delitos informaticos
TRANSCRIPT
Trabajo realizado por:
Melvin Leonardo Landaverde [email protected]
Joaquín Galileo Soto [email protected]
Jorge Marcelo Torres [email protected]
Universidad de El Salvador
Octubre de 2000
DELITOSINFORMÁTICOS
Índice general
1. Introducción. .................................................................................... 32. Objetivos ........................................................................................... 43. Alcances y Limitaciones .................................................................... 54. Conceptualización y generalidades. ................................................. 55. Tipificación de los delitos informáticos ....................................... 146. Estadísticas Sobre Delitos Informáticos. ..................................... 297. Impacto de los delitos informáticos ............................................. 378. Seguridad contra los delitos informáticos. ................................... 519. Legislación sobre delitos informáticos ......................................... 6310. Auditor versus delitos informaticos ........................................... 7611. Conclusiones ................................................................................. 8312. Referencias. .................................................................................... 85
3
1. Introducción.
A nadie escapa la enorme influencia que ha alcanzado lainformática en la vida diaria de las personas y organizacio-nes, y la importancia que tiene su progreso para el desarro-llo de un país. Las transacciones comerciales, la comunica-ción, los procesos industriales, las investigaciones, la segu-ridad, la sanidad, etc. son todos aspectos que dependencada día más de un adecuado desarrollo de la tecnologíainformática.
Junto al avance de la tecnología informática y su influenciaen casi todas las áreas de la vida social, ha surgido unaserie de comportamientos ilícitos denominados, de maneragenérica, «delitos informáticos».
Debido a lo anterior se desarrolla el presente documentoque contiene una investigación sobre la temática de los de-litos informáticos, de manera que al final pueda establecer-se una relación con la auditoría informática.
Para lograr una investigación completa de la temática seestablece la conceptualización respectiva del tema, genera-lidades asociadas al fenómeno, estadísticas mundiales so-bre delitos informáticos, el efecto de éstos en diferentes áreas,como poder minimizar la amenaza de los delitos a través dela seguridad, aspectos de legislación informática, y por últi-mo se busca unificar la investigación realizada para poderestablecer el papel de la auditoría informática frente a losdelitos informáticos.
Al final del documento se establecen las conclusiones perti-nentes al estudio, en las que se busca destacar situacionesrelevantes, comentarios, análisis, etc.
4
2. Objetivos
General
Realizar una investigación profunda acerca del fenómeno delos Delitos Informáticos, analizando el impacto de éstos enla función de Auditoria Informática en cualquier tipo de orga-nización.
Específicos.
• Conceptualizar la naturaleza de los Delitos Informá-ticos
• Estudiar las características de este tipo de Delitos• Tipificar los Delitos de acuerdo a sus característi-
cas principales• Investigar el impacto de éstos actos en la vida so-
cial y tecnológica de la sociedad• Analizar las consideraciones oportunas en el trata-
miento de los Delitos Informáticos• Mencionar las empresas que operan con mayor ries-
go de ser víctimas de ésta clase de actos• Analizar la Legislatura que enmarca a ésta clase de
Delitos, desde un contexto Nacional e Internacio-nal.
• Definir el rol del auditor ante los Delitos Informáticos• Presentar los indicadores estadísticos referentes a
éstos actos delictivos
5
3. Alcances y Limitaciones
Alcances
Esta investigación sólo tomará en cuenta el estudio y análi-sis de la información referente al problema del DelitoInformático, tomando en consideración aquellos elementosque aporten criterios con los cuales se puedan realizar jui-cios valorativos respecto al papel que juega la Auditoria In-formática ante éste tipo de hechos.
Limitaciones
La principal limitante para realizar ésta investigación es ladébil infraestructura legal que posee nuestro país con res-pecto a la identificación y ataque a éste tipo de Delitos, noobstante se poseen los criterios suficientes sobre la basede la experiencia de otras naciones para el adecuado análi-sis e interpretación de éste tipo de actos delictivos.
4. Conceptualización y generalidades.
Conceptualización
Fraude puede ser definido como engaño, acción contraria ala verdad o a la rectitud. La definición de Delito puede sermás compleja.
Muchos estudiosos del Derecho Penal han intentado formu-lar una noción de delito que sirviese para todos los tiemposy en todos los países. Esto no ha sido posible dada la ínti-ma conexión que existe entre la vida social y la jurídica decada pueblo y cada siglo, aquella condiciona a ésta.
6
Según el ilustre penalista CUELLO CALON, los elementosintegrantes del delito son:
El delito es un acto humano, es una acción (acción uomisión)
Dicho acto humano ha de ser antijurídico, debe lesionaro poner en peligro un interés jurídicamente protegi-do.
Debe corresponder a un tipo legal (figura de delito), defi-nido por La Ley, ha de ser un acto típico.
El acto ha de ser culpable, imputable a dolo (intención)o a culpa (negligencia), y una acción es imputablecuando puede ponerse a cargo de una determinadapersona
La ejecución u omisión del acto debe estar sancionadapor una pena.
Por tanto, un delito es: una acción antijurídica realizada porun ser humano, tipificado, culpable y sancionado por unapena.
Se podría definir el delito informático como toda acción (ac-ción u omisión) culpable realizada por un ser humano, quecause un perjuicio a personas sin que necesariamente sebeneficie el autor o que, por el contrario, produzca un bene-ficio ilícito a su autor aunque no perjudique de forma directao indirecta a la víctima, tipificado por La Ley, que se realizaen el entorno informático y está sancionado con una pena.
De esta manera, el autor mexicano Julio TELLEZ VALDEZseñala que los delitos informáticos son «actitudes ilícitas enque se tienen a las computadoras como instrumento o fin(concepto atípico) o las conductas típicas, antijurídicas y
7
culpables en que se tienen a las computadoras como instru-mento o fin (concepto típico)». Por su parte, el tratadistapenal italiano Carlos SARZANA, sostiene que los delitosinformáticos son «cualquier comportamiento criminal en quela computadora está involucrada como material, objeto o merosímbolo».
Algunas consideraciones.
En la actualidad las computadoras se utilizan no solo comoherramientas auxiliares de apoyo a diferentes actividadeshumanas, sino como medio eficaz para obtener y conseguirinformación, lo que las ubica también como un nuevo mediode comunicación, y condiciona su desarrollo de la informáti-ca; tecnología cuya esencia se resume en la creación, pro-cesamiento, almacenamiento y transmisión de datos.
La informática esta hoy presente en casi todos los camposde la vida moderna. Con mayor o menor rapidez todas lasramas del saber humano se rinden ante los progresos tec-nológicos, y comienzan a utilizar los sistemas de Informa-ción para ejecutar tareas que en otros tiempos realizabanmanualmente.
El progreso cada día más importante y sostenido de lossistemas computacionales permite hoy procesar y poner adisposición de la sociedad una cantidad creciente de infor-mación de toda naturaleza, al alcance concreto de millonesde interesados y de usuarios. Las más diversas esferas delconocimiento humano, en lo científico, en lo técnico, en loprofesional y en lo personal están siendo incorporadas asistemas informáticos que, en la práctica cotidiana, de he-cho sin limitaciones, entrega con facilidad a quien lo deseeun conjunto de datos que hasta hace unos años sólo podíanubicarse luego de largas búsquedas y selecciones en que el
8
hombre jugaba un papel determinante y las máquinas exis-tentes tenían el rango de equipos auxiliares para imprimirlos resultados. En la actualidad, en cambio, ese enormecaudal de conocimiento puede obtenerse, además, en se-gundos o minutos, transmitirse incluso documentalmente yllegar al receptor mediante sistemas sencillos de operar,confiables y capaces de responder casi toda la gama deinterrogantes que se planteen a los archivos informáticos.
Puede sostenerse que hoy las perspectivas de la informáti-ca no tienen límites previsibles y que aumentan en formaque aún puede impresionar a muchos actores del proceso.
Este es el panorama de este nuevo fenómeno científico tec-nológico en las sociedades modernas. Por ello ha llegado asostenerse que la Informática es hoy una forma de PoderSocial. Las facultades que el fenómeno pone a disposiciónde Gobiernos y de particulares, con rapidez y ahorro consi-guiente de tiempo y energía, configuran un cuadro de reali-dades de aplicación y de posibilidades de juegos lícito eilícito, en donde es necesario el derecho para regular losmúltiples efectos de una situación, nueva y de tantas poten-cialidades en el medio social.
Los progresos mundiales de las computadoras, el crecienteaumento de las capacidades de almacenamiento y proce-samiento, la miniaturización de los chips de las computado-ras instalados en productos industriales, la fusión del proce-so de la información con las nuevas tecnologías de comuni-cación, así como la investigación en el campo de la inteli-gencia artificial, ejemplifican el desarrollo actual definido amenudo como la «era de la información».
Esta marcha de las aplicaciones de la informática no sólotiene un lado ventajoso sino que plantea también problemasde significativa importancia para el funcionamiento y la se-
9
guridad de los sistemas informáticos en los negocios, laadministración, la defensa y la sociedad.
Debido a esta vinculación, el aumento del nivel de los delitosrelacionados con los sistemas informáticos registrados enla última década en los Estados Unidos, Europa Occiden-tal, Australia y Japón, representa una amenaza para la eco-nomía de un país y también para la sociedad en su conjunto.
De acuerdo con la definición elaborada por un grupo de ex-pertos, invitados por la OCDE a París en mayo de 1983, eltérmino delitos relacionados con las computadoras se defi-ne como cualquier comportamiento antijurídico, no ético ono autorizado, relacionado con el procesado automático dedatos y/o transmisiones de datos. La amplitud de este con-cepto es ventajosa, puesto que permite el uso de las mis-mas hipótesis de trabajo para toda clase de estudios pena-les, criminólogos, económicos, preventivos o legales.
En la actualidad la informatización se ha implantado en casitodos los países. Tanto en la organización y administraciónde empresas y administraciones públicas como en la inves-tigación científica, en la producción industrial o en el estudioe incluso en el ocio, el uso de la informática es en ocasio-nes indispensable y hasta conveniente. Sin embargo, juntoa las incuestionables ventajas que presenta comienzan asurgir algunas facetas negativas, como por ejemplo, lo queya se conoce como «criminalidad informática».
El espectacular desarrollo de la tecnología informática haabierto las puertas a nuevas posibilidades de delincuenciaantes impensables. La manipulación fraudulenta de los or-denadores con ánimo de lucro, la destrucción de programaso datos y el acceso y la utilización indebida de la informa-ción que puede afectar la esfera de la privacidad, son algu-nos de los procedimientos relacionados con el procesamiento
10
electrónico de datos mediante los cuales es posible obtenergrandes beneficios económicos o causar importantes da-ños materiales o morales. Pero no sólo la cuantía de losperjuicios así ocasionados es a menudo infinitamente supe-rior a la que es usual en la delincuencia tradicional, sino quetambién son mucho más elevadas las posibilidades de queno lleguen a descubrirse. Se trata de una delincuencia deespecialistas capaces muchas veces de borrar toda huellade los hechos.
En este sentido, la informática puede ser el objeto del ata-que o el medio para cometer otros delitos. La informáticareúne unas características que la convierten en un medioidóneo para la comisión de muy distintas modalidadesdelictivas, en especial de carácter patrimonial (estafas, apro-piaciones indebidas, etc.). La idoneidad proviene, básica-mente, de la gran cantidad de datos que se acumulan, conla consiguiente facilidad de acceso a ellos y la relativamentefácil manipulación de esos datos.
La importancia reciente de los sistemas de datos, por sugran incidencia en la marcha de las empresas, tanto públi-cas como privadas, los ha transformado en un objeto cuyoataque provoca un perjuicio enorme, que va mucho más alládel valor material de los objetos destruidos. A ello se uneque estos ataques son relativamente fáciles de realizar, conresultados altamente satisfactorios y al mismo tiempo pro-curan a los autores una probabilidad bastante alta de alcan-zar los objetivos sin ser descubiertos.
Características de los delitos
Según el mexicano Julio Tellez Valdez, los delitos informáticospresentan las siguientes características principales:
11
Son conductas criminales de cuello blanco (white collarcrime), en tanto que sólo un determinado númerode personas con ciertos conocimientos (en estecaso técnicos) puede llegar a cometerlas.
Son acciones ocupacionales, en cuanto a que muchasveces se realizan cuando el sujeto se halla traba-jando.
Son acciones de oportunidad, ya que se aprovecha unaocasión creada o altamente intensificada en el mun-do de funciones y organizaciones del sistema tec-nológico y económico.
Provocan serias pérdidas económicas, ya que casi siem-pre producen «beneficios» de más de cinco cifras aaquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que enmilésimas de segundo y sin una necesaria presen-cia física pueden llegar a consumarse.
Son muchos los casos y pocas las denuncias, y todoello debido a la misma falta de regulación por partedel Derecho.
Son muy sofisticados y relativamente frecuentes en elámbito militar.
Presentan grandes dificultades para su comprobación,esto por su mismo carácter técnico.
Tienden a proliferar cada vez más, por lo que requierenuna urgente regulación. Por el momento siguen sien-do ilícitos impunes de manera manifiesta ante laley.
12
Sistemas y empresas con mayor riesgo.
Evidentemente el artículo que resulta más atractivo robar esel dinero o algo de valor. Por lo tanto, los sistemas que pue-den estar más expuestos a fraude son los que tratan pagos,como los de nómina, ventas, o compras. En ellos es dondees más fácil convertir transacciones fraudulentas en dineroy sacarlo de la empresa.
Por razones similares, las empresas constructoras, bancosy compañías de seguros, están más expuestas a fraudesque las demás.
Los sistemas mecanizados son susceptibles de pérdidas ofraudes debido a que:
• Tratan grandes volúmenes de datos e interviene pocopersonal, lo que impide verificar todas las partidas.
• Se sobrecargan los registros magnéticos, perdién-dose la evidencia auditable o la secuencia de acon-tecimientos.
• A veces los registros magnéticos son transitorios ya menos que se realicen pruebas dentro de un pe-ríodo de tiempo corto, podrían perderse los detallesde lo que sucedió, quedando sólo los efectos.
• Los sistemas son impersonales, aparecen en unformato ilegible y están controlados parcialmentepor personas cuya principal preocupación son losaspectos técnicos del equipo y del sistema y queno comprenden, o no les afecta, el significado delos datos que manipulan.
• En el diseño de un sistema importante es difícil ase-gurar que se han previsto todas las situaciones po-sibles y es probable que en las previsiones que sehayan hecho queden huecos sin cubrir. Los siste-
13
mas tienden a ser algo rígidos y no siempre se di-señan o modifican al ritmo con que se producen losacontecimientos; esto puede llegar a ser otra fuen-te de «agujeros».
• Sólo parte del personal de proceso de datos cono-ce todas las implicaciones del sistema y el centrode cálculo puede llegar a ser un centro de informa-ción. Al mismo tiempo, el centro de cálculo proce-sará muchos aspectos similares de las transaccio-nes.
• En el centro de cálculo hay un personal muy inteli-gente, que trabaja por iniciativa propia la mayoríadel tiempo y podría resultar difícil implantar unosniveles normales de control y supervisión.
• El error y el fraude son difíciles de equiparar. A me-nudo, los errores no son iguales al fraude. Cuandosurgen discrepancias, no se imagina que se ha pro-ducido un fraude, y la investigación puede abando-narse antes de llegar a esa conclusión. Se tiende aempezar buscando errores de programación y delsistema. Si falla esta operación, se buscan fallostécnicos y operativos. Sólo cuando todas estas ave-riguaciones han dado resultados negativos, acabapensándose en que la causa podría ser un fraude.
Delitos en perspectiva
Los delitos pueden ser examinado desde dos puntos de vis-ta diferentes:
• Los delitos que causan mayor impacto a las organi-zaciones.
• Los delitos más difíciles de detectar.
14
Aunque depende en gran medida del tipo de organización,se puede mencionar que los Fraudes y sabotajes son losdelitos de mayor incidencia en las organizaciones. Además,aquellos que no están claramente definidos y publicadosdentro de la organización como un delito (piratería, mala uti-lización de la información, omisión deliberada de controles,uso no autorizado de activos y/o servicios computacionales;y que en algún momento pueden generar un impacto a largoplazo).
Pero si se examina la otra perspectiva, referente a los deli-tos de difícil detección, se deben situar a aquellos produci-dos por las personas que trabajan internamente en una or-ganización y que conocen perfectamente la configuracióninterna de las plataformas; especialmente cuando existe unacooperación entre empleados, cooperación entre emplea-dos y terceros, o incluso el involucramiento de la adminis-tración misma.
5. Tipificación de los delitos informáticos
Clasificación Según la Actividad Informática
Sabotaje informático
El término sabotaje informático comprende todas aquellasconductas dirigidas a causar daños en el hardware o en elsoftware de un sistema. Los métodos utilizados para causardestrozos en los sistemas informáticos son de índole muyvariada y han ido evolucionando hacia técnicas cada vezmás sofisticadas y de difícil detección. Básicamente, sepuede diferenciar dos grupos de casos: por un lado, las con-ductas dirigidas a causar destrozos físicos y, por el otro, losmétodos dirigidos a causar daños lógicos.
15
Conductas dirigidas a causar daños físicos
El primer grupo comprende todo tipo de conductas destina-das a la destrucción «física» del hardware y el software deun sistema (por ejemplo: causar incendios o explosiones,introducir piezas de aluminio dentro de la computadora paraproducir cortocircuitos, echar café o agentes cáusticos enlos equipos, etc. En general, estas conductas pueden seranalizadas, desde el punto de vista jurídico, en forma similara los comportamientos análogos de destrucción física deotra clase de objetos previstos típicamente en el delito dedaño.
Conductas dirigidas a causar daños lógicos
El segundo grupo, más específicamente relacionado con latécnica informática, se refiere a las conductas que causandestrozos «lógicos», o sea, todas aquellas conductas queproducen, como resultado, la destrucción, ocultación, o al-teración de datos contenidos en un sistema informático.
Este tipo de daño a un sistema se puede alcanzar de diver-sas formas. Desde la más simple que podemos imaginar,como desenchufar el ordenador de la electricidad mientrasse esta trabajando con él o el borrado de documentos odatos de un archivo, hasta la utilización de los más comple-jos programas lógicos destructivos (crash programs), suma-mente riesgosos para los sistemas, por su posibilidad dedestruir gran cantidad de datos en un tiempo mínimo.
Estos programas destructivos, utilizan distintas técnicas desabotaje, muchas veces, en forma combinada. Sin preten-der realizar una clasificación rigurosa de estos métodos dedestrucción lógica, podemos distinguir:
16
Bombas lógicas (time bombs): En esta modalidad, laactividad destructiva del programa comienza tras unplazo, sea por el mero transcurso del tiempo (porejemplo a los dos meses o en una fecha o a unahora determinada), o por la aparición de determina-da señal (que puede aparecer o puede no apare-cer), como la presencia de un dato, de un código, ocualquier mandato que, de acuerdo a lo determina-do por el programador, es identificado por el progra-ma como la señal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo deeste tipo de casos. Un empleado programó el siste-ma de tal forma que los ficheros de la empresa sedestruirían automáticamente si su nombre era bo-rrado de la lista de empleados de la empresa.
Otra modalidad que actúa sobre los programas de apli-cación es el llamado «cáncer de rutinas» («cancerroutine»). En esta técnica los programas destructivostienen la particularidad de que se reproducen, por símismos, en otros programas, arbitrariamente esco-gidos.
Una variante perfeccionada de la anterior modalidad esel «virus informático» que es un programa capaz demultiplicarse por sí mismo y contaminar los otrosprogramas que se hallan en el mismo disco rígidodonde fue instalado y en los datos y programas con-tenidos en los distintos discos con los que tomacontacto a través de una conexión.
17
Fraude a través de computadoras
Estas conductas consisten en la manipulación ilícita, a tra-vés de la creación de datos falsos o la alteración de datos oprocesos contenidos en sistemas informáticos, realizada conel objeto de obtener ganancias indebidas.
Los distintos métodos para realizar estas conductas se de-ducen, fácilmente, de la forma de trabajo de un sistemainformático: en primer lugar, es posible alterar datos, omitiringresar datos verdaderos o introducir datos falsos, en unordenador. Esta forma de realización se conoce como mani-pulación del input.
Ulrich Sieber, cita como ejemplo de esta modalidad el si-guiente caso tomado de la jurisprudencia alemana:
Una empleada de un banco del sur de Alemania transfirió, enfebrero de 1983, un millón trescientos mil marcos alemanes ala cuenta de una amiga –cómplice en la maniobra– medianteel simple mecanismo de imputar el crédito en una terminal decomputadora del banco. La operación fue realizada a primerahora de la mañana y su falsedad podría haber sido detectadapor el sistema de seguridad del banco al mediodía. Sin em-bargo, la rápida transmisión del crédito a través de sistemasinformáticos conectados en línea (on line), hizo posible que laamiga de la empleada retirara, en otra sucursal del banco, unmillón doscientos ochenta mil marcos unos minutos despuésde realizada la operación informática.
En segundo lugar, es posible interferir en el correcto proce-samiento de la información, alterando el programa o secuen-cia lógica con el que trabaja el ordenador. Esta modalidadpuede ser cometida tanto al modificar los programas origi-nales, como al adicionar al sistema programas especialesque introduce el autor.
18
A diferencia de las manipulaciones del input que, incluso,pueden ser realizadas por personas sin conocimientos es-peciales de informática, esta modalidad es más específica-mente informática y requiere conocimientos técnicos espe-ciales.
Sieber cita como ejemplo el siguiente caso, tomado de lajurisprudencia alemana:
El autor, empleado de una importante empresa, ingresó alsistema informático un programa que le permitió incluir enlos archivos de pagos de salarios de la compañía a «perso-nas ficticias» e imputar los pagos correspondientes a sussueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fácilmente por losmecanismos de seguridad del banco (listas de control, su-marios de cuentas, etc.) que eran revisados y evaluadosperiódicamente por la compañía. Por este motivo, para evi-tar ser descubierto, el autor produjo cambios en el programade pago de salarios para que los «empleados ficticios» y lospagos realizados, no aparecieran en los listados de control.
Por último, es posible falsear el resultado, inicialmente co-rrecto, obtenido por un ordenador: a esta modalidad se laconoce como manipulación del output.
Una característica general de este tipo de fraudes, intere-sante para el análisis jurídico, es que, en la mayoría de loscasos detectados, la conducta delictiva es repetida variasveces en el tiempo. Lo que sucede es que, una vez que elautor descubre o genera una laguna o falla en el sistema,tiene la posibilidad de repetir, cuantas veces quiera, la comi-sión del hecho. Incluso, en los casos de «manipulación delprograma», la reiteración puede ser automática, realizadapor el mismo sistema sin ninguna participación del autor y
19
cada vez que el programa se active. En el ejemplojurisprudencial citado al hacer referencia a las manipulacio-nes en el programa, el autor podría irse de vacaciones, serdespedido de la empresa o incluso morir y el sistema segui-ría imputando el pago de sueldos a los empleados ficticiosen su cuenta personal.
Una problemática especial plantea la posibilidad de realizarestas conductas a través de los sistemas de teleproceso.Si el sistema informático está conectado a una red de co-municación entre ordenadores, a través de las líneas telefó-nicas o de cualquiera de los medios de comunicación remo-ta de amplio desarrollo en los últimos años, el autor podríarealizar estas conductas sin ni siquiera tener que ingresar alas oficinas donde funciona el sistema, incluso desde supropia casa y con una computadora personal. Aún más, lossistemas de comunicación internacional, permiten que unaconducta de este tipo sea realizada en un país y tenga efec-tos en otro.
Respecto a los objetos sobre los que recae la acción delfraude informático, estos son, generalmente, los datosinformáticos relativos a activos o valores. En la mayoría delos casos estos datos representan valores intangibles (ej.:depósitos monetarios, créditos, etc.), en otros casos, losdatos que son objeto del fraude, representan objetos corpo-rales (mercadería, dinero en efectivo, etc.) que obtiene elautor mediante la manipulación del sistema. En las manipu-laciones referidas a datos que representan objetos corpora-les, las pérdidas para la víctima son, generalmente, meno-res ya que están limitadas por la cantidad de objetos dispo-nibles. En cambio, en la manipulación de datos referida abienes intangibles, el monto del perjuicio no se limita a lacantidad existente sino que, por el contrario, puede ser «crea-do» por el autor.
20
Ejemplos
El autor, empleado del Citibank, tenía acceso a las termina-les de computación de la institución bancaria. Aprovechan-do esta circunstancia utilizó, en varias oportunidades, lasterminales de los cajeros, cuando ellos se retiraban, paratransferir, a través del sistema informático, fondos de distin-tas cuentas a su cuenta personal.
Posteriormente, retiró el dinero en otra de las sucursales delbanco.
En primera instancia el Juez calificó los hechos como cons-titutivos del delito de hurto en forma reiterada. La Fiscalía deCámara solicitó el cambio de calificación, considerando quelos hechos constituían el delito de estafa.
La Cámara del crimen resolvió:
«... y contestando a la teoría fiscal, entiendo que le asisterazón al Dr. Galli en cuanto sostiene que estamos en pre-sencia del tipo penal de hurto y no de estafa. Ello es asíporque el apoderamiento lo hace el procesado y no le entre-ga el banco por medio de un error, requisito indispensablepara poder hablar de estafa. El apoderamiento lo hace elprocesado directamente, manejando el sistema de compu-tación. De manera que no hay diferencia con la maniobranormal del cajero, que en un descuido se apodera del dineroque maneja en caja y la maniobra en estudio en donde elapoderamiento del dinero se hace mediante el manejo de lacomputadora...»
Como el lector advertirá, la resolución adolece de los proble-mas de adecuación típica a que hacíamos referencias másarriba.
21
En realidad, el cajero no realizó la conducta de apodera-miento que exige el tipo penal del hurto ya que recibió eldinero de manos del cajero. En el caso de que se considereque el apoderamiento se produjo en el momento en el que elautor transfirió los fondos a su cuenta, el escollo de adecua-ción típica insalvable deriva de la falta de la «cosa mueble»como objeto del apoderamiento exigido por el tipo penal.
Estafas electrónicas: La proliferación de las comprastelemáticas permite que aumenten también los casos deestafa. Se trataría en este caso de una dinámica comisivaque cumpliría todos los requisitos del delito de estafa, yaque además del engaño y el «animus defraudandi» existiríaun engaño a la persona que compra. No obstante seguiríaexistiendo una laguna legal en aquellos países cuya legisla-ción no prevea los casos en los que la operación se haceengañando al ordenador.
«Pesca» u «olfateo» de claves secretas: Losdelincuentes suelen engañar a los usuariosnuevos e incautos de la Internet para que revelensus claves personales haciéndose pasar poragentes de la ley o empleados del proveedor delservicio. Los «sabuesos» utilizan programas paraidentificar claves de usuarios, que más tarde sepueden usar para esconder su verdadera identidady cometer otras fechorías, desde el uso noautorizado de sistemas de computadoras hastadelitos financieros, vandalismo o actos de terroris-mo.
Estratagemas: Los estafadores utilizan diversastécnicas para ocultar computadoras que se«parecen» electrónicamente a otras para lograracceso a algún sistema generalmente restringidoy cometer delitos. El famoso pirata Kevin Mitnick
22
se valió de estratagemas en 1996 paraintroducirse en la computadora de la casa deTsutomo Shimamura, experto en seguridad, ydistribuir en la Internet valiosos útiles secretos deseguridad.
Juegos de azar: El juego electrónico de azar seha incrementado a medida que el comercio brindafacilidades de crédito y transferencia de fondos enla Red. Los problemas ocurren en países dondeese juego es un delito o las autoridades naciona-les exigen licencias. Además, no se puedegarantizar un juego limpio, dadas las inconvenien-cias técnicas y jurisdiccionales que entraña susupervisión.
Fraude: Ya se han hecho ofertas fraudulentas alconsumidor tales como la cotización de acciones,bonos y valores o la venta de equipos de computa-dora en regiones donde existe el comercio electró-nico.
Blanqueo de dinero: Se espera que el comercioelectrónico sea el nuevo lugar de transferenciaelectrónica de mercancías o dinero para lavar lasganancias que deja el delito, sobre todo si sepueden ocultar transacciones.
Copia ilegal de software y espionaje informático.
Se engloban las conductas dirigidas a obtener datos, enforma ilegítima, de un sistema de información. Es común elapoderamiento de datos de investigaciones, listas de clien-tes, balances, etc. En muchos casos el objeto del apodera-
23
miento es el mismo programa de computación (software)que suele tener un importante valor económico.
Infracción de los derechos de autor: La interpretación de losconceptos de copia, distribución, cesión y comunicaciónpública de los programas de ordenador utilizando la red pro-voca diferencias de criterio a nivel jurisprudencial.
Infracción del Copyright de bases de datos: No existe unaprotección uniforme de las bases de datos en los paísesque tienen acceso a Internet. El sistema de protección máshabitual es el contractual: el propietario del sistema permiteque los usuarios hagan «downloads» de los ficheros conte-nidos en el sistema, pero prohibe el replicado de la base dedatos o la copia masiva de información.
Uso ilegítimo de sistemas informáticos ajenos.
Esta modalidad consiste en la utilización sin autorizaciónde los ordenadores y los programas de un sistema informáticoajeno. Este tipo de conductas es comúnmente cometidapor empleados de los sistemas de procesamiento de datosque utilizan los sistemas de las empresas para fines priva-dos y actividades complementarias a su trabajo. En estossupuestos, sólo se produce un perjuicio económico impor-tante para las empresas en los casos de abuso en el ámbitodel teleproceso o en los casos en que las empresas debenpagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene queel uso ilegítimo de passwords y la entrada en un sistemainformático sin la autorización del propietario debe quedartipificado como un delito, puesto que el bien jurídico queacostumbra a protegerse con la contraseña es lo suficiente-mente importante para que el daño producido sea grave.
24
Delitos informáticos contra la privacidad.
Grupo de conductas que de alguna manera pueden afectarla esfera de privacidad del ciudadano mediante la acumula-ción, archivo y divulgación indebida de datos contenidos ensistemas informáticos
Esta tipificación se refiere a quién, sin estar autorizado, seapodere, utilice o modifique, en perjuicio de tercero, datosreservados de carácter personal o familiar de otro que sehallen registrados en ficheros o soportes informáticos, elec-trónicos o telemáticos, o cualquier otro tipo de archivo oregistro público o privado.
Existen circunstancias agravantes de la divulgación de fi-cheros, los cuales se dan en función de:
El carácter de los datos: ideología, religión, creencias,salud, origen racial y vida sexual.
Las circunstancias de la víctima: menor de edad o inca-paz.
También se comprende la interceptación de las comunica-ciones, la utilización de artificios técnicos de escucha, trans-misión, grabación o reproducción del sonido o de la imageno de cualquier otra señal de comunicación, se piensa queentre lo anterior se encuentra el pinchado de redesinformáticas.
Interceptación de e-mail: En este caso se propone una am-pliación de los preceptos que castigan la violación de co-rrespondencia, y la interceptación de telecomunicaciones,de forma que la lectura de un mensaje electrónico ajenorevista la misma gravedad.
25
Pornografía infantil
La distribución de pornografía infantil por todo elmundo a través de la Internet está en aumento.Durante los pasados cinco años, el número decondenas por transmisión o posesión de pornogra-fía infantil ha aumentado de 100 a 400 al año enun país norteamericano. El problema se agrava alaparecer nuevas tecnologías, como la criptografía,que sirve para esconder pornografía y demásmaterial «ofensivo» que se transmita o archive.
Clasificación Según el Instrumento, Medio o Fin u Objetivo
Asimismo, TELLEZ VALDEZ clasifica a estos delitos, deacuerdo a dos criterios:
Como instrumento o medio.
En esta categoría se encuentran las conductas criminalesque se valen de las computadoras como método, medio osímbolo en la comisión del ilícito, por ejemplo:
Falsificación de documentos vía computarizada (tarje-tas de crédito, cheques, etc.)
Variación de los activos y pasivos en la situación conta-ble de las empresas.
Planeamiento y simulación de delitos convencionales(robo, homicidio, fraude, etc.)
Lectura, sustracción o copiado de información confiden-cial.
26
Modificación de datos tanto en la entrada como en lasalida.
Aprovechamiento indebido o violación de un código parapenetrar a un sistema introduciendo instruccionesinapropiadas.
Variación en cuanto al destino de pequeñas cantidadesde dinero hacia una cuenta bancaria apócrifa.
Uso no autorizado de programas de computo.
Introducción de instrucciones que provocan «interrup-ciones» en la lógica interna de los programas.
Alteración en el funcionamiento de los sistemas, a tra-vés de los virus informáticos.
Obtención de información residual impresa en papel luegode la ejecución de trabajos.
Acceso a áreas informatizadas en forma no autorizada.
Intervención en las líneas de comunicación de datos oteleproceso.
Como fin u objetivo.
En esta categoría, se enmarcan las conductas criminalesque van dirigidas contra las computadoras, accesorios o pro-gramas como entidad física, como por ejemplo:
Programación de instrucciones que producen un bloqueototal al sistema.
Destrucción de programas por cualquier método.
Daño a la memoria.
27
Atentado físico contra la máquina o sus accesorios.
Sabotaje político o terrorismo en que se destruya o sur-ja un apoderamiento de los centros neurálgicoscomputarizados.
Secuestro de soportes magnéticos entre los que figureinformación valiosa con fines de chantaje (pago derescate, etc.).
Clasificación según Actividades Delictivas Graves
Por otro lado, la red Internet permite dar soporte para la co-misión de otro tipo de delitos:
Terrorismo: Mensajes anónimos aprovechados por gruposterroristas para remitirse consignas y planes de actuación anivel internacional.
La existencia de hosts que ocultan la identidad del remiten-te, convirtiendo el mensaje en anónimo ha podido ser apro-vechado por grupos terroristas para remitirse consignas yplanes de actuación a nivel internacional. De hecho, se handetectado mensajes con instrucciones para la fabricaciónde material explosivo.
Narcotráfico: Transmisión de fórmulas para la fabricación deestupefacientes, para el blanqueo de dinero y para la coordi-nación de entregas y recogidas.
Tanto el FBI como el Fiscal General de los Estados Unidoshan alertado sobre la necesidad de medidas que permitaninterceptar y descifrar los mensajes encriptados que utilizanlos narcotraficantes para ponerse en contacto con los cárteles.
28
Espionaje: Se ha dado casos de acceso no autorizado asistemas informáticos gubernamentales e interceptación decorreo electrónico del servicio secreto de los Estados Uni-dos, entre otros actos que podrían ser calificados de espio-naje si el destinatario final de esa información fuese un go-bierno u organización extranjera. Entre los casos más famo-sos podemos citar el acceso al sistema informático del Pen-tágono y la divulgación a través de Internet de los mensajesremitidos por el servicio secreto norteamericano durante lacrisis nuclear en Corea del Norte en 1994, respecto a cam-pos de pruebas de misiles. Aunque no parece que en estecaso haya existido en realidad un acto de espionaje, se haevidenciado una vez más la vulnerabilidad de los sistemasde seguridad gubernamentales.
Espionaje industrial: También se han dado casos de acce-sos no autorizados a sistemas informáticos de grandes com-pañías, usurpando diseños industriales, fórmulas, sistemasde fabricación y know how estratégico que posteriormenteha sido aprovechado en empresas competidoras o ha sidoobjeto de una divulgación no autorizada.
Otros delitos: Las mismas ventajas que encuentran en laInternet los narcotraficantes pueden ser aprovechadas parala planificación de otros delitos como el tráfico de armas,proselitismo de sectas, propaganda de grupos extremistas,y cualquier otro delito que pueda ser trasladado de la vidareal al ciberespacio o al revés.
Infracciones que no Constituyen Delitos Informáticos
Usos comerciales no éticos: Algunas empresas no han po-dido escapar a la tentación de aprovechar la red para haceruna oferta a gran escala de sus productos, llevando a cabo«mailings electrónicos» al colectivo de usuarios de un
29
gateway, un nodo o un territorio determinado. Ello, aunqueno constituye una infracción, es mal recibido por los usua-rios de Internet, poco acostumbrados, hasta fechas recien-tes, a un uso comercial de la red.
Actos parasitarios: Algunos usuarios incapaces de integrar-se en grupos de discusión o foros de debate online, se dedi-can a obstaculizar las comunicaciones ajenas, interrumpien-do conversaciones de forma repetida, enviando mensajescon insultos personales, etc.
También se deben tomar en cuenta las obscenidades quese realizan a través de la Internet.
6. Estadísticas Sobre Delitos Informáticos.
Desde hace cinco años, en los Estados Unidos existe unainstitución que realiza un estudio anual sobre la SeguridadInformática y los crímenes cometidos a través de las com-putadoras.
Esta entidad es El Instituto de Seguridad de Computadoras(CSI), quien anunció recientemente los resultados de suquinto estudio anual denominado «Estudio de Seguridad yDelitos Informáticos» realizado a un total de 273 Institucio-nes principalmente grandes Corporaciones y Agencias delGobierno.
Este Estudio de Seguridad y Delitos Informáticos es dirigidopor CSI con la participación Agencia Federal de Investiga-ción (FBI) de San Francisco, División de delitos informáticos.El objetivo de este esfuerzo es levantar el nivel de conoci-miento de seguridad, así como ayudar a determinar el al-cance de los Delitos Informáticos en los Estados Unidos deNorteamérica.
30
Entre lo más destacable del Estudio de Seguridad y DelitosInformáticos 2000 se puede incluir lo siguiente:
Violaciones a la seguridad informática.
Respuestas (%)
No reportaron Violaciones de Seguridad 10%
Reportaron Violaciones de Seguridad 90%
90% de los encuestados descubrió violaciones a la seguridadde las computadoras dentro de los últimos doce meses.
• 70% reportaron una variedad de serias violacionesde seguridad de las computadoras, y que el máscomún de estas violaciones son los virus de com-putadoras, robo de computadoras portátiles o abu-sos por parte de los empleados — por ejemplo, robode información, fraude financiero, penetración delsistema por intrusos y sabotaje de datos o redes.
31
Pérdidas Financieras.
74% reconocieron pérdidas financieras debido a las violacio-nes de las computadoras.
• Las pérdidas financieras ascendieron a $265,589,940(el promedio total anual durante los últimos tres añosera $120,240,180).
61 encuestados cuantificaron pérdidas debido al sabotajede datos o redes para un total de $27,148,000. Las pérdidasfinancieras totales debido al sabotaje durante los años ante-riores combinados ascendido a sólo $10,848,850.
32
Como en años anteriores, las pérdidas financieras más se-rias, ocurrieron a través de robo de información (66 encues-tados reportaron $66,708,000) y el fraude financiero (53 en-cuestados informaron $55,996,000).
Los resultados del estudio ilustran que esa amenaza delcrimen por computadoras a las grandes corporaciones yagencias del gobierno viene de ambos lados dentro y fuerade sus perímetros electrónicos, confirmando la tendenciaen años anteriores.
33
Accesos no autorizados.
71% de los encuestados descubrieron acceso desautoriza-do por personas dentro de la empresa. Pero por tercer añoconsecutivo, la mayoría de encuestados (59%) mencionósu conexión de Internet como un punto frecuente de ataque,los que citaron sus sistemas interiores como un punto fre-cuente de ataque fue un 38%.
Basado en contestaciones de 643 practicantes de seguri-dad de computadoras en corporaciones americanas, agen-cias gubernamentales, instituciones financieras, institucio-nes médicas y universidades, los hallazgos del «Estudio deSeguridad y Delitos Informáticos 2000» confirman que laamenaza del crimen por computadoras y otras violacionesde seguridad de información continúan constantes y que elfraude financiero está ascendiendo.
34
Los encuestados detectaron una amplia gama a de ataquesy abusos. Aquí están algunos otros ejemplos:
• 25% de encuestados descubrieron penetración alsistema del exterior.
• 79% descubrieron el abuso del empleado por acce-so de Internet (por ejemplo, transmitiendo pornogra-fía o pirateó de software, o uso inapropiado de siste-mas de correo electrónico).
• 85% descubrieron virus de computadoras.• Comercio electrónico.
Por segundo año, se realizaron una serie de preguntas acer-ca del comercio electrónico por Internet. Aquí están algunosde los resultados:
93% de encuestados tienen sitios de WWW.
43% maneja el comercio electrónico en sus sitios (en1999, sólo era un 30%).
35
19% experimentaron accesos no autorizados o inapro-piados en los últimos doce meses.
32% dijeron que ellos no sabían si hubo o no, acceso noautorizado o inapropiado.
35% reconocieron haber tenido ataques, reportando dedos a cinco incidentes.
19% reportaron diez o más incidentes.
64% reconocieron ataques reportados por vandalismode la Web.
8% reportaron robo de información a través de transac-ciones.
3% reportaron fraude financiero.
Conclusión sobre el estudio csi:
Las tendencias que el estudio de CSI/FBI ha resaltado poraños son alarmantes. Los «Cyber crímenes» y otros delitosde seguridad de información se han extendido y diversificado.El 90% de los encuestados reportaron ataques. Además,tales incidentes pueden producir serios daños. Las 273 or-ganizaciones que pudieron cuantificar sus pérdidas, infor-maron un total de $265,589,940. Claramente, la mayoría fue-ron en condiciones que se apegan a prácticas legítimas,con un despliegue de tecnologías sofisticadas, y lo másimportante, por personal adecuado y entrenando, practican-tes de seguridad de información en el sector privado y en elgobierno.
36
Otras estadísticas:
• La «línea caliente» de la Internet Watch Foundation(IWF), abierta en diciembre de 1996, ha recibido,principalmente a través del correo electrónico, 781informes sobre unos 4.300 materiales de Internetconsiderados ilegales por usuarios de la Red. Lamayor parte de los informes enviados a la «líneacaliente» (un 85%) se refirieron a pornografía infan-til. Otros aludían a fraudes financieros, racismo,mensajes maliciosos y pornografía de adultos.
• Según datos recientes del Servicio Secreto de losEstados Unidos, se calcula que los consumidorespierden unos 500 millones de dólares al año debidoa los piratas que les roban de las cuentas onlinesus números de tarjeta de crédito y de llamadas.Dichos números se pueden vender por jugosas su-mas de dinero a falsificadores que utilizan progra-mas especiales para codificarlos en bandas mag-néticas de tarjetas bancarias y de crédito, señala elManual de la ONU.
• Los delincuentes cibernéticos al acecho tambiénusan el correo electrónico para enviar mensajesamenazantes especialmente a las mujeres. Deacuerdo al libro de Barbara Jenson «Acechocibernético: delito, represión y responsabilidad per-sonal en el mundo online», publicado en 1996, secalcula que unas 200.000 personas acechan a al-guien cada año.
• En Singapur El número de delitos cibernéticos de-tectados en el primer semestre del 2000, en el quese han recibido 127 denuncias, alcanza ya un 68por ciento del total del año pasado, la policía deSingapur prevé un aumento este año en los delitospor Internet de un 38% con respecto a 1999.
37
• En relación con Internet y la informática, la policíade Singapur estableció en diciembre de 1999 unaoficina para investigar las violaciones de los dere-chos de propiedad y ya ha confiscado copias pira-tas por valor de 9,4 millones de dólares.
• En El Salvador, existe más de un 75% de computa-doras que no cuentan con licencias que amparenlos programas (software) que utilizan. Esta propor-ción tan alta ha ocacionado que organismos Inter-nacionales reacciones ante este tipo de delitos tales el caso de BSA (Bussines Software Alliance).
7. Impacto de los delitos informáticos
Impacto a Nivel General
En los años recientes las redes de computadoras han creci-do de manera asombrosa. Hoy en día, el número de usua-rios que se comunican, hacen sus compras, pagan sus cuen-tas, realizan negocios y hasta consultan con sus médicosonline supera los 200 millones, comparado con 26 millonesen 1995.
A medida que se va ampliando la Internet, asimismo va au-mentando el uso indebido de la misma. Los denominadosdelincuentes cibernéticos se pasean a su aire por el mundovirtual, incurriendo en delitos tales como el acceso sin auto-rización o «piratería informática», el fraude, el sabotajeinformático, la trata de niños con fines pornográficos y elacecho.
Los delincuentes de la informática son tan diversos comosus delitos; puede tratarse de estudiantes, terroristas o figu-ras del crimen organizado. Estos delincuentes pueden pa-
38
sar desapercibidos a través de las fronteras, ocultarse trasincontables «enlaces» o simplemente desvanecerse sin de-jar ningún documento de rastro. Pueden despachar directa-mente las comunicaciones o esconder pruebas delictivasen «paraísos informáticos» - o sea, en países que carecende leyes o experiencia para seguirles la pista -.
Según datos recientes del Servicio Secreto de los EstadosUnidos, se calcula que los consumidores pierden unos 500millones de dólares al año debido a los piratas que les robande las cuentas online sus números de tarjeta de crédito y dellamadas. Dichos números se pueden vender por jugosassumas de dinero a falsificadores que utilizan programas es-peciales para codificarlos en bandas magnéticas de tarjetasbancarias y de crédito, señala el Manual de la ONU.
Otros delincuentes de la informática pueden sabotear lascomputadoras para ganarle ventaja económica a sus com-petidores o amenazar con daños a los sistemas con el finde cometer extorsión. Los malhechores manipulan los da-tos o las operaciones, ya sea directamente o mediante losllamados «gusanos» o «virus», que pueden paralizar com-pletamente los sistemas o borrar todos los datos del discoduro. Algunos virus dirigidos contra computadoras elegidasal azar; que originalmente pasaron de una computadora aotra por medio de disquetes «infectados»; también se estánpropagando últimamente por las redes, con frecuenciacamuflados en mensajes electrónicos o en programas «des-cargados» de la red.
En 1990, se supo por primera vez en Europa de un caso enque se usó a un virus para sonsacar dinero, cuando la co-munidad de investigación médica se vio amenazada con unvirus que iría destruyendo datos paulatinamente si no sepagaba un rescate por la «cura».
39
Los delincuentes cibernéticos al acecho también usan elcorreo electrónico para enviar mensajes amenazantes es-pecialmente a las mujeres. De acuerdo al libro de BarbaraJenson «Acecho cibernético: delito, represión y responsabi-lidad personal en el mundo online», publicado en 1996, secalcula que unas 200.000 personas acechan a alguien cadaaño.
Afirma la Sra. Jenson que una norteamericana fue acechadadurante varios años por una persona desconocida que usa-ba el correo electrónico para amenazar con asesinarla, vio-lar a su hija y exhibir la dirección de su casa en la Internetpara que todos la vieran.
Los delincuentes también han utilizado el correo electrónicoy los «chat rooms» o salas de tertulia de la Internet parabuscar presas vulnerables. Por ejemplo, los aficionados a lapedofilia se han ganado la confianza de niños online y luegoconcertado citas reales con ellos para explotarlos o secues-trarlos. El Departamento de Justicia de los Estados Unidosdice que se está registrando un incremento de la pedofiliapor la Internet.
Además de las incursiones por las páginas particulares dela Red, los delincuentes pueden abrir sus propios sitios paraestafar a los clientes o vender mercancías y servicios prohi-bidos, como armas, drogas, medicamentos sin receta niregulación y pornografía.
La CyberCop Holding Cell, un servicio de quejas online, hacepoco emitió una advertencia sobre un anuncio clasificado deservicio de automóviles que apareció en la Internet. Por unprecio fijo de $399, el servicio publicaría una descripción delauto del cliente en una página de la Red y garantizaban queles devolverían el dinero si el vehículo no se vendía en unplazo de 90 días.
40
Informa CyberCop que varios autos que se habían anuncia-do en la página electrónica no se vendieron en ese plazo,pero los dueños no pudieron encontrar a ninguno de los au-tores del servicio clasificado para que les reembolsaran eldinero. Desde entonces, el sitio en la Red de este «servicio»ha sido clausurado.
Impacto a Nivel Social
La proliferación de los delitos informáticos a hecho que nues-tra sociedad sea cada vez más escéptica a la utilización detecnologías de la información, las cuales pueden ser demucho beneficio para la sociedad en general. Este hechopuede obstaculizar el desarrollo de nuevas formas de hacernegocios, por ejemplo el comercio electrónico puede verseafectado por la falta de apoyo de la sociedad en general.
También se observa el grado de especialización técnica queadquieren los delincuentes para cometer éste tipo de deli-tos, por lo que personas con conductas maliciosas cadavez más están ideando planes y proyectos para la realiza-ción de actos delictivos, tanto a nivel empresarial como anivel global.
También se observa que las empresas que poseen activosinformáticos importantes, son cada vez más celosas y exi-gentes en la contratación de personal para trabajar en éstasáreas, pudiendo afectar en forma positiva o negativa a lasociedad laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientosinformáticos básicos, son más vulnerables a ser víctimas deun delito, que aquellos que si los poseen. En vista de loanterior aquel porcentaje de personas que no conocen nadade informática (por lo general personas de escasos recur-
41
sos económicos) pueden ser engañadas si en un momentodado poseen acceso a recursos tecnológicos y no han sidoasesoradas adecuadamente para la utilización de tecnolo-gías como la Internet, correo electrónico, etc.
La falta de cultura informática puede impedir de parte de lasociedad la lucha contra los delitos informáticos, por lo queel componente educacional es un factor clave en la minimi-zación de esta problemática.
Impacto en la Esfera Judicial
Captura de delincuentes cibernéticos
A medida que aumenta la delincuencia electrónica, numero-sos países han promulgado leyes declarando ilegales nue-vas prácticas como la piratería informática, o han actualiza-do leyes obsoletas para que delitos tradicionales, incluidosel fraude, el vandalismo o el sabotaje, se consideren ilega-les en el mundo virtual.
Singapur, por ejemplo, enmendó recientemente su Ley so-bre el Uso Indebido de las Computadoras. Ahora son másseveros los castigos impuestos a todo el que interfiera conlas «computadoras protegidas» —es decir, las que estánconectadas con la seguridad nacional, la banca, las finan-zas y los servicios públicos y de urgencia— así como a lostransgresores por entrada, modificación, uso o intercepciónde material computadorizado sin autorización.
Hay países que cuentan con grupos especializados en se-guir la pista a los delincuentes cibernéticos. Uno de los másantiguos es la Oficina de Investigaciones Especiales de laFuerza Aérea de los Estados Unidos, creada en 1978. Otroes el de Investigadores de la Internet, de Australia, integrado
42
por oficiales de la ley y peritos con avanzados conocimien-tos de informática. El grupo australiano recoge pruebas ylas pasa a las agencias gubernamentales de represión per-tinentes en el estado donde se originó el delito.
Pese a estos y otros esfuerzos, las autoridades aún afren-tan graves problemas en materia de informática. El principalde ellos es la facilidad con que se traspasan las fronteras,por lo que la investigación, enjuiciamiento y condena de lostransgresores se convierte en un dolor de cabeza jurisdic-cional y jurídico. Además, una vez capturados, los oficialestienen que escoger entre extraditarlos para que se les sigajuicio en otro lugar o transferir las pruebas —y a veces lostestigos— al lugar donde se cometieron los delitos.
En 1992, los piratas de un país europeo atacaron un centrode computadoras de California. La investigación policial sevio obstaculizada por la doble tipificación penal —la caren-cia de leyes similares en los dos países que prohibían esecomportamiento— y esto impidió la cooperación oficial, se-gún informa el Departamento de Justicia de los EstadosUnidos. Con el tiempo, la policía del país de los piratas seofreció a ayudar, pero poco después la piratería terminó, seperdió el rastro y se cerró el caso.
Asimismo, en 1996 el Servicio de Investigación Penal y laAgencia Federal de Investigación (FBI) de los Estados Uni-dos le siguió la pista a otro pirata hasta un país sudamerica-no. El pirata informático estaba robando archivos de clavesy alterando los registros en computadoras militares, univer-sitarias y otros sistemas privados, muchos de los cualescontenían investigación sobre satélites, radiación e ingenie-ría energética.
Los oficiales del país sudamericano requisaron el aparta-mento del pirata e incautaron su equipo de computadora,
43
aduciendo posibles violaciones de las leyes nacionales. Sinembargo, los dos países no habían firmado acuerdos deextradición por delitos de informática sino por delitos de ca-rácter más tradicional. Finalmente se resolvió la situaciónsólo porque el pirata accedió a negociar su caso, lo quecondujo a que se declarara culpable en los Estados Unidos.
Destrucción u ocultación de pruebas
Otro grave obstáculo al enjuiciamiento por delitos cibernéticoses el hecho de que los delincuentes pueden destruir fácil-mente las pruebas cambiándolas, borrándolas o trasladán-dolas. Si los agentes del orden operan con más lentitud quelos delincuentes, se pierde gran parte de las pruebas; o pue-de ser que los datos estén cifrados, una forma cada vezmás popular de proteger tanto a los particulares como a lasempresas en las redes de computadoras.
Tal vez la criptografía estorbe en las investigaciones pena-les, pero los derechos humanos podrían ser vulnerados silos encargados de hacer cumplir la ley adquieren demasia-do poder técnico. Las empresas electrónicas sostienen queel derecho a la intimidad es esencial para fomentar la con-fianza del consumidor en el mercado de la Internet, y losgrupos defensores de los derechos humanos desean que seproteja el cúmulo de datos personales archivados actual-mente en ficheros electrónicos.
Las empresas también recalcan que la información podríacaer en malas manos, especialmente en países con pro-blemas de corrupción, si los gobiernos tienen acceso a losmensajes en código. «Si los gobiernos tienen la clave paradescifrar los mensajes en código, esto significa que perso-nas no autorizadas —que no son del gobierno— puedenobtenerlas y utilizarlas», dice el gerente general de una
44
importante compañía norteamericana de ingeniería de se-guridad.
Impacto en la Identificación de Delitos a Nivel Mundial.
Las dificultades que enfrentan las autoridades en todo elmundo ponen de manifiesto la necesidad apremiante de unacooperación mundial para modernizar las leyes nacionales,las técnicas de investigación, la asesoría jurídica y las leyesde extradición para poder alcanzar a los delincuentes. Ya sehan iniciado algunos esfuerzos al respecto.
En el Manual de las Naciones Unidas de 1977 se insta a losEstados a que coordinen sus leyes y cooperen en la solu-ción de ese problema. El Grupo de Trabajo Europeo sobredelitos en la tecnología de la informática ha publicado unManual sobre el delito por computadora, en el que se enu-meran las leyes pertinentes en los diversos países y se ex-ponen técnicas de investigación, al igual que las formas debuscar y guardar el material electrónico en condiciones deseguridad.
El Instituto Europeo de Investigación Antivirus colabora conlas universidades, la industria y los medios de comunica-ción y con expertos técnicos en seguridad y asesores jurídi-cos de los gobiernos, agentes del orden y organizacionesencargadas de proteger la intimidad a fin de combatir losvirus de las computadoras o «caballos de Troya». Tambiénse ocupa de luchar contra el fraude electrónico y la explota-ción de datos personales.
En 1997, los países del Grupo de los Ocho aprobaron unaestrategia innovadora en la guerra contra el delito de «tecno-logía de punta». El Grupo acordó que establecería modosde determinar rápidamente la proveniencia de los ataques
45
por computadora e identificar a los piratas, usar enlaces porvídeo para entrevistar a los testigos a través de las fronterasy ayudarse mutuamente con capacitación y equipo. Tam-bién decidió que se uniría a las fuerzas de la industria conmiras a crear instituciones para resguardar las tecnologíasde computadoras, desarrollar sistemas de información paraidentificar casos de uso indebido de las redes, perseguir alos infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordi-nación abiertos 24 horas al día, siete días a la semana paralos encargados de hacer cumplir la ley. Estos centros apo-yan las investigaciones de otros Estados mediante el sumi-nistro de información vital o ayuda en asuntos jurídicos, ta-les como entrevistas a testigos o recolección de pruebasconsistentes en datos electrónicos.
Un obstáculo mayor opuesto a la adopción de una estrate-gia del tipo Grupo de los Ocho a nivel internacional es quealgunos países no tienen la experiencia técnica ni las leyesque permitirían a los agentes actuar con rapidez en la bús-queda de pruebas en sitios electrónicos —antes de que sepierdan— o transferirlas al lugar donde se esté enjuiciando alos infractores.
Casos de Impacto de los Delitos Informáticos
Zinn, Herbert, Shadowhack.
Herbert Zinn, (expulsado de la educación media superior), yque operaba bajo el seudónimo de «Shadowhawk», fue elprimer sentenciado bajo el cargo de Fraude Computacionaly Abuso en 1986. Zinn tenia 16 y 17 cuando violo el accesoa AT&T y los sistemas del Departamento de Defensa. Fuesentenciado el 23 de enero de 1989, por la destrucción del
46
equivalente a US $174,000 en archivos, copias de progra-mas, los cuales estaban valuados en millones de dólares,además publico contraseñas y instrucciones de cómo violarla seguridad de los sistemas computacionales. Zinn fue sen-tenciado a 9 meses de cárcel y a una fianza de US$10,000.Se estima que Zinn hubiera podido alcanzar una sentenciade 13 años de prisión y una fianza de US$800,000 si hubieratenido 18 años en el momento del crimen.
Smith, David.
Programador de 30 años, detenido por el FBI y acusado decrear y distribuir el virus que ha bloqueado miles de cuentasde correo, «Melissa». Entre los cargos presentados contraél, figuran el de «bloquear las comunicaciones publicas» yde «dañar los sistemas informáticos». Acusaciones que encaso de demostrarse en el tribunal podrían acarrearle unapena de hasta diez años de cárcel.
Por el momento y a la espera de la decisión que hubiesetomado el juez, David Smith esta en libertad bajo fianza de10.000 dólares. Melissa en su «corta vida» había consegui-do contaminar a más de 100,000 ordenadores de todo elmundo, incluyendo a empresas como Microsoft, Intel,Compaq, administraciones públicas estadounidenses comola del Gobierno del Estado de Dakota del Norte y el Departa-mento del Tesoro.
En España su «éxito» fue menor al desarrollarse una exten-sa campaña de información, que alcanzo incluso a las ca-denas televisivas, alertando a los usuarios de la existenciade este virus. La detención de David Smith fue fruto de lacolaboración entre los especialistas del FBI y de los técni-cos del primer proveedor de servicios de conexión a Internetde los Estados Unidos, América On Line. Los ingenieros de
47
América On Line colaboraron activamente en la investiga-ción al descubrir que para propagar el virus, Smith habíautilizado la identidad de un usuario de su servicio de acce-so. Además, como otros proveedores el impacto de Melissahabía afectado de forma sustancial a buzones de una granparte de sus catorce millones de usuarios.
Fue precisamente el modo de actuar de Melissa, que remitea los cincuenta primeros inscritos en la agenda de direccio-nes del cliente de correo electrónico «Outlook Express»,centenares de documentos «Office» la clave para encontraral autor del virus. Los ingenieros rastrearon los primerosdocumentos que fueron emitidos por el creador del virus,buscando encontrar los signos de identidad que incorporantodos los documentos del programa ofimático de Microsoft«Office» y que en más de una ocasión han despertado laalarma de organizaciones en defensa de la privacidad de losusuarios. Una vez desmontado el puzzle de los documentosy encontradas las claves se consiguió localizar al creadorde Melissa. Sin embargo, la detención de Smith no significaque el virus haya dejado de actuar.
Compañías informáticas siguen alertando que aún puedenquedar miles de usuarios expuestos a sus efectos, por des-conocimiento o por no haber instalado en sus equipos siste-mas antivíricos que frenen la actividad de Melissa u otrosvirus, que han venido apareciendo últimamente como Happy99o Papa.
Poulsen Kevin, Dark Dante.
Diciembre de 1992 Kevin Poulsen, un pirata infame que al-guna vez utilizo el alias de «Dark Dante» en las redes decomputadoras es acusado de robar órdenes de tarea rela-cionadas con un ejercicio de la fuerza aérea militar america-
48
na. Se acusa a Poulsen del robo de información nacionalbajo una sección del estatuto de espionaje federal y encarahasta 10 años en la cárcel.
Siguió el mismo camino que Kevin Mitnick, pero es másconocido por su habilidad para controlar el sistema telefóni-co de Pacific Bell. Incluso llegó a «ganar» un Porsche en unconcurso radiofónico, si su llamada fuera la 102, y así fue.
Poulsen también crackeó todo tipo de sitios, pero él se inte-resaba por los que contenían material de defensa nacional.
Esto fue lo que lo llevó a su estancia en la cárcel, 5 años,fue liberado en 1996, supuestamente «reformado». Que di-cho sea de paso, es el mayor tiempo de estancia en la cár-cel que ha comparecido un hacker.
Holland, Wau y Wenery, Steffen.
De visita en la NASA «Las dos de la madrugada, Hannover,ciudad Alemana, estaba en silencio. La primavera llegaba asu fin, y dentro del cuarto cerrado el calor ahogaba. Hacíarato que Wau Holland y Steffen Wernery permanecían sen-tados frente a la pantalla de una computadora, casi inmóvi-les, inmersos en una nube de humo cambiando ideas ensusurros. - Desde acá tenemos que poder llegar. –murmuróWau. - Mse. Hay que averiguar cómo –contestó Steffen. -
Probemos algunos. Siempre eligen nombres relacionadoscon la astronomía, ¿No? - Tengo un mapa estelar: usémos-lo. Con el libro sobre la mesa, teclearon uno a uno y pororden, los nombres de las diferentes constelaciones.
- «Acceso Denegado» –leyó Wau-; maldición, tampoco eseste - Quizá nos esté faltando alguna indicación. Calma.
49
Pensemos. «set» y «host» son imprescindibles...
-obvio; además, es la fórmula. Probemos de nuevo ¿Cuálsigue? - Las constelaciones se terminaron. Podemos inten-tar con las estrellas. A ver... ¿Castor, una de las dos másbrillantes de Géminis? - Set Host Castor deletreó Wau mien-tras tecleaba.
Cuando la computadora comenzó a ronronear, Wau Hollandy Steffen Wernery supieron que habían logrado su objetivo.Segundos más tarde la pantalla mostraba un mensaje: «Bien-venidos a las instalaciones VAX del cuartel general, de laNASA». Wau sintió un sacudón y atinó a escribir en su cua-derno: «Lo logramos, por fin... Sólo hay algo seguro, la infi-nita inseguridad de la seguridad».
El 2 de mayo de 1987, los dos hackers alemanes, de 23 y20 años respectivamente, ingresaron sin autorización al sis-tema de la central de investigaciones aerospaciales másgrande del mundo.- ¿Por qué lo hicieron? –Preguntó mesesdespués un periodista norteamericano.
- Porque es fascinante. En este mundo se terminaron lasaventuras. Ya nadie puede salir a cazar dinosaurios o a bus-car oro. La única aventura posible –respondió Steffen, estáen la pantalla de un ordenador. Cuando advertimos que lostécnicos nos habían detectado, les enviamos un telex: «Te-memos haber entrado en el peligroso campo del espionajeindustrial, el crimen económico, el conflicto este-oeste y laseguridad de los organismos de alta tecnología.
Por eso avisamos, y paramos el juego».
- El juego puede costar muchas vidas...- ¡Ni media vida! Lared en que entramos no guarda información ultrasecreta; eneste momento tiene 1,600 subscriptores y 4,000 clientesflotantes.
50
Con esos datos, Steffen anulaba la intención de presentar-los como sujetos peligrosos para el resto de la humanidad».(Hackers, la guerrilla informática - Raquel Roberti).
Murphy Ian, Captain Zap.
En julio de 1981 Ian Murphy, un muchacho de 23 años que seautodenominaba «Captain Zap», gana notoriedad cuando en-tra a los sistemas en la Casa Blanca, el Pentágono, BellSouthCorp. TRW y deliberadamente deja su currículum.
En 1981, no había leyes muy claras para prevenir el accesono autorizado a las computadoras militares o de la casablanca. En ese entonces Ian Murphy de 24 años de edad,conocido en el mundo del hacking como «Captain Zap,».
Mostró la necesidad de hacer mas clara la legislación cuan-do en compañía de un par de amigos y usando una compu-tadora y una línea telefónica desde su hogar viola los acce-sos restringidos a compañías electrónicas, y tenia acceso aordenes de mercancías, archivos y documentos del gobier-no. «Nosotros usamos los a la Casa Blanca para hacer lla-madas a líneas de bromas en Alemania y curiosear archivosmilitares clasificados» Explico Murphy. «El violar accesosnos resultaba muy divertido». La Banda de hackers fue final-mente puesta a disposición de la ley». Con cargos de robode propiedad, Murphy fue multado por US $1000 y senten-ciado a 2 ½ años de prueba.
Morris Robert.
En noviembre de 1988, Morris lanzo un programa «gusano»diseñado por el mismo para navegar en Internet, buscandodebilidades en sistemas de seguridad, y que pudiera correr-se y multiplicarse por sí solo. La expansión exponencial de
51
este programa causó el consumo de los recursos demuchisimas computadoras y que más de 6000 sistemasresultaron dañados o fueron seriamente perjudicados. Elimi-nar al gusano de sus computadoras causo a las víctimasmuchos días de productividad perdidos, y millone s de dolares.Se creo el CERT (Equipo de respuesta de emergenciascomputacionales) para combatir problemas similares en elfuturo. Morris fue condenado y sentenciado a tres años delibertad condicional, 400 horas de servicio comunitario y US$10,000 de fianza, bajo el cargo de Fraude computacional yabuso. La sentencia fue fuertemente criticada debido a quefue muy ligera, pero reflejaba lo inocuo de las intenciones deMorris mas que el daño causado. El gusano producido porMorris no borra ni modifica archivos en la actualidad.
8. Seguridad contra los delitos informáticos.
Seguridad en Internet
Hoy en día, muchos usuarios no confían en la seguridad delInternet. En 1996, IDC Research realizó una encuesta endonde el 90% de los usuarios expresó gran interés sobre laseguridad del Internet, pues temen que alguien pueda con-seguir el número de su tarjeta de crédito mediante el uso dela Red.
Ellos temen que otros descubran su código de acceso de lacuenta del banco y entonces transferir fondos a la cuentadel hurtador. Las agencias de gobierno y los bancos tienengran preocupación en dar información confidencial a perso-nas no autorizadas. Las corporaciones también se preocu-pan en dar información a los empleados, quienes no estánautorizados al acceso de esa información o quien trata decuriosear sobre una persona o empleado. Las organizacio-
52
nes se preocupan que sus competidores tengan conocimien-to sobre información patentada que pueda dañarlos.
Aunque los consumidores tienden a agrupar sus interesesjuntos por debajo del término de la seguridad general, hayrealmente varias partes de la seguridad que confunden. LaSeguridad significa guardar «algo seguro «. «Algo» puedeser un objeto, tal como un secreto, mensaje, aplicación,archivo, sistema o una comunicación interactiva. «Seguro»los medios son protegidos desde el acceso, el uso o altera-ción no autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
• La autenticación (promesa de identidad), es decir laprevención de suplantaciones, que se garantice quequien firma un mensaje es realmente quien dice ser.
• La autorización (se da permiso a una persona o gru-po de personas de poder realizar ciertas funciones,al resto se le niega el permiso y se les sanciona silas realizan).
• La privacidad o confidencialidad, es el más obvio delos aspecto y se refiere a que la información solopuede ser conocida por individuos autorizados. Exis-ten infinidad de posibles ataques contra la privacidad,especialmente en la comunicación de los datos. Latransmisión a través de un medio presenta múlti-ples oportunidades para ser interceptada y copia-da: las líneas «pinchadas» la intercepción o recep-ción electromagnética no autorizada o la simple in-trusión directa en los equipos donde la informaciónestá físicamente almacenada.
• La integridad de datos, La integridad se refiere a laseguridad de que una información no ha sido altera-da, borrada, reordenada, copiada, etc., bien duran-
53
te el proceso de transmisión o en su propio equipode origen. Es un riesgo común que el atacante al nopoder descifrar un paquete de información y, sabiendoque es importante, simplemente lo intercepte y loborre.
• La disponibilidad de la información, se refiere a laseguridad que la información pueda ser recuperadaen el momento que se necesite, esto es, evitar supérdida o bloqueo, bien sea por ataque doloso, malaoperación accidental o situaciones fortuitas o defuerza mayor.
• No rechazo (la protección contra alguien que niegaque ellos originaron la comunicación o datos).
• Controles de acceso, esto es quien tiene autoriza-ción y quien no para acceder a una pieza de infor-mación determinada.
Son los requerimientos básicos para la seguridad, que de-ben proveerse de una manera confiable. Los requerimientoscambian ligeramente, dependiendo de lo que se está asegu-rado. La importancia de lo que se está asegurando y el ries-go potencial involucra en dejar uno de estos requerimientoso tener que forzar niveles más altos de seguridad. Estos noson simplemente requerimientos para el mundo de la red,sino también para el mundo físico.
En la tabla siguiente se presenta una relación de los intere-ses que se deben proteger y sus requerimientos relaciona-dos:
Intereses RequerimientosFraude AutenticaciónAcceso no Autorizado AutorizaciónCuriosear Privacidad
54
Alteración de Mensaje Integridad de Datos Desconocido No - Rechazo
Estos intereses no son exclusivos de Internet. La autentica-ción y el asegurar los objetos es una parte de nuestra vidadiaria. La comprensión de los elementos de seguridad ycomo ellos trabajan en el mundo físico, puede ayudar paraexplicar cómo estos requerimientos se encuentran en elmundo de la red y dónde se sitúan las dificultades.
Medidas de seguridad de la red.
Existen numerosas técnicas para proteger la integridad delos sistemas. Lo primero que se debe hacer es diseñar unapolítica de seguridad. En ella, definir quiénes tienen accesoa las diferentes partes de la red, poner protecciones concontraseñas adecuadas a todas las cuentas, y preocuparsede hacerlas cambiar periódicamente (Evitar las passwords«por defecto» o demasiado obvias).
Firewalls.
Existen muchas y muy potentes herramientas de cara a laseguridad de una red informática. Una de las maneras drás-ticas de no tener invasores es la de poner murallas. Losmecanismos más usados para la protección de la red inter-na de otras externas son los firewalls o cortafuegos. Estostienen muchas aplicaciones, entre las más usadas está:
Packet filter (filtro de paquetes). Se basa en el tratamiento delos paquetes IP a los que aplica unas reglas de filtrado que lepermiten discriminar el tráfico según nuestras indicaciones.
55
Normalmente se implementa mediante un router. Al tratarpaquetes IP, los filtros que podremos establecer serán a ni-vel de direcciones IP, tanto fuente como destino.
Cortafuegos filtro de paquetes ejemplarizado en un router.
La lista de filtros se aplican secuencialmente, de forma quela primera regla que el paquete cumpla marcará la acción arealizar (descartarlo o dejarlo pasar). La aplicación de laslistas de filtros se puede hacer en el momento de entradadel paquete o bien en el de salida o en ambos.
La protección centralizada es la ventaja más importante delfiltrado de paquetes. Con un único enrutador con filtrado depaquetes situado estratégicamente puede protegerse todauna red.
56
Firma digital.
El cifrado con clave pública permite generar firmas digitalesque hacen posible certificar la procedencia de un mensaje,en otras palabras, asegurar que proviene de quien dice. Deesta forma se puede evitar que alguien suplante a un usuarioy envíe mensajes falsos a otro usuario, por la imposibilidadde falsificar la firma. Además, garantizan la integridad delmensaje, es decir, que no ha sido alterado durante la trans-misión. La firma se puede aplicar a un mensaje completo opuede ser algo añadido al mensaje.
Las firmas son especialmente útiles cuando la informacióndebe atravesar redes sobre las que no se tiene control direc-to y, en consecuencia, no existe posibilidad de verificar deotra forma la procedencia de los mensajes.
Existen varios métodos para hacer uso de la firma digital,uno de ellos es el siguiente: «quien envía el mensaje lo codi-fica con su clave privada. Para descifrarlo, sólo puede hacer-se con la clave pública correspondiente a dicha persona oinstitución. Si efectivamente con dicha clave se descifra esseñal de que quien dice que envió el mensaje, realmente lohizo».
57
Firma digital formada encriptando con la clave privada delemisor:
Firma Digital y Autentificación
E: Encriptar / D: Desencriptar.
KP : Encriptación utilizando la Clave Privada.
KV : Encriptación utilizando la Clave Pública.
M : Mensaje.
Seguridad en WWW.
¿Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor seguro.
En primer lugar los formularios pueden tener «agujeros» através de los que un hacker hábil, incluso poco hábil, puede«colar» comandos.
La red es totalmente pública y abierta, los paquetes pasanpor máquinas de las que no se tiene conocimiento y a las
58
que puede tener acceso la gente que le guste husmear eltráfico de la red. Si es así (y no tienen que ser necesaria-mente hackers malintencionados, algunos proveedores deservicio lo hacen) sólo se puede recurrir a encriptar el tráficopor medio, en WWW, de servidores y clientes seguros.
Política de seguridad.
Proveer acceso a los servicios de la red de una empresa yproveer acceso al mundo exterior a través de la organiza-ción, da al personal e institución muchos beneficios. Sinembargo, a mayor acceso que se provea, mayor es el peli-gro de que alguien explote lo que resulta del incremento devulnerabilidad.
De hecho, cada vez que se añade un nuevo sistema, acce-so de red o aplicación se agregan vulnerabilidades potencia-les y aumenta la mayor dificultad y complejidad de la pro-tección. Sin embargo, si se está dispuesto a enfrentar real-mente los riesgos, es posible cosechar los beneficios demayor acceso mientras se minimizan los obstáculos. Paralograr esto, se necesitará un plan complejo, así como losrecursos para ejecutarlo. También se debe tener un conoci-miento detallado de los riesgos que pueden ocurrir en todoslos lugares posibles, así como las medidas que pueden sertomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abru-madora, y podría muy bien serlo, especialmente en organi-zaciones pequeñas que no tienen personal experto en todoslos temas. Alguien podría estar tentado para contratar unconsultor de seguridad y hacerlo con él; aunque esto puedeser una buena manera para outsourcing, todavía necesitasaber lo suficiente y observar la honestidad del consultor.
59
Después de todo, se le va a confiar a ellos los bienes másimportantes de la organización.
Para asegurar una red adecuadamente, no solamente senecesita un profundo entendimiento de las característicastécnicas de los protocolos de red, sistemas operativos yaplicaciones que son accesadas, sino también lo concer-niente al planeamiento. El plan es el primer paso y es labase para asegurar que todas las bases sean cubiertas.
¿Por qué se necesita una política de seguridad?
La imagen que frecuentemente viene a la mente cuando sediscute sobre seguridad está la del gran firewall que perma-nece al resguardo de la apertura de su red, defendiendo deataques de malévolos hackers. Aunque un firewall jugará unpapel crucial, es sólo una herramienta que debe ser parte deuna estrategia más comprensiva y que será necesaria a finde proteger responsablemente los datos de la red. Por unaparte, sabiendo cómo configurar un firewall para permitir lascomunicaciones que se quiere que ingresen, mientras sal-vaguarda otros datos, es un hueso muy duro de roer.
Aún cuando se tenga las habilidades y experiencia necesa-ria para configurar el firewall correctamente, será difícil co-nocer la administración de riesgos que está dispuesto a to-mar con los datos y determinar la cantidad de inconvenien-cias a resistir para protegerlos. También se debe considerarcómo asegurar los hosts que están siendo accesados. In-cluso con la protección de firewall, no hay garantía que nose pueda desarrollar alguna vulnerabilidad. Y es muy proba-ble que haya un dispositivo en peligro. Los modems, porejemplo, pueden proveer un punto de acceso a su red quecompletamente sobrepase su firewall. De hecho, un firewallpuede aumentar la probabilidad que alguien establecerá un
60
módem para el acceso al Internet mediante otro ISP (ISP -Internet Service Providers, cualquier empresa o instituciónque provea de conexión a Internet), por las restricciones queel firewall puede imponer sobre ellos (algo para recordar cuan-do se empieza a configurar su firewall). Se puede proveerrestricciones o «protección,» que puede resultar ser innece-sario una vez que las consecuencias se entienden clara-mente como un caso de negocio. Por otra parte, los riesgospueden justificar el incremento de restricciones, resultandoincómodo. Pero, a menos que el usuario esté prevenido deestos peligros y entienda claramente las consecuencias paraañadir el riesgo, no hay mucho que hacer.
Los temas legales también surgen. ¿Qué obligaciones lega-les tiene para proteger su información?. Si usted está enuna compañía de publicidad puede tener algunas responsa-bilidades definitivas al respecto.
Asegurar sus datos involucra algo más que conectarse enun firewall con una interface competente. Lo que se necesi-ta es un plan comprensivo de defensa. Y se necesita comu-nicar este plan en una manera que pueda ser significativopara la gerencia y usuarios finales. Esto requiere educacióny capacitación, conjuntamente con la explicación, claramentedetallada, de las consecuencias de las violaciones. A estose le llama una «política de seguridad» y es el primer pasopara asegurar responsablemente la red. La política puedeincluir instalar un firewall, pero no necesariamente se debediseñar su política de seguridad alrededor de las limitacio-nes del firewall.
Elaborar la política de seguridad no es una tarea trivial. Ellono solamente requiere que el personal técnico comprendatodas las vulnerabilidades que están involucradas, tambiénrequiere que ellos se comuniquen efectivamente con la geren-cia. La gerencia debe decidir finalmente cuánto de riesgo debe
61
ser tomado con el activo de la compañía, y cuánto se deberíagastar en ambos, en dólares e inconvenientes, a fin de mini-mizar los riesgos. Es responsabilidad del personal técnicoasegurar que la gerencia comprenda las implicaciones deañadir acceso a la red y a las aplicaciones sobre la red, de talmanera que la gerencia tenga la suficiente información para latoma de decisiones. Si la política de seguridad no viene des-de el inicio, será difícil imponer incluso medidas de seguridadmínimas. Por ejemplo, si los empleados pueden llegar a alte-rarse si ellos imprevistamente tienen que abastecer logins ycontraseñas donde antes no lo hacían, o están prohibidosparticulares tipos de acceso a Internet. Es mejor trabajar conestos temas antes de tiempo y poner la política por escrito.Las políticas pueden entonces ser comunicadas a los em-pleados por la gerencia. De otra forma, los empleados no lotomarán en serio, o se tendrán batallas de políticas constan-tes dentro de la compañía con respecto a este punto. Nosolamente con estas batallas tendrán un impacto negativosobre la productividad, es menos probable que la decisióntomada racionalmente pueda ser capaz de prevalecer en lavehemencia de las guerras políticas.
El desarrollo de una política de seguridad comprende la iden-tificación de los activos organizativos, evaluación de amena-zas potenciales, la evaluación del riesgo, implementaciónde las herramientas y tecnologías disponibles para hacerfrente a los riesgos, y el desarrollo de una política de uso.Debe crearse un procedimiento de auditoria que revise eluso de la red y servidores de forma periódica.
Identificación de los activos organizativos: Consiste en lacreación de una lista de todas las cosas que precisen pro-tección.
62
Por ejemplo:
• Hardware: ordenadores y equipos de telecomunica-ción
• Software: programas fuente, utilidades, programasde diagnóstico, sistemas operativos, programas decomunicaciones.
• Datos: copias de seguridad, registros de auditoria,bases de datos.
Valoración del riesgo:
Conlleva la determinación de lo que se necesita proteger. Noes más que el proceso de examinar todos los riesgos, yvalorarlos por niveles de seguridad.
Definición de una política de uso aceptable:
Las herramientas y aplicaciones forman la base técnica dela política de seguridad, pero la política de uso aceptabledebe considerar otros aspectos:
• ¿Quién tiene permiso para usar los recursos?• ¿Quién esta autorizado a conceder acceso y a apro-
bar los usos?• ¿Quién tiene privilegios de administración del siste-
ma?• ¿Qué hacer con la información confidencial?• ¿Cuáles son los derechos y responsabilidades de
los usuarios?
Por ejemplo, al definir los derechos y responsabilidades delos usuarios:
63
• Si los usuarios están restringidos, y cuáles son susrestricciones.
• Si los usuarios pueden compartir cuentas o dejarque otros usuarios utilicen sus cuentas.
• Cómo deberían mantener sus contraseñas los usua-rios.
• Con qué frecuencia deben cambiar sus contrase-ñas.
• Si se facilitan copias de seguridad o los usuariosdeben realizar las suyas.
9. Legislación sobre delitos informáticos
Panorama general
La legislación sobre protección de los sistemas informáticosha de perseguir acercarse lo más posible a los distintos me-dios de protección ya existentes, creando una nueva regula-ción sólo en aquellos aspectos en los que, basándose en laspeculiaridades del objeto de protección, sea imprescindible.
Si se tiene en cuenta que los sistemas informáticos, pue-den entregar datos e informaciones sobre miles de perso-nas, naturales y jurídicas, en aspectos tan fundamentalespara el normal desarrollo y funcionamiento de diversas acti-vidades como bancarias, financieras, tributarias, previsionalesy de identificación de las personas. Y si a ello se agrega queexisten Bancos de Datos, empresas o entidades dedicadasa proporcionar, si se desea, cualquier información, sea decarácter personal o sobre materias de las más diversas dis-ciplinas a un Estado o particulares; se comprenderá queestán en juego o podrían ha llegar a estarlo de modo dramá-tico, algunos valores colectivos y los consiguientes bienes
64
jurídicos que el ordenamiento jurídico institucional debe pro-teger.
No es la amenaza potencial de la computadora sobre el indi-viduo lo que provoca desvelo, sino la utilización real por elhombre de los sistemas de información con fines de espio-naje.
No son los grandes sistemas de información los que afectanla vida privada sino la manipulación o el consentimiento deello, por parte de individuos poco conscientes e irresponsa-bles de los datos que dichos sistemas contienen.
La humanidad no esta frente al peligro de la informática sinofrente a la posibilidad real de que individuos o grupos sinescrúpulos, con aspiraciones de obtener el poder que la in-formación puede conferirles, la utilicen para satisfacer suspropios intereses, a expensas de las libertades individualesy en detrimento de las personas. Asimismo, la amenazafutura será directamente proporcional a los adelantos de lastecnologías informáticas.
La protección de los sistemas informáticos puede abordar-se tanto desde una perspectiva penal como de una perspec-tiva civil o comercial, e incluso de derecho administrativo.Estas distintas medidas de protección no tienen porque serexcluyentes unas de otras, sino que, por el contrario, éstasdeben estar estrechamente vinculadas. Por eso, dadas lascaracterísticas de esta problemática sólo a través de unaprotección global, desde los distintos sectores del ordena-miento jurídico, es posible alcanzar una cierta eficacia en ladefensa de los ataques a los sistemas informáticos.
65
Análisis legislativo
Un análisis de las legislaciones que se han promulgado endiversos países arroja que las normas jurídicas que se hanpuesto en vigor están dirigidas a proteger la utilización abusivade la información reunida y procesada mediante el uso decomputadoras.
Desde hace aproximadamente diez años la mayoría de lospaíses europeos han hecho todo lo posible para incluir den-tro de la ley, la conducta punible penalmente, como el acce-so ilegal a sistemas de computo o el mantenimiento ilegalde tales accesos, la difusión de virus o la interceptación demensajes informáticos.
En la mayoría de las naciones occidentales existen normassimilares a los países europeos. Todos estos enfoques es-tán inspirados por la misma preocupación de contar concomunicaciones electrónicas, transacciones e intercambiostan confiables y seguros como sea posible.
Las personas que cometen los «Delitos Informáticos» sonaquellas que poseen ciertas características que no presen-tan el denominador común de los delincuentes, esto es, lossujetos activos tienen habilidades para el manejo de los sis-temas informáticos y generalmente por su situación laboralse encuentran en lugares estratégicos donde se maneja in-formación de carácter sensible, o bien son hábiles en el usode los sistemas informatizados, aún cuando, en muchos delos casos, no desarrollen actividades laborales que facilitenla comisión de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores delos delitos informáticos son muy diversos y que lo que losdiferencia entre sí es la naturaleza de los delitos cometidos.De esta forma, la persona que «ingresa» en un sistema
66
informático sin intenciones delictivas es muy diferente delempleado de una institución financiera que desvía fondos delas cuentas de sus clientes.
El nivel típico de aptitudes del delincuente informático estema de controversia ya que para algunos el nivel de aptitu-des no es indicador de delincuencia informática en tantoque otros aducen que los posibles delincuentes informáticosson personas listas, decididas, motivadas y dispuestas aaceptar un reto tecnológico, características que pudieranencontrarse en un empleado del sector de procesamientode datos.
Sin embargo, teniendo en cuenta las características yamencionadas de las personas que cometen los «delitosinformáticos», los estudiosos en la materia los han catalo-gado como «delitos de cuello blanco» término introducidopor primera vez por el criminólogo norteamericano EdwinSutherland en el año de 1943.
Efectivamente, este conocido criminólogo señala un sinnú-mero de conductas que considera como «delitos de cuelloblanco», aún cuando muchas de estas conductas no estántipificadas en los ordenamientos jurídicos como delitos, ydentro de las cuales cabe destacar las «violaciones a lasleyes de patentes y fábrica de derechos de autor, el merca-do negro, el contrabando en las empresas, la evasión deimpuestos, las quiebras fraudulentas, corrupción de altosfuncionarios, entre otros».
Asimismo, este criminólogo estadounidense dice que tantola definición de los «delitos informáticos» como la de los«delitos de cuello blanco» no es de acuerdo al interés prote-gido, como sucede en los delitos convencionales sino deacuerdo al sujeto activo que los comete. Entre las caracte-rísticas en común que poseen ambos delitos tenemos que:
67
«El sujeto activo del delito es una persona de cierto statussocioeconómico, su comisión no puede explicarse por po-breza ni por mala habitación, ni por carencia de recreación,ni por baja educación, ni por poca inteligencia, ni por inesta-bilidad emocional».
Es difícil elaborar estadísticas sobre ambos tipos de delitos.Sin embargo, la cifra es muy alta; no es fácil descubrirlo ysancionarlo, en razón del poder económico de quienes locometen, pero los daños económicos son altísimos; existeuna gran indiferencia de la opinión pública sobre los dañosocasionados a la sociedad; la sociedad no considera delin-cuentes a los sujetos que cometen este tipo de delitos, nolos segrega, no los desprecia, ni los desvaloriza, por el con-trario, el autor o autores de este tipo de delitos se consideraa sí mismos «respetables» otra coincidencia que tienen es-tos tipos de delitos es que, generalmente, «son objeto demedidas o sanciones de carácter administrativo y no privati-vos de la libertad».
Este nivel de criminalidad se puede explicar por la dificultadde reprimirla en forma internacional, ya que los usuarios estánesparcidos por todo el mundo y, en consecuencia, existeuna posibilidad muy grande de que el agresor y la víctimaestén sujetos a leyes nacionales diferentes. Además, si bienlos acuerdos de cooperación internacional y los tratados deextradición bilaterales intentan remediar algunas de las difi-cultades ocasionadas por los delitos informáticos, sus posi-bilidades son limitadas.
Por su parte, el «Manual de la Naciones Unidas para la Pre-vención y Control de Delitos Informáticos» señala que cuan-do el problema se eleva a la escena internacional, semagnifican los inconvenientes y las insuficiencias, por cuantolos delitos informáticos constituyen una nueva forma de cri-men transnacional y su combate requiere de una eficaz co-
68
operación internacional concertada. Asimismo, la ONU re-sume de la siguiente manera a los problemas que rodean ala cooperación internacional en el área de los delitosinformáticos:
• Falta de acuerdos globales acerca de que tipo deconductas deben constituir delitos informáticos.
• Ausencia de acuerdos globales en la definición le-gal de dichas conductas delictivas.
• Falta de especialización de las policías, fiscales yotros funcionarios judiciales en el campo de los de-litos informáticos.
• Falta de armonización entre las diferentes leyes pro-cesales nacionales acerca de la investigación delos delitos informáticos.
• Carácter transnacional de muchos delitos cometi-dos mediante el uso de computadoras.
• Ausencia de tratados de extradición, de acuerdosde ayuda mutuos y de mecanismos sincronizadosque permitan la puesta en vigor de la cooperacióninternacional.
En síntesis, es destacable que la delincuencia informáticase apoya en el delito instrumentado por el uso de la compu-tadora a través de redes telemáticas y la interconexión de lacomputadora, aunque no es el único medio. Las ventajas ylas necesidades del flujo nacional e internacional de datos,que aumenta de modo creciente aún en países latinoameri-canos, conlleva también a la posibilidad creciente de estosdelitos; por eso puede señalarse que la criminalidad infor-mática constituye un reto considerable tanto para los secto-res afectados de la infraestructura crítica de un país, comopara los legisladores, las autoridades policiales encargadasde las investigaciones y los funcionarios judiciales.
69
Legislación - Contexto Internacional
En el contexto internacional, son pocos los países que cuen-tan con una legislación apropiada. Entre ellos, se destacan,Estados Unidos, Alemania, Austria, Gran Bretaña, Holan-da, Francia, España, Argentina y Chile.
Dado lo anterior a continuación se mencionan algunos as-pectos relacionados con la ley en los diferentes países, asícomo con los delitos informáticos que persigue.
» Estados Unidos.
Este país adoptó en 1994 el Acta Federal de AbusoComputacional que modificó al Acta de Fraude y AbusoComputacional de 1986.
Con la finalidad de eliminar los argumentos hipertécnicosacerca de qué es y que no es un virus, un gusano, un caba-llo de Troya y en que difieren de los virus, la nueva actaproscribe la transmisión de un programa, información, códi-gos o comandos que causan daños a la computadora, a lossistemas informáticos, a las redes, información, datos o pro-gramas. La nueva ley es un adelanto porque está directa-mente en contra de los actos de transmisión de virus.
Asimismo, en materia de estafas electrónicas, defraudacio-nes y otros actos dolosos relacionados con los dispositivosde acceso a sistemas informáticos, la legislación estado-unidense sanciona con pena de prisión y multa, a la perso-na que defraude a otro mediante la utilización de una com-putadora o red informática.
En el mes de Julio del año 2000, el Senado y la Cámara deRepresentantes de este país -tras un año largo de delibera-ciones- establece el Acta de Firmas Electrónicas en el Co-mercio Global y Nacional. La ley sobre la firma digital res-
70
ponde a la necesidad de dar validez a documentosinformáticos -mensajes electrónicos y contratos estableci-dos mediante Internet- entre empresas (para el B2B) y entreempresas y consumidores (para el B2C).
» Alemania.
Este país sancionó en 1986 la Ley contra la CriminalidadEconómica, que contempla los siguientes delitos:
• Espionaje de datos.• Estafa informática.• Alteración de datos.• Sabotaje informático.
» Austria.
La Ley de reforma del Código Penal, sancionada el 22 deDiciembre de 1987, sanciona a aquellos que con dolo cau-sen un perjuicio patrimonial a un tercero influyendo en elresultado de una elaboración de datos automática a travésde la confección del programa, por la introducción, cancela-ción o alteración de datos o por actuar sobre el curso delprocesamiento de datos. Además contempla sanciones paraquienes comenten este hecho utilizando su profesión deespecialistas en sistemas.
» Gran Bretaña.
Debido a un caso de hacking en 1991, comenzó a regir eneste país la Computer Misuse Act (Ley de Abusos Informá-ticos). Mediante esta ley el intento, exitoso o no, de alterardatos informáticos es penado con hasta cinco años de pri-sión o multas. Esta ley tiene un apartado que específica lamodificación de datos sin autorización.
71
» Holanda.
El 1º de Marzo de 1993 entró en vigencia la Ley de DelitosInformáticos, en la cual se penaliza los siguientes delitos:
• El hacking.• El preacking (utilización de servicios de telecomu-
nicaciones evitando el pago total o parcial de dichoservicio).
• La ingeniería social (arte de convencer a la gente deentregar información que en circunstancias norma-les no entregaría).
• La distribución de virus.
» Francia.
En enero de 1988, este país dictó la Ley relativa al fraudeinformático, en la que se consideran aspectos como:
• Intromisión fraudulenta que suprima o modifiquedatos.
• Conducta intencional en la violación de derechos aterceros que haya impedido o alterado el funciona-miento de un sistema de procesamiento automati-zado de datos.
• Conducta intencional en la violación de derechos aterceros, en forma directa o indirecta, en la intro-ducción de datos en un sistema de procesamientoautomatizado o la supresión o modificación de losdatos que éste contiene, o sus modos de procesa-miento o de transmisión.
• Supresión o modificación de datos contenidos en elsistema, o bien en la alteración del funcionamientodel sistema (sabotaje).
72
» España.
En el Nuevo Código Penal de España, se establece que alque causare daños en propiedad ajena, se le aplicará penade prisión o multa. En lo referente a:
• La realización por cualquier medio de destrucción,alteración, inutilización o cualquier otro daño en losdatos, programas o documentos electrónicos aje-nos contenidos en redes, soportes o sistemasinformáticos.
• El nuevo Código Penal de España sanciona en for-ma detallada esta categoría delictual (Violación desecretos/Espionaje/Divulgación), aplicando pena deprisión y multa.
• En materia de estafas electrónicas, el nuevo Códi-go Penal de España, solo tipifica las estafas conánimo de lucro valiéndose de alguna manipulacióninformática, sin detallar las penas a aplicar en elcaso de la comisión del delito.
» Chile.
Chile fue el primer país latinoamericano en sancionar unaLey contra delitos informáticos, la cual entró en vigencia el 7de junio de 1993. Esta ley se refiere a los siguientes delitos:
• La destrucción o inutilización de los de los datoscontenidos dentro de una computadora es castiga-da con penas de prisión. Asimismo, dentro de esasconsideraciones se encuentran los virus.
• Conducta maliciosa tendiente a la destrucción o in-utilización de un sistema de tratamiento de informa-ción o de sus partes componentes o que dicha con-ducta impida, obstaculice o modifique su funciona-miento.
73
• Conducta maliciosa que altere, dañe o destruya losdatos contenidos en un sistema de tratamiento deinformación.
Legislación - Contexto Nacional
En el contexto nacional se pueden encontrar legislaturasque castiguen algunos de los tipos de delitos informáticos,para lo cual se deben citar:
• El código procesal penal.• La Ley de Fomento y Protección de la Propiedad
Intelectual.
» Código Procesal Penal.
Dentro de esta ley se contemplan algunos artículos que guar-dan relación con los delitos informáticos, específicamentecon los siguientes:
La difusión, exhibición, explotación de pornografía infan-til por medios informáticos (Art. 172 y 173).
Estafa agravada, realizar manipulación que interfiera elresultado de un procesamiento o transmisión dedatos (Art. 216 Num.5).
Delitos relativos a la propiedad intelectual (Art. 226 y227).
Además en dicho código se establece que la realización deestos delitos puede significar para los delincuentes penasde prisión que van desde los 6 meses hasta los 8 años (de-pendiendo del tipo de delito). Referido a esto es necesariomenciona que en nuestro país desgraciadamente no se cuen-ta con la capacidad instalada para controlar este tipo de
74
acciones delictivas; por lo que la ley aunque escrita estalejos de ser cumplida.
» La Ley de Fomento y Protección de la Propiedad Intelec-tual.
Al revisar el contenido de la dicha ley y relacionarlo con lainformática, haciendo mayor énfasis en la protección contralos delitos informáticos, se pueden establecer dos áreas dealcance:
La protección de la propiedad intelectual.
La sustracción de información clasificada.
La protección de la propiedad intelectual.
La propiedad intelectual comprende la propiedad en las si-guientes áreas: Literaria, Artística, Industrial y Científica (don-de se sitúa la informática). El derecho de propiedad exclusi-vo se conoce como ‘derecho de autor’, en este sentido cual-quier tipo de violación dará lugar a reparación del daño eindemnización de perjuicios.
Dentro de las categorías de obras científicas protegidas poresta ley se pueden mencionar los programas de ordenadory en general cualquier obra con carácter de creación intelec-tual o personal, es decir, original.
La sustracción de información clasificada.
Se considera secreto industrial o comercial, toda informa-ción que guarde un apersona con carácter confidencial, quele signifique obtener o mantener una ventaja competitiva oeconómica frente a terceros, en la realización de activida-
75
des económicas y respecto de la cual haya adoptado losmedios o sistemas razonables para preservar su confiden-cialidad y el acceso restringido a la misma.
Ahora bien, para la protección de la información secreta, laley establece que toda persona que con motivo de su traba-jo, empleo, cargo, puesto, desempeño de su profesión orelación de negocios tenga acceso a un secreto a un secre-to industrial o comercial del cual se le haya prevenido sobresu confidencialidad, deberá abstenerse de utilizarlo para fi-nes comerciales propios o de revelarlo sin causa justificaday sin consentimiento de la persona que guarde dicho secre-to, o de su usuario autorizado, en caso contrario será res-ponsable de los daños y perjuicios ocasionados. Tambiénserá responsable el que por medio ilícito obtenga informa-ción que contemple un secreto industrial o comercial.
» Efectos de la inexistencia de legislatura informática.
La inexistencia de una ley informática imposibilita que lapersecución y castigo de los autores de delitos informáticossea efectiva. Aunado a esto las autoridades (PNC, Fiscalía,Corte de Cuentas, Órgano Judicial) no poseen el nivel deexperticia requerido en estas áreas ni la capacidad instala-da para desarrollar actividades de investigación, persecu-ción y recopilación de pruebas digitales y electrónicas. Porlo que todo tipo de acción contra los delincuentes informáticosquedaría prácticamente en las manos de la organización quedescubre un delito y el tipo de penalización sería más admi-nistrativa que de otro tipo (si el delito proviene de fuentesinternas).
» Esfuerzos en legislación informática.
En nuestro país debido a factores como el auge del comer-cio electrónico a nivel mundial, la aprobación de la firma digital
76
en E.U., etc. se esta trabajando en la estructuración de unaley que le brinde un marco legal a las prácticas del comercioelectrónico (las transacciones por Internet) en nuestro país.Dicho esfuerzo esta siendo realizado de manera conjuntapor el Ministerio de Economía y la Secretaria Técnica de laPresidencia, y se espera que participen en dichaestructuración diferentes asociaciones y gremiales (Cáma-ra de Comercio, DIELCO, ASI, etc.) para que sea realmentefuncional y efectiva.
10. Auditor versus delitos informaticos
Es importante establecer claramente cual es el papel quejuega el auditor informático en relación con la detección yminimización de la ocurrencia de delitos informáticos dentrode la organización a que presta sus servicios. Para lograrestablecer dicho rol se debe examinar la actuación del audi-tor frente a la ocurrencia de delitos, estrategias para evitar-los, recomendaciones adecuadas, conocimientos requeri-dos, en fin una serie de elementos que definen de manerainequívoca el aporte que éste brinda en el manejo de loscasos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en laverificación de controles, evaluación del riesgo de fraudes yel diseño y desarrollo de exámenes que sean apropiados ala naturaleza de la auditoría asignada, y que deben razona-blemente detectar:
• Irregularidades que puedan tener un impacto sobreel área auditada o sobre toda la organización.
77
• Debilidades en los controles internos que podríanresultar en la falta de prevención o detección de irre-gularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosasse estén realizando de la manera planificada, que todas lasactividades se realicen adecuadamente, que los controlessean cumplidos, etc.; entonces el auditor informático al de-tectar irregularidades en el transcurso de la auditoria infor-mática que le indiquen la ocurrencia de un delito informático,deberá realizar los siguiente:
Determinar si se considera la situación un delito real-mente;
Establecer pruebas claras y precisas;
Determinar los vacíos de la seguridad existentes y quepermitieron el delito;
Informar a la autoridad correspondiente dentro de la or-ganización;
Informar a autoridades regulatorias cuando es un reque-rimiento legal.
Es importante mencionar que el auditor deberá ma-nejar con discreción tal situación y con el mayorprofesionalismo posible; evitando su divulgación alpúblico o a empleados que no tienen nada que ver.Puesto que de no manejarse adecuadamente eldelito, podría tener efectos negativos en la organi-zación, como los siguientes:
78
• Se puede generar una desconfianza de losempleados hacia el sistema;
• Se pueden generar más delitos al mostrarlas debilidades encontradas;
• Se puede perder la confianza de los clien-tes, proveedores e inversionistas hacia laempresa;
• Se pueden perder empleados clave de laadministración, aún cuando no estén invo-lucrados en la irregularidad debido a que laconfianza en la administración y el futurode la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se handetectado la ocurrencia de delitos, el auditor deberá sugeriracciones especificas a seguir para resolver el vacío de segu-ridad, para que el grupo de la unidad informática pueda ac-tuar. Dichas acciones, expresadas en forma de recomenda-ción pueden ser como las siguientes:
• Recomendaciones referentes a la revisión total delproceso involucrado;
• Inclusión de controles adicionales;• Establecimiento de planes de contingencia efecti-
vos;• Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informáticodeberá ayudar a la empresa en el establecimiento de estra-tegias contra la ocurrencia de delitos, entre las que puedendestacarse:
79
• Adquisición de herramientas computacionales dealto desempeño;
• Controles sofisticados;• Procedimientos estándares bien establecidos y pro-
bados.• Revisiones continuas; cuya frecuencia dependerá del
grado de importancia para la empresa de las TI; asícomo de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor,las estrategias implementadas por la organización minimi-zan el grado de amenaza que representa los delitosinformáticos, es importante tomar en cuenta que aún cuan-do todos los procesos de auditoría estén debidamente dise-ñados y se cuente con las herramientas adecuadas, no sepuede garantizar que las irregularidades puedan ser detec-tadas. Por lo que la verificaciones la información y de la TIjuegan un papel importante en la detección de los delitosinformáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación ycertificación de la informática dentro de las organizaciones,deberá contar con un perfil que le permita poder desempe-ñar su trabajo con la calidad y la efectividad esperada. Paraello a continuación se establecen algunos elementos conque deberá contar:
» Conocimientos generales.
• Todo tipo de conocimientos tecnológicos, de formaactualizada y especializada respecto a las platafor-mas existentes en la organización;
80
• Normas estándares para la auditoría interna;• Políticas organizacionales sobre la información y las
tecnologías de la información.• Características de la organización respecto a la éti-
ca, estructura organizacional, tipo de supervisiónexistente, compensaciones monetarias a los em-pleados, extensión de la presión laboral sobre losempleados, historia de la organización, cambiosrecientes en la administración, operaciones o siste-mas, la industria o ambiente competitivo en la cualse desempeña la organización, etc.
• Aspectos legales;
» Herramientas.
• Herramientas de control y verificación de la seguri-dad;
• Herramientas de monitoreo de actividades, etc.
» Técnicas.
• Técnicas de Evaluación de riesgos;• Muestreo;• Cálculo pos operación;• Monitoreo de actividades;• Recopilación de grandes cantidades de información;• Verificación de desviaciones en el comportamiento
de la data;• Análisis e interpretación de la evidencia, etc.
Auditor Externo Versus Auditor Interno
La responsabilidad del auditor externo para detectar irregu-laridades o fraude se establece en el prefacio de las normas
81
y estándares de auditoría. En este prefacio se indica queaunque el cometido de los auditores externos no exige nor-malmente la búsqueda específica de fraudes, la auditoríadeberá planificarse de forma que existan unas expectativasrazonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá pre-sentar un informe detallado sobre la situación y aportar ele-mentos de juicio adicionales durante las investigaciones cri-minales posteriores. El auditor externo solamente puedeemitir opiniones basado en la información recabada y nor-malmente no estará involucrado directamente en la búsque-da de pruebas; a menos que su contrato sea extendido aotro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vie-nen definidos por la dirección de la empresa a la que perte-necen. En la mayoría de ellas, se considera que la detec-ción de delitos informáticos forma parte del cometido de losauditores internos.
Auditorias Eficientes
En la mayoría de las empresas existe la obligación de man-tener en todo momento unos registros contables adecuadosy el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridady la planificación de emergencia de los sistemas mecaniza-dos se incluyan entre las atribuciones de la mayoría de losdepartamentos de auditoría interna. Por ello cuando se rea-lice un análisis de seguridad informática y de planificaciónde emergencia, el auditor:
82
• Examinará sistemáticamente todos los riesgos queintervengan y acotarán las pérdidas probables encada caso.
• Considerará las maneras de aumentar la seguridadpara reducir los riesgos.
• Recomendará todas las acciones necesarias deprotección encaminadas a reducir el riesgo de quese produzca una interrupción, en caso de que seproduzca.
• Cuando corresponda, estudiará la cobertura de se-guros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán quetener en cuenta las bases de referencia del grupo de auditoria,que considera lo siguiente:
• A que nivel informan los auditores.• El apoyo que la dirección presta a los auditores.• El respeto que tenga la unidad informática hacia el
grupo de auditoría.• La competencia técnica del equipo de auditoría.• La eficiencia de la unidad informática, en la que se
incluyen más factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores tuvieran razo-nes para pensar que las disposiciones de seguridad de laempresa y los planes de emergencia no son los adecuados,deberán reflejar sus opiniones a la Alta Dirección, a travésdel informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la altadirección para que se pongan en contacto con su asesorjurídico, o con la policía, sin levantar las sospechas del per-sonal o los clientes que estuviesen involucrados. El auditor
83
deberá asegurar también que los originales de los documen-tos que pudieran utilizarse como prueba están custodiadosy a salvo y que ninguna persona que sea sospechosa defraude tenga acceso a ellos.
11. Conclusiones
• Debido a la naturaleza virtual de los delitosinformáticos, puede volverse confusa la tipificaciónde éstos ya que a nivel general, se poseen pocosconocimientos y experiencias en el manejo de éstaárea. Desde el punto de vista de la Legislatura esdifícil la clasificación de éstos actos, por lo que lacreación de instrumentos legales puede no tenerlos resultados esperados, sumado a que la cons-tante innovación tecnológica obliga a un dinamismoen el manejo de las Leyes relacionadas con la infor-mática.
• La falta de cultura informática es un factor crítico enel impacto de los delitos informáticos en la socie-dad en general, cada vez se requieren mayores co-nocimientos en tecnologías de la información, lascuales permitan tener un marco de referencia acep-table para el manejo de dichas situaciones.
• Nuevas formas de hacer negocios como el comer-cio electrónico puede que no encuentre el eco es-perado en los individuos y en las empresas hacialos que va dirigido ésta tecnología, por lo que sedeben crear instrumentos legales efectivos que ata-quen ésta problemática, con el único fin de tener unmarco legal que se utilice como soporte para elmanejo de éste tipo de transacciones.
84
• La responsabilidad del auditor informático no abar-ca el dar solución al impacto de los delitos o enimplementar cambios; sino más bien su responsa-bilidad recae en la verificación de controles, evalua-ción de riesgos, así como en el establecimiento derecomendaciones que ayuden a las organizacionesa minimizar las amenazas que presentan los deli-tos informáticos.
• La ocurrencia de delitos informáticos en las organi-zaciones alrededor del mundo no debe en ningúnmomento impedir que éstas se beneficien de todolo que proveen las tecnologías de información (co-municación remota, Interconectividad, comercioelectrónico, etc.); sino por el contrario dicha situa-ción debe plantear un reto a los profesionales de lainformática, de manera que se realicen esfuerzosencaminados a robustecer los aspectos de seguri-dad, controles, integridad de la información, etc. enlas organizaciones.
85
12. Referencias.
Algunos sitios consultados por Internet
http://members.nbci.com/segutot/delitos.htm
http://www.fas.org/irp/congress/1996_hr/s960605l.htm
ht tp : / /d ig i ta ldes ign.bar i loche.net .ar /x i i jovenab/ComDerPen%20-%20DelitosInfor.htm
http://www.npa.go.jp/hightech/antai_repo/ereport.htm
http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml
http://www.govnews.org/mhonarc/gov/us/fed/congress/gao/reports/_msg00533.html
http://www.dtj.com.ar/publicaciones.htm
http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html
http://www.gocsi.com/
http://www.ecomder.com.ar
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://arnal.es/free/noticias/free2_08.html#T12
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://www.inei.gob.pe/cpi/bancopub/cpi008.htm
http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html
86
http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml
http://www.onnet.es/04001001.htm
http://legal.infosel.com/Legal/EnLinea/Articulos/articulo/0001/