1.

Introduccin
2. Objetivos
3. Alcances y Limitaciones
4. Conceptualizacin y generalidades
5. Algunas consideraciones
6. Caractersticas de los delitos
7. Sistemas y empresas con mayor riesgo
8. Delitos en perspectiva
9. Tipificacin de los delitos informticos
10. Conductas dirigidas a causar daos lgicos
11. Fraude a travs de computadoras
12. Ejemplos
13. Copia ilegal de software y espionaje informtico
14. Uso ilegtimo de sistemas informticos ajenos
15. Delitos informticos contra la privacidad
16. Clasificacin segn Actividades Delictivas Graves
17. Infracciones que no Constituyen Delitos Informticos
18. Estadsticas Sobre Delitos Informticos
19. Accesos no autorizados
20. Conclusin sobre el estudio csi
21. Otras estadsticas
22. Impacto de los delitos informticos - Impacto a Nivel

General

23. Impacto a Nivel Social

24. Impacto en la Esfera Judicial
25. Destruccin u ocultacin de pruebas
26. Impacto en la Identificacin de Delitos a Nivel Mundial
27. Casos de Impacto de los Delitos Informticos
28. Seguridad contra los delitos informticos
29. Medidas de seguridad de la red
30. Firewalls
31. Firma digital
32. Poltica de seguridad
33. Por qu se necesita una poltica de seguridad?
34. Legislacin sobre delitos informticos. Panorama general
35. Anlisis legislativo
36. Legislacin - Contexto Internacional
37. Legislacin - Contexto Nacional
38. La proteccin de la propiedad intelectual
39. La sustraccin de informacin clasificada
40. Auditor versus delitos informaticos
41. Deteccin de delitos
42. Resultados de la auditoria
43. Perfil del Auditor Informtico
44. Auditor Externo Versus Auditor Interno
45. Auditorias Eficientes
46. Conclusiones

CAPITULO 1: Introduccin.
A nadie escapa la enorme influencia que ha alcanzado la informtica en la vida diaria de las personas y
organizaciones, y la importancia que tiene su progreso para el desarrollo de un pas. Las transacciones
comerciales, la comunicacin, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son
todos aspectos que dependen cada da ms de un adecuado desarrollo de la tecnologa informtica.
Junto al avance de la tecnologa informtica y su influencia en casi todas las reas de la vida social, ha
surgido una serie de comportamientos ilcitos denominados, de manera genrica, delitos informticos.
Debido a lo anterior se desarrolla el presente documento que contiene una investigacin sobre la temtica de
los delitos informticos, de manera que al final pueda establecerse una relacin con la auditora informtica.
Para lograr una investigacin completa de la temtica se establece la conceptualizacin respectiva del tema,
generalidades asociadas al fenmeno, estadsticas mundiales sobre delitos informticos, el efecto de stos en
diferentes reas, como poder minimizar la amenaza de los delitos a travs de la seguridad, aspectos de
legislacin informtica, y por ltimo se busca unificar la investigacin realizada para poder establecer el
papel de la auditora informtica frente a los delitos informticos.
Al final del documento se establecen las conclusiones pertinentes al estudio, en las que se busca destacar
situaciones relevantes, comentarios, anlisis, etc.

Captulo 2: Objetivos
General
Realizar una investigacin profunda acerca del fenmeno de los Delitos Informticos, analizando el impacto
de stos en la funcin de Auditoria Informtica en cualquier tipo de organizacin.
Especficos.
- Conceptualizar la naturaleza de los Delitos Informticos
- Estudiar las caractersticas de este tipo de Delitos
- Tipificar los Delitos de acuerdo a sus caractersticas principales
- Investigar el impacto de stos actos en la vida social y tecnolgica de la sociedad
- Analizar las consideraciones oportunas en el tratamiento de los Delitos Informticos
- Mencionar las empresas que operan con mayor riesgo de ser vctimas de sta clase de actos
- Analizar la Legislatura que enmarca a sta clase de Delitos, desde un contexto Nacional e Internacional.
- Definir el rol del auditor ante los Delitos Informticos
- Presentar los indicadores estadsticos referentes a stos actos delictivos

Captulo 3: Alcances y Limitaciones

Alcances
Esta investigacin slo tomar en cuenta el estudio y anlisis de la informacin referente al problema del
Delito Informtico, tomando en consideracin aquellos elementos que aporten criterios con los cuales se
puedan realizar juicios valorativos respecto al papel que juega la Auditoria Informtica ante ste tipo de
hechos.
Limitaciones
La principal limitante para realizar sta investigacin es la dbil infraestructura legal que posee nuestro pas
con respecto a la identificacin y ataque a ste tipo de Delitos, no obstante se poseen los criterios suficientes
sobre la base de la experiencia de otras naciones para el adecuado anlisis e interpretacin de ste tipo de
actos delictivos.

Captulo 4: Conceptualizacin y generalidades.

Conceptualizacin
Fraude puede ser definido como engao, accin contraria a la verdad o a la rectitud. La definicin de Delito
puede ser ms compleja.
Muchos estudiosos del Derecho Penal han intentado formular una nocin de delito que sirviese para todos
los tiempos y en todos los pases. Esto no ha sido posible dada la ntima conexin que existe entre la vida
social y la jurdica de cada pueblo y cada siglo, aquella condiciona a sta. Segn el ilustre penalista
CUELLO CALON, los elementos integrantes del delito son:

- El delito es un acto humano, es una accin (accin u omisin)

- Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un inters jurdicamente
protegido.
- Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto tpico.
- El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una accin es imputable
cuando puede ponerse a cargo de una determinada persona
- La ejecucin u omisin del acto debe estar sancionada por una pena.
Por tanto, un delito es: una accin antijurdica realizada por un ser humano, tipificado, culpable y sancionado
por una pena.
Se podra definir el delito informtico como toda accin (accin u omisin) culpable realizada por un ser
humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el
contrario, produzca un beneficio ilcito a su autor aunque no perjudique de forma directa o indirecta a la
vctima, tipificado por La Ley, que se realiza en el entorno informtico y est sancionado con una pena.
De esta manera, el autor mexicano Julio Tellez Valdez seala que los delitos informticos son actitudes
ilcitas en que se tienen a las computadoras como instrumento o fin (concepto atpico) o las conductas
tpicas, antijurdicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto
tpico). Por su parte, el tratadista penal italiano Carlos Sarzana, sostiene que los delitos informticos son
cualquier comportamiento criminal en que la computadora est involucrada como material, objeto o mero
smbolo.

Captulo 5: Algunas consideraciones

En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes
actividades humanas, sino como medio eficaz para obtener y conseguir informacin, lo que las ubica
tambin como un nuevo medio de comunicacin, y condiciona su desarrollo de la informtica; tecnologa
cuya esencia se resume en la creacin, procesamiento, almacenamiento y transmisin de datos.
La informtica esta hoy presente en casi todos los campos de la vida moderna. Con mayor o menor rapidez
todas las ramas del saber humano se rinden ante los progresos tecnolgicos, y comienzan a utilizar los
sistemas de Informacin para ejecutar tareas que en otros tiempos realizaban manualmente.
El progreso cada da ms importante y sostenido de los sistemas computacionales permite hoy procesar y
poner a disposicin de la sociedad una cantidad creciente de informacin de toda naturaleza, al alcance
concreto de millones de interesados y de usuarios. Las ms diversas esferas del conocimiento humano, en lo
cientfico, en lo tcnico, en lo profesional y en lo personal estn siendo incorporadas a sistemas informticos
que, en la prctica cotidiana, de hecho sin limitaciones, entrega con facilidad a quien lo desee un conjunto de
datos que hasta hace unos aos slo podan ubicarse luego de largas bsquedas y selecciones en que el
hombre jugaba un papel determinante y las mquinas existentes tenan el rango de equipos auxiliares para
imprimir los resultados. En la actualidad, en cambio, ese enorme caudal de conocimiento puede obtenerse,
adems, en segundos o minutos, transmitirse incluso documentalmente y llegar al receptor mediante sistemas
sencillos de operar, confiables y capaces de responder casi toda la gama de interrogantes que se planteen a
los archivos informticos.
Puede sostenerse que hoy las perspectivas de la informtica no tienen lmites previsibles y que aumentan en
forma que an puede impresionar a muchos actores del proceso.
Este es el panorama de este nuevo fenmeno cientfico tecnolgico en las sociedades modernas. Por ello ha
llegado a sostenerse que la Informtica es hoy una forma de Poder Social. Las facultades que el fenmeno
pone a disposicin de Gobiernos y de particulares, con rapidez y ahorro consiguiente de tiempo y energa,
configuran un cuadro de realidades de aplicacin y de posibilidades de juegos lcito e ilcito, en donde es
necesario el derecho para regular los mltiples efectos de una situacin, nueva y de tantas potencialidades en
el medio social.
Los progresos mundiales de las computadoras, el creciente aumento de las capacidades de almacenamiento y
procesamiento, la miniaturizacin de los chips de las computadoras instalados en productos industriales, la
fusin del proceso de la informacin con las nuevas tecnologas de comunicacin, as como la investigacin
en el campo de la inteligencia artificial, ejemplifican el desarrollo actual definido a menudo como la era de
la informacin.
Esta marcha de las aplicaciones de la informtica no slo tiene un lado ventajoso sino que plantea tambin

problemas de significativa importancia para el funcionamiento y la se guridad de los sistemas informticos

en los negocios, la administracin, la defensa y la sociedad.
Debido a esta vinculacin, el aumento del nivel de los delitos relacionados con los sistemas informticos
registrados en la ltima dcada en los Estados Unidos, Europa Occidental, Australia y Japn, representa una
amenaza para la economa de un pas y tambin para la sociedad en su conjunto.
De acuerdo con la definicin elaborada por un grupo de expertos, invitados por la OCDE a Pars en mayo de
1983, el trmino delitos relacionados con las computadoras se define como cualquier comportamiento
antijurdico, no tico o no autorizado, relacionado con el procesado automtico de datos y/o transmisiones de
datos. La amplitud de este concepto es ventajosa, puesto que permite el uso de las mismas hiptesis de
trabajo para toda clase de estudios penales, criminlogos, econmicos, preventivos o legales.
En la actualidad la informatizacin se ha implantado en casi todos los pases. Tanto en la organizacin y
administracin de empresas y administraciones pblicas como en la investigacin cientfica, en la
produccin industrial o en el estudio e incluso en el ocio, el uso de la informtica es en ocasiones
indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta comienzan
a surgir algunas facetas negativas, como por ejemplo, lo que ya se conoce como criminalidad informtica.
El espectacular desarrollo de la tecnologa informtica ha abierto las puertas a nuevas posibilidades de
delincuencia antes impensables. La manipulacin fraudulenta de los ordenadores con nimo de lucro, la
destruccin de programas o datos y el acceso y la utilizacin indebida de la informacin que puede afectar la
esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrnico de
datos mediante los cuales es posible obtener grandes beneficios econmicos o causar importantes daos
materiales o morales. Pero no slo la cuanta de los perjuicios as ocasionados es a menudo infinitamente
superior a la que es usual en la delincuencia tradicional, sino que tambin son mucho ms elevadas las
posibilidades de que no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas
veces de borrar toda huella de los hechos.
En este sentido, la informtica puede ser el objeto del ataque o el medio para cometer otros delitos. La
informtica rene unas caractersticas que la convierten en un medio idneo para la comisin de muy
distintas modalidades delictivas, en especial de carcter patrimonial (estafas, apropiaciones indebidas, etc.).
La idoneidad proviene, bsicamente, de la gran cantidad de datos que se acumulan, con la consiguiente
facilidad de acceso a ellos y la relativamente fcil manipulacin de esos datos.
La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto
pblicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme, que va
mucho ms all del valor material de los objetos destruidos. A ello se une que estos ataques son
relativamente fciles de realizar, con resultados altamente satisfactorios y al mismo tiempo procuran a los
autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.

Captulo 6: Caractersticas de los delitos

Segn el mexicano Julio Tellez Valdez, los delitos informticos presentan las siguientes caractersticas
principales:
- Son conductas criminales de cuello blanco (white collar crime), en tanto que slo un determinado nmero
de personas con ciertos conocimientos (en este caso tcnicos) puede llegar a cometerlas.
- Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando.
- Son acciones de oportunidad, ya que se aprovecha una ocasin creada o altamente intensificada en el
mundo de funciones y organizaciones del sistema tecnolgico y econmico.
- Provocan serias prdidas econmicas, ya que casi siempre producen beneficios de ms de cinco cifras a
aquellos que las realizan.
- Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundo y sin una necesaria presencia
fsica pueden llegar a consumarse.
- Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulacin por parte del
Derecho.
- Son muy sofisticados y relativamente frecuentes en el mbito militar.
- Presentan grandes dificultades para su comprobacin, esto por su mismo carcter tcnico.

- Tienden a proliferar cada vez ms, por lo que requieren una urgente regulacin. Por el momento siguen
siendo ilcitos impunes de manera manifiesta ante la ley.

Captulo 7: Sistemas y empresas con mayor riesgo

Evidentemente el artculo que resulta ms atractivo robar es el dinero o algo de valor. Por lo tanto, los
sistemas que pueden estar ms expuestos a fraude son los que tratan pagos, como los de nmina, ventas, o
compras. En ellos es donde es ms fcil convertir transacciones fraudulentas en dinero y sacarlo de la
empresa.
Por razones similares, las empresas constructoras, bancos y compaas de seguros, estn ms expuestas a
fraudes que las dems.
Los sistemas mecanizados son susceptibles de prdidas o fraudes debido a que:
- Tratan grandes volmenes de datos e interviene poco personal, lo que impide verificar todas las partidas.
- Se sobrecargan los registros magnticos, perdindose la evidencia auditable o la secuencia de
acontecimientos.
- A veces los registros magnticos son transitorios y a menos que se realicen pruebas dentro de un perodo de
tiempo corto, podran perderse los detalles de lo que sucedi, quedando slo los efectos.
- Los sistemas son impersonales, aparecen en un formato ilegible y estn controlados parcialmente por
personas cuya principal preocupacin son los aspectos tcnicos del equipo y del sistema y que no
comprenden, o no les afecta, el significado de los datos que manipulan.
- En el diseo de un sistema importante es difcil asegurar que se han previsto todas las situaciones posibles
y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir. Los siste mas tienden a
ser algo rgidos y no siempre se disean o modifican al ritmo con que se producen los acontecimientos; esto
puede llegar a ser otra fuente de agujeros.
- Slo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el centro de
clculo puede llegar a ser un centro de informacin. Al mismo tiempo, el centro de clculo procesar muchos
aspectos similares de las transacciones.
- En el centro de clculo hay un personal muy inteligente, que trabaja por iniciativa propia la mayora del
tiempo y podra resultar difcil implantar unos niveles normales de control y supervisin.
- El error y el fraude son difciles de equiparar. A menudo, los errores no son iguales al fraude. Cuando
surgen discrepancias, no se imagina que se ha producido un fraude, y la investigacin puede abandonarse
antes de llegar a esa conclusin. Se tiende a empezar buscando errores de programacin y del sistema. Si
falla esta operacin, se buscan fallos tcnicos y operativos. Slo cuando todas estas averiguaciones han dado
resultados negativos, acaba pensndose en que la causa podra ser un fraude.

Captulo 8: Delitos en perspectiva

Los delitos pueden ser examinado desde dos puntos de vista diferentes:
- Los delitos que causan mayor impacto a las organizaciones.
- Los delitos ms difciles de detectar.
Aunque depende en gran medida del tipo de organizacin, se puede mencionar que los Fraudes y sabotajes
son los delitos de mayor incidencia en las organizaciones. Adems, aquellos que no estn claramente
definidos y publicados dentro de la organizacin como un delito (piratera, mala utilizacin de la
informacin, omisin deliberada de controles, uso no autorizado de activos y/o servicios computacionales; y
que en algn momento pueden generar un impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los delitos de difcil deteccin, se deben situar a aquellos
producidos por las personas que trabajan internamente en una organizacin y que conocen perfectamente la
configuracin interna de las plataformas; especialmente cuando existe una cooperacin entre empleados,
cooperacin entre empleados y terceros, o incluso el involucramiento de la administracin misma.

Captulo 9: Tipificacin de los delitos informticos

Clasificacin Segn la Actividad Informtica
Sabotaje informtico
El trmino sabotaje informtico comprende todas aquellas conductas dirigidas a causar daos en el hardware
o en el software de un sistema. Los mtodos utilizados para causar destrozos en los sistemas informticos
son de ndole muy variada y han ido evolucionando hacia tcnicas cada vez ms sofisticadas y de difcil
deteccin. Bsicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a

causar destrozos fsicos y, por el otro, los mtodos dirigidos a causar daos lgicos.
Conductas dirigidas a causar daos fsicos
El primer grupo comprende todo tipo de conductas destinadas a la destruccin fsica del hardware y el
software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de
la computadora para producir cortocircuitos, echar caf o agentes custicos en los equipos, etc. En general,
estas conductas pueden ser analizadas, desde el punto de vista jurdico, en forma similar a los
comportamientos anlogos de destruccin fsica de otra clase de objetos previstos tpicamente en el delito de
dao.

Captulo 10: Conductas dirigidas a causar daos lgicos

El segundo grupo, ms especficamente relacionado con la tcnica informtica, se refiere a las conductas que
causan destrozos lgicos, o sea, todas aquellas conductas que producen, como resultado, la destruccin,
ocultacin, o alteracin de datos contenidos en un sistema informtico.
Este tipo de dao a un sistema se puede alcanzar de diversas formas. Desde la ms simple que podemos
imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando con l o el borrado de
documentos o datos de un archivo, hasta la utilizacin de los ms complejos programas lgicos destructivos
(crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de
datos en un tiempo mnimo.
Estos programas destructivos, utilizan distintas tcnicas de sabotaje, muchas veces, en forma combinada. Sin
pretender realizar una clasificacin rigurosa de estos mtodos de destruccin lgica, podemos distinguir:
Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un
plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora
determinada), o por la aparicin de determinada seal (que puede aparecer o puede no aparecer), como la
presencia de un dato, de un cdigo, o cualquier mandato que, de acuerdo a lo determinado por el
programador, es identificado por el programa como la seal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado program el sistema de tal
forma que los ficheros de la empresa se destruiran automticamente si su nombre era borrado de la lista de
empleados de la empresa.
Otra modalidad que acta sobre los programas de aplicacin es el llamado cncer de rutinas (cancer
routine). En esta tcnica los programas destructivos tienen la particularidad de que se reproducen, por s
mismos, en otros programas, arbitrariamente escogidos.
Una variante perfeccionada de la anterior modalidad es el virus informtico que es un programa capaz de
multiplicarse por s mismo y contaminar los otros programas que se hallan en el mismo disco rgido donde
fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a travs
de una conexin.

Captulo 11: Fraude a travs de computadoras

Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin de
datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias
indebidas.
Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la forma de trabajo de un
sistema informtico: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir
datos falsos, en un ordenador. Esta forma de realizacin se conoce como manipulacin del input.
Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana:
Una empleada de un banco del sur de Alemania transfiri, en febrero de 1983, un milln trescientos mil
marcos alemanes a la cuenta de una amiga -cmplice en la maniobra- mediante el simple mecanismo de
imputar el crdito en una terminal de computadora del banco. La operacin fue realizada a primera hora de
la maana y su falsedad podra haber sido detectada por el sistema de seguridad del banco al medioda. Sin
embargo, la rpida transmisin del crdito a travs de sistemas informticos conectados en lnea (on line),
hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un milln doscientos ochenta
mil marcos unos minutos despus de realizada la operacin informtica.
En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el programa

o secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los
programas originales, como al adicionar al sistema programas especiales que introduce el autor.
A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin
conocimientos especiales de informtica, esta modalidad es ms especficamente informtica y requiere
conocimientos tcnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana:
El autor, empleado de una importante empresa, ingres al sistema informtico un programa que le permiti
incluir en los archivos de pagos de salarios de la compaa a personas ficticias e imputar los pagos
correspondientes a sus sueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de seguridad del banco (listas de
control, sumarios de cuentas, etc.) que eran revisados y evaluados peridicamente por la compaa. Por este
motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los
empleados ficticios y los pagos realizados, no aparecieran en los listados de control.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulacin del output.
Una caracterstica general de este tipo de fraudes, interesante para el anlisis jurdico, es que, en la mayora
de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que,
una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir,
cuantas veces quiera, la comisin del hecho. Incluso, en los casos de manipulacin del programa, la
reiteracin puede ser automtica, realizada por el mismo sistema sin ninguna participacin del autor y cada
vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones
en el programa, el autor podra irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema
seguira imputando el pago de sueldos a los empleados ficticios en su cuenta personal. Una problemtica
especial plantea la posibilidad de realizar estas conductas a travs de los sistemas de teleproceso. Si el
sistema informtico est conectado a una red de comunicacin entre ordenadores, a travs de las lneas
telefnicas o de cualquiera de los medios de comunicacin remota de amplio desarrollo en los ltimos aos,
el autor podra realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el
sistema, incluso desde su propia casa y con una computadora personal. An ms, los sistemas de
comunicacin internacional, permiten que una conducta de este tipo sea realizada en un pas y tenga efectos
en otro.
Respecto a los objetos sobre los que recae la accin del fraude informtico, estos son, generalmente, los
datos informticos relativos a activos o valores. En la mayora de los casos estos datos representan valores
intangibles (ej.: depsitos monetarios, crditos, etc.), en otros casos, los datos que son objeto del fraude,
representan objetos corporales (mercadera, dinero en efectivo, etc.) que obtiene el autor mediante la
manipulacin del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las
prdidas para la vctima son, generalmente, menores ya que estn limitadas por la cantidad de objetos
disponibles. En cambio, en la manipulacin de datos referida a bienes intangibles, el monto del perjuicio no
se limita a la cantidad existente sino que, por el contrario, puede ser creado por el autor.

Captulo 12: Ejemplos

El autor, empleado del Citibank, tena acceso a las terminales de computacin de la institucin bancaria.
Aprovechando esta circunstancia utiliz, en varias oportunidades, las terminales de los cajeros, cuando ellos
se retiraban, para transferir, a travs del sistema informtico, fondos de distintas cuentas a su cuenta
personal.
Posteriormente, retir el dinero en otra de las sucursales del banco.
En primera instancia el Juez calific los hechos como constitutivos del delito de hurto en forma reiterada. La
Fiscala de Cmara solicit el cambio de calificacin, considerando que los hechos constituan el delito de
estafa.
La Cmara del crimen resolvi:
... y contestando a la teora fiscal, entiendo que le asiste razn al Dr. Galli en cuanto sostiene que estamos
en presencia del tipo penal de hurto y no de estafa. Ello es as porque el apoderamiento lo hace el procesado
y no le entrega el banco por medio de un error, requisito indispensable para poder hablar de estafa. El
apoderamiento lo hace el procesado directamente, manejando el sistema de computacin. De manera que no

hay diferencia con la maniobra normal del cajero, que en un descuido se apodera del dinero que maneja en
caja y la maniobra en estudio en donde el apoderamiento del dinero se hace mediante el manejo de la
computadora...
Como el lector advertir, la resolucin adolece de los problemas de adecuacin tpica a que hacamos
referencias ms arriba.
En realidad, el cajero no realiz la conducta de apoderamiento que exige el tipo penal del hurto ya que
recibi el dinero de manos del cajero. En el caso de que se considere que el apoderamiento se produjo en el
momento en el que el autor transfiri los fondos a su cuenta, el escollo de adecuacin tpica insalvable deriva
de la falta de la cosa mueble como objeto del apoderamiento exigido por el tipo penal.
Estafas electrnicas: La proliferacin de las compras telemticas permite que aumenten tambin los casos de
estafa. Se tratara en este caso de una dinmica comisiva que cumplira todos los requisitos del delito de
estafa, ya que adems del engao y el animus defraudandi existira un engao a la persona que compra.
No obstante seguira existiendo una laguna legal en aquellos pases cuya legislacin no prevea los casos en
los que la operacin se hace engaando al ordenador.
Pesca u olfateo de claves secretas: Los delincuentes suelen engaar a los usuarios nuevos e incautos de
la Internet para que revelen sus claves personales hacindose pasar por agentes de la ley o empleados del
proveedor del servicio. Los sabuesos utilizan programas para identificar claves de usuarios, que ms tarde
se pueden usar para esconder su verdadera identidad y cometer otras fechoras, desde el uso no autorizado de
sistemas de computadoras hasta delitos financieros, vandalismo o actos de terrorismo.
Estratagemas: Los estafadores utilizan diversas tcnicas para ocultar computadoras que se parecen
electrnicamente a otras para lograr acceso a algn sistema generalmente restringido y cometer delitos. El
famoso pirata Kevin Mitnick se vali de estratagemas en 1996 para introducirse en la computadora de la
casa de Tsutomo Shimamura, experto en seguridad, y distribuir en la Internet valiosos tiles secretos de
seguridad.
Juegos de azar: El juego electrnico de azar se ha incrementado a medida que el comercio brinda facilidades
de crdito y transferencia de fondos en la Red. Los problemas ocurren en pases donde ese juego es un delito
o las autoridades nacionales exigen licencias. Adems, no se puede garantizar un juego limpio, dadas las
inconveniencias tcnicas y jurisdiccionales que entraa su supervisin.
Fraude: Ya se han hecho ofertas fraudulentas al consumidor tales como la cotizacin de acciones, bonos y
valores o la venta de equipos de computadora en regiones donde existe el comercio electrnico.
Blanqueo de dinero: Se espera que el comercio electrnico sea el nuevo lugar de transferencia electrnica de
mercancas o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones.

Captulo 13: Copia ilegal de software y espionaje informtico

Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un sistema de informacin. Es
comn el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el
objeto del apodera miento es el mismo programa de computacin (software) que suele tener un importante
valor econmico.
Infraccin de los derechos de autor: La interpretacin de los conceptos de copia, distribucin, cesin y
comunicacin pblica de los programas de ordenador utilizando la red provoca diferencias de criterio a nivel
jurisprudencial.
Infraccin del Copyright de bases de datos: No existe una proteccin uniforme de las bases de datos en
los pases que tienen acceso a Internet. El sistema de proteccin ms habitual es el contractual: el propietario
del sistema permite que los usuarios hagan downloads de los ficheros contenidos en el sistema, pero
prohibe el replicado de la base de datos o la copia masiva de informacin.

Captulo 14: Uso ilegtimo de sistemas informticos ajenos

Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un sistema
informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los sistemas de
procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades
complementarias a su trabajo. En estos supuestos, slo se produce un perjuicio econmico importante para
las empresas en los casos de abuso en el mbito del teleproceso o en los casos en que las empresas deben

pagar alquiler por el tiempo de uso del sistema.

Acceso no autorizado: La corriente reguladora sostiene que el uso ilegtimo de passwords y la entrada en un
sistema informtico sin la autorizacin del propietario debe quedar tipificado como un delito, puesto que el
bien jurdico que acostumbra a protegerse con la contrasea es lo suficientemente importante para que el
dao producido sea grave.

Captulo 15: Delitos informticos contra la privacidad

Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la
acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas informticos.
Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de
tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o
soportes informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o registro pblico o
privado.
Existen circunstancias agravantes de la divulgacin de ficheros, los cuales se dan en funcin de:
- El carcter de los datos: ideologa, religin, creencias, salud, origen racial y vida sexual.
- Las circunstancias de la vctima: menor de edad o incapaz.
Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos de
escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra seal de
comunicacin, se piensa que entre lo anterior se encuentra el pinchado de redes informticas.
Interceptacin de e-mail: En este caso se propone una ampliacin de los preceptos que castigan la violacin
de correspondencia, y la interceptacin de telecomunicaciones, de forma que la lectura de un mensaje
electrnico ajeno revista la misma gravedad.
Pornografa infantil
La distribucin de pornografa infantil por todo el mundo a travs de la Internet est en aumento. Durante los
pasados cinco aos, el nmero de condenas por transmisin o posesin de pornografa infantil ha aumentado
de 100 a 400 al ao en un pas norteamericano. El problema se agrava al aparecer nuevas tecnologas, como
la criptografa, que sirve para esconder pornografa y dems material ofensivo que se transmita o archive.
Clasificacin Segn el Instrumento, Medio o Fin u Objetivo
Asimismo, Tellez Valdez clasifica a estos delitos, de acuerdo a dos criterios:
Como instrumento o medio.
En esta categora se encuentran las conductas criminales que se valen de las computadoras como mtodo,
medio o smbolo en la comisin del ilcito, por ejemplo:
- Falsificacin de documentos va computarizada (tarjetas de crdito, cheques, etc.)
- Variacin de los activos y pasivos en la situacin contable de las empresas.
- Planeamiento y simulacin de delitos convencionales (robo, homicidio, fraude, etc.)
- Lectura, sustraccin o copiado de informacin confidencial.
- Modificacin de datos tanto en la entrada como en la salida.
- Aprovechamiento indebido o violacin de un cdigo para penetrar a un sistema introduciendo instrucciones
inapropiadas.
- Variacin en cuanto al destino de pequeas cantidades de dinero hacia una cuenta bancaria apcrifa.
- Uso no autorizado de programas de computo.
- Introduccin de instrucciones que provocan interrupciones en la lgica interna de los programas.
- Alteracin en el funcionamiento de los sistemas, a travs de los virus informticos.
- Obtencin de informacin residual impresa en papel luego de la ejecucin de trabajos.
- Acceso a reas informatizadas en forma no autorizada.
- Intervencin en las lneas de comunicacin de datos o teleproceso.
Como fin u objetivo.
En esta categora, se enmarcan las conductas criminales que van dirigidas contra las computadoras,
accesorios o programas como entidad fsica, como por ejemplo:
- Programacin de instrucciones que producen un bloqueo total al sistema.
- Destruccin de programas por cualquier mtodo.
- Dao a la memoria.

- Atentado fsico contra la mquina o sus accesorios.

- Sabotaje poltico o terrorismo en que se destruya o surja un apoderamiento de los centros neurlgicos
computarizados.
- Secuestro de soportes magnticos entre los que figure informacin valiosa con fines de chantaje (pago de
rescate, etc.).

Captulo 16: Clasificacin segn Actividades Delictivas Graves

Por otro lado, la red Internet permite dar soporte para la comisin de otro tipo de delitos:
Terrorismo: Mensajes annimos aprovechados por grupos terroristas para remitirse consignas y planes de
actuacin a nivel internacional.
La existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en annimo ha podido
ser aprovechado por grupos terroristas para remitirse consignas y planes de actuacin a nivel internacional.
De hecho, se han detectado mensajes con instrucciones para la fabricacin de material explosivo.
Narcotrfico: Transmisin de frmulas para la fabricacin de estupefacientes, para el blanqueo de dinero y
para la coordinacin de entregas y recogidas.
Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la necesidad de medidas que
permitan interceptar y descifrar los mensajes encriptados que utilizan los narcotraficantes para ponerse en
contacto con los crteles.
Espionaje: Se ha dado casos de acceso no autorizado a sistemas informticos gubernamentales e
interceptacin de correo electrnico del servicio secreto de los Estados Unidos, entre otros actos que podran
ser calificados de espionaje si el destinatario final de esa informacin fuese un gobierno u organizacin
extranjera. Entre los casos ms famosos podemos citar el acceso al sistema informtico del Pentgono y la
divulgacin a travs de Internet de los mensajes remitidos por el servicio secreto norteamericano durante la
crisis nuclear en Corea del Norte en 1994, respecto a campos de pruebas de misiles. Aunque no parece que
en este caso haya existido en realidad un acto de espionaje, se ha evidenciado una vez ms la vulnerabilidad
de los sistemas de seguridad gubernamentales.
Espionaje industrial: Tambin se han dado casos de accesos no autorizados a sistemas informticos de
grandes compaas, usurpando diseos industriales, frmulas, sistemas de fabricacin y know how
estratgico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una
divulgacin no autorizada.
Otros delitos: Las mismas ventajas que encuentran en la Internet los narcotraficantes pueden ser
aprovechadas para la planificacin de otros delitos como el trfico de armas, proselitismo de sectas,
propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al
ciberespacio o al revs.

Captulo 17: Infracciones que no Constituyen Delitos Informticos

Usos comerciales no ticos: Algunas empresas no han podido escapar a la tentacin de aprovechar la red
para hacer una oferta a gran escala de sus productos, llevando a cabo mailings electrnicos al colectivo de
usuarios de un gateway, un nodo o un territorio determinado. Ello, aunque no constituye una infraccin, es
mal recibido por los usuarios de Internet, poco acostumbrados, hasta fechas recientes, a un uso comercial de
la red.
Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de discusin o foros de debate
online, se dedican a obstaculizar las comunicaciones ajenas, interrumpiendo conversaciones de forma
repetida, enviando mensajes con insultos personales, etc.
Tambin se deben tomar en cuenta las obscenidades que se realizan a travs de la Internet.

Captulo 18: Estadsticas Sobre Delitos Informticos

Desde hace cinco aos, en los Estados Unidos existe una institucin que realiza un estudio anual sobre la
Seguridad Informtica y los crmenes cometidos a travs de las computadoras.
Esta entidad es El Instituto de Seguridad de Computadoras (CSI), quien anunci recientemente los resultados
de su quinto estudio anual denominado Estudio de Seguridad y Delitos Informticos realizado a un total
de 273 Instituciones principalmente grandes Corporaciones y Agencias del Gobierno.
Este Estudio de Seguridad y Delitos Informticos es dirigido por CSI con la participacin Agencia Federal

de Investigacin (FBI) de San Francisco, Divisin de delitos informticos. El objetivo de este esfuerzo es
levantar el nivel de conocimiento de seguridad, as como ayudar a determinar el alcance de los Delitos
Informticos en los Estados Unidos de Norteamrica.
Entre lo ms destacable del Estudio de Seguridad y Delitos Informticos 2000 se puede incluir lo siguiente:
Violaciones a la seguridad informtica.
- No reportaron Violaciones de Seguridad 10%
- Reportaron Violaciones de Seguridad 90%

90% de los encuestados descubri violaciones a la seguridad de las computadoras dentro de los ltimos doce
meses.
70% reportaron una variedad de serias violaciones de seguridad de las computadoras, y que el ms comn de
estas violaciones son los virus de computadoras, robo de computadoras porttiles o abusos por parte de los
empleados - por ejemplo, robo de informacin, fraude financiero, penetracin del sistema por intrusos y
sabotaje de datos o redes.
Prdidas Financieras.
74% reconocieron prdidas financieras debido a las violaciones de las computadoras. Las prdidas financieras ascendieron a $265,589,940 (el promedio total anual durante los ltimos tres aos
era $120,240,180).

61 encuestados cuantificaron prdidas debido al sabotaje de datos o redes para un total de $27,148,000. Las
prdidas financieras totales debido al sabotaje durante los aos anteriores combinados ascendido a slo
$10,848,850. Como en aos anteriores, las prdidas financieras ms serias, ocurrieron a travs de robo de
informacin (66 encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron
$55,996,000). Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las
grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus permetros
electrnicos, confirmando la tendencia en aos anteriores.

Como en aos anteriores, las prdidas financieras ms serias, ocurrieron a travs de robo de informacin (66
encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron $55,996,000).
Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes
corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus permetros electrnicos,
confirmando la tendencia en aos anteriores.

Captulo 19: Accesos no autorizados

71% de los encuestados descubrieron acceso desautorizado por personas dentro de la empresa. Pero por
tercer ao consecutivo, la mayora de encuestados (59%) mencion su conexin de Internet como un punto
frecuente de ataque, los que citaron sus sistemas interiores como un punto frecuente de ataque fue un 38%.
Basado en contestaciones de 643 practicantes de seguridad de computadoras en corporaciones americanas,
agencias gubernamentales, instituciones financieras, instituciones mdicas y universidades, los hallazgos del
Estudio de Seguridad y Delitos Informticos 2000 confirman que la amenaza del crimen por
computadoras y otras violaciones de seguridad de informacin continan constantes y que el fraude
financiero est ascendiendo.

Los encuestados detectaron una amplia gama a de ataques y abusos. Aqu estn algunos otros ejemplos: * 25% de encuestados descubrieron penetracin al sistema del exterior. * 79% descubrieron el abuso del empleado por acceso de Internet (por ejemplo, transmitiendo pornografa o
pirate de software, o uso inapropiado de sistemas de correo electrnico). -

* 85% descubrieron virus de computadoras. * Comercio electrnico.

Por segundo ao, se realizaron una serie de preguntas acerca del comercio electrnico por Internet. Aqu
estn algunos de los resultados:
93% de encuestados tienen sitios de WWW.
43% maneja el comercio electrnico en sus sitios (en 1999, slo era un 30%).
19% experimentaron accesos no autorizados o inapropiados en los ltimos doce meses.
32% dijeron que ellos no saban si hubo o no, acceso no autorizado o inapropiado.
35% reconocieron haber tenido ataques, reportando de dos a cinco incidentes.
19% reportaron diez o ms incidentes.
64% reconocieron ataques reportados por vandalismo de la Web.
8% reportaron robo de informacin a travs de transacciones.
3% reportaron fraude financiero.

Captulo 20: Conclusin sobre el estudio csi

Las tendencias que el estudio de CSI/FBI ha resaltado por aos son alarmantes. Los Cyber crmenes y
otros delitos de seguridad de informacin se han extendido y diversificado. El 90% de los encuestados
reportaron ataques. Adems, tales incidentes pueden producir serios daos.
Las 273 organizaciones que pudieron cuantificar sus prdidas, informaron un total de $265,589,940.
Claramente, la mayora fueron en condiciones que se apegan a prcticas legtimas, con un despliegue de
tecnologas sofisticadas, y lo ms importante, por personal adecuado y entrenando, practicantes de seguridad
de informacin en el sector privado y en el gobierno.

Captulo 21: Otras estadsticas

Otras estadsticas:
* La lnea caliente de la Internet Watch Foundation (IWF), abierta en diciembre de 1996, ha recibido,
principalmente a travs del correo electrnico, 781 informes sobre unos 4.300 materiales de Internet
considerados ilegales por usuarios de la Red. La mayor parte de los informes enviados a la lnea caliente
(un 85%) se refirieron a pornografa infantil. Otros aludan a fraudes financieros, racismo, mensajes
maliciosos y pornografa de adultos.
* Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden
unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de
tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a
falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias
y de crdito, seala el Manual de la ONU.
* Los delincuentes cibernticos al acecho tambin usan el correo electrnico para enviar mensajes
amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson Acecho ciberntico:
delito, represin y responsabilidad personal en el mundo online, publicado en 1996, se calcula que unas
200.000 personas acechan a alguien cada ao.
* En Singapur El nmero de delitos cibernticos detectados en el primer semestre del 2000, en el que se han
recibido 127 denuncias, alcanza ya un 68 por ciento del total del ao pasado, la polica de Singapur prev un
aumento este ao en los delitos por Internet de un 38% con respecto a 1999.
* En relacin con Internet y la informtica, la polica de Singapur estableci en diciembre de 1999 una
oficina para investigar las violaciones de los derechos de propiedad y ya ha confiscado copias piratas por
valor de 9,4 millones de dlares.
* En El Salvador, existe ms de un 75% de computadoras que no cuentan con licencias que amparen los
programas (software) que utilizan. Esta proporcin tan alta ha ocacionado que organismos Internacionales
reacciones ante este tipo de delitos tal es el caso de BSA (Bussines Software Alliance).

Captulo 22: Impacto de los delitos informticos - Impacto a Nivel General

Impacto a Nivel General
En los aos recientes las redes de computadoras han crecido de manera asombrosa. Hoy en da, el nmero de
usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con
sus mdicos online supera los 200 millones, comparado con 26 millones en 1995.

A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los
denominados delincuentes cibernticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales
como el acceso sin autorizacin o piratera informtica, el fraude, el sabotaje informtico, la trata de nios
con fines pornogrficos y el acecho.
Los delincuentes de la informtica son tan diversos como sus delitos; puede tratarse de estudiantes,
terroristas o figuras del crimen organizado. Estos delincuentes pueden pa sar desapercibidos a travs de las
fronteras, ocultarse tras incontables enlaces o simplemente desvanecerse sin dejar ningn documento de
rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en parasos
informticos - o sea, en pases que carecen de leyes o experiencia para seguirles la pista -.
Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden
unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de
tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a
falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias
y de crdito, seala el Manual de la ONU.
Otros delincuentes de la informtica pueden sabotear las computadoras para ganarle ventaja econmica a sus
competidores o amenazar con daos a los sistemas con el fin de cometer extorsin. Los malhechores
manipulan los datos o las operaciones, ya sea directamente o mediante los llamados gusanos o virus,
que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus
dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por
medio de disquetes infectados; tambin se estn propagando ltimamente por las redes, con frecuencia
camuflados en mensajes electrnicos o en programas descargados de la red.
En 1990, se supo por primera vez en Europa de un caso en que se us a un virus para sonsacar dinero,
cuando la comunidad de investigacin mdica se vio amenazada con un virus que ira destruyendo datos
paulatinamente si no se pagaba un rescate por la cura.
Los delincuentes cibernticos al acecho tambin usan el correo electrnico para enviar mensajes
amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson Acecho ciberntico:
delito, represin y responsabilidad personal en el mundo online, publicado en 1996, se calcula que unas
200.000 personas acechan a alguien cada ao.
Afirma la Sra. Jenson que una norteamericana fue acechada durante varios aos por una persona
desconocida que usaba el correo electrnico para amenazar con asesinarla, violar a su hija y exhibir la
direccin de su casa en la Internet para que todos la vieran.
Los delincuentes tambin han utilizado el correo electrnico y los chat rooms o salas de tertulia de la
Internet para buscar presas vulnerables. Por ejemplo, los aficionados a la pedofilia se han ganado la
confianza de nios online y luego concertado citas reales con ellos para explotarlos o secuestrarlos. El
Departamento de Justicia de los Estados Unidos dice que se est registrando un incremento de la pedofilia
por la Internet.
Adems de las incursiones por las pginas particulares de la Red, los delincuentes pueden abrir sus propios
sitios para estafar a los clientes o vender mercancas y servicios prohibidos, como armas, drogas,
medicamentos sin receta ni regulacin y pornografa.
La CyberCop Holding Cell, un servicio de quejas online, hace poco emiti una advertencia sobre un anuncio
clasificado de servicio de automviles que apareci en la Internet. Por un precio fijo de $399, el servicio
publicara una descripcin del auto del cliente en una pgina de la Red y garantizaban que les devolveran el
dinero si el vehculo no se venda en un plazo de 90 das.
Informa CyberCop que varios autos que se haban anunciado en la pgina electrnica no se vendieron en ese
plazo, pero los dueos no pudieron encontrar a ninguno de los autores del servicio clasificado para que les
reembolsaran el dinero. Desde entonces, el sitio en la Red de este servicio ha sido clausurado.

Captulo 23: Impacto a Nivel Social

La proliferacin de los delitos informticos a hecho que nuestra sociedad sea cada vez ms escptica a la
utilizacin de tecnologas de la informacin, las cuales pueden ser de mucho beneficio para la sociedad en
general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el
comercio electrnico puede verse afectado por la falta de apoyo de la sociedad en general.
Tambin se observa el grado de especializacin tcnica que adquieren los delincuentes para cometer ste tipo

de delitos, por lo que personas con conductas maliciosas cada vez ms estn ideando planes y proyectos para
la realizacin de actos delictivos, tanto a nivel empresarial como a nivel global.
Tambin se observa que las empresas que poseen activos informticos importantes, son cada vez ms celosas
y exigentes en la contratacin de personal para trabajar en stas reas, pudiendo afectar en forma positiva o
negativa a la sociedad laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientos informticos bsicos, son ms vulnerables a ser vctimas
de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no
conocen nada de informtica (por lo general personas de escasos recur sos econmicos) pueden ser
engaadas si en un momento dado poseen acceso a recursos tecnolgicos y no han sido asesoradas
adecuadamente para la utilizacin de tecnologas como la Internet, correo electrnico, etc.
La falta de cultura informtica puede impedir de parte de la sociedad la lucha contra los delitos informticos,
por lo que el componente educacional es un factor clave en la minimizacin de esta problemtica.

Captulo 24: Impacto en la Esfera Judicial

Captura de delincuentes cibernticos
A medida que aumenta la delincuencia electrnica, numerosos pases han promulgado leyes declarando
ilegales nuevas prcticas como la piratera informtica, o han actualizado leyes obsoletas para que delitos
tradicionales, incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el mundo virtual.
Singapur, por ejemplo, enmend recientemente su Ley sobre el Uso Indebido de las Computadoras. Ahora
son ms severos los castigos impuestos a todo el que interfiera con las computadoras protegidas -es decir,
las que estn conectadas con la seguridad nacional, la banca, las finanzas y los servicios pblicos y de
urgencia- as como a los transgresores por entrada, modificacin, uso o intercepcin de material
computadorizado sin autorizacin.
Hay pases que cuentan con grupos especializados en seguir la pista a los delincuentes cibernticos. Uno de
los ms antiguos es la Oficina de Investigaciones Especiales de la Fuerza Area de los Estados Unidos,
creada en 1978. Otro es el de Investigadores de la Internet, de Australia, integrado por oficiales de la ley y
peritos con avanzados conocimientos de informtica. El grupo australiano recoge pruebas y las pasa a las
agencias gubernamentales de represin pertinentes en el estado donde se origin el delito.
Pese a estos y otros esfuerzos, las autoridades an afrentan graves problemas en materia de informtica. El
principal de ellos es la facilidad con que se traspasan las fronteras, por lo que la investigacin,
enjuiciamiento y condena de los transgresores se convierte en un dolor de cabeza jurisdiccional y jurdico.
Adems, una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les siga juicio en
otro lugar o transferir las pruebas -y a veces los testigos- al lugar donde se cometieron los delitos.
En 1992, los piratas de un pas europeo atacaron un centro de computadoras de California. La investigacin
policial se vio obstaculizada por la doble tipificacin penal -la carencia de leyes similares en los dos pases
que prohiban ese comportamiento- y esto impidi la cooperacin oficial, segn informa el Departamento de
Justicia de los Estados Unidos. Con el tiempo, la polica del pas de los piratas se ofreci a ayudar, pero poco
despus la piratera termin, se perdi el rastro y se cerr el caso.
Asimismo, en 1996 el Servicio de Investigacin Penal y la Agencia Federal de Investigacin (FBI) de los
Estados Unidos le sigui la pista a otro pirata hasta un pas sudamericano. El pirata informtico estaba
robando archivos de claves y alterando los registros en computadoras militares, universitarias y otros
sistemas privados, muchos de los cuales contenan investigacin sobre satlites, radiacin e ingeniera
energtica.
Los oficiales del pas sudamericano requisaron el apartamento del pirata e incautaron su equipo de
computadora, aduciendo posibles violaciones de las leyes nacionales. Sin embargo, los dos pases no haban
firmado acuerdos de extradicin por delitos de informtica sino por delitos de carcter ms tradicional.
Finalmente se resolvi la situacin slo porque el pirata accedi a negociar su caso, lo que condujo a que se
declarara culpable en los Estados Unidos.

Captulo 25: Destruccin u ocultacin de pruebas

Otro grave obstculo al enjuiciamiento por delitos cibernticos es el hecho de que los delincuentes pueden
destruir fcilmente las pruebas cambindolas, borrndolas o trasladndolas. Si los agentes del orden operan
con ms lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los datos estn

cifrados, una forma cada vez ms popular de proteger tanto a los particulares como a las empresas en las
redes de computadoras.
Tal vez la criptografa estorbe en las investigaciones penales, pero los derechos humanos podran ser
vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder tcnico. Las empresas
electrnicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del consumidor en
el mercado de la Internet, y los grupos defensores de los derechos humanos desean que se proteja el cmulo
de datos personales archivados actualmente en ficheros electrnicos.
Las empresas tambin recalcan que la informacin podra caer en malas manos, especialmente en pases con
problemas de corrupcin, si los gobiernos tienen acceso a los mensajes en cdigo. Si los gobiernos tienen la
clave para descifrar los mensajes en cdigo, esto significa que personas no autorizadas -que no son del
gobierno- pueden obtenerlas y utilizarlas, dice el gerente general de una importante compaa
norteamericana de ingeniera de seguridad.

Captulo 26: Impacto en la Identificacin de Delitos a Nivel Mundial

Las dificultades que enfrentan las autoridades en todo el mundo ponen de manifiesto la necesidad
apremiante de una cooperacin mundial para modernizar las leyes nacionales, las tcnicas de investigacin,
la asesora jurdica y las leyes de extradicin para poder alcanzar a los delincuentes. Ya se han iniciado
algunos esfuerzos al respecto.
En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que coordinen sus leyes y cooperen
en la solucin de ese problema. El Grupo de Trabajo Europeo sobre delitos en la tecnologa de la informtica
ha publicado un Manual sobre el delito por computadora, en el que se enumeran las leyes pertinentes en los
diversos pases y se exponen tcnicas de investigacin, al igual que las formas de buscar y guardar el
material electrnico en condiciones de seguridad.
El Instituto Europeo de Investigacin Antivirus colabora con las universidades, la industria y los medios de
comunicacin y con expertos tcnicos en seguridad y asesores jurdicos de los gobiernos, agentes del orden y
organizaciones encargadas de proteger la intimidad a fin de combatir los virus de las computadoras o
caballos de Troya. Tambin se ocupa de luchar contra el fraude electrnico y la explotacin de datos
personales.
En 1997, los pases del Grupo de los Ocho aprobaron una estrategia innovadora en la guerra contra el delito
de tecnologa de punta. El Grupo acord que establecera modos de determinar rpidamente la
proveniencia de los ataques por computadora e identificar a los piratas, usar enlaces por vdeo para
entrevistar a los testigos a travs de las fronteras y ayudarse mutuamente con capacitacin y equipo. Tambin
decidi que se unira a las fuerzas de la industria con miras a crear instituciones para resguardar las
tecnologas de computadoras, desarrollar sistemas de informacin para identificar casos de uso indebido de
las redes, perseguir a los infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordinacin abiertos 24 horas al da, siete das a la
semana para los encargados de hacer cumplir la ley. Estos centros apoyan las investigaciones de otros
Estados mediante el suministro de informacin vital o ayuda en asuntos jurdicos, tales como entrevistas a
testigos o recoleccin de pruebas consistentes en datos electrnicos.
Un obstculo mayor opuesto a la adopcin de una estrategia del tipo Grupo de los Ocho a nivel internacional
es que algunos pases no tienen la experiencia tcnica ni las leyes que permitiran a los agentes actuar con
rapidez en la bsqueda de pruebas en sitios electrnicos -antes de que se pierdan- o transferirlas al lugar
donde se est enjuiciando a los infractores.

Captulo 27: Casos de Impacto de los Delitos Informticos

Zinn, Herbert, Shadowhack.
Herbert Zinn, (expulsado de la educacin media superior), y que operaba bajo el seudnimo de
Shadowhawk, fue el primer sentenciado bajo el cargo de Fraude Computacional y Abuso en 1986. Zinn
tenia 16 y 17 cuando violo el acceso a AT&T y los sistemas del Departamento de Defensa. Fue sentenciado
el 23 de enero de 1989, por la destruccin del equivalente a US $174,000 en archivos, copias de programas,
los cuales estaban valuados en millones de dlares, adems publico contraseas y instrucciones de cmo
violar la seguridad de los sistemas computacionales. Zinn fue sentenciado a 9 meses de crcel y a una fianza
de US$10,000. Se estima que Zinn hubiera podido alcanzar una sentencia de 13 aos de prisin y una fianza
de US$800,000 si hubiera tenido 18 aos en el momento del crimen.

Smith, David.
Programador de 30 aos, detenido por el FBI y acusado de crear y distribuir el virus que ha bloqueado miles
de cuentas de correo, Melissa. Entre los cargos presentados contra l, figuran el de bloquear las
comunicaciones publicas y de daar los sistemas informticos. Acusaciones que en caso de demostrarse
en el tribunal podran acarrearle una pena de hasta diez aos de crcel.
Por el momento y a la espera de la decisin que hubiese tomado el juez, David Smith esta en libertad bajo
fianza de 10.000 dlares. Melissa en su corta vida haba conseguido contaminar a ms de 100,000
ordenadores de todo el mundo, incluyendo a empresas como Microsoft, Intel, Compaq, administraciones
pblicas estadounidenses como la del Gobierno del Estado de Dakota del Norte y el Departamento del
Tesoro.
En Espaa su xito fue menor al desarrollarse una extensa campaa de informacin, que alcanzo incluso a
las cadenas televisivas, alertando a los usuarios de la existencia de este virus. La detencin de David Smith
fue fruto de la colaboracin entre los especialistas del FBI y de los tcnicos del primer proveedor de
servicios de conexin a Internet de los Estados Unidos, Amrica On Line. Los ingenieros de Amrica On
Line colaboraron activamente en la investigacin al descubrir que para propagar el virus, Smith haba
utilizado la identidad de un usuario de su servicio de acceso. Adems, como otros proveedores el impacto de
Melissa haba afectado de forma sustancial a buzones de una gran parte de sus catorce millones de usuarios.
Fue precisamente el modo de actuar de Melissa, que remite a los cincuenta primeros inscritos en la agenda
de direcciones del cliente de correo electrnico Outlook Express, centenares de documentos Office la
clave para encontrar al autor del virus. Los ingenieros rastrearon los primeros documentos que fueron
emitidos por el creador del virus, buscando encontrar los signos de identidad que incorporan todos los
documentos del programa ofimtico de Microsoft Office y que en ms de una ocasin han despertado la
alarma de organizaciones en defensa de la privacidad de los usuarios. Una vez desmontado el puzzle de los
documentos y encontradas las claves se consigui localizar al creador de Melissa. Sin embargo, la detencin
de Smith no significa que el virus haya dejado de actuar.
Compaas informticas siguen alertando que an pueden quedar miles de usuarios expuestos a sus efectos,
por desconocimiento o por no haber instalado en sus equipos sistemas antivricos que frenen la actividad de
Melissa u otros virus, que han venido apareciendo ltimamente como Happy99 o Papa.
Poulsen Kevin, Dark Dante.
Diciembre de 1992 Kevin Poulsen, un pirata infame que alguna vez utilizo el alias de Dark Dante en las
redes de computadoras es acusado de robar rdenes de tarea relacionadas con un ejercicio de la fuerza area
militar america na. Se acusa a Poulsen del robo de informacin nacional bajo una seccin del estatuto de
espionaje federal y encara hasta 10 aos en la crcel.
Sigui el mismo camino que Kevin Mitnick, pero es ms conocido por su habilidad para controlar el sistema
telefnico de Pacific Bell. Incluso lleg a ganar un Porsche en un concurso radiofnico, si su llamada
fuera la 102, y as fue.
Poulsen tambin cracke todo tipo de sitios, pero l se interesaba por los que contenan material de defensa
nacional.
Esto fue lo que lo llev a su estancia en la crcel, 5 aos, fue liberado en 1996, supuestamente reformado.
Que dicho sea de paso, es el mayor tiempo de estancia en la crcel que ha comparecido un hacker.
Holland, Wau y Wenery, Steffen.
De visita en la NASA Las dos de la madrugada, Hannover, ciudad Alemana, estaba en silencio. La
primavera llegaba a su fin, y dentro del cuarto cerrado el calor ahogaba. Haca rato que Wau Holland y
Steffen Wernery permanecan sentados frente a la pantalla de una computadora, casi inmviles, inmersos en
una nube de humo cambiando ideas en susurros. - Desde ac tenemos que poder llegar. -murmur Wau. Mse. Hay que averiguar cmo -contest Steffen. Probemos algunos. Siempre eligen nombres relacionados con la astronoma, No? - Tengo un mapa estelar:
usmoslo. Con el libro sobre la mesa, teclearon uno a uno y por orden, los nombres de las diferentes
constelaciones.
- Acceso Denegado -ley Wau-; maldicin, tampoco es este - Quiz nos est faltando alguna indicacin.
Calma.

Pensemos. set y host son imprescindibles...

-obvio; adems, es la frmula. Probemos de nuevo Cul sigue? - Las constelaciones se terminaron.
Podemos intentar con las estrellas. A ver... Castor, una de las dos ms brillantes de Gminis? - Set Host
Castor deletre Wau mientras tecleaba.
Cuando la computadora comenz a ronronear, Wau Holland y Steffen Wernery supieron que haban logrado
su objetivo. Segundos ms tarde la pantalla mostraba un mensaje: Bienvenidos a las instalaciones VAX del
cuartel general, de la NASA. Wau sinti un sacudn y atin a escribir en su cuaderno: Lo logramos, por
fin... Slo hay algo seguro, la infinita inseguridad de la seguridad.
El 2 de mayo de 1987, los dos hackers alemanes, de 23 y 20 aos respectivamente, ingresaron sin
autorizacin al sistema de la central de investigaciones aerospaciales ms grande del mundo.- Por qu lo
hicieron? -Pregunt meses despus un periodista norteamericano.
- Porque es fascinante. En este mundo se terminaron las aventuras. Ya nadie puede salir a cazar dinosaurios o
a buscar oro. La nica aventura posible -respondi Steffen, est en la pantalla de un ordenador. Cuando
advertimos que los tcnicos nos haban detectado, les enviamos un telex: Tememos haber entrado en el
peligroso campo del espionaje industrial, el crimen econmico, el conflicto este-oeste y la seguridad de los
organismos de alta tecnologa.
Por eso avisamos, y paramos el juego.
- El juego puede costar muchas vidas...- Ni media vida! La red en que entramos no guarda informacin
ultrasecreta; en este momento tiene 1,600 subscriptores y 4,000 clientes flotantes. Con esos datos, Steffen
anulaba la intencin de presentarlos como sujetos peligrosos para el resto de la humanidad. (Hackers, la
guerrilla informtica - Raquel Roberti).
Murphy Ian, Captain Zap.
En julio de 1981 Ian Murphy, un muchacho de 23 aos que se autodenominaba Captain Zap, gana
notoriedad cuando entra a los sistemas en la Casa Blanca, el Pentgono, BellSouth Corp. TRW y
deliberadamente deja su currculum.
En 1981, no haba leyes muy claras para prevenir el acceso no autorizado a las computadoras militares o de
la casa blanca. En ese entonces Ian Murphy de 24 aos de edad, conocido en el mundo del hacking como
Captain Zap,.
Mostr la necesidad de hacer mas clara la legislacin cuando en compaa de un par de amigos y usando una
computadora y una lnea telefnica desde su hogar viola los accesos restringidos a compaas electrnicas, y
tenia acceso a ordenes de mercancas, archivos y documentos del gobierno. Nosotros usamos los a la Casa
Blanca para hacer llamadas a lneas de bromas en Alemania y curiosear archivos militares clasificados
Explico Murphy. El violar accesos nos resultaba muy divertido. La Banda de hackers fue finalmente
puesta a disposicin de la ley. Con cargos de robo de propiedad, Murphy fue multado por US $1000 y
sentenciado a 2 aos de prueba.
Morris Robert.
En noviembre de 1988, Morris lanzo un programa gusano diseado por el mismo para navegar en Internet,
buscando debilidades en sistemas de seguridad, y que pudiera correrse y multiplicarse por s solo. La
expansin exponencial de este programa caus el consumo de los recursos de muchisimas computadoras y
que ms de 6000 sistemas resultaron daados o fueron seriamente perjudicados. Eliminar al gusano de sus
computadoras causo a las vctimas muchos das de productividad perdidos, y millone s de dolares. Se creo el
CERT (Equipo de respuesta de emergencias computacionales) para combatir problemas similares en el
futuro. Morris fue condenado y sentenciado a tres aos de libertad condicional, 400 horas de servicio
comunitario y US $10,000 de fianza, bajo el cargo de Fraude computacional y abuso. La sentencia fue
fuertemente criticada debido a que fue muy ligera, pero reflejaba lo inocuo de las intenciones de Morris mas
que el dao causado. El gusano producido por Morris no borra ni modifica archivos en la actualidad.

Captulo 28: Seguridad contra los delitos informticos

Seguridad en Internet
Hoy en da, muchos usuarios no confan en la seguridad del Internet. En 1996, IDC Research realiz una
encuesta en donde el 90% de los usuarios expres gran inters sobre la seguridad del Internet, pues temen
que alguien pueda conseguir el nmero de su tarjeta de crdito mediante el uso de la Red.

Ellos temen que otros descubran su cdigo de acceso de la cuenta del banco y entonces transferir fondos a la
cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupacin en dar informacin
confidencial a personas no autorizadas. Las corporaciones tambin se preocupan en dar informacin a los
empleados, quienes no estn autorizados al acceso de esa informacin o quien trata de curiosear sobre una
persona o empleado. Las organizacio nes se preocupan que sus competidores tengan conocimiento sobre
informacin patentada que pueda daarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del trmino de la seguridad
general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar algo
seguro . Algo puede ser un objeto, tal como un secreto, mensaje, aplicacin, archivo, sistema o una
comunicacin interactiva. Seguro los medios son protegidos desde el acceso, el uso o alteracin no
autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
* La autenticacin (promesa de identidad), es decir la prevencin de suplantaciones, que se garantice que
quien firma un mensaje es realmente quien dice ser.
* La autorizacin (se da permiso a una persona o grupo de personas de poder realizar ciertas funciones, al
resto se le niega el permiso y se les sanciona si las realizan).
* La privacidad o confidencialidad, es el ms obvio de los aspecto y se refiere a que la informacin solo
puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad,
especialmente en la comunicacin de los datos. La transmisin a travs de un medio presenta mltiples
oportunidades para ser interceptada y copiada: las lneas pinchadas la intercepcin o recepcin
electromagntica no autorizada o la simple intrusin directa en los equipos donde la informacin est
fsicamente almacenada.
* La integridad de datos, La integridad se refiere a la seguridad de que una informacin no ha sido alterada,
borrada, reordenada, copiada, etc., bien duran te el proceso de transmisin o en su propio equipo de origen.
Es un riesgo comn que el atacante al no poder descifrar un paquete de informacin y, sabiendo que es
importante, simplemente lo intercepte y lo borre.
* La disponibilidad de la informacin, se refiere a la seguridad que la informacin pueda ser recuperada en
el momento que se necesite, esto es, evitar su prdida o bloqueo, bien sea por ataque doloso, mala operacin
accidental o situaciones fortuitas o de fuerza mayor.
* No rechazo (la proteccin contra alguien que niega que ellos originaron la comunicacin o datos).
* Controles de acceso, esto es quien tiene autorizacin y quien no para acceder a una pieza de informacin
determinada.
Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera confiable. Los
requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La importancia de lo que se
est asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar
niveles ms altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino
tambin para el mundo fsico.
En la tabla siguiente se presenta una relacin de los intereses que se deben proteger y sus requerimientos
relacionados:
Intereses ---- Requerimientos
Fraude ---- Autenticacin
Acceso no Autorizado ---- Autorizacin
Curiosear ---- Privacidad
Alteracin de Mensaje ---- Integridad de Datos
Desconocido ---- No - Rechazo
Estos intereses no son exclusivos de Internet. La autenticacin y el asegurar los objetos es una parte de
nuestra vida diaria. La comprensin de los elementos de seguridad y como ellos trabajan en el mundo fsico,
puede ayudar para explicar cmo estos requerimientos se encuentran en el mundo de la red y dnde se sitan
las dificultades.

Captulo 29: Medidas de seguridad de la red

Existen numerosas tcnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es
disear una poltica de seguridad. En ella, definir quines tienen acceso a las diferentes partes de la red,
poner protecciones con contraseas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar
peridicamente (Evitar las passwords por defecto o demasiado obvias).

Captulo 30: Firewalls

Existen muchas y muy potentes herramientas de cara a la seguridad de una red informtica. Una de las
maneras drsticas de no tener invasores es la de poner murallas. Los mecanismos ms usados para la
proteccin de la red interna de otras externas son los firewalls o cortafuegos. Estos tienen muchas
aplicaciones, entre las ms usadas est:
Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas de
filtrado que le permiten discriminar el trfico segn nuestras indicaciones.
Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos establecer
sern a nivel de direcciones IP, tanto fuente como destino.

Cortafuegos filtro de paquetes ejemplarizado en un router.

La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete cumpla marcar
la accin a realizar (descartarlo o dejarlo pasar). La aplicacin de las listas de filtros se puede hacer en el
momento de entrada del paquete o bien en el de salida o en ambos.
La proteccin centralizada es la ventaja ms importante del filtrado de paquetes. Con un nico enrutador con
filtrado de paquetes situado estratgicamente puede protegerse toda una red.

Captulo 31: Firma digital

El cifrado con clave pblica permite generar firmas digitales que hacen posible certificar la procedencia de
un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma se puede evitar que
alguien suplante a un usuario y enve mensajes falsos a otro usuario, por la imposibilidad de falsificar la
firma. Adems, garantizan la integridad del mensaje, es decir, que no ha sido alterado durante la transmisin.
La firma se puede aplicar a un mensaje completo o puede ser algo aadido al mensaje.
Las firmas son especialmente tiles cuando la informacin debe atravesar redes sobre las que no se tiene
control directo y, en consecuencia, no existe posibilidad de verificar de otra forma la procedencia de los
mensajes.
Existen varios mtodos para hacer uso de la firma digital, uno de ellos es el siguiente: quien enva el
mensaje lo codifica con su clave privada. Para descifrarlo, slo puede hacerse con la clave pblica
correspondiente a dicha persona o institucin. Si efectivamente con dicha clave se descifra es seal de que
quien dice que envi el mensaje, realmente lo hizo.
Firma digital formada encriptando con la clave privada del emisor:

Firma Digital y Autentificacin

E: Encriptar / D: Desencriptar.

KP : Encriptacin utilizando la Clave Privada.

KV : Encriptacin utilizando la Clave Pblica.
M : Mensaje.
Seguridad en WWW.
Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor seguro.
En primer lugar los formularios pueden tener agujeros a travs de los que un hacker hbil, incluso poco
hbil, puede colar comandos.
La red es totalmente pblica y abierta, los paquetes pasan por mquinas de las que no se tiene conocimiento
y a las que puede tener acceso la gente que le guste husmear el trfico de la red. Si es as (y no tienen que ser
necesariamente hackers malintencionados, algunos proveedores de servicio lo hacen) slo se puede recurrir a
encriptar el trfico por medio, en WWW, de servidores y clientes seguros.

Captulo 32: Poltica de seguridad

Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a travs de la
organizacin, da al personal e institucin muchos beneficios. Sin embargo, a mayor acceso que se provea,
mayor es el peligro de que alguien explote lo que resulta del incremento de vulnerabilidad.
De hecho, cada vez que se aade un nuevo sistema, acceso de red o aplicacin se agregan vulnerabilidades
potenciales y aumenta la mayor dificultad y complejidad de la proteccin. Sin embargo, si se est dispuesto a
enfrentar realmente los riesgos, es posible cosechar los beneficios de mayor acceso mientras se minimizan
los obstculos. Para lograr esto, se necesitar un plan complejo, as como los recursos para ejecutarlo.
Tambin se debe tener un conocimiento detallado de los riesgos que pueden ocurrir en todos los lugares
posibles, as como las medidas que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podra muy bien serlo, especialmente en
organizaciones pequeas que no tienen personal experto en todos los temas. Alguien podra estar tentado
para contratar un consultor de seguridad y hacerlo con l; aunque esto puede ser una buena manera para
outsourcing, todava necesita saber lo suficiente y observar la honestidad del consultor.
Despus de todo, se le va a confiar a ellos los bienes ms importantes de la organizacin.
Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de las
caractersticas tcnicas de los protocolos de red, sistemas operativos y aplicaciones que son accesadas, sino
tambin lo concerniente al planeamiento. El plan es el primer paso y es la base para asegurar que todas las
bases sean cubiertas.

Captulo 33: Por qu se necesita una poltica de seguridad?

La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad est la del gran firewall
que permanece al resguardo de la apertura de su red, defendiendo de ataques de malvolos hackers. Aunque
un firewall jugar un papel crucial, es slo una herramienta que debe ser parte de una estrategia ms
comprensiva y que ser necesaria a fin de proteger responsablemente los datos de la red. Por una parte,
sabiendo cmo configurar un firewall para permitir las comunicaciones que se quiere que ingresen, mientras
salvaguarda otros datos, es un hueso muy duro de roer.
An cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente, ser
difcil conocer la administracin de riesgos que est dispuesto a tomar con los datos y determinar la cantidad
de inconveniencias a resistir para protegerlos. Tambin se debe considerar cmo asegurar los hosts que estn
siendo accesados. Incluso con la proteccin de firewall, no hay garanta que no se pueda desarrollar alguna
vulnerabilidad. Y es muy probable que haya un dispositivo en peligro. Los modems, por ejemplo, pueden
proveer un punto de acceso a su red que completamente sobrepase su firewall. De hecho, un firewall puede
aumentar la probabilidad que alguien establecer un mdem para el acceso al Internet mediante otro ISP
(ISP - Internet Service Providers, cualquier empresa o institucin que provea de conexin a Internet), por las
restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a configurar
su firewall). Se puede proveer restricciones o proteccin, que puede resultar ser innecesario una vez que
las consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden
justificar el incremento de restricciones, resultando incmodo. Pero, a menos que el usuario est prevenido
de estos peligros y entienda claramente las consecuencias para aadir el riesgo, no hay mucho que hacer.

Los temas legales tambin surgen. Qu obligaciones legales tiene para proteger su informacin?. Si usted
est en una compaa de publicidad puede tener algunas responsabilidades definitivas al respecto.
Asegurar sus datos involucra algo ms que conectarse en un firewall con una interface competente. Lo que
se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda
ser significativo para la gerencia y usuarios finales. Esto requiere educacin y capacitacin, conjuntamente
con la explicacin, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una
poltica de seguridad y es el primer paso para asegurar responsablemente la red. La poltica puede incluir
instalar un firewall, pero no necesariamente se debe disear su poltica de seguridad alrededor de las
limitaciones del firewall.
Elaborar la poltica de seguridad no es una tarea trivial. Ello no solamente requiere que el personal tcnico
comprenda todas las vulnerabilidades que estn involucradas, tambin requiere que ellos se comuniquen
efectivamente con la gerencia. La gerencia debe decidir finalmente cunto de riesgo debe ser tomado con el
activo de la compaa, y cunto se debera gastar en ambos, en dlares e inconvenientes, a fin de minimizar
los riesgos. Es responsabilidad del personal tcnico asegurar que la gerencia comprenda las implicaciones de
aadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia tenga la suficiente
informacin para la toma de decisiones. Si la poltica de seguridad no viene desde el inicio, ser difcil
imponer incluso medidas de seguridad mnimas. Por ejemplo, si los empleados pueden llegar a alterarse si
ellos imprevistamente tienen que abastecer logins y contraseas donde antes no lo hacan, o estn prohibidos
particulares tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la poltica
por escrito. Las polticas pueden entonces ser comunicadas a los empleados por la gerencia. De otra forma,
los empleados no lo tomarn en serio, o se tendrn batallas de polticas constantes dentro de la compaa con
respecto a este punto. No solamente con estas batallas tendrn un impacto negativo sobre la productividad,
es menos probable que la decisin tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de
las guerras polticas.
El desarrollo de una poltica de seguridad comprende la identificacin de los activos organizativos,
evaluacin de amenazas potenciales, la evaluacin del riesgo, implementacin de las herramientas y
tecnologas disponibles para hacer frente a los riesgos, y el desarrollo de una poltica de uso. Debe crearse un
procedimiento de auditoria que revise el uso de la red y servidores de forma peridica.
Identificacin de los activos organizativos: Consiste en la creacin de una lista de todas las cosas que
precisen proteccin.
Por ejemplo: * Hardware: ordenadores y equipos de telecomunicacin * Software: programas fuente, utilidades, programas de diagnstico, sistemas operativos, programas de
comunicaciones. * Datos: copias de seguridad, registros de auditoria, bases de datos.
Valoracin del riesgo:
Conlleva la determinacin de lo que se necesita proteger. No es ms que el proceso de examinar todos los
riesgos, y valorarlos por niveles de seguridad.
Definicin de una poltica de uso aceptable:
Las herramientas y aplicaciones forman la base tcnica de la poltica de seguridad, pero la poltica de uso
aceptable debe considerar otros aspectos:
* Quin tiene permiso para usar los recursos?
* Quin esta autorizado a conceder acceso y a aprobar los usos?
* Quin tiene privilegios de administracin del sistema?
* Qu hacer con la informacin confidencial?
* Cules son los derechos y responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y responsabilidades de los usuarios:
* Si los usuarios estn restringidos, y cules son sus restricciones.
* Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.
* Cmo deberan mantener sus contraseas los usuarios.
* Con qu frecuencia deben cambiar sus contraseas.
* Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.

Captulo 34: Legislacin sobre delitos informticos. Panorama general

Panorama general
La legislacin sobre proteccin de los sistemas informticos ha de perseguir acercarse lo ms posible a los
distintos medios de proteccin ya existentes, creando una nueva regulacin slo en aquellos aspectos en los
que, basndose en las peculiaridades del objeto de proteccin, sea imprescindible.
Si se tiene en cuenta que los sistemas informticos, pueden entregar datos e informaciones sobre miles de
personas, naturales y jurdicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de
diversas actividades como bancarias, financieras, tributarias, previsionales y de identificacin de las
personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidades dedicadas a proporcionar,
si se desea, cualquier informacin, sea de carcter personal o sobre materias de las ms diversas disciplinas a
un Estado o particulares; se comprender que estn en juego o podran ha llegar a estarlo de modo
dramtico, algunos valores colectivos y los consiguientes bienes jurdicos que el ordenamiento jurdico
institucional debe proteger.
No es la amenaza potencial de la computadora sobre el individuo lo que provoca desvelo, sino la utilizacin
real por el hombre de los sistemas de informacin con fines de espionaje.
No son los grandes sistemas de informacin los que afectan la vida privada sino la manipulacin o el
consentimiento de ello, por parte de individuos poco conscientes e irresponsables de los datos que dichos
sistemas contienen.
La humanidad no esta frente al peligro de la informtica sino frente a la posibilidad real de que individuos o
grupos sin escrpulos, con aspiraciones de obtener el poder que la informacin puede conferirles, la utilicen
para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de las
personas. Asimismo, la amenaza futura ser directamente proporcional a los adelantos de las tecnologas
informticas.
La proteccin de los sistemas informticos puede abordarse tanto desde una perspectiva penal como de una
perspectiva civil o comercial, e incluso de derecho administrativo. Estas distintas medidas de proteccin no
tienen porque ser excluyentes unas de otras, sino que, por el contrario, stas deben estar estrechamente
vinculadas. Por eso, dadas las caractersticas de esta problemtica slo a travs de una proteccin global,
desde los distintos sectores del ordenamiento jurdico, es posible alcanzar una cierta eficacia en la defensa de
los ataques a los sistemas informticos.

Captulo 35: Anlisis legislativo

Un anlisis de las legislaciones que se han promulgado en diversos pases arroja que las normas jurdicas que
se han puesto en vigor estn dirigidas a proteger la utilizacin abusiva de la informacin reunida y procesada
mediante el uso de computadoras.
Desde hace aproximadamente diez aos la mayora de los pases europeos han hecho todo lo posible para
incluir dentro de la ley, la conducta punible penalmente, como el acceso ilegal a sistemas de computo o el
mantenimiento ilegal de tales accesos, la difusin de virus o la interceptacin de mensajes informticos.
En la mayora de las naciones occidentales existen normas similares a los pases europeos. Todos estos
enfoques estn inspirados por la misma preocupacin de contar con comunicaciones electrnicas,
transacciones e intercambios tan confiables y seguros como sea posible.
Las personas que cometen los Delitos Informticos son aquellas que poseen ciertas caractersticas que no
presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el
manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en lugares
estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas
informatizados, an cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la
comisin de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que lo
que los diferencia entre s es la naturaleza de los delitos cometidos. De esta forma, la persona que ingresa
en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucin
financiera que desva fondos de las cuentas de sus clientes.
El nivel tpico de aptitudes del delincuente informtico es tema de controversia ya que para algunos el nivel
de aptitudes no es indicador de delincuencia informtica en tanto que otros aducen que los posibles
delincuentes informticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto
tecnolgico, caractersticas que pudieran encontrarse en un empleado del sector de procesamiento de datos.

Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las personas que cometen los delitos
informticos, los estudiosos en la materia los han catalogado como delitos de cuello blanco trmino
introducido por primera vez por el criminlogo norteamericano Edwin Sutherland en el ao de 1943.
Efectivamente, este conocido criminlogo seala un sinnmero de conductas que considera como delitos de
cuello blanco, an cuando muchas de estas conductas no estn tipificadas en los ordenamientos jurdicos
como delitos, y dentro de las cuales cabe destacar las violaciones a las leyes de patentes y fbrica de
derechos de autor, el mercado negro, el contrabando en las empresas, la evasin de impuestos, las quiebras
fraudulentas, corrupcin de altos funcionarios, entre otros.
Asimismo, este criminlogo estadounidense dice que tanto la definicin de los delitos informticos como
la de los delitos de cuello blanco no es de acuerdo al inters protegido, como sucede en los delitos
convencionales sino de acuerdo al sujeto activo que los comete. Entre las caractersticas en comn que
poseen ambos delitos tenemos que: El sujeto activo del delito es una persona de cierto status
socioeconmico, su comisin no puede explicarse por pobreza ni por mala habitacin, ni por carencia de
recreacin, ni por baja educacin, ni por poca inteligencia, ni por inestabilidad emocional.
Es difcil elaborar estadsticas sobre ambos tipos de delitos. Sin embargo, la cifra es muy alta; no es fcil
descubrirlo y sancionarlo, en razn del poder econmico de quienes lo cometen, pero los daos econmicos
son altsimos; existe una gran indiferencia de la opinin pblica sobre los daos ocasionados a la sociedad;
la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los
desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a s
mismos respetables otra coincidencia que tienen estos tipos de delitos es que, generalmente, son objeto
de medidas o sanciones de carcter administrativo y no privativos de la libertad.
Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que los
usuarios estn esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande de que el
agresor y la vctima estn sujetos a leyes nacionales diferentes. Adems, si bien los acuerdos de cooperacin
internacional y los tratados de extradicin bilaterales intentan remediar algunas de las dificultades
ocasionadas por los delitos informticos, sus posibilidades son limitadas.
Por su parte, el Manual de la Naciones Unidas para la Prevencin y Control de Delitos Informticos
seala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las
insuficiencias, por cuanto los delitos informticos constituyen una nueva forma de crimen transnacional y su
combate requiere de una eficaz co operacin internacional concertada. Asimismo, la ONU resume de la
siguiente manera a los problemas que rodean a la cooperacin internacional en el rea de los delitos
informticos:
* Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informticos.
* Ausencia de acuerdos globales en la definicin legal de dichas conductas delictivas.
* Falta de especializacin de las policas, fiscales y otros funcionarios judiciales en el campo de los delitos
informticos.
* Falta de armonizacin entre las diferentes leyes procesales nacionales acerca de la investigacin de los
delitos informticos.
* Carcter transnacional de muchos delitos cometidos mediante el uso de computadoras.
* Ausencia de tratados de extradicin, de acuerdos de ayuda mutuos y de mecanismos sincronizados que
permitan la puesta en vigor de la cooperacin internacional.
En sntesis, es destacable que la delincuencia informtica se apoya en el delito instrumentado por el uso de la
computadora a travs de redes telemticas y la interconexin de la computadora, aunque no es el nico
medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo
creciente an en pases latinoamericanos, conlleva tambin a la posibilidad creciente de estos delitos; por eso
puede sealarse que la criminalidad informtica constituye un reto considerable tanto para los sectores
afectados de la infraestructura crtica de un pas, como para los legisladores, las autoridades policiales
encargadas de las investigaciones y los funcionarios judiciales.

Captulo 36: Legislacin - Contexto Internacional

En el contexto internacional, son pocos los pases que cuentan con una legislacin apropiada. Entre ellos, se
destacan, Estados Unidos, Alemania, Austria, Gran Bretaa, Holanda, Francia, Espaa, Argentina y Chile.
Dado lo anterior a continuacin se mencionan algunos aspectos relacionados con la ley en los diferentes
pases, as como con los delitos informticos que persigue.

 Estados Unidos.
Este pas adopt en 1994 el Acta Federal de Abuso Computacional que modific al Acta de Fraude y Abuso
Computacional de 1986.
Con la finalidad de eliminar los argumentos hipertcnicos acerca de qu es y que no es un virus, un gusano,
un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisin de un programa,
informacin, cdigos o comandos que causan daos a la computadora, a los sistemas informticos, a las
redes, informacin, datos o programas. La nueva ley es un adelanto porque est directamente en contra de
los actos de transmisin de virus.
Asimismo, en materia de estafas electrnicas, defraudaciones y otros actos dolosos relacionados con los
dispositivos de acceso a sistemas informticos, la legislacin estadounidense sanciona con pena de prisin y
multa, a la persona que defraude a otro mediante la utilizacin de una computadora o red informtica.
En el mes de Julio del ao 2000, el Senado y la Cmara de Representantes de este pas -tras un ao largo de
deliberaciones- establece el Acta de Firmas Electrnicas en el Comercio Global y Nacional. La ley sobre la
firma digital res ponde a la necesidad de dar validez a documentos informticos -mensajes electrnicos y
contratos establecidos mediante Internet- entre empresas (para el B2B) y entre empresas y consumidores
(para el B2C).
Alemania.
Este pas sancion en 1986 la Ley contra la Criminalidad Econmica, que contempla los siguientes delitos:
* Espionaje de datos.
* Estafa informtica.
* Alteracin de datos.
* Sabotaje informtico.
Austria.
La Ley de reforma del Cdigo Penal, sancionada el 22 de Diciembre de 1987, sanciona a aquellos que con
dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de datos
automtica a travs de la confeccin del programa, por la introduccin, cancelacin o alteracin de datos o
por actuar sobre el curso del procesamiento de datos. Adems contempla sanciones para quienes comenten
este hecho utilizando su profesin de especialistas en sistemas.
Gran Bretaa.
Debido a un caso de hacking en 1991, comenz a regir en este pas la Computer Misuse Act (Ley de Abusos
Informticos). Mediante esta ley el intento, exitoso o no, de alterar datos informticos es penado con hasta
cinco aos de prisin o multas. Esta ley tiene un apartado que especfica la modificacin de datos sin
autorizacin.
Holanda.
El 1 de Marzo de 1993 entr en vigencia la Ley de Delitos Informticos, en la cual se penaliza los
siguientes delitos:
* El hacking.
* El preacking (utilizacin de servicios de telecomunicaciones evitando el pago total o parcial de dicho
servicio).
* La ingeniera social (arte de convencer a la gente de entregar informacin que en circunstancias normales
no entregara).
* La distribucin de virus.
Francia.
En enero de 1988, este pas dict la Ley relativa al fraude informtico, en la que se consideran aspectos
como:
* Intromisin fraudulenta que suprima o modifique datos.
* Conducta intencional en la violacin de derechos a terceros que haya impedido o alterado el
funcionamiento de un sistema de procesamiento automatizado de datos.
* Conducta intencional en la violacin de derechos a terceros, en forma directa o indirecta, en la
introduccin de datos en un sistema de procesamiento automatizado o la supresin o modificacin de los
datos que ste contiene, o sus modos de procesamiento o de transmisin.

* Supresin o modificacin de datos contenidos en el sistema, o bien en la alteracin del funcionamiento del
sistema (sabotaje).
Espaa.
En el Nuevo Cdigo Penal de Espaa, se establece que al que causare daos en propiedad ajena, se le
aplicar pena de prisin o multa. En lo referente a:
* La realizacin por cualquier medio de destruccin, alteracin, inutilizacin o cualquier otro dao en los
datos, programas o documentos electrnicos ajenos contenidos en redes, soportes o sistemas informticos.
* El nuevo Cdigo Penal de Espaa sanciona en forma detallada esta categora delictual (Violacin de
secretos/Espionaje/Divulgacin), aplicando pena de prisin y multa.
* En materia de estafas electrnicas, el nuevo Cdigo Penal de Espaa, solo tipifica las estafas con nimo de
lucro valindose de alguna manipulacin informtica, sin detallar las penas a aplicar en el caso de la
comisin del delito.
Chile.
Chile fue el primer pas latinoamericano en sancionar una Ley contra delitos informticos, la cual entr en
vigencia el 7 de junio de 1993. Esta ley se refiere a los siguientes delitos:
* La destruccin o inutilizacin de los de los datos contenidos dentro de una computadora es castigada con
penas de prisin. Asimismo, dentro de esas consideraciones se encuentran los virus.
* Conducta maliciosa tendiente a la destruccin o inutilizacin de un sistema de tratamiento de informacin
o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento.
* Conducta maliciosa que altere, dae o destruya los datos contenidos en un sistema de tratamiento de
informacin.

Captulo 37: Legislacin - Contexto Nacional

En el contexto nacional se pueden encontrar legislaturas que castiguen algunos de los tipos de delitos
informticos, para lo cual se deben citar:
* El cdigo procesal penal.
* La Ley de Fomento y Proteccin de la Propiedad Intelectual.
Cdigo Procesal Penal.
Dentro de esta ley se contemplan algunos artculos que guardan relacin con los delitos informticos,
especficamente con los siguientes:
La difusin, exhibicin, explotacin de pornografa infantil por medios informticos (Art. 172 y 173).
Estafa agravada, realizar manipulacin que interfiera el resultado de un procesamiento o transmisin de
datos (Art. 216 Num.5).
Delitos relativos a la propiedad intelectual (Art. 226 y 227).
Adems en dicho cdigo se establece que la realizacin de estos delitos puede significar para los
delincuentes penas de prisin que van desde los 6 meses hasta los 8 aos (dependiendo del tipo de delito).
Referido a esto es necesario menciona que en nuestro pas desgraciadamente no se cuenta con la capacidad
instalada para controlar este tipo de acciones delictivas; por lo que la ley aunque escrita esta lejos de ser
cumplida.
La Ley de Fomento y Proteccin de la Propiedad Intelectual.
Al revisar el contenido de la dicha ley y relacionarlo con la informtica, haciendo mayor nfasis en la
proteccin contra los delitos informticos, se pueden establecer dos reas de alcance:
La proteccin de la propiedad intelectual.
La sustraccin de informacin clasificada.

Captulo 38: La proteccin de la propiedad intelectual

La propiedad intelectual comprende la propiedad en las siguientes reas: Literaria, Artstica, Industrial y
Cientfica (donde se sita la informtica). El derecho de propiedad exclusivo se conoce como 'derecho de
autor', en este sentido cualquier tipo de violacin dar lugar a reparacin del dao e indemnizacin de
perjuicios.
Dentro de las categoras de obras cientficas protegidas por esta ley se pueden mencionar los programas de
ordenador y en general cualquier obra con carcter de creacin intelectual o personal, es decir, original.

Captulo 39: La sustraccin de informacin clasificada

Se considera secreto industrial o comercial, toda informacin que guarde un apersona con carcter
confidencial, que le signifique obtener o mantener una ventaja competitiva o econmica frente a terceros, en
la realizacin de activida des econmicas y respecto de la cual haya adoptado los medios o sistemas
razonables para preservar su confidencialidad y el acceso restringido a la misma.
Ahora bien, para la proteccin de la informacin secreta, la ley establece que toda persona que con motivo
de su trabajo, empleo, cargo, puesto, desempeo de su profesin o relacin de negocios tenga acceso a un
secreto a un secreto industrial o comercial del cual se le haya prevenido sobre su confidencialidad, deber
abstenerse de utilizarlo para fines comerciales propios o de revelarlo sin causa justificada y sin
consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado, en caso contrario ser
responsable de los daos y perjuicios ocasionados. Tambin ser responsable el que por medio ilcito
obtenga informacin que contemple un secreto industrial o comercial.
Efectos de la inexistencia de legislatura informtica.
La inexistencia de una ley informtica imposibilita que la persecucin y castigo de los autores de delitos
informticos sea efectiva. Aunado a esto las autoridades (PNC, Fiscala, Corte de Cuentas, rgano Judicial)
no poseen el nivel de experticia requerido en estas reas ni la capacidad instalada para desarrollar actividades
de investigacin, persecucin y recopilacin de pruebas digitales y electrnicas. Por lo que todo tipo de
accin contra los delincuentes informticos quedara prcticamente en las manos de la organizacin que
descubre un delito y el tipo de penalizacin sera ms administrativa que de otro tipo (si el delito proviene de
fuentes internas).
Esfuerzos en legislacin informtica.
En nuestro pas debido a factores como el auge del comercio electrnico a nivel mundial, la aprobacin de la
firma digital en E.U., etc. se esta trabajando en la estructuracin de una ley que le brinde un marco legal a las
prcticas del comercio electrnico (las transacciones por Internet) en nuestro pas. Dicho esfuerzo esta
siendo realizado de manera conjunta por el Ministerio de Economa y la Secretaria Tcnica de la
Presidencia, y se espera que participen en dicha estructuracin diferentes asociaciones y gremiales (Cmara
de Comercio, DIELCO, ASI, etc.) para que sea realmente funcional y efectiva.

Captulo 40: Auditor versus delitos informaticos

Es importante establecer claramente cual es el papel que juega el auditor informtico en relacin con la
deteccin y minimizacin de la ocurrencia de delitos informticos dentro de la organizacin a que presta sus
servicios. Para lograr establecer dicho rol se debe examinar la actuacin del auditor frente a la ocurrencia de
delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos, en fin una serie de
elementos que definen de manera inequvoca el aporte que ste brinda en el manejo de los casos de delitos
informticos.
Rol del Auditor Informtico
El rol del auditor informtico solamente est basado en la verificacin de controles, evaluacin del riesgo de
fraudes y el diseo y desarrollo de exmenes que sean apropiados a la naturaleza de la auditora asignada, y
que deben razonablemente detectar:
* Irregularidades que puedan tener un impacto sobre el rea auditada o sobre toda la organizacin.
* Debilidades en los controles internos que podran resultar en la falta de prevencin o deteccin de
irregularidades.

Captulo 41: Deteccin de delitos

Puesto que la auditoria es una verificacin de que las cosas se estn realizando de la manera planificada, que
todas las actividades se realicen adecuadamente, que los controles sean cumplidos, etc.; entonces el auditor
informtico al detectar irregularidades en el transcurso de la auditoria informtica que le indiquen la
ocurrencia de un delito informtico, deber realizar los siguiente:
* Determinar si se considera la situacin un delito realmente;
* Establecer pruebas claras y precisas;
* Determinar los vacos de la seguridad existentes y que permitieron el delito; Informar a la autoridad
correspondiente dentro de la organizacin;
* Informar a autoridades regulatorias cuando es un requerimiento legal.

Es importante mencionar que el auditor deber manejar con discrecin tal situacin y con el mayor
profesionalismo posible; evitando su divulgacin al pblico o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito, podra tener efectos negativos en la organizacin,
como los siguientes:
* Se puede generar una desconfianza de los empleados hacia el sistema;
* Se pueden generar ms delitos al mostrar las debilidades encontradas;
* Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
* Se pueden perder empleados clave de la administracin, an cuando no estn involucrados en la
irregularidad debido a que la confianza en la administracin y el futuro de la organizacin puede estar en
riesgo.

Captulo 42: Resultados de la auditoria

Si por medio de la auditoria informtica realizada se han detectado la ocurrencia de delitos, el auditor deber
sugerir acciones especificas a seguir para resolver el vaco de seguridad, para que el grupo de la unidad
informtica pueda actuar. Dichas acciones, expresadas en forma de recomendacin pueden ser como las
siguientes:
* Recomendaciones referentes a la revisin total del proceso involucrado;
* Inclusin de controles adicionales;
* Establecimiento de planes de contingencia efectivos;
* Adquisicin de herramientas de control, etc.
Adems de brindar recomendaciones, el auditor informtico deber ayudar a la empresa en el
establecimiento de estrategias contra la ocurrencia de delitos, entre las que pueden destacarse:
* Adquisicin de herramientas computacionales de alto desempeo;
* Controles sofisticados;
* Procedimientos estndares bien establecidos y probados.
* Revisiones continuas; cuya frecuencia depender del grado de importancia para la empresa de las TI; as
como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la organizacin
minimizan el grado de amenaza que representa los delitos informticos, es importante tomar en cuenta que
an cuando todos los procesos de auditora estn debidamente diseados y se cuente con las herramientas
adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas. Por lo que la verificaciones
la informacin y de la TI juegan un papel importante en la deteccin de los delitos informticos.

Captulo 43: Perfil del Auditor Informtico

El auditor informtico como encargado de la verificacin y certificacin de la informtica dentro de las
organizaciones, deber contar con un perfil que le permita poder desempear su trabajo con la calidad y la
efectividad esperada. Para ello a continuacin se establecen algunos elementos con que deber contar:
Conocimientos generales.
* Todo tipo de conocimientos tecnolgicos, de forma actualizada y especializada respecto a las plataformas
existentes en la organizacin;
* Normas estndares para la auditora interna;
* Polticas organizacionales sobre la informacin y las tecnologas de la informacin.
* Caractersticas de la organizacin respecto a la tica, estructura organizacional, tipo de supervisin
existente, compensaciones monetarias a los empleados, extensin de la presin laboral sobre los empleados,
historia de la organizacin, cambios recientes en la administracin, operaciones o sistemas, la industria o
ambiente competitivo en la cual se desempea la organizacin, etc.
* Aspectos legales;
Herramientas.
* Herramientas de control y verificacin de la seguridad;
* Herramientas de monitoreo de actividades, etc.
Tcnicas.
* Tcnicas de Evaluacin de riesgos;
* Muestreo;
* Clculo pos operacin;
* Monitoreo de actividades;

* Recopilacin de grandes cantidades de informacin;

* Verificacin de desviaciones en el comportamiento de la data;
* Anlisis e interpretacin de la evidencia, etc.

Captulo 44: Auditor Externo Versus Auditor Interno

La responsabilidad del auditor externo para detectar irregularidades o fraude se establece en el prefacio de
las normas y estndares de auditora. En este prefacio se indica que aunque el cometido de los auditores
externos no exige normalmente la bsqueda especfica de fraudes, la auditora deber planificarse de forma
que existan unas expectativas razonables de detectar irregularidades materiales o fraude.
Si el auditor externo detecta algn tipo de delito deber presentar un informe detallado sobre la situacin y
aportar elementos de juicio adicionales durante las investigaciones criminales posteriores. El auditor externo
solamente puede emitir opiniones basado en la informacin recabada y normalmente no estar involucrado
directamente en la bsqueda de pruebas; a menos que su contrato sea extendido a otro tipo de actividades
normalmente fuera de su alcance.
El cometido y responsabilidad de los auditores internos vienen definidos por la direccin de la empresa a la
que pertenecen. En la mayora de ellas, se considera que la deteccin de delitos informticos forma parte del
cometido de los auditores internos.

Captulo 45: Auditorias Eficientes

En la mayora de las empresas existe la obligacin de mantener en todo momento unos registros contables
adecuados y el auditor tendr que informar si no fuera as.
Lo ms probable es que el estudio completo de la seguridad y la planificacin de emergencia de los sistemas
mecanizados se incluyan entre las atribuciones de la mayora de los departamentos de auditora interna. Por
ello cuando se realice un anlisis de seguridad informtica y de planificacin de emergencia, el auditor:
* Examinar sistemticamente todos los riesgos que intervengan y acotarn las prdidas probables en cada
caso. * Considerar las maneras de aumentar la seguridad para reducir los riesgos.
* Recomendar todas las acciones necesarias de proteccin encaminadas a reducir el riesgo de que se
produzca una interrupcin, en caso de que se produzca.
* Cuando corresponda, estudiar la cobertura de seguros de la empresa.
Cuando se hable de eficiencia, los auditores tendrn que tener en cuenta las bases de referencia del grupo de
auditoria, que considera lo siguiente:
* A que nivel informan los auditores.
* El apoyo que la direccin presta a los auditores.
* El respeto que tenga la unidad informtica hacia el grupo de auditora.
* La competencia tcnica del equipo de auditora.
* La eficiencia de la unidad informtica, en la que se incluyen ms factores de proteccin y seguridad. Si,
durante el curso de auditora, los auditores tuvieran razones para pensar que las disposiciones de seguridad
de la empresa y los planes de emergencia no son los adecuados, debern reflejar sus opiniones a la Alta
Direccin, a travs del informe de auditoria.
Si sospechase de fraude, el auditor deber avisar a la alta direccin para que se pongan en contacto con su
asesor jurdico, o con la polica, sin levantar las sospechas del personal o los clientes que estuviesen
involucrados. El auditor deber asegurar tambin que los originales de los documentos que pudieran
utilizarse como prueba estn custodiados y a salvo y que ninguna persona que sea sospechosa de fraude
tenga acceso a ellos.

Captulo 46: Conclusiones

* Debido a la naturaleza virtual de los delitos informticos, puede volverse confusa la tipificacin de stos
ya que a nivel general, se poseen pocos conocimientos y experiencias en el manejo de sta rea. Desde el
punto de vista de la Legislatura es difcil la clasificacin de stos actos, por lo que la creacin de
instrumentos legales puede no tener los resultados esperados, sumado a que la constante innovacin
tecnolgica obliga a un dinamismo en el manejo de las Leyes relacionadas con la informtica.
* La falta de cultura informtica es un factor crtico en el impacto de los delitos informticos en la sociedad
en general, cada vez se requieren mayores conocimientos en tecnologas de la informacin, las cuales
permitan tener un marco de referencia aceptable para el manejo de dichas situaciones.

* Nuevas formas de hacer negocios como el comercio electrnico puede que no encuentre el eco esperado en
los individuos y en las empresas hacia los que va dirigido sta tecnologa, por lo que se deben crear
instrumentos legales efectivos que ataquen sta problemtica, con el nico fin de tener un marco legal que se
utilice como soporte para el manejo de ste tipo de transacciones.
* La responsabilidad del auditor informtico no abarca el dar solucin al impacto de los delitos o en
implementar cambios; sino ms bien su responsabilidad recae en la verificacin de controles, evaluacin de
riesgos, as como en el establecimiento de recomendaciones que ayuden a las organizaciones a minimizar las
amenazas que presentan los delitos informticos. * La ocurrencia de delitos informticos en las organizaciones alrededor del mundo no debe en ningn
momento impedir que stas se beneficien de todo lo que proveen las tecnologas de informacin
(comunicacin remota, Interconectividad, comercio electrnico, etc.); sino por el contrario dicha situacin
debe plantear un reto a los profesionales de la informtica, de manera que se realicen esfuerzos encaminados
a robustecer los aspectos de seguridad, controles, integridad de la informacin, etc. en las organizaciones.