Beruflich Dokumente
Kultur Dokumente
41
Fernando Rincn-Rodrguez
Abogado, Universidad Libre de Colombia, Bogot, Colom-
Aquino, USTA.
* El presente artculo es producto del trabajo de investigacin desarrollado por el grupo de investigacin Seguridad y Delitos Informticos, SEGUDELIN, de la especializacin en Auditora de Sistemas de la Universidad Santo Toms de Aquino,
USTA. El artculo fue preparado de marzo a mayo de 2010.
entorno jurdico.
Palabras claves descriptor Seguridad informtica, delitos por computador, sistemas de informacin.
Palavras-chave autor segurana informtica, crimes informticos, cibercrime, sistemas de informao, ambiente jurdico.
Introduccin
That is the reason why the analysis of the norm, its contri-
43
Objetivo
El objetivo fundamental del trabajo es tener elementos de juicio claros sobre los delitos informticos y su contexto, su evolucin
y tendencias, tanto como de la normatividad
aplicable a este fenmeno delictivo, a la luz de
la Ley 1273 de 2009, para entender, por contraste, la vulnerabilidad de los sistemas de informacin de las organizaciones financieras
y, como consecuencia, sealar algunas formas
de prevencin y tratamiento de los riesgos que
afectan la infraestructura tecnolgica y la integridad, confiabilidad y disponibilidad de la informacin de esas entidades.
primer cuchillo. Tuvo un gran alivio en sus labores diarias, se sinti feliz, porque ya contaba
con una herramienta que le ayudara en sus tareas cotidianas de supervivencia. Pero no falt
quien usara esta herramienta con otras intenciones en contra de sus congneres y terminara cometiendo delitos que, seguramente, en su
momento no se llamaron as, aunque s se entendan como actos en contra de la supervivencia de los dems.
Con los sistemas informticos ha ocurrido algo similar a lo observado en la historia. El
hombre vive cada vez ms interesado y condicionado por la informtica, debido a su vertiginoso desarrollo y a la enorme influencia que ha
alcanzado en muchas de las actividades diarias
de las personas y las organizaciones. Pocas personas, en la actualidad, pueden abstraerse del
contacto directo o indirecto con un sistema
de cmputo, lo cual muestra de distintas maneras el poder y alcance de la tecnologa informtica en las sociedades del mundo.
As como la tecnologa y su desarrollo han
incidido en prcticamente todas las actividades
del ser humano a lo largo de su historia, en la actualidad, la dependencia tecnolgica ha venido
concentrndose cada vez ms en el fenmeno de
la tecnologa informtica, la informacin y la comunicacin. Con efecto retardado, se descubri
luego que ese desarrollo vena acompaado de
distintos y tambin novedosos riesgos.
En 1980, la ArpaNet (Advanced Research
Projects Agency Network) del Departamento
de Defensa de Estados Unidos, creadora de la
internet, document que en su red se emitieron
extraos mensajes que aparecan y desaparecan en forma aleatoria, y que algunos cdigos
45
47
68
216
232
Virus informticos
0
50
100
150
200
250
2. Qu es un delito
informtico?
En el proceso de evolucin de las ciencias,
como parte de la dinmica del cambio natural,
social o tecnolgico, entre muchos otros, cuando se conocen nuevos fenmenos, su interpretacin o su tratamiento generan controversias
que resultan de su confrontacin con los paradigmas vigentes, las formas de pensamiento o
los sistemas reconocidos, para que puedan ser
aceptados dentro del cuerpo de los saberes convencionales, o de las normas o tradiciones colectivas.
Desde las primeras manifestaciones del comportamiento social del hombre, la prescripcin
y aplicacin de las normas definitorias de la
conducta de los asociados estuvo mediada por
los intereses de los ms fuertes o de los ms capaces, segn el reconocimiento colectivo. En
esas condiciones, el hecho de que alguno de
los miembros de la sociedad transgrediera las
normas, prohibiciones o restricciones establecidas, necesariamente conduca a la sancin p-
de buscar una aproximacin que permita relacionar la normatividad jurdica con la realidad
y con las tendencias de la tecnologa y los delitos informticos.
Dentro de la normatividad colombiana, la
Escuela Positiva del Derecho Penal tuvo gran
influencia y uno de sus grandes discpulos fue
Jorge Elicer Gaitn y, recientemente, el inmolado profesor Alfonso Reyes-Echanda. Desde
all se ha entendido el delito como: el comportamiento humano, atpico, antijurdico y
culpable, conminado con una sancin penal. Y
49
para su autor, o que, por el contrario, produce un beneficio ilcito a su autor aun cuando
no perjudique de forma directa o inmediata
a la vctima, y en cuya comisin intervienen
necesariamente de forma activa dispositivos
habitualmente utilizados en las actividades
informticas.2
Otras concepciones sobre delito informtico, complementarias todas, referidas por Surez-Snchez (2009), sealan un foco comn
con elementos distintos en su formalidad, mas
no en su esencia:
tos autores:
vara-Rodrguez, 2007).
51
3. Legislacin penal
colombiana sobre delitos
informticos
La Ley 1273 del 5 de enero de 2009, reconocida en Colombia como la Ley de Delitos Informticos, tuvo sus propios antecedentes jurdicos,
adems de las condiciones de contexto analizadas en el numeral anterior. El primero de ellos
se remite veinte aos atrs, cuando mediante el
Decreto 1360 de 1989 se reglamenta la inscripcin del soporte lgico (software) en el Registro
Nacional de Derecho de Autor, que sirvi como
fundamento normativo para resolver aquellas
reclamaciones por violacin de tales derechos,
propios de los desarrolladores de software. A partir de esa fecha, se comenz a tener asidero jurdico para proteger la produccin intelectual
de estos nuevos creadores de aplicativos y soluciones informticas.
53
269 A
Acceso abusivo
a un sistema
informtico
Aprovechan la vulnerabilidad
en el acceso a los sistemas de
informacin o debilidades en los
procedimientos de seguridad.
Prisin de 48 a
96 meses y multa
de 100 a 1.000
salarios mnimos
vigentes
269 B
Obstaculizacin
ilegtima de sistema
informtico o red de
telecomunicacin
Prisin de 48 a
96 meses y multa
de 100 a 1.000
salarios mnimos
vigentes
Prisin de 36 a 72
meses vigentes
Prisin de 48 a
96 meses y multa
de 100 a 1.000
salarios mnimos
vigentes
Prisin de 48 a
96 meses y multa
de 100 a 1.000
salarios mnimos
vigentes
269 C
Interceptacin
ilcita de datos
informticos
LEY 1273/09
(Proteccin de
la informacin
y de los datos)
Pena
269 D
Daos informticos
269 E
Uso de software
malicioso
269 F
Violacin de datos
personales
269 G
Suplantacin de
sitios web para
capturar datos
personales
Prisin de 48 a
Sin estar facultado sustrae, vende,
96 meses y multa
enva, compra, divulga o emplea
de 100 a 1.000
datos personales almacenados en
salarios mnimos
medios magnticos.
vigentes
Crean una pgina similar a la
de una entidad y enva correos
(spam o engaos), como
ofertas de empleo y personas
inocentemente, suministran
informacin personal y claves
bancarias, y el delincuente
informtico ordena transferencias
de dinero a terceros.
Prisin de 48 a
96 meses y multa
de 100 a 1.000
salarios mnimos
vigentes
Figura 2. Legislacin penal colombiana frente a los delitos informticos (artculo 1 de la Ley 1273 de 2009).
Fuente: Elaboracin de los autores, con base en la Ley 1273 de 2009. Congreso de la Repblica (2009).
Se comete cuando
55
engaosos (por ejemplo, empleos). Al no distinguir la pgina original de la falsa, las personas inocentemente suministran informacin
personal y claves bancarias que el suplantador
almacena en una base de datos y luego ordena
la transferencia del dinero de la vctima a cuentas de terceros quienes prestan sus cuentas o
servicios (testaferros), que luego reclama o distribuye.
La Figura 3 muestra las Circunstancias de
agravacin punitiva, o aquellas situaciones que
por agravantes aumentan la pena del delito (Artculo 269H/Ley 1273 de 2009).
LEY 1273/09
(Proteccin de
la informacin
y de los datos)
269 H
Circunstancias de
agravacin punitiva
8. Si el responsable de la administracin,
manejo o control de dicha informacin, es
quien incurre en estas conductas, adems,
ser inhabilitado hasta por 3 aos para
ocupar cargos relacionados con sistemas de
informacin.
Figura 3. Legislacin penal colombiana frente a los delitos informticos (artculo 1 de la Ley 1273 de 2009).
Fuente: Elaboracin de los autores, con base en la Ley 1273 de 2009. Congreso de la Repblica (2009).
Se comete cuando
269 I
Hurto por medios
informticos y
semejantes
LEY 1273/09
(Proteccin de
la informacin
y de los datos)
57
Manipulan un sistema
informtico, una red de sistema
electrnico, telemtico u otro
medio semejante, o suplantando
a un usuario ante los sistemas de
autenticacin y de autorizacin
establecidos.
Pena
Prisin de 3 a 8
aos
269 J
Transferencia no
consentida de
activos
Figura 4. Legislacin penal colombiana frente a los delitos informticos (artculo 2 de la Ley 1273 de 2009).
Fuente: Elaboracin de los autores, con base en la Ley 1273 de 2009. Congreso de la Repblica (2009).
4. La seguridad informtica en
las entidades financieras
Uno de los sectores econmicos ms amenazados y atacados por los delincuentes informticos en todo el mundo, es el financiero, que
tiene gran impacto, a su vez, en prcticamente
No.
59
Factores
4,0
3,9
4,6
4,3
4,1
3,4
3,3
2
3
3,2
4,0
Promedio general
3,9
3,9
4,6
4,3
4,1
3,4
3,3
3,2
4,0
Planes de
seguridad
Gestin de
riesgos
Seguimiento y
control
Tcnicas de
auditora
Gestin
humana
Derechos
digitales
Inversin en
seguridad
4,0
Polticas y
estrategias
5,0
4,5
4,0
3,0
2,5
2,0
1,5
1,0
0,5
0,0
Conocimiento
de las normas
cuando se indaga sobre realizacin de pruebas de seguridad (ethical hacking, penetracin, vulnerabilidad).
6. En el factor relacionado con las tcnicas y
herramientas de auditora, se busc identificar el empleo de distintas herramientas
relacionadas con los procesos de auditora
y se encontr que, en promedio, el 68% de
los encuestados le presta atencin al empleo de diversos instrumentos, entre los que
se destacan el cifrado de paquetes (88%), el
aprovechamiento de las herramientas especficas de auditora (58%) y la aplicacin del Balanced Scorecard (48%). Sobre este ltimo
instrumento, en diversos estndares como
el CObIT 4.1 (ISACA, 2007, pp. 162-164)
se menciona y recomienda su aplicacin en
los distintos dominios, en especial cuando
se trata del Monitoreo y Evaluacin, por
cuanto permite evaluar el desempeo del
sistema de seguridad informtica con respecto a los objetivos estratgicos de la organizacin y el uso de los recursos, lo mismo
que en la administracin de riesgos y en el
alineamiento del sistema de gobierno de
seguridad de la informacin con los requerimientos impuestos por la estrategia corporativa. De igual manera, ofrece una visin
del grado de desempeo de las TIC, desde
las perspectivas financiera, de los clientes,
de los procesos internos y del aprendizaje y
el crecimiento.
7. La gestin del potencial humano en seguridad de la informacin de las organizaciones
encuestadas, es importante como enfoque
integral slo en el 66% de las entidades. El
nfasis es en los procesos peridicos de ca-
61
Conclusiones
Los acelerados procesos de globalizacin con
sus innumerables y cada vez ms sorprendentes atractivos y posibilidades para la humanidad
entera, impulsados todos por el avance tecno-
algunos gobiernos del mundo4 han venido tomando conciencia de la perspectiva de futuro
y la subyacente amenaza, para actuar mancomunadamente y construir barreras no slo tecnolgicas, sino tambin jurdicas y sociales que
permitan enfrentar con probabilidades de xito
ese gran mapa de riesgos generado por los delitos informticos.
Como consecuencia, se han diseado, divulgado y aplicado no slo modelos, sistemas,
informtica, sino tambin el necesario complemento legal para combatir el delito, adems
de la capacitacin y preparacin especializada
para manejar estos componentes de seguridad,
de manera integrada y cada vez ms generalizada entre la sociedad.
En Colombia, con algunos antecedentes de
carcter jurdico (sobre la base de los derechos
de autor) y alguna normatividad complementaria (Cdigo Penal y circulares de la Superintendencia Financiera), en 2009 se logr expedir la
Ley 1273, con la cual pudo acceder al grupo de
pases que se han preparado con herramientas
ms eficaces para contrarrestar las acciones delictivas del cibercrimen, en sectores claves de la
sociedad como el financiero, cuyas condiciones
de vulnerabilidad son las ms estudiadas e investigadas por los delincuentes informticos.
En el contexto mundial observado, las tenpor las tecnologas de la informacin y la comunicacin han venido aparejadas con las tendencias delictivas, ahora caracterizadas como
ciberdelito entre cuyos gestores y dinamizadores
en el mundo, se encuentra gente preparada, estudiosa, investigativa y con gran poder de mimetizacin en el ciberespacio. Frente a eso, los
pases ms afectados, en general, y Colombia,
en particular, han desarrollado distintos mecanismos tecnolgicos y tambin jurdicos para
3 En particular, las especializadas en productos de la tecnologa informtica (Cisco, por ejemplo), en sistemas de proteccin, seguridad y control informtico (como ISACA) o
en servicios relacionados (Etek).
4 Barack Obama, presidente de Estados Unidos, ha recomendado crear un grupo de coordinacin de ciberseguridad, encargado de la estrategia de proteccin de redes gubernamentales y privadas.
cedimientos que permitan enfrentar tal amenaza y velar por la seguridad de toda la sociedad,
puesto que ella no slo va dirigida a un sector
en particular, sino a todas las actividades del
mundo en las que se muevan recursos financieros.
En una primera observacin general, puede decirse que las condiciones de seguridad del
sistema financiero, visto por los resultados de
las 17 entidades encuestadas, presentan distintas condiciones de riesgo que llevan a concluir
que la confiabilidad no est plenamente demostrada, bien porque no se ha generalizado una
conciencia integral del fenmeno y su negativo
impacto, o porque los riesgos y amenazas, por
el medio en el cual se desarrollan, siguen sin estar identificados en todo su espectro, o porque
ha faltado coherencia en el aparejamiento de
los sistemas de seguridad a los riesgos previstos,
o porque los instrumentos apropiados tambin
permanecen desconocidos, o porque se mantiene la pobre nocin de las herramientas tcnicas, jurdicas y sociales para enfrentarlos, en
fin, entre otras muchas razones, porque las
estrategias diseadas siguen limitadas o son insuficientes para generar cultura de la seguridad
informtica en las instituciones, en las organizaciones y en la sociedad.
Si bien el sector analizado reconoce la importancia de la planificacin de la seguridad
informtica, tal reconocimiento no es suficientemente coherente con las tcnicas, herramientas y procedimientos aplicados y menos
con la preparacin del talento humano para garantizarla, ni con la inversin destinada al efecto.
No basta con planear y nombrar responsables si en el direccionamiento no se incorpora
63
el desarrollo integral del sistema de seguridad que genere una cultura apoyada desde las
propias capacidades y fortalezas internas: las
existentes y las que es necesario preparar y consolidar, junto con el conocimiento, la conciencia clara y el aprovechamiento efectivo del
apoyo existente en las fuerzas externas del Estado, de la Ley y de la sociedad misma, adems de
las entidades que internacionalmente trabajan
el tema.
ste es un reto colectivo. No es solamente
para las organizaciones o las personas que estn
en la mira permanente de los ciberdelincuentes. Es un desafo para la sociedad y el Estado,
para los jueces y los administradores de justicia,
que deben estar preparados no slo en el conocimiento de la Ley y la jurisprudencia, sino en
el apropiado conocimiento del contexto tecnolgico, informtico y de sus proyecciones delictivas.
No obstante las observaciones corresponden a una muestra de un sector especfico, por
las condiciones de ese sector y su impacto en
toda la sociedad, no es exagerado destacar que
el reto del cibercrimen, ante las condiciones
para enfrentarlo (vistas en el sector tal vez ms
significativo para observarlo), implican un reto
a las propias condiciones de supervivencia y desarrollo de las personas, las organizaciones y las
instituciones del pas y del mundo. No se puede
subestimar su poder, complejidad y alcance que
puede llegar no slo a los recursos, propiedades
y derechos, sino de las posibilidades de vida. No
basta con formar grupos de defensa o ataque al
cibercrimen, si no se construye la conciencia
organizacional y ciudadana de la seguridad informtica, como parte integral de la cultura de
Referencias
www.secretariasenado.gov.co/senado/basedoc/ley/1993/ley_0044_1993.html.
Colombia, Congreso de la Repblica (2000).
Ley 599 de 2000, por la cual se expide el
Cdigo Penal. Diario Oficial No. 44.097, 24
icbf.gov.co/transparencia/derechobienestar/
ley/2009/ley_1336_2009.html.
Colombia, Polica Nacional, Direccin de Investigacin Criminal, DIJIN. http://www.
dijin.gov.co.
Colombia, Presidencia de la Repblica (1989).
Decreto 1360 de 1989, por el cual se reglamenta la inscripcin del soporte lgico (software) en el Registro Nacional del
Derecho de Autor. 23 de junio de 1989.
Disponible en: http://www.convenioantipirateria.org.co/index.php?option=com_
65
content&view=article&id=98:decre
to-1360-de-1989&catid=45:decretos-
reglamentarios&Itemid=109.
014-de-17-04-2008/, http://www.super-
financiera.gov.co/NormativaFinanciera/
Paginas/bolfinanciera2008_04.htm.
Tllez-Valds, Julio (2007). Derecho informtico.
3a ed. Mxico: McGraw Hill.
Torres-Torres, Henry William (2002). Derecho
informtico. Medelln: Ediciones Jurdicas.
Infografa
gocios/telecomunicaciones/colombia-tiene-
mejorar-seguridad-informatica_50693.aspx.
catalogue/catalogue_tc/catalogue_detail.
htm?csnumber=39612.
Laudon, Kenneth C. & Guercio-Traver, Carol
(2009). E-commerce. Mxico: Pearson Prentice Hall.
www.eltiempo.com/tecnologia/enter/
actualidad_a/home/colombia-debil-en-seguridad-informatica_4393234.
PricewaterhouseCoopers, The global state of information security. http://www.pwc.com/be/