7. Impacto
de los delitos informáticos
En los años recientes las redes de computadoras han
crecido de manera asombrosa. Hoy en día, el número
de usuarios que se comunican, hacen sus compras, pagan sus
cuentas, realizan negocios y
hasta consultan con sus médicos online supera los 200
millones, comparado con 26 millones en 1995.
A medida que se va ampliando la Internet, asimismo va
aumentando el uso indebido de la misma. Los denominados
delincuentes cibernéticos se pasean a su aire por el mundo
virtual, incurriendo en delitos tales como el acceso sin
autorización o «piratería informática«, el
fraude, el sabotaje informático, la trata de niños
con fines pornográficos y el acecho.
Los delincuentes de la informática son tan
diversos como sus delitos; puede tratarse de estudiantes,
terroristas o figuras del crimen organizado. Estos delincuentes
pueden pasar desapercibidos a través de las fronteras,
ocultarse tras incontables «enlaces» o simplemente desvanecerse
sin dejar ningún documento de rastro. Pueden despachar
directamente las comunicaciones o esconder pruebas delictivas en
«paraísos informáticos» – o sea, en países
que carecen de leyes o
experiencia para seguirles la pista -.
Según datos recientes del Servicio Secreto de los
Estados Unidos, se calcula que los consumidores pierden unos 500
millones de dólares al año debido a los piratas que
les roban de las cuentas online sus números de tarjeta de
crédito y de llamadas. Dichos números se pueden
vender por jugosas sumas de dinero a falsificadores que utilizan
programas especiales para codificarlos en bandas
magnéticas de tarjetas bancarias y de crédito,
señala el Manual de la
ONU.
Otros delincuentes de la informática pueden
sabotear las computadoras para ganarle ventaja económica a
sus competidores o amenazar con daños a los sistemas con
el fin de cometer extorsión. Los malhechores manipulan los
datos o las operaciones, ya
sea directamente o mediante los llamados «gusanos» o «virus«, que
pueden paralizar completamente los sistemas o borrar todos los
datos del disco duro.
Algunos virus dirigidos contra computadoras elegidas al azar; que
originalmente pasaron de una computadora a otra por medio de
disquetes «infectados»; también se están propagando
últimamente por las redes, con frecuencia camuflados en
mensajes electrónicos o en programas «descargados» de la
red.
En 1990, se supo por primera vez en Europa de un caso
en que se usó a un virus para sonsacar dinero, cuando la
comunidad de
investigación médica se vio amenazada con un virus
que iría destruyendo datos paulatinamente si no se pagaba
un rescate por la «cura».
Los delincuentes cibernéticos al acecho
también usan el correo electrónico para enviar
mensajes amenazantes especialmente a las mujeres. De acuerdo al
libro de
Barbara Jenson «Acecho cibernético: delito,
represión y responsabilidad personal en el mundo online»,
publicado en 1996, se calcula que unas 200.000 personas acechan a
alguien cada año.
Afirma la Sra. Jenson que una norteamericana fue
acechada durante varios años por una persona
desconocida que usaba el correo electrónico para amenazar
con asesinarla, violar a su hija y exhibir la dirección de su casa en la Internet para
que todos la vieran.
Los delincuentes también han utilizado el correo
electrónico y los «chat rooms» o
salas de tertulia de la Internet para buscar presas vulnerables.
Por ejemplo, los aficionados a la pedofilia se han ganado la
confianza de niños online y luego concertado citas reales
con ellos para explotarlos o secuestrarlos. El Departamento de
Justicia de
los Estados Unidos dice que se está registrando un
incremento de la pedofilia por la Internet.
Además de las incursiones por las páginas
particulares de la Red, los delincuentes pueden abrir sus propios
sitios para estafar a los clientes o vender
mercancías y servicios
prohibidos, como armas, drogas,
medicamentos sin receta ni regulación y
pornografía.
La CyberCop Holding Cell, un servicio de quejas online,
hace poco emitió una advertencia sobre un anuncio
clasificado de servicio de automóviles que apareció
en la Internet. Por un precio fijo de
$399, el servicio publicaría una descripción del auto del cliente en una
página de la Red y garantizaban que les devolverían
el dinero si el vehículo no se vendía en un plazo
de 90 días.
Informa CyberCop que varios autos que se
habían anunciado en la página electrónica no se vendieron en ese plazo,
pero los dueños no pudieron encontrar a ninguno de los
autores del servicio clasificado para que les reembolsaran el
dinero. Desde entonces, el sitio en la Red de este «servicio» ha
sido clausurado.
La proliferación de los delitos
informáticos a hecho que nuestra sociedad sea cada vez
más escéptica a la utilización de
tecnologías de la información, las cuales pueden
ser de mucho beneficio para la sociedad en general. Este hecho
puede obstaculizar el desarrollo de nuevas formas de hacer
negocios, por ejemplo el comercio electrónico puede verse
afectado por la falta de apoyo de la sociedad en
general.
También se observa el grado de
especialización técnica que adquieren los
delincuentes para cometer éste tipo de delitos, por lo que
personas con conductas maliciosas cada vez más
están ideando planes y proyectos para la
realización de actos delictivos, tanto a nivel empresarial
como a nivel global.
También se observa que las empresas que poseen
activos informáticos importantes, son cada vez más
celosas y exigentes en la contratación de personal para
trabajar en éstas áreas, pudiendo afectar en forma
positiva o negativa a la sociedad laboral de
nuestros tiempos.
Aquellas personas que no poseen los conocimientos
informáticos básicos, son más vulnerables a
ser víctimas de un delito, que aquellos que si los poseen.
En vista de lo anterior aquel porcentaje de personas que no
conocen nada de informática (por lo general personas de
escasos recursos
económicos) pueden ser engañadas si en un momento
dado poseen acceso a recursos
tecnológicos y no han sido asesoradas adecuadamente para
la utilización de tecnologías como la Internet,
correo electrónico, etc.
La falta de cultura
informática puede impedir de parte de la sociedad la lucha
contra los delitos informáticos, por lo que el componente
educacional es un factor clave en la minimización de esta
problemática.
Captura de delincuentes cibernéticos
A medida que aumenta la delincuencia electrónica,
numerosos países han promulgado leyes declarando
ilegales nuevas prácticas como la piratería
informática, o han actualizado leyes obsoletas para que
delitos tradicionales, incluidos el fraude, el vandalismo o el
sabotaje, se consideren ilegales en el mundo virtual.
Singapur, por ejemplo, enmendó recientemente su
Ley sobre el Uso Indebido de las Computadoras. Ahora son
más severos los castigos impuestos a todo
el que interfiera con las «computadoras protegidas» –es decir,
las que están conectadas con la seguridad nacional, la
banca, las
finanzas y los
servicios públicos y de urgencia– así como a los
transgresores por entrada, modificación, uso o
intercepción de material computadorizado sin
autorización.
Hay países que cuentan con grupos especializados
en seguir la pista a los delincuentes cibernéticos. Uno de
los más antiguos es la Oficina de
Investigaciones Especiales de la Fuerza
Aérea de los Estados Unidos, creada en 1978. Otro es el de
Investigadores de la Internet, de Australia, integrado por
oficiales de la ley y peritos con avanzados conocimientos de
informática. El grupo australiano recoge pruebas y las
pasa a las agencias gubernamentales de represión
pertinentes en el estado
donde se originó el delito.
Pese a estos y otros esfuerzos, las autoridades
aún afrentan graves problemas en materia de
informática. El principal de ellos es la facilidad con que
se traspasan las fronteras, por lo que la investigación,
enjuiciamiento y condena de los transgresores se convierte en un
dolor de cabeza jurisdiccional y jurídico. Además,
una vez capturados, los oficiales tienen que escoger entre
extraditarlos para que se les siga juicio en otro lugar o
transferir las pruebas –y a veces los testigos– al lugar donde
se cometieron los delitos.
En 1992, los piratas de un país europeo atacaron
un centro de computadoras de California. La investigación
policial se vio obstaculizada por la doble tipificación
penal –la carencia de leyes similares en los dos países
que prohibían ese comportamiento— y esto impidió
la cooperación oficial, según informa el
Departamento de Justicia de
los Estados Unidos. Con el tiempo, la policía del
país de los piratas se ofreció a ayudar, pero poco
después la piratería terminó, se
perdió el rastro y se cerró el caso.
Asimismo, en 1996 el Servicio de Investigación
Penal y la Agencia Federal de Investigación (FBI) de los
Estados Unidos le siguió la pista a otro pirata hasta un
país sudamericano. El pirata informático estaba
robando archivos de claves y alterando los registros en
computadoras militares, universitarias y otros sistemas privados,
muchos de los cuales contenían investigación sobre
satélites,
radiación
e ingeniería energética.
Los oficiales del país sudamericano requisaron el
apartamento del pirata e incautaron su equipo de computadora,
aduciendo posibles violaciones de las leyes nacionales. Sin
embargo, los dos países no habían firmado acuerdos
de extradición por delitos de informática sino por
delitos de carácter más tradicional. Finalmente se
resolvió la situación sólo porque el pirata
accedió a negociar su caso, lo que condujo a que se
declarara culpable en los Estados Unidos.
Destrucción u ocultación de
pruebas
Otro grave obstáculo al enjuiciamiento por
delitos cibernéticos es el hecho de que los delincuentes
pueden destruir fácilmente las pruebas
cambiándolas, borrándolas o trasladándolas.
Si los agentes del orden operan con más lentitud que los
delincuentes, se pierde gran parte de las pruebas; o puede ser
que los datos estén cifrados, una forma cada vez
más popular de proteger tanto a los particulares como a
las empresas en las redes de
computadoras.
Tal vez la criptografía estorbe en las
investigaciones penales, pero los derechos humanos
podrían ser vulnerados si los encargados de hacer cumplir
la ley adquieren demasiado poder técnico. Las empresas
electrónicas sostienen que el derecho a la intimidad es
esencial para fomentar la confianza del consumidor en el
mercado de la
Internet, y los grupos defensores de los derechos humanos
desean que se proteja el cúmulo de datos personales
archivados actualmente en ficheros
electrónicos.
Las empresas también recalcan que la
información podría caer en malas manos,
especialmente en países con problemas de corrupción, si los gobiernos tienen acceso
a los mensajes en código. «Si los gobiernos tienen la
clave para descifrar los mensajes en código, esto
significa que personas no autorizadas –que no son del gobierno—
pueden obtenerlas y utilizarlas», dice el gerente
general de una importante compañía norteamericana
de ingeniería de seguridad.
Impacto en la
Identificación de Delitos a Nivel Mundial.
Las dificultades que enfrentan las autoridades en todo
el mundo ponen de manifiesto la necesidad apremiante de una
cooperación mundial para modernizar las leyes nacionales,
las técnicas de investigación, la asesoría
jurídica y las leyes de extradición para poder
alcanzar a los delincuentes. Ya se han iniciado algunos esfuerzos
al respecto.
En el Manual de las Naciones Unidas
de 1977 se insta a los Estados a que coordinen sus leyes y
cooperen en la solución de ese problema. El Grupo de
Trabajo Europeo sobre delitos en la tecnología de la
informática ha publicado un Manual sobre el delito por
computadora, en el que se enumeran las leyes pertinentes en los
diversos países y se exponen técnicas de
investigación, al igual que las formas de buscar y guardar
el material electrónico en condiciones de
seguridad.
El Instituto Europeo de Investigación Antivirus
colabora con las universidades, la industria y
los medios de
comunicación y con expertos técnicos en seguridad y
asesores jurídicos de los gobiernos, agentes del orden y
organizaciones encargadas de proteger la intimidad a fin de
combatir los virus de las computadoras o «caballos de Troya».
También se ocupa de luchar contra el fraude
electrónico y la explotación de datos
personales.
En 1997, los países del Grupo de los Ocho
aprobaron una estrategia
innovadora en la guerra contra
el delito de «tecnología de punta». El Grupo acordó
que establecería modos de determinar rápidamente la
proveniencia de los ataques por computadora e identificar a los
piratas, usar enlaces por vídeo para entrevistar a los
testigos a través de las fronteras y ayudarse mutuamente
con capacitación y equipo. También
decidió que se uniría a las fuerzas de la industria con
miras a crear instituciones para resguardar las
tecnologías de computadoras, desarrollar sistemas de
información para identificar casos de uso indebido de
las redes, perseguir a los infractores y recabar
pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de
coordinación abiertos 24 horas al día, siete
días a la semana para los encargados de hacer cumplir la
ley. Estos centros apoyan las investigaciones de otros Estados
mediante el suministro de información vital o ayuda en
asuntos jurídicos, tales como entrevistas a
testigos o recolección de pruebas consistentes en datos
electrónicos.
Un obstáculo mayor opuesto a la adopción
de una estrategia del
tipo Grupo de los Ocho a nivel internacional es que algunos
países no tienen la experiencia técnica ni las
leyes que permitirían a los agentes actuar con rapidez en
la búsqueda de pruebas en sitios electrónicos
–antes de que se pierdan– o transferirlas al lugar donde se
esté enjuiciando a los infractores.
Casos de Impacto de los
Delitos Informáticos
Zinn, Herbert, Shadowhack.
Herbert Zinn, (expulsado de la educación media
superior), y que operaba bajo el seudónimo de
«Shadowhawk», fue el primer sentenciado bajo el cargo de Fraude
Computacional y Abuso en 1986. Zinn tenia 16 y 17 cuando violo el
acceso a AT&T y los sistemas del Departamento de Defensa. Fue
sentenciado el 23 de enero de 1989, por la destrucción del
equivalente a US $174,000 en archivos, copias de programas, los
cuales estaban valuados en millones de dólares,
además publico contraseñas y instrucciones de
cómo violar la seguridad de los sistemas computacionales.
Zinn fue sentenciado a 9 meses de cárcel y a una fianza de
US$10,000. Se estima que Zinn hubiera podido alcanzar una
sentencia de 13 años de prisión y una fianza de
US$800,000 si hubiera tenido 18 años en el momento del
crimen.
Smith, David.
Programador de 30 años, detenido por el FBI y
acusado de crear y distribuir el virus que ha bloqueado miles de
cuentas de correo, «Melissa». Entre los cargos presentados contra
él, figuran el de «bloquear las comunicaciones publicas» y
de «dañar los sistemas informáticos». Acusaciones
que en caso de demostrarse en el tribunal podrían
acarrearle una pena de hasta diez años de
cárcel.
Por el momento y a la espera de la decisión que
hubiese tomado el juez, David Smith esta en libertad bajo
fianza de 10.000 dólares. Melissa en su «corta vida»
había conseguido contaminar a más de 100,000
ordenadores de todo el mundo, incluyendo a empresas como Microsoft,
Intel, Compaq, administraciones públicas estadounidenses
como la del Gobierno del Estado de
Dakota del Norte y el Departamento del Tesoro.
En España su
«éxito»
fue menor al desarrollarse una extensa campaña de
información, que alcanzo incluso a las cadenas
televisivas, alertando a los usuarios de la existencia de este
virus. La detención de David Smith fue fruto de la
colaboración entre los especialistas del FBI y de los
técnicos del primer proveedor de servicios de
conexión a Internet de los Estados Unidos, América
On Line. Los ingenieros de América
On Line colaboraron activamente en la investigación al
descubrir que para propagar el virus, Smith había
utilizado la identidad de un usuario de su servicio de acceso.
Además, como otros proveedores el
impacto de Melissa había afectado de forma sustancial a
buzones de una gran parte de sus catorce millones de
usuarios.
Fue precisamente el modo de actuar de Melissa, que
remite a los cincuenta primeros inscritos en la agenda de
direcciones del cliente de correo
electrónico «Outlook Express», centenares de documentos
«Office» la
clave para encontrar al autor del virus. Los ingenieros
rastrearon los primeros documentos que fueron emitidos por el
creador del virus, buscando encontrar los signos de identidad que
incorporan todos los documentos del programa ofimático de
Microsoft
«Office» y que
en más de una ocasión han despertado la alarma de
organizaciones en defensa de la privacidad de los usuarios. Una
vez desmontado el puzzle de los documentos y encontradas las
claves se consiguió localizar al creador de Melissa. Sin
embargo, la detención de Smith no significa que el virus
haya dejado de actuar.
Compañías informáticas siguen
alertando que aún pueden quedar miles de usuarios
expuestos a sus efectos, por desconocimiento o por no haber
instalado en sus equipos sistemas antivíricos que frenen
la actividad de Melissa u otros virus, que han venido apareciendo
últimamente como Happy99 o Papa.
Poulsen Kevin, Dark Dante.
Diciembre de 1992 Kevin Poulsen, un pirata infame que
alguna vez utilizo el alias de «Dark Dante» en las redes de
computadoras es acusado de robar órdenes de tarea
relacionadas con un ejercicio de la fuerza
aérea militar americana. Se acusa a Poulsen del robo de
información nacional bajo una sección del estatuto
de espionaje federal y encara hasta 10 años en la
cárcel.
Siguió el mismo camino que Kevin Mitnick, pero es
más conocido por su habilidad para controlar el sistema
telefónico de Pacific Bell. Incluso llegó a «ganar»
un Porsche en un concurso radiofónico, si su llamada fuera
la 102, y así fue.
Poulsen también crackeó todo tipo de
sitios, pero él se interesaba por los que contenían
material de defensa nacional.
Esto fue lo que lo llevó a su estancia en la
cárcel, 5 años, fue liberado en 1996, supuestamente
«reformado». Que dicho sea de paso, es el mayor tiempo de
estancia en la cárcel que ha comparecido un hacker.
Holland, Wau y Wenery, Steffen.
De visita en la NASA «Las dos de la madrugada, Hannover,
ciudad Alemana, estaba en silencio. La primavera llegaba a su
fin, y dentro del cuarto cerrado el calor ahogaba.
Hacía rato que Wau Holland y Steffen Wernery
permanecían sentados frente a la pantalla de una
computadora, casi inmóviles, inmersos en una nube de humo
cambiando ideas en susurros. – Desde acá tenemos que poder
llegar. –murmuró Wau. – Mse. Hay que averiguar
cómo –contestó Steffen. –
Probemos algunos. Siempre eligen nombres relacionados
con la astronomía, ¿No? – Tengo un mapa
estelar: usémoslo. Con el libro sobre la mesa, teclearon
uno a uno y por orden, los nombres de las diferentes
constelaciones.
– «Acceso Denegado» –leyó Wau-;
maldición, tampoco es este – Quizá nos esté
faltando alguna indicación. Calma.
Pensemos. «set» y «host» son
imprescindibles…
-obvio; además, es la fórmula. Probemos de
nuevo ¿Cuál sigue? – Las constelaciones se
terminaron. Podemos intentar con las estrellas. A ver…
¿Castor, una de las dos más brillantes de
Géminis? – Set Host Castor deletreó Wau mientras
tecleaba.
Cuando la computadora comenzó a ronronear, Wau
Holland y Steffen Wernery supieron que habían logrado su
objetivo. Segundos más tarde la pantalla mostraba un
mensaje: «Bienvenidos a las instalaciones VAX del cuartel
general, de la NASA». Wau sintió un sacudón y
atinó a escribir en su cuaderno: «Lo logramos, por fin…
Sólo hay algo seguro, la
infinita inseguridad de
la seguridad».
El 2 de mayo de 1987, los dos hackers alemanes,
de 23 y 20 años respectivamente, ingresaron sin
autorización al sistema de la central de investigaciones
aerospaciales más grande del mundo.- ¿Por
qué lo hicieron? –Preguntó meses
después un periodista norteamericano.
– Porque es fascinante. En este mundo se terminaron las
aventuras. Ya nadie puede salir a cazar dinosaurios o
a buscar oro. La única aventura posible
–respondió Steffen, está en la pantalla de un
ordenador. Cuando advertimos que los técnicos nos
habían detectado, les enviamos un telex: «Tememos haber
entrado en el peligroso campo del espionaje industrial, el crimen
económico, el conflicto
este-oeste y la seguridad de los organismos de alta
tecnología.
Por eso avisamos, y paramos el juego«.
– El juego puede costar muchas vidas…- ¡Ni media
vida! La red en que entramos no guarda información
ultrasecreta; en este momento tiene 1,600 subscriptores y 4,000
clientes flotantes.
Con esos datos, Steffen anulaba la intención de
presentarlos como sujetos peligrosos para el resto de la
humanidad». (Hackers, la
guerrilla informática – Raquel Roberti).
Murphy Ian, Captain Zap.
En julio de 1981 Ian Murphy, un muchacho de 23
años que se autodenominaba «Captain Zap», gana notoriedad
cuando entra a los sistemas en la Casa Blanca, el
Pentágono, BellSouth Corp. TRW y deliberadamente deja su
currículum.
En 1981, no había leyes muy claras para prevenir
el acceso no autorizado a las computadoras militares o de la casa
blanca. En ese entonces Ian Murphy de 24 años de edad,
conocido en el mundo del hacking como «Captain Zap,».
Mostró la necesidad de hacer mas clara la
legislación cuando en compañía de un par de
amigos y usando una computadora y una línea
telefónica desde su hogar viola los accesos restringidos a
compañías electrónicas, y tenia acceso a
ordenes de mercancías, archivos y documentos del gobierno.
«Nosotros usamos los a la Casa Blanca para hacer llamadas a
líneas de bromas en Alemania y
curiosear archivos militares clasificados» Explico Murphy. «El
violar accesos nos resultaba muy divertido». La Banda de hackers fue
finalmente puesta a disposición de la ley». Con cargos de
robo de propiedad,
Murphy fue multado por US $1000 y sentenciado a 2 ½
años de prueba.
Morris Robert.
En noviembre de 1988, Morris lanzo un programa «gusano»
diseñado por el mismo para navegar en Internet, buscando
debilidades en sistemas de seguridad, y que pudiera correrse y
multiplicarse por sí solo. La expansión exponencial
de este programa causó el consumo de los
recursos de muchisimas computadoras y que más de 6000
sistemas resultaron dañados o fueron seriamente
perjudicados. Eliminar al gusano de sus computadoras causo a las
víctimas muchos días de productividad
perdidos, y millone s de dolares. Se creo el CERT (Equipo de
respuesta de emergencias computacionales) para combatir problemas
similares en el futuro. Morris fue condenado y sentenciado a tres
años de libertad
condicional, 400 horas de servicio comunitario y US $10,000 de
fianza, bajo el cargo de Fraude computacional y abuso. La
sentencia fue fuertemente criticada debido a que fue muy ligera,
pero reflejaba lo inocuo de las intenciones de Morris mas que el
daño causado. El gusano producido por Morris no borra ni
modifica archivos en la actualidad.
8. Seguridad contra
los delitos
informáticos.
Hoy en día, muchos usuarios no confían en
la seguridad del
Internet. En
1996, IDC Research realizó una encuesta en
donde el 90% de los usuarios expresó gran interés
sobre la seguridad del Internet, pues temen que
alguien pueda conseguir el número de su tarjeta de
crédito
mediante el uso de la Red.
Ellos temen que otros descubran su código
de acceso de la cuenta del banco y entonces
transferir fondos a la cuenta del hurtador. Las agencias de
gobierno y los
bancos tienen
gran preocupación en dar información confidencial a personas no
autorizadas. Las corporaciones también se preocupan en dar
información a los empleados, quienes no
están autorizados al acceso de esa información o
quien trata de curiosear sobre una persona o
empleado. Las organizaciones se
preocupan que sus competidores tengan conocimiento
sobre información patentada que pueda
dañarlos.
Aunque los consumidores tienden a agrupar sus intereses
juntos por debajo del término de la seguridad general, hay
realmente varias partes de la seguridad que confunden. La
Seguridad significa guardar «algo seguro «. «Algo»
puede ser un objeto, tal como un secreto, mensaje,
aplicación, archivo, sistema o una
comunicación interactiva. «Seguro» los
medios son
protegidos desde el acceso, el uso o alteración no
autorizada.
Para guardar objetos seguros, es
necesario lo siguiente:
- La autenticación (promesa de identidad),
es decir la prevención de suplantaciones, que se
garantice que quien firma un mensaje es realmente quien dice
ser. - La autorización (se da permiso a una persona o
grupo de
personas de poder
realizar ciertas funciones, al
resto se le niega el permiso y se les sanciona si las
realizan). - La privacidad o confidencialidad, es el más
obvio de los aspecto y se refiere a que la información
solo puede ser conocida por individuos autorizados. Existen
infinidad de posibles ataques contra la privacidad,
especialmente en la
comunicación de los datos. La
transmisión a través de un medio presenta
múltiples oportunidades para ser interceptada y copiada:
las líneas «pinchadas» la intercepción o
recepción electromagnética no autorizada o la
simple intrusión directa en los equipos donde la
información está físicamente
almacenada. - La integridad de datos, La
integridad se refiere a la seguridad de que una
información no ha sido alterada, borrada, reordenada,
copiada, etc., bien durante el proceso de
transmisión o en su propio equipo de origen. Es un
riesgo
común que el atacante al no poder
descifrar un paquete de información y, sabiendo que es
importante, simplemente lo intercepte y lo borre. - La disponibilidad de la información, se
refiere a la seguridad que la información pueda ser
recuperada en el momento que se necesite, esto es, evitar su
pérdida o bloqueo, bien sea por ataque doloso, mala
operación accidental o situaciones fortuitas o de
fuerza
mayor. - No rechazo (la protección contra alguien que
niega que ellos originaron la
comunicación o datos). - Controles de acceso, esto es quien tiene
autorización y quien no para acceder a una pieza de
información determinada.
Son los requerimientos básicos para la seguridad,
que deben proveerse de una manera confiable. Los requerimientos
cambian ligeramente, dependiendo de lo que se está
asegurado. La importancia de lo que se está asegurando y
el riesgo potencial
involucra en dejar uno de estos requerimientos o tener que forzar
niveles más altos de seguridad. Estos no son simplemente
requerimientos para el mundo de la red, sino también
para el mundo físico.
En la tabla siguiente se presenta una relación de
los intereses que se deben proteger y sus requerimientos
relacionados:
| Intereses | Requerimientos |
| Fraude | Autenticación |
| Acceso no Autorizado | Autorización |
| Curiosear | Privacidad |
| Alteración de Mensaje | Integridad de Datos |
| Desconocido | No – Rechazo |
Estos intereses no son exclusivos de Internet. La
autenticación y el asegurar los objetos es una parte de
nuestra vida diaria. La comprensión de los elementos de
seguridad y como ellos trabajan en el mundo físico, puede
ayudar para explicar cómo estos requerimientos se
encuentran en el mundo de la red y dónde se sitúan
las dificultades.
Medidas de seguridad de la
red.
Existen numerosas técnicas
para proteger la integridad de los sistemas. Lo
primero que se debe hacer es diseñar una política de
seguridad. En ella, definir quiénes tienen acceso a las
diferentes partes de la red, poner protecciones con
contraseñas adecuadas a todas las cuentas, y
preocuparse de hacerlas cambiar periódicamente (Evitar las
passwords «por defecto» o demasiado obvias).
Firewalls.
Existen muchas y muy potentes herramientas
de cara a la seguridad de una red informática. Una de las maneras
drásticas de no tener invasores es la de poner murallas.
Los mecanismos más usados para la protección de la
red interna de otras externas son los firewalls o cortafuegos.
Estos tienen muchas aplicaciones, entre las más usadas
está:
Packet filter (filtro de paquetes). Se basa en el
tratamiento de los paquetes IP a los que
aplica unas reglas de filtrado que le permiten discriminar el
tráfico según nuestras indicaciones.
Normalmente se implementa mediante un router. Al
tratar paquetes IP, los
filtros que podremos establecer serán a nivel de
direcciones IP, tanto fuente como destino.
Cortafuegos filtro de paquetes
ejemplarizado en un router.
La lista de filtros se aplican secuencialmente, de forma
que la primera regla que el paquete cumpla marcará la
acción a realizar (descartarlo o dejarlo pasar). La
aplicación de las listas de filtros se puede hacer en el
momento de entrada del paquete o bien en el de salida o en
ambos.
La protección centralizada es la ventaja
más importante del filtrado de paquetes. Con un
único enrutador con filtrado de paquetes situado
estratégicamente puede protegerse toda una
red.
Firma digital.
El cifrado con clave pública permite generar
firmas digitales que hacen posible certificar la procedencia de
un mensaje, en otras palabras, asegurar que proviene de quien
dice. De esta forma se puede evitar que alguien suplante a un
usuario y envíe mensajes falsos a otro usuario, por la
imposibilidad de falsificar la firma. Además, garantizan
la integridad del mensaje, es decir, que no ha sido alterado
durante la transmisión. La firma se puede aplicar a un
mensaje completo o puede ser algo añadido al
mensaje.
Las firmas son especialmente útiles cuando la
información debe atravesar redes sobre las que no se
tiene control directo
y, en consecuencia, no existe posibilidad de verificar de otra
forma la procedencia de los mensajes.
Existen varios métodos
para hacer uso de la firma digital, uno de ellos es el siguiente:
«quien envía el mensaje lo codifica con su clave privada.
Para descifrarlo, sólo puede hacerse con la clave
pública correspondiente a dicha persona o
institución. Si efectivamente con dicha clave se descifra
es señal de que quien dice que envió el mensaje,
realmente lo hizo».
Firma digital formada encriptando con la clave privada
del emisor:
Firma Digital y
Autentificación
E: Encriptar / D: Desencriptar.
KP : Encriptación utilizando la Clave
Privada.
KV : Encriptación utilizando la Clave
Pública.
M : Mensaje.
Seguridad en WWW.
¿Es posible hacer un formulario
seguro?
Para hacer un formulario se debe tener un servidor
seguro.
En primer lugar los formularios
pueden tener «agujeros» a través de los que un hacker
hábil, incluso poco hábil, puede «colar» comandos.
La red es totalmente pública y abierta, los
paquetes pasan por máquinas
de las que no se tiene conocimiento y
a las que puede tener acceso la gente que le guste husmear el
tráfico de la red. Si es así (y no tienen que ser
necesariamente hackers
malintencionados, algunos proveedores de
servicio lo
hacen) sólo se puede recurrir a encriptar el
tráfico por medio, en WWW, de servidores y
clientes seguros.
Proveer acceso a los servicios de
la red de una empresa y proveer
acceso al mundo exterior a través de la
organización, da al personal e
institución muchos beneficios. Sin embargo, a mayor acceso
que se provea, mayor es el peligro de que alguien explote lo que
resulta del incremento de vulnerabilidad.
De hecho, cada vez que se añade un nuevo sistema, acceso
de red o aplicación se agregan vulnerabilidades
potenciales y aumenta la mayor dificultad y complejidad de la
protección. Sin embargo, si se está dispuesto a
enfrentar realmente los riesgos, es
posible cosechar los beneficios de mayor acceso mientras se
minimizan los obstáculos. Para lograr esto, se
necesitará un plan complejo,
así como los recursos para
ejecutarlo. También se debe tener un conocimiento
detallado de los riesgos que
pueden ocurrir en todos los lugares posibles, así como las
medidas que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga
abrumadora, y podría muy bien serlo, especialmente en
organizaciones
pequeñas que no tienen personal experto
en todos los temas. Alguien podría estar tentado para
contratar un consultor de seguridad y hacerlo con él;
aunque esto puede ser una buena manera para outsourcing,
todavía necesita saber lo suficiente y observar la
honestidad del
consultor. Después de todo, se le va a confiar a ellos los
bienes
más importantes de la organización.
Para asegurar una red adecuadamente, no solamente se
necesita un profundo entendimiento de las características técnicas de los
protocolos de
red, sistemas
operativos y aplicaciones que son accesadas, sino
también lo concerniente al planeamiento. El
plan es el
primer paso y es la base para asegurar que todas las bases sean
cubiertas.
¿Porqué se necesita una política de
seguridad?
La imagen que
frecuentemente viene a la mente cuando se discute sobre seguridad
está la del gran firewall que
permanece al resguardo de la apertura de su red, defendiendo de
ataques de malévolos hackers. Aunque
un firewall
jugará un papel crucial,
es sólo una herramienta que debe ser parte de una estrategia
más comprensiva y que será necesaria a fin de
proteger responsablemente los datos de la red. Por una parte,
sabiendo cómo configurar un firewall para permitir las
comunicaciones
que se quiere que ingresen, mientras salvaguarda otros datos, es
un hueso muy duro de roer.
Aún cuando se tenga las habilidades y experiencia
necesaria para configurar el firewall correctamente, será
difícil conocer la administración de riesgos que está
dispuesto a tomar con los datos y determinar la cantidad de
inconveniencias a resistir para protegerlos. También se
debe considerar cómo asegurar los hosts que están
siendo accesados. Incluso con la protección de firewall,
no hay garantía que no se pueda desarrollar alguna
vulnerabilidad. Y es muy probable que haya un dispositivo en
peligro. Los modems, por ejemplo, pueden proveer un punto de
acceso a su red que completamente sobrepase su firewall. De
hecho, un firewall puede aumentar la probabilidad que
alguien establecerá un módem para el acceso al
Internet mediante otro ISP (ISP – Internet Service Providers,
cualquier empresa o
institución que provea de conexión a Internet), por
las restricciones que el firewall puede imponer sobre ellos (algo
para recordar cuando se empieza a configurar su firewall). Se
puede proveer restricciones o «protección,» que puede
resultar ser innecesario una vez que las consecuencias se
entienden claramente como un caso de negocio. Por otra parte, los
riesgos pueden justificar el incremento de restricciones,
resultando incómodo. Pero, a menos que el usuario
esté prevenido de estos peligros y entienda claramente las
consecuencias para añadir el riesgo, no hay mucho que
hacer.
Los temas legales también surgen.
¿Qué obligaciones
legales tiene para proteger su información?. Si usted
está en una compañía de publicidad puede
tener algunas responsabilidades definitivas al
respecto.
Asegurar sus datos involucra algo más que
conectarse en un firewall con una interface competente. Lo que se
necesita es un plan comprensivo de defensa. Y se necesita
comunicar este plan en una manera que pueda ser significativo
para la gerencia y
usuarios finales. Esto requiere educación y capacitación, conjuntamente con la
explicación, claramente detallada, de las consecuencias de
las violaciones. A esto se le llama una «política de
seguridad» y es el primer paso para asegurar responsablemente la
red. La política puede incluir instalar un firewall, pero
no necesariamente se debe diseñar su política de
seguridad alrededor de las limitaciones del firewall.
Elaborar la política de seguridad no es una tarea
trivial. Ello no solamente requiere que el personal
técnico comprenda todas las vulnerabilidades que
están involucradas, también requiere que ellos se
comuniquen efectivamente con la gerencia. La
gerencia debe decidir finalmente cuánto de riesgo debe ser
tomado con el activo de la compañía, y
cuánto se debería gastar en ambos, en
dólares e inconvenientes, a fin de minimizar los riesgos.
Es responsabilidad del personal técnico
asegurar que la gerencia comprenda las implicaciones de
añadir acceso a la red y a las aplicaciones sobre la red,
de tal manera que la gerencia tenga la suficiente
información para la toma de
decisiones. Si la política de seguridad no viene desde
el inicio, será difícil imponer incluso medidas de
seguridad mínimas. Por ejemplo, si los empleados pueden
llegar a alterarse si ellos imprevistamente tienen que abastecer
logins y contraseñas donde antes no lo hacían, o
están prohibidos particulares tipos de acceso a Internet.
Es mejor trabajar con estos temas antes de tiempo y poner la
política por escrito. Las políticas
pueden entonces ser comunicadas a los empleados por la gerencia.
De otra forma, los empleados no lo tomarán en serio, o se
tendrán batallas de políticas
constantes dentro de la compañía con respecto a
este punto. No solamente con estas batallas tendrán un
impacto negativo sobre la productividad, es
menos probable que la decisión tomada racionalmente pueda
ser capaz de prevalecer en la vehemencia de las guerras
políticas.
El desarrollo de
una política de seguridad comprende la
identificación de los activos
organizativos, evaluación
de amenazas potenciales, la evaluación
del riesgo, implementación de las herramientas y
tecnologías disponibles para hacer frente a los riesgos, y
el desarrollo de
una política de uso. Debe crearse un procedimiento de
auditoria que revise el uso de la red y servidores de
forma periódica.
Identificación de los activos
organizativos: Consiste en la creación de una lista de
todas las cosas que precisen protección.
Por ejemplo:
- Hardware: ordenadores y equipos de
telecomunicación - Software: programas
fuente, utilidades, programas de
diagnóstico, sistemas
operativos, programas de comunicaciones. - Datos: copias de seguridad, registros de
auditoria, bases de
datos.
Valoración del riesgo:
Conlleva la determinación de lo que se necesita
proteger. No es más que el proceso de
examinar todos los riesgos, y valorarlos por niveles de
seguridad.
Definición de una política de uso
aceptable:
Las herramientas y aplicaciones forman la base
técnica de la política de seguridad, pero la
política de uso aceptable debe considerar otros
aspectos:
- ¿ Quién tiene permiso para usar los
recursos? - ¿ Quién esta autorizado a conceder
acceso y a aprobar los usos? - ¿ Quién tiene privilegios de administración del sistema?
- ¿ Qué hacer con la información
confidencial? - ¿ Cuáles son los derechos y
responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y responsabilidades
de los usuarios:
- Si los usuarios están restringidos, y
cuáles son sus restricciones. - Si los usuarios pueden compartir cuentas o
dejar que otros usuarios utilicen sus cuentas. - Cómo deberían mantener sus
contraseñas los usuarios. - Con qué frecuencia deben cambiar sus
contraseñas. - Si se facilitan copias de seguridad o los usuarios
deben realizar las suyas.
9. Legislación sobre delitos
informáticos
La legislación sobre protección de los
sistemas
informáticos ha de perseguir acercarse lo más
posible a los distintos medios de
protección ya existentes, creando una nueva
regulación sólo en aquellos aspectos en los que,
basándose en las peculiaridades del objeto de
protección, sea imprescindible.
Si se tiene en cuenta que los sistemas
informáticos, pueden entregar datos e informaciones sobre
miles de personas, naturales y jurídicas, en aspectos tan
fundamentales para el normal desarrollo y funcionamiento de
diversas actividades como bancarias, financieras, tributarias,
previsionales y de identificación de las personas. Y si a
ello se agrega que existen Bancos de Datos,
empresas o
entidades dedicadas a proporcionar, si se desea, cualquier
información, sea de carácter
personal o sobre materias de las más diversas disciplinas
a un Estado o
particulares; se comprenderá que están en juego o
podrían ha llegar a estarlo de modo dramático,
algunos valores
colectivos y los consiguientes bienes
jurídicos que el ordenamiento jurídico
institucional debe proteger.
No es la amenaza potencial de la computadora
sobre el individuo lo que provoca desvelo, sino la
utilización real por el hombre de
los sistemas de
información con fines de espionaje.
No son los grandes sistemas de
información los que afectan la vida privada sino la
manipulación o el consentimiento de ello, por parte de
individuos poco conscientes e irresponsables de los datos que
dichos sistemas contienen.
La humanidad no esta frente al peligro de la informática sino frente a la posibilidad
real de que individuos o grupos sin
escrúpulos, con aspiraciones de obtener el poder que la
información puede conferirles, la utilicen para satisfacer
sus propios intereses, a expensas de las libertades individuales
y en detrimento de las personas. Asimismo, la amenaza futura
será directamente proporcional a los adelantos de las
tecnologías informáticas.
La protección de los sistemas informáticos
puede abordarse tanto desde una perspectiva penal como de una
perspectiva civil o comercial, e incluso de derecho
administrativo. Estas distintas medidas de protección
no tienen porque ser excluyentes unas de otras, sino que, por el
contrario, éstas deben estar estrechamente vinculadas. Por
eso, dadas las características de esta problemática
sólo a través de una protección global,
desde los distintos sectores del ordenamiento jurídico, es
posible alcanzar una cierta eficacia en la
defensa de los ataques a los sistemas
informáticos.
Un análisis de las legislaciones que se han
promulgado en diversos países arroja que las normas
jurídicas que se han puesto en vigor están
dirigidas a proteger la utilización abusiva de la
información reunida y procesada mediante el uso de
computadoras.
Desde hace aproximadamente diez años la
mayoría de los países europeos han hecho todo lo
posible para incluir dentro de la ley, la conducta punible
penalmente, como el acceso ilegal a sistemas de computo o el
mantenimiento
ilegal de tales accesos, la difusión de virus o la
interceptación de mensajes informáticos.
En la mayoría de las naciones occidentales
existen normas similares
a los países europeos. Todos estos enfoques están
inspirados por la misma preocupación de contar con
comunicaciones electrónicas, transacciones e intercambios
tan confiables y seguros como sea posible.
Las personas que cometen los «Delitos
Informáticos» son aquellas que poseen ciertas
características que no presentan el denominador
común de los delincuentes, esto es, los sujetos activos
tienen habilidades para el manejo de los sistemas
informáticos y generalmente por su situación
laboral se
encuentran en lugares estratégicos donde se maneja
información de carácter sensible, o bien son
hábiles en el uso de los sistemas informatizados,
aún cuando, en muchos de los casos, no desarrollen
actividades laborales que faciliten la comisión de este
tipo de delitos.
Con el tiempo se ha
podido comprobar que los autores de los delitos
informáticos son muy diversos y que lo que los diferencia
entre sí es la naturaleza de los
delitos cometidos. De esta forma, la persona que «ingresa» en un
sistema informático sin intenciones delictivas es muy
diferente del empleado de una institución financiera que
desvía fondos de las cuentas de sus clientes.
El nivel típico de aptitudes del delincuente
informático es tema de controversia ya que para algunos el
nivel de aptitudes no es indicador de delincuencia
informática en tanto que otros aducen que los posibles
delincuentes informáticos son personas listas, decididas,
motivadas y dispuestas a aceptar un reto tecnológico,
características que pudieran encontrarse en un empleado
del sector de procesamiento de
datos.
Sin embargo, teniendo en cuenta las
características ya mencionadas de las personas que cometen
los «delitos informáticos», los estudiosos en la materia los
han catalogado como «delitos de cuello blanco» término
introducido por primera vez por el criminólogo
norteamericano Edwin Sutherland en el año de
1943.
Efectivamente, este conocido criminólogo
señala un sinnúmero de conductas que considera como
«delitos de cuello blanco», aún cuando muchas de estas
conductas no están tipificadas en los ordenamientos
jurídicos como delitos, y dentro de las cuales cabe
destacar las «violaciones a las leyes de patentes
y fábrica de derechos de
autor, el mercado negro, el
contrabando en las empresas, la
evasión de impuestos, las
quiebras fraudulentas, corrupción
de altos funcionarios, entre otros».
Asimismo, este criminólogo estadounidense dice
que tanto la definición de los «delitos
informáticos» como la de los «delitos de cuello blanco» no
es de acuerdo al interés
protegido, como sucede en los delitos convencionales sino de
acuerdo al sujeto activo que los comete. Entre las
características en común que poseen ambos delitos
tenemos que: «El sujeto activo del delito es una
persona de cierto status socioeconómico, su
comisión no puede explicarse por pobreza ni por
mala habitación, ni por carencia de recreación, ni por baja educación, ni por
poca inteligencia,
ni por inestabilidad emocional».
Es difícil elaborar estadísticas sobre ambos tipos de delitos.
Sin embargo, la cifra es muy alta; no es fácil descubrirlo
y sancionarlo, en razón del poder económico de
quienes lo cometen, pero los daños económicos son
altísimos; existe una gran indiferencia de la opinión
pública sobre los daños ocasionados a la
sociedad; la
sociedad no
considera delincuentes a los sujetos que cometen este tipo de
delitos, no los segrega, no los desprecia, ni los desvaloriza,
por el contrario, el autor o autores de este tipo de delitos se
considera a sí mismos «respetables» otra coincidencia que
tienen estos tipos de delitos es que, generalmente, «son objeto
de medidas o sanciones de carácter administrativo y no
privativos de la libertad».
Este nivel de criminalidad se puede explicar por la
dificultad de reprimirla en forma internacional, ya que los
usuarios están esparcidos por todo el mundo y, en
consecuencia, existe una posibilidad muy grande de que el agresor
y la víctima estén sujetos a leyes nacionales
diferentes. Además, si bien los acuerdos de
cooperación internacional y los tratados de
extradición bilaterales intentan remediar algunas de las
dificultades ocasionadas por los delitos informáticos, sus
posibilidades son limitadas.
Por su parte, el «Manual de la
Naciones Unidas
para la Prevención y Control de
Delitos Informáticos» señala que cuando el problema
se eleva a la escena internacional, se magnifican los
inconvenientes y las insuficiencias, por cuanto los delitos
informáticos constituyen una nueva forma de crimen
transnacional y su combate requiere de una eficaz
cooperación internacional concertada. Asimismo, la
ONU resume de
la siguiente manera a los problemas que
rodean a la cooperación internacional en el área de
los delitos informáticos:
- Falta de acuerdos globales acerca de que tipo de
conductas deben constituir delitos
informáticos. - Ausencia de acuerdos globales en la definición
legal de dichas conductas delictivas. - Falta de especialización de las
policías, fiscales y otros funcionarios judiciales en el
campo de los delitos informáticos. - Falta de armonización entre las diferentes
leyes procesales nacionales acerca de la investigación de los delitos
informáticos. - Carácter transnacional de muchos delitos
cometidos mediante el uso de computadoras. - Ausencia de tratados de
extradición, de acuerdos de ayuda mutuos y de mecanismos
sincronizados que permitan la puesta en vigor de la
cooperación internacional.
En síntesis,
es destacable que la delincuencia
informática se apoya en el delito
instrumentado por el uso de la computadora a
través de redes telemáticas y
la interconexión de la
computadora, aunque no es el único medio. Las ventajas
y las necesidades del flujo nacional e internacional de datos,
que aumenta de modo creciente aún en países
latinoamericanos, conlleva también a la posibilidad
creciente de estos delitos; por eso puede señalarse que la
criminalidad informática constituye un reto considerable
tanto para los sectores afectados de la infraestructura
crítica de un país, como para los legisladores, las
autoridades policiales encargadas de las investigaciones y
los funcionarios judiciales.
Legislación – Contexto
Internacional
En el contexto internacional, son pocos los
países que cuentan con una legislación apropiada.
Entre ellos, se destacan, Estados Unidos,
Alemania,
Austria, Gran Bretaña, Holanda, Francia,
España,
Argentina y
Chile.
Dado lo anterior a continuación se mencionan
algunos aspectos relacionados con la ley en los
diferentes países, así como con los delitos
informáticos que persigue.
» Estados
Unidos.
Este país adoptó en 1994 el Acta Federal
de Abuso Computacional que modificó al Acta de Fraude y Abuso
Computacional de 1986.
Con la finalidad de eliminar los argumentos
hipertécnicos acerca de qué es y que no es un
virus, un
gusano, un caballo de Troya y en que difieren de los virus, la
nueva acta proscribe la transmisión de un programa,
información, códigos o comandos que
causan daños a la computadora, a
los sistemas informáticos, a las redes,
información, datos o programas. La nueva ley es un
adelanto porque está directamente en contra de los actos
de transmisión de virus.
Asimismo, en materia de
estafas electrónicas, defraudaciones y otros actos dolosos
relacionados con los dispositivos de acceso a sistemas
informáticos, la legislación estadounidense
sanciona con pena de prisión y multa, a la persona que
defraude a otro mediante la utilización de una computadora
o red informática.
En el mes de Julio del año 2000, el Senado y la
Cámara de Representantes de este país -tras un
año largo de deliberaciones- establece el Acta de Firmas
Electrónicas en el Comercio
Global y Nacional. La ley sobre la firma digital responde a la
necesidad de dar validez a documentos
informáticos -mensajes electrónicos y contratos
establecidos mediante Internet- entre empresas (para el B2B) y
entre empresas y consumidores (para el B2C).
» Alemania.
Este país sancionó en 1986 la Ley contra
la Criminalidad Económica, que contempla los siguientes
delitos:
- Espionaje de datos.
- Estafa informática.
- Alteración de datos.
- Sabotaje informático.
» Austria.
La Ley de reforma del Código Penal, sancionada el
22 de Diciembre de 1987, sanciona a aquellos que con dolo causen
un perjuicio patrimonial a un tercero influyendo en el resultado
de una elaboración de datos automática a
través de la confección del programa, por la
introducción, cancelación o
alteración de datos o por actuar sobre el curso del
procesamiento de
datos. Además contempla sanciones para quienes
comenten este hecho utilizando su profesión de
especialistas en sistemas.
» Gran Bretaña.
Debido a un caso de hacking en 1991, comenzó a
regir en este país la Computer Misuse Act (Ley de Abusos
Informáticos). Mediante esta ley el intento, exitoso o no,
de alterar datos informáticos es penado con hasta cinco
años de prisión o multas. Esta ley tiene un
apartado que específica la modificación de datos
sin autorización.
» Holanda.
El 1º de Marzo de 1993 entró en vigencia la
Ley de Delitos Informáticos, en la cual se penaliza los
siguientes delitos:
- El hacking.
- El preacking (utilización de servicios de
telecomunicaciones evitando el pago total o
parcial de dicho servicio). - La ingeniería social (arte de
convencer a la gente de entregar información que en
circunstancias normales no entregaría). - La distribución de virus.
» Francia.
En enero de 1988, este país dictó la Ley
relativa al fraude
informático, en la que se consideran aspectos
como:
- Intromisión fraudulenta que suprima o
modifique datos. - Conducta intencional en la violación de
derechos a terceros que haya impedido o alterado el
funcionamiento de un sistema de procesamiento automatizado de
datos. - Conducta intencional en la violación de
derechos a terceros, en forma directa o indirecta, en la
introducción de datos en un sistema de procesamiento
automatizado o la supresión o modificación de los
datos que éste contiene, o sus modos de procesamiento o
de transmisión. - Supresión o modificación de datos
contenidos en el sistema, o bien en la alteración del
funcionamiento del sistema (sabotaje).
» España.
En el Nuevo Código Penal de España, se
establece que al que causare daños en propiedad
ajena, se le aplicará pena de prisión o multa. En
lo referente a:
- La realización por cualquier medio de
destrucción, alteración, inutilización o
cualquier otro daño en los datos, programas o documentos
electrónicos ajenos contenidos en redes, soportes o
sistemas informáticos. - El nuevo Código Penal de España
sanciona en forma detallada esta categoría delictual
(Violación de secretos/Espionaje/Divulgación),
aplicando pena de prisión y multa. - En materia de estafas electrónicas, el nuevo
Código Penal de España, solo tipifica las estafas
con ánimo de lucro valiéndose de alguna
manipulación informática, sin detallar las penas
a aplicar en el caso de la comisión del
delito.
» Chile.
Chile fue el primer país latinoamericano en
sancionar una Ley contra delitos informáticos, la cual
entró en vigencia el 7 de junio de 1993. Esta ley se
refiere a los siguientes delitos:
- La destrucción o inutilización de los
de los datos contenidos dentro de una computadora es castigada
con penas de prisión. Asimismo, dentro de esas
consideraciones se encuentran los virus. - Conducta maliciosa tendiente a la destrucción
o inutilización de un sistema de tratamiento de
información o de sus partes componentes o que dicha
conducta
impida, obstaculice o modifique su funcionamiento. - Conducta maliciosa que altere, dañe o destruya
los datos contenidos en un sistema de tratamiento de
información.
Legislación – Contexto
Nacional
En el contexto nacional se pueden encontrar legislaturas
que castiguen algunos de los tipos de delitos
informáticos, para lo cual se deben citar:
- El código procesal penal.
- La Ley de Fomento y Protección de la Propiedad
Intelectual.
» Código Procesal Penal.
Dentro de esta ley se contemplan algunos
artículos que guardan relación con los delitos
informáticos, específicamente con los
siguientes:
- La difusión, exhibición,
explotación de pornografía infantil por medios
informáticos (Art. 172 y 173). - Estafa agravada, realizar manipulación que
interfiera el resultado de un procesamiento o
transmisión de datos (Art. 216 Num.5). - Delitos relativos a la propiedad intelectual (Art.
226 y 227).
Además en dicho código se establece que la
realización de estos delitos puede significar para los
delincuentes penas de prisión que van desde los 6 meses
hasta los 8 años (dependiendo del tipo de delito).
Referido a esto es necesario menciona que en nuestro país
desgraciadamente no se cuenta con la capacidad instalada para
controlar este tipo de acciones
delictivas; por lo que la ley aunque escrita esta lejos de ser
cumplida.
» La Ley de Fomento y Protección de la
Propiedad Intelectual.
Al revisar el contenido de la dicha ley y relacionarlo
con la informática, haciendo mayor énfasis en la
protección contra los delitos informáticos, se
pueden establecer dos áreas de alcance:
- La protección de la propiedad
intelectual. - La sustracción de información
clasificada.
La protección de la propiedad
intelectual.
La propiedad intelectual comprende la propiedad en las
siguientes áreas: Literaria, Artística, Industrial
y Científica (donde se sitúa la
informática). El derecho de propiedad exclusivo se conoce
como ‘derecho de autor’, en este sentido cualquier
tipo de violación dará lugar a reparación
del daño e indemnización de perjuicios.
Dentro de las categorías de obras
científicas protegidas por esta ley se pueden mencionar
los programas de ordenador y en general cualquier obra con
carácter de creación intelectual o personal, es
decir, original.
La sustracción de información
clasificada.
Se considera secreto industrial o comercial, toda
información que guarde un apersona con carácter
confidencial, que le signifique obtener o mantener una ventaja
competitiva o económica frente a terceros, en la
realización de actividades económicas y respecto de
la cual haya adoptado los medios o sistemas razonables para
preservar su confidencialidad y el acceso restringido a la
misma.
Ahora bien, para la protección de la
información secreta, la ley establece que toda persona que
con motivo de su trabajo, empleo, cargo,
puesto, desempeño de su profesión o
relación de negocios tenga
acceso a un secreto a un secreto industrial o comercial del cual
se le haya prevenido sobre su confidencialidad, deberá
abstenerse de utilizarlo para fines comerciales propios o de
revelarlo sin causa justificada y sin consentimiento de la
persona que guarde dicho secreto, o de su usuario autorizado, en
caso contrario será responsable de los daños y
perjuicios ocasionados. También será responsable el
que por medio ilícito obtenga información que
contemple un secreto industrial o comercial.
» Efectos de la inexistencia de legislatura
informática.
La inexistencia de una ley informática
imposibilita que la persecución y castigo de los autores
de delitos informáticos sea efectiva. Aunado a esto las
autoridades (PNC, Fiscalía, Corte de Cuentas, Órgano
Judicial) no poseen el nivel de experticia requerido en estas
áreas ni la capacidad instalada para desarrollar
actividades de investigación, persecución y
recopilación de pruebas
digitales y electrónicas. Por lo que todo tipo de
acción contra los delincuentes informáticos
quedaría prácticamente en las manos de la
organización que descubre un delito y el tipo de
penalización sería más administrativa que de
otro tipo (si el delito proviene de fuentes
internas).
» Esfuerzos en legislación
informática.
En nuestro país debido a factores como el auge
del comercio
electrónico a nivel mundial, la aprobación de
la firma digital en E.U., etc. se esta trabajando en la
estructuración de una ley que le brinde un marco legal a
las prácticas del comercio
electrónico (las transacciones por Internet) en
nuestro país. Dicho esfuerzo esta siendo realizado de
manera conjunta por el Ministerio de Economía y la
Secretaria Técnica de la Presidencia, y se espera que
participen en dicha estructuración diferentes asociaciones
y gremiales (Cámara de Comercio,
DIELCO, ASI, etc.) para que sea realmente funcional y
efectiva.
10. Auditor versus delitos
informaticos
Es importante establecer claramente cual es el papel que
juega el auditor informático en relación con la
detección y minimización de la ocurrencia de
delitos informáticos dentro de la organización a que presta sus servicios.
Para lograr establecer dicho rol se debe examinar la
actuación del auditor frente a la ocurrencia de delitos,
estrategias para
evitarlos, recomendaciones adecuadas, conocimientos requeridos,
en fin una serie de elementos que definen de manera
inequívoca el aporte que éste brinda en el manejo
de los casos de delitos informáticos.
El rol del auditor informático solamente
está basado en la verificación de controles,
evaluación del riesgo de fraudes y el diseño
y desarrollo de exámenes que sean apropiados a la naturaleza de la
auditoría asignada, y que deben
razonablemente detectar:
- Irregularidades que puedan tener un impacto sobre el
área auditada o sobre toda la
organización. - Debilidades en los controles internos que
podrían resultar en la falta de prevención o
detección de irregularidades.
Puesto que la auditoria es una verificación de
que las cosas se estén realizando de la manera
planificada, que todas las actividades se realicen adecuadamente,
que los controles sean cumplidos, etc.; entonces el auditor
informático al detectar irregularidades en el transcurso
de la auditoria informática que le indiquen la ocurrencia
de un delito informático, deberá realizar los
siguiente:
- Determinar si se considera la situación un
delito realmente; - Establecer pruebas
claras y precisas; - Determinar los vacíos de la seguridad
existentes y que permitieron el delito; - Informar a la autoridad
correspondiente dentro de la organización; - Informar a autoridades regulatorias cuando es un
requerimiento legal.
Es importante mencionar que el auditor deberá
manejar con discreción tal situación y con el
mayor profesionalismo posible; evitando su divulgación
al público o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito,
podría tener efectos negativos en la
organización, como los siguientes:
- Se puede generar una desconfianza de los empleados
hacia el sistema; - Se pueden generar más delitos al mostrar las
debilidades encontradas; - Se puede perder la confianza de los clientes,
proveedores e inversionistas hacia la
empresa; - Se pueden perder empleados clave de la
administración, aún cuando no estén
involucrados en la irregularidad debido a que la confianza en
la administración y el futuro de la
organización puede estar en riesgo.
Si por medio de la auditoria informática
realizada se han detectado la ocurrencia de delitos, el auditor
deberá sugerir acciones
especificas a seguir para resolver el vacío de seguridad,
para que el grupo de la
unidad informática pueda actuar. Dichas acciones,
expresadas en forma de recomendación pueden ser como las
siguientes:
- Recomendaciones referentes a la revisión total
del proceso involucrado; - Inclusión de controles
adicionales; - Establecimiento de planes de contingencia
efectivos; - Adquisición de herramientas de control,
etc.
Además de brindar recomendaciones, el auditor
informático deberá ayudar a la empresa en el
establecimiento de estrategias
contra la ocurrencia de delitos, entre las que pueden
destacarse:
- Adquisición de herramientas computacionales de
alto desempeño; - Controles sofisticados;
- Procedimientos estándares bien establecidos y
probados. - Revisiones continuas; cuya frecuencia
dependerá del grado de importancia para la empresa de
las TI; así como de las herramientas y controles
existentes.
Si bien es cierto las recomendaciones dadas por el
auditor, las estrategias implementadas por la organización
minimizan el grado de amenaza que representa los delitos
informáticos, es importante tomar en cuenta que aún
cuando todos los procesos de
auditoría estén debidamente
diseñados y se cuente con las herramientas adecuadas, no
se puede garantizar que las irregularidades puedan ser
detectadas. Por lo que la verificaciones la información y
de la TI juegan un papel importante en la detección de los
delitos informáticos.
Perfil del Auditor
Informático
El auditor informático como encargado de la
verificación y certificación de la
informática dentro de las organizaciones, deberá
contar con un perfil que le permita poder desempeñar su
trabajo con la calidad y la
efectividad esperada. Para ello a continuación se
establecen algunos elementos con que deberá
contar:
» Conocimientos generales.
- Todo tipo de conocimientos tecnológicos, de
forma actualizada y especializada respecto a las plataformas
existentes en la organización; - Normas estándares para la auditoría
interna; - Políticas organizacionales sobre la
información y las tecnologías de la
información. - Características de la organización
respecto a la ética,
estructura
organizacional, tipo de supervisión existente, compensaciones
monetarias a los empleados, extensión de la presión
laboral sobre
los empleados, historia de la
organización, cambios recientes en la
administración, operaciones o
sistemas, la industria o
ambiente
competitivo en la cual se desempeña la
organización, etc. - Aspectos legales;
» Herramientas.
- Herramientas de control y verificación de la
seguridad; - Herramientas de monitoreo de actividades,
etc.
» Técnicas.
- Técnicas de Evaluación de
riesgos; - Muestreo;
- Cálculo pos operación;
- Monitoreo de actividades;
- Recopilación de grandes cantidades de
información; - Verificación de desviaciones en el comportamiento de la data;
- Análisis e interpretación de la
evidencia, etc.
Auditor Externo Versus Auditor
Interno
La responsabilidad del auditor externo para detectar
irregularidades o fraude se establece en el prefacio de las
normas y estándares de auditoría. En este prefacio
se indica que aunque el cometido de los auditores externos no
exige normalmente la búsqueda específica de
fraudes, la auditoría deberá planificarse de forma
que existan unas expectativas razonables de detectar
irregularidades materiales o
fraude.
Si el auditor externo detecta algún tipo de
delito deberá presentar un informe detallado
sobre la situación y aportar elementos de juicio
adicionales durante las investigaciones
criminales posteriores. El auditor externo solamente puede emitir
opiniones basado en la información recabada y normalmente
no estará involucrado directamente en la búsqueda
de pruebas; a menos que su contrato sea
extendido a otro tipo de actividades normalmente fuera de su
alcance.
El cometido y responsabilidad de los auditores internos
vienen definidos por la dirección de la empresa a la que
pertenecen. En la mayoría de ellas, se considera que la
detección de delitos informáticos forma parte del
cometido de los auditores internos.
En la mayoría de las empresas existe la
obligación de mantener en todo momento unos registros
contables adecuados y el auditor tendrá que informar si no
fuera así.
Lo más probable es que el estudio completo de la
seguridad y la planificación de emergencia de los sistemas
mecanizados se incluyan entre las atribuciones de la
mayoría de los departamentos de auditoría
interna. Por ello cuando se realice un análisis de seguridad
informática y de planificación de emergencia, el
auditor:
- Examinará sistemáticamente todos los
riesgos que intervengan y acotarán las pérdidas
probables en cada caso. - Considerará las maneras de aumentar la
seguridad para reducir los riesgos. - Recomendará todas las acciones necesarias de
protección encaminadas a reducir el riesgo de que se
produzca una interrupción, en caso de que se
produzca. - Cuando corresponda, estudiará la cobertura de
seguros de la empresa.
Cuando se hable de eficiencia, los
auditores tendrán que tener en cuenta las bases de
referencia del grupo de auditoria, que considera lo
siguiente:
- A que nivel informan los auditores.
- El apoyo que la dirección presta a los
auditores. - El respeto que
tenga la unidad informática hacia el grupo de
auditoría. - La competencia
técnica del equipo de auditoría. - La eficiencia de
la unidad informática, en la que se incluyen más
factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores
tuvieran razones para pensar que las disposiciones de seguridad
de la empresa y los planes de emergencia no son los adecuados,
deberán reflejar sus opiniones a la Alta Dirección,
a través del informe de
auditoria.
Si sospechase de fraude, el auditor deberá avisar
a la alta dirección para que se pongan en contacto con su
asesor jurídico, o con la policía, sin levantar las
sospechas del personal o los clientes que estuviesen
involucrados. El auditor deberá asegurar también
que los originales de los documentos que pudieran utilizarse como
prueba están custodiados y a salvo y que ninguna persona
que sea sospechosa de fraude tenga acceso a ellos.
- Debido a la naturaleza virtual de los delitos
informáticos, puede volverse confusa la
tipificación de éstos ya que a nivel general, se
poseen pocos conocimientos y experiencias en el manejo de
ésta área. Desde el punto de vista de la
Legislatura es difícil la clasificación de
éstos actos, por lo que la creación de
instrumentos legales puede no tener los resultados esperados,
sumado a que la constante innovación tecnológica obliga a un
dinamismo en el manejo de las Leyes relacionadas con la
informática. - La falta de cultura
informática es un factor crítico en el impacto de
los delitos informáticos en la sociedad en general, cada
vez se requieren mayores conocimientos en tecnologías de
la información, las cuales permitan tener un marco de
referencia aceptable para el manejo de dichas
situaciones. - Nuevas formas de hacer negocios
como el comercio electrónico puede que no encuentre el
eco esperado en los individuos y en las empresas hacia los que
va dirigido ésta tecnología, por lo que se deben crear
instrumentos legales efectivos que ataquen ésta
problemática, con el único fin de tener un marco
legal que se utilice como soporte para el manejo de éste
tipo de transacciones. - La responsabilidad del auditor informático no
abarca el dar solución al impacto de los delitos o en
implementar cambios; sino más bien su responsabilidad
recae en la verificación de controles, evaluación
de riesgos, así como en el establecimiento de
recomendaciones que ayuden a las organizaciones a minimizar las
amenazas que presentan los delitos
informáticos. - La ocurrencia de delitos informáticos en las
organizaciones alrededor del mundo no debe en ningún
momento impedir que éstas se beneficien de todo lo que
proveen las tecnologías de información (comunicación remota, Interconectividad,
comercio electrónico, etc.); sino por el contrario dicha
situación debe plantear un reto a los profesionales de
la informática, de manera que se realicen esfuerzos
encaminados a robustecer los aspectos de seguridad, controles,
integridad de la información, etc. en las
organizaciones.
Algunos sitios consultados por
Internet
http://members.nbci.com/segutot/delitos.htm
http://www.fas.org/irp/congress/1996_hr/s960605l.htm
http://digitaldesign.bariloche.net.ar/xiijovenab/ComDerPen%20-%20DelitosInfor.htm
http://www.npa.go.jp/hightech/antai_repo/ereport.htm
http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml
http://www.govnews.org/mhonarc/gov/us/fed/congress/gao/reports/_msg00533.html
http://www.dtj.com.ar/publicaciones.htm
http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html
http://www.gocsi.com/
http://www.ecomder.com.ar
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://arnal.es/free/noticias/free2_08.html#T12
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://www.inei.gob.pe/cpi/bancopub/cpi008.htm
http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html
http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml
http://www.onnet.es/04001001.htm
http://legal.infosel.com/Legal/EnLinea/Articulos/articulo/0001/
Trabajo realizado y enviado por:
Melvin Leonardo Landaverde Contreras
Joaquín Galileo Soto Campos
Jorge Marcelo Torres Lipe
Universidad de El Salvador
Octubre de 2000
 Página anterior | Volver al principio del trabajo | Página siguiente  |