esta proteccin mnima debe complementarse con disposiciones contractuales explcitas en materia de renuncia de derechos y secretos industriales, mediante slidos contratos laborales y clusulas de confidencialidad. No hay que olvidar que la proteccin legal otorgada por la legislacin en materia de derechos de autor se restringe a la proteccin de la obra tal cual es fijada sobre el soporte material (cdigo fuente y cdigo objeto), no a la idea. Por lo que debe tambin considerarse la proteccin adicional de elementos no visibles, tales como la estructura, organizacin, secuencia, interfaces (el llamado look & feel de un programa), as como las bases de datos y contenidos relacionados. De esta forma, en la manera de lo posible pueden tenerse maneras efectivas de combatir prcticas de clean room de posibles competidores. Finalmente, las nuevas formas de comercializacin y distribucin merecen una atencin legal especial. Por su naturaleza, la distribucin y comercializacin de software a travs de medios electrnicos, como Internet, no slo es conveniente, sino eficiente. En estos casos, no deben considerarse nicamente los trminos y condiciones de la licencia de uso de los programas de cmputo as distribuidos, sino la forma y sustancia de la contratacin electrnica para fines de validez y como medio de prueba. Asimismo, hay que recordar que los usuarios finales son consumidores y estn amparados bajo una regulacin especial y favorable en cuanto a contratacin de bienes y servicios se refiere. 8.2 INSTITUTO NACIONAL DEL DERECHO DE AUTOR (INDA-AUTOR). Dominada desde hace ms de una dcada por el ensamble de equipo para cmputo y las redes de telecomunicaciones, televisores y telfonos celulares, la

manufactura high-tech ha sido una de las joyas de la corona del sector exportador de Mxico. Firmas como LG, Samsung, Sony, as como Jabil Electronics, Sanmina, Flextronics, Elcoq y Hon Hai son parte de un sector que export 12,000 millones de dlares en 2008 y este ao podra facturar 5% ms. Nada mal si se considera que el PIB caera hasta -9%. A diferencia de la debacle automotriz global, con cierres de lneas de produccin y de plantas de autopartes desde 2007 (a un costo de miles de plazas laborales), la electrnica se ha mantenido, con altibajos y cierres en ciudades como Reynosa, Hermosillo y la propia Guadalajara, pero no a un ritmo tan dramtico. Adems, entr en vigor algo que se vena gestando desde hace por lo menos cinco aos: el cambio de vocacin en el cluster tapato de la electrnica, con ms personal dedicado a servicios que al ensamble propiamente. S padecimos el cierre de una planta de Hitachi, pero muchos de los 5,000 empleados se pudieron incorporar con otros fabricantes y sectores nuevos, como el del software, los servicios y nichos como la aeronutica y la biomdica, dice Jacobo Gonzlez, director de Promocin a la Inversin de la Secretara de Promocin Econmica (Seproe) de Jalisco. Mxico 2.0 Parte del equipo de GlobalVantage ocupa algunas de las salas del Parque de Tecnologa del ITESO, ubicado en un fro edificio de cemento a un costado del campus de la Universidad Jesuita de Guadalajara. En medio de la efervescencia de unos 80 empleados de una docena de firmas del Programa de Gestin de Innovacin y Tecnologa, Gisel Hernndez, gerente de Incubacin, dice que hay una inquietud muy grande que lleva a egresados del ITESO a montar empresas de software y servicios. La vinculacin de empresas, gobierno y universidades est generando una idea de que podemos competir con India y otros mercados globales emergentes del software, como Rusia y Filipinas; ciertamente, nos va mejor que a Brasil y Argentina, dice Hernndez. Este sentir lo confirman estudios de consultoras en el ramo que ubican a Mxico como dcimo lugar en el ndice global de acceso al mercado de las TI (dice la consultora en gestin ATKearney); o como el primer mercado en Amrica Latina en ambiente de negocios para esta industria, as como poseedor de la

novena reserva mundial de capital humano para TI (segn McKinsey, una empresa de consultora de negocios). Por su parte, Gartner, una compaa que analiza el mercado de bienes y servicios tecnolgicos, dice que Mxico es uno de los principales destinos globales de servicios y que desde 2004 el pas es el cuarto ms buscado para el outsourcing. En encuestas con empresas de Estados Unidos, el principal comprador de este tipo de aplicaciones, Gartner reporta que Mxico es visto como el segundo mercado al que firmas gringas consideraran como destino de su inversin en caso de buscar proveedores de servicios de software. Vemos un gran potencial en este pas, dice Donald Feinberg, vicepresidente de Investigacin de Gartner durante una charla en un foro de tecnologa en la Ciudad de Mxico. Y esto no es en cuanto al nmero de profesionales y personal tcnico o firmas proveedoras, pues China o India son 10 veces ms grandes, dice Feinberg. Pero s en lo que vemos por la calidad del trabajo y el costo total de los proyectos. 8.2.1 DEFINICIN Es una institucin que salvaguarda los derechos autorales, promueve su conocimiento en los diversos sectores de la sociedad, fomenta la creatividad y el desarrollo cultural e impulsa la cooperacin internacional y el intercambio con instituciones encargadas del registro y proteccin del derecho de autor. Como hacer tramites en el INDAUTOR. En el caso de proyectos editoriales externos a la UNAM, los trmites pueden realizarse de manera personal ante el Instituto Nacional del Derecho de Autor (INDAUTOR), tanto la reserva de derechos al uso exclusivo del ttulo, como los registros ISBN e ISSN. El registro de obras y la inscripcin de instrumentos, como convenios y contratos, deben hacerse en el Registro Pblico del Derecho de Autor del INDAUTOR. Para realizar un trmite es necesario anexar a las formas de datos del INDAUTOR, la informacin o los documentos correspondientes, as como los pagos al Servicio de Administracin Tributaria (SAT), en su caso, sealados por la

Ley General de Derechos, de la misma manera como se presentan en la Direccin General de Asuntos Jurdicos. Las formas, as como informacin relacionada, pueden localizarse en la pgina web ubicada en: http://www.sep.gob.mx/wb/sep1/sep1_INDAUTOR. Una gran ventaja que ofrece el sitio web mencionado es que las formas pueden seleccionarse de acuerdo al tipo de trmite e imprimirse, con el fin de agregar los datos correspondientes al titular para realizar el pago de derechos. Los pagos al SAT deben realizarse ante una sucursal bancaria, por medio de la Hoja de Ayuda para el pago en Ventanilla Bancaria, cuyu ejemplo se encuentran en la pagina http://www.sep.gob.mx/work/resources/LocalContent/35798/15/Reg1.pdf 8.2.2 UBICACIN DE INDA-AUTOR Esta institucin se encuentra ubicada en la calle de Puebla 143 en la colonia Roma, delegacin Cuauhtmoc, C. P. 06600, Mxico, D.F. 8.3 DIRECCION GENERAL DE ASUNTOS JURIDICOS DE LA UNAM (DGAJ) Parte su labor y actividad es resolver los distintos conflictos entre los diferentes individuos que se relacionan en sociedad. 8.3.1 DEFINICION Coordinacin General de Asuntos Jurdicos y Derechos Humanos provee asesora y consultora jurdica en general, as como la defensa de los intereses jurdicos y patrimoniales de la Secretara de Salud y del Sector coordinado por sta, a su peticin. 8.3.2 RELACION CON EL INDA-AUTOR La reserva de derechos al uso exclusivo del ttulo, es la facultad que se tiene para que el ttulo empleado en una publicacin peridica (gacetas, revistas, boletines, catlogos o folletos); una difusin peridica (programas de radio o televisin), o una definicin va red de cmputo (como red UNAM e Internet), no sea utilizado en ninguna otra publicacin o difusin, de acuerdo con el artculo 173 de la Ley Federal del Derecho de Autor. Cabe sealar que con esta reserva tambin se tiene el derecho de explotar, de manera exclusiva, nombres y caractersticas de personajes; nombres o

denominaciones de personas o grupos dedicados a actividades artsticas, y nombres y caractersticas de operacin de promociones publicitarias. La UNAM aprovecha la reserva de derechos al uso exclusivo del ttulo en los campos de la docencia, la investigacin, la divulgacin del conocimiento y la ciencia, as como en la promocin y la difusin de la cultura. sta consta en un certificado que expide el Instituto Nacional del Derecho de Autor, a solicitud de la Direccin General de Asuntos Jurdicos, con el que se otorga proteccin jurdica al uso exclusivo, precisamente, del ttulo de sus publicaciones y difusiones peridicas, no as al contenido de las mismas. Para las publicaciones o difusiones peridicas, la reserva tiene una vigencia de un ao, mientras que para los nombres y caractersticas fsicas y psicolgicas de personajes; nombres o denominaciones de personas o grupos artsticos, y las denominaciones y caractersticas de promociones publicitarias, esta vigencia es de cinco aos. La reserva puede ser renovada cada ao, a excepcin de las promociones publicitarias, que al trmino de los cinco aos de vigencia del certificado, pasan a formar parte del dominio pblico. As, la reserva de derechos al uso exclusivo del ttulo comprende tres etapas para su gestin ante el Instituto Nacional del Derecho de Autor, a solicitud de la Direccin General de Asuntos Jurdicos: 1. Anlisis y bsqueda de antecedentes de ttulos reservados. Para asegurar la exclusividad del ttulo que se quiere utilizar, el INDAUTOR hace un estudio acerca de la no existencia de un ttulo igual o similar que cause alguna confusin. Si despus de la bsqueda y el anlisis de dichos antecedentes no se localiza un ttulo igual o similar que cause confusin, el INDAUTOR expide un dictamen favorable a la Universidad; 2. Expedicin del certificado. El dictamen favorable se presenta junto con la solicitud de reserva de derechos al uso exclusivo del ttulo, y si sta cumple con todos los requisitos que estipula la LFDA, el INDAUTOR expide el certificado de reserva de derechos al uso exclusivo del ttulo solicitado, y 3. Renovacin de la reserva. Una vez transcurridos los plazos de proteccin de los ttulos, de uno o cinco aos, segn corresponda, las dependencias editoras deben solicitar la renovacin de la reserva de derechos al uso exclusivo del ttulo, para lo cual debern exhibir el ltimo ejemplar de la publicacin editada dentro del periodo que se comprueba. Para solicitar la renovacin, es indispensable que el ttulo siempre sea utilizado como aparece en el certificado de la reserva, en la misma forma y tamao.

Para la realizacin de los trmites ante el INDAUTOR, es necesario que las dependencias editoras enven a la DGAJ lo siguiente: 1. Anlisis y bsqueda de antecedentes de ttulos reservados. Oficio firmado por el titular de la dependencia, proporcionando el ttulo que se pretende utilizar; 2. Expedicin del certificado de reserva de derechos al uso exclusivo del ttulo. Oficio firmado por el titular de la dependencia; un ejemplar de la publicacin, domi o portada, en que est plasmado el diseo y la ubicacin del ttulo, indicando el ttulo, la fecha de la primera edicin y la periodicidad. Para las difusiones peridicas es importante la carta programtica certificada por el titular de la dependencia. 3. Renovacin de la reserva. Oficio firmado por el titular de la dependencia; el ltimo ejemplar publicado dentro del periodo que se va a comprobar, sin cambios en el ttulo, en cuanto a forma, tamao y orden de las palabras. 8.3.3 UBICACIN DE LA DGAJ Perifrico Sur, nmero 3453, Col. San Jernimo Ldice, Delegacin Magdalena Contreras, C. P. 10200. 8.4 REGISTRO DEL SOFTWARE
Es posible registrar un manual sobre programas informticos o software, as como el software en si, como obra literaria. La proteccin derivada del registro de sus obras dura toda la vida del autor ms 100 aos posteriores a su muerte, es decir, en un aproximado de 4 generaciones descendientes del autor gozaran aun de los derechos de autor.El derecho de autor es un trmino jurdico que describe los derechos concedidos a los creadores por sus obras literarias y artsticas. El derecho de autor en s mismo no depende de procedimientos oficiales. Una obra creada se considera protegida por el derecho de autor desde que existe. No obstante, numerosos pases cuentan con una oficina nacional de derecho de autor y algunas legislaciones permiten registrar obras con objeto, por ejemplo, de identificar y distinguir los ttulos de las obras. 8.4.1 PROCEDIMIENTOS Y REQUERIMIENTOS PARA REGISTRAR EL SOFTWARE EN EL INDA-AUTOR. Convertir tu producto o servicio en una marca registrada es sencillo: slo necesitas un nombre, un logotipo, algunos documentos, dinero y mucha paciencia. Acude al Instituto Mexicano de la Propiedad Industrial (IMPI) y haz lo siguiente:

1.- Solicita un servicio de bsqueda para asegurarte de que no existe una marca idntica o similar a la tuya. El costo de este trmite es de 113 pesos y se solicita mediante un escrito. 2.- Llena la solicitud de registro de marca. Te pedirn, entre otros datos: Tu nombre y domicilio. El tipo de marca que quieres registrar. Hay cuatro opciones: nominativa (palabras sin diseos), innominada (diseos sin palabras), tridimensional (envases o empaques en tres dimensiones, que no contengan palabras o dibujos) y mixta (combinacin de las anteriores). Etiqueta o impresin fotogrfica de tu marca. La fecha en que comenzaste a usar la marca con fines comerciales. La clase a la que pertenece tu producto o servicio. Tu firma y la fecha. 3.- Paga en el banco. El costo total por el registro de una marca es de 2,497 pesos y se paga mediante un formato que es proporcionado por el IMPI. 4.- Lleva tus documentos: Solicitud de registro (necesitas el original y tres copias). Comprobante de pago (original y copia). Seis etiquetas o impresiones fotogrficas de tu marca. 5.- Si tu marca es aprobada y se convierte en una marca registrada, tardarn seis meses en entregarte tu ttulo de registro de marca, que te ampara como nico dueo de tu idea por los prximos 10 aos. 8.4.3 VENTAJAS Y DESVENTAJAS AL REGISTRAR EL SOFTWARE El software licenciado consiste en todos aquellos programas que son distribuidos bajo una licencia donde se especifica su condicin de uso por parte del usuario, estos conforman los que son programas de pago como por ejemplo: nero, delphi, visual studio, fruity loops studio, etc. Entre sus ventajas se puede citar: 1 - Mantiene protegido el trabajo realizado por los creadores del software de la distribucin de su producto sin recibir algn beneficio por el mismo. 2 - Algunos proveen soporte tcnico 24 gratis a sus usuarios.

3 Actualizaciones (mayormente gratis) o cambio de version a un costo menor que si comprara la nueva versin. Algunas de sus desventajas se pueden mencionar: 1 - Hay que realizar el pago de cuotas anuales para poder seguir usando el producto. 2 - El costo de las licencias pueden llegar a ser muy caras por lo que puede incitar a la piratera por parte del usuario en caso de que este muy exasperado por conseguirlo. 3 - El usuario no puede modificar el programa para que se ajuste o realice acciones que este deseara que hiciera sin tener que violar el acuerdo de la licencia. 4 - No puede distribuirse libremente o instalarse en una cantidad de equipos que excedan la cantidad mxima especificada en la licencia. Existen mas ventajas y desventajas todo depende desde el punto de vista que se mire espero que hayan ayudado las que te mencione. 8.5 VIOLACIN A LOS DERECHOS DEL AUTOR La Internet, como cualquier otro medio digitalizado, permite la fcil copia de los contenidos que se presentan en la misma, bien sea en los mensajes de correo, sistemas de mensajera por boletn, o en las pginas Web. Sin embargo, la facilidad de copia, aunque invita, no autoriza la copia indiscriminada de contenidos. Los derechos de autor existen en este medio como en cualquier otro. Hay muchos mitos alrededor del proceso de proteccin de los derechos de autor y de a qu se tiene derecho por parte del dueo. Sin embargo, con el advenimiento de una mayor digitalizacin de contenidos y con la facilidad de distribucin (copiadores de CD's, copia de contenido Web, etc.) las empresas propietarias de derechos han ejercido presiones para que en cada pas se acojan leyes internacionales sobre la materia y se persiga a los infractores. El autor de una obra (o su patrono en algunos casos) es el propietario de los derechos de autor sobre la obra. Estas obras incluyen trabajos literarios como libros, artculos de revistas, boletines (como ste), trabajos musicales, pelculas de

cine, programas de televisin, en fin, donde se pueda catalogar el trabajo como propiedad intelectual de un individuo o empresa. No se incluyen elementos funcionales como una mquina. Se puede proteger la descripcin de la mquina, ms no la mquina. Tampoco se puede proteger por derechos de autor y copiado los ttulos, nombres y eslogan de campaas. Estas se pueden proteger por Registro de Marca en algunas ocasiones. El autor tiene derecho, entre otros, a detener procesos de copiado y reproduccin del trabajo, detener la elaboracin de trabajo derivado del trabajo original (como nuevos trabajos basados en trabajos actuales as se usen otras palabras para describir lo mismo), detener la venta o distribucin de copias del trabajo, impedir que se presente el trabajo pblicamente. En trminos generales, tiene derecho sobre la vida, distribucin y reproduccin de la obra, por hasta 70 aos despus de su muerte. Muchas copias se hacen bajo los mitos de que "como no cobro por la copia, lo puedo hacer", "me lleg a mi, por lo que lo puedo distribuir", "estoy dando publicidad gratuita". Todos estos argumentos ni cualquier otro justifican la copia de ningn documento, a menos que el autor expresamente haya dado su autorizacin. Hay algo llamado "uso justo" de la copia y se permite, por ejemplo, que se cite una frase para probar un punto, con el adecuado crdito a la fuente, o que se utilice para la educacin sin animo de lucro. Este uso justo est dado por la naturaleza para la cual se utilizar la copia, y el posible dao que le pueda causar al dueo de los derechos. Es claro, que el nico que puede determinar si los argumentos son validos o no es el dueo de los derechos y ninguno de los argumentos anteriores autorizan a su copia. Hay un ejemplo claro para la clasificacin del uso justo. Si toma una porcin de un peridico para criticar su contenido es vlido su uso, pero si la toma porque no tuvo tiempo de elaborar su propio trabajo se considera violacin de los derechos de autor. La violacin de los derechos de autor se constituye en un proceso civil ms no penal. Si se violan los derechos de autor, lo ms probable es que se gesten demandas y no acusaciones criminales. Sin embargo, con los castigos por daos y perjuicios pudiendo llegar a valores altos, pueden ocasionar cargos de fraude en algunas legislaciones y pueden tomar visos de cargos penales. Hasta antes de 1978 se consideraba que un autor deba estipular claramente sus derechos de copiado en cada obra para que esta no pudiera ser copiada; se supona que si no deca nada, no tena restricciones. Hoy en da se ha

abolido este requerimiento y se supone de antemano que TODA obra est protegida por los derechos, est estipulado o no en los documentos. Los autores tienen formas de ser ms explcitos en sus derechos para que no queden dudas al quien quiera efectuar una copia. Aunque no es requisito hacer nada en un documento para decir que tiene derechos de autor, se recomienda que sea explcito incluyendo la (c) (la letra c en un circulo) ola palabra "Copyright" o ambas, el ao (normalmente el de creacin o publicacin) y el nombre del dueo de los derechos. Aunque no es crtico el lugar donde coloque el aviso, hgalo visible a quien lo est buscando. Por otro lado, hay que ser muy explcitos en cuanto a la cesin de derechos o autorizacin de copias. Un autor puede autorizar a alguien a que publique su artculo, sin embargo esta autorizacin puede no cobijar ni edicin, ni derechos sobre la autora del mismo. Por lo tanto si un tercero quisiera utilizar la misma obra, deber pedir la autorizacin al autor y no a quien pudo copiarla. Es muy claro el tema para quienes manejamos este tipo de publicaciones, y por lo general se autorizan las copias para ser utilizadas en ciertas circunstancias. Sin embargo, lo que no es aceptable es el uso del trabajo de otros aduciendo ignorancia sobre el tema. Si se desea utilizar un contenido que le parece interesante, nuestra recomendacin es que acuda al autor, y solicite su permiso. En la mayora de los casos, gustosamente le ser otorgada. Cabe otro refrn: ante la duda, abstngase! 8.6 LEYES QUE BRINDAN PROTECCIN JURDICA EN CASO DE VIOLACIN Cmo se protege el autor intelectual y la propiedad intelectual? En sus inicios los programas de computacin eran registrados ante el registro pblico del derecho de autor, pero no es sino hasta 1991 cuando se incluye como una obra autora expresamente protegida dentro del artculo 7 inciso (j) de la Ley Federal de Derechos de autor. Actualmente de acuerdo al artculo 135 de la Ley Federal de Derechos de autor es ilegal realizar, distribuir, o en su caso reproducir copias de una obra protegida sin autorizacin del titular del derecho. La nica excepcin de acuerdo al artculo 18 inciso (f), es para quien adquiera el uso autorizado de un programa de computacin quien podr realizar una copia para uso exclusivo como archivo o respaldo. Sanciones

En las modificaciones realizadas a la ley en 1991, se instituyeron las sanciones penales para la violacin de los derechos de autor de los programas de computacin. stas penalidades incluyen: crcel de hasta 6 aos, multas de hasta 500 das de salario mnimo, o ambos, por la reproduccin o distribucin no autorizada de software protegido por la ley antes mencionada. Una sancin civil ser instituida a peticin del titular de derecho, quien podr solicitar entre otras cosas la reparacin de los daos y perjuicios causados, adems de generar al infractor costos y gastos por la violacin del derecho de autor. 8.7 SOCIEDAD DE GESTION COLECTIVA La gestin colectiva de derecho de autor naci y se desarrollo a travs de entidades de carcter privado, sin propsito de lucro, formadas por autores (con participacin de los editores de obras musicales en muchas sociedades de derecho de ejecucin), con el objeto de defender los intereses de carcter personal (derecho moral) y de administrar los derecho patrimoniales de los autores de obras de creacin. El 3 de julio de 1985 fue impuesto con carcter general en Francia, que las agrupaciones de autores en su forma jurdica se convirtieran en sociedades civiles. Sin embargo, no todas las sociedades de autores han adoptado esta forma, y ni siquiera todas las organizaciones de gestin de derecho de autor son personas jurdicas de derechos privados. en consecuencia, si bien el carcter privado de las entidades y la forma jurdica bajo la cual se constituyen, vara segn la singularidades nacionales la ausencia de fines lucrativos es condicin sine qua non (sea no pueden repartir utilidades), como lo expresa nuestra ley en el art. 89, prrafo 1 y el articulo 91, numeral 11, del reglamento de aplicacin no. 362-01 de la ley 65-00 al decir: "el destino del patrimonio o del activo neto resultante en los supuestos de liquidacin de la entidad que, en ningn caso, podr ser objeto de reparto entre los asociados, solo pueden retener las sumas indispensables para atender su funcionamiento." Con relacin a esto en la carta de derecho de autor, adoptada por la CISAC en su congreso numero XIX, declara enfticamente lo siguiente: "la sociedad de autores, sea cual fuere su forma jurdica, son organismo de administracin de los intereses patrimoniales de los autores y de sus derechohabientes. No son organizaciones comerciales ni empresas que persigan fines de lucro.

En consecuencia, solo retienen sobre las percepciones efectuadas, los porcentajes necesarios para cubrir sus gastos. Por lo tanto, deben gozar del rgimen legal apropiado, particularmente en materia fiscal." En torno a esto muchos pases que regularon sus asociaciones bajo estatutos de enfoque privado, necesitaron texto que correspondieran a ambos enfoques, subrayando que, en todo caso los textos surgidos, de sus deliberaciones no constituyan sino marcos, y que incumban a los estados decidir la naturaleza de los organismo, que habran de constituirse en su territorio, ya sea en forma de sociedades privadas o de oficinas o agencias de derechos pblicos. Naturaleza jurdica de la representacin que ejerce la organizacin de gestin colectiva Con independencia de carcter y de la forma jurdica de las organizaciones gestin colectiva de los derechos de autor, su objeto principal es defender los intereses de carcter morales y administrar los derechos patrimoniales de los autores sobre obras de creacin. En base a esto, el art.5, de los estatutos de la CISAC dispone que por propiedad de derechos de autor se entiende cualquier organismo que: Proclame en su objeto y asegure efectivamente la promocin de los autores y la defensa de sus inters patrimoniales. Cuente con un dispositivo eficaz de recaudacin y reparte de los ingresos a ttulos de derecho de autor y a suma total responsabilidad sobre las operaciones correspondiente a la gestin de los derechos a l." En relacin a esto nuestro ordenamiento jurdico expresa, en el art. 162, prrafo I y IV - letra C, un objeto y finalidad similares. En cuanto a la autorizacin que da el autor a una sociedad en el orden publico es diferente al del orden privado que emana de un contrato de sociedad, mandato, cesin o aportes sociales, en lo publico la representatividad de los titulares de derecho que ejerce el organismo emana de la norma legal que lo crea, es exclusivamente de ley, y as se puede ver en el art. 162, de la ley 65-00. De acuerdo a esto se dice que este sistema es ms equitativo por su proteccin social directa, el cual evita otras regulaciones ms que las dispuestas por la ley y sus reglamentos.

Sociedad de gestin colectiva y derechos conexos en cuanto a su marco legal, tanto para existir, o no en defensa de los derechos de autor. Segn el art.162, prrafo II de la ley 65-00 y el art. 87 del reglamento de aplicacin no. 362-01 de dicha ley, la sociedad de gestin colectiva sern autorizadas para su existencia y entrada en funcionamiento por el poder ejecutivo, luego del dictamen favorable de la unidad de derecho de autor. Dicha unidad de derecho de autor, adems se encargara de supervisar la forma de ejecucin de las funciones de la sociedad de gestin colectiva y podr sancionar y/o cambiar sus reglamentos internos, siempre y cuando sea pertinente a favor de la defensa de los autores y afines. Para la defensa de los derechos de los autores, tanto en materia penal como en civil, el prrafo del art.164 de la ley 65-00 establece que: "Quien explote una obra, interpretacin o produccin administrado con una sociedad de gestin colectiva sin que se hubiere otorgado la respectiva licencia de uso, debe pagar, a titulo de indemnizacin un recargo del cincuenta por ciento (50%) sobre la remuneracin en la tarifa, aplicada durante todo el tiempo en que se hay efectuado la explotacin, siempre que no se pruebe un dao superior en el caso concreto". En el prrafo del art. 68 da otra proteccin econmica al autor o a sus causahabientes en caso de reventa de una obra pictrica, o de artes plsticas en general, dndole un derecho inalienable de percibir en su menor caso el dos por ciento (2%) de la reventa. Pero ms dirigido al mbito penal se ven las acciones que puede ejercer la sociedad colectiva en contra de los infractores en los art.169, 173 prrafo I de la ley 65-00, y art. 111, 114 y 116 del reglamento de aplicacin no.362-01 de la ya mencionada ley. Sociedad nica por cada categora de derecho administrado o pluralidad de sociedades. La organizacin de gestin colectiva en una sola entidad general administradora del conjunto de los distintos gneros de derecho o en diferentes sociedades que se ocupan de una o ms categoras de derecho. Ambos sistemas pueden resultar igualmente eficaz pero a condicin, cuando actan varias

sociedades de cada especie de derecho sobre del mismo de genero de obras y sea administrado por estas. En cuanto a esto se ha dicho y lo veo con mucha lgica el hecho de que ofrece ventajas fundamentales en una sola organizacin en lo que respecta a la facilidad y la seguridad jurdica del otorgamiento de las licencias de utilizacin, la posibilidad de autorizar la utilizacin de todo el repertorio mundial en una nica licencia, la reduccin considerable de los gastos administrativos, entre otros; y por tanto, parece conveniente evitar las organizaciones paralelas y crear una nica organizacin para cada categora de derechos. En nuestro pas utilizamos el mtodo de organizaciones por gnero de obras, por ejemplo, en Rep. Dom. La ley 65-00 sobre derecho de autor establece en el numeral 6 del art. 19 que los autores cuentan con el derecho exclusivo de autorizar o prohibir la comunicacin de la obra al publico; el art.120 establece que es ilcita la comunicacin publica de la obra sin el consentimiento del autor o de los otros titulares reconocidos por esta ley, en su caso SGACEDOM, nica sociedad de gestin de la Rep. Dom. Autorizada para gestionar los derecho de los autores de manera colectiva. Ahora bien, el art.142 establece que las personas que utilicen un fonograma para fines de comunicacin al pblico, deber pagar una remuneracin al productor del fonograma. En ese sentido, el art. 162 de la ley establece la imposibilidad de crear ms de una sociedad por rama artstica o literaria, sea, no puede haber ms de una sociedad que gestione los derecho de comunicacin pblica de obras musicales (como es el caso SGACEDOM ), y en es e mismo tenor no puede haber ms de una sociedad que gestione los derecho de comunicacin publicas de fonogramas publicados con fines comerciales (como es el caso otra sociedad llamada SODRINPRO la cual agrupa titulares derecho conexos o afines de todo el mundo en cuanto a productores de fonograma o casas disqueras); por lo tanto vemos que el sistema nuestro como otrora dijimos es el rgimen de organizacin por genero de obras. Todo esto para reconocer la paga de licencias depende de que las obras sean de dominio pblico o no. Las remuneraciones Esta que es la suma fijada para saldar o cubrir la parte patrimonial de los autores, conseguidos por la entidad colectiva. En nuestro pas se utiliza el sistema de remuneracin tanta a los artistas intrpretes o ejecutantes, como tambin a los productores de fonogramas, basndose en el art.12 de la convencin de roma que establece:

"el utilizador abonar una remuneracin equitativa y nica a los artistas intrpretes o ejecutantes, a los productores de fonogramas, o unos y otros ()" En nuestro derecho de autor se encuentra los art.113 y siguientes de la ley 65-00 y en su reglamento de aplicacin 362-01 art. 92 prrafos 6, 9,10. Las remuneraciones pueden ser fijadas por la sociedad de autores, pero se prefiere que sea el resultado de acuerdos, en razn de los obvios beneficios que para todos los integrantes reporta que las relaciones entre los representantes de los autores y los usuarios se desarrollen en forma pacfica y concertada y sin recurrir al albitreo de organismo gubernamentales o de los tribunales. En nuestra ley 65-00 se regula esto en los art. 1 8.7.1 QU ES UNA SOCIEDAD DE GESTION COLECTIVA? Una sociedad colectiva, en Derecho mercantil, es uno de los posibles tipos de sociedad mercantil. Se trata de una sociedad externa (que acta y responde frente a terceros como una persona distinta a la de sus socios), que realiza actividades mercantiles o civiles bajo una razn social unificada, respondiendo los socios de las deudas que no pudieran cubrirse con el capital social. La sociedad colectiva tiene como rasgo principal y que le diferencia de otros tipos de sociedades como la sociedad annima o de responsabilidad limitada, el hecho de que la responsabilidad por las deudas de la sociedad es ilimitada. Esto significa que en caso de que su propio patrimonio no sea bastante para cubrir todas las deudas lo que normalmente la llevar a un procedimiento concursal (quiebra, suspensin de pagos o similares) los socios deben responder con su propio patrimonio del pago de las deudas pendientes a los acreedores. La sociedad colectiva es heredera de la sociedad mercantil originaria y, como tal, una de las formas societarias mercantiles ms antiguas que existen. No obstante, la ausencia de limitacin de responsabilidad para sus socios ha hecho que haya ido desapareciendo de forma gradual. Actualmente la forma predominante de sociedad mercantil es la sociedad de responsabilidad limitada, en sus distintas variantes, quedando otras sociedades como la sociedad colectiva reducida a un papel marginal en el trfico comercial. En algunos pases, como Espaa, su rgimen legal es el aplicable para las sociedades mercantiles que no han cumplido con la obligacin de registro (sociedad irregular).

8.7.2 PROCEDIMIENTOS Y REQUERIMIENTOS PARA REGISTRAR UNA SOCIEDAD DE GESTIN COLECTIVA. Por el contrato de sociedad, dos o ms personas se obligan a efectuar un aporte en dinero, en trabajo o en otros bienes apreciables en dinero, con el fin de repartirse entre s las utilidades del respectivo ejercicio social. Una vez constituida en debida forma, la sociedad es persona jurdica diferente de los socios que la integran. Estas sociedades deben matricularse en el Registro Mercantil de la Cmara de Comercio con jurisdiccin en lugar donde establecen el domicilio principal. Requisitos para su inscripcin: Las sociedades comerciales deben formular la solicitud de matrcula a travs de sus representantes legales, dentro del mes siguiente a la a fecha de la escritura pblica de constitucin, acompaando dicho documento y tramitando los formularios y el anexo tributario Para ello: Diligencie el formulario de Registro nico Empresarial (Cartula nica y Anexo Mercantil), firmado por el representante legal de la sociedad. Solicite y diligencie el anexo tributario con la firma del representante legal. Anexe copia de la escritura pblica de constitucin, la cual debe contener por lo menos los siguientes aspectos para que proceda su inscripcin, sin perjuicio de los dems requisitos Contenidos en el artculo 110 de Cdigo de Comercio: -Nombre completo de los constituyentes con sus documentos de identidad. En el caso de que los participantes en la constitucin de la sociedad sean personas jurdicas (sociedades, entidades sin nimo de lucro etc.), es necesario indicar en el documento el NIT correspondiente. -Denominacin o razn social. Esta debe responder al tipo de sociedad que se constituye: Colectiva, Limitada, En Comandita Simple o por Acciones o Annima. Antes de registrar el nombre utilice nuestro servicio de verificacin de homonimia. -Domicilio principal (ciudad o municipio donde se establece). -Vigencia o trmino de duracin de la sociedad. -Objeto social o actividades que desarrollar. El objeto social debe estar descrito de manera clara y determinada.

-Capital social y su distribucin entre los socios, indicando las formas como fue pagado (dinero, especie, o industria). En cuanto a la distribucin del capital debe indicar el nmero de cuotas o acciones segn el caso y el valor nominal de cada una. -Representacin legal y nombramientos. -Cuando se aporten a la sociedad activos tales como bienes inmuebles, deber inscribirse la escritura en el registro de instrumentos pblicos del lugar de ubicacin del inmueble. -Carta de aceptacin del cargo con indicacin del nmero del documento de identidad por parte de los designados como representantes legales, miembros de junta directiva y revisores fiscales. Si se deja constancia en la escritura pblica de constitucin de tal aceptacin, no es necesario este requisito. 8.7.3 PUBLICACIONES Y PRIVILEGIOS AL FORMAR PARTE DE UNA SOCIEDAD DE GESTION COLECTIVA Obligaciones y derechos de los socios Obligaciones: Hacer entrega de los aportes convenidos en el tiempo y forma en que se hubieren convenido en el tiempo y forma en que se hubiere pactado Hay un deber de lealtad del socio para con la empresa que le impide dedicarse a negocios similares a los de la compaa haciendo a la misma competencia. Segn el art. 321 del CC el socio estar obligado a entregar a la compaa cualquier ganancia o lucro procedente de dichos negocios siendo responsable, caso de no hacerlo, de los daos y perjuicios que ocasione con su omisin debiendo adems reconocer intereses al tipo comercial corriente sobre las cantidades retenidas, tambin incurrir en responsabilidad aquel que utilice el capital o cualquier bien de la sociedad en beneficio propio o de terceros. Es obligacin de los administradores es la de cumplir el encargo hasta el fin de la sociedad, respondiendo a sta de los daos y perjuicios que le ocasionaron con su negligencia en la gestin del negocio social. Derechos Hacer uso de la firma social, si alguno de ellos no hubiere sido especialmente designado administrador, ya fuere en el pacto social o por un acuerdo posterior

Los socios tienen derechos a tomar parte en las deliberaciones y votar, cuando se trate de asuntos que deben ser consultados, o cuando los administradores quisieren conocer la opinin de los dems socios. En tal caso de no haberse estipulado en el contrato de sociedad la manera de computar los votos de los socios, cuando fuere necesario, estos se tomarn por personas y no por capitales. Derecho de los socios a investigar el curso de los negocios sociales, examinar los libros y la correspondencia y dems documentos referentes a la administracin y oponerse a cualquier reforma del pacto social que se proyecte y con la que no este de acuerdo Los socios tienen derechos a participar en las ganancias en la proporcin que se hubiere acordado en el pacto social, o en otro caso, en proporcin la valor de su aportacin y retirarse de la sociedad cuando lo crea conveniente no tipificando su intencin con 6 meses de anticipacin Tiene derecho el socio a llenar por cuenta de la sociedad los requisitos de inscripcin en el registro de la escritura de constitucin de la sociedad y de la publicacin

BIBLIOGRAFIA: CORREA, Carlos y otros, "DERECHO INFORMTICO", Argentina, Ed. De Palma, 1987. 207 p. FERNNDEZ de Len, Gonzalo, "DICCIONARIO JURDICO", Tomo II, Argentina, Ed. Abece, 1963. 571 p. FREEDMAN, Alan, "DICCIONARIO DE COMPUTACIN", Colombia, Ed. McGraw Hill, 1994. 492 p. GARCA, Eduardo Augusto, "LA DEFRAUDACIN EN MATERIA DE DERECHOS DE AUTOR", Argentina, Ed. Troquel, 1969. 285 p. JESSEN, Henery, "DERECHOS INTELECTUALES DE LOS AUTORES, ARTISTAS, PRODUCTORES DE FONOGRAMAS Y OTROS TITULARES", Chile, Ed. Jurdica Chile, 1970. 428 p.


Antologia DSS Completa

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Antologia DSS Completa

Uploaded by

Copyright:

Available Formats

32a

Institucin Certificada Norma ISO 9001:2000

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

DSB-0705 DESARROLLO DE SOFTWARE SEGURO

Presentan Ing. Manuel Torres Vsquez

Revisado por los integrantes de la academia de Informtica y Sistemas Computacionales

Fecha elaboracin: Julio 2010

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

1.1 1.2 1.3 1.4

1.5 1.6 1.7

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Unidad II Administracin de los riesgos en la seguridad del software

Unidad III Cdigo abierto o cerrado

3.1 3.2 3.3 3.4

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Unidad V Auditoria de software

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Unidad VI Cdigo seguro

6.1 6.2 6.3 6.4

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Unidad VIII Derechos de autor en Mxico (software)

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

1.5 1.6 1.7

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

1.1 CONCEPTO DE SOFTWARE

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

1.3 FUTURO DEL SOFTWARE "El futuro del software es un desafo"

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

1.4 FUENTES PARA LA INFORMACIN DE VULNERABILIDADES

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

1.5 TENDENCIAS TECNICAS QUE AFECTAN A LAS ENTIDADES DEL SOFTWARE

Asignatura: Desarrollo de Software Seguro

INSTITUTO TECNOLGICO SUPERIOR DE CENTLA

Academia de Informtica y Sistemas Computacionales

Asignatura: Desarrollo de Software Seguro