Singapur, por ejemplo, enmendó recientemente su
Ley sobre el
Uso Indebido de las Computadoras.
Ahora son más severos los castigos impuestos
a todo el que interfiera con las "computadoras protegidas" –es
decir, las que están conectadas con la seguridad
nacional, la banca,
las
finanzas y los servicios
públicos y de urgencia– así como a los
transgresores por entrada, modificación, uso o
intercepción de material computadorizado sin
autorización.
Hay países que cuentan con grupos
especializados en seguir la pista a los delincuentes
cibernéticos. Uno de los más antiguos es la
Oficina de Investigaciones
Especiales de la Fuerza
Aérea de los Estados Unidos,
creada en 1978. Otro es el de Investigadores de la Internet, de Australia,
integrado por oficiales de la ley y peritos con avanzados
conocimientos de informática. El grupo
australiano recoge pruebas y las
pasa a las agencias gubernamentales de represión
pertinentes en
el estado donde se originó el delito.
Pese a estos y otros esfuerzos, las autoridades aún
afrentan graves problemas en
materia
de informática. El principal de ellos es la facilidad con
que se traspasan las fronteras, por lo que la
investigación, enjuiciamiento y condena de los
transgresores se convierte en un dolor de cabeza jurisdiccional y
jurídico. Además, una vez capturados, los oficiales
tienen que escoger entre extraditarlos para que se les siga
juicio en otro lugar o transferir las pruebas –y a veces los
testigos– al lugar donde se cometieron los delitos.
En 1992, los piratas de un país europeo atacaron un
centro de computadoras de California. La investigación policial se vio obstaculizada
por la doble tipificación penal –la carencia de leyes similares
en los dos países que prohibían ese comportamiento– y esto impidió la
cooperación oficial, según informa el Departamento
de
Justicia de los Estados Unidos. Con el tiempo, la
policía del país de los piratas se ofreció a
ayudar, pero poco después la piratería terminó, se perdió
el rastro y se cerró el caso.
Asimismo, en 1996 el Servicio de
Investigación Penal y la Agencia Federal de
Investigación (FBI) de los Estados Unidos le siguió
la pista a otro pirata hasta un país sudamericano. El
pirata informático estaba robando archivos de
claves y alterando los registros en
computadoras militares, universitarias y otros sistemas
privados, muchos de los cuales contenían
investigación sobre satélites,
radiación
e
ingeniería energética.
Los oficiales del país sudamericano requisaron el
apartamento del pirata e incautaron su equipo de computadora,
aduciendo posibles violaciones de las leyes nacionales. Sin
embargo, los dos países no habían firmado acuerdos
de extradición por delitos de informática sino por
delitos de carácter más tradicional. Finalmente
se resolvió la situación sólo porque el
pirata accedió a negociar su caso, lo que condujo a que se
declarara culpable en los Estados Unidos.
Destrucción u ocultación de pruebas.
Otro grave obstáculo al enjuiciamiento por delitos
cibernéticos es el hecho de que los delincuentes pueden
destruir fácilmente las pruebas cambiándolas,
borrándolas o trasladándolas. Si los agentes del
orden operan con más lentitud que los delincuentes, se
pierde gran parte de las pruebas; o puede ser que los datos
estén cifrados, una forma cada vez más popular de
proteger tanto a los particulares como a las empresas en las
redes de
computadoras.
Tal vez la criptografía estorbe en las investigaciones
penales, pero los derechos humanos
podrían ser vulnerados si los encargados de hacer cumplir
la ley adquieren demasiado poder
técnico. Las empresas electrónicas sostienen que el
derecho a la intimidad es esencial para fomentar la confianza del
consumidor
en el mercado
de la Internet, y los grupos defensores de los derechos humanos desean que
se proteja el cúmulo de datos personales archivados
actualmente en ficheros electrónicos.
Las empresas también recalcan que la información podría caer en malas
manos, especialmente en países con problemas de corrupción,
si los gobiernos tienen acceso a los mensajes en código.
"Si los gobiernos tienen la clave para descifrar los mensajes en
código, esto significa que personas no autorizadas –que
no son del gobierno– pueden
obtenerlas y utilizarlas", dice el
gerente general de una importante compañía
norteamericana de
ingeniería de seguridad.
Impacto en la
Identificación de Delitos a Nivel
Mundial.
Las dificultades que enfrentan las autoridades en todo el
mundo ponen de manifiesto la necesidad apremiante de una
cooperación mundial para modernizar las leyes nacionales,
las técnicas
de investigación, la asesoría jurídica y las
leyes de extradición para poder alcanzar a los
delincuentes. Ya se han iniciado algunos esfuerzos al
respecto.
En el Manual de las
Naciones
Unidas de 1977 se insta a los Estados a que coordinen sus
leyes y cooperen en la solución de ese problema. El Grupo
de Trabajo
Europeo sobre delitos en la tecnología de la
informática ha publicado un Manual sobre el delito por
computadora, en el que se enumeran las leyes pertinentes en los
diversos países y se exponen técnicas de
investigación, al igual que las formas de buscar y guardar
el material electrónico en condiciones de seguridad.
El Instituto Europeo de Investigación Antivirus
colabora con las universidades, la
industria y los
medios de comunicación y con expertos técnicos
en seguridad y asesores jurídicos de los gobiernos,
agentes del orden y organizaciones
encargadas de proteger la intimidad a fin de combatir los
virus de las
computadoras o "caballos de Troya". También se ocupa de
luchar contra el fraude
electrónico y la explotación de datos
personales.
En 1997, los países del Grupo de los Ocho aprobaron una
estrategia
innovadora en la guerra
contra el delito de "tecnología de punta". El Grupo
acordó que establecería modos de determinar
rápidamente la proveniencia de los ataques por computadora
e identificar a los piratas, usar enlaces por vídeo para
entrevistar a los testigos a través de las fronteras y
ayudarse mutuamente con capacitación
y equipo. También decidió que se uniría a
las fuerzas de la
industria con miras a crear instituciones
para resguardar las tecnologías de computadoras,
desarrollar sistemas
de información para identificar casos de uso indebido
de las redes,
perseguir a los infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordinación abiertos 24 horas al
día, siete días a la semana para los encargados de
hacer cumplir la ley. Estos centros apoyan las investigaciones de
otros Estados mediante el suministro de información vital
o ayuda en asuntos jurídicos, tales como
entrevistas a testigos o recolección de pruebas
consistentes en datos electrónicos.
Un obstáculo mayor opuesto a la adopción
de una estrategia
del tipo Grupo de los Ocho a nivel internacional es que algunos
países no tienen la experiencia técnica ni las
leyes que permitirían a los agentes actuar con rapidez en
la búsqueda de pruebas en sitios electrónicos
–antes de que se pierdan– o transferirlas al lugar donde se
esté enjuiciando a los infractores.
Casos de Impacto de los Delitos
Informáticos
Zinn, Herbert, Shadowhack.
Herbert Zinn, (expulsado de la educación
media superior), y que operaba bajo el seudónimo de
"Shadowhawk", fue el primer sentenciado bajo el cargo de Fraude
Computacional y Abuso en 1986. Zinn tenia 16 y 17 cuando violo el
acceso a AT&T y los sistemas del Departamento de Defensa. Fue
sentenciado el 23 de enero de 1989, por la destrucción del
equivalente a US $174,000 en archivos, copias de programas, los
cuales estaban valuados en millones de dólares,
además publico contraseñas y instrucciones de
cómo violar la seguridad de los sistemas computacionales.
Zinn fue sentenciado a 9 meses de cárcel y a una fianza de
US$10,000. Se estima que Zinn hubiera podido alcanzar una
sentencia de 13 años de prisión y una fianza de
US$800,000 si hubiera tenido 18 años en el momento del
crimen.
Smith, David.
Programador de 30 años, detenido por el FBI y acusado
de crear y distribuir el virus que ha bloqueado miles de cuentas de
correo, "Melissa". Entre los cargos presentados contra él,
figuran el de "bloquear las comunicaciones
publicas" y de "dañar los sistemas informáticos".
Acusaciones que en caso de demostrarse en el tribunal
podrían acarrearle una pena de hasta diez años de
cárcel.
Por el momento y a la espera de la decisión que hubiese
tomado el juez, David Smith esta en
libertad bajo fianza de 10.000 dólares. Melissa en su
"corta vida" había conseguido contaminar a más de
100,000 ordenadores de todo el mundo, incluyendo a empresas como
Microsoft, Intel, Compaq, administraciones públicas
estadounidenses como la del Gobierno del
Estado de Dakota del Norte y el Departamento del Tesoro.
En España
su "éxito"
fue menor al desarrollarse una extensa campaña de
información, que alcanzo incluso a las cadenas
televisivas, alertando a los usuarios de la existencia de este
virus. La detención de David Smith fue fruto de la
colaboración entre los especialistas del FBI y de los
técnicos del primer proveedor de servicios de
conexión a Internet de los Estados Unidos,
América On Line. Los ingenieros de
América On Line colaboraron activamente en la
investigación al descubrir que para propagar el virus,
Smith había utilizado la identidad de
un usuario de su servicio de acceso. Además, como otros
proveedores el impacto de Melissa había afectado de
forma sustancial a buzones de una gran parte de sus catorce
millones de usuarios.
Fue precisamente el modo de actuar de Melissa, que remite a
los cincuenta primeros inscritos en la agenda de direcciones del
cliente
de correo
electrónico "Outlook Express", centenares de documentos
"Office"
la clave para encontrar al autor del virus. Los ingenieros
rastrearon los primeros documentos que fueron emitidos por el
creador del virus, buscando encontrar los signos de
identidad que incorporan todos los documentos del programa
ofimático de
Microsoft "Office"
y que en más de una ocasión han despertado la
alarma de organizaciones en defensa de la privacidad de los
usuarios. Una vez desmontado el puzzle de los documentos y
encontradas las claves se consiguió localizar al creador
de Melissa. Sin embargo, la detención de Smith no
significa que el virus haya dejado de actuar.
Compañías informáticas siguen alertando
que aún pueden quedar miles de usuarios expuestos a sus
efectos, por desconocimiento o por no haber instalado en sus
equipos sistemas antivíricos que frenen la actividad de
Melissa u otros virus, que han venido apareciendo
últimamente como Happy99 o Papa.
Poulsen Kevin, Dark Dante.
Diciembre de 1992 Kevin Poulsen, un pirata infame que alguna
vez utilizo el alias de "Dark Dante" en las redes de computadoras es
acusado de robar órdenes de tarea relacionadas con un
ejercicio de la fuerza
aérea militar americana. Se acusa a Poulsen del robo de
información nacional bajo una sección del estatuto
de espionaje federal y encara hasta 10 años en la
cárcel.
Siguió el mismo camino que Kevin Mitnick, pero es
más conocido por su habilidad para controlar el sistema
telefónico de Pacific Bell. Incluso llegó a "ganar"
un Porsche en un concurso radiofónico, si su llamada fuera
la 102, y así fue.
Poulsen también crackeó todo tipo de sitios,
pero él se interesaba por los que contenían
material de defensa nacional.
Esto fue lo que lo llevó a su estancia en la
cárcel, 5 años, fue liberado en 1996, supuestamente
"reformado". Que dicho sea de paso, es el mayor tiempo de
estancia en la cárcel que ha comparecido un hacker.
Holland, Wau y Wenery, Steffen.
De visita en la NASA "Las dos de la madrugada, Hannover,
ciudad Alemana, estaba en silencio. La primavera llegaba a su
fin, y dentro del cuarto cerrado el
calor ahogaba. Hacía rato que Wau Holland y Steffen
Wernery permanecían sentados frente a la pantalla de una
computadora, casi inmóviles, inmersos en una nube de humo
cambiando ideas en susurros. – Desde acá tenemos que poder
llegar. -murmuró Wau. – Mse. Hay que averiguar cómo
-contestó Steffen. –
Probemos algunos. Siempre eligen nombres relacionados con la
astronomía, ¿No? – Tengo un mapa estelar:
usémoslo. Con el libro sobre la
mesa, teclearon uno a uno y por orden, los nombres de las
diferentes constelaciones.
– "Acceso Denegado" -leyó Wau-; maldición,
tampoco es este – Quizá nos esté faltando alguna
indicación. Calma.
Pensemos. "set" y "host" son imprescindibles…
-obvio; además, es la fórmula. Probemos de nuevo
¿Cuál sigue? – Las constelaciones se terminaron.
Podemos intentar con las estrellas. A ver… ¿Castor, una
de las dos más brillantes de Géminis? – Set Host
Castor deletreó Wau mientras tecleaba.
Cuando la computadora
comenzó a ronronear, Wau Holland y Steffen Wernery
supieron que habían logrado su objetivo.
Segundos más tarde la pantalla mostraba un mensaje:
"Bienvenidos a las instalaciones VAX del cuartel general, de la
NASA". Wau sintió un sacudón y atinó a
escribir en su cuaderno: "Lo logramos, por fin… Sólo hay
algo seguro,
la infinita
inseguridad de la seguridad".
El 2 de mayo de 1987, los dos hackers
alemanes, de 23 y 20 años respectivamente, ingresaron sin
autorización al sistema de la central de investigaciones
aerospaciales más grande del mundo.- ¿Por
qué lo hicieron? -Preguntó meses después un
periodista norteamericano.
– Porque es fascinante. En este mundo se terminaron las
aventuras. Ya nadie puede salir a cazar
dinosaurios o a buscar oro. La
única aventura posible -respondió Steffen,
está en la pantalla de un ordenador. Cuando advertimos que
los técnicos nos habían detectado, les enviamos un
telex: "Tememos haber entrado en el peligroso campo del espionaje
industrial, el crimen económico, el conflicto
este-oeste y la seguridad de los organismos de alta
tecnología.
Por eso avisamos, y paramos el juego".
– El juego puede costar muchas vidas…- ¡Ni media vida!
La red en que
entramos no guarda información ultrasecreta; en este
momento tiene 1,600 subscriptores y 4,000 clientes
flotantes.
Con esos datos, Steffen anulaba la intención de
presentarlos como sujetos peligrosos para el resto de la
humanidad". (Hackers,
la guerrilla informática – Raquel Roberti).
Murphy Ian, Captain Zap.
En julio de 1981 Ian Murphy, un muchacho de 23 años que
se autodenominaba "Captain Zap", gana notoriedad cuando entra a
los sistemas en la Casa Blanca, el Pentágono, BellSouth
Corp. TRW y deliberadamente deja su currículum.
En 1981, no había leyes muy claras para prevenir el
acceso no autorizado a las computadoras militares o de la casa
blanca. En ese entonces Ian Murphy de 24 años de edad,
conocido en el mundo del hacking como "Captain Zap,".
Mostró la necesidad de hacer mas clara la
legislación cuando en compañía de un par de
amigos y usando una computadora y una línea
telefónica desde su hogar viola los accesos restringidos a
compañías electrónicas, y tenia acceso a
ordenes de mercancías, archivos y documentos del gobierno.
"Nosotros usamos los a la Casa Blanca para hacer llamadas a
líneas de bromas en
Alemania y curiosear archivos militares clasificados" Explico
Murphy. "El violar accesos nos resultaba muy divertido". La Banda
de hackers
fue finalmente puesta a disposición de la ley". Con cargos
de robo de
propiedad, Murphy fue multado por US $1000 y sentenciado a 2
½ años de prueba.
Morris Robert.
En noviembre de 1988, Morris lanzo un programa "gusano"
diseñado por el mismo para navegar en Internet, buscando
debilidades en sistemas de seguridad, y que pudiera correrse y
multiplicarse por sí solo. La expansión exponencial
de este programa causó el
consumo de los recursos de
muchisimas computadoras y que más de 6000 sistemas
resultaron dañados o fueron seriamente perjudicados.
Eliminar al gusano de sus computadoras causo a las
víctimas muchos días de productividad
perdidos, y millone s de dolares. Se creo el CERT (Equipo de
respuesta de emergencias computacionales) para combatir problemas
similares en el futuro. Morris fue condenado y sentenciado a tres
años de
libertad condicional, 400 horas de servicio comunitario y US
$10,000 de fianza, bajo el cargo de Fraude computacional y abuso.
La sentencia fue fuertemente criticada debido a que fue muy
ligera, pero reflejaba lo inocuo de las intenciones de Morris mas
que el daño
causado. El gusano producido por Morris no borra ni modifica
archivos en la actualidad.
8. Seguridad contra los
delitos informáticos
Hoy en día, muchos usuarios no confían en la
seguridad
del Internet.
En 1996, IDC Research realizó una
encuesta en donde el 90% de los usuarios expresó gran
interés
sobre la seguridad del Internet,
pues temen que alguien pueda conseguir el número de su
tarjeta de
crédito mediante el uso de la Red.
Ellos temen que otros descubran su
código de acceso de la cuenta del banco
y entonces transferir fondos a la cuenta del hurtador. Las
agencias de gobierno
y los bancos
tienen gran preocupación en dar información
confidencial a personas no autorizadas. Las corporaciones
también se preocupan en dar información
a los empleados, quienes no están autorizados al acceso de
esa información o quien trata de curiosear sobre una
persona
o empleado. Las organizaciones
se preocupan que sus competidores tengan
conocimiento sobre información patentada que pueda
dañarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos
por debajo del término de la seguridad general, hay
realmente varias partes de la seguridad que confunden. La
Seguridad significa guardar "algo seguro ". "Algo"
puede ser un objeto, tal como un secreto, mensaje,
aplicación, archivo,
sistema o una comunicación
interactiva. "Seguro"
los
medios son protegidos desde el acceso, el uso o
alteración no autorizada.
Para guardar objetos seguros,
es necesario lo siguiente:
·
La autenticación (promesa de identidad),
es decir la prevención de suplantaciones, que se garantice
que quien firma un mensaje es realmente quien dice ser.
·
La autorización (se da permiso a una persona
o
grupo de personas de
poder realizar ciertas funciones,
al resto se le niega el permiso y se les sanciona si las
realizan).
·
La privacidad o confidencialidad, es el más obvio de los
aspectos y se refiere a que la información solo puede ser
conocida por individuos autorizados. Existen infinidad de
posibles ataques contra la privacidad, especialmente en
la comunicación de los datos.
La transmisión a través de un medio presenta
múltiples oportunidades para ser interceptada y copiada:
las líneas "pinchadas" la intercepción o
recepción electromagnética no autorizada o la
simple intrusión directa en los equipos donde la
información está físicamente almacenada.
·
La integridad de datos,
La integridad se refiere a la seguridad de que una
información no ha sido alterada, borrada, reordenada,
copiada, etc., bien durante el
proceso de transmisión o en su propio equipo de
origen. Es un riesgo
común que el atacante al no
poder descifrar un paquete de información y, sabiendo
que es importante, simplemente lo intercepte y lo borre.
·
La disponibilidad de la información, se refiere a la
seguridad que la información pueda ser recuperada en el
momento que se necesite, esto es, evitar su pérdida o
bloqueo, bien sea por ataque doloso, mala operación
accidental o situaciones fortuitas o de fuerza
mayor.
·
No rechazo (la protección contra alguien que niega que
ellos originaron
la comunicación o datos).
·
Controles de acceso, esto es quien tiene autorización y
quien no para acceder a una pieza de información
determinada.
Son los requerimientos básicos para la seguridad, que
deben proveerse de una manera confiable. Los requerimientos
cambian ligeramente, dependiendo de lo que se está
asegurado. La importancia de lo que se está asegurando y
el riesgo potencial involucra en dejar uno de estos
requerimientos o tener que forzar niveles más altos de
seguridad. Estos no son simplemente requerimientos para el mundo
de la red, sino
también para el mundo físico.
En la tabla siguiente se presenta una relación de los
intereses que se deben proteger y sus requerimientos
relacionados:
Intereses | Requerimientos |
Fraude | Autenticación |
Acceso no Autorizado | Autorización |
Curiosear | Privacidad |
Alteración de Mensaje | Integridad de Datos |
Desconocido | No – Rechazo |
Estos intereses no son exclusivos de Internet. La
autenticación y el asegurar los objetos es una parte de
nuestra vida diaria. La comprensión de los elementos de
seguridad y como ellos trabajan en el mundo físico, puede
ayudar para explicar cómo estos requerimientos se
encuentran en el mundo de la red y dónde se sitúan
las dificultades.
Medidas de seguridad de la
red.
Existen numerosas técnicas
para proteger la integridad de los sistemas.
Lo primero que se debe hacer es diseñar una política
de seguridad. En ella, definir quiénes tienen acceso a las
diferentes partes de la red, poner protecciones con
contraseñas adecuadas a todas las cuentas,
y preocuparse de hacerlas cambiar periódicamente (Evitar
las passwords "por defecto" o demasiado obvias).
Firewalls.
Existen muchas y muy potentes herramientas
de cara a la seguridad de una red
informática. Una de las maneras drásticas de no
tener invasores es la de poner murallas. Los mecanismos
más usados para la protección de la red interna de
otras externas son los firewalls o cortafuegos. Estos tienen
muchas aplicaciones, entre las más usadas está:
Packet filter (filtro de paquetes). Se basa en el tratamiento
de los paquetes
IP a los que aplica unas reglas de filtrado que le permiten
discriminar el tráfico según nuestras
indicaciones.
Normalmente se implementa mediante un
router. Al tratar paquetes
IP, los filtros que podremos establecer serán a nivel
de direcciones IP, tanto
fuente como destino.
Cortafuegos filtro de paquetes ejemplarizado en un
router.
La lista de filtros se aplican secuencialmente, de forma que
la primera regla que el paquete cumpla marcará la acción
a realizar (descartarlo o dejarlo pasar). La aplicación de
las listas de filtros se puede hacer en el momento de entrada del
paquete o bien en el de salida o en ambos.
La protección centralizada es la ventaja más
importante del filtrado de paquetes. Con un único
enrutador con filtrado de paquetes situado
estratégicamente puede protegerse toda una red.
Firma digital.
El cifrado con clave pública permite generar firmas
digitales que hacen posible certificar la procedencia de un
mensaje, en otras palabras, asegurar que proviene de quien dice.
De esta forma se puede evitar que alguien suplante a un usuario y
envíe mensajes falsos a otro usuario, por la imposibilidad
de falsificar la firma. Además, garantizan la integridad
del mensaje, es decir, que no ha sido alterado durante la
transmisión. La firma se puede aplicar a un mensaje
completo o puede ser algo añadido al mensaje.
Las firmas son especialmente útiles cuando la
información debe atravesar redes sobre las que no se tiene
control
directo y, en consecuencia, no existe posibilidad de verificar de
otra forma la procedencia de los mensajes.
Existen varios métodos
para hacer uso de la firma digital, uno de ellos es el siguiente:
"quien envía el mensaje lo codifica con su clave privada.
Para descifrarlo, sólo puede hacerse con la clave
pública correspondiente a dicha persona o
institución. Si efectivamente con dicha clave se descifra
es señal de que quien dice que envió el mensaje,
realmente lo hizo".
Firma digital formada encriptando con la clave privada del
emisor:
Firma Digital y Autentificación
E: Encriptar / D: Desencriptar.
KP : Encriptación utilizando la Clave Privada.
KV : Encriptación utilizando la Clave
Pública.
M : Mensaje.
Seguridad en WWW.
¿Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor
seguro.
En primer lugar los formularios
pueden tener "agujeros" a través de los que un hacker
hábil, incluso poco hábil, puede "colar" comandos.
La red es totalmente pública y abierta, los paquetes
pasan por máquinas
de las que no se tiene
conocimiento y a las que puede tener acceso la gente que le
guste husmear el tráfico de la red. Si es así (y no
tienen que ser necesariamente hackers
malintencionados, algunos
proveedores de
servicio lo hacen) sólo se puede recurrir a encriptar
el tráfico por medio, en WWW, de servidores
y clientes seguros.
Proveer acceso a los
servicios de la red de una empresa
y proveer acceso al mundo exterior a través de la
organización, da al personal
e institución muchos beneficios. Sin embargo, a mayor
acceso que se provea, mayor es el peligro de que alguien explote
lo que resulta del incremento de vulnerabilidad.
De hecho, cada vez que se añade un nuevo sistema,
acceso de red o aplicación se agregan vulnerabilidades
potenciales y aumenta la mayor dificultad y complejidad de la
protección. Sin embargo, si se está dispuesto a
enfrentar realmente los riesgos,
es posible cosechar los beneficios de mayor acceso mientras se
minimizan los obstáculos. Para lograr esto, se
necesitará un plan complejo,
así como los recursos
para ejecutarlo. También se debe tener un conocimiento
detallado de los riesgos
que pueden ocurrir en todos los lugares posibles, así como
las medidas que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora,
y podría muy bien serlo, especialmente en organizaciones
pequeñas que no tienen personal
experto en todos los temas. Alguien podría estar tentado
para contratar un consultor de seguridad y hacerlo con él;
aunque esto puede ser una buena manera para outsourcing,
todavía necesita saber lo suficiente y observar la
honestidad del consultor. Después de todo, se le va a
confiar a ellos los
bienes más importantes de la organización.
Para asegurar una red adecuadamente, no solamente se necesita
un profundo entendimiento de las características
técnicas de los protocolos
de red, sistemas
operativos y aplicaciones que son accesadas, sino
también lo concerniente al planeamiento.
El plan
es el primer paso y es la base para asegurar que todas las bases
sean cubiertas.
¿Por qué se necesita una política
de seguridad?
La imagen
que frecuentemente viene a la mente cuando se discute sobre
seguridad está la del gran firewall
que permanece al resguardo de la apertura de su red, defendiendo
de ataques de malévolos hackers.
Aunque un firewall
jugará un
papel crucial, es sólo una herramienta que debe ser
parte de una estrategia
más comprensiva y que será necesaria a fin de
proteger responsablemente los datos de la red. Por una parte,
sabiendo cómo configurar un firewall para
permitir las
comunicaciones que se quiere que ingresen, mientras
salvaguarda otros datos, es un hueso muy duro de roer.
Aún cuando se tenga las habilidades y experiencia
necesaria para configurar el firewall correctamente, será
difícil conocer la
administración de riesgos que
está dispuesto a tomar con los datos y determinar la
cantidad de inconveniencias a resistir para protegerlos.
También se debe considerar cómo asegurar los hosts
que están siendo accesados. Incluso con la
protección de firewall, no hay garantía que no se
pueda desarrollar alguna vulnerabilidad. Y es muy probable que
haya un dispositivo en peligro.
Los modems, por ejemplo, pueden proveer un punto de
acceso a su red que completamente sobrepase su firewall. De
hecho, un firewall puede aumentar la probabilidad
que alguien establecerá un módem para el acceso al
Internet mediante otro ISP (ISP – Internet Service Providers,
cualquier empresa o
institución que provea de conexión a Internet), por
las restricciones que el firewall puede imponer sobre ellos (algo
para recordar cuando se empieza a configurar su firewall).
Se puede proveer restricciones o "protección," que
puede resultar ser innecesario una vez que las consecuencias se
entienden claramente como un caso de negocio. Por otra parte, los
riesgos pueden justificar el incremento de restricciones,
resultando incómodo. Pero, a menos que el usuario
esté prevenido de estos peligros y entienda claramente las
consecuencias para añadir el riesgo, no hay mucho que
hacer.
Los temas legales también surgen. ¿Qué
obligaciones legales tiene para proteger su
información?. Si usted está en una
compañía de publicidad
puede tener algunas responsabilidades definitivas al
respecto.
Asegurar sus datos involucra algo más que conectarse en
un firewall con una interface competente. Lo que se necesita es
un plan comprensivo de defensa. Y se necesita comunicar este plan
en una manera que pueda ser significativo para la
gerencia y usuarios finales. Esto requiere educación
y capacitación, conjuntamente con la
explicación, claramente detallada, de las consecuencias de
las violaciones. A esto se le llama una "política de
seguridad" y es el primer paso para asegurar responsablemente la
red. La política puede incluir instalar un firewall, pero
no necesariamente se debe diseñar su política de
seguridad alrededor de las limitaciones del firewall.
Elaborar la política de seguridad no es una tarea
trivial. Ello no solamente requiere que el personal
técnico comprenda todas las vulnerabilidades que
están involucradas, también requiere que ellos se
comuniquen efectivamente con la
gerencia. La gerencia debe
decidir finalmente cuánto de riesgo debe ser tomado con el
activo de la compañía, y cuánto se
debería gastar en ambos, en dólares e
inconvenientes, a fin de minimizar los riesgos. Es
responsabilidad del personal técnico asegurar que la
gerencia comprenda las implicaciones de añadir acceso a la
red y a las aplicaciones sobre la red, de tal manera que la
gerencia tenga la suficiente información para la toma de
decisiones. Si la política de seguridad no viene desde
el inicio, será difícil imponer incluso medidas de
seguridad mínimas.
Por ejemplo, si los empleados pueden llegar a alterarse si
ellos imprevistamente tienen que abastecer logins y
contraseñas donde antes no lo hacían, o
están prohibidos particulares tipos de acceso a Internet.
Es mejor trabajar con estos temas antes de tiempo
y poner la política por escrito. Las políticas
pueden entonces ser comunicadas a los empleados por la gerencia.
De otra forma, los empleados no lo tomarán en serio, o se
tendrán batallas de políticas
constantes dentro de la compañía con respecto a
este punto. No solamente con estas batallas tendrán un
impacto negativo sobre la productividad,
es menos probable que la decisión tomada racionalmente
pueda ser capaz de prevalecer en la vehemencia de las
guerras políticas.
El desarrollo
de una política de seguridad comprende la
identificación de los activos
organizativos, evaluación
de amenazas potenciales, la evaluación
del riesgo, implementación de las herramientas
y tecnologías disponibles para hacer frente a los riesgos,
y el desarrollo
de una política de uso. Debe crearse un procedimiento
de auditoria que revise el uso de la red y servidores de
forma periódica.
Identificación de los activos
organizativos: Consiste en la creación de una lista de
todas las cosas que precisen protección.
Por ejemplo:
·
Hardware:
ordenadores y equipos de telecomunicación
·
Software:
programas
fuente, utilidades, programas
de
diagnóstico, sistemas
operativos, programas de
comunicaciones.
·
Datos: copias de seguridad, registros
de auditoria, bases de
datos.
Valoración del riesgo:
Conlleva la determinación de lo que se necesita
proteger. No es más que el
proceso de examinar todos los riesgos, y valorarlos por
niveles de seguridad.
Definición de una política de uso aceptable:
Las herramientas y
aplicaciones forman la base técnica de la política
de seguridad, pero la política de uso aceptable debe
considerar otros aspectos:
·
¿ Quién tiene permiso para usar los recursos?
·
¿ Quién esta autorizado a conceder acceso y a
aprobar los usos?
·
¿ Quién tiene privilegios de
administración del sistema?
·
¿ Qué hacer con la información
confidencial?
·
¿ Cuáles son los derechos y
responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y
responsabilidades de los usuarios:
·
Si los usuarios están restringidos, y cuáles son
sus restricciones.
·
Si los usuarios pueden compartir cuentas
o dejar que otros usuarios utilicen sus cuentas.
·
Cómo deberían mantener sus contraseñas los
usuarios.
·
Con qué frecuencia deben cambiar sus
contraseñas.
·
Si se facilitan copias de seguridad o los usuarios deben realizar
las suyas.
9.
Legislación sobre delitos informáticos
La legislación sobre protección de los sistemas
informáticos ha de perseguir acercarse lo más
posible a los distintos
medios de protección ya existentes, creando una nueva
regulación sólo en aquellos aspectos en los que,
basándose en las peculiaridades del objeto de
protección, sea imprescindible.
Si se tiene en cuenta que los sistemas informáticos,
pueden entregar datos e informaciones sobre miles de personas,
naturales y jurídicas, en aspectos tan fundamentales para
el normal desarrollo y
funcionamiento de diversas actividades como bancarias,
financieras, tributarias, previsionales y de
identificación de las personas. Y si a ello se agrega que
existen Bancos
de Datos, empresas
o entidades dedicadas a proporcionar, si se desea, cualquier
información, sea de carácter
personal o sobre materias de las más diversas disciplinas
a un
Estado o particulares; se comprenderá que están
en
juego o podrían ha llegar a estarlo de modo
dramático, algunos
valores colectivos y los consiguientes
bienes jurídicos que el ordenamiento jurídico
institucional debe proteger.
No es la amenaza potencial de
la computadora sobre el individuo lo
que provoca desvelo, sino la utilización real por
el hombre de los sistemas
de información con fines de espionaje.
No son los grandes sistemas
de información los que afectan la vida privada sino la
manipulación o el consentimiento de ello, por parte de
individuos poco conscientes e irresponsables de los datos que
dichos sistemas contienen.
La humanidad no esta frente al peligro de la informática
sino frente a la posibilidad real de que individuos o grupos sin
escrúpulos, con aspiraciones de obtener el poder que la
información puede conferirles, la utilicen para satisfacer
sus propios intereses, a expensas de las libertades individuales
y en detrimento de las personas. Asimismo, la amenaza futura
será directamente proporcional a los adelantos de las
tecnologías informáticas.
La protección de los sistemas informáticos puede
abordarse tanto desde una perspectiva penal como de una
perspectiva civil o comercial, e incluso de derecho
administrativo. Estas distintas medidas de protección
no tienen porque ser excluyentes unas de otras, sino que, por el
contrario, éstas deben estar estrechamente vinculadas. Por
eso, dadas las características
de esta problemática sólo a través de una
protección global, desde los distintos sectores del
ordenamiento jurídico, es posible alcanzar una cierta
eficacia
en la defensa de los ataques a los sistemas
informáticos.
Un
análisis de las legislaciones que se han promulgado en
diversos países arroja que las normas
jurídicas que se han puesto en vigor están
dirigidas a proteger la utilización abusiva de la
información reunida y procesada mediante el uso de
computadoras.
Desde hace aproximadamente diez años la mayoría
de los países europeos han hecho todo lo posible para
incluir dentro de la ley,
la conducta
punible penalmente, como el acceso ilegal a sistemas de computo o
el
mantenimiento ilegal de tales accesos, la difusión de
virus
o la interceptación de mensajes informáticos.
En la mayoría de las naciones occidentales existen
normas
similares a los países europeos. Todos estos enfoques
están inspirados por la misma preocupación de
contar con comunicaciones electrónicas, transacciones e
intercambios tan confiables y seguros como sea
posible.
Las personas que cometen los "Delitos
Informáticos" son aquellas que poseen ciertas
características que no presentan el denominador
común de los delincuentes, esto es, los sujetos activos tienen
habilidades para el manejo de los sistemas informáticos y
generalmente por su situación laboral
se encuentran en lugares estratégicos donde se maneja
información de carácter sensible, o bien son
hábiles en el uso de los sistemas informatizados,
aún cuando, en muchos de los casos, no desarrollen
actividades laborales que faciliten la comisión de este
tipo de delitos.
Con el tiempo
se ha podido comprobar que los autores de los delitos
informáticos son muy diversos y que lo que los
diferencia entre sí es la naturaleza
de los delitos cometidos. De esta forma, la persona que "ingresa"
en un sistema informático sin intenciones delictivas es
muy diferente del empleado de una institución financiera
que desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente
informático es tema de controversia ya que para algunos el
nivel de aptitudes no es indicador de
delincuencia informática en tanto que otros aducen que
los posibles delincuentes informáticos son personas
listas, decididas, motivadas y dispuestas a aceptar un reto
tecnológico, características que pudieran
encontrarse en un empleado del sector de procesamiento
de datos.
Sin embargo, teniendo en cuenta las características ya
mencionadas de las personas que cometen los "delitos
informáticos", los estudiosos en la materia
los han catalogado como "delitos de cuello blanco" término
introducido por primera vez por el criminólogo
norteamericano Edwin Sutherland en el año de 1943.
Efectivamente, este conocido criminólogo señala
un sinnúmero de conductas que considera como "delitos de
cuello blanco", aún cuando muchas de estas conductas no
están tipificadas en los ordenamientos jurídicos
como delitos, y dentro de las cuales cabe destacar las
"violaciones a las leyes
de patentes y fábrica de
derechos de autor, el mercado
negro, el contrabando en
las empresas,
la evasión de impuestos,
las quiebras fraudulentas, corrupción
de altos funcionarios, entre otros".
Asimismo, este criminólogo estadounidense dice que
tanto la definición de los "delitos informáticos"
como la de los "delitos de cuello blanco" no es de acuerdo al
interés
protegido, como sucede en los delitos convencionales sino de
acuerdo al sujeto activo que los comete. Entre las
características en común que poseen ambos delitos
tenemos que: "El sujeto activo del delito
es una persona de cierto status socioeconómico, su
comisión no puede explicarse por pobreza
ni por mala habitación, ni por carencia de recreación,
ni por baja educación, ni por
poca
inteligencia, ni por inestabilidad emocional".
Es difícil elaborar
estadísticas sobre ambos tipos de delitos. Sin
embargo, la cifra es muy alta; no es fácil descubrirlo y
sancionarlo, en razón del poder económico de
quienes lo cometen, pero los daños económicos son
altísimos; existe una gran indiferencia de la
opinión pública sobre los daños
ocasionados a la sociedad;
la sociedad no
considera delincuentes a los sujetos que cometen este tipo de
delitos, no los segrega, no los desprecia, ni los desvaloriza,
por el contrario, el autor o autores de este tipo de delitos se
considera a sí mismos "respetables" otra coincidencia que
tienen estos tipos de delitos es que, generalmente, "son objeto
de medidas o sanciones de carácter administrativo y no
privativos de la
libertad".
Este nivel de criminalidad se puede explicar por la dificultad
de reprimirla en forma internacional, ya que los usuarios
están esparcidos por todo el mundo y, en consecuencia,
existe una posibilidad muy grande de que el agresor y la
víctima estén sujetos a leyes
nacionales diferentes. Además, si bien los acuerdos de
cooperación internacional y los tratados
de extradición bilaterales intentan remediar algunas de
las dificultades ocasionadas por los delitos informáticos,
sus posibilidades son limitadas.
Por su parte, el "Manual
de la Naciones
Unidas para la Prevención y Control de
Delitos Informáticos" señala que cuando el problema
se eleva a la escena internacional, se magnifican los
inconvenientes y las insuficiencias, por cuanto los delitos
informáticos constituyen una nueva forma de crimen
transnacional y su combate requiere de una eficaz
cooperación internacional concertada. Asimismo, la
ONU resume de la siguiente manera a los
problemas que rodean a la cooperación internacional en
el área de los delitos informáticos:
·
Falta de acuerdos globales acerca de que tipo de conductas deben
constituir delitos informáticos.
·
Ausencia de acuerdos globales en la definición legal de
dichas conductas delictivas.
·
Falta de especialización de las policías, fiscales
y otros funcionarios judiciales en el campo de los delitos
informáticos.
·
Falta de armonización entre las diferentes leyes
procesales nacionales acerca de la investigación
de los delitos informáticos.
·
Carácter transnacional de muchos delitos cometidos
mediante el uso de
computadoras.
·
Ausencia de tratados
de extradición, de acuerdos de ayuda mutuos y de
mecanismos sincronizados que permitan la puesta en vigor de la
cooperación internacional.
En síntesis,
es destacable que la
delincuencia informática se apoya en el delito
instrumentado por el uso de la
computadora a través de redes
telemáticas y la interconexión de
la computadora, aunque no es el único medio. Las
ventajas y las necesidades del flujo nacional e internacional de
datos, que aumenta de modo creciente aún en países
latinoamericanos, conlleva también a la posibilidad
creciente de estos delitos; por eso puede señalarse que la
criminalidad informática constituye un reto considerable
tanto para los sectores afectados de la infraestructura crítica
de un país, como para los legisladores, las autoridades
policiales encargadas de las investigaciones
y los funcionarios judiciales.
Legislación – Contexto
Internacional.
En el contexto internacional, son pocos los países que
cuentan con una legislación apropiada. Entre ellos, se
destacan, Estados
Unidos, Alemania,
Austria, Gran Bretaña, Holanda,
Francia, España,
Argentina y
Chile.
Dado lo anterior a continuación se mencionan algunos
aspectos relacionados con la ley
en los diferentes países, así como con los delitos
informáticos que persigue.
» Estados
Unidos.
Este país adoptó en 1994 el Acta Federal de
Abuso Computacional que modificó al Acta de Fraude
y Abuso Computacional de 1986.
Con la finalidad de eliminar los argumentos
hipertécnicos acerca de qué es y que no es un
virus,
un gusano, un caballo de Troya y en que difieren de los virus, la
nueva acta proscribe la transmisión de un programa,
información, códigos o comandos
que causan daños a la
computadora, a los sistemas informáticos, a las redes,
información, datos o programas. La nueva ley es un
adelanto porque está directamente en contra de los actos
de transmisión de virus.
Asimismo, en materia
de estafas electrónicas, defraudaciones y otros actos
dolosos relacionados con los dispositivos de acceso a sistemas
informáticos, la legislación estadounidense
sanciona con pena de prisión y multa, a la persona que
defraude a otro mediante la utilización de una computadora
o red informática.
En el mes de Julio del año 2000, el Senado y la
Cámara de Representantes de este país -tras un
año largo de deliberaciones- establece el Acta de Firmas
Electrónicas en el
Comercio Global y Nacional. La ley sobre la firma digital
responde a la necesidad de dar validez a documentos
informáticos -mensajes electrónicos y contratos
establecidos mediante Internet- entre empresas (para el B2B) y
entre empresas y consumidores (para el B2C).
»
Alemania.
Este país sancionó en 1986 la Ley contra la
Criminalidad Económica, que contempla los siguientes
delitos:
·
Espionaje de datos.
·
Estafa informática.
·
Alteración de datos.
·
Sabotaje informático.
» Austria.
La Ley de reforma del Código Penal, sancionada el 22 de
Diciembre de 1987, sanciona a aquellos que con dolo causen un
perjuicio patrimonial a un tercero influyendo en el resultado de
una elaboración de datos automática a través
de la confección del programa,
por la introducción, cancelación o
alteración de datos o por actuar sobre el curso del
procesamiento
de datos. Además contempla sanciones para quienes
comenten este hecho utilizando su profesión de
especialistas en sistemas.
» Gran Bretaña.
Debido a un caso de hacking en 1991,
comenzó a regir en este país la Computer Misuse Act
(Ley de Abusos Informáticos). Mediante esta ley el
intento, exitoso o no, de alterar datos informáticos es
penado con hasta cinco años de prisión o multas.
Esta ley tiene un apartado que específica la
modificación de datos sin autorización.
» Holanda.
El 1º de Marzo de 1993 entró en vigencia la Ley de
Delitos Informáticos, en la cual se penaliza los
siguientes delitos:
·
El hacking.
·
El preacking (utilización de
servicios de
telecomunicaciones evitando el pago total o parcial de dicho
servicio).
·
La
ingeniería social (arte
de convencer a la gente de entregar información que en
circunstancias normales no entregaría).
·
La distribución
de virus.
»
Francia.
En enero de 1988, este país dictó la Ley
relativa al fraude informático, en la que se consideran
aspectos como:
·
Intromisión fraudulenta que suprima o modifique datos.
·
Conducta
intencional en la violación de derechos a terceros que
haya impedido o alterado el funcionamiento de un sistema de
procesamiento automatizado de datos.
·
Conducta intencional en la violación de derechos a
terceros, en forma directa o indirecta, en la introducción
de datos en un sistema de procesamiento automatizado o la
supresión o modificación de los datos que
éste contiene, o sus modos de procesamiento o de
transmisión.
·
Supresión o modificación de datos contenidos en el
sistema, o bien en la alteración del funcionamiento del
sistema (sabotaje).
» España.
En el Nuevo Código Penal de España, se
establece que al que causare daños en
propiedad ajena, se le aplicará pena de prisión
o multa. En lo referente a:
·
La realización por cualquier medio de destrucción,
alteración, inutilización o cualquier otro
daño en los datos, programas o documentos
electrónicos ajenos contenidos en redes, soportes o
sistemas informáticos.
·
El nuevo Código Penal de España sanciona en forma
detallada esta categoría delictual (Violación de
secretos/Espionaje/Divulgación), aplicando pena de
prisión y multa.
·
En materia de
estafas electrónicas, el nuevo Código Penal de
España, solo tipifica las estafas con ánimo de
lucro valiéndose de alguna manipulación
informática, sin detallar las penas a aplicar en el caso
de la comisión del delito.
»
Chile.
Chile fue el primer país latinoamericano en sancionar
una Ley contra delitos informáticos, la cual entró
en vigencia el 7 de junio de 1993. Esta ley se refiere a los
siguientes delitos:
·
La destrucción o inutilización de los de los datos
contenidos dentro de una computadora es castigada con penas de
prisión. Asimismo, dentro de esas consideraciones se
encuentran los virus.
·
Conducta maliciosa tendiente a la destrucción o
inutilización de un sistema de tratamiento de
información o de sus partes componentes o que dicha
conducta
impida, obstaculice o modifique su funcionamiento.
·
Conducta maliciosa que altere, dañe o destruya los datos
contenidos en un sistema de tratamiento de
información.
10. Auditor versus delitos
informáticos
Es importante establecer claramente cual es el
papel que juega el auditor informático en
relación con la detección y minimización de
la ocurrencia de delitos informáticos dentro de la
organización a que presta sus servicios. Para lograr
establecer dicho rol se debe examinar la actuación del
auditor frente a la ocurrencia de delitos, estrategias
para evitarlos, recomendaciones adecuadas, conocimientos
requeridos, en fin una serie de elementos que definen de manera
inequívoca el aporte que éste brinda en el manejo
de los casos de delitos informáticos.
El rol del auditor informático solamente está
basado en la verificación de controles, evaluación
del riesgo de fraudes y el diseño
y desarrollo de exámenes que sean apropiados a la naturaleza de
la auditoría asignada, y que deben
razonablemente detectar:
·
Irregularidades que puedan tener un impacto sobre el área
auditada o sobre toda la organización.
·
Debilidades en los controles internos que podrían resultar
en la falta de prevención o detección de
irregularidades.
Puesto que la auditoria es una verificación de que las
cosas se estén realizando de la manera planificada, que
todas las actividades se realicen adecuadamente, que los
controles sean cumplidos, etc.; entonces el auditor
informático al detectar irregularidades en el transcurso
de la auditoria informática que le indiquen la ocurrencia
de un delito informático, deberá realizar los
siguientes:
1.
Determinar si se considera la situación un delito
realmente;
2.
Establecer
pruebas claras y precisas;
3.
Determinar los vacíos de la seguridad existentes y que
permitieron el delito;
4.
Informar a la autoridad
correspondiente dentro de la organización;
5.
Informar a autoridades regulatorias cuando es un requerimiento
legal.
Es importante mencionar que el auditor deberá manejar
con discreción tal situación y con el mayor
profesionalismo posible; evitando su divulgación al
público o a empleados que no tienen nada que ver. Puesto
que de no manejarse adecuadamente el delito, podría tener
efectos negativos en la organización, como los
siguientes:
o
Se puede generar una desconfianza de los empleados hacia el
sistema;
o
Se pueden generar más delitos al mostrar las debilidades
encontradas;
o
Se puede perder la confianza de los clientes,
proveedores e inversionistas hacia la
empresa;
o
Se pueden perder empleados clave de
la administración, aún cuando no estén
involucrados en la irregularidad debido a que la confianza en
la
administración y el futuro de la organización
puede estar en riesgo.
Si por medio de la auditoria informática realizada se
han detectado la ocurrencia de delitos, el auditor deberá
sugerir acciones
especificas a seguir para resolver el vacío de seguridad,
para que el
grupo de la unidad informática pueda actuar. Dichas
acciones, expresadas en forma de recomendación pueden ser
como las siguientes:
·
Recomendaciones referentes a la revisión total del
proceso
involucrado;
·
Inclusión de controles adicionales;
·
Establecimiento de planes de contingencia efectivos;
·
Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor
informático deberá ayudar a la
empresa en el establecimiento de estrategias
contra la ocurrencia de delitos, entre las que pueden
destacarse:
·
Adquisición de herramientas computacionales de alto
desempeño;
·
Controles sofisticados;
·
Procedimientos
estándares bien establecidos y probados.
 Página anterior | Volver al principio del trabajo | Página siguiente  |