Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Informatica
Informatica
A nadie escapa la enorme influencia que ha alcanzado la informtica en la vida diaria de las personas y
organizaciones, y la importancia que tiene su progreso para el desarrollo de un pas. Las transacciones
comerciales, la comunicacin, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc.
son todos aspectos que dependen cada da ms de un adecuado desarrollo de la tecnologa informtica.
Junto al avance de la tecnologa informtica y su influencia en casi todas las reas de la vida social, ha
surgido una serie de comportamientos ilcitos denominados, de manera genrica, delitos informticos.
Debido a lo anterior se desarrolla el presente documento que contiene una investigacin sobre la temtica
de los delitos informticos, de manera que al final pueda establecerse una relacin con la auditora
informtica.
Para lograr una investigacin completa de la temtica se establece la conceptualizacin respectiva del
tema, generalidades asociadas al fenmeno, estadsticas mundiales sobre delitos informticos, el efecto
de stos en diferentes reas, como poder minimizar la amenaza de los delitos a travs de la seguridad,
aspectos de legislacin informtica, y por ltimo se busca unificar la investigacin realizada para poder
establecer el papel de la auditora informtica frente a los delitos informticos.
Al final del documento se establecen las conclusiones pertinentes al estudio, en las que se busca
destacar situaciones relevantes, comentarios, anlisis, etc.
2. Objetivos
General.
Realizar una investigacin profunda acerca del fenmeno de los Delitos Informticos, analizando el
impacto de stos en la funcin de Auditoria Informtica en cualquier tipo de organizacin.
Especficos.
Mencionar las empresas que operan con mayor riesgo de ser vctimas de sta clase de
actos.
Analizar la Legislatura que enmarca a sta clase de Delitos, desde un contexto Nacional e
Internacional.
c.
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto tpico.
d.
El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una accin es
imputable cuando puede ponerse a cargo de una determinada persona
e.
La ejecucin u omisin del acto debe estar sancionada por una pena.
Por tanto, un delito es: una accin antijurdica realizada por un ser humano, tipificado, culpable y
sancionado por una pena.
Se podra definir el delito informtico como toda accin (accin u omisin) culpable realizada por un ser
humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el
contrario, produzca un beneficio ilcito a su autor aunque no perjudique de forma directa o indirecta a la
vctima, tipificado por La Ley, que se realiza en el entorno informtico y est sancionado con una pena.
De esta manera, el autor mexicano Julio TELLEZ VALDEZ seala que los delitos informticos son
"actitudes ilcitas en que se tienen a las computadoras como instrumento o fin (concepto atpico) o las
conductas tpicas, antijurdicas y culpables en que se tienen a las computadoras como instrumento o fin
(concepto tpico)". Por su parte, el tratadista penal italiano Carlos SARZANA, sostiene que los delitos
informticos son "cualquier comportamiento criminal en que la computadora est involucrada como
material, objeto o mero smbolo".
Algunas consideraciones.
En la actualidad las computadoras se utilizan no solo como herramientasauxiliares de apoyo a diferentes
actividades humanas, sino como medio eficaz para obtener y conseguir informacin, lo que las ubica
tambin como un nuevo medio de comunicacin, y condiciona su desarrollo de la informtica; tecnologa
cuya esencia se resume en la creacin, procesamiento, almacenamiento y transmisin de datos.
La informtica esta hoy presente en casi todos los campos de la vida moderna. Con mayor o menor
rapidez todas las ramas del saber humano se rinden ante los progresos tecnolgicos, y comienzan a
utilizar los sistemas de Informacin para ejecutar tareas que en otros tiempos realizaban manualmente.
El progreso cada da ms importante y sostenido de los sistemas computacionales permite hoy procesar y
poner a disposicin de la sociedad una cantidad creciente de informacin de toda naturaleza, al alcance
concreto de millones de interesados y de usuarios. Las ms diversas esferas del conocimientohumano, en
lo cientfico, en lo tcnico, en lo profesional y en lo personal estn siendo incorporadas a sistemas
informticos que, en la prctica cotidiana, de hecho sin limitaciones, entrega con facilidad a quien lo
desee un conjunto de datos que hasta hace unos aos slo podan ubicarse luego de largas bsquedas y
selecciones en que el hombre jugaba un papel determinante y las mquinasexistentes tenan el rango de
equipos auxiliares para imprimir los resultados.
En la actualidad, en cambio, ese enorme caudal de conocimiento puede obtenerse, adems, en segundos
o minutos, transmitirse incluso documentalmente y llegar al receptor mediante sistemas sencillos de
operar, confiables y capaces de responder casi toda la gama de interrogantes que se planteen a los
archivos informticos.
Puede sostenerse que hoy las perspectivas de la informtica no tienen lmites previsibles y que aumentan
en forma que an puede impresionar a muchos actores del proceso.
Este es el panorama de este nuevo fenmeno cientfico tecnolgico en las sociedades modernas. Por ello
ha llegado a sostenerse que la Informtica es hoy una forma de Poder Social. Las facultades que el
fenmeno pone a disposicin de Gobiernos y de particulares, con rapidez y ahorro consiguiente de
tiempoy energa, configuran un cuadro de realidades de aplicacin y de posibilidades de juegoslcito e
ilcito, en donde es necesario el derecho para regular los mltiples efectos de una situacin, nueva y de
tantas potencialidades en el medio social.
Los progresos mundiales de las computadoras, el creciente aumento de las capacidades de
almacenamientoy procesamiento, la miniaturizacin de los chips de las computadoras instalados en
productos industriales, la fusin del proceso de la informacin con las nuevas tecnologas de
comunicacin, as como la investigacin en el campo de la inteligencia artificial, ejemplifican el desarrollo
actual definido a menudo como la "era de la informacin".
Esta marcha de las aplicaciones de la informtica no slo tiene un lado ventajoso sino que plantea
tambin problemasde significativa importancia para el funcionamiento y la seguridad de los sistemas
informticos en los negocios, la administracin, la defensa y la sociedad.
Debido a esta vinculacin, el aumento del nivel de los delitos relacionados con los sistemas informticos
registrados en la ltima dcada en los Estados Unidos, Europa Occidental, Australia y Japn, representa
una amenaza para la economa de un pas y tambin para la sociedad en su conjunto.
De acuerdo con la definicin elaborada por un grupo de expertos, invitados por la OCDE a Pars en mayo
de 1983, el trmino delitos relacionados con las computadoras se define como cualquier comportamiento
antijurdico, no tico o no autorizado, relacionado con el procesado automtico de datos y/o transmisiones
de datos. La amplitud de este concepto es ventajosa, puesto que permite el uso de las mismas
hiptesisde trabajo para toda clase de estudios penales, criminlogos, econmicos, preventivos o legales.
En la actualidad la informatizacin se ha implantado en casi todos los pases. Tanto en la organizacin y
administracin de empresas y administraciones pblicas como en la investigacin cientfica, en la
produccin industrial o en el estudio e incluso en el ocio, el uso de la informtica es en ocasiones
indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta
comienzan a surgir algunas facetas negativas, como por ejemplo, lo que ya se conoce como "criminalidad
informtica".
El espectacular desarrollo de la tecnologa informtica ha abierto las puertas a nuevas posibilidades de
delincuencia antes impensables. La manipulacin fraudulenta de los ordenadores con nimo de lucro, la
destruccin de programas o datos y el acceso y la utilizacin indebida de la informacin que puede afectar
la esfera de la privacidad, son algunos de los procedimientosrelacionados con el procesamiento
electrnico de datos mediante los cuales es posible obtener grandes beneficios econmicos o causar
importantes daos materiales o morales.
Pero no slo la cuanta de los perjuicios as ocasionados es a menudo infinitamente superior a la que es
usual en la delincuencia tradicional, sino que tambin son mucho ms elevadas las posibilidades de que
no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar
toda huella de los hechos.
En este sentido, la informtica puede ser el objeto del ataque o el medio para cometer otros delitos. La
informtica rene unas caractersticas que la convierten en un medio idneo para la comisin de muy
distintas modalidades delictivas, en especial de carcter patrimonial (estafas, apropiaciones indebidas,
etc.). La idoneidad proviene, bsicamente, de la gran cantidad de datos que se acumulan, con la
consiguiente facilidad de acceso a ellos y la relativamente fcil manipulacin de esos datos.
La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas,
tanto pblicas como privadas, los ha transformado en un objeto cuyo ataque provoca un perjuicio enorme,
que va mucho ms all del valor material de los objetos destruidos. A ello se une que estos ataques son
relativamente fciles de realizar, con resultados altamente satisfactorios y al mismo tiempo procuran a los
autores una probabilidad bastante alta de alcanzar los objetivos sin ser descubiertos.
Caractersticas de los delitos:
Segn el mexicano Julio Tellez Valdez, los delitos informticos presentan las siguientes caractersticas
principales:
a.
Son conductas criminales de cuello blanco (white collar crime), en tanto que slo un
determinado nmero de personas con ciertos conocimientos (en este caso tcnicos) puede llegar a
cometerlas.
b.
Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se
halla trabajando.
c.
Son accionesde oportunidad, ya que se aprovecha una ocasin creada o altamente
intensificada en el mundo de funciones y organizaciones del sistema tecnolgico y econmico.
d.
Provocan serias prdidas econmicas, ya que casi siempre producen "beneficios" de ms de
cinco cifras a aquellos que las realizan.
e.
Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundo y sin una
necesaria presencia fsica pueden llegar a consumarse.
f.
Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulacin
por parte del Derecho.
g.
Son muy sofisticados y relativamente frecuentes en el mbito militar.
h.
Presentan grandes dificultades para su comprobacin, esto por su mismo carcter tcnico.
i.
Tienden a proliferar cada vez ms, por lo que requieren una urgente regulacin. Por el
momento siguen siendo ilcitos impunes de manera manifiesta ante la ley.
Sistemas y empresas con mayor riesgo.
Evidentemente el artculo que resulta ms atractivo robar es el dinero o algo de valor. Por lo tanto, los
sistemas que pueden estar ms expuestos a fraude son los que tratan pagos, como los de nmina,
ventas, o compras. En ellos es donde es ms fcil convertir transacciones fraudulentas en dinero y
sacarlo de la empresa.
Por razones similares, las empresas constructoras, bancos y compaas de seguros, estn ms
expuestas a fraudes que las dems.
Los sistemas mecanizados son susceptibles de prdidas o fraudes debido a que:
Tratan grandes volmenes de datos e interviene poco personal, lo que impide verificar todas
las partidas.
Se sobrecargan los registros magnticos, perdindose la evidencia auditable o la secuencia
de acontecimientos.
A veces los registros magnticos son transitorios y a menos que se realicen pruebas dentro
de un perodo de tiempo corto, podran perderse los detalles de lo que sucedi, quedando slo los
efectos.
En el diseode un sistema importante es difcil asegurar que se han previsto todas las
situaciones posibles y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir.
Los sistemas tienden a ser algo rgidos y no siempre se disean o modifican al ritmo con que se producen
los acontecimientos; esto puede llegar a ser otra fuente de "agujeros".
Slo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el
centro de clculo puede llegar a ser un centro de informacin. Al mismo tiempo, el centro de clculo
procesar muchos aspectos similares de las transacciones.
En el centro de clculo hay un personal muy inteligente, que trabaja por iniciativa propia la
mayora del tiempo y podra resultar difcil implantar unos niveles normales de control y supervisin.
El error y el fraudeson difciles de equiparar. A menudo, los errores no son iguales al fraude.
Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la investigacin puede
abandonarse antes de llegar a esa conclusin. Se tiende a empezar buscando errores de programacin y
del sistema. Si falla esta operacin, se buscan fallos tcnicos y operativos. Slo cuando todas estas
averiguaciones han dado resultados negativos, acaba pensndose en que la causa podra ser un fraude.
Delitos en perspectiva.
Los delitos pueden ser examinado desde dos puntos de vista diferentes:
lgicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de
destruir gran cantidad de datos en un tiempo mnimo.
Estos programas destructivos, utilizan distintas tcnicas de sabotaje, muchas veces, en forma combinada.
Sin pretender realizar una clasificacin rigurosa de estos mtodos de destruccin lgica, podemos
distinguir:
a.
Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva del programa
comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una
fecha o a una hora determinada), o por la aparicin de determinada seal (que puede aparecer o puede
no aparecer), como la presencia de un dato, de un cdigo, o cualquier mandato que, de acuerdo a lo
determinado por el programador, es identificado por el programa como la seal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado program el sistema
de tal forma que los ficheros de la empresa se destruiran automticamente si su nombre era borrado de
la lista de empleados de la empresa.
b.
Otra modalidad que acta sobre los programas de aplicacin es el llamado cncer de rutinas
(cancer routine). En esta tcnica los programas destructivos tienen la particularidad de que se
reproducen, por s mismos, en otros programas, arbitrariamente escogidos.
c.
Una variante perfeccionada de la anterior modalidad es el virus informtico que es un
programa capaz de multiplicarse por s mismo y contaminar los otros programas que se hallan en el
mismo disco rgido donde fue instalado y en los datos y programas contenidos en los distintos discos con
los que toma contacto a travs de una conexin.
Fraude a travs de computadoras.
Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la alteracin
de datos o procesos contenidos en sistemas informticos, realizada con el objeto de obtener ganancias
indebidas.
Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la forma de trabajo de un
sistema informtico: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir
datos falsos, en un ordenador. Esta forma de realizacin se conoce como manipulacin del input.
Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia
alemana:
Una empleada de un banco del sur de Alemania transfiri, en febrero de 1983, un milln trescientos mil
marcos alemanes a la cuenta de una amiga - cmplice en la maniobra - mediante el simple mecanismo de
imputar el crdito en una terminal de computadora del banco. La operacin fue realizada a primera hora
de la maana y su falsedad podra haber sido detectada por el sistema de seguridad del banco al
medioda. Sin embargo, la rpida transmisin del crdito a travs de sistemas informticos conectados en
lnea (on line), hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un milln
doscientos ochenta mil marcos unos minutos despus de realizada la operacin informtica.
En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el
programa o secuencia lgicacon el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al
modificar los programas originales, como al adicionar al sistema programas especiales que introduce el
autor.
A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin
conocimientos especiales de informtica, esta modalidad es ms especficamente informtica y requiere
conocimientos tcnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana:
El autor, empleado de una importante empresa, ingres al sistema informtico un programa que le
permiti incluir en los archivos de pagos de salarios de la compaa a personas ficticias e imputar los
pagos correspondientes a sus sueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de seguridad del banco (listas de
control, sumarios de cuentas, etc.) que eran revisados y evaluados peridicamente por la compaa. Por
este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salariospara
que los empleados ficticios y los pagos realizados, no aparecieran en los listados de control.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulacin del output.
Una caracterstica general de este tipo de fraudes, interesante para el anlisis jurdico, es que, en la
mayora de los casos detectados, la conductadelictiva es repetida varias veces en el tiempo. Lo que
sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la
posibilidad de repetir, cuantas veces quiera, la comisin del hecho. Incluso, en los casos de "manipulacin
del programa", la reiteracin puede ser automtica, realizada por el mismo sistema sin ninguna
participacin del autor y cada vez que el programa se active.
En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor
podra irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguira imputando el
pago de sueldos a los empleados ficticios en su cuenta personal.
Una problemtica especial plantea la posibilidad de realizar estas conductas a travs de los sistemas de
teleproceso. Si el sistema informtico est conectado a una red de comunicacin entre ordenadores, a
travs de las lneas telefnicas o de cualquiera de los medios de comunicacin remota de amplio
desarrollo en los ltimos aos, el autor podra realizar estas conductas sin ni siquiera tener que ingresar a
las oficinas donde funciona el sistema, incluso desde su propia casa y con una computadora personal.
An ms, los sistemas de comunicacin internacional, permiten que una conducta de este tipo sea
realizada en un pas y tenga efectos en otro.
Respecto a los objetos sobre los que recae la accin del fraude informtico, estos son, generalmente, los
datos informticos relativos a activos o valores. En la mayora de los casos estos datos representan
valores intangibles (ej.: depsitos monetarios, crditos, etc.), en otros casos, los datos que son objeto del
fraude, representan objetos corporales (mercadera, dineroen efectivo, etc.) que obtiene el autor mediante
la manipulacin del sistema. En las manipulaciones referidas a datos que representan objetos corporales,
las prdidas para la vctima son, generalmente, menores ya que estn limitadas por la cantidad de objetos
disponibles. En cambio, en la manipulacin de datos referida a bienes intangibles, el monto del perjuicio
no se limita a la cantidad existente sino que, por el contrario, puede ser creado por el autor.
Ejemplos:
El autor, empleado del Citibank, tena acceso a las terminales de computacinde la institucin bancaria.
Aprovechando esta circunstancia utiliz, en varias oportunidades, las terminales de los cajeros, cuando
ellos se retiraban, para transferir, a travs del sistema informtico, fondos de distintas cuentas a su cuenta
personal.
Posteriormente, retir el dineroen otra de las sucursales del banco.
En primera instancia el Juez calific los hechos como constitutivos del delito de hurto en forma reiterada.
La Fiscala de Cmara solicit el cambio de calificacin, considerando que los hechos constituan el delito
de estafa.
La Cmara del crimen resolvi:
... y contestando a la teora fiscal, entiendo que le asiste razn al Dr. Galli en cuanto sostiene que
estamos en presencia del tipo penal de hurto y no de estafa. Ello es as porque el apoderamiento lo hace
el procesado y no le entrega el banco por medio de un error, requisito indispensable para poder hablar de
estafa. El apoderamiento lo hace el procesado directamente, manejando el sistema de computacin. De
manera que no hay diferencia con la maniobra normal del cajero, que en un descuido se apodera del
dinero que maneja en caja y la maniobra en estudio en donde el apoderamiento del dinero se hace
mediante el manejo de la computadora....
Como el lector advertir, la resolucin adolece de los problemas de adecuacin tpica a que hacamos
referencias ms arriba.
En realidad, el cajero no realiz la conducta de apoderamiento que exige el tipo penal del hurto ya que
recibi el dinero de manos del cajero. En el caso de que se considere que el apoderamiento se produjo en
el momento en el que el autor transfiri los fondos a su cuenta, el escollo de adecuacin tpica insalvable
deriva de la falta de la cosa mueble como objeto del apoderamiento exigido por el tipo penal.
Estafas electrnicas: La proliferacin de las compras telemticas permite que aumenten tambin los
casos de estafa. Se tratara en este caso de una dinmica comisiva que cumplira todos los requisitos del
delito de estafa, ya que adems del engao y el "animus defraudandi" existira un engao a la personaque
compra. No obstante seguira existiendo una laguna legal en aquellos pases cuya legislacin no prevea
los casos en los que la operacin se hace engaando al ordenador.
"Pesca" u "olfateo" de claves secretas: Los delincuentes suelen engaar a los usuarios nuevos e incautos
de la Internet para que revelen sus claves personales hacindose pasar por agentes de la ley o
empleados del proveedor del servicio. Los "sabuesos" utilizan programas para identificar claves de
usuarios, que ms tarde se pueden usar para esconder su verdadera identidad y cometer otras fechoras,
desde el uso no autorizado de sistemas de computadoras hasta delitos financieros, vandalismo o actos de
terrorismo.
Estratagemas: Los estafadores utilizan diversas tcnicas para ocultar computadoras que se "parecen"
electrnicamente a otras para lograr acceso a algn sistema generalmente restringido y cometer delitos.
El famoso pirata Kevin Mitnick se vali de estratagemas en 1996 para introducirse en la computadora de
la casa de Tsutomo Shimamura, experto en seguridad, y distribuir en la Internet valiosos tiles secretos de
seguridad.
Juegos de azar: El juego electrnico de azar se ha incrementado a medida que el comercio brinda
facilidades de crdito y transferencia de fondos en la Red. Los problemas ocurren en pases donde ese
juegoes un delito o las autoridades nacionales exigen licencias. Adems, no se puede garantizar un juego
limpio, dadas las inconveniencias tcnicas y jurisdiccionales que entraa su supervisin.
Fraude: Ya se han hecho ofertas fraudulentas al consumidor tales como la cotizacin de acciones, bonos
y valores o la ventade equipos de computadora en regiones donde existe el comercio electrnico.
Blanqueo de dinero: Se espera que el comercio electrnico sea el nuevo lugar de transferencia
electrnica de mercancas o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden
ocultar transacciones.
Copia ilegal de software y espionaje informtico.
Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un sistema de informacin. Es
comn el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos
el objeto del apoderamiento es el mismo programa de computacin (software) que suele tener un
importante valor econmico.
Infraccin de los derechos de autor: La interpretacin de los conceptos de copia, distribucin, cesin y
comunicacin pblica de los programas de ordenador utilizando la red provoca diferencias de criterio a
nivel jurisprudencial.
Infraccin del Copyright de bases de datos: No existe una proteccin uniforme de las bases de datos en
los pases que tienen acceso a Internet. El sistema de proteccin ms habitual es el contractual: el
propietario del sistema permite que los usuarios hagan "downloads" de los ficheros contenidos en el
sistema, pero prohibe el replicado de la base de datos o la copia masiva de informacin.
Uso ilegtimo de sistemas informticos ajenos.
Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un
sistema informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los
sistemas de procesamiento de datosque utilizan los sistemas de las empresas para fines privados y
actividades complementarias a su trabajo. En estos supuestos, slo se produce un perjuicio econmico
importante para las empresas en los casos de abuso en el mbito del teleproceso o en los casos en que
las empresas deben pagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene que el uso ilegtimo de passwords y la entrada en
un sistema informtico sin la autorizacin del propietario debe quedar tipificado como un delito, puesto
que el bien jurdico que acostumbra a protegerse con la contrasea es lo suficientemente importante para
que el dao producido sea grave.
Delitos informticos contra la privacidad.
Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano
mediante la acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas informticos.
Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de
tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en ficheros o
soportes informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o registro pblico o
privado.
Existen circunstancias agravantes de la divulgacin de ficheros, los cuales se dan en funcin de:
1.
El carcter de los datos: ideologa, religin, creencias, salud, origen racial y vida sexual.
2.
Las circunstancias de la vctima: menor de edad o incapaz.
Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos de
escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra seal de
comunicacin, se piensa que entre lo anterior se encuentra el pinchado de redes informticas.
Interceptacin de e-mail: En este caso se propone una ampliacin de los preceptos que castigan la
violacin de correspondencia, y la interceptacin de telecomunicaciones, de forma que la lectura de un
mensaje electrnico ajeno revista la misma gravedad.
Pornografa infantil.
La distribucin de pornografa infantil por todo el mundo a travs de la Internet est en aumento. Durante
los pasados cinco aos, el nmero de condenas por transmisin o posesin de pornografa infantil ha
aumentado de 100 a 400 al ao en un pas norteamericano. El problema se agrava al aparecer nuevas
tecnologas, como la criptografa, que sirve para esconder pornografa y dems material "ofensivo" que se
transmita o archive.
Clasificacin Segn el Instrumento, Medio o Fin u Objetivo.
Asimismo, TELLEZ VALDEZ clasifica a estos delitos, de acuerdo a dos criterios:
propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al
ciberespacio o al revs.
Infracciones que no Constituyen Delitos Informticos.
Usos comerciales no ticos: Algunas empresas no han podido escapar a la tentacin de aprovechar la red
para hacer una oferta a gran escala de sus productos, llevando a cabo "mailings electrnicos" al colectivo
de usuarios de un gateway, un nodo o un territorio determinado. Ello, aunque no constituye una infraccin,
es mal recibido por los usuarios de Internet, poco acostumbrados, hasta fechas recientes, a un uso
comercial de la red.
Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de discusin o foros de
debateonline, se dedican a obstaculizar las comunicaciones ajenas, interrumpiendo conversaciones de
forma repetida, enviando mensajes con insultos personales, etc.
Tambin se deben tomar en cuenta las obscenidades que se realizan a travs de la Internet.
6. Estadsticas sobre Delitos Informticos
Desde hace cinco aos, en los Estados Unidos existe una institucin que realiza un estudio anual sobre la
Seguridad Informtica y los crmenes cometidos a travs de las computadoras.
Esta entidad es El Instituto de Seguridad de Computadoras (CSI), quien anunci recientemente los
resultados de su quinto estudio anual denominado "Estudio de Seguridad y Delitos Informticos" realizado
a un total de 273 Institucionesprincipalmente grandes Corporaciones y Agencias del Gobierno.
Este Estudio de Seguridad y Delitos Informticos es dirigido por CSI con la participacin Agencia Federal
de Investigacin (FBI) de San Francisco, Divisin de delitos informticos. El objetivo de este esfuerzo es
levantar el nivel de conocimiento de seguridad, as como ayudar a determinar el alcance de los Delitos
Informticos en los Estados Unidos de Norteamrica.
Entre lo ms destacable del Estudio de Seguridad y Delitos Informticos 2000 se puede incluir lo
siguiente:
Violaciones a la seguridad informtica.
90% de los encuestados descubri violaciones a la seguridad de las computadoras dentro de los ltimos
doce meses.
Las prdidas financieras ascendieron a $265,589,940 (el promedio total anual durante los
ltimos tres aos era $120,240,180).
6I encuestados cuantificaron prdidas debido al sabotaje de datos o redes para un total de $27,148,000.
Las prdidas financieras totales debido al sabotaje durante los aos anteriores combinados ascendido a
slo $10,848,850.
Como en aos anteriores, las prdidas financieras ms serias, ocurrieron a travs de robo de informacin
(66 encuestados reportaron $66,708,000) y el fraude financiero (53 encuestados informaron $55,996,000).
Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes
corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus permetros
electrnicos, confirmando la tendencia en aos anteriores.
Accesos no autorizados.
71% de los encuestados descubrieron acceso desautorizado por personas dentro de la empresa. Pero por
tercer ao consecutivo, la mayora de encuestados (59%) mencion su conexin de Internet como un
punto frecuente de ataque, los que citaron sus sistemas interiores como un punto frecuente de ataque fue
un 38%.
Basado en contestaciones de 643 practicantes de seguridad de computadoras en corporaciones
americanas, agencias gubernamentales, instituciones financieras, instituciones mdicas y universidades,
los hallazgos del "Estudio de Seguridad y Delitos Informticos 2000" confirman que la amenaza del
crimen por computadoras y otras violaciones de seguridad de informacin continan constantes y que el
fraude financiero est ascendiendo.
Los encuestados detectaron una amplia gama a de ataques y abusos. Aqu estn algunos otros ejemplos:
79% descubrieron el abuso del empleado por acceso de Internet (por ejemplo, transmitiendo
pornografa o pirate de software, o uso inapropiado de sistemas de correo electrnico).
Comercio electrnico.
Por segundo ao, se realizaron una serie de preguntas acerca del comercio electrnico por Internet. Aqu
estn algunos de los resultados:
1.
93% de encuestados tienen sitios de WWW.
2.
43% maneja el comercio electrnico en sus sitios (en 1999, slo era un 30%).
3.
19% experimentaron accesos no autorizados o inapropiados en los ltimos doce meses.
4.
32% dijeron que ellos no saban si hubo o no, acceso no autorizado o inapropiado.
5.
35% reconocieron haber tenido ataques, reportando de dos a cinco incidentes.
6.
19% reportaron diez o ms incidentes.
7.
64% reconocieron ataques reportados por vandalismo de la Web.
8.
8% reportaron robo de informacin a travs de transacciones.
9.
3% reportaron fraude financiero.
Conclusin sobre el estudio csi:
Las tendencias que el estudio de CSI/FBI ha resaltado por aos son alarmantes. Los "Cyber crmenes" y
otros delitos de seguridad de informacin se han extendido y diversificado. El 90% de los encuestados
reportaron ataques. Adems, tales incidentes pueden producir serios daos. Las 273 organizaciones que
pudieron cuantificar sus prdidas, informaron un total de $265,589,940. Claramente, la mayora fueron en
condiciones que se apegan a prcticas legtimas, con un despliegue de tecnologas sofisticadas, y lo ms
importante, por personal adecuado y entrenando, practicantes de seguridad de informacin en el sector
privado y en el gobierno.
Otras estadsticas:
Segn datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los
consumidores pierden unos 500 millones de dlares al ao debido a los piratas que les roban de las
cuentas online sus nmeros de tarjeta de crdito y de llamadas. Dichos nmeros se pueden vender por
jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas
magnticas de tarjetasbancarias y de crdito, seala el Manual de la ONU.
Los delincuentes cibernticos al acecho tambin usan el correo electrnico para enviar
mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson "Acecho
ciberntico: delito, represin y responsabilidad personal en el mundo online", publicado en 1996, se
calcula que unas 200.000 personas acechan a alguien cada ao.
Adems de las incursiones por las pginas particulares de la Red, los delincuentes pueden abrir sus
propios sitios para estafar a los clientes o vender mercancas y servicios prohibidos, como armas, drogas,
medicamentos sin receta ni regulacin y pornografa.
La CyberCop Holding Cell, un servicio de quejas online, hace poco emiti una advertencia sobre un
anuncio clasificado de servicio de automviles que apareci en la Internet. Por un precio fijo de $399, el
servicio publicara una descripcin del auto del cliente en una pgina de la Red y garantizaban que les
devolveran el dinero si el vehculo no se venda en un plazo de 90 das.
Informa CyberCop que varios autos que se haban anunciado en la pgina electrnica no se vendieron en
ese plazo, pero los dueos no pudieron encontrar a ninguno de los autores del servicio clasificado para
que les reembolsaran el dinero. Desde entonces, el sitio en la Red de este "servicio" ha sido clausurado.
Impacto a Nivel Social.
La proliferacin de los delitos informticos a hecho que nuestra sociedad sea cada vez ms escptica a la
utilizacin de tecnologas de la informacin, las cuales pueden ser de mucho beneficio para la sociedad
en general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo
el comercio electrnico puede verse afectado por la falta de apoyo de la sociedad en general.
Tambin se observa el grado de especializacin tcnica que adquieren los delincuentes para cometer ste
tipo de delitos, por lo que personas con conductas maliciosas cada vez ms estn ideando planes y
proyectos para la realizacin de actos delictivos, tanto a nivel empresarial como a nivel global.
Tambin se observa que las empresas que poseen activos informticos importantes, son cada vez ms
celosas y exigentes en la contratacin de personal para trabajar en stas reas, pudiendo afectar en
forma positiva o negativa a la sociedad laboral de nuestros tiempos.
Aquellas personas que no poseen los conocimientos informticos bsicos, son ms vulnerables a ser
vctimas de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas
que no conocen nada de informtica (por lo general personas de escasos recursos econmicos) pueden
ser engaadas si en un momento dado poseen acceso a recursos tecnolgicos y no han sido asesoradas
adecuadamente para la utilizacin de tecnologas como la Internet, correo electrnico, etc.
La falta de cultura informtica puede impedir de parte de la sociedad la lucha contra los delitos
informticos, por lo que el componente educacional es un factor clave en la minimizacin de esta
problemtica.
Impacto en la Esfera Judicial.
Captura de delincuentes cibernticos.
A medida que aumenta la delincuencia electrnica, numerosos pases han promulgado leyes declarando
ilegales nuevas prcticas como la piratera informtica, o han actualizado leyes obsoletas para que delitos
tradicionales, incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el mundo virtual.
Singapur, por ejemplo, enmend recientemente su Ley sobre el Uso Indebido de las Computadoras.
Ahora son ms severos los castigos impuestos a todo el que interfiera con las "computadoras protegidas"
--es decir, las que estn conectadas con la seguridad nacional, la banca, las finanzas y los servicios
pblicos y de urgencia-- as como a los transgresores por entrada, modificacin, uso o intercepcin de
material computadorizado sin autorizacin.
Hay pases que cuentan con grupos especializados en seguir la pista a los delincuentes cibernticos. Uno
de los ms antiguos es la Oficina de Investigaciones Especiales de la Fuerza Area de los Estados
Unidos, creada en 1978. Otro es el de Investigadores de la Internet, de Australia, integrado por oficiales
de la ley y peritos con avanzados conocimientos de informtica. El grupo australiano recoge pruebas y las
pasa a las agencias gubernamentales de represin pertinentes en el estado donde se origin el delito.
Pese a estos y otros esfuerzos, las autoridades an afrentan graves problemas en materia de informtica.
El principal de ellos es la facilidad con que se traspasan las fronteras, por lo que la investigacin,
enjuiciamiento y condena de los transgresores se convierte en un dolor de cabeza jurisdiccional y jurdico.
Adems, una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les siga
juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al lugar donde se cometieron los
delitos.
En 1992, los piratas de un pas europeo atacaron un centro de computadoras de California. La
investigacin policial se vio obstaculizada por la doble tipificacin penal --la carencia de leyes similares en
los dos pases que prohiban ese comportamiento-- y esto impidi la cooperacin oficial, segn informa el
Departamento de Justicia de los Estados Unidos. Con el tiempo, la polica del pas de los piratas se
ofreci a ayudar, pero poco despus la piratera termin, se perdi el rastro y se cerr el caso.
Asimismo, en 1996 el Servicio de Investigacin Penal y la Agencia Federal de Investigacin (FBI) de los
Estados Unidos le sigui la pista a otro pirata hasta un pas sudamericano. El pirata informtico estaba
robando archivos de claves y alterando los registros en computadoras militares, universitarias y otros
sistemas privados, muchos de los cuales contenan investigacin sobre satlites, radiacin e ingeniera
energtica.
Los oficiales del pas sudamericano requisaron el apartamento del pirata e incautaron su equipo de
computadora, aduciendo posibles violaciones de las leyes nacionales. Sin embargo, los dos pases no
haban firmado acuerdos de extradicin por delitos de informtica sino por delitos de carcter ms
tradicional. Finalmente se resolvi la situacin slo porque el pirata accedi a negociar su caso, lo que
condujo a que se declarara culpable en los Estados Unidos.
Destruccin u ocultacin de pruebas.
Otro grave obstculo al enjuiciamiento por delitos cibernticos es el hecho de que los delincuentes
pueden destruir fcilmente las pruebas cambindolas, borrndolas o trasladndolas. Si los agentes del
orden operan con ms lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que
los datos estn cifrados, una forma cada vez ms popular de proteger tanto a los particulares como a las
empresas en las redes de computadoras.
Tal vez la criptografa estorbe en las investigaciones penales, pero los derechos humanos podran ser
vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder tcnico. Las empresas
electrnicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del
consumidor en el mercado de la Internet, y los grupos defensores de los derechos humanos desean que
se proteja el cmulo de datos personales archivados actualmente en ficheros electrnicos.
Las empresas tambin recalcan que la informacin podra caer en malas manos, especialmente en pases
con problemas de corrupcin, si los gobiernos tienen acceso a los mensajes en cdigo. "Si los gobiernos
tienen la clave para descifrar los mensajes en cdigo, esto significa que personas no autorizadas --que no
son del gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante compaa
norteamericana de ingeniera de seguridad.
Impacto en la Identificacin de Delitos a Nivel Mundial.
Las dificultades que enfrentan las autoridades en todo el mundo ponen de manifiesto la necesidad
apremiante de una cooperacin mundial para modernizar las leyes nacionales, las tcnicas de
investigacin, la asesora jurdica y las leyes de extradicin para poder alcanzar a los delincuentes. Ya se
han iniciado algunos esfuerzos al respecto.
En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que coordinen sus leyes y
cooperen en la solucin de ese problema. El Grupo de Trabajo Europeo sobre delitos en la tecnologa de
la informtica ha publicado un Manual sobre el delito por computadora, en el que se enumeran las leyes
pertinentes en los diversos pases y se exponen tcnicas de investigacin, al igual que las formas de
buscar y guardar el material electrnico en condiciones de seguridad.
El Instituto Europeo de Investigacin Antivirus colabora con las universidades, la industria y los medios de
comunicacin y con expertos tcnicos en seguridad y asesores jurdicos de los gobiernos, agentes del
orden y organizaciones encargadas de proteger la intimidad a fin de combatir los virus de las
computadoras o "caballos de Troya". Tambin se ocupa de luchar contra el fraude electrnico y la
explotacin de datos personales.
En 1997, los pases del Grupo de los Ocho aprobaron una estrategia innovadora en la guerra contra el
delito de "tecnologa de punta". El Grupo acord que establecera modos de determinar rpidamente la
proveniencia de los ataques por computadora e identificar a los piratas, usar enlaces por vdeo para
entrevistar a los testigos a travs de las fronteras y ayudarse mutuamente con capacitacin y equipo.
Tambin decidi que se unira a las fuerzas de la industria con miras a crear instituciones para resguardar
las tecnologas de computadoras, desarrollar sistemas de informacin para identificar casos de uso
indebido de las redes, perseguir a los infractores y recabar pruebas.
El Grupo de los Ocho ha dispuesto ahora centros de coordinacin abiertos 24 horas al da, siete das a la
semana para los encargados de hacer cumplir la ley. Estos centros apoyan las investigaciones de otros
Estados mediante el suministro de informacin vital o ayuda en asuntos jurdicos, tales como entrevistas a
testigos o recoleccin de pruebas consistentes en datos electrnicos.
Un obstculo mayor opuesto a la adopcin de una estrategia del tipo Grupo de los Ocho a nivel
internacional es que algunos pases no tienen la experiencia tcnica ni las leyes que permitiran a los
agentes actuar con rapidez en la bsqueda de pruebas en sitios electrnicos --antes de que se pierdan-- o
transferirlas al lugar donde se est enjuiciando a los infractores.
Casos de Impacto de los Delitos Informticos
Zinn, Herbert, Shadowhack.
Herbert Zinn, (expulsado de la educacin media superior), y que operaba bajo el seudnimo de
"Shadowhawk", fue el primer sentenciado bajo el cargo de Fraude Computacional y Abuso en 1986. Zinn
tenia 16 y 17 cuando violo el acceso a AT&T y los sistemas del Departamento de Defensa. Fue
sentenciado el 23 de enero de 1989, por la destruccin del equivalente a US $174,000 en archivos, copias
de programas, los cuales estaban valuados en millones de dlares, adems publico contraseas y
instrucciones de cmo violar la seguridad de los sistemas computacionales. Zinn fue sentenciado a 9
meses de crcel y a una fianza de US$10,000. Se estima que Zinn hubiera podido alcanzar una sentencia
de 13 aos de prisin y una fianza de US$800,000 si hubiera tenido 18 aos en el momento del crimen.
Smith, David.
Programador de 30 aos, detenido por el FBI y acusado de crear y distribuir el virus que ha bloqueado
miles de cuentas de correo, "Melissa". Entre los cargos presentados contra l, figuran el de "bloquear las
comunicaciones publicas" y de "daar los sistemas informticos". Acusaciones que en caso de
demostrarse en el tribunal podran acarrearle una pena de hasta diez aos de crcel.
Por el momento y a la espera de la decisin que hubiese tomado el juez, David Smith esta en libertad bajo
fianza de 10.000 dlares. Melissa en su "corta vida" haba conseguido contaminar a ms de 100,000
ordenadores de todo el mundo, incluyendo a empresas como Microsoft, Intel, Compaq, administraciones
pblicas estadounidenses como la del Gobierno del Estado de Dakota del Norte y el Departamento del
Tesoro.
En Espaa su "xito" fue menor al desarrollarse una extensa campaa de informacin, que alcanzo
incluso a las cadenas televisivas, alertando a los usuarios de la existencia de este virus. La detencin de
David Smith fue fruto de la colaboracin entre los especialistas del FBI y de los tcnicos del primer
proveedor de servicios de conexin a Internet de los Estados Unidos, Amrica On Line. Los ingenieros de
Amrica On Line colaboraron activamente en la investigacin al descubrir que para propagar el virus,
Smith haba utilizado la identidad de un usuario de su servicio de acceso. Adems, como otros
proveedores el impacto de Melissa haba afectado de forma sustancial a buzones de una gran parte de
sus catorce millones de usuarios.
Fue precisamente el modo de actuar de Melissa, que remite a los cincuenta primeros inscritos en la
agenda de direcciones del cliente de correo electrnico "Outlook Express", centenares de documentos
"Office" la clave para encontrar al autor del virus. Los ingenieros rastrearon los primeros documentos que
fueron emitidos por el creador del virus, buscando encontrar los signos de identidad que incorporan todos
los documentos del programa ofimtico de Microsoft "Office" y que en ms de una ocasin han
despertado la alarma de organizaciones en defensa de la privacidad de los usuarios. Una vez
desmontado el puzzle de los documentos y encontradas las claves se consigui localizar al creador de
Melissa. Sin embargo, la detencin de Smith no significa que el virus haya dejado de actuar.
Compaas informticas siguen alertando que an pueden quedar miles de usuarios expuestos a sus
efectos, por desconocimiento o por no haber instalado en sus equipos sistemas antivricos que frenen la
actividad de Melissa u otros virus, que han venido apareciendo ltimamente como Happy99 o Papa.
Poulsen Kevin, Dark Dante.
Diciembre de 1992 Kevin Poulsen, un pirata infame que alguna vez utilizo el alias de "Dark Dante" en las
redes de computadoras es acusado de robar rdenes de tarea relacionadas con un ejercicio de la fuerza
area militar americana. Se acusa a Poulsen del robo de informacin nacional bajo una seccin del
estatuto de espionaje federal y encara hasta 10 aos en la crcel.
Sigui el mismo camino que Kevin Mitnick, pero es ms conocido por su habilidad para controlar el
sistema telefnico de Pacific Bell. Incluso lleg a "ganar" un Porsche en un concurso radiofnico, si su
llamada fuera la 102, y as fue.
Poulsen tambin cracke todo tipo de sitios, pero l se interesaba por los que contenan material de
defensa nacional.
Esto fue lo que lo llev a su estancia en la crcel, 5 aos, fue liberado en 1996, supuestamente
"reformado". Que dicho sea de paso, es el mayor tiempo de estancia en la crcel que ha comparecido un
hacker.
Holland, Wau y Wenery, Steffen.
De visita en la NASA "Las dos de la madrugada, Hannover, ciudad Alemana, estaba en silencio. La
primavera llegaba a su fin, y dentro del cuarto cerrado el calor ahogaba. Haca rato que Wau Holland y
Steffen Wernery permanecan sentados frente a la pantalla de una computadora, casi inmviles, inmersos
en una nube de humo cambiando ideas en susurros. - Desde ac tenemos que poder llegar. -murmur
Wau. - Mse. Hay que averiguar cmo -contest Steffen. Probemos algunos. Siempre eligen nombres relacionados con la astronoma, No? - Tengo un mapa
estelar: usmoslo. Con el libro sobre la mesa, teclearon uno a uno y por orden, los nombres de las
diferentes constelaciones.
- "Acceso Denegado" -ley Wau-; maldicin, tampoco es este - Quiz nos est faltando alguna indicacin.
Calma.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del trmino de la seguridad
general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar "algo
seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje, aplicacin, archivo, sistema o una
comunicacin interactiva. "Seguro" los medios son protegidos desde el acceso, el uso o alteracin no
autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
La autorizacin (se da permiso a una persona o grupo de personas de poder realizar ciertas
funciones, al resto se le niega el permiso y se les sanciona si las realizan).
No rechazo (la proteccin contra alguien que niega que ellos originaron la comunicacin o
datos).
Controles de acceso, esto es quien tiene autorizacin y quien no para acceder a una pieza
de informacin determinada.
Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera confiable. Los
requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La importancia de lo que
se est asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar
niveles ms altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino
tambin para el mundo fsico.
En la tabla siguiente se presenta una relacin de los intereses que se deben proteger y sus
requerimientos relacionados:
Requerimientos
Autenticacin
Autorizacin
Privacidad
Integridad de Datos
No Rechazo
Estos intereses no son exclusivos de Internet. La autenticacin y el asegurar los objetos es una parte de
nuestra vida diaria. La comprensin de los elementos de seguridad y como ellos trabajan en el mundo
fsico, puede ayudar para explicar cmo estos requerimientos se encuentran en el mundo de la red y
dnde se sitan las dificultades.
Medidas de seguridad de la red.
Existen numerosas tcnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es
disear una poltica de seguridad. En ella, definir quines tienen acceso a las diferentes partes de la red,
poner protecciones con contraseas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar
peridicamente (Evitar las passwords "por defecto" o demasiado obvias).
Firewalls.
Existen muchas y muy potentes herramientas de cara a la seguridad de una red informtica. Una de las
maneras drsticas de no tener invasores es la de poner murallas. Los mecanismos ms usados para la
proteccin de la red interna de otras externas son los firewalls o cortafuegos. Estos tienen muchas
aplicaciones, entre las ms usadas est:
Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas
de filtrado que le permiten discriminar el trfico segn nuestras indicaciones.
Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos establecer
sern a nivel de direcciones IP, tanto fuente como destino.
Seguridad en WWW.
Es posible hacer un formulario seguro?
Para hacer un formulario se debe tener un servidor seguro.
En primer lugar los formularios pueden tener "agujeros" a travs de los que un hacker hbil, incluso poco
hbil, puede "colar" comandos.
La red es totalmente pblica y abierta, los paquetes pasan por mquinas de las que no se tiene
conocimiento y a las que puede tener acceso la gente que le guste husmear el trfico de la red. Si es as
(y no tienen que ser necesariamente hackers malintencionados, algunos proveedores de servicio lo
hacen) slo se puede recurrir a encriptar el trfico por medio, en WWW, de servidores y clientes seguros.
Poltica de seguridad.
Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo exterior a travs de
la organizacin, da al personal e institucin muchos beneficios. Sin embargo, a mayor acceso que se
provea, mayor es el peligro de que alguien explote lo que resulta del incremento de vulnerabilidad.
De hecho, cada vez que se aade un nuevo sistema, acceso de red o aplicacin se agregan
vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la proteccin. Sin embargo, si
se est dispuesto a enfrentar realmente los riesgos, es posible cosechar los beneficios de mayor acceso
mientras se minimizan los obstculos. Para lograr esto, se necesitar un plan complejo, as como los
recursos para ejecutarlo. Tambin se debe tener un conocimiento detallado de los riesgos que pueden
ocurrir en todos los lugares posibles, as como las medidas que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podra muy bien serlo, especialmente
en organizaciones pequeas que no tienen personal experto en todos los temas. Alguien podra estar
tentado para contratar un consultor de seguridad y hacerlo con l; aunque esto puede ser una buena
manera para outsourcing, todava necesita saber lo suficiente y observar la honestidad del consultor.
Despus de todo, se le va a confiar a ellos los bienes ms importantes de la organizacin.
Para asegurar una red adecuadamente, no solamente se necesita un profundo entendimiento de las
caractersticas tcnicas de los protocolos de red, sistemas operativos y aplicaciones que son accesadas,
sino tambin lo concerniente al planeamiento. El plan es el primer paso y es la base para asegurar que
todas las bases sean cubiertas.
Por qu se necesita una poltica de seguridad?
La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad est la del gran
firewall que permanece al resguardo de la apertura de su red, defendiendo de ataques de malvolos
hackers. Aunque un firewall jugar un papel crucial, es slo una herramienta que debe ser parte de una
estrategia ms comprensiva y que ser necesaria a fin de proteger responsablemente los datos de la red.
Por una parte, sabiendo cmo configurar un firewall para permitir las comunicaciones que se quiere que
ingresen, mientras salvaguarda otros datos, es un hueso muy duro de roer.
An cuando se tenga las habilidades y experiencia necesaria para configurar el firewall correctamente,
ser difcil conocer la administracin de riesgos que est dispuesto a tomar con los datos y determinar la
cantidad de inconveniencias a resistir para protegerlos. Tambin se debe considerar cmo asegurar los
hosts que estn siendo accesados. Incluso con la proteccin de firewall, no hay garanta que no se pueda
desarrollar alguna vulnerabilidad. Y es muy probable que haya un dispositivo en peligro.
Los modems, por ejemplo, pueden proveer un punto de acceso a su red que completamente sobrepase
su firewall. De hecho, un firewall puede aumentar la probabilidad que alguien establecer un mdem para
el acceso al Internet mediante otro ISP (ISP - Internet Service Providers, cualquier empresa o institucin
que provea de conexin a Internet), por las restricciones que el firewall puede imponer sobre ellos (algo
para recordar cuando se empieza a configurar su firewall).
Se puede proveer restricciones o "proteccin," que puede resultar ser innecesario una vez que las
consecuencias se entienden claramente como un caso de negocio. Por otra parte, los riesgos pueden
justificar el incremento de restricciones, resultando incmodo. Pero, a menos que el usuario est
prevenido de estos peligros y entienda claramente las consecuencias para aadir el riesgo, no hay mucho
que hacer.
Los temas legales tambin surgen. Qu obligaciones legales tiene para proteger su informacin?. Si
usted est en una compaa de publicidad puede tener algunas responsabilidades definitivas al respecto.
Asegurar sus datos involucra algo ms que conectarse en un firewall con una interface competente. Lo
que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este plan en una manera
que pueda ser significativo para la gerencia y usuarios finales. Esto requiere educacin y capacitacin,
conjuntamente con la explicacin, claramente detallada, de las consecuencias de las violaciones. A esto
se le llama una "poltica de seguridad" y es el primer paso para asegurar responsablemente la red. La
poltica puede incluir instalar un firewall, pero no necesariamente se debe disear su poltica de seguridad
alrededor de las limitaciones del firewall.
Elaborar la poltica de seguridad no es una tarea trivial. Ello no solamente requiere que el personal tcnico
comprenda todas las vulnerabilidades que estn involucradas, tambin requiere que ellos se comuniquen
efectivamente con la gerencia. La gerencia debe decidir finalmente cunto de riesgo debe ser tomado con
el activo de la compaa, y cunto se debera gastar en ambos, en dlares e inconvenientes, a fin de
minimizar los riesgos. Es responsabilidad del personal tcnico asegurar que la gerencia comprenda las
implicaciones de aadir acceso a la red y a las aplicaciones sobre la red, de tal manera que la gerencia
tenga la suficiente informacin para la toma de decisiones. Si la poltica de seguridad no viene desde el
inicio, ser difcil imponer incluso medidas de seguridad mnimas.
Por ejemplo, si los empleados pueden llegar a alterarse si ellos imprevistamente tienen que abastecer
logins y contraseas donde antes no lo hacan, o estn prohibidos particulares tipos de acceso a Internet.
Es mejor trabajar con estos temas antes de tiempo y poner la poltica por escrito. Las polticas pueden
entonces ser comunicadas a los empleados por la gerencia. De otra forma, los empleados no lo tomarn
en serio, o se tendrn batallas de polticas constantes dentro de la compaa con respecto a este punto.
No solamente con estas batallas tendrn un impacto negativo sobre la productividad, es menos probable
que la decisin tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las guerras
polticas.
El desarrollo de una poltica de seguridad comprende la identificacin de los activos organizativos,
evaluacin de amenazas potenciales, la evaluacin del riesgo, implementacin de las herramientas y
tecnologas disponibles para hacer frente a los riesgos, y el desarrollo de una poltica de uso. Debe
crearse un procedimiento de auditoria que revise el uso de la red y servidores de forma peridica.
Identificacin de los activos organizativos: Consiste en la creacin de una lista de todas las cosas que
precisen proteccin.
Por ejemplo:
Si los usuarios pueden compartir cuentas o dejar que otros usuarios utilicen sus cuentas.
ha llegar a estarlo de modo dramtico, algunos valores colectivos y los consiguientes bienes jurdicos que
el ordenamiento jurdico institucional debe proteger.
No es la amenaza potencial de la computadora sobre el individuo lo que provoca desvelo, sino la
utilizacin real por el hombre de los sistemas de informacin con fines de espionaje.
No son los grandes sistemas de informacin los que afectan la vida privada sino la manipulacin o el
consentimiento de ello, por parte de individuos poco conscientes e irresponsables de los datos que dichos
sistemas contienen.
La humanidad no esta frente al peligro de la informtica sino frente a la posibilidad real de que individuos
o grupos sin escrpulos, con aspiraciones de obtener el poder que la informacin puede conferirles, la
utilicen para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de
las personas. Asimismo, la amenaza futura ser directamente proporcional a los adelantos de las
tecnologas informticas.
La proteccin de los sistemas informticos puede abordarse tanto desde una perspectiva penal como de
una perspectiva civil o comercial, e incluso de derecho administrativo. Estas distintas medidas de
proteccin no tienen porque ser excluyentes unas de otras, sino que, por el contrario, stas deben estar
estrechamente vinculadas. Por eso, dadas las caractersticas de esta problemtica slo a travs de una
proteccin global, desde los distintos sectores del ordenamiento jurdico, es posible alcanzar una cierta
eficacia en la defensa de los ataques a los sistemas informticos.
Anlisis legislativo.
Un anlisis de las legislaciones que se han promulgado en diversos pases arroja que las normas jurdicas
que se han puesto en vigor estn dirigidas a proteger la utilizacin abusiva de la informacin reunida y
procesada mediante el uso de computadoras.
Desde hace aproximadamente diez aos la mayora de los pases europeos han hecho todo lo posible
para incluir dentro de la ley, la conducta punible penalmente, como el acceso ilegal a sistemas de
computo o el mantenimiento ilegal de tales accesos, la difusin de virus o la interceptacin de mensajes
informticos.
En la mayora de las naciones occidentales existen normas similares a los pases europeos. Todos estos
enfoques estn inspirados por la misma preocupacin de contar con comunicaciones electrnicas,
transacciones e intercambios tan confiables y seguros como sea posible.
Las personas que cometen los "Delitos Informticos" son aquellas que poseen ciertas caractersticas que
no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades
para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en
lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de
los sistemas informatizados, an cuando, en muchos de los casos, no desarrollen actividades laborales
que faciliten la comisin de este tipo de delitos.
Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que
lo que los diferencia entre s es la naturaleza de los delitos cometidos. De esta forma, la persona que
"ingresa" en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una
institucin financiera que desva fondos de las cuentas de sus clientes.
El nivel tpico de aptitudes del delincuente informtico es tema de controversia ya que para algunos el
nivel de aptitudes no es indicador de delincuencia informtica en tanto que otros aducen que los posibles
delincuentes informticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto
tecnolgico, caractersticas que pudieran encontrarse en un empleado del sector de procesamiento de
datos.
Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las personas que cometen los
"delitos informticos", los estudiosos en la materia los han catalogado como "delitos de cuello blanco"
trmino introducido por primera vez por el criminlogo norteamericano Edwin Sutherland en el ao de
1943.
Efectivamente, este conocido criminlogo seala un sinnmero de conductas que considera como "delitos
de cuello blanco", an cuando muchas de estas conductas no estn tipificadas en los ordenamientos
jurdicos como delitos, y dentro de las cuales cabe destacar las "violaciones a las leyes de patentes y
fbrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasin de
impuestos, las quiebras fraudulentas, corrupcin de altos funcionarios, entre otros".
Asimismo, este criminlogo estadounidense dice que tanto la definicin de los "delitos informticos" como
la de los "delitos de cuello blanco" no es de acuerdo al inters protegido, como sucede en los delitos
convencionales sino de acuerdo al sujeto activo que los comete. Entre las caractersticas en comn que
poseen ambos delitos tenemos que: "El sujeto activo del delito es una persona de cierto status
socioeconmico, su comisin no puede explicarse por pobreza ni por mala habitacin, ni por carencia de
recreacin, ni por baja educacin, ni por poca inteligencia, ni por inestabilidad emocional".
Es difcil elaborar estadsticas sobre ambos tipos de delitos. Sin embargo, la cifra es muy alta; no es fcil
descubrirlo y sancionarlo, en razn del poder econmico de quienes lo cometen, pero los daos
econmicos son altsimos; existe una gran indiferencia de la opinin pblica sobre los daos ocasionados
a la sociedad; la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los
segrega, no los desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se
considera a s mismos "respetables" otra coincidencia que tienen estos tipos de delitos es que,
generalmente, "son objeto de medidas o sanciones de carcter administrativo y no privativos de la
libertad".
Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en forma internacional, ya que
los usuarios estn esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande
de que el agresor y la vctima estn sujetos a leyes nacionales diferentes. Adems, si bien los acuerdos
de cooperacin internacional y los tratados de extradicin bilaterales intentan remediar algunas de las
dificultades ocasionadas por los delitos informticos, sus posibilidades son limitadas.
Por su parte, el "Manual de la Naciones Unidas para la Prevencin y Control de Delitos Informticos"
seala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las
insuficiencias, por cuanto los delitos informticos constituyen una nueva forma de crimen transnacional y
su combate requiere de una eficaz cooperacin internacional concertada. Asimismo, la ONU resume de la
siguiente manera a los problemas que rodean a la cooperacin internacional en el rea de los delitos
informticos:
Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos
informticos.
ley sobre la firma digital responde a la necesidad de dar validez a documentos informticos -mensajes
electrnicos y contratos establecidos mediante Internet- entre empresas (para el B2B) y entre empresas y
consumidores (para el B2C).
Alemania.
Este pas sancion en 1986 la Ley contra la Criminalidad Econmica, que contempla los siguientes
delitos:
Espionaje de datos.
Estafa informtica.
Alteracin de datos.
Sabotaje informtico.
Austria.
La Ley de reforma del Cdigo Penal, sancionada el 22 de Diciembre de 1987, sanciona a aquellos que
con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboracin de
datos automtica a travs de la confeccin del programa, por la introduccin, cancelacin o alteracin de
datos o por actuar sobre el curso del procesamiento de datos. Adems contempla sanciones para quienes
comenten este hecho utilizando su profesin de especialistas en sistemas.
Gran Bretaa.
Debido a un caso de hacking en 1991, comenz a regir en este pas la Computer Misuse Act (Ley de
Abusos Informticos). Mediante esta ley el intento, exitoso o no, de alterar datos informticos es penado
con hasta cinco aos de prisin o multas. Esta ley tiene un apartado que especfica la modificacin de
datos sin autorizacin.
Holanda.
El 1 de Marzo de 1993 entr en vigencia la Ley de Delitos Informticos, en la cual se penaliza los
siguientes delitos:
El hacking.
La distribucin de virus.
Francia.
En enero de 1988, este pas dict la Ley relativa al fraude informtico, en la que se consideran aspectos
como:
El nuevo Cdigo Penal de Espaa sanciona en forma detallada esta categora delictual
(Violacin de secretos/Espionaje/Divulgacin), aplicando pena de prisin y multa.
En materia de estafas electrnicas, el nuevo Cdigo Penal de Espaa, solo tipifica las
estafas con nimo de lucro valindose de alguna manipulacin informtica, sin detallar las penas a aplicar
en el caso de la comisin del delito.
Chile.
Chile fue el primer pas latinoamericano en sancionar una Ley contra delitos informticos, la cual entr en
vigencia el 7 de junio de 1993. Esta ley se refiere a los siguientes delitos:
Conducta maliciosa tendiente a la destruccin o inutilizacin de un sistema de tratamiento
de informacin o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su
funcionamiento.
Conducta maliciosa que altere, dae o destruya los datos contenidos en un sistema de
tratamiento de informacin.
10. Auditor versus delitos informticos
Es importante establecer claramente cual es el papel que juega el auditor informtico en relacin con la
deteccin y minimizacin de la ocurrencia de delitos informticos dentro de la organizacin a que presta
sus servicios. Para lograr establecer dicho rol se debe examinar la actuacin del auditor frente a la
ocurrencia de delitos, estrategias para evitarlos, recomendaciones adecuadas, conocimientos requeridos,
en fin una serie de elementos que definen de manera inequvoca el aporte que ste brinda en el manejo
de los casos de delitos informticos.
Rol del Auditor Informtico
El rol del auditor informtico solamente est basado en la verificacin de controles, evaluacin del riesgo
de fraudes y el diseo y desarrollo de exmenes que sean apropiados a la naturaleza de la auditora
asignada, y que deben razonablemente detectar:
Irregularidades que puedan tener un impacto sobre el rea auditada o sobre toda la
organizacin.
Controles sofisticados;
Revisiones continuas; cuya frecuencia depender del grado de importancia para la empresa
de las TI; as como de las herramientas y controles existentes.
Si bien es cierto las recomendaciones dadas por el auditor, las estrategias implementadas por la
organizacin minimizan el grado de amenaza que representa los delitos informticos, es importante tomar
en cuenta que an cuando todos los procesos de auditora estn debidamente diseados y se cuente con
las herramientas adecuadas, no se puede garantizar que las irregularidades puedan ser detectadas. Por
lo que la verificaciones la informacin y de la TI juegan un papel importante en la deteccin de los delitos
informticos.
Perfil del Auditor Informtico.
El auditor informtico como encargado de la verificacin y certificacin de la informtica dentro de las
organizaciones, deber contar con un perfil que le permita poder desempear su trabajo con la calidad y
la efectividad esperada. Para ello a continuacin se establecen algunos elementos con que deber contar:
Conocimientos generales.
Aspectos legales;
Herramientas.
Muestreo;
Monitoreo de actividades;
Cuando se hable de eficiencia, los auditores tendrn que tener en cuenta las bases de referencia del
grupo de auditoria, que considera lo siguiente:
A que nivel informan los auditores.
El apoyo que la direccin presta a los auditores.
El respeto que tenga la unidad informtica hacia el grupo de auditora.
hardware , software y comunicaciones ha sido necesario que la norma penal tenga tipificada esta
conducta criminal.
Uno de los medios de transferencia electrnica de fondos se refiere a colocar sumas de dinero de una
cuenta a otra, ya sea dentro de la misma entidad financiera o una cuenta en otra entidad de otro tipo, ya
sea pblica o privada. Con la frase "telemtica en general" se incluye todas aquellas transferencias u
operaciones cunatificables en dinero que pueden realizarse en la red informtica ya sea con el uso de
Internet , por ejemplo en el Comercio Electrnico o por otro medio. Cuando se refiere a "empleo de claves
secretas" se est incluyendo la vulneracin de password, de niveles de seguridad, de cdigos o claves
secretas.
c) Delito de Falsificacin de Documentos Informticos.
El Decreto Legislativo 681 modificado por la Ley 26612, es la norma que regula el valor probatorio del
documento informtico, incluyendo en los conceptos de microforma y microduplicado tanto al microfilm
como al documento informtico. El artculo 19 de esta norma establece que : "la falsificacin y
adulteracin de microformas, microduplicados y microcopias sea durante el proceso de grabacin o en
cualquier otro momento, se reprime como delito contra la fe pblica, conforme las normas pertinentes del
Cdigo Penal".
Las microformas que cumplidos los requisitos tcnicos (equipos y software certificados que garantizan
inalterabilidad, fijeza , durabilidad, fidelidad e integridad de documentos micrograbados) y formales (que
procesos de micrograbacin sean autenticados por un depositario de la fe pblica, por ejemplo el
fedatario juramentado en informtica) sustituyen a los documentos originales para todos los efectos
legales.
En el Cdigo Penal Peruano (C.P.), entre los delitos contra la fe pblica, que son aplicables a la
falsificacin y adulteracin de microformas digitales tenemos los siguientes :
i) Falsificacin de documentos. "El que hace, en todo o en parte, un documento falso o adultera uno
verdadero que pueda dar origen a derecho u obligacin o servir para probar un hecho con el propsito de
utilizar el documento, ser reprimido, si de su uso puede resultar algn perjuicio, con pena privativa de
libertad no menor de dos ni mayor de diez aos..." (Artculo 427 del C.P.). Trtandose de microformas
digitales su falsficacin y/o adulteracin son sancionados con la misma pena.
ii) Falsedad ideolgica "El que inserta o hace insertar , en instrumento pblico , declaraciones falsas
concernientes a hechos que deben probarse con el documento, con el propsito de emplearlo como si la
declaracin fuera conforme a la verdad, ser reprimido si de uso puede resultar algn perjuicio , con pena
privativa de libertad no menor de tres ni mayor de seis aos.." (Artculo 428 del C.P.). Hay que tener en
cuenta que la microforma digital de un documento pblico tiene su mismo valor, por tanto puede darse el
caso de falsedad ideolgica de instrumentos pblicos contenidos en microformas digitales.
iii) Omisin de declaracin que debe constar en el documento. "El que omite en un documento pblico o
privado declaraciones que deberan constar o expide duplicados con igual omisin al tiempo de ejercer
una funcin y con el fin de dar origen a un hecho u obligacin , ser reprimido con pena privativa de
libertad no menor de uno ni mayor de seis" ( Artculo 429 del C.P.). Para que tenga valor probatorio y
efecto legal una microforma digital tiene que cumplir requisitos formales y tcnicos. El requisito formal
consiste en que debe ser autenticado por depositario de la fe pblica (fedatario juramentado o notario) el
proceso tcnico de micrograbacin y que las copias de esos documentos deben ser certificados, por lo
cual una omisin de las declaraciones que por ley deben incluirse podra configurar esta figura delictiva.
d) Delito de Fraude en la administracin de personas jurdicas en la modalidad de uso de bienes
informticos.
Puesto que en el patrimonio de la persona estn incluidos tanto bienes materiales (hardware) como
inmateriales (software, informacin, base de datos,etc) esta figura delictiva puede aplicarse al campo
informtico segn interpretacin del artculo 198 inciso 8 del Cdigo Penal, establece que : "ser
reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro aos el que, en su condicin
de fundador, miembro del directorio o del consejo de administracin o del consejo de vigilancia, gerente,
administador o liquidador de una persona jurdica, ealiza, en perjuicio de ella o de terceros, cualquiera de
los actos siguientes : Usar en provecho propio o de otro, el patrimonio de la persona (inciso 8). Esta figura
podra aplicarse, en este orden de ideas, tanto al uso indebido de software, informacin, datos
informticos, hadware u otros bienes que se incluyan en el patrimonio de la persona jurdica.
e) Delito contra los derechos de autor de software.
Con respecto a los delitos contra los derechos de autor de software, debe tenerse en cuenta que "...sobre
la naturaleza jurdica y la tutela que apunta el derecho de autor sobre el software hay acuerdo general. Y
no puede ser de otro modo, debido a la trascendencia que tiene, dado que la transgresin de ndole penal
ala actividad intelectual constituye no slo una agresin a la propiedad del autor y afecta los intereses de
la cultura, sino que conforma tambin un ataque al derecho moral sobre la paternidad de la obra".
Con la dacin del Decreto Legislativo 822, se modific el Cdigo Penal y se han aumentado las penas,
con respecto a la legislacin peruana anterior, as tenemos:
i) Que el artculo 217 del Cdigo Penal Peruano establece que "ser reprimido con pena privativa de
libertad no menor de dos ni mayor de seis aos y con treinta a noventa das-multa, el que con respecto a
una obra,...o una grabacin audiovisual o una imagen fotogrfica expresada en cualquier forma, realiza
cualquiera de los siguientes actos, sin la autorizacin previa y escrita de autor o titular de los derechos.
a) la modifique total o parcialmente.
b) La reproduzca total o parcialmente, por cualquier medio o procedimiento.
c) La distribuya mediante venta, alquiler o prstamo pblico.
d) La comunique o difunda pblicamente por cualquiera de los medios o procedimientos reservados al
titular del respectivo derecho.
e) La reproduzca, distribuya o comunique en mayor nmero que el autorizado por escrito.
Aqu se estn garantizando bajo la proteccin los derechos patrimoniales; en los contratos de licencia de
uso de software se contemplan el respeto de estos derechos y tambin en la Ley de Derecho de Autor
que anteriormente hemos tratado. La autorizacin previa y escrita del titular, generalmente en la activad
empresarial se instrumenta en una licencia de uso de software.
ii) Que el Artculo 218 del Cdigo Penal Peruano dispone que "la pena ser privativa de libertad no menor
de dos ni mayor de ocho aos y sesenta a ciento veinte das-multa cuando:
a) Se de a conocer a cualquier persona una obra indita o no divulgada, que haya recibido en confianza
del titular del derecho de autor o de alguien en su nombre, sin el consentimiento del titular.
b) La reproduccin, distribucin o comunicacin pblica se realiza con fines de comercializacin, o
alterando o suprimiendo, el nombre o seudnimo del autor, productor o titular de los derechos.
c) Conociendo el origen ilcito de la copia o reproduccin, la distribuya al pblico, por cualquier medio, la
almacene, oculte, introduzca al pas o la saca de ste.
d) Se...ponga de cualquier otra manera en circulacin dispositivos, sistemas, esquemas o equipos
capaces de soslayar otro dispositivo destinado a impedir o restringir la realizacin de copias de obras, o a
menoscabar la calidad de las copias realizadas; o capaces de permitir o fomentar la recepcin de un
programa codificado, radiodifundido o comunicado en otra forma al pblico, por aquellos que no estn
autorizados para ello.
e) Se inscriba en el Registro del Derecho de Autor la obra,... como si fuera propia, o como de persona
distinta del verdadero titular de los derechos.
Los supuesto tratados en este artculo se refieren tanto a derecho morales como patrimoniales, que por
su gravedad (atentar contra el derecho de paternidad, comercializar o distribuir copias ilegales, registrar
en forma indebida el software) se ampla la pena hasta ocho aos. En la anterior legislacin la pena
mayor por este tipo de delitos era de cuatro aos, actualmente se ha aumentado a ochos aos. Estos
tipos penales, parten del supuesto que no hay consentimiento o autorizacin del titular de los derechos
para ello; de existir una licencia de uso y cumplirse con sus trminos y condiciones, no se tipificara este
delito.
iii) Que el Artculo 219 del Cdigo Penal Peruano, establece que :"ser reprimido con pena privativa de
libertad no menor de dos ni mayor de ocho aos y sesenta a ciento ochenta das-multa, el que con
respecto a una obra, la difunda como propia, en todo o en parte, copindola o reproducindola
textualmente, o tratando de disimular la copia mediante ciertas alteraciones, atribuyndose o atribuyendo
a otro, la autora o titularidad ajena".
La apropiacin de autora ajena, de reputarse una obra que no es de uno como propia, tambin se aplica
la software, ms an con las opciones tecnolgicas para su copia, que incluyen equipos de cmputo,
cada vez ms sofisticados y el uso de herramientas en Internet.
iv) Que el Artculo 220 del Cdigo Penal Peruano, dispone que: " ser reprimido con pena privativa de
libertad no menor de cuatro ni mayor de ocho aos y noventa a trescientos sesentaicinco das-multa:
a) Quien se atribuya falsamente la calidad de titular originario o derivado, de cualquiera de los derechos
protegidos en la legislacin del derecho de autor y derechos conexos y, con esa indebida atribucin,
obtenga que la autoridad competente suspenda el acto de comunicacin, reproduccin o distribucin de la
obra, interpretacin, produccin, emisin o de cualquier otro de los bienes intelectuales protegidos. ...
e) Si el agente que comete cualquiera de los delitos previstos... posee la calidad de funcionario o servidor
pblico.
Una de las preocupaciones de los creadores de software, al registrar su obra en el Registro Nacional de
Derecho de Autor de INDECOPI, es que se tiene que entregar, entre otros requisitos, el programa fuente,
se cuestionan que sucede si lo copian sin su consentimiento. Dado que el depsito es intangible, los
funcionarios que cometieran estos delitos estaran dentro de este tipo penal y podran ser pasibles de
pena privativa de libertad hasta ocho aos.
PROYECTO DE LEY DE DELITOS INFORMTICOS (PER)
El CONGRESISTA DE LA REPBLICA QUE SUSCRIBE, EJERCIENDO EL DERECHO DE INICIATIVA
LEGISLATIVA REFERIDO EN EL ARTCULO 107 DE LA CONSTITUCIN POLTICA DEL PER:
CONSIDERANDO:
Que, el desarrollo tan amplio de las tecnologas informticas ofrece un aspecto negativo: ha abierto la
puerta a conductas antisociales y delictivas que se manifiestan de formas que hasta ahora no era posible
imaginar. Los sistemas de computadoras ofrecen oportunidades nuevas y sumamente complicadas de
infringir la ley, y han creado la posibilidad de cometer delitos de tipo tradicional en formas no tradicionales.
Que, en los ltimos tiempos, ha sido evidente que la sociedad ha utilizado de manera benfica los
avances derivados de la tecnologa en diversas actividades; sin embargo, es necesario que se atiendan y
regulen las cada vez ms frecuentes
consecuencias del uso indebido de las computadoras y los sistemas informticos en general.
Que, los llamados delitos informticos no son cometidos por la computadora, sino que es el hombre quien
los comete con ayuda de aquella. En ese entendido, el presente proyecto se dirige a la regulacin penal
de las posibles medidas preventivas de carcter penal que consideramos deben ser tomadas en cuenta
para evitar que la comisin de este tipo de delitos, alcance en el pas los niveles de peligrosidad que se
han dado en otros pases.
Propone el siguiente Proyecto de Ley:
LEY DE DELITOS INFORMATICOS
Artculo nico.- Incorporase al Cdigo Penal, promulgado por Decreto Legislativo N 635, el Captulo XI,
Delitos Informticos, los artculos 208a y 208b; con los siguientes textos:
Artculo 208 a.- El que indebidamente utilice o ingrese a una base de datos, sistema o red de
computadoras o a cualquier parte de la misma, con el propsito de disear, ejecutar o alterar un esquema
o artificio con el fin de defraudar, obtener dinero, bienes o informacin ser reprimido con pena privativa
de la libertad no mayor de dos aos, o con prestacin de servicios comunitario de cincuenta y dos a ciento
cuatro jornadas.
Artculo 209 b.- El que indebidamente, interfiera, reciba, utilice, altere, dae o destruya un soporte o
programa de computadora o los datos contenidos en la misma, en la base, sistema o red ser reprimido
con pena privativa de la libertad no mayor de dos aos.
Lima, 18 de agosto de 1999
JORGE MUIZ ZICHES
Congresista de la Repblica
Proyecto
de
Ley
No.
2825-2000/CR
(EN MATERIA DE PORNOGRAFIA INFANTIL EN INTERNET )
Exposicin Motivos
Fundamentos
La amenaza de este siglo que pende sobre los menores de edad va de la mano con la alta tecnologa de
un mundo glabalizado, as la explotacin sexual comercial de nios es un fenmeno creciente que ocupa
actualmente la atencin de gobiernos, organizaciones sociales y de la comunidad en general.
Los factores asociados a la explotacin sexual comercial de la infancia son diversos. En general se citan
la pobreza, la conducta sexual masculina irresponsable, la migracin, el desempleo, la desintegracin
familiar, el creciente consumismo, violencia intrafamiliar y la desigualdad social como causas que facilitan
las condiciones que la favorecen.
Dada la condicin vulnerable de los nios y las nias, principales vctimas de este tipo de explotacin al
ser utilizados por adultos para sacar ventaja o provecho de carcter sexual y/o econmico sobre la base
de una relacin de poder/subordinacin, considerndose explotador, tanto aquel que intermedia a un
tercero, como el que mantiene la relacin con el menor, no importando si sta es frecuente, ocasional o
permanente.
En el mbito de la explotacin sexual comercial de menores, existen diversas modalidades que s
interrelacionan, reconocindose las siguientes: prostitucin infantil, pornografa infantil, turismo sexual y la
venta o trfico de nios.
Como respuesta ante la magnitud alcanzada por estas reprobables prcticas, se celebr en agosto de
1996 en Estocolmo, Suecia, el Congreso Mundial contra la Explotacin Sexual y Comercial de Nios, que
moviliz a la opinin pblica mundial y marc un momento histrico en la lucha para enfrentar el
problema.
Dando como resultado la Declaracin y Programa de Accin que exhortaban a los pases participantes a
reconocer el creciente nmero de nios que son objeto de explotacin y abuso sexual y a poner fin a este
fenmeno mediante una accin local, nacional e internacional concertada a todos los niveles.
Avance significativo porque no obstante que el artculo 34 de la Convencin sobre los Derechos de los
Nios adoptada por la Asamblea de la ONU en 1989 - instrumento internacional ratificacin casi universal,
conmina a los Estados Parte a tomar medidas para proteger al nio contra todas las formas de
explotacin y abuso sexual -, la realidad es que en la mayora de los pases, no se ha cumplido con lo
dispuesto en la Convencin, por lo que los compromisos asumidos en Estocolmo instaron a los diferentes
gobiernos a retomar la aplicacin de la Convencin sobre los Derechos del Nio, a fin de erradicar su
explotacin sexual comercial en todo el mundo. Y as, deben los Estados examinar y revisar su
legislacin, buscando desarrollar o reforzar y aplicar medidas legales nacionales para establecer la
responsabilidad criminal de los proveedores de servicios, clientes e intermediarios en la prostitucin,
trfico y pornografa infantil, comprendida la posesin de material pornogrfico infantil, y otras actividades
sexuales ilegales.
El Per, estado Parte de la Convencin de los Derechos del Nio desde 1989, ha reflejado su
preocupacin por los fenmenos asociados estrechamente con la explotacin sexual comercial, tales
como la esclavitud, el trabajo forzado, el trfico ilegal, los beneficios financieros obtenidos de la
prostitucin de otras personas y las publicaciones obscenas, mediante la ratificacin de numerosos
tratados, tales como: Convenio Internacional para la Represin de la Circulacin y del Trfico de
Publicaciones Obscenas (1923), Convencin para la Eliminacin de todas las Formas de Discriminacin
contra la Mujer (1979), Convencin sobre la Proteccin de Menores y la Cooperacin en Materia de
Adopcin Internacional (1993).
Ha incorporar a su derecho interno la Convencin sobre los Derechos del Nio, al expedirse el Cdigo del
Nio y del Adolescente.
Por estas consideraciones debe tipificarse e incorporarse en el Cdigo Penal el tipo penal de pornografa
infantil que contemple tanto la conducta de procurar y facilitar que los menores de dieciocho aos realicen
actos de exhibicionismo corporal, lascivos y sexuales con el objeto y fin de fotografiarlos o exhibirlos
mediante anuncios impresos o electrnicos, con o sin el fin de obtener un lucro, como la de fijar, grabar,
imprimir, actos de exhibicionismo corporal lascivos y sexuales con menores de dieciocho aos y la de
elaborar, reproducir, vender, arrendar, exponer, publicitar o trasmitir el material pornogrfico. Con una
pena acorde al dao causado no menor de cinco aos ni mayor de diez aos de pena privativa de la
libertad, y multa de mil a dos mil das; y, para los siguientes casos, una pena de doce aos de pena
privativa de libertad y multa de quinientos a tres mil das.
As estaremos dando un paso significativo en la lucha en contra de una prctica tan deleznable como lo
es la pornografa infantil,
Debe adems contemplarse otras conductas igualmente condenables como lo es la transmisin de los
materiales pornogrficos a travs de Internet as como la produccin y la distribucin de los mismos.
El Internet, avance tecnolgico de enorme potencial en beneficio de la educacin, que puede ser
empleado con magnficos resultados, pero que desafortunadamente es utilizado tambin para
promocionar la pornografa infantil. El aumento vertiginoso de las computadoras y el uso de Internet,
plantea el desafo de contar con normas que sancionen como delito, la transmisin de pornografa infantil
a travs de Internet o de cualquier otro medio de archivo de datos, reconociendo que el desarrollo de
nuevas tecnologas para la produccin y transmisin de la pornografa es muy rpido y que se podrn
presentar otras formas ms sofisticadas de transmisin. Tipo penal que deber sancionar el uso de un
sistema de cmputo o de cualquier otro mecanismo de archivo de datos con la finalidad de exhibir a
menores de edad realizando actos de exhibicionismo corporal, lascivos, agregndose el trmino
pornogrfico, por considerarse ms aplicable.
Debe ser considerados tambin dentro del tipo penal las conductas de elaboracin, produccin,
ofrecimiento, distribucin y de accesibilidad del material pornogrfico a travs de un sistema de cmputo o
cualquier otro mecanismo de archivo de datos. Siendo importante que el texto penal cuente con una
definicin amplia sobre pornografa que permita al juzgador su plena identificacin.
Efecto de la Vigencia de la Norma sobre la Legislacin Nacional
La presente iniciativa legislativa acorde con el avance de la tecnologa, pretende cautelar la condicin
vulnerable que presentan los nios y las nias, principales vctimas de explotacin sexual no slo en la
modalidad de prostitucin infantil, sino en pornografa infantil, turismo sexual y/o venta de nios. El Estado
les debe proteccin, por ello, debe combatir a los que los explotan al utilizarlos para sacar ventaja o
provecho de carcter sexual y/o econmico a la infancia.
Anlisis Costo Beneficio
La presente propuesta no generara ningn gasto al erario nacional, lo que pretende es contemplar y
precisar un nuevo tipo penal relacionado con el uso del Internet.
Formula Legal
Texto del Proyecto
La Congresista de la Repblica que suscribe, ENITH CHUQUIVAL SAAVEDRA, integrante del Grupo
Parlamentario Per Posible (PP), en ejercicio del derecho de iniciativa legislativa conferido por el artculo
107 de la Constitucin Poltica del Estado, concordante con el Artculo 75 del reglamento del Congreso
de la Repblica, presenta el siguiente Proyecto de Ley:
EL CONGRESO DE LA REPBLICA;
HA DADO LA LEY SIGUIENTE:
ADICIONENCE LOS ARTICULOS 183-B y 183-C AL CODIGO PENAL, EN MATERIA DE PORNOGRAFIA
INFANTIL EN INTERNET.
ARTICULO 1. - Adicionase los artculos 183-B y 183-C al Captulo XI -Ofensas al Pudor Pblico- del
Cdigo Penal, con el siguiente texto:
"Artculo 183-B. - Al que procure o facilite por cualquier medio el que uno o ms menores de dieciocho
aos, con o sin su consentimiento, lo o los obligue o induzca a realizar actos de exhibicionismo corporal,
lascivos, o pornogrficos con el objeto y fin de videograbarlos, fotografiarlos o exhibirlos mediante medios
impresos, electrnicos o de un sistema de datos a travs de cmputo o de cualquier otro mecanismo de
archivos de datos, con o sin el fin de obtener un lucro, se le impondrn la pena privativa de libertad no
menor de cinco ni mayor de doce aos y con trescientos sesenticinco das multa".
"Al que fije, grabe, imprima actos de exhibicionismo corporal, lascivos o pornogrficos, en que participen
uno o ms menores de dieciocho aos, se le impondr la pena de cinco a doce aos de pena privativa de
la libertad y de trescientos sesenticinco das multa. La misma pena se impondr a quien con fines de lucro
o sin l, elabore, produzca, reproduzca, ofrezca, venda, arriende, exponga, publicite, haga accesible,
distribuya o trasmita a travs de un sistema de computo o cualquier otro mecanismo de archivo de datos,
el material a que se refiere el presente artculo".
"Artculo 183-C. - Para los efectos de estos artculos se entiende por pornografa infantil, toda
representacin de un menor de edad dedicado a actividades explcitas reales o simuladas de carcter
sexual, realizada a travs de escritos, objetos, medios audiovisuales, electrnicos, sistemas de cmputo o
cualquier medio que pueda utilizarse para la comunicacin y que tienda a excitar sexualmente a terceros,
cuando esta representacin no tenga valor artstico, literario, cientfico o pedaggico."
Artculo 2. - La presente ley entrar en vigencia al da siguiente de su publicacin en el Diario Oficial "El
Peruano".
Lima, 09 de mayo de 2002
ENITH CHUQUIVAL SAAVEDRA
CONGRESO DE LA REPBLICA
Conclusiones
Nuevas formas de hacer negocios como el comercio electrnico puede que no encuentre el
eco esperado en los individuos y en las empresas hacia los que va dirigido sta tecnologa, por lo que se
deben crear instrumentos legales efectivos que ataquen sta problemtica, con el nico fin de tener un
marco legal que se utilice como soporte para el manejo de ste tipo de transacciones.
La responsabilidad del auditor informtico no abarca el dar solucin al impacto de los delitos
o en implementar cambios; sino ms bien su responsabilidad recae en la verificacin de controles,
evaluacin de riesgos, as como en el establecimiento de recomendaciones que ayuden a las
organizaciones a minimizar las amenazas que presentan los delitos informticos.
encaminados a robustecer los aspectos de seguridad, controles, integridad de la informacin, etc. en las
organizaciones.
BIBLIOGRAFA
Azpilcueta, Hermilio Toms. Derecho informtico. Buenos Aires: Abeledo-Perrot, [1987].
Barriuso Ruiz, Carlos. Interaccin del derecho y la informtica. Dykinson, 1996.
Brizzio, Claudia R. La informtica en el nuevo derecho. Abeledo-Perrot, 2000.
CONSENTINO, Guillermo et Al :"Tras los pasos de la Seguridad Perdida :Delitos Informticos". En Revista
Iberoamericana de Derecho Informtico N 25. Mrida, Espaa. UNED. 1998.
DAVARA, Miguel Angel : "Derecho Informtico". Editorial Aranzandi Espaa, 1993.
Huarag Guerrero, Enrico. Derecho comercialinformtico. Lima : Universidad Ricardo Palma, Editorial
Universitaria, 2004.
NUEZ PONCE, Julio Csar : "Software : Licencia de Uso, Derecho y Empresa". Fondo de desarrollo
Editorial de la Universidad de Lima. Lima, 1998.
Nez Ponce, Julio. Derecho informtico : nueva disciplina jurdica para una sociedad moderna. Marsol,
1996.
Prez Luo, Antonio-Enrique. Manual de informtica y derecho. Ariel, 1996.
TIEDEMAN, Klaus : "Criminalidad mediante Computadoras". En Poder Econmico y Delito. Editorial Ariel
S.A. Barcelona 1985.
TELLEZ VALDES, Julio : "Derecho Informtico". Segunda Edicin. Editorial McGraw-Hill. Mxico 1997.
LEDESMA, Julio C.:"Derecho Penal Intelectual" Ed. Universidad. Buenos Aires, Argentina. 1992. pgs.
194,195.
Tllez Valds, Julio. Derecho informtico. 2a ed. Mxico: McGraw Hill, 1995
XIII encuentros sobre informtica y derecho 1999-2000. Encuentros sobre Informtica y Derecho (13 :
1999-2000 : Madrid). Aranzadi, 2000.
INTERNET
http://members.nbci.com/segutot/delitos.htm
http://www.gocsi.com/
http://www.ecomder.com.ar
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://arnal.es/free/noticias/free2_08.html#T12
http://www.bilbaoweb.com/hackuma/guidel1.htm
http://www.inei.gob.pe/cpi/bancopub/cpi008.htm
http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html
http://www.onnet.es/04001001.htm
http://legal.infosel.com/Legal/EnLinea/Articulos/articulo/0001/
http://www.alfa-redi.org/rdi-articulo.shtml?x=343