lunes, 26 de noviembre de 2012

                          Impacto de los delitos informáticos

Por: Dexys Yasmina Padron Garcia

Impacto a Nivel General
En los años recientes las redes de computadoras han crecido de manera asombrosa. Hoy en día, el número de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus médicos online supera los 200 millones, comparado con 26 millones en 1995.
A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorización o "piratería informática", el fraude, el sabotaje informático, la trata de niños con fines pornográficos y el acecho.
Los delincuentes de la informática son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a través de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningún documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "paraísos informáticos" - o sea, en países que carecen de leyes o experiencia para seguirles la pista -.
Según datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito, señala el Manual de la ONU.
Otros delincuentes de la informática pueden sabotear las computadoras para ganarle ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; también se están propagando últimamente por las redes, con frecuencia camuflados en mensajes electrónicos o en programas "descargados" de la red.
En 1990, se supo por primera vez en Europa de un caso en que se usó a un virus para sonsacar dinero, cuando la comunidad de investigación médica se vio amenazada con un virus que iría destruyendo datos paulatinamente si no se pagaba un rescate por la "cura".
Los delincuentes cibernéticos al acecho también usan el correo electrónico para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson "Acecho cibernético: delito, represión y responsabilidad personal en el mundo online", publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada año.
Afirma la Sra. Jenson que una norteamericana fue acechada durante varios años por una persona desconocida que usaba el correo electrónico para amenazar con asesinarla, violar a su hija y exhibir la dirección de su casa en la Internet para que todos la vieran.
Los delincuentes también han utilizado el correo electrónico y los "chat rooms" o salas de tertulia de la Internet para buscar presas vulnerables. Por ejemplo, los aficionados a la pedofilia se han ganado la confianza de niños online y luego concertado citas reales con ellos para explotarlos o secuestrarlos. El Departamento de Justicia de los Estados Unidos dice que se está registrando un incremento de la pedofilia por la Internet.

Destrucción u ocultación de pruebas
Otro grave obstáculo al enjuiciamiento por delitos cibernéticos es el hecho de que los delincuentes pueden destruir fácilmente las pruebas cambiándolas, borrándolas o trasladándolas. Si los agentes del orden operan con más lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los datos estén cifrados, una forma cada vez más popular de proteger tanto a los particulares como a las empresas en las redes de computadoras.
Tal vez la criptografía estorbe en las investigaciones penales, pero los derechos humanos podrían ser vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder técnico. Las empresas electrónicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del consumidor en el mercado de la Internet, y los grupos defensores de los derechos humanos desean que se proteja el cúmulo de datos personales archivados actualmente en ficheros electrónicos.
Las empresas también recalcan que la información podría caer en malas manos, especialmente en países con problemas de corrupción, si los gobiernos tienen acceso a los mensajes en código. "Si los gobiernos tienen la clave para descifrar los mensajes en código, esto significa que personas no autorizadas --que no son del gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante compañía norteamericana de ingeniería de seguridad.
Impacto en la Identificación de Delitos a Nivel Mundial.

Casos de Impacto de los Delitos Informáticos
Zinn, Herbert, Shadowhack.
Herbert Zinn, (expulsado de la educación media superior), y que operaba bajo el seudónimo de "Shadowhawk", fue el primer sentenciado bajo el cargo de Fraude Computacional y Abuso en 1986. Zinn tenia 16 y 17 cuando violo el acceso a AT&T y los sistemas del Departamento de Defensa. Fue sentenciado el 23 de enero de 1989, por la destrucción del equivalente a US $174,000 en archivos, copias de programas, los cuales estaban valuados en millones de dólares, además publico contraseñas y instrucciones de cómo violar la seguridad de los sistemas computacionales. Zinn fue sentenciado a 9 meses de cárcel y a una fianza de US$10,000. Se estima que Zinn hubiera podido alcanzar una sentencia de 13 años de prisión y una fianza de US$800,000 si hubiera tenido 18 años en el momento del crimen.
Smith, David.
Programador de 30 años, detenido por el FBI y acusado de crear y distribuir el virus que ha bloqueado miles de cuentas de correo, "Melissa". Entre los cargos presentados contra él, figuran el de "bloquear las comunicaciones publicas" y de "dañar los sistemas informáticos". Acusaciones que en caso de demostrarse en el tribunal podrían acarrearle una pena de hasta diez años de cárcel.
Por el momento y a la espera de la decisión que hubiese tomado el juez, David Smith esta en libertad bajo fianza de 10.000 dólares. Melissa en su "corta vida" había conseguido contaminar a más de 100,000 ordenadores de todo el mundo, incluyendo a empresas como Microsoft, Intel, Compaq, administraciones públicas estadounidenses como la del Gobierno del Estado de Dakota del Norte y el Departamento del Tesoro.
En España su "éxito" fue menor al desarrollarse una extensa campaña de información, que alcanzo incluso a las cadenas televisivas, alertando a los usuarios de la existencia de este virus. La detención de David Smith fue fruto de la colaboración entre los especialistas del FBI y de los técnicos del primer proveedor de servicios de conexión a Internet de los Estados Unidos, América On Line. Los ingenieros de América On Line colaboraron activamente en la investigación al descubrir que para propagar el virus, Smith había utilizado la identidad de un usuario de su servicio de acceso. Además, como otros proveedores el impacto de Melissa había afectado de forma sustancial a buzones de una gran parte de sus catorce millones de usuarios.
Fue precisamente el modo de actuar de Melissa, que remite a los cincuenta primeros inscritos en la agenda de direcciones del cliente de correo electrónico "Outlook Express", centenares de documentos "Office" la clave para encontrar al autor del virus. Los ingenieros rastrearon los primeros documentos que fueron emitidos por el creador del virus, buscando encontrar los signos de identidad que incorporan todos los documentos del programa ofimático de Microsoft "Office" y que en más de una ocasión han despertado la alarma de organizaciones en defensa de la privacidad de los usuarios. Una vez desmontado el puzzle de los documentos y encontradas las claves se consiguió localizar al creador de Melissa. Sin embargo, la detención de Smith no significa que el virus haya dejado de actuar.

Seguridad contra los delitos informáticos.
Seguridad en Internet
Hoy en día, muchos usuarios no confían en la seguridad del Internet. En 1996, IDC Research realizó una encuesta en donde el 90% de los usuarios expresó gran interés sobre la seguridad del Internet, pues temen que alguien pueda conseguir el número de su tarjeta de crédito mediante el uso de la Red.
Ellos temen que otros descubran su código de acceso de la cuenta del banco y entonces transferir fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupación en dar información confidencial a personas no autorizadas. Las corporaciones también se preocupan en dar información a los empleados, quienes no están autorizados al acceso de esa información o quien trata de curiosear sobre una persona o empleado. Las organizaciones se preocupan que sus competidores tengan conocimiento sobre información patentada que pueda dañarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del término de la seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje, aplicación, archivo, sistema o una comunicación interactiva. "Seguro" los medios son protegidos desde el acceso, el uso o alteración no autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
  • La autenticación (promesa de identidad), es decir la prevención de suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser.
  • La autorización (se da permiso a una persona o grupo de personas de poder realizar ciertas funciones, al resto se le niega el permiso y se les sanciona si las realizan).
  • La privacidad o confidencialidad, es el más obvio de los aspecto y se refiere a que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple intrusión directa en los equipos donde la información está físicamente almacenada.
  • La integridad de datos, La integridad se refiere a la seguridad de que una información no ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de transmisión o en su propio equipo de origen. Es un riesgo común que el atacante al no poder descifrar un paquete de información y, sabiendo que es importante, simplemente lo intercepte y lo borre.
  • La disponibilidad de la información, se refiere a la seguridad que la información pueda ser recuperada en el momento que se necesite, esto es, evitar su pérdida o bloqueo, bien sea por ataque doloso, mala operación accidental o situaciones fortuitas o de fuerza mayor.
  • No rechazo (la protección contra alguien que niega que ellos originaron la comunicación o datos).
  • Controles de acceso, esto es quien tiene autorización y quien no para acceder a una pieza de información determinada.
Son los requerimientos básicos para la seguridad, que deben proveerse de una manera confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se está asegurado. La importancia de lo que se está asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar niveles más altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino también para el mundo físico.
En la tabla siguiente se presenta una relación de los intereses que se deben proteger y sus requerimientos relacionados:
Intereses Requerimientos
Fraude Autenticación
Acceso no Autorizado Autorización
Curiosear Privacidad
Alteración de Mensaje Integridad de Datos
Desconocido No - Rechazo
Estos intereses no son exclusivos de Internet. La autenticación y el asegurar los objetos es una parte de nuestra vida diaria. La comprensión de los elementos de seguridad y como ellos trabajan en el mundo físico, puede ayudar para explicar cómo estos requerimientos se encuentran en el mundo de la red y dónde se sitúan las dificultades.
Medidas de seguridad de la red.
Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar periódicamente (Evitar las passwords "por defecto" o demasiado obvias).
Firewalls.
Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática. Una de las maneras drásticas de no tener invasores es la de poner murallas. Los mecanismos más usados para la protección de la red interna de otras externas son los firewalls o cortafuegos. Estos tienen muchas aplicaciones, entre las más usadas está:
Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas de filtrado que le permiten discriminar el tráfico según nuestras indicaciones.
Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos establecer serán a nivel de direcciones IP, tanto fuente como destino.
Cortafuegos filtro de paquetes ejemplarizado en un router.
La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete cumpla marcará la acción a realizar (descartarlo o dejarlo pasar). La aplicación de las listas de filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o en ambos.
La protección centralizada es la ventaja más importante del filtrado de paquetes. Con un único enrutador con filtrado de paquetes situado estratégicamente puede protegerse toda una red.
Firma digital.
El cifrado con clave pública permite generar firmas digitales que hacen posible certificar la procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma se puede evitar que alguien suplante a un usuario y envíe mensajes falsos a otro usuario, por la imposibilidad de falsificar la firma. Además, garantizan la integridad del mensaje, es decir, que no ha sido alterado durante la transmisión. La firma se puede aplicar a un mensaje completo o puede ser algo añadido al mensaje.
Las firmas son especialmente útiles cuando la información debe atravesar redes sobre las que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra forma la procedencia de los mensajes.
Existen varios métodos para hacer uso de la firma digital, uno de ellos es el siguiente: "quien envía el mensaje lo codifica con su clave privada. Para descifrarlo, sólo puede hacerse con la clave pública correspondiente a dicha persona o institución. Si efectivamente con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo hizo".
Firma digital formada encriptando con la clave privada del emisor:
Firma Digital y Autentificación
E: Encriptar / D: Desencriptar.
KP : Encriptación utilizando la Clave Privada.
KV : Encriptación utilizando la Clave Pública.
M : Mensaje.
Seguridad en WWW.
¿Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor seguro.
En primer lugar los formularios pueden tener "agujeros" a través de los que un hacker hábil, incluso poco hábil, puede "colar" comandos.
La red es totalmente pública y abierta, los paquetes pasan por máquinas de las que no se tiene conocimiento y a las que puede tener acceso la gente que le guste husmear el tráfico de la red. Si es así (y no tienen que ser necesariamente hackers malintencionados, algunos proveedores de servicio lo hacen) sólo se puede recurrir a encriptar el tráfico por medio, en WWW, de servidores y clientes seguros.
Política de seguridad.
Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a través de la organización, da al personal e institución muchos beneficios. Sin embargo, a mayor acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del incremento de vulnerabilidad.
De hecho, cada vez que se añade un nuevo sistema, acceso de red o aplicación se agregan vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la protección. Sin embargo, si se está dispuesto a enfrentar realmente los riesgos, es posible cosechar los beneficios de mayor acceso mientras se minimizan los obstáculos. Para lograr esto, se necesitará un plan complejo, así como los recursos para ejecutarlo. También se debe tener un conocimiento detallado de los riesgos que pueden ocurrir en todos los lugares posibles, así como las medidas que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podría muy bien serlo, especialmente en organizaciones pequeñas que no tienen personal experto en todos los temas. Alguien podría estar tentado para contratar un consultor de seguridad y hacerlo con él; aunque esto puede ser una buena manera para outsourcing, todavía necesita saber lo suficiente y observar la honestidad del consultor. Después de todo, se le va a confiar a ellos los bienes más importantes de la organización.
Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de las características técnicas de los protocolos de red, sistemas operativos y aplicaciones que son accesadas, sino también lo concerniente al planeamiento. El plan es el primer paso y es la base para asegurar que todas las bases sean cubiertas.
¿Porqué se necesita una política de seguridad?
La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad está la del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de ataques de malévolos hackers. Aunque un firewall jugará un papel crucial, es sólo una herramienta que debe ser parte de una estrategia más comprensiva y que será necesaria a fin de proteger responsablemente los datos de la red. Por una parte, sabiendo cómo configurar un firewall para permitir las comunicaciones que se quiere que ingresen, mientras salvaguarda otros datos, es un hueso muy duro de roer.
Aún cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente, será difícil conocer la administración de riesgos que está dispuesto a tomar con los datos y determinar la cantidad de inconveniencias a resistir para protegerlos. También se debe considerar cómo asegurar los hosts que están siendo accesados. Incluso con la protección de firewall, no hay garantía que no se pueda desarrollar alguna vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase su firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecerá un módem para el acceso al Internet mediante otro ISP (ISP - Internet Service Providers, cualquier empresa o institución que provea de conexión a Internet), por las restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar su firewall). Se puede proveer restricciones o "protección," que puede resultar ser innecesario una vez que las consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden justificar el incremento de restricciones, resultando incómodo. Pero, a menos que el usuario esté prevenido de estos peligros y entienda claramente las consecuencias para añadir el riesgo, no hay mucho que hacer.
Los temas legales también surgen. ¿Qué obligaciones legales tiene para proteger su información?. Si usted está en una compañía de publicidad puede tener algunas responsabilidades definitivas al respecto.
Asegurar sus datos involucra algo más que conectarse en un firewall con una interface competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educación y capacitación, conjuntamente con la explicación, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una "política de seguridad" y es el primer paso para asegurar responsablemente la red. La política puede incluir instalar un firewall, pero no necesariamente se debe diseñar su política de seguridad alrededor de las limitaciones del firewall.

El desarrollo de una política de seguridad comprende la identificación de los activos organizativos, evaluación de amenazas potenciales, la evaluación del riesgo, implementación de las herramientas y tecnologías disponibles para hacer frente a los riesgos, y el desarrollo de una política de uso. Debe crearse un procedimiento de auditoria que revise el uso de la red y servidores de forma periódica.
Identificación de los activos organizativos: Consiste en la creación de una lista de todas las cosas que precisen protección.
Por ejemplo:
  • Hardware: ordenadores y equipos de telecomunicación
  • Software: programas fuente, utilidades, programas de diagnóstico, sistemas operativos, programas de comunicaciones.
  • Datos: copias de seguridad, registros de auditoria, bases de datos.
Valoración del riesgo:
Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de examinar todos los riesgos, y valorarlos por niveles de seguridad.
Definición de una política de uso aceptable:
Las herramientas y aplicaciones forman la base técnica de la política de seguridad, pero la política de uso aceptable debe considerar otros aspectos:
  • ¿ Quién tiene permiso para usar los recursos?
  • ¿ Quién esta autorizado a conceder acceso y a aprobar los usos?
  • ¿ Quién tiene privilegios de administración del sistema?
  • ¿ Qué hacer con la información confidencial?
  • ¿ Cuáles son los derechos y responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y responsabilidades de los usuarios:
  • Si los usuarios están restringidos, y cuáles son sus restricciones.
  • Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.
  • Cómo deberían mantener sus contraseñas los usuarios.
  • Con qué frecuencia deben cambiar sus contraseñas.
  • Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.
Legislación sobre delitos informáticos
Panorama general
La legislación sobre protección de los sistemas informáticos ha de perseguir acercarse lo más posible a los distintos medios de protección ya existentes, creando una nueva regulación sólo en aquellos aspectos en los que, basándose en las peculiaridades del objeto de protección, sea imprescindible.
Si se tiene en cuenta que los sistemas informáticos, pueden entregar datos e informaciones sobre miles de personas, naturales y jurídicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de diversas actividades como bancarias, financieras, tributarias, previsionales y de identificación de las personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidades dedicadas a proporcionar, si se desea, cualquier información, sea de carácter personal o sobre materias de las más diversas disciplinas a un Estado o particulares; se comprenderá que están en juego o podrían ha llegar a estarlo de modo dramático, algunos valores colectivos y los consiguientes bienes jurídicos que el ordenamiento jurídico institucional debe proteger.

Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que los usuarios están esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande de que el agresor y la víctima estén sujetos a leyes nacionales diferentes. Además, si bien los acuerdos de cooperación internacional y los tratados de extradición bilaterales intentan remediar algunas de las dificultades ocasionadas por los delitos informáticos, sus posibilidades son limitadas.
Por su parte, el "Manual de la Naciones Unidas para la Prevención y Control de Delitos Informáticos" señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informáticos constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional concertada. Asimismo, la ONU resume de la siguiente manera a los problemas que rodean a la cooperación internacional en el área de los delitos informáticos:
  • Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informáticos.
  • Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas.
  • Falta de especialización de las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos.
  • Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos.
  • Carácter transnacional de muchos delitos cometidos mediante el uso de computadoras.
  • Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.
En síntesis, es destacable que la delincuencia informática se apoya en el delito instrumentado por el uso de la computadora a través de redes telemáticas y la interconexión de la computadora, aunque no es el único medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo creciente aún en países latinoamericanos, conlleva también a la posibilidad creciente de estos delitos; por eso puede señalarse que la criminalidad informática constituye un reto considerable tanto para los sectores afectados de la infraestructura crítica de un país, como para los legisladores, las autoridades policiales encargadas de las investigaciones y los funcionarios judiciales.
Legislación - Contexto Internacional
En el contexto internacional, son pocos los países que cuentan con una legislación apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaña, Holanda, Francia, España, Argentina y Chile.
Dado lo anterior a continuación se mencionan algunos aspectos relacionados con la ley en los diferentes países, así como con los delitos informáticos que persigue.
» Estados Unidos.
Este país adoptó en 1994 el Acta Federal de Abuso Computacional que modificó al Acta de Fraude y Abuso Computacional de 1986.
Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, a los sistemas informáticos, a las redes, información, datos o programas. La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus.
Asimismo, en materia de estafas electrónicas, defraudaciones y otros actos dolosos relacionados con los dispositivos de acceso a sistemas informáticos, la legislación estadounidense sanciona con pena de prisión y multa, a la persona que defraude a otro mediante la utilización de una computadora o red informática.
En el mes de Julio del año 2000, el Senado y la Cámara de Representantes de este país -tras un año largo de deliberaciones- establece el Acta de Firmas Electrónicas en el Comercio Global y Nacional. La ley sobre la firma digital responde a la necesidad de dar validez a documentos informáticos -mensajes electrónicos y contratos establecidos mediante Internet- entre empresas (para el B2B) y entre empresas y consumidores (para el B2C).
» Alemania.
Este país sancionó en 1986 la Ley contra la Criminalidad Económica, que contempla los siguientes delitos:
  • Espionaje de datos.
  • Estafa informática.
  • Alteración de datos.
  • Sabotaje informático.
» Austria.
La Ley de reforma del Código Penal, sancionada el 22 de Diciembre de 1987, sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos o por actuar sobre el curso del procesamiento de datos. Además contempla sanciones para quienes comenten este hecho utilizando su profesión de especialistas en sistemas.
» Gran Bretaña.
Debido a un caso de hacking en 1991, comenzó a regir en este país la Computer Misuse Act (Ley de Abusos Informáticos). Mediante esta ley el intento, exitoso o no, de alterar datos informáticos es penado con hasta cinco años de prisión o multas. Esta ley tiene un apartado que específica la modificación de datos sin autorización.
» Holanda.
El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la cual se penaliza los siguientes delitos:
  • El hacking.
  • El preacking (utilización de servicios de telecomunicaciones evitando el pago total o parcial de dicho servicio).
  • La ingeniería social (arte de convencer a la gente de entregar información que en circunstancias normales no entregaría).
  • La distribución de virus.
» Francia.
En enero de 1988, este país dictó la Ley relativa al fraude informático, en la que se consideran aspectos como:
  • Intromisión fraudulenta que suprima o modifique datos.
  • Conducta intencional en la violación de derechos a terceros que haya impedido o alterado el funcionamiento de un sistema de procesamiento automatizado de datos.
  • Conducta intencional en la violación de derechos a terceros, en forma directa o indirecta, en la introducción de datos en un sistema de procesamiento automatizado o la supresión o modificación de los datos que éste contiene, o sus modos de procesamiento o de transmisión.
  • Supresión o modificación de datos contenidos en el sistema, o bien en la alteración del funcionamiento del sistema (sabotaje).
» España.
En el Nuevo Código Penal de España, se establece que al que causare daños en propiedad ajena, se le aplicará pena de prisión o multa. En lo referente a:
  • La realización por cualquier medio de destrucción, alteración, inutilización o cualquier otro daño en los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.
  • El nuevo Código Penal de España sanciona en forma detallada esta categoría delictual (Violación de secretos/Espionaje/Divulgación), aplicando pena de prisión y multa.
  • En materia de estafas electrónicas, el nuevo Código Penal de España, solo tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación informática, sin detallar las penas a aplicar en el caso de la comisión del delito.
» Chile.
Chile fue el primer país latinoamericano en sancionar una Ley contra delitos informáticos, la cual entró en vigencia el 7 de junio de 1993. Esta ley se refiere a los siguientes delitos:
  • La destrucción o inutilización de los de los datos contenidos dentro de una computadora es castigada con penas de prisión. Asimismo, dentro de esas consideraciones se encuentran los virus.
  • Conducta maliciosa tendiente a la destrucción o inutilización de un sistema de tratamiento de información o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento.
  • Conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información.
Legislación - Contexto Nacional
En el contexto nacional se pueden encontrar legislaturas que castiguen algunos de los tipos de delitos informáticos, para lo cual se deben citar:
  • El código procesal penal.
  • La Ley de Fomento y Protección de la Propiedad Intelectual.
» Código Procesal Penal.
Dentro de esta ley se contemplan algunos artículos que guardan relación con los delitos informáticos, específicamente con los siguientes:
  1. La difusión, exhibición, explotación de pornografía infantil por medios informáticos (Art. 172 y 173).
  2. Estafa agravada, realizar manipulación que interfiera el resultado de un procesamiento o transmisión de datos (Art. 216 Num.5).
  3. Delitos relativos a la propiedad intelectual (Art. 226 y 227).
Además en dicho código se establece que la realización de estos delitos puede significar para los delincuentes penas de prisión que van desde los 6 meses hasta los 8 años (dependiendo del tipo de delito). Referido a esto es necesario menciona que en nuestro país desgraciadamente no se cuenta con la capacidad instalada para controlar este tipo de acciones delictivas; por lo que la ley aunque escrita esta lejos de ser cumplida.
» La Ley de Fomento y Protección de la Propiedad Intelectual.
Al revisar el contenido de la dicha ley y relacionarlo con la informática, haciendo mayor énfasis en la protección contra los delitos informáticos, se pueden establecer dos áreas de alcance:
  1. La protección de la propiedad intelectual.
  2. La sustracción de información clasificada.
La protección de la propiedad intelectual.
La propiedad intelectual comprende la propiedad en las siguientes áreas: Literaria, Artística, Industrial y Científica (donde se sitúa la informática). El derecho de propiedad exclusivo se conoce como ‘derecho de autor’, en este sentido cualquier tipo de violación dará lugar a reparación del daño e indemnización de perjuicios.
Dentro de las categorías de obras científicas protegidas por esta ley se pueden mencionar los programas de ordenador y en general cualquier obra con carácter de creación intelectual o personal, es decir, original.
La sustracción de información clasificada.
Se considera secreto industrial o comercial, toda información que guarde un apersona con carácter confidencial, que le signifique obtener o mantener una ventaja competitiva o económica frente a terceros, en la realización de actividades económicas y respecto de la cual haya adoptado los medios o sistemas razonables para preservar su confidencialidad y el acceso restringido a la misma.
Ahora bien, para la protección de la información secreta, la ley establece que toda persona que con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios tenga acceso a un secreto a un secreto industrial o comercial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de utilizarlo para fines comerciales propios o de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado, en caso contrario será responsable de los daños y perjuicios ocasionados. También será responsable el que por medio ilícito obtenga información que contemple un secreto industrial o comercial.
» Efectos de la inexistencia de legislatura informática.
La inexistencia de una ley informática imposibilita que la persecución y castigo de los autores de delitos informáticos sea efectiva. Aunado a esto las autoridades (PNC, Fiscalía, Corte de Cuentas, Órgano Judicial) no poseen el nivel de experticia requerido en estas áreas ni la capacidad instalada para desarrollar actividades de investigación, persecución y recopilación de pruebas digitales y electrónicas. Por lo que todo tipo de acción contra los delincuentes informáticos quedaría prácticamente en las manos de la organización que descubre un delito y el tipo de penalización sería más administrativa que de otro tipo (si el delito proviene de fuentes internas).
» Esfuerzos en legislación informática.
En nuestro país debido a factores como el auge del comercio electrónico a nivel mundial, la aprobación de la firma digital en E.U., etc. se esta trabajando en la estructuración de una ley que le brinde un marco legal a las prácticas del comercio electrónico (las transacciones por Internet) en nuestro país. Dicho esfuerzo esta siendo realizado de manera conjunta por el Ministerio de Economía y la Secretaria Técnica de la Presidencia, y se espera que participen en dicha estructuración diferentes asociaciones y gremiales (Cámara de Comercio, DIELCO, ASI, etc.) para que sea realmente funcional y efectiva.

Auditor versus delitos informaticos
Es importante establecer claramente cual es el papel que juega el auditor informático en relación con la detección y minimización de la ocurrencia de delitos informáticos dentro de la organización a que presta sus servicios. Para lograr establecer dicho rol se debe examinar la actuación del auditor frente a la ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de elementos que definen de manera inequívoca el aporte que éste brinda en el manejo de los casos de delitos informáticos.
Rol del Auditor Informático
El rol del auditor informático solamente está basado en la verificación de controles, evaluación del riesgo de fraudes y el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente detectar:
  • Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización.
  • Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades.
Detección de delitos
Puesto que la auditoria es una verificación de que las cosas se estén realizando de la manera planificada, que todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor informático al detectar irregularidades en el transcurso de la auditoria informática que le indiquen la ocurrencia de un delito informático, deberá realizar los siguiente:
  1. Determinar si se considera la situación un delito realmente;
  2. Establecer pruebas claras y precisas;
  3. Determinar los vacíos de la seguridad existentes y que permitieron el delito;
  4. Informar a la autoridad correspondiente dentro de la organización;
  5. Informar a autoridades regulatorias cuando es un requerimiento legal.
Es importante mencionar que el auditor deberá manejar con discreción tal situación y con el mayor profesionalismo posible; evitando su divulgación al público o a empleados que no tienen nada que ver. Puesto que de no manejarse adecuadamente el delito, podría tener efectos negativos en la organización, como los siguientes:
  • Se puede generar una desconfianza de los empleados hacia el sistema;
  • Se pueden generar más delitos al mostrar las debilidades encontradas;
  • Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
  • Se pueden perder empleados clave de la administración, aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo.
Resultados de la auditoria
Si por medio de la auditoria informática realizada se han detectado la ocurrencia de delitos, el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad, para que el grupo de la unidad informática pueda actuar. Dichas acciones, expresadas en forma de recomendación pueden ser como las siguientes:
  • Recomendaciones referentes a la revisión total del proceso involucrado;
  • Inclusión de controles adicionales;
  • Establecimiento de planes de contingencia efectivos;
  • Adquisición de herramientas de control, etc.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
  • Adquisición de herramientas computacionales de alto desempeño;
  • Controles sofisticados;
  • Procedimientos estándares bien establecidos y probados.
  • Revisiones continuas; cuya frecuencia dependerá del grado de importancia para la empresa de las TI; así como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organización minimizan el grado de amenaza que representa los delitos informáticos, es importante tomar en cuenta que aún cuando todos los procesos de auditoría estén debidamente diseñados y se cuente con las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas. Por lo que la verificaciones la información y de la TI juegan un papel importante en la detección de los delitos informáticos.
Perfil del Auditor Informático
El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Para ello a continuación se establecen algunos elementos con que deberá contar:
» Conocimientos generales.
  • Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;
  • Normas estándares para la auditoría interna;
  • Políticas organizacionales sobre la información y las tecnologías de la información.
  • Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.
  • Aspectos legales;
» Herramientas.
  • Herramientas de control y verificación de la seguridad;
  • Herramientas de monitoreo de actividades, etc.
» Técnicas.
  • Técnicas de Evaluación de riesgos;
  • Muestreo;
  • Cálculo pos operación;
  • Monitoreo de actividades;
  • Recopilación de grandes cantidades de información;
  • Verificación de desviaciones en el comportamiento de la data;
  • Análisis e interpretación de la evidencia, etc.
Auditor Externo Versus Auditor Interno
La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de las normas y estándares de auditoría. En este prefacio se indica que aunque el cometido de los auditores externos no exige normalmente la búsqueda específica de fraudes, la auditoría deberá planificarse de forma que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algún tipo de delito deberá presentar un informe detallado sobre la situación y aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo solamente puede emitir opiniones basado en la información recabada y normalmente no estará involucrado directamente en la búsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la dirección de la empresa a la que pertenecen. En la mayoría de ellas, se considera que la detección de delitos informáticos forma parte del cometido de los auditores internos.
Auditorias Eficientes
En la mayoría de las empresas existe la obligación de mantener en todo momento unos registros contables adecuados y el auditor tendrá que informar si no fuera así.
Lo más probable es que el estudio completo de la seguridad y la planificación de emergencia de los sistemas mecanizados se incluyan entre las atribuciones de la mayoría de los departamentos de auditoría interna. Por ello cuando se realice un análisis de seguridad informática y de planificación de emergencia, el auditor:
  • Examinará sistemáticamente todos los riesgos que intervengan y acotarán las pérdidas probables en cada caso.
  • Considerará las maneras de aumentar la seguridad para reducir los riesgos.
  • Recomendará todas las acciones necesarias de protección encaminadas a reducir el riesgo de que se produzca una interrupción, en caso de que se produzca.
  • Cuando corresponda, estudiará la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrán que tener en cuenta las bases de referencia del grupo de auditoria, que considera lo siguiente:
  • A que nivel informan los auditores.
  • El apoyo que la dirección presta a los auditores.
  • El respeto que tenga la unidad informática hacia el grupo de auditoría.
  • La competencia técnica del equipo de auditoría.
  • La eficiencia de la unidad informática, en la que se incluyen más factores de protección y seguridad.
Si, durante el curso de auditoría, los auditores tuvieran razones para pensar que las disposiciones de seguridad de la empresa y los planes de emergencia no son los adecuados, deberán reflejar sus opiniones a la Alta Dirección, a través del informe de auditoria.
Si sospechase de fraude, el auditor deberá avisar a la alta dirección para que se pongan en contacto con su asesor jurídico, o con la policía, sin levantar las sospechas del personal o los clientes que estuviesen involucrados. El auditor deberá asegurar también que los originales de los documentos que pudieran utilizarse como prueba están custodiados y a salvo y que ninguna persona que sea sospechosa de fraude tenga acceso a ellos.
Publicado por en

1 comentario:

Suscribirse a: Enviar comentarios (Atom)