Beruflich Dokumente
Kultur Dokumente
Introduccin
2. Objetivos
3. Alcances y Limitaciones
4. Conceptualizacin y generalidades
5. Algunas consideraciones
6. Caractersticas de los delitos
7. Sistemas y empresas con mayor riesgo
8. Delitos en perspectiva
9. Tipificacin de los delitos informticos
10. Conductas dirigidas a causar daos lgicos
11. Fraude a travs de computadoras
12. Ejemplos
13. Copia ilegal de software y espionaje informtico
14. Uso ilegtimo de sistemas informticos ajenos
15. Delitos informticos contra la privacidad
16. Clasificacin segn Actividades Delictivas Graves
17. Infracciones que no Constituyen Delitos Informticos
18. Estadsticas Sobre Delitos Informticos
19. Accesos no autorizados
20. Conclusin sobre el estudio csi
21. Otras estadsticas
22. Impacto de los delitos informticos - Impacto a Nivel
General
CAPITULO 1: Introduccin.
A nadie escapa la enorme influencia que ha alcanzado la informtica en la vida diaria de las personas y
organizaciones, y la importancia que tiene su progreso para el desarrollo de un pas. Las transacciones
comerciales, la comunicacin, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son
todos aspectos que dependen cada da ms de un adecuado desarrollo de la tecnologa informtica.
Junto al avance de la tecnologa informtica y su influencia en casi todas las reas de la vida social, ha
surgido una serie de comportamientos ilcitos denominados, de manera genrica, delitos informticos.
Debido a lo anterior se desarrolla el presente documento que contiene una investigacin sobre la temtica de
los delitos informticos, de manera que al final pueda establecerse una relacin con la auditora informtica.
Para lograr una investigacin completa de la temtica se establece la conceptualizacin respectiva del tema,
generalidades asociadas al fenmeno, estadsticas mundiales sobre delitos informticos, el efecto de stos en
diferentes reas, como poder minimizar la amenaza de los delitos a travs de la seguridad, aspectos de
legislacin informtica, y por ltimo se busca unificar la investigacin realizada para poder establecer el
papel de la auditora informtica frente a los delitos informticos.
Al final del documento se establecen las conclusiones pertinentes al estudio, en las que se busca destacar
situaciones relevantes, comentarios, anlisis, etc.
Captulo 2: Objetivos
General
Realizar una investigacin profunda acerca del fenmeno de los Delitos Informticos, analizando el impacto
de stos en la funcin de Auditoria Informtica en cualquier tipo de organizacin.
Especficos.
- Conceptualizar la naturaleza de los Delitos Informticos
- Estudiar las caractersticas de este tipo de Delitos
- Tipificar los Delitos de acuerdo a sus caractersticas principales
- Investigar el impacto de stos actos en la vida social y tecnolgica de la sociedad
- Analizar las consideraciones oportunas en el tratamiento de los Delitos Informticos
- Mencionar las empresas que operan con mayor riesgo de ser vctimas de sta clase de actos
- Analizar la Legislatura que enmarca a sta clase de Delitos, desde un contexto Nacional e Internacional.
- Definir el rol del auditor ante los Delitos Informticos
- Presentar los indicadores estadsticos referentes a stos actos delictivos
- Tienden a proliferar cada vez ms, por lo que requieren una urgente regulacin. Por el momento siguen
siendo ilcitos impunes de manera manifiesta ante la ley.
causar destrozos fsicos y, por el otro, los mtodos dirigidos a causar daos lgicos.
Conductas dirigidas a causar daos fsicos
El primer grupo comprende todo tipo de conductas destinadas a la destruccin fsica del hardware y el
software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de
la computadora para producir cortocircuitos, echar caf o agentes custicos en los equipos, etc. En general,
estas conductas pueden ser analizadas, desde el punto de vista jurdico, en forma similar a los
comportamientos anlogos de destruccin fsica de otra clase de objetos previstos tpicamente en el delito de
dao.
o secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los
programas originales, como al adicionar al sistema programas especiales que introduce el autor.
A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin
conocimientos especiales de informtica, esta modalidad es ms especficamente informtica y requiere
conocimientos tcnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana:
El autor, empleado de una importante empresa, ingres al sistema informtico un programa que le permiti
incluir en los archivos de pagos de salarios de la compaa a personas ficticias e imputar los pagos
correspondientes a sus sueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de seguridad del banco (listas de
control, sumarios de cuentas, etc.) que eran revisados y evaluados peridicamente por la compaa. Por este
motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los
empleados ficticios y los pagos realizados, no aparecieran en los listados de control.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulacin del output.
Una caracterstica general de este tipo de fraudes, interesante para el anlisis jurdico, es que, en la mayora
de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que,
una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir,
cuantas veces quiera, la comisin del hecho. Incluso, en los casos de manipulacin del programa, la
reiteracin puede ser automtica, realizada por el mismo sistema sin ninguna participacin del autor y cada
vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones
en el programa, el autor podra irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema
seguira imputando el pago de sueldos a los empleados ficticios en su cuenta personal. Una problemtica
especial plantea la posibilidad de realizar estas conductas a travs de los sistemas de teleproceso. Si el
sistema informtico est conectado a una red de comunicacin entre ordenadores, a travs de las lneas
telefnicas o de cualquiera de los medios de comunicacin remota de amplio desarrollo en los ltimos aos,
el autor podra realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el
sistema, incluso desde su propia casa y con una computadora personal. An ms, los sistemas de
comunicacin internacional, permiten que una conducta de este tipo sea realizada en un pas y tenga efectos
en otro.
Respecto a los objetos sobre los que recae la accin del fraude informtico, estos son, generalmente, los
datos informticos relativos a activos o valores. En la mayora de los casos estos datos representan valores
intangibles (ej.: depsitos monetarios, crditos, etc.), en otros casos, los datos que son objeto del fraude,
representan objetos corporales (mercadera, dinero en efectivo, etc.) que obtiene el autor mediante la
manipulacin del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las
prdidas para la vctima son, generalmente, menores ya que estn limitadas por la cantidad de objetos
disponibles. En cambio, en la manipulacin de datos referida a bienes intangibles, el monto del perjuicio no
se limita a la cantidad existente sino que, por el contrario, puede ser creado por el autor.
hay diferencia con la maniobra normal del cajero, que en un descuido se apodera del dinero que maneja en
caja y la maniobra en estudio en donde el apoderamiento del dinero se hace mediante el manejo de la
computadora...
Como el lector advertir, la resolucin adolece de los problemas de adecuacin tpica a que hacamos
referencias ms arriba.
En realidad, el cajero no realiz la conducta de apoderamiento que exige el tipo penal del hurto ya que
recibi el dinero de manos del cajero. En el caso de que se considere que el apoderamiento se produjo en el
momento en el que el autor transfiri los fondos a su cuenta, el escollo de adecuacin tpica insalvable deriva
de la falta de la cosa mueble como objeto del apoderamiento exigido por el tipo penal.
Estafas electrnicas: La proliferacin de las compras telemticas permite que aumenten tambin los casos de
estafa. Se tratara en este caso de una dinmica comisiva que cumplira todos los requisitos del delito de
estafa, ya que adems del engao y el animus defraudandi existira un engao a la persona que compra.
No obstante seguira existiendo una laguna legal en aquellos pases cuya legislacin no prevea los casos en
los que la operacin se hace engaando al ordenador.
Pesca u olfateo de claves secretas: Los delincuentes suelen engaar a los usuarios nuevos e incautos de
la Internet para que revelen sus claves personales hacindose pasar por agentes de la ley o empleados del
proveedor del servicio. Los sabuesos utilizan programas para identificar claves de usuarios, que ms tarde
se pueden usar para esconder su verdadera identidad y cometer otras fechoras, desde el uso no autorizado de
sistemas de computadoras hasta delitos financieros, vandalismo o actos de terrorismo.
Estratagemas: Los estafadores utilizan diversas tcnicas para ocultar computadoras que se parecen
electrnicamente a otras para lograr acceso a algn sistema generalmente restringido y cometer delitos. El
famoso pirata Kevin Mitnick se vali de estratagemas en 1996 para introducirse en la computadora de la
casa de Tsutomo Shimamura, experto en seguridad, y distribuir en la Internet valiosos tiles secretos de
seguridad.
Juegos de azar: El juego electrnico de azar se ha incrementado a medida que el comercio brinda facilidades
de crdito y transferencia de fondos en la Red. Los problemas ocurren en pases donde ese juego es un delito
o las autoridades nacionales exigen licencias. Adems, no se puede garantizar un juego limpio, dadas las
inconveniencias tcnicas y jurisdiccionales que entraa su supervisin.
Fraude: Ya se han hecho ofertas fraudulentas al consumidor tales como la cotizacin de acciones, bonos y
valores o la venta de equipos de computadora en regiones donde existe el comercio electrnico.
Blanqueo de dinero: Se espera que el comercio electrnico sea el nuevo lugar de transferencia electrnica de
mercancas o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones.
de Investigacin (FBI) de San Francisco, Divisin de delitos informticos. El objetivo de este esfuerzo es
levantar el nivel de conocimiento de seguridad, as como ayudar a determinar el alcance de los Delitos
Informticos en los Estados Unidos de Norteamrica.
Entre lo ms destacable del Estudio de Seguridad y Delitos Informticos 2000 se puede incluir lo siguiente:
Violaciones a la seguridad informtica.
- No reportaron Violaciones de Seguridad 10%
- Reportaron Violaciones de Seguridad 90%
90% de los encuestados descubri violaciones a la seguridad de las computadoras dentro de los ltimos doce
meses.
70% reportaron una variedad de serias violaciones de seguridad de las computadoras, y que el ms comn de
estas violaciones son los virus de computadoras, robo de computadoras porttiles o abusos por parte de los
empleados - por ejemplo, robo de informacin, fraude financiero, penetracin del sistema por intrusos y
sabotaje de datos o redes.
Prdidas Financieras.
74% reconocieron prdidas financieras debido a las violaciones de las computadoras. Las prdidas financieras ascendieron a $265,589,940 (el promedio total anual durante los ltimos tres aos
era $120,240,180).
61 encuestados cuantificaron prdidas debido al sabotaje de datos o redes para un total de $27,148,000. Las
prdidas financieras totales debido al sabotaje durante los aos anteriores combinados ascendido a slo
$10,848,850. Como en aos anteriores, las prdidas financieras ms serias, ocurrieron a travs de robo de
informacin (66 encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron
$55,996,000). Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las
grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus permetros
electrnicos, confirmando la tendencia en aos anteriores.
Como en aos anteriores, las prdidas financieras ms serias, ocurrieron a travs de robo de informacin (66
encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron $55,996,000).
Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes
corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus permetros electrnicos,
confirmando la tendencia en aos anteriores.
71% de los encuestados descubrieron acceso desautorizado por personas dentro de la empresa. Pero por
tercer ao consecutivo, la mayora de encuestados (59%) mencion su conexin de Internet como un punto
frecuente de ataque, los que citaron sus sistemas interiores como un punto frecuente de ataque fue un 38%.
Basado en contestaciones de 643 practicantes de seguridad de computadoras en corporaciones americanas,
agencias gubernamentales, instituciones financieras, instituciones mdicas y universidades, los hallazgos del
Estudio de Seguridad y Delitos Informticos 2000 confirman que la amenaza del crimen por
computadoras y otras violaciones de seguridad de informacin continan constantes y que el fraude
financiero est ascendiendo.
Los encuestados detectaron una amplia gama a de ataques y abusos. Aqu estn algunos otros ejemplos: * 25% de encuestados descubrieron penetracin al sistema del exterior. * 79% descubrieron el abuso del empleado por acceso de Internet (por ejemplo, transmitiendo pornografa o
pirate de software, o uso inapropiado de sistemas de correo electrnico). -
A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los
denominados delincuentes cibernticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales
como el acceso sin autorizacin o piratera informtica, el fraude, el sabotaje informtico, la trata de nios
con fines pornogrficos y el acecho.
Los delincuentes de la informtica son tan diversos como sus delitos; puede tratarse de estudiantes,
terroristas o figuras del crimen organizado. Estos delincuentes pueden pa sar desapercibidos a travs de las
fronteras, ocultarse tras incontables enlaces o simplemente desvanecerse sin dejar ningn documento de
rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en parasos
informticos - o sea, en pases que carecen de leyes o experiencia para seguirles la pista -.
Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden
unos 500 millones de dlares al ao debido a los piratas que les roban de las cuentas online sus nmeros de
tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por jugosas sumas de dinero a
falsificadores que utilizan programas especiales para codificarlos en bandas magnticas de tarjetas bancarias
y de crdito, seala el Manual de la ONU.
Otros delincuentes de la informtica pueden sabotear las computadoras para ganarle ventaja econmica a sus
competidores o amenazar con daos a los sistemas con el fin de cometer extorsin. Los malhechores
manipulan los datos o las operaciones, ya sea directamente o mediante los llamados gusanos o virus,
que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus
dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por
medio de disquetes infectados; tambin se estn propagando ltimamente por las redes, con frecuencia
camuflados en mensajes electrnicos o en programas descargados de la red.
En 1990, se supo por primera vez en Europa de un caso en que se us a un virus para sonsacar dinero,
cuando la comunidad de investigacin mdica se vio amenazada con un virus que ira destruyendo datos
paulatinamente si no se pagaba un rescate por la cura.
Los delincuentes cibernticos al acecho tambin usan el correo electrnico para enviar mensajes
amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson Acecho ciberntico:
delito, represin y responsabilidad personal en el mundo online, publicado en 1996, se calcula que unas
200.000 personas acechan a alguien cada ao.
Afirma la Sra. Jenson que una norteamericana fue acechada durante varios aos por una persona
desconocida que usaba el correo electrnico para amenazar con asesinarla, violar a su hija y exhibir la
direccin de su casa en la Internet para que todos la vieran.
Los delincuentes tambin han utilizado el correo electrnico y los chat rooms o salas de tertulia de la
Internet para buscar presas vulnerables. Por ejemplo, los aficionados a la pedofilia se han ganado la
confianza de nios online y luego concertado citas reales con ellos para explotarlos o secuestrarlos. El
Departamento de Justicia de los Estados Unidos dice que se est registrando un incremento de la pedofilia
por la Internet.
Adems de las incursiones por las pginas particulares de la Red, los delincuentes pueden abrir sus propios
sitios para estafar a los clientes o vender mercancas y servicios prohibidos, como armas, drogas,
medicamentos sin receta ni regulacin y pornografa.
La CyberCop Holding Cell, un servicio de quejas online, hace poco emiti una advertencia sobre un anuncio
clasificado de servicio de automviles que apareci en la Internet. Por un precio fijo de $399, el servicio
publicara una descripcin del auto del cliente en una pgina de la Red y garantizaban que les devolveran el
dinero si el vehculo no se venda en un plazo de 90 das.
Informa CyberCop que varios autos que se haban anunciado en la pgina electrnica no se vendieron en ese
plazo, pero los dueos no pudieron encontrar a ninguno de los autores del servicio clasificado para que les
reembolsaran el dinero. Desde entonces, el sitio en la Red de este servicio ha sido clausurado.
de delitos, por lo que personas con conductas maliciosas cada vez ms estn ideando planes y proyectos para
la realizacin de actos delictivos, tanto a nivel empresarial como a nivel global.
Tambin se observa que las empresas que poseen activos informticos importantes, son cada vez ms celosas
y exigentes en la contratacin de personal para trabajar en stas reas, pudiendo afectar en forma positiva o
negativa a la sociedad laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientos informticos bsicos, son ms vulnerables a ser vctimas
de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no
conocen nada de informtica (por lo general personas de escasos recur sos econmicos) pueden ser
engaadas si en un momento dado poseen acceso a recursos tecnolgicos y no han sido asesoradas
adecuadamente para la utilizacin de tecnologas como la Internet, correo electrnico, etc.
La falta de cultura informtica puede impedir de parte de la sociedad la lucha contra los delitos informticos,
por lo que el componente educacional es un factor clave en la minimizacin de esta problemtica.
cifrados, una forma cada vez ms popular de proteger tanto a los particulares como a las empresas en las
redes de computadoras.
Tal vez la criptografa estorbe en las investigaciones penales, pero los derechos humanos podran ser
vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder tcnico. Las empresas
electrnicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del consumidor en
el mercado de la Internet, y los grupos defensores de los derechos humanos desean que se proteja el cmulo
de datos personales archivados actualmente en ficheros electrnicos.
Las empresas tambin recalcan que la informacin podra caer en malas manos, especialmente en pases con
problemas de corrupcin, si los gobiernos tienen acceso a los mensajes en cdigo. Si los gobiernos tienen la
clave para descifrar los mensajes en cdigo, esto significa que personas no autorizadas -que no son del
gobierno- pueden obtenerlas y utilizarlas, dice el gerente general de una importante compaa
norteamericana de ingeniera de seguridad.
Smith, David.
Programador de 30 aos, detenido por el FBI y acusado de crear y distribuir el virus que ha bloqueado miles
de cuentas de correo, Melissa. Entre los cargos presentados contra l, figuran el de bloquear las
comunicaciones publicas y de daar los sistemas informticos. Acusaciones que en caso de demostrarse
en el tribunal podran acarrearle una pena de hasta diez aos de crcel.
Por el momento y a la espera de la decisin que hubiese tomado el juez, David Smith esta en libertad bajo
fianza de 10.000 dlares. Melissa en su corta vida haba conseguido contaminar a ms de 100,000
ordenadores de todo el mundo, incluyendo a empresas como Microsoft, Intel, Compaq, administraciones
pblicas estadounidenses como la del Gobierno del Estado de Dakota del Norte y el Departamento del
Tesoro.
En Espaa su xito fue menor al desarrollarse una extensa campaa de informacin, que alcanzo incluso a
las cadenas televisivas, alertando a los usuarios de la existencia de este virus. La detencin de David Smith
fue fruto de la colaboracin entre los especialistas del FBI y de los tcnicos del primer proveedor de
servicios de conexin a Internet de los Estados Unidos, Amrica On Line. Los ingenieros de Amrica On
Line colaboraron activamente en la investigacin al descubrir que para propagar el virus, Smith haba
utilizado la identidad de un usuario de su servicio de acceso. Adems, como otros proveedores el impacto de
Melissa haba afectado de forma sustancial a buzones de una gran parte de sus catorce millones de usuarios.
Fue precisamente el modo de actuar de Melissa, que remite a los cincuenta primeros inscritos en la agenda
de direcciones del cliente de correo electrnico Outlook Express, centenares de documentos Office la
clave para encontrar al autor del virus. Los ingenieros rastrearon los primeros documentos que fueron
emitidos por el creador del virus, buscando encontrar los signos de identidad que incorporan todos los
documentos del programa ofimtico de Microsoft Office y que en ms de una ocasin han despertado la
alarma de organizaciones en defensa de la privacidad de los usuarios. Una vez desmontado el puzzle de los
documentos y encontradas las claves se consigui localizar al creador de Melissa. Sin embargo, la detencin
de Smith no significa que el virus haya dejado de actuar.
Compaas informticas siguen alertando que an pueden quedar miles de usuarios expuestos a sus efectos,
por desconocimiento o por no haber instalado en sus equipos sistemas antivricos que frenen la actividad de
Melissa u otros virus, que han venido apareciendo ltimamente como Happy99 o Papa.
Poulsen Kevin, Dark Dante.
Diciembre de 1992 Kevin Poulsen, un pirata infame que alguna vez utilizo el alias de Dark Dante en las
redes de computadoras es acusado de robar rdenes de tarea relacionadas con un ejercicio de la fuerza area
militar america na. Se acusa a Poulsen del robo de informacin nacional bajo una seccin del estatuto de
espionaje federal y encara hasta 10 aos en la crcel.
Sigui el mismo camino que Kevin Mitnick, pero es ms conocido por su habilidad para controlar el sistema
telefnico de Pacific Bell. Incluso lleg a ganar un Porsche en un concurso radiofnico, si su llamada
fuera la 102, y as fue.
Poulsen tambin cracke todo tipo de sitios, pero l se interesaba por los que contenan material de defensa
nacional.
Esto fue lo que lo llev a su estancia en la crcel, 5 aos, fue liberado en 1996, supuestamente reformado.
Que dicho sea de paso, es el mayor tiempo de estancia en la crcel que ha comparecido un hacker.
Holland, Wau y Wenery, Steffen.
De visita en la NASA Las dos de la madrugada, Hannover, ciudad Alemana, estaba en silencio. La
primavera llegaba a su fin, y dentro del cuarto cerrado el calor ahogaba. Haca rato que Wau Holland y
Steffen Wernery permanecan sentados frente a la pantalla de una computadora, casi inmviles, inmersos en
una nube de humo cambiando ideas en susurros. - Desde ac tenemos que poder llegar. -murmur Wau. Mse. Hay que averiguar cmo -contest Steffen. Probemos algunos. Siempre eligen nombres relacionados con la astronoma, No? - Tengo un mapa estelar:
usmoslo. Con el libro sobre la mesa, teclearon uno a uno y por orden, los nombres de las diferentes
constelaciones.
- Acceso Denegado -ley Wau-; maldicin, tampoco es este - Quiz nos est faltando alguna indicacin.
Calma.
Ellos temen que otros descubran su cdigo de acceso de la cuenta del banco y entonces transferir fondos a la
cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupacin en dar informacin
confidencial a personas no autorizadas. Las corporaciones tambin se preocupan en dar informacin a los
empleados, quienes no estn autorizados al acceso de esa informacin o quien trata de curiosear sobre una
persona o empleado. Las organizacio nes se preocupan que sus competidores tengan conocimiento sobre
informacin patentada que pueda daarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del trmino de la seguridad
general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar algo
seguro . Algo puede ser un objeto, tal como un secreto, mensaje, aplicacin, archivo, sistema o una
comunicacin interactiva. Seguro los medios son protegidos desde el acceso, el uso o alteracin no
autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
* La autenticacin (promesa de identidad), es decir la prevencin de suplantaciones, que se garantice que
quien firma un mensaje es realmente quien dice ser.
* La autorizacin (se da permiso a una persona o grupo de personas de poder realizar ciertas funciones, al
resto se le niega el permiso y se les sanciona si las realizan).
* La privacidad o confidencialidad, es el ms obvio de los aspecto y se refiere a que la informacin solo
puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad,
especialmente en la comunicacin de los datos. La transmisin a travs de un medio presenta mltiples
oportunidades para ser interceptada y copiada: las lneas pinchadas la intercepcin o recepcin
electromagntica no autorizada o la simple intrusin directa en los equipos donde la informacin est
fsicamente almacenada.
* La integridad de datos, La integridad se refiere a la seguridad de que una informacin no ha sido alterada,
borrada, reordenada, copiada, etc., bien duran te el proceso de transmisin o en su propio equipo de origen.
Es un riesgo comn que el atacante al no poder descifrar un paquete de informacin y, sabiendo que es
importante, simplemente lo intercepte y lo borre.
* La disponibilidad de la informacin, se refiere a la seguridad que la informacin pueda ser recuperada en
el momento que se necesite, esto es, evitar su prdida o bloqueo, bien sea por ataque doloso, mala operacin
accidental o situaciones fortuitas o de fuerza mayor.
* No rechazo (la proteccin contra alguien que niega que ellos originaron la comunicacin o datos).
* Controles de acceso, esto es quien tiene autorizacin y quien no para acceder a una pieza de informacin
determinada.
Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera confiable. Los
requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La importancia de lo que se
est asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar
niveles ms altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino
tambin para el mundo fsico.
En la tabla siguiente se presenta una relacin de los intereses que se deben proteger y sus requerimientos
relacionados:
Intereses ---- Requerimientos
Fraude ---- Autenticacin
Acceso no Autorizado ---- Autorizacin
Curiosear ---- Privacidad
Alteracin de Mensaje ---- Integridad de Datos
Desconocido ---- No - Rechazo
Estos intereses no son exclusivos de Internet. La autenticacin y el asegurar los objetos es una parte de
nuestra vida diaria. La comprensin de los elementos de seguridad y como ellos trabajan en el mundo fsico,
puede ayudar para explicar cmo estos requerimientos se encuentran en el mundo de la red y dnde se sitan
las dificultades.
Los temas legales tambin surgen. Qu obligaciones legales tiene para proteger su informacin?. Si usted
est en una compaa de publicidad puede tener algunas responsabilidades definitivas al respecto.
Asegurar sus datos involucra algo ms que conectarse en un firewall con una interface competente. Lo que
se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera que pueda
ser significativo para la gerencia y usuarios finales. Esto requiere educacin y capacitacin, conjuntamente
con la explicacin, claramente detallada, de las consecuencias de las violaciones. A esto se le llama una
poltica de seguridad y es el primer paso para asegurar responsablemente la red. La poltica puede incluir
instalar un firewall, pero no necesariamente se debe disear su poltica de seguridad alrededor de las
limitaciones del firewall.
Elaborar la poltica de seguridad no es una tarea trivial. Ello no solamente requiere que el personal tcnico
comprenda todas las vulnerabilidades que estn involucradas, tambin requiere que ellos se comuniquen
efectivamente con la gerencia. La gerencia debe decidir finalmente cunto de riesgo debe ser tomado con el
activo de la compaa, y cunto se debera gastar en ambos, en dlares e inconvenientes, a fin de minimizar
los riesgos. Es responsabilidad del personal tcnico asegurar que la gerencia comprenda las implicaciones de
aadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia tenga la suficiente
informacin para la toma de decisiones. Si la poltica de seguridad no viene desde el inicio, ser difcil
imponer incluso medidas de seguridad mnimas. Por ejemplo, si los empleados pueden llegar a alterarse si
ellos imprevistamente tienen que abastecer logins y contraseas donde antes no lo hacan, o estn prohibidos
particulares tipos de acceso a Internet. Es mejor trabajar con estos temas antes de tiempo y poner la poltica
por escrito. Las polticas pueden entonces ser comunicadas a los empleados por la gerencia. De otra forma,
los empleados no lo tomarn en serio, o se tendrn batallas de polticas constantes dentro de la compaa con
respecto a este punto. No solamente con estas batallas tendrn un impacto negativo sobre la productividad,
es menos probable que la decisin tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de
las guerras polticas.
El desarrollo de una poltica de seguridad comprende la identificacin de los activos organizativos,
evaluacin de amenazas potenciales, la evaluacin del riesgo, implementacin de las herramientas y
tecnologas disponibles para hacer frente a los riesgos, y el desarrollo de una poltica de uso. Debe crearse un
procedimiento de auditoria que revise el uso de la red y servidores de forma peridica.
Identificacin de los activos organizativos: Consiste en la creacin de una lista de todas las cosas que
precisen proteccin.
Por ejemplo: * Hardware: ordenadores y equipos de telecomunicacin * Software: programas fuente, utilidades, programas de diagnstico, sistemas operativos, programas de
comunicaciones. * Datos: copias de seguridad, registros de auditoria, bases de datos.
Valoracin del riesgo:
Conlleva la determinacin de lo que se necesita proteger. No es ms que el proceso de examinar todos los
riesgos, y valorarlos por niveles de seguridad.
Definicin de una poltica de uso aceptable:
Las herramientas y aplicaciones forman la base tcnica de la poltica de seguridad, pero la poltica de uso
aceptable debe considerar otros aspectos:
* Quin tiene permiso para usar los recursos?
* Quin esta autorizado a conceder acceso y a aprobar los usos?
* Quin tiene privilegios de administracin del sistema?
* Qu hacer con la informacin confidencial?
* Cules son los derechos y responsabilidades de los usuarios?
Por ejemplo, al definir los derechos y responsabilidades de los usuarios:
* Si los usuarios estn restringidos, y cules son sus restricciones.
* Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.
* Cmo deberan mantener sus contraseas los usuarios.
* Con qu frecuencia deben cambiar sus contraseas.
* Si se facilitan copias de seguridad o los usuarios deben realizar las suyas.
Panorama general
La legislacin sobre proteccin de los sistemas informticos ha de perseguir acercarse lo ms posible a los
distintos medios de proteccin ya existentes, creando una nueva regulacin slo en aquellos aspectos en los
que, basndose en las peculiaridades del objeto de proteccin, sea imprescindible.
Si se tiene en cuenta que los sistemas informticos, pueden entregar datos e informaciones sobre miles de
personas, naturales y jurdicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de
diversas actividades como bancarias, financieras, tributarias, previsionales y de identificacin de las
personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidades dedicadas a proporcionar,
si se desea, cualquier informacin, sea de carcter personal o sobre materias de las ms diversas disciplinas a
un Estado o particulares; se comprender que estn en juego o podran ha llegar a estarlo de modo
dramtico, algunos valores colectivos y los consiguientes bienes jurdicos que el ordenamiento jurdico
institucional debe proteger.
No es la amenaza potencial de la computadora sobre el individuo lo que provoca desvelo, sino la utilizacin
real por el hombre de los sistemas de informacin con fines de espionaje.
No son los grandes sistemas de informacin los que afectan la vida privada sino la manipulacin o el
consentimiento de ello, por parte de individuos poco conscientes e irresponsables de los datos que dichos
sistemas contienen.
La humanidad no esta frente al peligro de la informtica sino frente a la posibilidad real de que individuos o
grupos sin escrpulos, con aspiraciones de obtener el poder que la informacin puede conferirles, la utilicen
para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de las
personas. Asimismo, la amenaza futura ser directamente proporcional a los adelantos de las tecnologas
informticas.
La proteccin de los sistemas informticos puede abordarse tanto desde una perspectiva penal como de una
perspectiva civil o comercial, e incluso de derecho administrativo. Estas distintas medidas de proteccin no
tienen porque ser excluyentes unas de otras, sino que, por el contrario, stas deben estar estrechamente
vinculadas. Por eso, dadas las caractersticas de esta problemtica slo a travs de una proteccin global,
desde los distintos sectores del ordenamiento jurdico, es posible alcanzar una cierta eficacia en la defensa de
los ataques a los sistemas informticos.
Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las personas que cometen los delitos
informticos, los estudiosos en la materia los han catalogado como delitos de cuello blanco trmino
introducido por primera vez por el criminlogo norteamericano Edwin Sutherland en el ao de 1943.
Efectivamente, este conocido criminlogo seala un sinnmero de conductas que considera como delitos de
cuello blanco, an cuando muchas de estas conductas no estn tipificadas en los ordenamientos jurdicos
como delitos, y dentro de las cuales cabe destacar las violaciones a las leyes de patentes y fbrica de
derechos de autor, el mercado negro, el contrabando en las empresas, la evasin de impuestos, las quiebras
fraudulentas, corrupcin de altos funcionarios, entre otros.
Asimismo, este criminlogo estadounidense dice que tanto la definicin de los delitos informticos como
la de los delitos de cuello blanco no es de acuerdo al inters protegido, como sucede en los delitos
convencionales sino de acuerdo al sujeto activo que los comete. Entre las caractersticas en comn que
poseen ambos delitos tenemos que: El sujeto activo del delito es una persona de cierto status
socioeconmico, su comisin no puede explicarse por pobreza ni por mala habitacin, ni por carencia de
recreacin, ni por baja educacin, ni por poca inteligencia, ni por inestabilidad emocional.
Es difcil elaborar estadsticas sobre ambos tipos de delitos. Sin embargo, la cifra es muy alta; no es fcil
descubrirlo y sancionarlo, en razn del poder econmico de quienes lo cometen, pero los daos econmicos
son altsimos; existe una gran indiferencia de la opinin pblica sobre los daos ocasionados a la sociedad;
la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los
desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a s
mismos respetables otra coincidencia que tienen estos tipos de delitos es que, generalmente, son objeto
de medidas o sanciones de carcter administrativo y no privativos de la libertad.
Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que los
usuarios estn esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande de que el
agresor y la vctima estn sujetos a leyes nacionales diferentes. Adems, si bien los acuerdos de cooperacin
internacional y los tratados de extradicin bilaterales intentan remediar algunas de las dificultades
ocasionadas por los delitos informticos, sus posibilidades son limitadas.
Por su parte, el Manual de la Naciones Unidas para la Prevencin y Control de Delitos Informticos
seala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las
insuficiencias, por cuanto los delitos informticos constituyen una nueva forma de crimen transnacional y su
combate requiere de una eficaz co operacin internacional concertada. Asimismo, la ONU resume de la
siguiente manera a los problemas que rodean a la cooperacin internacional en el rea de los delitos
informticos:
* Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informticos.
* Ausencia de acuerdos globales en la definicin legal de dichas conductas delictivas.
* Falta de especializacin de las policas, fiscales y otros funcionarios judiciales en el campo de los delitos
informticos.
* Falta de armonizacin entre las diferentes leyes procesales nacionales acerca de la investigacin de los
delitos informticos.
* Carcter transnacional de muchos delitos cometidos mediante el uso de computadoras.
* Ausencia de tratados de extradicin, de acuerdos de ayuda mutuos y de mecanismos sincronizados que
permitan la puesta en vigor de la cooperacin internacional.
En sntesis, es destacable que la delincuencia informtica se apoya en el delito instrumentado por el uso de la
computadora a travs de redes telemticas y la interconexin de la computadora, aunque no es el nico
medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo
creciente an en pases latinoamericanos, conlleva tambin a la posibilidad creciente de estos delitos; por eso
puede sealarse que la criminalidad informtica constituye un reto considerable tanto para los sectores
afectados de la infraestructura crtica de un pas, como para los legisladores, las autoridades policiales
encargadas de las investigaciones y los funcionarios judiciales.
Estados Unidos.
Este pas adopt en 1994 el Acta Federal de Abuso Computacional que modific al Acta de Fraude y Abuso
Computacional de 1986.
Con la finalidad de eliminar los argumentos hipertcnicos acerca de qu es y que no es un virus, un gusano,
un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisin de un programa,
informacin, cdigos o comandos que causan daos a la computadora, a los sistemas informticos, a las
redes, informacin, datos o programas. La nueva ley es un adelanto porque est directamente en contra de
los actos de transmisin de virus.
Asimismo, en materia de estafas electrnicas, defraudaciones y otros actos dolosos relacionados con los
dispositivos de acceso a sistemas informticos, la legislacin estadounidense sanciona con pena de prisin y
multa, a la persona que defraude a otro mediante la utilizacin de una computadora o red informtica.
En el mes de Julio del ao 2000, el Senado y la Cmara de Representantes de este pas -tras un ao largo de
deliberaciones- establece el Acta de Firmas Electrnicas en el Comercio Global y Nacional. La ley sobre la
firma digital res ponde a la necesidad de dar validez a documentos informticos -mensajes electrnicos y
contratos establecidos mediante Internet- entre empresas (para el B2B) y entre empresas y consumidores
(para el B2C).
Alemania.
Este pas sancion en 1986 la Ley contra la Criminalidad Econmica, que contempla los siguientes delitos:
* Espionaje de datos.
* Estafa informtica.
* Alteracin de datos.
* Sabotaje informtico.
Austria.
La Ley de reforma del Cdigo Penal, sancionada el 22 de Diciembre de 1987, sanciona a aquellos que con
dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de datos
automtica a travs de la confeccin del programa, por la introduccin, cancelacin o alteracin de datos o
por actuar sobre el curso del procesamiento de datos. Adems contempla sanciones para quienes comenten
este hecho utilizando su profesin de especialistas en sistemas.
Gran Bretaa.
Debido a un caso de hacking en 1991, comenz a regir en este pas la Computer Misuse Act (Ley de Abusos
Informticos). Mediante esta ley el intento, exitoso o no, de alterar datos informticos es penado con hasta
cinco aos de prisin o multas. Esta ley tiene un apartado que especfica la modificacin de datos sin
autorizacin.
Holanda.
El 1 de Marzo de 1993 entr en vigencia la Ley de Delitos Informticos, en la cual se penaliza los
siguientes delitos:
* El hacking.
* El preacking (utilizacin de servicios de telecomunicaciones evitando el pago total o parcial de dicho
servicio).
* La ingeniera social (arte de convencer a la gente de entregar informacin que en circunstancias normales
no entregara).
* La distribucin de virus.
Francia.
En enero de 1988, este pas dict la Ley relativa al fraude informtico, en la que se consideran aspectos
como:
* Intromisin fraudulenta que suprima o modifique datos.
* Conducta intencional en la violacin de derechos a terceros que haya impedido o alterado el
funcionamiento de un sistema de procesamiento automatizado de datos.
* Conducta intencional en la violacin de derechos a terceros, en forma directa o indirecta, en la
introduccin de datos en un sistema de procesamiento automatizado o la supresin o modificacin de los
datos que ste contiene, o sus modos de procesamiento o de transmisin.
* Supresin o modificacin de datos contenidos en el sistema, o bien en la alteracin del funcionamiento del
sistema (sabotaje).
Espaa.
En el Nuevo Cdigo Penal de Espaa, se establece que al que causare daos en propiedad ajena, se le
aplicar pena de prisin o multa. En lo referente a:
* La realizacin por cualquier medio de destruccin, alteracin, inutilizacin o cualquier otro dao en los
datos, programas o documentos electrnicos ajenos contenidos en redes, soportes o sistemas informticos.
* El nuevo Cdigo Penal de Espaa sanciona en forma detallada esta categora delictual (Violacin de
secretos/Espionaje/Divulgacin), aplicando pena de prisin y multa.
* En materia de estafas electrnicas, el nuevo Cdigo Penal de Espaa, solo tipifica las estafas con nimo de
lucro valindose de alguna manipulacin informtica, sin detallar las penas a aplicar en el caso de la
comisin del delito.
Chile.
Chile fue el primer pas latinoamericano en sancionar una Ley contra delitos informticos, la cual entr en
vigencia el 7 de junio de 1993. Esta ley se refiere a los siguientes delitos:
* La destruccin o inutilizacin de los de los datos contenidos dentro de una computadora es castigada con
penas de prisin. Asimismo, dentro de esas consideraciones se encuentran los virus.
* Conducta maliciosa tendiente a la destruccin o inutilizacin de un sistema de tratamiento de informacin
o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento.
* Conducta maliciosa que altere, dae o destruya los datos contenidos en un sistema de tratamiento de
informacin.
Es importante mencionar que el auditor deber manejar con discrecin tal situacin y con el mayor
profesionalismo posible; evitando su divulgacin al pblico o a empleados que no tienen nada que ver.
Puesto que de no manejarse adecuadamente el delito, podra tener efectos negativos en la organizacin,
como los siguientes:
* Se puede generar una desconfianza de los empleados hacia el sistema;
* Se pueden generar ms delitos al mostrar las debilidades encontradas;
* Se puede perder la confianza de los clientes, proveedores e inversionistas hacia la empresa;
* Se pueden perder empleados clave de la administracin, an cuando no estn involucrados en la
irregularidad debido a que la confianza en la administracin y el futuro de la organizacin puede estar en
riesgo.
* Nuevas formas de hacer negocios como el comercio electrnico puede que no encuentre el eco esperado en
los individuos y en las empresas hacia los que va dirigido sta tecnologa, por lo que se deben crear
instrumentos legales efectivos que ataquen sta problemtica, con el nico fin de tener un marco legal que se
utilice como soporte para el manejo de ste tipo de transacciones.
* La responsabilidad del auditor informtico no abarca el dar solucin al impacto de los delitos o en
implementar cambios; sino ms bien su responsabilidad recae en la verificacin de controles, evaluacin de
riesgos, as como en el establecimiento de recomendaciones que ayuden a las organizaciones a minimizar las
amenazas que presentan los delitos informticos. * La ocurrencia de delitos informticos en las organizaciones alrededor del mundo no debe en ningn
momento impedir que stas se beneficien de todo lo que proveen las tecnologas de informacin
(comunicacin remota, Interconectividad, comercio electrnico, etc.); sino por el contrario dicha situacin
debe plantear un reto a los profesionales de la informtica, de manera que se realicen esfuerzos encaminados
a robustecer los aspectos de seguridad, controles, integridad de la informacin, etc. en las organizaciones.