t^.

^Joo

LUIS CAMACHO LOSA

EL DELITO
INFORMTICO

MADRID
19 87
 A mi querida esposa Alegra, con quien
he compartido o mejor y lo peor de mi exis-
tencia, por su amor, comprensin y apoyo
LUIS CAMACHO LOSA, 1987. a lo largo de un camino que hicimos juntos
Conde de Pealver, 45. 28006 Madrid. al andar y que no siempre fue de rosas.
Y a mi padre, el hombre ms honesto que
he conocido jams, con la tristeza de que nun-
ca podr leer este libro.

Depsito Legal: M. 32112-1987.

ISBN 84-404-0495-6.
Impreso en Espaa. Printed in Spaiii.
Grficas Cndor, S. A.. Snchez Pacheco, 81. Madrid, 1987. 6121.

\
 NDICE

Pgs.

A MODO DE JUSTIFICACIN 11

1. Antecedentes 13
II. Perspectiva histrica 19
III. Definicin y caractersticas del delito informtico 25
IV. Tipologa del fraude informtico 33
V. Dimensionemos el problema 69
VI. El delincuente informtico 83
VII. La piratera del software 89
VIII. El terrorismo y la informtica 97
IX. La investigacin del delito informtico 107
X. El factor humano en los delitos informticos 125
XI. Un futuro preocupante 137
XII. Un camino de esperanza 143
 A MODO DE J U S T I F I C A C I N

Coger un lpiz y unas cuartillas y comenzar a escribir es una tentacin

que todos hemos sentido alguna vez. Y en honor a la verdad debo confesar
que a mi me ha pasado en bastantes ocasiones. Sin embargo, la mayora
de nosotros abandona esa idea tan pronto lee un par de veces las primeras
pginas que ha escrito.
Y la razn quiz sea doble: de un lado la falta de experiencia nos hace
temer respecto de la calidad literaria de nuestra obra, y por otra parte
es muy humano sentir una mezcla de temor y vergenza al pensar que
otras personas van a leer, y lo que es peor, a juzgar, las ideas que a solas
con nosotros mismos hemos plasmado en un papel.
Pues bien, a m no me asustan ninguno de esos argumentos, ya que ni esto
es una obra literaria, ni nunca me ha preocupado excesivamente lo que los de-
ms piensen de m. Y por si esto fuera poco, no tengo ningn rubor al confe-
sar que la mayor parte de las ideas expuestas en este libro no son mas.
Pero ya que a pesar de todo, y suponiendo que el libro se venda, espero
cobrar derechos de autor, me considero en la obligacin moral de justificarme.
Mi larga experiencia como consultor informtico me ha obligado a es-
cribir cientos de informes que posiblemente totalicen varias decenas de mi-
les de pginas, razn por la cual no me preocupa escribir algunas ms.
Ni siquiera para el lector ms distrado sera necesario advertir que en
esta obra lo importante es el fondo y no la forma, el qu antes que
el cmo, y aun cuando no he querido darle un tratamiento culto y litera-
rio, y no creo que lo hubiera conseguido si ese hubiera sido mi deseo,
no dudo que la claridad y correccin de estas lneas sern superiores a
las de tantas traducciones de libros tcnicos que nos llegan del otro lado
del charco, y que la mayor parte de las veces nos provocan la sonrisa
cuando no el estupor.
12 EL DELITO INFORMTICO
Una constante a lo largo de mi vida ha sido hacer, a veces contra viento
y marea, lo que era mi obligacin, lo que he considerado que me convena,
o simplemente lo que deseaba. Y la verdad es que ya tengo muchos aos
para cambiar y por otra parte no veo razn para hacerlo ya que no me
ha ido tan mal. De manera que poneos cmodos porque pienso llegar hasta
el final.
No obstante, y para no defraudar a nadie, debo anticipar que este libro
se limita a recopilar y poner en claro una serie de ideas y conceptos disper-
sos y procedentes de muy diversas fuentes, a sistematizar una serie de he-
chos reales y sacar conclusiones al respecto, y a aportar mi granito de arena
en forma de opiniones y sugerencias cuando lo he credo oportuno, sin
ms autoridad que la que me confieren casi veinte aos de profesin infor-
mtica, doce de ellos como consultor, y haber dirigido tres empresas de
consultora. Es por ello que creo poder afirmar que aunque la criatura
sea ma slo en parte, el vestido es nica y exclusivamente mi responsabilidad.
Para los mal pensados, que siempre los hay, no quiero terminar sin
sealar que nada ms lejos de mi nimo que tratar de convertirme en
un escritor famoso. El pensar en ello me resulta tan absurdamente cmico
que si no fuera por mi sentido del humor que me permite rerme de m
mismo, me sentira abochornado si alguien pensara tal cosa.
Pero a pesar de que me parece estar oyendo un grito unnime de zapa-
tero a tus zapatos, no voy a dejarlo, aunque slo sea por no morirme
sin haber tenido un hijo, escrito un libro y plantado un rbol. Y tambin
por llevaros la contraria qu demonios!
Nobleza obliga. No puedo terminar sin expresar mi ms sincero agrade-
cimiento a IBERIA, Lneas Areas de Espaa, por las largas horas de espe-
ra que me ha hecho pasar por esos aeropuertos de Dios. Sin esa eficaz
colaboracin este libro no hubiera podido terminarse.
ANTECEDENTES
Y por qu la informtica haba de ser diferente?
En todas las facetas de la actividad humana existe el engao, la mani-
pulacin, la codicia, el ansia de venganza, el fraude, en definitiva el delito.
Desgraciadamente es algo consustancial al ser humano y as se puede
constatar a lo largo de la historia. All donde hay hombres, antes o despus
surge el delito, y si en los primeros tiempos de la informtica no se tiene
constancia de ningn hecho que pueda ser considerado como punible, qui-
zs sea debido a la escasa difusin de una tcnica todava incipiente y,
en consecuencia, al reducido nmero de personas que trabajaban en ella.
Sin embargo, el hecho de que no tengamos conocimiento de ningn
delito en los albores de la informtica no quiere decir necesariamente que
no se cometieran, ya que, como veremos ms adelante, una de las caracte-
rsticas diferenciadoras del delito informtico es que la vctima trata de
silenciarlo a toda costa.
Quizs por esta razn la mayora de los casos que se conocen no estn
formalmente documentados, existiendo tan slo datos parciales y a veces
bastante inconcretos, por lo que no es fcil efectuar un anlisis riguroso
de las circunstancias en que se produjeron.
Es por otra parte frecuente llegar al conocimiento de estos hechos delic-
tivos por medio de informaciones verbales, lo cual hace que sea extremada-
mente arriesgado darles publicidad sin disponer de pruebas fehacientes, ya
que con la misma diligencia con que se echa tierra sobre el asunto y se
olvida lo sucedido asumiendo la prdida del importe defraudado sin denun-
ciar al autor, se ponen en marcha todos los mecanismos legales de autode-
14 EL DELITO INFORMTICO
fensa (abogados interponiendo denuncias por difamacin, reclamaciones
judiciales por daos y perjuicios a la imagen de la entidad, expertos en
relaciones pblicas utilizando su influencia en los medios de comunicacin
para desmentir la noticia, incluso presiones polticas) para acallar a quien
ha osado darle publicidad al suceso.
Es por ello que en una gran parte de los casos que se mencionan en
este libro no se cita el nombre del banco, compaa o institucin de cual-
quier tipo que fue vctima del delito.
No obstante, podis creerme: todos y cada uno de los casos que se
relatan son ciertos. Y si alguien tiene inters en conocer ms detalles sobre
alguno de ellos no precisa ms que decirmelo y con mucho gusto le dar
cuantos quiera. Eso s, a solas y verbalmente, y si posteriormente lo divul-
gase yo afirmar no conocerle de nada.
As como nuestro ordenamiento jurdico establece la presuncin de ino-
cencia de toda persona hasta tanto sea probada su culpabilidad ante los
tribunales de justicia, en relacin con los delitos informticos podemos de-
finir el primer gran principio:
Ninguna empresa ha sido vctima de un delito informtico
hasta que los que se o imputan lo puedan probar
fehacientemente.
Es muy curiosa la similitud existente entre la postura tradicionalmente
adoptada por las mujeres que tenan la desgracia de sufrir uno de los deli-
tos ms vejatorios, cual es la violacin, y las empresas, y especialmente
las entidades bancarias, que han sido vctimas de un delito informtico,
sobre todo si se trata de un fraude.
En ambos casos se prefera rumiar la amargura y la frustracin en silen-
cio y tratar de olvidar, antes que perseguir piiblicamente al autor del delito
y afrontar ante la opinin pblica la sensacin de humillacin que tales
hechos provocan.
Afortunadamente la postura femenina ha cambiado sustancialmente en
los ltimos tiempos, no as la de las entidades financieras, que particular-
mente espero que no tengan que atravesar el largo proceso evolutivo que
ha experimentado la mentalidad femenina a lo largo de la historia.
En mi opinin, esta postura cerrada a ultranza es una consecuencia
de la escala de valores del sistema bancario, en el cual es mucho ms im-
portante la imagen de seriedad, solvencia y seguridad que una prdida eco-
nmica por fuerte que sea.
ANTECEDENTES 15
Sin embargo, esta actitud, que a corto plazo salvaguarda su prestigio,
es una peligrosa espiral que a medio y largo plazo les puede llevar a situa-
ciones tan extremadamente peligrosas como para colocarles, y no estoy exa-
gerando en absoluto, en trance de desaparicin.
Y si alguien no lo cree, ah van un par de ejemplos:
1. De acuerdo con un estudio realizado por el Chubb Insurance Group
en Estados Unidos, el 93 % de las empresas cuyos centros de proceso de
datos fueron afectados por una situacin catastrfica entraron en liquida-
cin en los siguientes 18 meses, independientemente de que el hecho se
produjera por accidente (p. e. incendios fortuitos), de forma intencionada
(p. e. sabotaje o terrorismo), o por fraudes de una magnitud extrema.
2. El primer caso de fraude informtico que alcanz difusin interna-
cional en todos sus detalles, y al que algunos autores consideran el inicio
de la delincuencia informtica, calificacin con la que yo no estoy de acuerdo,
fue el cometido por Stanley Goldblum, Presidente del Consejo de Adminis-
tracin de la Equity Funding Life Insurance Company y dos de sus ntimos
colaboradores durante los aos 1969 a 1973, por un importe total de 200
millones de dlares (unos 27.000 millones de pesetas) y que como puede
suponerse en base a la cifra defraudada, termin con la quiebra de la
sociedad.
Dado que el fraude de la Equity Funding se ha convertido en un clsico
de la escasa literatura existente sobre los delitos informticos, considero
imprescindible relatarlo en detalle, as que para quien no lo conozca,
all v.
Todo comenz el 7 de marzo de 1973, cuando Ronald Secrist, antiguo
ayudante del Vice-Presidente de la Equity Funding Life Insurance Com-
pany (EFLIC), present una denuncia ante el diputado superintendente del
departamento de compaas aseguradoras de New York contra la alta di-
reccin de EFLIC acusndola de haber efectuado la emisin fraudulenta
de una gran cantidad de plizas falsas.
La denuncia, cuyo nico origen parece ser el resentimiento del ex-empleado
de EFLIC, fue hecha al llegar a Gleeson L. Payne, comisionado para com-
paas aseguradoras del estado de California, el cual se mostr muy
sorprendido ya que en una investigacin realizada poco antes por el propio
Payne, ste calific a EFLIC como una de las compaas ms eficazmente
dirigidas que haba conocido.
El fraude se inici a causa de una brillante idea que desgraciadamente
tuvo xito durante muy breve tiempo: el Equity Funding Program, el cual
16 EL DELITO INFORMTICO
estaba basado en los conceptos del British Life Funding Program amplia-
dos y mejorados con aportaciones de Goldblum.
El programa ofreca una combinacin de fondo de inversin y seguro
de vida con una alta revalorizacin y liquidez inmediata, y el argu-
mento de venta era que comprando participaciones del fondo, stas podan
utilizarse como garanta para suscribir seguros de vida, asegurndoles
a los compradores que los dividendos y las revalorizaciones de las par-
ticipaciones del fondo permitiran pagar las primas de las plizas de
los seguros de vida y los intereses de las cantidades financiadas como
prstamo.
Sin embargo, las ventas no alcanzaron las cifras esperadas, por lo que
ante la necesidad que tena la compaa de obtener unos ingresos fuertes
de forma rpida, Goldblum y sus dos socios establecieron un arriesgado
plan consistente en emitir plizas ficticias de seguros de vida a nombre
de personas inexistentes.
Para llevar a cabo el plan se eligi a un programador de confianza,
el cual dise y desarroll un subsistema denominado Departamento 99, por los noticias de la investigacin, Goldblum y uno de sus colaboradores
el cual era accesible a travs de un complejo sistema de claves de acceso
que slo conocan el programador que lo haba creado y lo mantena en
funcionamiento y la alta direccin, y que para el resto de la compaa
estaba clasificado como altamente confidencial.
Es necesario destacar que la EFLIC dispona de unos sistemas mecani-
zados poco usuales en las empresas comerciales en 1969, cubriendo prcti-
camente todas las reas de la compaa, situacin que posibilit considera-
blemente la realizacin del fraude, amn de carecer de adecuadas medidas
de control y de la circunstancia de que los autores del delito fueron los
mximos directivos de la empresa.
La emisin de plizas falsas fue en aumento, y como suele ser normal
en el mercado asegurador, con el fin de dispersar los riesgos actuariales
y conseguir liquidez, comenzaron a venderse las plizas falsas a las compa-
as reaseguradoras, obtenindose una elevada cifra de beneficios dado que
la emisin de plizas fraudulentas no llevaba aparejado ninguno de los
gastos habituales de las plizas verdaderas, por lo que todo el dinero obte-
nido de los reaseguradores era beneficio limpio.
Pero fueron das de alegra efmera ya que la legislacin norteamericana
exige que las compaas aseguradoras que emiten las plizas retornen el
90 *Vo de las primas del primer ao a los reaseguradores, por lo que la
EFLIC se vio obligada al final del primer ao a devolver una gran cantidad
de dinero por las plizas ficticias, lo que oblig a Goldblum y sus colabora-
ANTECEDENTES 17
dores a generar ms y ms plizas falsas que seguir vendiendo a las compa-
as reaseguradoras.
Ante la magnitud que estaba alcanzando el fraude, el genio de Gold-
blum descubri otra brillante forma de generar ingresos rpidamente: po-
ner fin a la vida de una serie de sus ficticios clientes y reclamar a las com-
paas de reaseguros las indemnizaciones correspondientes, las cuales eran
cobradas por la EFLIC sin que por supuesto fuera necesario abonrselas
a ningn beneficiario.
Esta historia continu en la forma expuesta durante aos y aos, hasta
que las noticias de la investigacin desencadenada por la denuncia del ex-
empleado, y realizada conjuntamente por los departamentos de compaas
aseguradoras de California e Illinois (donde estaban situados los centros
administrativos de la empresa), llegaron a Wall Street con el efecto que
era de esperar: una bajada en picado de la cotizacin de las acciones de
la EFLIC en la bolsa de New York.
En una accin desesperada para contrarrestar los efectos producidos
volaron a New York el jueves 22 de marzo de 1973, y se reunieron con
varios grupos financieros a los que trataron de convencer de que la investi-
gacin que se estaba efectuando era una auditora rutinaria sin ninguna
causa especial que la hubiera motivado.
A pesar de sus esfuerzos, el viernes 30 de marzo de 1973 a las 18,30
horas se decret la incautacin de la Equity Funding Life Insurance Company.
En abril de 1975, despus de que la EFLIC hubiera quebrado, Stanley
Goldblum, de 46 aos de edad, fue condenado a pasar ocho aos en la
penitenciara federal de la isla McNe, en Washington y a pagar una multa
de 20.000 dlares (2.700.000 pesetas aproximadamente), en tanto que sus
dos colaboradores fueron condenados a siete y cinco aos respectivamente.
Salvo en un caso de esta ifiagntud, en general se puede afirmar que
la falta de transparencia, cuando se producen estos delitos, impide efectuar
investigaciones rigurosas para conseguir evidencias y pruebas materiales que
permitan inculpar y castigar a los culpables, situacin que en la mayor
parte de los casos viene condicionada porque el autor es un empleado de
la entidad, pero adicionalmente provoca que no sea posible determinar c-
mo, cundo y de qu forma se produjo el delito, con lo cual se anula
la posibilidad de identificar con rigurosidad las debilidades del sistema que
permitieron la comisin del delito, y en consecuencia definir y establecer
las necesarias medidas de proteccin para que no vuelvan a repetirse hechos
similares.
EL DELITO INFORMTICO. 2
 II

PERSPECTIVA HISTRICA

Desde los primeros tiempos de la informtica, lo que podramos llamar

aquellos chalados con sus locos cacharros, en los aos 40, hasta la sofis-
ticacin de las redes telemticas existentes hoy da, se ha recorrido un largo
camino en lo que a evolucin tcnica se refiere, y sin embargo desde la
perspectiva de seguridad poco o nada se ha avanzado, excepcin hecha
de los aspectos de seguridad fsica en los centros de proceso de datos, los
cuales quedan fuera del mbito de este trabajo.
En 1945 se construye el primer ordenador digital electrnico, el E.N.I.A.C.
(Electronic Numerical integrator and Calculator), diseado por J. P. Ec-
kert y J. W. Mauchly, ambos pertenecientes a la Escuela Moore de Electro-
tecnia de la Universidad de Pensilvania, basndose en los conceptos del
hngaro-norteamericano John von Neumann y utiUzando por primera vez
la tcnica de ejecutar instrucciones previamente programadas y almacena-
das en memoria.
Este hecho marc el principio de la era informtica, si bien en los pri-
meros tiempos slo existan un nmero muy reducido de equipos de tubos
de vaco, y los tcnicos que los utihzaban tan slo se preocupaban de que
funcionaran adecuadamente, cosa, que no siempre era sencilla, haciendo
simultneamente tareas de programacin, mantenimiento, reparaciones, etc.
La nica preocupacin por lo que a la seguridad se refiere vena dada
por la enorme disipacin de calor que generaban aquellos equipos y que
obligaban a unas condiciones de refrigeracin ambiental desproporcionadas.
Con el advenimiento de la utilizacin de los transistores, al final de
la dcada de los 50, los ordenadores se hacen ms pequeos, ms rpidos
20 EL DELITO INFORMTICO
y se amplan sus posibilidades de utilizacin tanto en el sector pblico co-
mo en el privado para aquellas tareas que requeran una mano de obra
intensiva en funciones fcilmente definibles y bsicamente repetitivas.
En la dcada de tos 60 la utilizacin de los ordenadores se generaliza,
e incluso me atrevera a decir que se pone de moda, por cuanto el hecho
de disponer en la empresa de un ordenador configuraba un estatus de mo-
dernidad y prestigio, razn por la que el centro de proceso de datos
estaba generalmente situado en la zona ms visible, e incluso con cristaleras
al exterior, para que la proyeccin de imagen fuera lo ms amplia posible.
Probablemente puede establecerse el origen de la preocupacin por la
seguridad de las instalaciones informticas en los acontecimientos que se
produjeron en los Estados Unidos en los ltimos aos de esta dcada de
los 60, como consecuencia de las generalizadas protestas sociales contra
la guerra de Vietnam, que en muchos casos degeneraron en actos vandli-
cos contra instalaciones informticas gubernamentales.
Estos hechos despertaron una conciencia sobre la extremada fragilidad
de estas instalaciones, provocando un cambio radical de mentalidad que
llev a proteger fsicamente de forma adecuada los centros de proceso de
datos, comenzando por la restriccin de accesos de personas no autoriza-
das, instalacin de sistemas de deteccin y extincin de incendios, etc. ste
fue el comienzo de la tendencia a acondicionar las instalaciones informti-
cas con medidas de alta seguridad, lo que se ha denominado mentalidad
de fortaleza (fortress mentality).
No obstante, la casi exclusiva utiUzacin de procesos balch en las apli-
caciones informticas no permita la interaccin de los usuarios con la in-
formacin mecanizada, por lo que la preocupacin por la seguridad segua
limitada a los aspectos de proteccin fsica de los equipos.
Un nuevo salto adelante en la era electrnica se produce con la aplica-
cin de la tecnologa del slice, que permite concentrar una gran cantidad
de transistores en un circuito integrado, lo que provoca la aparicin de
ordenadores ms pequeos, ms fiables y ms baratos, y en consecuencia,
generaliza an ms su uso.
De forma simultnea se produce una sustancial mejora en el software
bsico que los fabricantes incorporan a sus nuevos equipos, permitiendo
la aparicin en los aos 70 de sistemas operativos que posibilitan la crea-
cin de aplicaciones interactivas, sistemas on-line y tratamientos en tiempo
real.
Esta nueva concepcin de la informtica provoca la necesidad de dispo-
ner de un mayor nivel de seguridad respecto a los datos almacenados y
PERSPECTIVA HISTRICA 21
tratados por el ordenador, habida cuenta de la interaccin de diferentes
usuarios sobre datos comunes.
La respuesta vino dada por la aparicin de los conceptos de passwords
e identificativos de usuario para controlar y restringir el acceso a los datos.
Con la dcada de los 80 se generaliza el uso de la informtica tal como
hoy la entendemos, y apoyada en los tres conceptos bsicos que actualmen-
te la configuran; grandes ordenadores albergando considerables cantidades
de informacin en forma de bases de datos, usuarios remotos accediendo
de forma inmediata y simultnea a dicha informacin a travs de redes
de comunicaciones, y ordenadores personales trabajando indistintamente
como terminales del ordenador central o en procesos locales de forma off-line.
El constante incremento del grado de informatizacin de las empresas,
que hace que progresivamente se vayan descargando mayores y ms com-
plejas tareas sobre el ordenador, la cada vez mayor cantidad de informa-
cin mecanizada almacenada en las bases de datos, la tremenda rapidez
de acceso y actuahzacin de la informacin, el elevado nmero de usuarios
interaccionando con el sistema, la gran facilidad existente para recuperar
informacin del ordenador central y copiarla en ordenadores personales
remotos donde puede ser manipulada sin controles, y el riesgo inherente
a la circulacin de la informacin de la empresa por lneas de comunicacio-
nes pertenecientes a redes pblicas, son algunos de los principales factores
de riesgo que toda empresa con un razonable nivel de informatizacin tiene
que afrontar.
Qu requiere ms controles y medidas de seguridad en su manejo, una
carreta de bueyes o un Boeing 747?
Parece incuestionable que cuanto ms sofisticada es una mquina mu-
cha ms atencin precisa que le dispensemos, y dado que este concepto
no ha sido asumido con claridad por el mundo empresarial, excepcin he-
cha de los entornos de maquinaria de fabricacin, ello nos lleva a enunciar
el segundo gran principio:
El incremento en la potencia y sofisticacin de los ordena-
dores lleva aparejado dos incrementos paralelos y de igual
magnitud: el nivel de riesgo potencial y el costo de las me-
didas de seguridad que precisan.
Si consideramos que el camino de la informatizacin es irreversible,
por cuanto es impensable imaginar que pudieran alcanzarse niveles de ser-
vicio semejantes a los prestados por los sistemas mecanizados con proced-
22 EL DELITO INFORMTICO
mientos manuales alternativos, la nica conclusin posible es que los avan-
ces de la tcnica informtica han creado en las empresas un nivel de depen-
dencia de tal magnitud que sin ellos no podran sobrevivir.
No es mi intencin jugar a futurlogo, y en consecuencia no voy a
tratar de imaginarme lo que pueda suceder cuando las tcnicas que hoy
se hallan en fase experimental, como es el caso de la inteligencia artificial,
se generalicen. Sin embargo, tengo que afirmar que el nivel tcnico al que
hoy se encuentran las instalaciones informticas del promedio de empresas
espaolas est en una total desproporcin respecto a las medidas de seguri-
dad en ellas instaladas. Y lo que es peor, en el noventa por ciento de los
casos, y quizs me quede corto, no existe la ms mnima conciencia del
riesgo que se est asumiendo.
Recuerdo en mis primeros aos de consultor, all por 1974/75, que
mi mayor problema era convencer a mis clientes de que el simple hecho
de haberse gastado una serie de millones de pesetas en hardware no era
suficiente para que el ordenador funcionase, y que era necesario gastarse
algo en software.
Aos ms tarde, uno de mis problemas era concienciar a mis clientes
de la necesidad de acometer y financiar los planes de formacin que les
recomendaba para sus informticos, a lo cual ms de una vez me contesta-
ban dicindome: y si no saben hacer su trabajo por qu les hemos
contratado?
Ambos conceptos estn hoy en da, afortunadamente, asumidos por las
direcciones de las empresas, siendo manifiesto que el costo del software
es proporcionalmente equivalente al del hardware, y que la formacin con-
tinuada no es un lujo ni un esnobismo, sino una servidumbre que nos im-
pone a los informticos la tremenda velocidad del cambio tecnolgico.
Sin embargo, el mayor problema con que hoy me encuentro en mi pro-
fesin es hacer ver a la alta direccin de mis empresas clientes el desmesu-
rado nivel de riesgo que estn asumiendo por no acometer un plan de segu-
ridad informtica en tiempo y forma.
Al igual que el avestruz, la mayor parte de los directivos no se deciden
a hacer frente al problema de la seguridad informtica, prefiriendo escon-
der la cabeza bajo el ala, pensar que nunca pasa nada, y dejar que el
problema lo resuelvan aquellos que bajo ningn concepto debieran ser res-
ponsables de tal cometido: los informticos.
Es absurdo esperar que cada uno se imponga controles sobre su tra-
bajo para impedir que uno mismo cometa delitos. Es tan ridculo como
poner la zorra a cuidar de las galHnas, y por otra parte quien acta de
PERSPECTIVA HISTRICA 23
esa forma parece no conocer una norma elemental de control interno, cual
es que ninguna persona debe controlarse a s misma.
Y en el caso que nos ocupa mucho menos, ya que la mayor parte de
los delitos informticos, como luego veremos, son cometidos por los usua-
rios o por los propios tcnicos informticos, que son los que disponen de
conocimientos y oportunidades para hacerlo.
El mayor error de los directivos que as actan es no haber comprendi-
do que uno de las activos ms importantes de sus empresas es la informa-
cin, y que la mayor parte de los delitos informticos, especialmente los
de consecuencias ms graves, giran en torno a la seguridad de la informa-
cin mecanizada.
Una empresa, cualquiera que sea su dimensin y tipo de actividad, no
puede permitirse el lujo de perder en todo o en parte su informacin, ya
que le va en ello su propia supervivencia.
Y, por otra parte, parece mentira que a pesar de las luchas polticas
que a veces se plantean en las empresas para tratar de controlar el centro
de proceso de datos, por ser all donde est concentrada toda la informa-
cin de la compaa, no se valore adecuadamente el riesgo inherente a la
posible prdida, deterioro o sustraccin de dicha informacin.
Bastara recordarles a los directivos que as actan esa frase tan fre-
cuente entre los polticos: Quien tiene la informacin tiene el poder. Y
tanto los polticos como los directivos son los que ms saben de poder,
ya que se pasan la vida luchando por conseguirlo.
Resumiendo, el concepto de la seguridad aplicado a la informtica ha
pasado de ser inexistente en la etapa inicial a la proteccin fsica de los
equipos e instalaciones, para de ah llegar al concepto actual que polariza
su atencin en el corazn de todo sistema informtico: la informacin.
Es por ello que las medidas de proteccin fsica que en otros momentos
fueron suficientes se revelan hoy ineficaces para prevenir y detectar la ma-
nipulacin o sustraccin de la informacin mecanizada.
Y la generalizada inexistencia de controles en los sistemas informticos
y en la informacin que procesan, y la todava ms increble falta de con-
trol sobre la veracidad de las transacciones que se procesan y sobre las
que deberan procesarse y sin embargo no se introducen al ordenador, es
lo que permite que se produzcan situaciones tan increbles para los profa-
nos y tan poco sorprendentes para m como la publicada en el diario de
informacin econmica 5 das el 15 de agosto de 1986, en la que se dice
literal y escuetamente lo siguiente: El Ministerio de Trabajo ha detectado
por medio del nuevo procedimiento de control de bajas, que desde marzo
24 EL DELITO INFORMTICO

de 1985 se estaban pagando pensiones a 54.464 pensionistas fallecidos cuya

defuncin no haba sido comunicada por sus famihares.
Esta noticia, con su aire triunfalista, parece poner de manifiesto la efi-
cacia de los rganos de control de la Seguridad Social, pero a poco que
hagamos unos nmeros, y suponiendo que cada uno de esos casi 55.000
pensionistas fallecidos cobrase unas 30.000 pesetas mensuales, basta multi-
plicar por los dieciocho meses transcurridos de marzo/85 a agosto/86 y
joh sorpresa!, nos encontramos con que la ineficacia de control interno III
en los sistemas informticos de la Seguridad Social que no han sido capaces
de prevenir y detectar la picaresca de los familiares de los fallecidos le
DEFINICIN Y CARACTERSTICAS DEL DELITO
ha costado al erario pblico, nos ha costado a los contribuyentes espaoles,
la increble cifra de TREINTA MIL MILLONES DE PESETAS. INFORMTICO
Sin comentarios.

Pero de qu estamos hablando? Qu entendemos por delito inform-

tico? Qu diferencia hay entre delito informtico y fraude informtico?
En estos casos parece obligado dar una definicin, cosa que siempre
queda muy acadmica y eleva el tono de la exposicin. Sin embargo, de
todas las que han llegado a mi conocimiento no hay ninguna que realmente
me satisfaga, por lo que me curar en salud y os dar varias para que
elijis la que ms os guste, y entre ellas, por supuesto, la ma.
En una primera aproximacin podramos definir el delito informtico
como toda accin dolosa que provoca un perjuicio a personas o entidades,
sin que necesariamente conlleve un beneficio material para su autor, o que,
por el contrario, produce un beneficio ilcito a su autor aun cuando no
perjudique de forma directa o inmediata a la vctima, y en cuya comisin
intervienen necesariamente de forma activa dispositivos habitualraente utili-
zados en las actividades informticas.
No considero que deban incluirse dentro de este concepto aquellos he-
chos en los que los dispositivos informticos son objeto de un delito de
los tipificados en el Cdigo Penal, como es el caso de la sustraccin de
material hardware, ya que en mi opinin este tipo de hechos no renen
las caractersticas diferenciadoras del delito informtico, y su relacin con
la informtica es un mero accidente.
En mi opinin, los delitos informticos pueden dividirse en tres grandes
bloques:
1. Aquellos en los que el uso indebido o la manipulacin fraudulenta
de elementos informticos de cualquier tipo (hardware, software, lneas de
26 EL DELITO INFORMTICO
comunicaciones, informacin mecanizada, etc.) posibilitan un beneficio il-
cito. Es el denominado fraude informtico.
2. Las acciones fsicas que atenan contra la integridad de los elemen-
tos informticos, como son los casos de vandalismo, terrorismo, etc., cuya
finalidad primaria es causar un perjuicio no slo por destruccin de activos
sino por paralizacin de actividades, y aunque la mayor parte de las veces
tiene motivaciones de venganza, tambin pueden ser actos originados por
grupos terroristas o por delincuentes comunes como parte de actos de
extorsin.
3. Los delitos relacionados con la propiedad intelectual de los elemen-
tos informticos, y muy especficamente del software. Es lo que se ha dado
en llamar la piratera del software.
Antes de continuar adelante considero imprescindible hacer una aclara-
cin para matizar adecuadamente los conceptos que estoy utilizando.
Dado que no existe la ms mnima legislacin al respecto, es obvio que
siempre que hable de delitos informticos lo hago en el sentido de lo que
entiendo que debera ser tipificado como tal, aun cuando en las circunstan-
cias actuales goce de total impunidad. No se entienda por tanto en absoluto
en el sentido jurdico de la palabra.
Al no existir regulacin legal se hace extremadamente difcil discernir
dnde est la lnea divisoria entre el bien y el mal. Es por ello que he
optado por calificar de delictiva, siempre en el sentido antes expuesto, toda
accin que de forma voluntaria causa un perjuicio a alguien, independien-
temente de que produzca o no un beneficio a su autor, y de inocua la
que no provoca dao a nadie ni beneficia al autor, por heterodoxa que sea.
Los matices diferenciadores del delito informtico son a veces bastante
sutiles, como podemos apreciar en el ejemplo que sigue.
Es obvio que para una empresa dedicada al desarrollo y venta de soft-
ware, ste representa su principal activo, el producto en el que ha invertido
su dinero para fabricarlo y a travs de cuya venta obtiene sus ingresos.
Por tanto es evidente que la sustraccin de copias de dicho software es
un dehto que perjudica claramente a su legal propietario al producirle una
disminucin de sus ventas, amn de una prdida de imagen ante sus clien-
tes, una devaluacin de sus productos, etc.
Pero en el caso de una empresa que ha comprado un determinado soft-
ware para su propio uso, y facilita voluntaria y gratuitamente una copia
del mismo a otra empresa, se produce una situacin bastante curiosa. La
empresa cedente no se beneficia ni perjudica; la empresa que recibe la copia
DEFINICIN Y CARACTERSTICAS 27
ilegal se beneficia ahorrndose la cantidad que tendra que haber pagado
al legtimo vendedor; y ste, aun cuando probablemente nunca lo sepa,
es el verdadero perjudicado.
Se da por tanto la curiosa circunstancia de que, aunque aparentemente
no se perjudique a nadie, se est cometiendo un delito, y su autor es preci-
samente la empresa que no obtiene ningn beneficio, aun cuando tambin
exista una responsabilidad subsidiaria por parte de la empresa que recibi
la copia.
El eje central de este libro gira en torno al primerp de los grupos en
que he clasificado los delitos informticos, es decir: el fraude informtico.
Y la razn es porque creo que es el terreno ms inexplorado y el que pre-
senta mayores dificultades para su prevencin y deteccin. No obstante,
y con el fin de aportar una visin global del problema, he incluido sendos
captulos dedicados a La piratera del software y El terrorismo y la
informtica.
Aunque parezca mentira, el primer gran problema en relacin con el
fraude informtico es su propia definicin.
Podra pensarse que un fraude slo puede ser caHficado como inform-
tico cuando su realizacin depende ineludiblemente de la utilizacin de un
sistema electrnico de proceso de datos.
Aun cuando este argumento es perfectamente vlido, en l va implcita
la idea de que cuando se instala un sistema informtico, un conjunto clara-
mente definido de procedimientos manuales hasta entonces en uso es reem-
plazado por otros similares mecanizados, y desgraciadamente no suele ser as.
Cuando un sistema se mecaniza, inevitablemente se producen cambios
en los procedimientos hasta entonces en vigor, desaparecen los controles
que se efectuaban manualmente, y los usuarios asumen que el ordenador
efectuar automticamente todos los controles necesarios para hacer el sis-
tema seguro, en tanto que los informticos, por regla general, no se preo-
cupan de definir e incluir en las aplicaciones las necesarias medidas de control.
En consecuencia, de forma generazada los usuarios comienzan a hacer
recaer sobre el ordenador la responsabilidad de los procedimientos de con-
trol, se relajan o incluso desaparecen los controles sobre las tareas previas
o posteriores al proceso mecanizado, y en definitiva, se produce el fraude.
Pero no por el hecho de que exista un proceso mecanizado, sino porque
como consecuencia de la mecanizacin han desaparecido los controles, y
una prueba irrefutable de esta afirmacin la tenemos en las estadsticas
que analizaremos ms adelante, en donde se ve que aproximadamente el
75 % de los fraudes detectados y denunciados lo fueron no por utilizacin
28 EL DELITO INFORMTICO
fraudulenta de los sistemas informticos sino por manipulacin de datos
de entrada que no fueron chequeados adecuadamente por falta de procedi-
mientos mecanizados de control.
Estos fraudes se hubieran cometido con la misma facilidad si los proce-
dimientos hubieran sido manuales y por supuesto hubieran carecido de me-
didas de control.
En resumen, aun cuando el tipo de fraude citado no implica realmente
una manipulacin de elementos informticos, considero que el hecho de
aprovechar las deficiencias de control interno de los sistemas informticos
para introducir transacciones falseadas, efectivamente cae de lleno en el
concepto de fraude informtico que estamos tratando de definir.
Con un sentido ms amplio podramos definir el fraude informtico
como toda conducta fraudulenta realizada a travs o con la ayuda de
un sistema informtico por medio de la cual alguien trata de obtener un
beneficio ilcito.
Segn esta definicin los elementos de un fraude informtico seran tres:
1. Un sujeto: el autor o autores de la conducta fraudulenta.
2. Un medio: el sistema informtico sin el cual no se podra llevar
a cabo la accin.
3. Un objeto: el bien que produce el beneficio ilcito.
Es por tanto evidente, que lo que caracteriza al fraude informtico es
el medio a travs del cual se comete. Y no es realmente importante el grado
de intervencin que los dispositivos informticos tengan en la comisin del
dehto, ya que a veces pueden ser un elemento indispensable para la ejecu-
cin del hecho dehctivo y en otros casos se pueden utilizar tan slo para
ocultar su realizacin.
Un informe elaborado en 1984 sobre los fraudes informticos en el sec-
tor de la banca y los seguros en los Estados Unidos, publicado por la AC-
PA (American Institute of Certified Public Accountants), da la siguiente
definicin: Cualquier acto, o serie de actos, realizados para defraudar
o engaar (creando situaciones que induzcan a error) y que tienen un im-
pacto real o potencial en los estados financieros de una organizacin. En
la realizacin o el encubrimiento del acto, o serie de actos, deben estar
necesariamente involucrados dispositivos informticos.
Esta definicin, aun siendo, en mi opinin, bastante farragosa, presenta
interesantes elementos dignos de analizarse.
En primer lugar nos aporta la idea del delito continuado, elemento bas-
tante frecuente en los fraudes informticos, que tiene su base en la sus-
DEFINICIN Y CARACTERSTICAS 29
traccin repetitiva de pequeas cantidades que suelen pasar desapercibidas.
Es el conocido caso del redondeo de cntimos en los clculos de nminas,
intereses bancarios, etc., que se van desplazando hacia la cuenta del
defraudador.
El segundo aspecto interesante es que, aun incluyendo ambos casos en
la categora de fraude, establece la diferencia entre la finalidad primaria
de defraudar o la utilizacin de los dispositivos informticos como medio
de encubrir o falsear situaciones para que fraudes cometidos por diferentes
procedimientos, que incluso pueden ser manuales, pasen desapercibidos y
no puedan ser detectados.
Es interesante la forma en que esta definicin establece el concepto de
dao producido por el fraude, cuando dice que tiene un impacto real
o potencial en los estados financieros de una organizacin. No puede ne-
garse que es una definicin confeccionada por auditores.
En base a este concepto, no podra incluirse en la categora de fraude
ningn hecho cuyas consecuencias no fueran cuantificables, lo cual en mi
opinin es un error.
Segn entiendo, los perjuicios originados por un delito informtico pue-
den clasificarse en tres grandes grupos:
1. Perjuicio econmico directo.
Es probablemente el caso ms fcilmente identificable y uno de los po-
cos que pueden ser perseguidos y castigados de acuerdo con la legislacin
tradicional, ya que existe una apropiacin de bienes, sea en la forma de
dinero, mercancas, servicios o cualquier otro tipo de activo. El problema
en este caso no es tanto descubrir el delito como poder probarlo.
2. Perjuicio econmico indirecto.
Este es el caso en que no se produce una apropiacin de bienes o servi-
cios tangibles y valorables. Ejemplo tpico es la sustraccin de informacin
confidencial de carcter econmico, comercial, etc., que daa los intereses
de la organizacin, a veces a medio o largo plazo, y de una forma difcil-
mente cuantificable. Cmo valorar una paulatina prdida de cuota de mer-
cado porque nuestros competidores se delantan a nuestras estrategias co-
merciales por conocerlas con anticipacin?
3. Perjuicios intangibles.
Son casos afortunadamente poco frecuentes pero que pueden llegar a
tener repercusiones gravsimas sobre la imagen o el prestigio de una organi-
30 EL DELITO INFORMTICO
zacin. Imaginemos el caso de un empleado de una entidad bancaria que
manipula ciertos programas con la nica finalidad de deteriorar el prestigio
del banco, de tal forma que el sistema comienza a operar errneamente
de forma intermitente, siempre en perjuicio de los clientes. Por ejemplo;
no autorizando el pago de talones a pesar de ser conformes, cargando im-
portes excesivos y no justificados en cuentas de clientes importantes, pro-
vocando errores que bloqueen el funcionamiento del sistema de teleproceso
en das y horas punta colapsando el funcionamiento de las ventanillas de
atencin al pblico en las oficinas, intercambiando las direcciones de los
clientes para que los envos peridicos contengan informacin real corres-
pondiente a otros clientes, etc., etc.
Por ltimo, la definicin de la AICPA establece la absoluta necesidad
de que en la comisin o encubrimiento del fraude intervengan dispositivos
informticos, lo cual me parece el elemento diferenciador indispensable en
este tipo de delitos.
Pero basta ya de definiciones y entremos a analizar el entorno en que
se produce el fraude informtico, lo cual nos permitir hacernos una idea
de por qu es tan complejo prevenir y detectar estos hechos, y de las carac-
tersticas que hacen de ellos un tipo de delito nuevo y diferente.
Las principales caractersticas de la actividad informtica que inciden
en la comisin de fraudes son las siguientes:
1. Concentracin de la informacin.
La tendencia a centralizar y consohdar toda la informacin corporativa
en grandes bases de datos, sobre las que interaccionan multitud de usua-
rios, posibilita considerablemente el acceso a cualquier tipo de informa-
cin, una vez que se han penetrado las medidas de control de accesos que
estn establecidas.
2. Ausencia de registros visibles.
La posibilidad de descubrir un hecho fraudulento por simple inspeccin
visual est completamente eliminada al estar la informacin grabada en
forma de impulsos elctricos sobre soportes magnticos que no son directa-
mente legibles por el ser humano.
3. Los programas y ios datos pueden alterarse sin dejar rastro.
En tanto que la manipulacin de registros escritos es bastante difcil
y suele dejar evidencias, la alteracin de programas o datos grabados en
DEFINICIN Y CARACTERSTICAS 31
soportes magnticos puede hacerse sin dejar rastro, salvo que se hayan adop-
tado las adecuadas medidas de control.
4. Fcil eliminacin de pruebas.
Es extremadamente fcil en caso de peligro, hacer desaparecer progra-
mas manipulados o ficheros completos de datos alterados, desde la consola
del ordenador o desde un terminal tan slo pulsando una tecla o emitiendo
una instruccin de borrado, lo cual, posteriormente, puede hacerse pasar
por un error fortuito.
5. Complejidad del entorno tcnico.
incluso los sistemas ms sencillos presentan una gran complejidad en
trminos de la capacitacin tcnica y el tiempo necesario para entender
en detalle qu hace el sistema y cmo lo hace. Generalmente, y despus
de un corto tiempo, los usuarios comienzan a aceptar la integridad del
sistema sin cuestionrselo, especialmente si est diseado para que la inter-
vencin humana sea mnima.
6. Dificultad para proteger los ficheros mecanizados.
A diferencia de lo sencillo que resulta proteger fsicamente archivos tra-
dicionales, de tal forma que slo sean utilizables por el personal autoriza-
do, la proteccin de la informacin almacenada en soportes magnticos
es mucho ms compleja.
7. Concentracin de funciones.
El concepto de segregacin de funciones incompatibles suele ser inexis-
Icnte en los centros de proceso de datos, especialmente en los de tamao
medio y pequeo en los que priman los conceptos de funcionalidad y versa-
lilidad del personal sobre el concepto de seguridad.
8. Carencia de controles internos en las aplicaciones.
La generaHzada inexistencia en los departamentos de anlisis y progra-
macin de metodologas de desarrollo de software que incluyan de forma
estndar medidas de control interno y pistas de auditora en las nuevas
aplicaciones explica la extremada debilidad de stas ante intentos de mani-
pulaciones fraudulentas.
9. Controles ineficaces para el personal tcnico.
En general puede afirmarse que la mayora de los controles establecidos
en las aplicaciones o sobre los cheros mecanizados pueden ser fcilmente
xslayados por tcnicos informticos de una cierta cualificacin.
32 EL DELITO INFORMTICO

10. Dispersin territorial de los puntos de entrada al sistema.

La mayor parte de los sistemas complejos estn diseados sobre la filo-
sofa de una fuerte descentralizacin para acercar la informtica al lugar
donde est el usuario o donde se producen los datos de entrada, y curiosa-
mente, mientras se establecen medidas de control de forma centralizada,
stas suelen ser inexistentes en la prctica en los puntos remotos de entrada
al sistema.
11. Dependencia de redes pblicas de transmisin de datos.
Los sistemas complejos deben basarse casi ineludiblemente en una red
de comunicaciones para su funcionamiento, y dado que aunque todava
existen lneas privadas la previsin a medio plazo es que la totalidad de
las comunicaciones se harn por redes pblicas, es necesario considerar
que dichas redes son compartidas por una multitud de usuarios, y que adi-
cionalmente no es posible para ninguna organizacin establecer medidas
de control sobre ellas, sino tan slo sobre sus propios mensajes.
Como puede apreciarse, en cualquier instalacin informtica de media-
no tamao existe una conjuncin prcticamente total de todas las circuns-
tancias indicadas, lo que nos lleva a enunciar el tercer gran principio:
En toda instalacin informtica se dan inexorablemente las
circunstancias idneas para la comisin de delitos infor-
mticos.
Este es, hoy por hoy, un axioma que la mayor parte de los directivos
se niegan a aceptar, y cuando se les trata de hacer ver lo subestiman alegan-
do que los fraudes informticos solamente se producen en circunstancias
muy especiales, y adems esas cosas slo le pasan a otros.
Qu error! Qu gran error!
IV
TIPOLOGA DEL FRAUDE INFORMTICO
La diversidad de formas que puede adoptar el fraude informtico es
de tal magnitud que para el profano es prcticamente inimaginable, y yo
me atrevera a decir que el nico lmite existente viene dado por la conjun-
cin de tres factores: la imaginacin del autor, su capacidad tcnica y las
deficiencias de control existentes en la instalacin.
Para daros una idea del mbito del problema vamos a repasar las
principales reas en que el fraude informtico puede producirse, sin que
ello suponga que estamos ante una lista cerrada, sino tan slo ante una
relacin de las situaciones ms comunes.
1, Sustraccin de dinero o documentos que lo sustituyan.
En este grupo puede incluirse la apropiacin de dinero, cheques autenti-
ces emitidos por el ordenador para pagar a acreedores, emisin de cheques
flclicios, y cheques recibidos de clientes.
2, Sustraccin de mercancas.
Uno de los casos ms frecuentes es la manipulacin de sistemas mecani-
/adt>s de control de inventarios para hacer desaparecer mercancas median-
te el sistema de introducir movimientos de salida falsos o de no registrar
ntovimicnlos de entrada. Esto es especialmente sencillo en el caso de que
Itt conciliacin de facturas de proveedores o la facturacin a cuentes estn
|inii?inio mecanizadas, aunque tambin se han dado casos en que estos
llrmidcs se hacan en connivencia con proveedores o clientes.
m u m INFORMTICO. 3
34 EL DELITO INFORMTICO
3. Sustraccin de valores negociables o documentos que sirven de soporte
para el intercambio de mercancas o dinero.
Estamos ante el caso de la apropiacin de acciones, valores, participa-
ciones en fondos de inversin, de pensiones, etc., o bien albaranes de mer-
cancas, conocimientos de embarque, etc.
4. Sustraccin de servicios.
Este tipo de fraude suele darse en las compaas suministradoras de
servicios (agua, gas, electricidad, telfono, etc.), mediante la manipulacin
de los sistemas de medicin, registro, facturacin y seguimiento de cobros.
Tambin puede incluirse dentro de esta categora la emisin de billetes de
transporte sin su correspondiente cobro y contabilizacin (lneas areas,
ferrocarriles, compaas martimas, lneas de autobuses, etc.), o incluso
otros servicios aparentemente menos expuestos al fraude, como pueden ser
servicios mdicos, de hostelera, etc.
No podemos olvidar dentro de la sustraccin de servicios uno de los
casos ms frecuentes y al que suele darse poca importancia: la utilizacin
de los dispositivos informticos en provecho de los empleados de la empre-
sa. Yo he conocido uno de estos casos en el que los propios informticos
haban montado un negocio paralelo que prestaba servicios de centro de
calculo procesando, durante el turno de noche, contabilidades, nminas,
etctera, para otras empresas en el ordenador de la compaa para la que
trabajaban.
5. Sustraccin de software.
Aun cuando este tipo de delito lo tratar en profundidad en el captulo
dedicado a La piratera del software, quiero dejar aqu constancia de
que es un delito mucho ms frecuente de lo que se cree, y que la forma
de pensar generalizada a este respecto es que, dado que lo que se sustrae,
y generalmente se vende, es una copia, la empresa propietaria que desarro-
ll ese software para su propio uso no resulta perjudicada. De forma adi-
cional, los informticos suelen pensar que dado que la creacin de software
tiene un alto componente intelectual, las aplicaciones desarrolladas por
ellos son, en cierto modo, suyas, y que la empresa que les ha pagado un
sueldo por desarrollarlas tiene tan slo un relativo derecho de propiedad
sobre ellas.
TIPOLOGA DEL FRAUDE 35
6. Sustraccin de informacin.
En la actualidad es uno de los delitos menos desarrollados, y sin embar-
go es al que le auguro una mayor tasa de crecimiento, y al mismo tiempo
es uno de los que pueden alcanzar mayor potencial de perjuicios para las
empresas afectadas. Pensemos en las consecuencias que puede tener para
una compaa el que le sea sustrada y facihtada a sus competidores infor-
macin confidencial sobre la composicin de sus productos, su tecnologa
de fabricacin, sus listas de Chentes, sus futuras estrategias comerciales,
los planes de lanzamiento de xm nuevo producto, etc. Este caso cae de
lleno en lo que se podra denominar espionaje industrial realizado por
procedimientos informticos.
Estos grupos genricos que anteceden estn conformados de acuerdo
con el criterio del objeto del fraude, es decir, segn el tipo de bien que
se trata de obtener ilegalmente.
Pero en cualquiera de los grupos citados, e incluso si aadiramos algu-
no ms, podemos encontrar un factor comn que es el elemento esencial,
indispensable y omnipresente en todo fraude informtico: la manipulacin
de la informacin y/o del software.
Dejemos por un momento volar nuestro pensamiento tratando de ima-
ginar la increble cantidad de situaciones en las que una persona deshonesta
podra sacar provecho si tuviera la posibilidad de manipular los programas
o la informacin contenidos en un sistema informtico.
As sera posible:
Autorizar el pago de un cheque sin que existan fondos en la cuenta
corriente.
Autorizar la emisin de una orden de transferencia sin que haya fon-
dos que la respalden.
Autorizar la concesin de un crdito bancario basado en informacin
manipulada de registros histricos para mostrar unos buenos antecedentes
financieros.
Manipular el clculo de intereses en las operaciones bancarias de pasi-
vo, desviando pequeas cantidades hacia otra cuenta.
Manipular el clculo de nminas en grandes corporaciones con un
gran nmero de empleados, desviando los redondeos hacia la cuenta del
defraudador.
Falsear registros de entrada o salida de mercancas de almacn para
apoderarse de ellas.
s
36 EL DELITO INFORMTICO
Alterar registros histricos para incrementar lmites de riesgo o elimi-
nar historiales de morosidad y permitir el envo de mercanca a clientes
de dudosa solvencia.
Cancelar indebidamente cuentas pendientes de cobro.
Hacer desaparecer registros de activos (maquinaria, vehculos, etc.).
Emitir cheques de pago a proveedores inexistentes.
Emitir cheques de pago a pensionistas fallecidos.
Alterar la informacin empresarial para influir sobre la cotizacin
de las acciones en la bolsa.
Hacer desaparecer rdenes de busca y captura en los registros de la
polica.
Hacer desaparecer antecedentes penales de personas reincidentes, que
estn siendo juzgadas, para conseguir sentencias reducidas.
Alterar los registros acadmicos universitarios para permitir la expe-
dicin de ttulos falsos.
Falsear la informacin contenida en historiales mdicos mecanizados
para conseguir seguros de vida para personas con una salud muy precaria.
Manipular los resultados de un test de control de calidad realizado
por ordenador para autorizar indebidamente una compra.
Expedir billetes de avin, tren, barco, etc., sin su contrapartida de
cobro y contabilizacin.
Manipular los programas de tarificacin de telfono, electricidad, etc.,
para aplicar a ciertos clientes tarifas ms reducidas que las que realmente
les corresponderan.
Y un largo etctera que uno no puede imaginarse donde acabar.
Uno de los pocos autores que ha realizado una clasificacin de los deli-
tos informticos ha sido el norteamericano Donn B. Parker, Consultor S-
nior en el Stanford Research Institute, quien estableci doce categoras dis-
tintas de mtodos o procedimientos empleados para la comisin de estos
delitos.
En cualquier caso, todas las clasificaciones que puedan realizarse con-
fluyen en los cuatro tipos bsicos que, solos o combinados, sirven de base
para la realizacin de un fraude informtico:
1. Manipulacin de los datos de entrada al ordenador.
2. Introduccin de modificaciones no autorizadas en los programas.
3. Manipulacin de la informacin almacenada en el ordenador o en
soportes magnticos.
i
TIPOLOGA DEL FRAUDE 37
4. Acceso indebido a lneas de transmisin de datos para mani-
pular la informacin que circula por ellas o la que est almacenada en
el ordenador.
La clasificacin de Parker es la que ms difusin y aceptacin ha teni-
do, razn por la cual la incluyo a continuacin, efectuando un anlisis
de las caractersticas de cada uno de los procedimientos definidos, aadien-
do algunos casos de los que han alcanzado ms notoriedad y que de alguna
manera ilustran suficientemente las peculiaridades de cada mtodo.
INTRODUCCIN DE DATOS FALSOS (DATA DIDDLING)
Es el mtodo ms sencillo y ms utilizado habitualmente, consistente
en manipular las transacciones de entrada al ordenador con el fin de intro-
ducir movimientos falsos en todo o en parte, o en eliminar transacciones
verdaderas que deberan haberse introducido.
Como puede deducirse, es un mtodo al alcance de multitud de perso-
nas que desarrollan sus tareas alrededor de los servicios informticos, y
para su realizacin no se precisan especiales conocimientos tcnicos, sino
tan slo haberse apercibido de las deficiencias de control que presenten
los sistemas mecanizados.
Por la misma razn es relativamente sencillo prevenirlo y detectarlo,
ya que basta con introducir sistemticamente controles internos en las apli-
caciones, establecer controles cruzados entre las entradas y las salidas, dise-
ar eficaces procedimientos de validacin de datos de entrada, y explotar
adecuadamente los loggings y los journals del sistema mediante la emisin
automtica de informes de excepcin.
Un caso phlicamente conocido de fraude cometido por este procedi-
miento ocurri^n Baltimore, Maryland, en mayo de 1980, y fue cometido
por Janet Blair, empleada de las oficinas de la Seguridad Social (Social
Security Administration).
La Srta. Blair introduca desde su terminal inteligente, conectado con
el potente ordenador central, transacciones falsas para producir la emisin
de cheques fraudulentos, consiguiendo por este procedimiento defraudar
un total de 102.000 dlares (aproximadamente unos 15 millones de
pesetas).
38 EL DELITO INFORMTICO
En contra de lo que pueda pensarse, el fraude no fue descubierto por
los rganos de control o los auditores de la Seguridad Social, sino por
un empleado de un banco de Filadelfia que sospech al observar una gran
cantidad de cheques con el mismo nmero de afiliacin a la Seguridad
Social pero expedidos a diferentes nombres.
La Srta. Blair fue acusada de 43 cargos de falsificacin y desfalco,
por lo que fue condenada a 8 aos de prisin federal y al pago de una
multa de 500 dlares (unas 70.000 pesetas). /
EL CABALLO DE TROYA (TROJAN HORSE)
Su nombre proviene de la azaa narrada por Homero en La Ilada,
en la cual, durante el asedio a la ciudad de Troya, Ulises hizo construir
un gran caballo de madera con el vientre hueco, ocultando all un gran
nmero de soldados, para a continuacin regalrselo a los troyanos y simu-
lar el abandono del sitio de la ciudad.
Los habitantes de Troya, que creyeron haber ganado la guerra, introdu-
jeron el caballo en la ciudad y celebraron el acontecimiento con una gran
fiesta, pero durante la noche, cuando todos dorman confiadamente bajo
tos efectos del alcohol, los soldados de Ulises salieron del caballo y abrie-
ron las puertas de la ciudad a sus compaeros que aguardaban ocultos
en el exterior, los cuales tomaron la ciudad sin que sus habitantes pudieran
oponer resistencia.
Por esta causa, la denominacin Caballo de Troya suele aplicarse a
algo que tiene apariencia inofensiva para tranquilizar a la vctima elegida,
pero que cuando desencadena su daino potencial causa verdaderos estragos.
Despus de esta digresin mitolgica cuya nica finalidad era explicar
el porqu de este nombre, podemos precisar que este mtodo consiste en
introducir dentro de un programa de uso habitual una rutina o conjunto
de instrucciones, por supuesto no autorizadas, para que dicho programa
acte en ciertos casos de una forma distinta a como estaba previsto.
Puede tratarse de que en determinadas circunstancias ejecute un clculo
de forma errnea, por ejemplo aumentando el importe de la nmina de
un empleado, desviando partidas hacia cuentas ficticias, etc.
Tambin puede tener como finalidad imprimir documentos no autoriza-
dos o no imprimir documentos reales; por ejemplo emitir cheques a provee-
TIPOLOGA DEL FRAUDE 39
dores ficticios (que fueron creados en colaboracin con el mtodo anterior)
o no imprimir cheques a proveedores reales aun cuando s se cancela su
deuda, ya que previamente se ha alterado la forma de pago que prevea
la emisin de cheque cambindola por una transferencia a una cuenta que
en realidad es la del defraudador.
Un procedimiento bastante usado en la banca en relacin con este mto-
do es introducir una modificacin al programa de tratamiento de cuentas
corrientes para que siempre que se consulte el saldo de una determinada
cuenta lo multiplique por mil, por diez mil, por cien mil, etc., con lo que
es posible autorizar pagos, transferencias, etc., por un importe muy supe-
rior al saldo real.
De sus propias caractersticas puede deducirse que para utilizar este m-
todo de fraude es preciso poseer una capacitacin tcnica suficiente, al me-
nos saber programar, y lo ms importante, tener acceso al programa para
poder manipularlo.
Creo importante aadir que en todos los casos de este tipo que he cono-
cido, el programa manipulado ya estaba en proceso de utilizacin habitual
desde bastante tiempo atrs, y nunca se trataba de un programa de nueva
creacin.
La razn es muy simple, un programa nuevo suele ser sometido (o al
menos debera hacerse) a un proceso de chequeo y comprobacin de su
funcionamiento para detectar cualquier anomala que pueda contener. Sin
embargo, un programa que ha estado funcionando correctamente durante
meses o aos no se cuestiona, y salvo casos absolutamente excepcionales,
jams sus resultados son sometidos a comprobacin.
El mtodo del Caballo de Troya con ser uno de los ms peligrosos
por la razn expuesta en el prrafo anterior, y uno de los ms difciles
de detectar, es sin embargo uno de los ms sencillos de prevenir, ya que
basta con instituir unos estrictos procedimientos de catalogacin y descata-
logacin de programas en las libreras de produccin, de tal manera que
dichas libreras estn bloqueadas y sea imposible acceder a ningn progra-
ma para su modificacin sin los correspondientes permisos, adems, claro
est, de que cuando un programa deba ser modificado por causas justifica-
das no se caiga en el error habitual, que es comprobar que lo que se ha
modificado en el programa funciona correctamente, sin que nadie se preo-
cupe de chequear que el programa no ha sido modificado ms que en aque-
llo que se pretenda, y que el resto sigue igual.
La gran responsabilidad, en muchas organizaciones ni siquiera an in-
tuida, respecto al chequeo y aprobacin para la entrada en funcionamiento
 40 EL DELITO INFORMTICO
de las aplicaciones mecanizadas, corresponde a los responsables de control
interno, ya se llamen auditora interna, controller financiero, control de
gestin, inspeccin, etc.
Como .ejemplo tpico de esta modalidad de fraude reseamos, de forma
annimaJun caso real sucedido en una entidad de crdito de nuestro pas,
al cual no se le dio publicidad y del que se desconoce incluso el nombre
del autor.
Sucedi a finales de 1984, y el procedimiento utilizado por el autor,
segn parece un ex-empleado del centro de proceso de datos de la entidad,
fue introducir una rutina dentro del programa de tratamiento de cuentas
corrientes para que un determinado da, aproximadamente seis meses des-
pus de haber cesado el empleado en su trabajo, y a una hora determinada,
exactamente entre las 11 y las 11,30, autorizase el pago de un taln de
una cuenta concreta sin consultar el saldo. Posteriormente la misma rutina
borraba parte del programa modificado con lo cual se eliminaba el rastro
de la comisin del deUtol
Segn mis noticias, I el fraude fue de unos diez millones de pesetas y
no se pudo probar la autora del mismo, razn por la que posiblemente
no se le dio publicidad ni se denunciJ
Otro caso sucedido en Espaa bastante recientemente (publicado en Las
Provincias el 23 de noviembre de 1985), parece corresponder a las caracte-
rsticas de la tcnica del Caballo de Troya, si bien no dispongo de datos
suficientes para asegurarlo. /.
feucedi en el Banco de Santander en Valencia! y fue cometido por tres
5 individuosiJos Mara D. J., de 26 aos, segn parece ex-empleado banca- se calcula la nmina de empresas con un gran nmero de empleados, proce-
ll rio,, Alfredo V. D., de 47 aos, y Jos G. B., de 57 aos.
I foichos individuos haban montado una operacin para apropiarse frau-
dulentamente de 24 millones de pesetas mediante la manipulacin del siste-
ma informtico de la entidad, consistente en abrir dos cuentas en diferentes
i oficinas de la ciudad con nombres distintos y falsos, lo que les permiti
disponer de talonarios de cheques y que las cuentas entraran en el sistema
*l de teleproceso del banco.
Despus de unos das de funcionamiento normal, y sin que se haya
explicado cmo sucedi, en las cuentas se hicieron asientos falsos por un
total de 24 millones de pesetas, parece obvio que manipulando fraudulenta-
4 mente los sistemas informticos.
Los individuos fueron detenidos despus de haber cobrado cinco talones
por un importe total de 2.500.000 pesetas y en posesin de documentacin
1 falsa a los nombres a que estaban abiertas las cuentas.
TIPOLOGA DEL FRAUDE 41
Parece bastante evidente que la nica forma de realizar los asientos
falsos en las cuentas fue la utilizacin de la tcnica del Caballo de Troya,
ya que aunque otra posibilidad podra ser el haber actuado en connivencia
con un empleado de la entidad, no consta que ningn empleado fuera dete-
nido por este hecho/aunque tambin pudiera ser que no hubiera sido des-
cubierto ni denunciado por sus cmplices.
LA TCNICA DEL SALAMI (ROUNDING DOWN)
La opinin generalizada de los auditores es que esta modalidad de frau-
de informtico es la ms sencilla de realizar y la que menos probabilidades
tiene de ser descubierta, especialmente si se produce en una gran empresa
cuyos sistemas informticos procesan enormes cantidades de transacciones.
El procedimiento consiste en introducir o modificar unas pocas instruc-
ciones en los programas para reducir sistemticamente en unos cntimos
las cuentas corrientes, los saldos de proveedores, los talones que se impri-
men en el ordenador para pagar a acreedores, etc., transfirindolos a una
cuenta corriente, proveedor ficticio, etc., que se abre con nombre supuesto,
y que obviamente la controla el defraudador.
Tambin se suele aplicar esta tcnica cuando se calculan ios intereses
de cuentas corrientes, libretas de ahorro, depsitos a plazo, o bien cuando
dindose a eliminar el criterio generalizado de redondear los cntimos al
alza o a la baja a pesetas exactas y a cambiarlo por la eliminacin total
de dichos cntimos que son transferidos a una determinada cuenta o a la
nmina de un empleado real o ficticio.
La razn por la que es tan difcil descubrir este tipo de fraude es porque
las cuentas, o el importe total de la nmina, siguen estando cuadrados,
por lo que no se produce ninguna seal de alarma que pueda indicar lo
que. est sucediendo.
^ n caso sucedido en Estados Unidos hace algunos aos es una buena
muestra de lo eficaz que puede llegar a ser este procedimiento, ya que el
importe defraudado alcanz la cifra de 400.000 dlares (unos 55 millones
de pesetas).
En una importante compaa norteamericana, un programador que te-
na bajo su responsabilidad el sistema mecanizado de personal introdujo
42 EL DELITO INFORMTICO
en el mismo unas pequeas modificaciones que afectaban a los clculos
del plan de inversiones para los empleados que la direccin de la empresa
tena establecido.
La compaa haba acordado con sus empleados que cada mes se les
retendra una pequea cantidad de sus salarios para invertirlos en valores
mobiliarios, y el sistema mecanizado controlaba el nmero de las fraccio-
nes de cada tipo de accin comprada que corresponda a cada empleado-
inversor.
Lo nico que tuvo que hacer el programador fue quitar un pequeo
porcentaje de las fracciones de acciones propiedad de cada empleado y
transferirlo a su propia cuenta.
Dado que las cantidades eliminadas de cada participante del fondo de
inversin eran muy pequeas, y que los clculos para hallar sus porcentajes
de participacin eran muy complejos, adems de que cada empleado parti-
cipaba con la cantidad que quera sin que esta fuera fija o proporcional
a su salario, el programador pudo continuar durante bastante tiemno de-
fraudando a sus compaeros de trabajo antes de ser descubierto.!
SUPERZAPPING
Se denomina superzapping al uso no autorizado de un programa de
utidad para alterar, borrar, copiar, insertar, o utilizar en cualquier forma
no permitida los datos almacenados en el ordenador o en los soportes
magnticos./
Para los no informticos dir que este nombre tan original proviene
de un conocido programa de utilidad llamado superzap y que es algo
as como una llave que abre cualquier rincn del ordenador por protegido
que pueda estar.
En efecto, cuando un sistema informtico complejo est protegido por
importantes medidas de seguridad es siempre necesario disponer de un ca-
mino de emergencia que permita entrar a cualquier punto del sistema en
caso de que se produzca una avera o cualquier otra anormalidad. Esta
es la razn que justifica la existencia de los llamados programas de acceso
universal, que son una herramienta imprescindible en cualquier instalacin
de una cierta dimensin cuando fallan los procedimientos normales para
recuperar o reiniciar el sistema.
TIPOLOGA DEL FRAUDE 43
Este tipo de programas de utilidad son, adems de una herramienta
muy valiosa e incluso imprescindible en ciertos casos, un arma peligrossi-
ma cuando estn al alcance de personas con aviesas intenciones.
Los tcnicos que suelen tener necesidad de utilizarlos son nicamente
los programadores de sistemas, los tcnicos de sistemas o algn operador
muy experto que necesita acceder al sistema operativo,'y este uso se realiza
muy de tarde en tarde, razn por la cual deben estar guardados en lugar
seguro y con los debidos controles.
Sin embargo, suelen estar archivados en las libreras de produccin jun-
to con el resto de los programas de uso frecuente y generalizado, con lo
que cualquier tcnico podra tener la posibilidad de utilizarlo indebidamente.
Mediante la tcnica del superzapping es posible alterar ios registros de
un fichero sin que quede constancia de tal modificacin, lo que puede lle-
gar a ser tremendamente difcil de descubrir, y aun en el caso de que se
descubra, es prcticamente imposible detectar quin, cmo y cundo lo
realiz.
Normalmente la informacin contenida en los ficheros mecanizados se
modifica exclusivamente mediante los programas de la aplicacin que reali-
zan la actualizacin de la informacin en base a las transacciones de entra-
da al ordenador.
Generalmente se suelen registrar en la contabilidad del sistema (logging,
Journal o accounting) las transacciones que se han procesado durante la
sesin de trabajo, y los ficheros y los registros que se han actualizado,
al mismo tiempo que si existen pistas de auditora es posible, partiendo
de la situacin de un registro dado, conocer qu transaccin o transaccio-
nes lo han modificado en un plazo de tiempo dado.
Sin embargo, los programas de acceso universal permiten modificar di-
rectamente la informacin de los ficheros sin ejecutar los programas de
actualizacin ni introducir ninguna transaccin al ordenador. Y lo que
es ms grave, sin dejar rastro si la persona que lo est usando sabe como
realizarlo.
Basta hacer coincidir el momento de la modificacin no autorizada con
el comienzo o el final de la ejecucin del programa verdadero de actualiza-
cin y algn error intencionado en el sistema que requiera la utilizacin
del programa de acceso universal. En ese momento tendremos cargado en
el sistema el fichero que queremos modificar y el programa que nos permi-
te modificarlo, no registrndose por tanto la utilizacin no justificada ni
del fichero ni del programa de utiHdad.
;i 44 EL DELITO INFORMTICO
Cuando se descubra la alteracin de los datos se pensar que ha sido
^'^ un funcionamiento errneo del programa de actualizacin, un funciona-
miento inadecuado del ordenador o una transaccin errnea, y en esas di-
"S recciones se encaminarn las investigaciones, las cuales tienen una alta pro-
babilidad de no tener ningn xito.
l'lli En el mejor de los casos, aunque se descubra cmo se realiz la altera-
cin de los datos, en la prctica ser imposible probarlo.
Jn conocido caso de fraude por el mtodo de superzapping ocurri
en'un banco de New Jersey, con el resultado de una prdida econmica
de 128.000 dlares (unos 18 millones de pesetas).
El autor del fraude fue el jefe de explotacin del centro de proceso
de datos de! banco, quien en virtud de la facilidad que tena para utilizar
!
ii un programa de acceso universal comenz a desviar fondos desde las cuen-
tas de diferentes clientes a las de unos amigos, sin que quedara en el orde-
nador ninguna evidencia de las modificaciones efectuadas en los saldos de
las cuentas y por tanto sin que nadie en el banco se apercibiera de lo que
estaba sucediendo.
El fraude se descubri merced a la reclamacin que hizo uno de los
clientes afectados, lo cual motiv una investigacin que acab con la deten-
cin y el procesamiento del autor .J
/ del sistema a mitad de un proceso, ir grabando en cinta resultados interme-
PUERTAS FALSAS (TRAP DOORS)
Es una prctica acostumbrada en el desarrollo de aplicaciones comple-
jas que los programadores introduzcan interrupciones en la lgica de los
programas con objeto de chequear en medio de los procesos si los resulta-
dos intermedios son correctos, producir salidas de control con el mismo
fin o guardar resultados intermedios en ciertas reas para comprobarlos
ms tarde.
Incluso algunas veces esta tcnica se enlaza con ciertas rutinas del siste-
ma operativo para facilitar una puerta de entrada al programa que no
estaba prevista en las especificaciones de la aplicacin, pero que de esta
manera facilitan la labor de desarrollo y prueba de programas.
El problema estriba en tener la certeza de que cuando los programas
'3 entran en proceso de produccin normal todas esas puertas falsas han
desaparecido.
TIPOLOGA DEL FRAUDE 45
Y aunque parezca mentira, unas veces por olvido, las ms por prisa
y otras por desidia, esas herramientas para chequeos en la fase de desarro-
llo no se eliminan, con lo cual las aplicaciones se quedan con unas puertas
de acceso por donde introducirse a los programas, con el agravante de
que al ser elementos temporales creados por el programador no constan
en la documentacin del sistema, con lo cual es difcil conocer su existencia
y dimensin si no se efecta un anhsis concienzudo de los programas.
En otros casos, la comodidad de los programadores puede provocar
deficiencias de control no previstas, como es el caso de los programas dise-
ados con programacin estructurada en mdulos independientes, en que
al ceder control el programa de un mdulo a otro tan slo debe traspasarse
la informacin necesaria para la ejecucin del mdulo siguiente, lo cual
a veces obliga al programador a efectuar ciertos trabajos adicionales de
preparacin de resultados, ocurriendo a veces que en contra de lo estableci-
do se traspasa un fichero o un rea de memoria completa, pudiendo suce-
der que en el mdulo siguiente tenga acceso permitido una persona que
no debera acceder a cierta informacin que le ha sido traspasada indebida-
mente, cuando debera haber permanecido en el mdulo anterior.
Otro caso bastante frecuente es aquel en que un programador establece
como medida de seguridad, para posibles recuperaciones en caso de cada
dios, o copia de las transacciones procesadas, o incluso ciertas reas de
memoria para que la recuperacin sea ms rpida y sencilla, sin haber
considerado que esas medidas de seguridad que est incluyendo en el siste-
ma, aun siendo buenas para los fines que estn pensadas, son, sin embar-
go, una puerta falsa que permita a cualquiera examinar, sin ningn tipo
de controles, la cinta que se ha ido grabando y que puede contener infor-
macin confidencial.
Cualquier informtico con unos cuantos aos de experiencia a las espal-
das es consciente de que si es difcil desarrollar un sistema que cumpla
todas las especificaciones que se han definido, mucho ms difcil es afirmar
con absoluta rotundidad que un determinado sistema hace nica y exlusiva-
raente lo que debera hacer.
Y la labor de revisar escrupulosa y exhaustivamente el conjunto de pro-
gramas que hay en una instalacin, que pueden llegar a sumar varios miles,
es una tarea que slo quien la haya tratado de realizar en alguna ocasin
puede darse una idea del ingente trabajo que supone.
Por tanto, y aunque es cierto que la mayor parte de los elementos que
pudieran englobarse bajo la denominacin de Irap doors son eliminados
46 EL DELITO INFORMTICO
en las ltimas fases de pruebas del sistema, no puede nunca desecharse
la posibilidad de que bien por olvido o bien con intencin dolosa, algunas
de ellas permanezcan en la aplicacin, con el riesgo potencial que puede
suponer.
En cualquier caso, este mtodo de fraude requiere una especial cualifi-
cacin tcnica por parte de sus autores, lo que reduce considerablemente
el espectro de personas sobre las que podran enfocarse las sospechas en
caso de cometerse un delito de este tipo, aunque por la misma razn son
escasas las personas que podran acometer y soportar tcnicamente una
investigacin en profundidad de un fraude de estas caractersticas.
A pesar de lo expuesto no puede dejar de tomarse en consideracin
la posibilidad de que una puerta falsa sea descubierta por personas que
no la crearon pero que, una vez descubierta, se aprovechan de ella sin
necesidad de poseer una formacin informtica profunda.
Tal es el caso de unos ingenieros de una fbrica de automviles de
Detroit, que descubrieron una puerta falsa en una red de servicio pblico
de time-sharing de Florida.
Despus de una serie de intentonas, consiguieron hacerse con una clave
de acceso de alto nivel, segn parece la del propio presidente ejecutivo
de la compaa de time-sharing, y utilizndola pudieron apoderarse de dife-
rentes programas clasificados como reservados y archivados en el ordena-
dor bajo la denominacin de secretos comerciales, al tiempo que utiliza-
ban el servicio de la red sin cargos econmicos.
Como suele ser tradicional en los fraudes informticos, fueron circuns-
tancias accidentales las que originaron el descubrimiento de los hechos,
sin que nunca se llegara a saber cuantas personas y en cuantas ocasiones
pudieron hacer lo mismo.
BOMBAS LGICAS (LOGIC BOMBS)
Este mtodo es el procedimiento de sabotaje ms comnmente utilizado
por empleados informticos descontentos que antes de abandonar sus pues-
tos de trabajo dejan lo que se denomina una bomba lgica o una bom-
ba de tiempo para producir daos en algn momento posterior a su mar-
cha de la empresa.
La similitud de la tcnica llamada Caballo de Troya con la que estamos
analizando es evidente, si bien, en mi opinin, la diferencia fundamental
estriba en que mientras la primera suele utilizarse para cometer un fraude.
TIPOLOGA DEL FRAUDE 47
las llamadas bombas lgicas suelen tener como finalidad el sabotaje, la
venganza, el afn de hacer dao sin otro beneficio que el placer de perjudicar.
El mtodo consiste en introducir en un programa un conjunto de
instrucciones no autorizadas para que en una fecha o circunstancia prede-
terminada se ejecuten desencadenando la destrucccin de informacin al-
macenada en el ordenador, distorsionando el funcionamiento del sistema,
provocando paralizaciones intermitentes, etc.
Ajn conocido caso de bomba lgica ocurri en la primavera de 1981,
y tuvo como protagonista a un programador de 26 aos de edad que traba-
jaba en el Departamento de Defensa de los Estados Unidos en Washington
D.C.
Dicho programador se sinti frustrado y discriminado al no recibir una
promocin que estaba esperando, por lo que decidi vengarse al considerar
que era una injusticia cometida en su persona.
El trabajo de este empleado consista en el mantenimiento de los siste-
mas de personal y nminas, lo que le permita tener acceso a todos los
programas y a la informacin contenida en las bases de datos correspon-
dientes a dichos sistemas, aun cuando exista la figura de un administrador
de la base de datos que velaba por la integridad de la informacin all
almacenada.
Decidido a vengarse escribi unas rutinas para incluirlas en los progra-
mas con el fin de borrar y destruir gran parte de la informacin que proce-
saban los sistemas que l mantena, pero como no le era posible probar
el programa sin que el administrador de la base de datos se apercibiera,
confi en su experiencia y no efectu ninguna prueba.
A partir de ese momento comenz a buscar otro trabajo, conectando
con una compaa de petrleo en Dallas, Texas, y coincidiendo con unas
pequeas vacaciones que se tom en los primeros das de septiembre de
1981 se entrevist con los responsables de la compaa tejana y se someti
a todas las pruebas de aptitud del proceso de seleccin.
Unos das despus recibi la confirmacin de que haba sido admitido
para el nuevo trabajo, y en ese mismo momento, aprovechando la hora
del almuerzo en que se quedaba slo n su puesto de trabajo, introdujo
en los programas la rutina que ya tena programada, incluyendo un control
de fecha para que se desencadenara seis meses ms tarde, yendo aquella
misma tarde a hablar con su supervisor para pedir la baja con carcter
inmediato./
En efecto,/seis meses despus de que hubiera abandonado su trabajo,
cuando se estacan procesando las nminas del personal, la rutina funcion
 48 EL DELITO INFORMTICO
tal como su autor haba previsto, borrando la mayor parte de los registros
del personal.
Dado que el programa haba estado utilizndose largo tiempo y nadie
dudaba de su buen funcionamiento, se volvi a probar con las copias de
seguridad de los ficheros que tambin resultaron destruidas.
El descubrir el origen del problema y recomponer tanto la informacin
como los programas requiri un gran esfuerzo del personal informtico
y una gran cantidad de tiempo, lo que puede dar una idea del importante
costo que supuso! pero como no fue posible probar la autora del hecho,
aunque las sospecnas recayeron sobre su verdadero autor, nunca fue acusa-
do, ni juzgado, ni castigado/i ; - i
Una forma bastante extendida de utilizar la tcnica de la bomba lgica
es la que realizan muchos fabricantes de paquetes de software para asegu-
rarse el cobro de los mismos.
Consiste en programar unas instrucciones que chequean la fecha del
da, lo que permite que los productos tengan una fecha de caducidad oculta
que ha introducido el fabricante del producto al instalarlo en el ordenador
del cliente y que no ser eliminada o prorrogada hasta tanto el cliente pa-
gue io que el vendedor le reclama, lo que indudablemente constituye una
forma de coaccin que en mi opinin es claramente ilegal, si bien hay que
reconocer en descargo de quienes lo hacen que la falta de una legislacin
adecuada que proteja a los vendedores de software provoca como reaccin
estos mtodos de autodefensa.
Una actuacin de este tipo puede llegar a paralizar las actividades de
la empresa cliente, lo que sera objeto de una demanda contra el vendedor
del producto software reclamndole daos y perjuicios, si eso sirviera para
algo de acuerdo con el actual esquema legislativo espaol.
i ATAQUES ASINCRONOS (ASYNCHRONOUS ATTACKS)
.)
r sucesivamente.
'")
Este procedimiento es sin ninguna duda el ms complejo desde el punto
de vista tcnico, y, al menos que yo sepa, no se ha producido ningn frau-
;^ de de estas caractersticas, aunque por su extrema complejidad no slo de
realizacin sino, lo que es ms importante, de deteccin, bien pudiera ser
j que los que se hayan cometido no hayan sido descubiertos.
f>
:^
)
TIPOLOGA DEL FRAUDE 49
Esta tcnica se basa en la forma de funcionar de los sistemas operativos
y sus conexiones con los programas de la apHcacin a los que sirven y
soportan en su ejecucin.
Para comprender en sus lneas generales de qu estamos hablando, sera
necesario tener una formacin similar a la de un Tcnico de Sistemas,
que es la cualificacin de mayor complejidad tcnica existente en informti-
ca, ya que son quienes mantienen en perfecto funcionamiento el sistema
operativo del ordenador, y en general, todo el software bsico de la
instalacin.
Para quien no lo sepa, se denomina sistema operativo el conjunto de
programas (que pueden sumar varios cientos) que gobiernan y controlan
el funcionamiento del ordenador y de todos sus dispositivos perifricos (discos,
cintas, impresoras, etc.), la entrada de los datos que deben ser procesados
por los programas, la ejecucin de los programas de las diferentes aplica-
ciones, y la salida de la informacin elaborada en los procesos hacia los
dispositivos de salida.
No creo necesario indicar que el sistema operativo es imprescindible
para el funcionamiento del equipo y que su desarrollo es responsabilidad
de la casa fabricante, que es quien comercializa conjuntamente el hardware
y el software bsico.
Una de las principales funciones del sistema operativo en los ordenado-
res modernos es controlar la ejecucin simultnea de varios programas que
estn compartiendo recursos de hardware y reasignar permanentemente di-
chos recursos en orden a optimizar su utilizacin.
As, el sistema operativo cede control al programa A para iniciar su
ejecucin; el programa A solicita leer un dalo que est almacenado en un
determinado fichero del disco 1; en ese momento el sistema operativo reto-
ma el control para efectuar la lectura del dato solicitado, y autoriza al
programa B para que siga su ejecucin.
Dado que el programa A es de mayor prioridad que el B, tan pronto
como est disponible el dato solicitado por aqul, el sistema operativo pa-
raliza la ejecucin del programa B y cede control al programa A. Y as
Otra funcin fundamental del sistema operativo es optimizar la ocupa-
cin de memoria central reasignando reas en funcin de las necesidades
de cada uno de los programas que estn en ejecucin en cada momento.
De igual forma el sistema operativo asigna a los programas que lo re-
quieren otros recursos de software bsico, como son los programas de utili-
dad (por ejemplo programas de clasificacin, intercalacin, etc.).
EL DELITO INFORMTICO. 4
>
:] 50 EL DELITO INFORMTICO
Por ltimo, el sistema operativo es quien controla y maneja todos los
errores que pueden producirse tanto en el ordenador como en los progra-
mas que se estn ejecutando, avisando al operador, por medio de mensajes,
de cualquier situacin anormal que se produzca.
Este rpido y elemental vistazo a algunas de las funciones primarias
5 que realizan los sistemas operativos permite dar una idea de la complejidad
que presenta el entorno tcnico a que me estoy refiriendo.
Un factor adicional y muy importante es el hecho de que los programas
de la aplicacin funcionan de forma sncrona, ejecutando sus instrucciones
en un orden fijo, paso a paso, en tanto que el sistema operativo funciona
de forma asincrona, ejecutando sus diferentes acciones en funcin de una
gran multitud de factores ajenos a l. Esto le obliga a conservar con toda
rigurosidad la situacin o el estado en que se encuentran cada uno de los
programas en ejecucin, estableciendo colas de espera que va desbloquean-
do en funcin de la disponibilidad de los datos o recursos que estaba
esperando.
A pesar de que esta somera descripcin, que intencionadamente no abunda
en detalles tcnicos, pueda no ser demasiado clarificadora, creo que es fcil
hacerse una idea de que para una persona que pueda moverse con agilidad
por las entraas del sistema operativo no representa una gran dificultad
el manipular las condiciones de estatus de ciertos programas para alterar
la forma de ejecucin prevista sin que sea posible detectar ninguna anorma-
lidad ni quede constancia de lo sucedido.
Uno de los tpicos ejemplos de este tipo de fraudes es el que puede
producirse en los puntos de recuperacin del sistema.
Me explicar. Cuando se procesan programas complejos y de larga du-
racin suelen establecerse puntos de recuperacin que cada cinco o diez
minutos graban en soporte magntico externo (cinta o disco) el estado del
programa, de acuerdo con un conjunto muy complejo de parmetros que
utiliza el sistema operativo, lo que permite que si el sistema se cae, lo
'i que en la jerga informtica quiere decir que se interrumpe el proceso por
una situacin de error no recuperable, por falta de energa elctrica, etc.,
no es necesario reprocesar desde el principio del programa, sino tan slo
desde el ltimo punto de recuperacin, ya que a partir de los parmetros
que se grabaron, el sistema operativo pueda reconfigurar exactamente la
situacin que tena en el punto en que se va a reiniciar el proceso.
Pues bien, si entre dos puntos de recuperacin se provoca voluntaria-
mente una cada del sistema, y en el nterin se manipula el contenido de
los parmetros en que se va a apoyar el sistema operativo para rearrancar,
TIPOLOGA DEL FRAUDE 51
es obvio que las condiciones en que se ejecutar el programa sern distintas
de las que deberan ser, por lo que sus resultados sern fraudulentos o
cuando menos, errneos.
Fcilmente puede apreciarse que si complejo es el procedimiento de fraude
mucho ms lo es el de deteccin, por lo que probablemente la mejor solu-
cin sera no permitir bajo ningn concepto que los tcnicos de sistemas,
ya sean personal de la propia instalacin o de mantenimiento del suminis-
trador, conozcan la estructura de la informacin y el detalle de los pro-
gramas de la aplicacin, con el fin de que no puedan, aunando ambos
conocimientos, tener en su mano todos los elementos que le posibiliten
la realizacin de un fraude.
RECOGIDA DE INFORMACIN RESIDUAL (SCAVENGING)
Este procedimiento se basa en aprovechar los descuidos de los usuarios
o los tcnicos informticos para obtener informacin que ha sido abando-
nada sin ninguna proteccin como residuo de un trabajo real efectuado
con autorizacin.
La sustraccin de informacin por el mtodo de scavenging {del ingls
to scavenge = recoger la basura) puede efectuarse de dos formas distintas:
1. Scavenging fsico: consiste en recoger el material de desecho que
se abandona en las papeleras, encima de las mesas, en el suelo, etc., y
que frecuentemente incluye listados de pruebas de programas, documentos
conteniendo informacin de entrada al ordenador una vez utilizados, se-
gundas copias de listados que no se han repartido, listados de errores de
informacin de entrada una vez depurados, fotocopias de documentos re-
servados, etc.
2. Scavenging electrnico: se basa en aprovechar las finalizaciones de
ejecuciones de trabajos reales en el ordenador para obtener la informacin
residual que ha quedado en memoria o en soportes magnticos y que gene-
ralmente no se tiene la precaucin de borrar.
Mientras el segundo de los procedimientos es algo ms difcil de reali-
zar, ya que hay que efectuarlo en determinados momentos y se requieren
s
i
52 EL DELITO INFORMTICO
i
unos ciertos conocimientos tcnicos, el scavenging fsico est absolutamente
l)
generalizado, y sobre l se pueden contcU" ancdotas increbles.
') En una caja de ahorros se haba adoptado la poltica de no destruir
los hstados de ordenador que no se iban a utiUzar, ya que muy astutamente
"")
se haba decidido venderle el papel al peso a un individuo que vena cada
semana a recogerlo con una furgoneta. Lo que nadie poda asegurar era
> qu suceda posteriormente con dicho papel y con la informacin que con-
> tena. En este caso no slo no se gastaba en seguridad, sino que la falta
s de seguridad produca beneficios.
Otra caja de ahorros que durante la jomada laboral normal dispona de
) puertas de seguridad para acceder al centro de proceso de datos, accionable
mediante tarjetas magnticas, y adicionalmente contaba con la presencia
de un vigilante jurado en dicha puerta, cambiaba radicalmente sus esquemas
l) de seguridad a partir de las ocho de la tarde en que el vigilante se marchaba,
las puertas se abran de par en par y entraban a saco las limpiadoras de
una casa externa y se paseaban impunemente por todo el centro de proceso
) de datos recogiendo papeles y papeleras, y supongo que nada ms. En cual-
) quier caso, lo de entrar a saco no es una metfora, ya que entraban con
un gran saco que nadie revisaba cuando se marchaban, por lo que aun
'>
'I asumiendo su honestidad no se puede asegurar que en ms de una ocasin
) no se hayan llevado papeles confidenciales que, habiendo quedado abando-
M
nados sobre una mesa, cayeron al suelo a causa de una rfaga de aire.
i.? La prevencin del scavenging fsico (y pido disculpas por la reiteracin
en la utilizacin del verbo sajn, pero creo que es enormemente expresivo)
es tan simple como comprar destructoras de papel y colocarlas en los luga-
res apropiados, y, por supuesto, obligar al personal a que las use, en tanto
iH! se debe obligar a guardar bajo llave aquella informacin confidencial que
no puede ser destruida ya que debe conservarse.
P^
En una ocasin, y despus de una investigacin para tratar de descubrir
.^
cmo y por qu se haba producido un fraude informtico que implicaba
conocer los controles internos de la apHcacin para soslayarlos con xito,
llegamos al convencimiento de que el defraudador conoca los controles
:) incorporados a la aplicacin desde la poca en que se estaba desarrollando,
a causa de que los analistas y programadores acostumbraban a dejar sobre
;) sus mesas al fin de la jornada laboral toda la documentacin del sistema
que estaban diseando, por lo que estaba al alcance de cualquiera poder
'5 leerla, fotocopiarla, etc.
Estas cosas, que a veces se producen por dejadez y a veces por descui-
dos involuntarios, alcanzan en ocasiones cotas inenarrablemente cmicas,
TIPOLOGA DEL FRAUDE 53
como sucedi en una empresa en la que los sueldos del personal era un
tema tab que se llevaba en el ms absoluto de los secretos, hasta el punto
de que los responsables de la direccin de personal haban aprendido a
manejar el ordenador para ejecutar por s mismos y sin la presencia de
ninguno de los operadores todos los procesos del sistema de nmina.
Pues bien, un buen da, con motivo de la revisin salarial anual y una
vez introducidos en el ordenador todos los coeficientes de incrementos de
sueldos, que por supuesto eran distintos prcticamente para cada persona,
se efectu un listado de prueba de cmo quedaba la estructura de sueldos
de la empresa. Pero he aqu que al haberse obtenido un nico ejemplar
impreso y necesitarse alguno ms, fue necesario fotocopiarlo ya que en
ese momento el ordenador ya estaba con otros trabajos que no se podan
parar, por lo que no era posible sacar otro listado.
El desastre ocurri cuando la secretaria del director de personal que
efectu las fotocopias dej olvidado el original dentro de la fotocopiadora,
y la siguiente persona que fue a utilizarla y se lo encontr tuvo la fehz
ocurrencia de sacar varias decenas de fotocopias y distribuirlas de forma
annima por todos los departamentos de la empresa.
El asunto no acab en un confiicto laboral por muy poco debido a
los agravios comparativos que se produjeron, y que cmo es de suponer
a la empresa le costaron ms de un disgusto y un buen pellizco de dinero
en reajustes salariales.
Este hecho demuestra cmo en muchas ocasiones un pequeo descuido
puede echar por tierra un sistema que est montado alrededor de fuertes
medidas de seguridad, lo cual nos lleva a enunciar el cuarto gran principio
de la seguridad informtica:
Las medidas de seguridad no son eficaces si no se man-
fienen las 24 horas del da, 7 das a la semana y 365 das
al ao (366 los bisiestos).
La proteccin del scavenging electrnico es tambin bastante simple,
basta establecer en la metodologa de programacin la obligatoriedad de
efectuar un borrado de las reas de memoria ufilizadas cada vez que finali-
za un programa, as como borrar de los directorios de los discos los fiche-
ros que ya no tienen validez.
Algo ms complejo es el procedimiento para inutilizar la informacin
grabada en cintas magnticas, ya que no basta con quitarles las etiquetas
fisicas como suele ser lo habitual. Probablemente el procedimiento ms
54 EL DELITO INFORMTICO
rpido y ms cmodo es disponer de un aparato generador de campos mag-
nticos, en cuyo caso tan slo es necesario introducir en l la cinta unos
segundos y queda completamente borrada. Tambin he visto en alguna ins-
talacin que a las cintas que se quiere borrar se les pasa un programa
de grabacin de datos ficticios (blancos, ceros, series correlativas con las
letras del alfabeto, etc.), pero en cualquier caso no deja de ser un procedi-
miento engorroso y lento.
Una de las formas ms estpidamente simples de que se produzca el
scavenging electrnico es cuando se preparan ficheros de spool para impre-
sin diferida, ya que en ellos queda preparada la informacin que poste-
riormente se imprimir sin ningn tipo de proteccin, siendo fcilmente
recuperable sin necesidad de utilizar ningn identificativo, clave de acceso
o cualquier otro procedimiento de seguridad, a pesar de que en muchos
casos se trata de informacin altamente confidencial.
El caso quizs ms conocido de fraude por el procedimiento de scaven-
ging ocurri en California, y su autor fue un brillante estudiante de inge-
niera elctrica del colegio de Santa Mnica, llamado Jerry Neal Schneider,
el cual simultaneaba sus estudios con una ocupacin a tiempo parcial como
vendedor de equipos de telecomunicaciones.
Durante su ltimo ao de estudios en la Hamilton High School, de
Los ngeles, Jerry haba estado recogiendo cada maana los papeles que
contenan las papeleras que se depositaban en el exterior del centro de pro-
ceso de datos de la compaa Pacific Telephone and Telegraph, gracias
a lo cual haba adquirido un conocimiento bastante profundo de la forma
de operar de los sistemas mecanizados de la empresa.
En diciembre de 1970, Jerry consigui entrevistar al director de relacio-
nes pblicas de la compaa telefnica, simulando ser un reportero que una recompensa, lo denunci a la compaa, la cual sin salir de su asombro
escriba para diferentes revistas tcnicas de mbito nacional.
A lo largo de la entrevista Jerry convenci al director de relaciones
pblicas, y posteriormente a otros ejecutivos de la compaa, de que un
artculo sobre su sofisticado sistema mecanizado de pedidos de equipos te-
lefnicos publicado en una revista de primera lnea reforzara considerable-
mente la imagen de la empresa, por lo que la Direccin asign un tcnico
informtico para que le explicara detalladamente el funcionamiento de di-
cho sistema.
Durante varias semanas Jerry fue recopilando informacin para su art-
culo y adquiriendo profundos conocimientos del sistema de pedidos, al tiempo
que preparaba un plan casi perfecto para defraudar a la compaa de
telfonos.
TIPOLOGA DEL FRAUDE 55
Como parte de su plan, Jerry compr una furgoneta Ford del 62 en
una subasta de la propia compaa, con el emblema de sta pintado en
los laterales.
El 21 de junio de 1971, Jerry comenz a poner en prctica su plan
efectuando un pedido de telfonos y centralitas por valor de 30.000 dlares
(unos 4.000.000 de pesetas) para ser despachados a uno de los almacenes
de la empresa que Jerry haba previamente seleccionado.
De acuerdo con los esquemas habituales de ejecucin del sistema de
pedidos, el de Jerry se proces durante el da y la mercanca fue despacha-
da despus de medianoche.
Al amanecer, antes de que los empleados de la compaa comenzaran
a trabajar, Jerry se dirigi en su furgoneta al almacn donde deba recoger
los equipos, firmando el albarn de recogida con el nombre de uno de
los empleados del almacn.
Posteriormente desguaz los equipos y vendi los componentes a com-
pradores de buena fe.
El negocio de Jerry continu prosperando hasta el extremo de que se
anunciaba en la prensa ofreciendo las ltimas novedades en equipos de
telecomunicaciones a precios de saldo; y todava ms, como el negocio iba
en aumento contrat un empleado para que efectuara las recogidas del ma-
terial.
As continuaron las cosas durante el resto del ao, hasta que el emplea-
do de Jerry le exigi ms dinero por sus servicios especiales, y tal era el
grado de confianza de Jerry en que el sistema que haba ideado no tena
fisuras que no dud en despedir a su colaborador.
El empleado de Jerry, en parte por venganza y tambin en espera de
requiri los servicios de unos investigadores privados quienes comprobaron
la veracidad de la denuncia.
A finales de febrero de 1972, Jerry Neal Schneider fue acusado por
el fiscal del distrito de varios cargos de hurto, robo y comerciar con mer-
cancas robadas, y el 5 de juUo de 1972 fue condenado por el juez George
M. Dell a pasar dos meses en un correccional, 500 dlares de multa, y
tres aos de libertad vigilada.
 hr X TIPOLOGA DEL FRAUDE
S6 EL DELITO INFORMTICO
I. '
DIVULGACIN NO AUTORIZADA DE DATOS RESERVADOS
(DATA LEAKAGE)
',!
11
La sustraccin de informacin confidencial es quizs uno de los cnce-
res que con mayor peligro acecha a los grandes sistemas informticos.
K Esto que ha dado en llamarse tradicional mente espionaje industrial
t: no se ha convertido en un riesgo de alta prioridad hasta que las empresas
^L han comenzado a soportar mecanizadamente ciertos aspectos clave de sus
actividades empresariales, como por ejemplo: las estrategias de mercado,
i i
los diseos de sus nuevos productos, las frmulas de produccin, etc.
iL La facilidad existente para efectuar una copia de un fichero mecanizado
es de tal magnitud en rapidez y simplicidad que es una forma de delito
.11 r
1
prcticamente al alcance de cualquiera.
!"v Las modernas tecnologas han complicado ms si cabe la situacin al
IT aadir riesgos adicionales derivados de la distribucin de los recursos infor-
mticos, posibilitando que desde un punto remoto se pueda acceder a in-
i,:,,
;, iil
formacin confidencial almacenada en el ordenador central, recuperarla hasta
un ordenador personal, copiarla en un diskette y llevrselo tranquilamente
en un bolsillo.
No podemos dudar de que haya empresas que estaran dispuestas a pa-
gar una respetable suma de dinero por informacin confidencial de sus
competidores.
Incluso hay cierto tipo de empresas que dependen de la privacidad de
su informacin para sobrevivir, ya que su negocio consiste, concretamente,
en vender servicios basados en dicha informacin, cual es el caso de las
empresas de publicidad directa, que se dedican a reaHzar mailings en
base a ficheros muy completos en donde tienen sectorizada toda la pobla-
cin con sus caractersticas socio-econmicas.
De todos es sabido las cantidades que llegan a pagar los laboratorios
farmacuticos por un fichero del censo mdico en donde consten sus espe-
cialidades, direcciones de sus consultorios, lugar, da de la semana y hora
a la que reciben a los visitadores mdicos, capacidad de prescripcin, espe-
cialidades preferidas, etc.
A pesar de lo sencillo que resulta criptografiar la informacin confiden-
cial para que, aunque se efecten copias ilegales, no sean utilizables por
ser ilegibles, no creo equivocarme en mucho si afirmo que no me he encon-
57
trado ms de un uno por ciento de instalaciones que apHquen procedimien-
tos criptogrficos a sus ficheros confidenciales.
Pero lo ms curioso es que tambin existen casos en que se estn cripto-
grafiando las transacciones que se envan por Hneas de comunicaciones y
sin embargo el fichero que soporta esas mismas transacciones est sin crip-
tografiar, lo cual no es ms que un reflejo tangible de esa irresponsable
presuncin que he odo tantas veces: Nuestro personal es muy honrado.
Todos somos honrados hasta que dejamos de serlo, dice el famoso re-
frn recogiendo la sabidura del pueblo. Y en efecto, una empresa no puede
basar su seguridad en la honradez de su personal sino en sus esquemas
de control.
Y nadie debe sentirse ofendido porque le implanten controles en su tra-
bajo, o acaso no le hacen arqueos de caja a los cajeros e inventarios
a los almaceneros?
Un empleado ejemplar haba sido durante aos aquel hombre honrado
a carta cabal que despus de media vida trabajando en una entidad banca-
ria sita en Barcelona se vio obligado, por circunstancias ajenas a su volun-
tad, a sustraer informacin confidencial sobre los clientes de la entidad
para venderla y as poder sufragar los gastos que le originaba su hijo dro-
gadicto, el cual haba llevado a la familia a la ruina.
PIGGYBACKING AND IMPERSONATION
El piggybacking, esa extraa palabreja que confieso considerarme inca-
paz de traducir, se utiliza para identificar el hecho de conseguir acceder
a reas restringidas, ya sean zonas fsicas (por ejemplo, la sala del ordena-
dor) o reas reservadas dentro del ordenador o de sus dispositivos perifri-
cos, denominndose respectivamente piggybacking fsico o electrnico.
En mi opinin, el piggybacking no es exactamente un procedimiento
de comisin de delitos informticos, sino tan slo un medio que puede
facilitar su realizacin, y que por desgracia es algo que sucede de forma
absolutamente generalizada en la mayora de los centros de proceso de da-
tos, en los que a pesar de existir dispositivos de control de accesos de perso-
nas a ciertos recintos, stos se hallan con mucha frecuencia con las puertas
abiertas o con los dispositivos desconectados.
58 EL DELITO INFORMTICO
Y respecto al piggybacking electrnico es tan comn como el hecho
de que un usuario que est trabajando con un terminal en un nivel de
autorizacin que le permite realizar ciertas funciones reservadas (pinsese
en el cajero de una oficina bancaria), abandona su puesto de trabajo du-
rante un cierto tiempo (para ir al servicio, a tomarse un caf, etc.) dejando
el terminal conectado, con lo que cualquier otra persona puede continuar
trabajando en dicho terminal sin necesidad de identificarse, accediendo a
informacin reservada y pudiendo efectuar operaciones que en condiciones
normales no le estaran permitidas.
Un procedimiento muy sencillo de evitar este tipo de accesos indebidos
es establecer en el ordenador central un control de inactividad de termina-
les, para que en caso de que se produzca un perodo sin actividad durante
un tiempo predeterminado (5, 10, o 15 minutos suele ser lo habitual), se
desconecte el terminal de forma automtica.
Asociado con este procedimiento se suele incluir, y Parker as lo hizo,
el denominado en ingls Impersonation, que podra traducirse por su-
plantacin de personalidad.
El fingir ser otra persona es tanto ms fcil cuanto menos personal
es el procedimiento de identificacin. Por ejemplo, si la identificacin per-
sonal se basa en conocer algo, como puede ser una clave, es relativamente
fcil que alguien pueda averiguarla y suplantar al legtimo usuario. Pero
si adems de esto se requiere estar en posesin de algo, por ejemplo una
llave o una tarjeta magntica, el nivel de seguridad se incrementa conside-
rablemente. Y an podramos complicarlo ms si adems de las dos condi-
ciones anteriores implantamos dispositivos de reconocimiento biomtrico
como identificacin palmar o dactilogrfica, scanner de la retina o del iris,
reconocimiento de voz, etc.
Un caso bastante frecuente de suplantacin de la personalidad se da
asociado con el robo de tarjetas de crdito, las cuales, como es sabido,
requieren un PIN (Personal Identification Number) para poder ser utiliza-
das en los cajeros automticos.
Pues bien, los autores del robo de la tarjeta, si son verdaderos profesio-
nales, suelen llamar telefnicamente al titular hacindose pasar por un em-
pleado de la central de tarjetas de crdito, o del banco expedidor de la
tarjeta, para solicitarle que con objeto de anular cualquier posibilidad de
utilizacin fraudulenta de la tarjeta le revele su clave personal (PIN). Pare-
ce mentira pero en el cien por cien de los casos los afectados descubren
su clave a la persona desconocida que les ha llamado, la cual, como es
TIPOLOGA DEL FRAUDE 59
fcil imaginar utiliza la tarjeta para sacar dinero de los cajeros automticos
hasta su lmite de crdito.
Mucho ms divertida y mucho menos daina fue la suplantacin de per-
sonalidad que hicieron los estudiantes de una universidad en U.S.A. al mandar
una comunicacin en papel oficial a todos los usuarios del ordenador de
la universidad advirtindoles que el nmero de conexin al ordenador ha-
ba sido cambiado y facilitando el nuevo nmero, el cual corresponda en
realidad al ordenador personal de los estudiantes, que estaba programado
para responder exactamente igual que lo haca el equipo de la universidad.
En consecuencia, y dado que lo primero que peda el sistema al conec-
tarse eran las claves de identificacin, el equipo de los estudiantes recoga
la clave y responda que hasta nueva orden volvieran a llamar al nmero
antiguo.
Esto les permiti hacerse con las claves de todos los usuarios, las cuales
utilizaron exclusivamente para divertirse descubriendo todos los secretos
de la universidad, hasta que, descubierta la situacin, todas las claves fue-
ron cambiadas.
PINCHADO DE LNEAS (WIRETAPPING)
El pinchado de lneas telefnicas ha sido tradicionalmente una forma
bastante sencilla de obtener informacin de forma clandestina, si bien es
cierto que el trmino suele asociarse con las escuchas ilegales de conversa-
ciones telefnicas entre personas.
Probablemente desde los das del ms famoso espionaje poltico de to-
dos los tiempos, el caso Watergate, hasta el momento en que escribo este
libro, en que las escuchas a los polticos parecen estar a la orden del da
en nuestro pas, el pinchado de lneas parece ser una tcnica bastante
generalizada.
Sin embargo, no lo es tanto cuando de lo que se trata es de pinchar
lneas de transmisin de datos y recuperar la informacin que circula por ellas.
El primer y principal problema es encontrar y aislar el par de cables,
que se utilizan para la transmisin, del resto de los cables que suelen ir
unidos a ellos.
Si esto puede realizarse, y suele ser ms sencillo hacerlo cuanto ms
cerca del origen de la transmisin, especialmente dentro del propio edificio,
sustraer la informacin puede ser un juego de nios.
 ^
)
60 EL DELITO INFORMTICO TIPOLOGA DEL FRAUDE 61
)
> Todo lo que se necesita es un pequeo cassette como grabador, una Me estoy refiriendo al caso de un contable que antes de efectuar el
) radio porttil AM/FM, un modem para demodular las seales telefnicas fraude que tena pensado contrat los servicios de una oficina de servicios
> analgicas y convertirlas en digitales, y una pequea impresora para listar con el fin de montar una copia de la contabilidad de la empresa para la
la informacin que se ha captado. que trabajaba, lo que le permiti estudiar detenidamente las repercusiones
)
La forma de hacerlo no la voy a contar. Pertenece al secreto del sumario. de los asientos fraudulentos que pensaba realizar para embolsarse una sus-
) tancial cantidad de dinero.
En cualquier caso est demostrado que hacer un pinchado de lneas
) directamente desde el exterior a la red general de transmisin de datos es No obstante el caso citado, no es en absoluto un procedimiento normal
considerablemente complejo, por lo que no se conoce apenas ningn caso y escasean considerablemente los delitos cometidos por este mtodo.
de fraude que por este procedimiento se haya realizado en nuestro pas.
Y tendris que convenir conmigo en que existiendo una gama tan exten- Hasta aqu la clasificacin efectuada por Donn B. Parker, la cual he
,) respetado en la forma en que l la concibi, manteniendo los doce aparta-
sa de procedimientos como los que llevamos vistos, y algunos tan a! alcan-

; ce de cualquiera, no merece la pena montar la logstica tcnica que supon-

dra hacer un pinchado de lneas desde el exterior.
El mejor y ms eficaz procedimiento para proteger la informacin que
se enva por lneas de comunicaciones es la criptografa, que consiste en
dos originalmente definidos. Sin embargo considero importante hacer men-
cin a una forma de delito que en estos ltimos aos ha cobrado una espe-
cial publicidad, la cual describo en el siguiente apartado.

aplicar unas claves que permiten codificar la informacin convirtindola

en un conjunto ininteligible de letras y nmeros sin sentido aparente, de

tal forma que al ser recepcionada en destino, y por aplicacin de las mis-
mas claves, la informacin se recompone hasta quedar exactamente igual
que se envi en origen.
A pesar de la sencillez y eficacia de la criptografa es un procedimiento
LOS HACKERS

El fenmeno de los llamados hackers es quizs el elemento que ms

:'. todava muy poco extendido, quizas por la escasa amenaza que suponen
los pinchados ilegales y por el costo relativamente caro de los dispositivos
criptogrficos.
V te de los delitos informticos son cometidos por personal de la empresa,
SIMULATION AND MODELING
::>
Al igual que los ordenadores son una herramienta potentsima para efec-
tuar simulacin de situaciones que nos permitan estudiar las consecuencias
previsibles de determinadas acciones antes de tomarlas, o efectuar modelos
'^ que representen el comportamiento previsible de una empresa, fbrica, in-
ha contribuido a poner de actuaUdad el problema de la delincuencia infor-
mtica, y sin embargo, con ser el ms espectacular no es ni mucho menos
el ms peligroso ni el que potencialmente implique mayores prdidas para
los afectados, ya que como se ha demostrado reiteradamente la mayor par-
correspondiendo un porcentaje nfimo a los hackers.
Sin embargo, la espectacularidad del fenmeno hacker unido a la enor-
me publicidad que les supuso la pelcula Juegos de Guerra (War Games)
ha configurado una aureola alrededor de estos adolescentes que en absolu-
to se corresponde con su imagen real una vez que se efecta un anlisis
en profundidad y se separa el grano de la paja.
Se denominan hackers (sin que realmente exista una palabra en espaol
para definirlos adecuadamente) a esa legin de jvenes fanticos de la in-

^ versin, etc., tratad de imaginaros lo que puede suponer utilizar adecuada-

mente ese potencial con fines delictivos.
formtica que desde la soledad de sus habitaciones y equipados tan slo
con un ordenador personal, un modem y una gran imaginacin, son capa-

!;s Y aunque pueda parecerlo no estoy hablando del futuro sino del presen-
te, puesto que ya se han dado casos en que el ordenador ha servido para
ces de acceder, a travs de una red pblica de transmisin de datos, al
sistema informtico de una empresa, institucin bancaria, organismo gu-
planificar y simular la comisin de un delito antes de realizarlo. bernamental, etc., introducirse en l saltndose todas las medidas de seguri-
:^

IIT!

)
 52 EL DELITO INFORMTICO
dad establecidas y leer informacin confidencial, sustraerla, alterarla, des-
truirla o incluso preparar las condiciones para en ese momento o posterior-
mente efectuar un fraude.
El fenmeno hacker todava no ha llegado a Espaa, probablemente
debido a dos causas: la todava escasa disponibilidad de ordenadores perso-
nales suficientemente potentes y de sus correspondientes modems por parte
de la poblacin juvenil, y la escasa difusin de los servicios telemticos
en nuestro pas que no justifican la existencia de usuarios de servicios del
tipo de redes de videotex, bases de datos de informacin sectorial, etc.
No obstante, la creciente expansin de este tipo de delincuencia, que
ya est prcticamente generalizada en los Estados Unidos, Inglaterra, Ale-
mania Federal, etc., hace previsible su aparicin en nuestro pas a no muy
largo plazo.
Las tcnicas utilizadas por los hackers son de dos tipos: las basadas
en la oportunidad y las basadas en el esfuerzo.
Las primeras se producen cuando uno de estos jvenes llega de forma
casual al conocimiento de la informacin que le puede facilitar el acceso
a un sistema informtico y lo utiliza.
Este tipo de hacker no suele ser peligroso y no suele causar dao en
el sistema ms que por accidente involuntario, aun cuando en algunos ca-
sos se han entretenido en cambiar informacin contenida en los ficheros
mecanizados por palabras malsonantes o frases pornogrficas, o dejando
mensajes que nicamente tenan por finalidad demostrar que haban entra-
do en el sistema.
Los procedimientos para combatir este tipo de intrusos son los habitua-
les controles de acceso a la informacin, reforzndolos con medidas tan
simples como establecer identificativos de usuarios y claves de acceso (pass-
words) de suficiente complejidad, obligando a que ambos sean cambiados
con gran frecuencia, incluyendo en el procedimiento de identificacin pre-
guntas que slo puede conocer el usuario real, como por ejemplo la fecha
en que us el sistema por ltima vez, etc.
Las tcnicas basadas en el esfuerzo son aquellas que parten de una es-
trategia predefinida y estudiada cuidadosamente para conseguir introducir-
se en un sistema concreto.
Es obvio que cuando esto se produce existe un claro objetivo de conse-
guir un beneficio material, y esta suele ser la forma habitual de actuar
]i de los grupos de hackers ms peligrosos que persiguen bien defraudar a
la compaa propietaria del sistema informtico o bien daarla destruyen-
y do su informacin mecanizada.
l'iHii
iliT
"
im
TIPOLOGA DEL FRAUDE 63
El primer problema con que se encuentran los hackers es cmo obviar
las elevadas facturas de la compaa telefnica por la utilizacin masiva
de las lneas de comunicaciones.
Pero para estos pequeos genios de la electrnica el puentear unas l-
neas telefnicas desviando los cargos hacia otros usuarios es un juego de
nios, y el que no sepa cmo hacerlo puede encontrar una docena de fr-
mulas recurriendo a cualquiera de los miles de Bulletin Board Systems (BBSs)
existentes en el mundo y a los cuales har referencia ms adelante.
El principal objetivo de un hacker es penetrar en un sistema informti-
co, para lo cual debe resolver tres problemas bsicos:
1. Encontrar el nmero de telfono que le permita conectar con el
ordenador.
2. Descubrir el identificativo que le permita abrir la sesin de trabajo
(hacer el log-on).
3. Averiguar la clave de acceso (password) que le autorice a entrar
en las reas o ficheros reservados.
Encontrar el nmero de telefono del ordenador al que se quiere acceder
es relativamente sencillo, ya que muchos de ellos pueden encontrarse en
los BBSs, puede preguntarse a otro hacker, puede conseguirse con insospe-
chada facilidad en la propia empresa o puede obtenerse a travs de un
modem de automarcaje.
Los modems de automarcaje constituyen una de las herramientas ms
preciadas de un hacker, debido a la cantidad de tiempo que deben utilizar
tratando de averiguar nmeros de telfonos, claves de acceso, etc., y que
mediante este dispositivo se puede realizar de forma automtica.
Estos modems permiten programar llamadas secuenciales a nmeros de
telfonos correlativos, o con una composicin dada, y reconocen en el tono
de la llamada si han conectado con un telfono normal o con un modem,
desconectando antes de que se produzca el comienzo de la comunicacin
y registrando el resultado de la llamada. Esto permite dejarlo funcionando
toda una noche y a la maana siguiente disponer de la informacin de
diferentes nmeros telefnicos que son posibles objetivos de futuras incur-
siones electrnicas, ya que estos modems pueden efectuar ms de 1.000
llamadas de prueba por hora.
De igual forma es posible programar el intento de averiguar la clave
de acceso con identificativos cambiantes en funcin de utilizar todas las
combinaciones posibles de letras y nmeros hasta que se descubre el
verdadero.
 EL DELITO INFORMTICO
64
En este punto es importante destacar la importancia que tienen tres
tipos de medidas de proteccin contra estos accesos no autorizados a travs
de lneas de comunicaciones, dos de los cuales son lgicos (de software)
y el tercero fsico (de hardware).
La primera consiste en desconectar la comunicacin al tercer intento
de acceso utilizando una clave errnea, y por supuesto informar a quien
proceda que se ha producido un intento de penetracin en el sistema, para
lo cual es necesario no slo disponer de un logging del sistema de teleproce-
so sino establecer procedimientos de excepcin que nos avisen de situacio-
nes anormales, cosa que desgraciadamente no se hace con frecuencia.
La segunda es no facilitar absolutamente ninguna informacin por pan-
talla hasta tanto no se ha verificado la identidad de la persona que se ha
conectado, ya que suele ser frecuente que los sistemas llamados user friendly
pretenden ser tan cmodos de usar que facilitan innecesariamente una gran
cantidad de informacin, por ejemplo, la longitud de la clave de acceso,
el orden en que deben hacerse las diferentes identificaciones, etc., en tanto
que si al establecer la conexin tan slo se presenta una pantalla en blanco
que diga: identifiqese, estamos complicndole las cosas bastante al posible
intruso,
Y por ltimo, un procedimiento bastante eficaz para eliminar el riesgo
de ser vctima de los hackers o de cualquier tipo de acceso indebido, va
lnea de comunicaciones, es disponer de un sistema de cali back, que
se podra traducir por devolucin de llamada.
La eficacia de este dispositivo se basa en que cuando un usuario conecta
con el sistema y se identifica vlidamente, queda registrada su identifica-
cin y a continuacin, antes de comenzar la sesin de trabajo, el sistema
le desconecta la comunicacin e investiga en una tabla asociada a los iden-
tificativos de usuarios cual es el nmero de telfono real que corresponde
a ese usuario, desencadenando una llamada automticamente del ordena-
dor central al nmero real del usuario que ha sido identificado, con lo
cual se evita que una identificacin vda realizada desde un punto no
autorizado pueda llegar a penetrar en el sistema.
En consecuencia, las sesiones de trabajo siempre se producen por llama-
das del ordenador central al terminal y nunca al revs.
Antes he hecho referencia a los BuUetin Board Systems (BBSs), y no
quiero abandonar el tema de los hackers sin dar una breve explicacin so-
bre qu son y cmo funcionan.
Un BuUetin Board es un sistema informtico a travs del cual personas
particulares, usuarios de ordenadores personales, pueden comunicarse e in-
tercambiar informacin.
TIPOLOGA DEL FRAUDE 65
El tipo de informacin que contienen los BBSs consiste en mensajes
privados para otro usuario, tipo correo electrnico, mensajes pblicos, co-
mo anuncios de compra-venta de equipos, programas de software, etc.
Sin embargo, lo que empez siendo un servicio establecido por algunos
clubs de usuarios de ordenadores personales ha terminado convirtindose
en uno de los pilares en que se apoya el fenmeno hacker, ya que los
BBSs han prolferado de tal manera que las ltimas estimaciones realizadas
en septiembre de 1984 dan la cifra para Estados Unidos de 2.000 sistemas,
la mitad de los cuales contienen y distribuyen informacin ilegal (nmeros
de telfono y cdigos de acceso de sistemas informticos privados, cdigos
de tarjetas de crdito vlidos para realizar compras por telfono, software
pirata, etc.).
Muchos de estos BBSs clandestinos obligan a sus nuevos miembros a
pagar su cuota de inscripcin con la entrega de copias de programas
de actualidad que posteriormente se comercializan de forma clandestina,
lo que constituye una importante fuente de beneficios para los propietarios
de los BBSs, adems de que por supuesto son los nicos que tienen acceso
a toda la informacin contenida en el sistema, ya que en este caso no se
cumple el refrn de que en casa del herrero cuchillo de palo, puesto
que la mayor parte de estos BBSs disponen de fuertes medidas de seguridad
a pruebas de accesos indebidos.
Los primeros y ms famosos BBSs de los Estados Unidos, aparecidos
con la decada de los 80, fueron Starcom BBS y Moms en Los ngeles
y Osuny BBS en New York City, existiendo en la actualidad una multitud
de ellos con nombres tan sugerentes como Applecrackers, Twilight Phone,
Forbidden Zone, Securityland, etc.
Los grupos o clubs de hackers que han alcanzado mayor popularidad
han sido los Mlwaukee 414 y los nner Circle en Estados Unidos y el Chaos
Computer Club en Alemania, aunque muchos otros grupos sin nombre se
han hecho famosos por la espectacularidad de sus hazaas, de las cuales
extraigo algunas a continuacin como botn de muestra.
Cuatro estudiantes de 13 aos de edad, pertenecientes a la Dalton School
de New York, consiguieron introducirse a travs de la red Telenet en el
ordenador de la Compaa Pepsi Cola de Canad, y trataron de alterar
el programa de envos a sus almacenes de Toronto con objeto de conseguir
gratis 10 cajas de refrescos.
El grupo Milwaukee 414 consigui acceder en diferentes ocasiones a
los ordenadores del Laboratorio Nacional de Los lamos, al del Security
Pacific Bank, y al del Memorial Sloan-Kettering Cncer Centre en New York.
EL DELITO INFORMTICO. 5
66 EL DELITO INFORMTICO TIPOLOGA DEL FRAUDE 57

TRW Information Services, la mayor oficina de crdito de Estados Uni- guieron pasar de un ordenador Bull que sirve como sistema de proteccin
dos, fue objeto de una incursin de un grupo de hackers utilizando una al Cray-One.
clave de acceso que haba sido robada de las cuentas de los almacenes Lo que s fue detectado, es que los intrusos haban pasado varias horas
Sears Roebuck. explorando los caminos de acceso a los dossiers de mayor valor estratgico
Para dar una idea de la magnitud del problema, baste decir que los que estaban almacenados en el ordenador.
ficheros de TRW contienen la historia crediticia de uno de cada tres Las autoridades francesas no quisieron manifestarse sobre el asunto,
norteamericanos. y los tcnicos que estn encargados de la instalacin quitaron importancia
Como consecuencia de su incursin por los ficheros de TRW, los hac- al hecho asegurando que no haban pasado de los niveles ms elementales
kers pudieron averiguar las lneas de crdito disponibles en tarjetas de cr- del sistema.
dito robadas, lo que les permiti ordenar sin riesgo una gran cantidad de Sin embargo, en la opinin pblica francesa qued flotando la duda
mercancas mediante servicios de compra telefnica. de si se tratara de un juego de nios o de un caso de espionaje promovido
Adicionalmente, una larga lista de detalles referentes a tarjetas de crdi- por algn pas u organizacin extranjera interesados en conocer los dossiers
to, con sus nmeros, nombres de titulares, lmites de crdito disponibles, de defensa o de investigacin franceses.
etc., fue incluida en varios Bulletin Board Systems. En cualquier caso, este hecho puso de manifiesto que las medidas de
En Hamburgo, los miembros del Chaos Computer Club, aprovechndo- seguridad, al menos las de los primeros niveles, del mayor y ms confiden-
se de una deficiencia del software de la red nacional de videotex Bildschirm- cial ordenador de Francia, no eran todo lo seguras que cabra esperar.
text, consiguieron apoderarse del cdigo y de la clave utilizada por el Ham- Al hilo de la reflexin se me ocurren muchas preguntas, pero voy a
burger Sparkasse, el mayor grupo alemn de cajas de ahorros. hacer solamente dos: acaso Francia es una excepcin?, y s esto pasa con
Como diversin, los hackers de Chaos programaron un modem de auto- el ordenador que contiene la informacin ms delicada de un pas cual
mareaje y llamaron 13.000 veces al servicio de videotex identificndose con es la situacin en los sistemas informticos de las empresas privadas?
el nmero y la clave del Hamburger Sparkasse, lo que motiv que el
banco recibiera un cargo del Bildschirmtext de ms de siete millones de
pesetas.
Los hackers del grupo alemn Chaos, que se definen a s mismos como
anarquistas, tienen como principal objetivo, cuando consiguen entrar en
un sistema, destruir toda la informacin almacenada en el mismo.
Unos angelitos, verdad?
Y para concluir, un caso bastante reciente, el sucedido en Francia du-
rante la Semana Santa de 1986, concretamente los das 30 y 31 de marzo,
segn relataba con bastante detalle el diario parisino Le Matin a mediados
del mes de juUo, es decir, unos cuatro meses despus del hecho.
El ordenador Cray-One instalado en los stanos de la Escuela Politcni-
ca, en la localidad de Massy-Palaiseau, cercana a Pars, que est considera-
do como el ms potente de Francia y sin duda el que contiene informacin
de mayor valor estratgico, ya que es utilizado simultneamente por el Cen-
tro Nacional de Investigaciones Cientficas, el Centro de Investigaciones
Aeronuticas y la Defensa Nacional, fue invadido por unos hackers, que
no pudieron ser identificados, a travs de la red de conmutacin de paque-
tes Transpac, y aunque accedieron al sistema, parece ser que no consi-
)
)
)
>
)
1
)

)
)
)
)

)
>
) DIMENSIONEMOS EL PROBLEMA
)
)
) El muro de silencio que rodea todo lo relacionado con el dcHto infor-
) mtico se hace ms impenetrable, si cabe, cuando tratamos de establecer
) estadsticas, distribuciones por sectores de actividad, por las caractersticas
de sus autores, etc.
)
Es por otra parte curioso constatar que los nicos datos fiables de que
) se dispone proceden de pases con un alto nivel tecnolgico y con una dila-
) tada tradicin democrtica, lo cual me lleva at convencimiento de que estn
) padeciendo el problema hace aos y adems estn acostumbrados a hacer
) pblicos aquellos hechos que puedan ser de inters o ayuda para la
comunidad.
)
Como quiera que ninguna de ambas circunstancias se dan hoy en Espa-
) a con una tecnologa en fase de desarrollo y una democracia incipiente,
) no existe, al menos que yo sepa, ni un solo dato fiable referido a nuestro pas.
Una honrosa excepcin la constituye el Banco Popular Espaol, que
acostumbra a incluir en sus memorias algunos de estos casos, comentando
las circunstancias que rodearon al hecho y las consecuencias del mismo.
Desgraciadamente su ejemplo no ha sido seguido por ninguna otra entidad
bancaria o empresa piibtica o privada.
Centrando nuestra atencin en Estados Unidos, estimaciones bastante
razonables valoran las prdidas anuales por delitos informticos en el en-
torno de un billn de dlares. S, habis ledo bien y no es una errata
de imprenta, he escrito un billn de dlares, que en la acepcin norteameri-
cana equivale a mil millones de dlares, algo as como ciento treinta y
cinco mil millones de pesetas. Baste pensar que el sector bancario norte-
T
70
EL DELITO INFORMTICO
americano ha estimado que pierde anualmente ms de doscientos ochenta
millones de dlares, unos 38.000 millones de pesetas, en fraudes cometidos
por su propio personal, lo que representa ms de diez veces las prdidas
sufridas por atracos.
El British Institute of Directors public a principios de 1986 un informe
en el que se estimaba que las prdidas sufridas por las empresas britnicas,
tan slo durante el ao 1985, como consecuencia de delitos informticos
fueron de unos 800.000 millones de pesetas, cifra que deja plida a la ante-
riormente citada para Estados Unidos.
Pero lo ms aterrador no son estas cifras, con ser escalofriantes, sino
el hecho constatado de que tan slo se descubren el 15 % de los delitos
cometidos, y de stos, el 35 % se descubren demasiado tarde para ser in-
vestigados adecuadamente.
Un hecho preocupante al que antes he aludido es que el nmero de
delitos que se hace pblico supone solamente el 5 % de los cometidos,
siendo perseguido judicialmente nicamente el 3 %.
El final de la historia es que tan slo un 1 % es considerado delito
por los tribunales, y en consecuencia castigado.
Se considera que en la situacin actual la posibilidad de que el autor
de un delito informtico resulte condenado es de una entre veintisiete mil,
y ello es debido a que confluyen tres circunstancias clave: la casi total ausencia
de medidas de seguridad en las instalaciones, la falta de una legislacin
adecuada, y la gran inexperiencia existente para investigar los fraudes in-
formticos y reunir pruebas que puedan inculpar a sus autores.
Vistas, las circunstancias, el quinto gran principio se revela con claridad
meridiana:
El pequeo nmero de deHtos cometidos en relacin con
la probabilidad de impunidad del 99 % demuestra de for-
ma rotunda la extremada honradez y tica profesional de
la clase informtica.
An quiero aportar un par de datos ms para terminar de preocuparos:
1. Despus de analizar las circunstancias en que se produjeron los deli-
tos conocidos, se ha ha podido constatar que son de una tremenda simplici-
dad tcnica, de donde se infiere que estamos vislumbrando tan slo la pun-
ta del iceberg.
2. Casi con toda seguridad estos delitos hubieran quedado en el anoni-
mato si no hubiera mediado la casualidad, que en la mayora de los casos
fue lo que permiti descubrirlos.
DIMENSIONEMOS EL PROBLEMA 71
Lo cierto es que cada nueva caracterstica que se descubre acerca del
delito informtico contribuye a aumentar el grado de preocupacin, porque
podis imaginaros a cunto asciende el importe promedio de un fraude
informtico?
Esta es otra de las muchas preguntas sobre este tema que no tienen
una respuesta exacta, sin embargo algo parece estar comprobado: el mon-
tante unitario promedio de un fraude informtico es de 25 a 50 veces supe-
rior al conseguido en cualquier otro tipo de delito.
Esto quiere decir que si hoy en Espaa las estadsticas de la Direccin
de la Seguridad del Estado fijan el importe unitario obtenido por trmino
medio en atracos a bancos en 750.000 pesetas, el promedio que se puede
estimar como botn de un fraude informtico es del orden de 25 millones
de pesetas.
Sin embargo no debe pensarse que no existen fraudes de un montante
muy pequeo, si bien su repeticin continuada permite llegar a cifras im-
portantes, como es el tpico caso denominado la tcnica del salami, del
cual ya hemos hablado.
Por el contrario tambin existen fraudes estrella, que han supuesto be-
neficios astronmicos para sus autores, como el sucedido en Inglaterra a
mediados de 1985 en el que un empleado del rea informtica de un banco
norteamericano manipul un programa para autorizar una transferencia
desde una cuenta ficticia abierta en su propio banco a otro banco tambin
norteamericano establecido en Inglaterra, por un importe de 8 millones
de libras esterlinas, unos 1.600 millones de pesetas, sin que, obvio es decir-
lo, hubiera fondos para respaldarla.
Gracias a la manipulacin efectuada, y a su conocimiento de las claves
utilizadas para autorizar transacciones interbanearas, logr que el importe
citado fuera abonado en otra cuenta del segundo banco norteamericano,
cursando de forma inmediata una orden de transferencia a una cuenta nu-
merada que tena abierta en un banco en Suiza.
Toda esta operacin se efectu en una sola jornada bancaria gracias
a que trabajaba con importes confirmados, por lo que fue posible que an-
tes de que se cerraran las operaciones del da y se procediera a los cuadres
correspondientes, el dinero estuviera ya en Suiza.
Hasta aqu todo sera normal, dentro de lo que cabe, si el autor se
hubiera marchado huyendo, la polica le hubiera perseguido, etc. Pero el
desenlace fue mucho ms curioso.
Una vez comprobado que el dinero estaba a buen recaudo en su cuenta
numerada, el autor se present ante sus superiores y les dijo: acabo de
72 EL DELITO INFORMTICO
sustraer 8 millones de libras que Vds. no podrn recuperar, y cmo pueden
imaginar he borrado todo rastro que pudiera implicarme. Pero como pre-
tendo vivir tranquilo y no quiero marcharme para siempre de Inglaterra
les propongo un arreglo: yo les devuelvo la mitad del dinero si el banco
se compromete a no ejercer ninguna accin contra m.
Considero innecesario decir que el banco acept.
Y ya que hablamos de Inglaterra, me gustara incluir aqu unos comen-
tarios a uno de los pocos estudios estadsticos serios que se han hecho en
Europa en relacin con los delitos informticos. Me refiero al que realiz
la Audit Commission for Local Authorities in England and Wales en el
ao 1984, publicado el ao siguiente con el ttulo Computer Fraud dencias estadsticas, ms difano aparece el hecho de que en gran medida
Survey.
Una de las conclusiones del estudio, que confirma lo dicho en varias
ocasiones a lo largo de este libro, es lo relativo a la generalizada simplici-
dad de los procedimientos utilizados para cometer los fraudes, ya que el
75,3 % de ios recogidos en este estudio fueron cometidos mediante la ma-
nipulacin de los datos de entrada al ordenador, en tanto que tan slo
el 2,6 % se realizaron mediante la manipulacin de las salidas del ordenador.
Como se puede deducir del anlisis de los datos, los fraudes se produ-
cen en su mayor parte por deficiencias de control, especialmente sobre las
transacciones de entrada, y sobre el uso que los informticos hacen de los
medios que la empresa ha puesto a su disposicin, lo que quiere decir que
nadie se ocupa de investigar sistemticamente el logging del sistema.
En relacin con la forma en que fueron descubiertos los fraudes destaca
con el 51,9 % los procedimientos de control interno, y con el 11,7 % la
auditora interna, en tanto que ms de un tercio de los fraudes se descu-
brieron de forma accidental, y una parte importante de stos por denuncias
annimas.
Es curioso constatar que casi las dos terceras partes de los fraudes fue-
ron descubiertos mediante procedimientos de control y auditora interna,
que sin embargo no fueron suficientes para impedir su comisin, de donde
se infiere que en general los procedimientos de control suelen efectuarse
a posterior!, pero no con carcter preventivo para servir como medio
disuasorio.
Por lo que se refiere a la posicin que el autor ocupaba en la organiza-
cin, los resultados fueron que el 35 % eran simples empleados administra-
tivos, en tanto que el 37,7 % eran empleados que ocupaban posiciones
de supervisor, es decir, eran empleados de gran confianza de la empresa;
tan slo en el 10,4 % los autores eran informticos, y curiosamente el 3,9 %
DIMENSIONEMOS EL PROBLEMA 73
fueron cometidos por clientes; en el 13 % de casos restantes no consta
la posicin de sus autores.
Para terminar es importante destacar que en el 47 % de los casos los
autores fueron denunciados y sometidos a la accin de la justicia, en tanto
que en el 22 % de los hechos los autores fueron despedidos de su trabajo;
el 12 % fueron sometidos a medidas disciplinarias por tratarse de hechos
de menor cuanta; en el 5 % de los casos no se tom ninguna medida,
y existe un 14 % que no se inform de las acciones que se adoptaron.
Cuanto ms se investiga sobre los delitos informticos, ya sea caso a
caso individualmente o bien tratando de sacar conclusiones basadas en ten-
somos responsables de lo que nos est pasando, ya que con un razonable
estndar de medidas de control interno diseado a la medida de cada orga-
nizacin sera relativamente sencillo y razonablemente econmico prevenir
la comisin de los tipos de fraude que suponen el 60 o 70 % de los delitos
que suelen darse en las empresas, y adicionalmente unos giles procedi-
mientos de deteccin de situaciones anormales permitira descubrir con gran
rapidez el inicio de un fraude y posiblemente evitarlo o minimizar sus con-
secuencias, pero en cualquier caso lo que s posibilitara seria descubrir
al culpable y recopilar evidencias que permitieran su inculpacin ante los
tribunales.
Con el fin de tener una visin global del problema os sugiero echar
un vistazo al grfico 1, el cual est basado en una estadstica elaborada
por el National Center for Computer Crime de Estados Unidos, y en el
que se representa grficamente la distribucin de los delitos informticos
por tipo de actividad delictiva.
Asimismo considero ilustrativa la distribucin porcentual de riesgos in-
formticos presentada en los grficos 2, 3, 4 y 5, los cuales provienen de
diferentes informes publicados por Datapro Research Corporation.
Como suele ser habitual en las estadsticas, y mucho ms en el caso
de los delitos informticos, la falta de coincidencia est bastante gene-
ralizada, probablemente debido a que se han elegido muestras de poblacin
intrnsecamente diferentes, por lo que los resultados difieren considerable-
mente.
Por esta razn voy a aadir algunos datos ms, dicho sea de paso los
ms recientes que poseo, por si aportasen alguna luz a este oscuro mundo
de la estadstica criminal informtica. Se trata de un estudio denominado
The 1986 Computer Crime Survey y ha sido realizado en USA por la
revista Security.
 Riesgos de personas 75 %
Daos al software 15 %
Manipulacin de la informacin 12 %

Sustraccin de
informacin o software 16 %

r_

Riesgos fsicos 25 %

Grfico 2. Distribucin de riesgos por su origen

Personal interno 70 %

Acceso no autorizado 2 %
Sustraccin de dinero 45 % Personal externo 5

Grfico 1. Distribucin por tipos de delitos informticos Grfico 3. Distribucin de riesgos por el tipo de personal

j
 DIMENSIONEMOS EL PROBLEMA 77

Errores y accidentes 50 % El primer elemento preocupante de este estudio se refleja en el grfico

Sabotajes-vandalismo 10 %
Grfico 4. Riesgos procedentes del personal interno
Catstrofe natural 1 %
Fuego 15 %
Grfico 5, Distribucin de riesgos fsicos
6, en donde puede apreciarse que ms de la mitad de las empresas encuesta-
das o estn seguras o creen muy probable haber sido vctimas de un fraude
informtico aun cuando no haya sido descubierto.
Es por otra parte significativo el crecimiento experimentado desde el
estudio de 1985 al de 1986, segn muestra el grfico 7, ya que se ha pasado
de un 13 % de empresas con fraudes detectados a un 18 %.
Asimismo, se aprecia el incremento del valor promedio de los fraudes
detectados en el grfico 8, habindose pasado de una prdida promedio
de unos 10 millones en 1985 a unos 12,5 millones en 1986.
Por ltimo, y para no abusar de las cifras, el grfico 9 muestra ine-
quvocamente que el mayor y principal riesgo, a gran distancia del que
ocupa la segunda posicin, es el uso no autorizado de los recursos in-
formticos y de la informacin por parle del personal de la propia em-
presa.
En este ltimo cuadro puede observarse que los porcentajes citados no
suman un 100 % como sera lo ortodoxo, y ello es debido a que el plantea-
miento de la encuesta conduca a respuestas solapadas no unitarias, sin
que ello suponga un error en los resultados.
An queda otro aspecto por considerar antes de terminar: la intercone-
xin existente en determinadas actividades, por ejemplo la banca, en la
que el intercambio de informacin es permanente a travs de redes de co-
municaciones, hace que la comisin de un fraude pueda convertirse en una
bola de nieve que implique a un gran nmero de entidades.
Asi se ha podido demostrar en lo que en el momento de escribir estas
lneas es el ltimo fraude informtico que ha sido hecho pblico en Espa-
a, y del cual todava no se dispone de suficiente informacin como para
permitir un anlisis en profundidad ya que se encuentra en fase de investi-
gacin policial.
Lo que s ya se conoce (El Pas, 6/9/86) es que el autor material es
un empleado de la Caja de Ahorros de Alicante y Murcia, encargado del
manejo de los terminales, que responde a las iniciales J.A.I.P., de 30 aos
de edad, en unin de otro individuo cuyas iniciales son V.S.M., de 17 aos,
y pudiera ser que contaran con otros cmplices que todava no han sido
descubiertos.
La manipulacin del sistema informtico les permiti obtener una cifra
que hasta el momento se ha calculado en 17 millones de pesetas, tres de
los cuales los obtuvieron manipulando la red de cajeros automticos de
la entidad, y la operacin se vena realizando desde el ao 1984.
 En los ltimos
5 aos
No 47 % 18 % 1986

En los ltimos
19% 1986
12 meses

Es posible 19 %

S 34 %

Grfico 6. Cree usted que en su compaa se estn produciendo fraudes informticos

que no han sido descubiertos?
Grfico 7. Se ha detectado en su empresa algn fraude informtico?
 12.500.000 ptas.

Acciones no autorizadas
del personal interno

10.000.000 ptas.

1985 1986 Grfico 9. Principales riesgos informticos en la empresa

Grfico 8. Prdida promedio de los fraudes detectados

EL DELITO INFORMTICO. 6
82 EL DELITO INFORMTICO

Pero lo ms grave de este fraude es que la manipulacin del sistema

informtico de la Caja de Ahorros de Alicante y Murcia afect y perjudic
econmicamente, en cantidades que todava no han sido hechas pblicas,
a las siguientes entidades, adems de a la propia Caja: Banco Hispano
Americano, Banco de Santander, Banco de Murcia, Banco Central, Banco
de Crdito y Ahorro, Caja de Ahorros y Monte de Piedad de Madrid,
Caja de Ahorros Provincial de Valencia, Caja Postal y Caja de Ahorros
Provincial de Alicante.
No creis que existen razones sobradas para empezar a plantearse se-
riamente la adopcin de una estrategia de seguridad tanto a nivel individual
VI
como colectivo?

EL DELINCUENTE INFORMTICO

Una comisin de expertos en seguridad reunidos en Londres en noviem-

bre de 1983 incluy en las conclusiones de su convencin el siguiente prra-
fo: Las empresas de seguridad trabajamos sobre la base de que un 25 %
de los empleados son honrados, otro 25 % son delincuentes, y el 50 %
restante puede caer en la tentacin de cometer un delito si se le da la
oportunidad.
Esta afirmacin, que en realidad hay que entenderla como una hiptesis
de trabajo, es, en efecto, bastante fuerte. Y as lo entenda el Banco Popu-
lar Espaol, que inclua en la memoria del ejercicio de 1984 el prrafo
anterior, suavizndolo con un comentario de su propia cosecha, que deca:
En Espaa, hasta ahora, los porcentajes son distintos, especialmente en
la banca. En su casi totalidad el empleado es honrado, y gracias a esO
la banca funciona.
Si la primera frase me pareca exagerada, la segunda me parece beatfi-
ca. Y adems me resulta sorprendente que inmersos en la era de la tecnolo-
ga de la informacin se pueda afirmar que la banca funciona porque sus
empleados son honrados.
Seores, un poco de seriedad.
Al igual que en el captulo anterior he elogiado sinceramente al Banco
Popular por ser el nico que hasta ahora ha iniciado una ligera apertura
haciendo pblicos los fraudes sufridos, creo necesario censurar un plantea-
miento que me parece totalmente errneo y que una vez ms trata de salva-
guardar la imagen del banquero honrado a carta cabal, cuando, en mi
84 EL DELITO [NFORMTICO
opinin, sera mucho ms serio y pragmtico vender la imagen del banque-
ro eficaz que, asumiendo que entre sus miles de empleados puede haber
algunos deshonestos, cuida del dinero que ha sido encomendado a su custo-
dia estableciendo todos los necesarios procedimientos de control para evitar
que se produzcan delitos que perjudiquen a la entidad, a sus clientes, a
los accioistas, y a la sociedad en su conjunto.
Toda esta introduccin viene a cuento de las enonnes discrepancias que
se producen cuando se trata de establecer un anlisis serio de las caracters-
ticas que suele presentar el delincuente informtico, y que de alguna
manera pudieran llevarnos a configurar un perfil estndar o un retrato
robot.
En un seminario celebrado en Washington D.C. en mayo de 1976 por
el Departamento de Comercio de los Estados Unidos bajo el lema Delitos
contra los negocios se deca hablando de los llamados delincuentes de
cuello blanco;
Qu es un defraudador? Alguien que roba desde una posicin de con-
fianza. No utiliza una pistola. No toma riesgos. Conoce a sus jefes y sabe
que confan en l. Y a pesar de ello, roba. Sabe que no est corriendo
grandes riesgos. Los autores de la mayora de los grandes fraudes no aca-
baron en la crcel.
A pesar de que este comentario se refera a los llamados delincuentes
de cuello blanco y no a los delincuentes informticos de forma especfi-
ca, creo que es totalmente aplicable a nuestro caso ya que aquellos defrau-
dadores son el ms claro antecedente de stos, y sus caractersticas son
bastante similares.
En el prrafo citado encontramos un primer elemento de inters: suelen
ser empleados de confianza, bien por el tiempo que llevan en la empresa,
o bien por el tipo de trabajo que realizan.
Este elemento comn, la confianza depositada por la empresa en el autor
del fraude, se repite inexorablemente en la historia de la delincuencia infor-
mtica. No podemos olvidar que de acuerdo con los estudios estadsticos
disponibles el 70 "/o de los riesgos proceden de personal perteneciente a
la empresa, en tanto que slo el 5 ^o proceden de personal externo.
En cualquier caso, e independientemente de las motivaciones que pueda
tener para cometer el delito, es un empleado que por su trabajo tiene acce-
so al sistema informtico y conoce suficientemente sus debilidades como
para permitirle realizar el hecho delictivo.
Otro elemento interesante que ha sido constatado es que, al menos has-
ta hoy, una abrumadora mayora, que sobrepasa el 90 %, eran usuarios
EL DELINCUENTE INFORMTICO 85
del sistema, escaseando de una forma sorprendente los hechos en que los
autores son tcnicos informticos.
Como me cuesta creer que la cualificacin tcnica tenga que ir implci-
tamente asociada con la honestidad, ello me hace pensar que o bien el
mayor nmero de usuarios existentes en la empresa en relacin con el n-
mero de tcnicos es lo que provoca la gran desproporcin, o acaso los
informticos estn tan bien retribuidos que no tienen tentaciones econmi-
cas, o quizas, y esto es lo que me inclino a pensar, la mayor parte de
los fraudes que han sido cometidos por informticos nunca llegaron a des-
cubrirse debido a su sofisticacin tcnica y a que una vez realizados, los
rastros fueron adecuadamente borrados en cualquiera de las formas de
que hablar en el captulo sobre La investigacin del delito inform-
tico.
Tampoco consta en mis archivos ningn caso de fraude, aunque s de
terrorismo, que haya sido cometido por una organizacin delictiva, ya que
generalmente el autor ha sido una persona trabajando en solitario o como
mximo un equipo de dos o tres personas.
Como norma general, y salvo alguna pequea excepcin, todos los autores
de delitos informticos carecan de antecedentes penales.
La mayor parte de ellos son jvenes, con edades comprendidas entre
18 y 30 aos, en su mayora soUeros y con pocas ataduras familiares.
En los casos en que los autores son de ms edad, se trata de personas
que ocupan puestos directivos con importantes responsabilidades y capaci-
dad de toma de decisiones.
El sexo predominante entre los llamados tecnobandidos, expresin
que me resulta de lo ms cursi, es el de varn, en ms de un 95 % de
los casos, y en las ocasiones en que ha habido mujeres involucradas, la
mayor parte de las veces actuaban como cmplices o en tareas de escasa
relevancia para la comisin del delito.
En general son profesionales brillantes, especialmente cuando se trata
de personal tcnico, y altamente motivados por su profesin y por el desa-
fo tcnico que conlleva.
En este caso concreto su antigedad en la empresa suele ser menor,
lo cual de alguna forma es consustancial a la profesin informtica, en
tanto que, por el contrario, cuando el autor es un usuario del sistema suele
ser un empleado con bastantes aos de estabilidad en su puesto.
Es curioso que siempre que se descubre al autor de un delito informti-
co y resulta ser un empleado de la empresa afectada, tanto sus jefes como
sus compaeros se muestran sorprendidos y en cierto modo reticentes a
86 EL DELITO INFORMTICO
creerlo. Creo que ello es una buena prueba de que, en general, el perfil
de estas personas no es en absoluto el de un delincuente, y, en el fondo,
yo estoy convencido de que no lo son. Se trata de personas que podramos
encuadrar en lo que coloquialmente denominamos gente del montn que
por azar, por diversin, o por investigacin tcnica, han descubierto ciertas
debilidades en el sistema que les pone en situacin de poder aprovecharse
de dicha circunstancia, y coyunturalmente se encuentran en una situa-
cin en la que sin ser desesperada, no les vendra mal un puado de dinero
extra.
En ms de una ocasin he odo manifestar al autor descubierto que
tan slo haba tomado prestado una cantidad, pero que pensaba resti-
tuirla.
Y no me extraa que en el fondo estuvieran convencidos de que sera
as, ya que muchas veces se han deslizado por la pendiente de la delincuen-
cia apenas sin darse cuenta y casi como en un juego.
En cualquiera de los casos, lo que suele darse como factor diferenciador
de este tipo de delincuentes es lo que ha dado en llamarse el sndrome
de Robn Hood.
Se denomina as a la creencia en cierto modo patolgica, de que mien-
tras robar a una persona fsica que tiene sus problemas y sus necesidades
materiales como todo hijo de vecino es un hecho inmoral e imperdonable,
robar a una institucin como la banca que gana decenas de miles de millo-
nes al ao es casi un acto social que contribuye a una ms justa distribu-
cin de la riqueza.
En definitiva, la versin espaola del sndrome de Robn Hood sera
el sndrome de Luis Candelas, el bandido generoso que robaba a los ricos
para drselo a los pobres. Slo que en este caso el bandido y el pobre
son la misma persona, con lo cual todo se queda en casa.
Y ya que hablamos de perfiles merece la pena sealar las caractersticas
que con ms frecuencia se han encontrado en las empresas que han sido
vctimas de delitos informticos, y especialmente de fraudes, lo que de al-
guna forma puede configurar el perfil de empresa con predisposicin a
ser defraudada.
Dichas caractersticas son:
1. Las aplicaciones informticas procesan transacciones que implican
movimientos de fondos (cobros o pagos) o de mercancas.
2. El ordenador emite documentos negociables o canjeables por dinero
(cheques, pagars, valores, etc.).
EL DELINCUENTE INFORMTICO 87
3. Existe una escasa o nula segregacin de tareas tanto entre el perso-
nal informtico como entre los usuarios del sistema.
4. El clima laboral es muy deficiente, existiendo un gran descontento
entre el personal.
5. No existen procedimientos de supervisin y control, o si existen no
se aplican.
6. No existe una metodologa de desarrollo de software que incorpore
de forma estndar controles internos en las aplicaciones.
7. Las aplicaciones no incorporan pistas de auditora.
8. No se analizan sistemticamente los diferentes controles de uso del
sistema (logging, journal o accounting), para detectar situaciones anmalas.
9. No existe la ms mnima concienciacin del personal respecto a la
importancia de la seguridad informtica.
10. La alta direccin no ha promovido de forma clara y decidida una
poltica de seguridad.
Si t, profesional con responsabilidades directivas, que ests leyendo
este libro, reconoces que al menos la mitad de las circunstancias sealadas
se dan en tu empresa, y que adems existe entre tu personal un buen nme-
ro de empleados que cumplen con el perfil definido anteriormente, puedes
estar seguro de que eres un firme candidato a tener que afrontar a corto
plazo una situacin que ojal se quede en una prdida econmica no muy
grande y una publicidad no demasiado perjudicial para la imagen de tu
compaa.
Por lo tanto, voy a darte un consejo desvelndote el sexto gran principio:
Del empleado honesto me libre Dios, que del sinvergenza
ya me librar yo.
Este principio, un tanto crptico, hay que reconocerlo, traducido al len-
guaje coloquial quiere decir algo as como: en materia de delitos informti-
cos no te fes ni de tu sombra.
 VII

LA PIRATERA DEL SOFTWARE

Siempre que he asistido a algn tipo de reunin, seminario, mesa redon-

da, etc., donde se iba a discutir la problemtica de los delitos relacionados
con el software el primer gran problema que se ha puesto sobre la mesa
ha sido definir con rigurosidad qu se entiende por software, ya que por
tratarse de un producto intangible es difcil delimitar qu cosas estn
comprendidas en esa definicin y, en consecuencia, a qu tipos de riesgos
estn sujetas y cmo deberan protegerse.
Muchas veces los informticos estamos tan acostumbrados a utilizar
ciertos conceptos tcnicos llamndolos por sus nombres anglosajones que
ni siquiera nos hemos parado a considerar la posibilidad de tener que defi-
nirlos algn da; y por otra parte, ios no informticos no tienen una idea
clara, y a veces ni siquiera aproximada, de la cantidad de aspectos que
deben incluirse en una definicin de este tipo.
Y la verdad es que ni los unos ni los otros han necesitado nunca esfor-
zarse en realizar tal definicin, ya que lo que a los primeros les interesa
es saber desarrollarlo y manejarlo adecuadamente, y a los segundos les
basta con que funcione satisfactoriamente.
Sin embargo llega un momento en que no hay ms remedio que realizar
un esfuerzo de concrecin para alcanzar una definicin satisfactoria, y ese
momento suele ser cuando se abordan aspectos legislativos, cosa que des-
graciadamente en Espaa an no se ha producido.
Como no est en mi nimo tratar de ser original a toda costa, no voy
a reinventar la rueda tratando de aportar definiciones novedosas, y me
remitir a la que creo es la ms acertada de todas las que conozco, estable-
>
90 EL DELITO INFORMTICO
cida en 1978 por la Organizacin Mundial de la Propiedad Intelectual (World
Intellectual Property Organization), la cual dice lo siguiente:
Un programa es un conjunto de instrucciones que cuando se hallan
en un soporte y formato legible por el ordenador dotan a ste de la capaci-
dad de procesar informacin en orden a realizar una determinada funcin
o tarea, o calcular un determinado resultado.
Una descripcin de programa (lo que entendemos habitualmente por
documentacin tcnica) es una completa representacin ya sea verbal, en
esquemas o diagramas, o de cualquier otra forma, de los procedimientos
que determinan el conjunto de las instrucciones que componen el corres-
pondiente programa.
E1 material de soporte es cualquier otra documentacin, aparte del
programa y de su descripcin, creado para servir de ayuda a la compren-
sin y utilizacin de los programas, por ejemplo, el manual del usuario.
E1 concepto de software comprende cualquiera de los aspectos que pu-
dieran incluirse en las definiciones de programa, descripcin de programa
y material de soporte referidas anteriormente.
Realmente la definicin no es mala, y sobre todo es suficientemente
explicatoria de todos los aspectos que deben incluirse dentro del concepto
de software.
Sin embargo, es fcil apreciar que los diferentes elementos que se estn
incluyendo en la definicin son bastante heterogneos, por lo que la prime-
ra pregunta que se nos puede plantear ante semejante conjunto es hasta
qu punto estamos hablando de un producto tangible o intangible?, o aca-
so se trata de un producto mixto?, y en este ltimo caso cmo debe ser
tratado?
Y realmente la pregunta tiene un fundamento clave que afecta a la pro-
pia existencia de los derechos sobre el software, ya que en tanto un produc-
to tangible puede ser objeto de compra-venta, un elemento intangible no
puede venderse, y solamente es posible comercializar con los derechos que
le son inherentes, como por ejemplo los derechos de uso, de comerciaHza-
cin, etc.
Pero yendo an ms all, jurdicamente est admitido que la unin in- del Departamento de Informtica de la Fundacin Puigvert en Barcelona,
separable de elementos tangibles e intangibles produce como consecuencia
un producto tangible. Y para aclarar los conceptos pondr un ejemplo:
un libro es un producto tangible, y como tal puede venderse, sin embargo
la obra creativa contenida en el libro y protegida por la Ley de Propiedad
Intelectual y sujeta a derechos de autor (lo que se denomina habitualmente
el copyright) es, indudablemente, un elemento intangible.
LA PIRATERA DEL SOFTWARE 91
En consecuencia, es posible comprar y vender materialmente un libro,
pero sobre el contenido de dicho libro tan slo pueden venderse derechos,
con independencia de que posteriormente se pueda asociar a cualquier tipo
de soporte para ser comercializado como un producto tangible.
No obstante, a cualquiera de nosotros al comprar un libro no se nos
ocurre pensar que la obra intelectual contenida en dicho libro ha pasado
a ser de nuestra propiedad, sino que tan slo somos propietarios de la
copia concreta que hemos adquirido, y que con arreglo a la ley ni siquiera
estamos autorizados a sacar una fotocopia de dicho libro.
Pues exactamente lo mismo es lo que sucede con el software, ya que
aunque compremos un diskette o una cinta (elementos materiales y tangi-
bles) conteniendo una serie de programas, no solamente no somos propie-
tarios de dichos programas, sino que legalmente ni siquiera tenemos dere-
cho a copiarlos, y en consecuencia lo que hemos adquirido ha sido una
serie de derechos (generalmente de uso) sobre los elementos intangibles con-
tenidos en el producto tangible que les sirve de soporte.
Las causas que dan origen a la existencia del grave problema de la pira-
tera del software son, en mi opinin, muy diferentes.
En primer lugar est el hecho de que casi sin excepcin las personas
que desarrollan un determinado software son asalariados de una em-
presa, y dado que las actividades relacionadas con el desarrollo de software
tienen un alto componente de creatividad intelectual, es casi inevitable con-
siderar a un sistema en el que hemos trabajado intensamente y que contiene
una gran cantidad de nuestras ideas como si de una obra nuestra se
tratase.
Sin entrar en anHsis jurdicos o racionales, y movidos por impulsos
muchas veces viscerales, los informticos creen tener una serie de derechos
sobre el software por ellos desarrollado sin considerar el salario que han
estado cobrando por realizarlo.
Es por ello que se producen casos como el famoso robo de los pro-
gramas de la Fundacin Puigvert, descubierto en Barcelona en junio de 1986.
Juan Luis Abad, que haba ejercido durante cuatro aos como subjefe
ces voluntariamente en su puesto el 30 de abril de 1986 para ir a trabajar
a una empresa de servicios llamada Clcul i Gesti Informtica, S.L., no
sin antes efectuar una copia de todos los programas (segn parece unos
2.000) que componan el sistema de gestin hospitalaria de la fundacin,
que en opinin de doa Esperanza Mart, gerente de la Fundacin, era
la labor realizada por un equipo de personas durante quince aos.

Una vez instalado en su nueva empresa, el Sr. Abad parece que ofreci
personalmente {El Pas, 13/6/86) a dos centros clnicos de Barcelona unos
programas de caractersticas similares a los de la Fundacin, dndose la
circunstancia casual de que una de las personas a las que se le ofrecieron
haba estado unos meses antes viendo dichos programas en la Fundacin,
por lo que ios reconoci.
Descubierto el hecho fue denunciado en el Juzgado nmero 14 de Bar-
/) celona, quien admiti la demanda por apropiacin indebida y revelacin
de secretos.
Pero los quebraderos de cabeza para el juez encargado del caso comen-
').
zaron cuando el acusado, muy inteligentemente, en lugar de negar los he-
) chos, reivindic la propiedad de los programas en cuestin, alegando que
[ > los programas eran ms suyos que de la Fundacin ya que segn dijo en las recientes redadas efectuadas por la polica en el Rastro madrileo, en
palabras textuales, fui yo quien los cre, con lo que desvi el procedi-
miento judicial hacia un litigio para determinar la propiedad del software,
a cuyo respecto no existe ninguna legislacin en Espaa.
') Independientemente del resultado que se produzca cuando se pronuncie
) la justicia, en mi opinin no existe la ms mnima duda de que los progra-
) mas son total y absolutamente propiedad de la Fundacin Puigvert, ya
que fueron desarrollados en la Fundacin, para la Fundacin y por perso-
) nal a sueldo de la Fundacin.
) Y suponiendo que esto no fuera as, en todo caso la propiedad habra
de compartirse entre la Fundacin, que pag los salarios, todos los infor-
mticos que trabajaron en el desarrollo y los usuarios que aportaron su
conocimiento de la problemtica hospitalaria para disear un sistema ade-
cuado a los fines que se pretendan, en porcentajes proporcionales a la
colaboracin de cada uno. En resumen, un dislate.
Pero an hay ms en relacin con este caso: el Sr. Abad reconoci
poseer copias de otros muchos programas de diferentes empresas en las
que haba trabajado.
Lo cual no me sorprende, ya que yo tuve la oportunidad de vivir una
situacin parecida hace unos aos cuando los bancos extranjeros comenza-
ron a llegar a Espaa, y uno de ellos me requiri para efectuar una audito-
ra de los sistemas informticos que pretendan implantar y que segn me
dijeron los directivos del banco sin ningn rubor, se los haba trado de
su anterior trabajo en otro banco la persona que acababan de contratar
como director de informtica.
Hay que reconocer que eso es capacidad de negociacin a la hora de
cambiar de trabajo, cuando uno puede decir; yo soy yo y mis programas.
LA PIRATERA DEL SOFTWARE 93
El segundo factor que sustenta el problema de la piratera del software
es el hecho de que al sacar una copia del software no se deteriora el origi-
nal de donde se copia, lo que le da la apariencia de ser una accin inofensi-
va. Quin siente remordimientos al sacar una fotocopia de un artculo
de una revista, de un peridico, o incluso de un libro?
En el caso de un paquete de software que ha sido confeccionado por
una empresa para su comercializacin, y en cuyo desarrollo, promocin,
publicidad, etc. se han invertido fuertes sumas de dinero, parece evidente
que efectuar una copla clandestina es un claro fraude a la empresa comer-
cializadora a quien deberamos pagarle por su utilizacin, y no digamos
nada si hablamos de hacer copias piratas de forma masiva para comerciali-
zar con ellas. El delito creo que no ofrece ninguna duda, y as lo prueban
donde detuvieron a organizaciones de jvenes dedicados a la piratera de
videojuegos y programas para ordenadores personales.
Sin embargo, la situacin es radicalmente distinta cuando se trata de
una serie de programas que han sido confeccionados por una empresa co-
mo una herramienta para su propio uso sin que exista la intencin de co-
mercializarlos.
En este caso es evidente que el efectuar una copia clandestina para su
uso en otra empresa o incluso su comercializacin no produce ningn per-
juicio a la empresa propietaria del software, y si a esto aadimos que los
programas no contienen ninguna informacin que pudiera considerarse con-
fidencial, ni siquiera podra acusarse al autor de la copia de revelacin
de secretos.
En dnde est entonces el delito, si realmente existe?
Yo confieso que no lo s. Lo que s me dice mi conciencia personal
y mi tica profesional es que es una accin ilcita. Pero lo que no sabra
decir es en qu categora delictiva encuadrar este hecho, salvo que recurrie-
ra a esa figura jurdica tan curiosa con que se denomina el robo de un
coche; hurto de uso, lo cual me parece un eufemismo absurdo ya que
no se cmo puede conjugarse que se califique como hurto una sustraccin
para la cual es necesario romper un cristal y arrancar unos cables para
hacer un puente, en definitiva, ejercer violencia sobre las personas o
las cosas, que de acuerdo con nuestro Cdigo Penal es lo que define el
delito de robo.
Pero no quiero desviarme del eje de nuestro argumento, ya que en
resumen, entiendo que nos hayamos ante una laguna legislativa de las mu-
chas que existen alrededor de la informtica, por lo que ser necesario
94 EL DELfTO INFORMTICO
esperar a los resultados que los padres de la patria nos aporten despus
de que discutan y aprueben la Ley de Propiedad Intelectual que el Gobier-
no ha remitido recientemente al Parlamento.
Para aquellos que no tengan una idea exacta de la dimensin real del
problema que estamos tratando, creo necesario decir que estadsticas efec-
tuadas en los Estados Unidos han determinado que el costo de los progra-
mas de una aplicacin empresarial normal (contabilidad general, nminas,
facturacin, etc.) codificado en un lenguaje de alto nivel (COBOL, RPG,
etc.) puede estimarse entre 6 y 12 dlares por lnea de codificacin (entre
800 y 1.600 pesetas), en tanto que esos programas una vez completamente
documentados y en perfecto funcionamiento pueden llegar a ms del doble
de dicho coste.
Si tenemos en cuenta que una aplicacin de contabilidad general para
una empresa de tamao medio-alto escrita en COBOL puede contener unas
10.000 lneas de codificacin para los programas de proceso (entrada y
validacin de asientos contables, altas, bajas y modificaciones a los fiche-
ros maestros contables, emisin de diarios, actualizacin de saldos, balan-
ces de comprobacin, subsistema de cuentas a cobrar, subsistema de cuen-
tas a pagar, cierres mensuales, cierres de ejercicios, etc.), a lo que habra
que aadir entre 20.000 y 30.000 lneas de codificacin adicionales para
generacin de informes, consultas, etc., llegamos a la conclusin de que
esta aplicacin habra costado en nmeros redondos un mnimo de 25 mi-
llones de pesetas.
Si realmente a la compaa propietaria de esos programas no le perjudi-
ca que se los copien, lo que es indudable es que la empresa que los obtiene
gratis sale beneficiada considerablemente.
Siguiendo con la misma estadstica, el mantenimiento de dicho progra-
ma a lo largo de su vida til, es decir, la correccin de cualquier problema
de funcionamiento que pueda surgir, la adaptacin a una nueva necesidad
de la empresa o norma legal, etc., supone en costo aproximadamente un
20 % de su coste de desarrollo.
En relacin con este concepto de los gastos de mantenimiento de aplica-
ciones puedo afirmar que a lo largo de mi experiencia he podido constatar
que, aproximadamente, el 60 % de los trabajos realizados por los inform-
ticos en los centros de proceso de datos de las empresas espaolas estn
dedicados exclusivamente al mantenimiento de aplicaciones, en tanto que
al desarrollo de nuevos sistemas solamente se dedica el 25 "/o de los recur-
sos humanos existentes en la instalacin, lo que evidentemente conduce a
un envejecimiento progresivo y a una rpida obsolescencia de las aplicacio-
nes informticas.
LA PIRATERA DEL SOFTWARE 95
Pero lo ms grave de todo es que con las enormes inversiones que se
realizan en desarrollo de software, y una vez ms como consecuencia de
deficientes leyes, esas inversiones no pueden contabilizarse como tales, por
lo que han de incluirse contablemente en el captulo de gastos.
Planteamiento absurdo, realmente, ya que el dinero invertido en soft-
ware lo es con la finalidad de que el producto que se confecciona pueda
utilizarse durante aos, por lo que sera mucho ms lgico que pudiera
amortizarse durante su vida til, es decir, que tuviera el mismo tratamiento
fiscal que el hardware.
Y si desde un punto de vista de lgica econmico-empresarial el plan-
teamiento de considerar el costo de desarrollo o adquisicin de software
como una inversin susceptible de ser amortizada es totalmente razonable,
mucho ms lo es para aquellas empresas dedicadas al desarrollo de produc-
tos de software con fines de comercializacin, si bien estas ltimas pueden
contabilizar dichas inversiones como I -i- D (Investigacin y Desarrollo).
Pero el verdadero problema se plantea a la hora de querer reflejar en
el balance de la compaa las inversiones realizadas en software como un
activo productivo, que es lo que realmente es, ya que sin la ayuda de ese
software es muy posible que la empresa no pudiera desarrollar su normal
actividad, o si pudiera hacerlo le resultase extremadamente difcil y costoso.
Que yo conozca, los nicos casos en que se ha contabilizado el software
como un activo dentro de un balance ha sido en operaciones de venta de
empresas comercializadoras de software, y lo fue bajo el concepto de fondo
de comercio (goodwill), lo que segn la ley permite amortizaciones a largo
plazo.
Las razones ocultas de tal decisin fueron las ventajas, para la empresa
compradora, derivadas de una revalorizacin ficticia de dichos activos, que
posteriormente le permitieron efectuar fuertes amortizaciones que no eran
ms que una ocultacin de impuestos.
Y a propsito del tratamiento fiscal del software no puedo dejar de
decir que una forma evidente de potenciar el mercado de las empresas de
software seria permitir que las inversiones por tal concepto pudieran amor-
tizarse como si de cualquier otro producto material se tratase, adems de
autorizarse que los productos de software pudieran ser adquiridos mediante
procedimientos de financiacin adecuados, por ejemplo, en leasing.
Existe, por ltimo, un tercer factor que ha servido de acicate para el
gran desarrollo que ha tenido la piratera del software: el precio despropor-
cionadamente alto que se ha aplicado a gran parte de los programas que
se comercializan.
96 EL DELITO INFORMTICO
Basta hacer el siguiente razonamiento: si de un programa tan conocido
internacionalmente como es el Lotus 1-2-3, podemos estimar, siendo enor-
memente conservadores, que se han vendido en todo el mundo unas 100.000
copias, a razn del precio de venta con que se comercializaba inicialmente,
que eran unas 120.000 pesetas, resultara una cifra de ingresos brutos de
12.000 millones de pesetas, lo cual realmente parece disparatado.
El hecho de que los usuarios potenciales consideren desproporcionado
e injustificado dicho precio hace que de forma inmediata se justifique mo-
ralmente la realizacin de copias ilcitas, no para comercializar con ellas,
sino para uso personal.
Adicionalmente a esta situacin debera considerarse la escasa eficacia
de los procedimientos de proteccin de dichos programas, que no han con-
seguido sobrevivir inclumes a las habilidades de los copiadores profesio-
nales ms all de unos meses desde su aparicin en el mercado.
Y por otra parte, uno de los aspectos en mi opinin ms impor-
tantes, es la inexistencia de una relacin continuada entre el suministrador
del software y el usuario, ya que no existe ninguna necesidad de soporte
tcnico, mantenimiento del producto software, sustitucin del producto ori-
ginal por nuevas versiones mejoradas, etc.
Cuando se comercializan productos software que s requieren una inter-
accin permanente entre proveedor y usuario es prcticamente imposible
que se produzcan copias fraudulentas, ya que su utilizacin sera factible
durante un perodo de tiempo muy corto al no disponerse de soporte para
un producto tcnicamente complejo.
De hecho ningn directivo responsable permitira la puesta en marcha
de un producto en esas condiciones, ya que sera algo as como decidir
utilizar en un proceso productivo una mquina para la cual no disponemos
de mantenimiento tcnico, por lo que en ambos casos cualquier problema
de funcionamiento nos producira un colapso operativo.
Resumiendo todo lo expuesto, podramos concluir en que el problema
de la piratera del software es realmente importante para aquellas empresas
cuya actividad primaria es la creacin y comercializacin de productos soft-
ware; que el problema disminuye al crecer la complejidad del producto,
derivado de la necesidad de una relacin continuada entre suministrador
y usuario; que en productos que no requieren esa relacin la mejor frmula
disuasoria es que el precio de venta sea tan asequible que no compense
realizar una copia pirata; y que ya va siendo hora de que dispongamos
de una legislacin moderna sobre propiedad intelectual y tratamiento fiscal
del software.
VIII
EL TERRORISMO Y LA INFORMTICA
El 10 de octubre de 1984 el diario de informacin econmica 5 Das
publicaba una noticia con el siguiente titular: ETA amenaza a la Banca.
En dicha noticia se recoga el comunicado que haba sido emitido por
la organizacin terrorista vasca en el que se amenazaba de forma concreta
a las entidades bancarias del Pas Vasco, incluyendo adems de su tradicio-
nal solicitud del impuesto revolucionario, que en esta ocasin se pensaba
dirigir a los consejeros de los bancos, la intencin de atentar contra los
centros de proceso de datos y las redes de teleproceso que dan servicio
al conjunto de oficinas de las entidades bancarias. Previamente y como
anticipo de lo que podra suceder, un comando de ETA formado por dos
personas haba atentado el da 4/10/84 contra la central telefnica de Ar-
chanda con la intencin de destruir un importante nudo de comunicaciones
a travs del cual se intercomunican las redes bancarias de teleproceso del
Pas Vasco.
Afortunadamente los integrantes del comando no conocan suficiente-
mente la estructura interna de la central, por lo que el artefacto explosivo
no afect a las partes vitales del centro telefnico y los daos fueron de
escasa consideracin.
Sin embargo, no por ello debemos felicitarnos sino todo lo contrario,
ya que a pesar de que en el caso citado los daos fueran de ndole menor
el hecho cierto es que el terrorismo ha puesto sus ojos en la parte ms
vulnerable de las empresas: los centros de proceso de datos, con el claro
objetivo de interrumpir la continuidad del servicio informtico a sabiendas
de que sta es la forma ms eficaz de colapsar el funcionamiento del mun-
do econmico y empresarial.
EL DELITO INFORUTICO. 7
98 EL DELITO INFORMTICO
La experiencia nos tiene acostumbrados a que en todo lo relacionado
con la informtica en el mundo occidental, Estados Unidos va siempre en
cabeza, asumiendo el papel de pionero y lder tecnolgico. Pero para nues-
tra desgracia, el nico aspecto en el que la vieja Europa es una adelantada
respecto a USA es en la dimensin de la amenaza terrorista en general
y hacia los sistemas informticos en particular.
En los ltimos aos se han contabilizado una gran cantidad de atenta-
dos terroristas contra instalaciones de proceso de datos en diferentes pases
europeos, figurando entre sus principales autores las Brigadas Rojas, la
banda Baader Mainhoff, y algunos grupos radicales rabes.
No se piense, a pesar de lo dicho anteriormente, que Estados Unidos
se ha visto libre de la amenaza terrorista a objetivos informticos, ya que
tambin existen precedentes, si bien en menor dimensin y nmero.
As, por ejemplo, entre los aos 1971 y 1975 IBM sufri cinco ataques
terroristas de diversa consideracin en instalaciones situadas en USA y M-
xico; una fbrica de circuitos electrnicos de Hewlett Packard en Palo Al-
to, California, sufri los efectos de las bombas terroristas en marzo de
1976; y dos meses ms tarde, en mayo de 1976, varias bombas explotaron
en los dos pisos del edificio que albergaban las instalaciones de proceso
de datos de la Compaa de Electricidad Central Maine Power en Kenne-
bec; en 1983 las oficinas de IBM en New York fueron atacadas por el
Ejercito Negro de Liberacin (Black Liberation Army) como represalia por
las actividades comerciales de la compaa en Sudfrica; el 10 de agosto
de 1984 dos personas lograron introducirse en la planta de fabricacin de
productos para usos militares de Sperry Corporation en Eagan, Minnesot-
ta, destruyendo ordenadores listos para su entrega al ejrcito; y por ltimo,
en marzo de 1985 IBM sufri un atentado mediante bomba en sus oficinas
de Harrison, New York, cometido por el UFF (United Freedom Front),
Frente Unido para la Libertad.
Como puede observarse el problema est generalizado, si bien es cierto
que si a m me tocase evaluar los niveles de riesgo existentes por el terroris-
mo en Europa y en Estados Unidos no dudara en asegurar que la propor-
cin puede moverse del orden de diez a uno.
Una de las ms curiosas organizaciones terroristas aparecidas en el mundo
fue !a que inici su periplo delictivo en Francia a comienzos de 1980.
Esta peculiar organizacin se autodenominaba Comit Liquidant ou D-
tournant les Ordinateurs, algo as como Comit para la Liquidacin o
Conversin de los Ordenadores, ms conocida popularmente con las siglas
CLODO.
EL TERRORISMO Y LA INFORMTICA 99
Este grupo terrorista se dedicaba a cometer atentados exclusivamente
contra compaas de informtica y grandes instalaciones de usuarios, y ope-
raba generalmente en la regin francesa de Toulouse, pudiendo destacarse
entre sus principales vctimas a las compaas BuU, Phillips, ICL y el Ban-
que Populaire Franjis.
Como una muestra de la filosofa imperante en el grupo terrorista CLO-
DO, basta leer el comunicado que enviaron a la prensa francesa como rei-
vindicacin de uno de sus atentados, el cual deca entre otras cosas lo si-
guiente: Somos trabajadores en el sector de proceso de datos, y por tanto
conocemos con exactitud los pehgros actuales y futuros de la informtica
y las telecomunicaciones. Los ordenadores son el instrumento favorito de
la clase dominante, que lo utiliza para explotar al pueblo, meterlo en sus
ficheros, controlarlo y reprimirlo.
Como dato curioso, ningn miembro de CLODO fue detenido jams,
y el grupo ces en sus actividades y desapareci un ao despus, en 1981.
Otro grupo terrorista que ltimamente ha centrado sus acciones en ob-
jetivos informticos es el llamado Clulas Comunistas Combatientes, con-
tndose entre sus atentados ms espectaculares la colocacin de bombas
en las oficinas que compartan las compaas norteamericanas Honeywell
Controls y Litton Industries en Bruselas en septiembre de 1984, y la des-
truccin de las oficinas de la compaa estadounidense, fabricante de chips,
Motorola, tambin en Bruselas en noviembre de 1985.
Las razones alegadas por las Clulas Comunistas Combatientes, en las
reivindicaciones de estos atentados, eran que estas compaas trabajaban
en proyectos de defensa para la OTAN.
En Espaa, cmo no!, tambin tenemos nuestra historia negra del te-
rrorismo informtico, con uno de los atentados ms espectaculares prota-
gonizados por la organizacin terrorista ETA: la destruccin de la central
telefnica de la calle de Ros Rosas, en Madrid, el da 18 de abril de 1982.
Este hecho, perfectamente planificado y llevado a la prctica, no tuvo
consecuencias caticas para los grandes usuarios de las redes de teleproce-
so, fundamentalmente las organizaciones bancarias, gracias a la eficaz y
rpida reaccin de la Compaa Telefnica Nacional de Espaa, que si
bien no supo establecer las suficientes medidas de seguridad en sus instala-
ciones para evitar que se produjera el atentado, s que supo reaccionar
adecuadamente para tratar de minimizar las consecuencias del mismo.
A pesar de todo, en los das inmediatamente siguientes al atentado el
nivel de funcionamiento de las lneas de comunicaciones poda estimarse
en un 25 % en los dos primeros das, un 50 % hasta el fin de la primera
 EL DELITO INFORMTICO
100
semana, y un 75 *7o hasta 20 o 30 das despus del atentado, en que comen-
z a normalizarse la situacin. Basta pensar en las consecuencias que po-
dra haber tenido una cadena de atentados que hubiera destruido en cua-
renta y ocho horas las principales centrales telefnicas del pas, con lo que
se hubiera impedido la recuperacin del servicio por rutas alternativas, co-
mo se hizo en esta ocasin.
No ha sido el de Ros Rosas el nico caso en que ETA ha puesto
en su punto de mira instalaciones informticas, ya que en diciembre de
1983 dos edificios de NCR fueron objeto de atentado en Vitoria y San
Sebastin.
El rastro de destruccin del terrorismo informtico cruza Europa de
Norte a Sur y de Este a Oeste, excepcin hecha, claro est, de los pases
socialistas del Este europeo, y del habitualmente poco conflictivo grupo
de pases escandinavos, los primeros tranquilos por obligacin y los segun-
dos por devocin.
Asi, registramos una explosin en las oficinas de Honeyweil en Atenas
en 1981; un ataque a las oficinas de IBM en Dusseldorf en 1982; voladura
del complejo de Control Data tambin en Dusseldorf en junio de 1982;
en esos mismos das se produce un atentado contra las instalaciones en
Alemania Oriental de McDonnell Douglas; nuevamente explosin en las
oficinas de Honeyweil, esta vez en Venecia, en julio de 1982; en septiembre
del mismo ao las oficinas de Sperry en Berln Occidental fueron atacadas
por terroristas; en enero de 1985 fue colocada una bomba en las oficinas
de IBM en Berln Occidental; etc., etc.
Mencin especial merece el doble atentado realizado la noche del 2 de
septiembre de 1985 en Hamburgo, y la razn es porque, que yo conozca,
es el primer y nico acto terrorista dirigido contra compaas de software.
Las empresas afectadas fueron Scienlific Control Systems (SCS), subsi-
diaria de la empresa de servicios SCICON de origen britnico, y Mathema-
tischer Beratungs und Programmierungsdienst (MBP), filial de la compaa
de aceros HOESCH, ambas dedicadas a la prestacin de servicios de desa-
rrollo de software.
El grupo terrorista autor del doble atentado cometido mediante la colo-
cacin de bombas de gran potencia con un intervalo de pocos minutos,
fue el llamado Clulas Revolucionarias de Alemania Occidental (West Ger-
many's Revolutionary Cells), y los motivos alegados por los terroristas fue-
ron que ambas compaas suministraban a las multinacionales sistemas
informticos que podan ser utilizados para reducir puestos de trabajo y
oprimir a los trabajadores.
EL TERRORISMO Y LA INFORMTICA 101
Pero lo ms interesante de este caso es la circunstancia de que ambas
compaas haban sido advertidas, con anticipacin a los atentados, de que
exista esa posibilidad, ya que en un piso habitualmente utilizado como
refugio de terroristas descubierto por la polica fue hallada una lista de
posibles objetivos en donde se relacionaban 78 empresas, entre ellas las
dos citadas.
A pesar de la advertencia policial ninguna de las dos empresas consigui
evitar el atentado, sin que sirvieran de nada las escasas medidas de protec-
cin que tomaron. Por ejemplo, SCS cambi los cristales de sus amplios
ventanales que permitan ver desde el exterior toda la sala de ordenadores,
por cristales antidisturbios, sin que esto le ayudara a minimizar la prdida
de aproximadamente cien millones de pesetas que le caus el atentado.
Por su parte MBP contrat los servicios de un vigilante para proteger
sus instalaciones, pero ello no impidi que la bomba fuera colocada en
la pared exterior y hecha explotar abriendo un tremendo boquete en la
pared y destruyendo dos de los tres ordenadores Nixdorf que posea la
empresa.
El dilema est planteado en estos trminos: o no se toman en serio
las advertencias de las amenazas potenciales, y en este caso la fuente era
bastante fidedigna, o por no conocer el modus operandi de los terroristas
no se sabe qu tipo de medidas de proteccin establecer, o no se quiere
invertir el dinero necesario en seguridad prefiriendo correr el albur y ver
si tenemos suerte, o hay que admitir que estamos a merced de los terroris-
tas de forma total y absoluta.
En mi opinin, la amenaza terrorista es uno de los mayores peligros
al que las grandes instalaciones informticas deben hacer frente, y para
ello deben prepararse concienzudamente puesto que ahora rotundamente
no lo estn. Y no podemos olvidar que el nivel de violencia de las acciones
terroristas est incrementndose progresivamente en los ltimos tiempos,
especialmente en Europa, y concretamente con la aparicin de los grupos
terroristas rabes cuya radicalizacin es evidente.
La estrategia de seguridad a adoptar para protegerse contra la amenaza
terrorista difiere radicalmente de la que habra que plantearse en relacin
con los fraudes informticos, y pasa por dos grandes lneas de actuacin:
1. Medidas de proteccin fsica que impidan el acceso de personas no
autorizadas a las zonas sensibles de la instalacin y protejan adecuada-
mente edificios, equipos, informacin, software, comunicaciones, documen-
tacin vital, instalaciones de apoyo, etc.
102 EL DELITO INFORMTICO
2. Medidas de recuperacin que posibiliten que, aun en el caso de que
se produzca un atentado de consecuencias catastrficas, sea posible reini-
ciar el servicio informtico en otro lugar en un plazo de tiempo suficiente-
mente breve para que la actividad de la compaa no se vea afectada
negativamente.
No es el objeto de este libro establecer una metodologa que sirva como
herramienta de trabajo para quienes estn encargados de la seguridad in-
formtica, sino tan slo hacer una llamada de atencin que permita con-
cienciar a los directivos de las empresas que basan un alto porcentaje de
su gestin en procesos informatizados, de la gran cantidad y variedad de
riesgos que estn permanentemente acosando los activos que ellos tienen
la ineludible responsabilidad de proteger.
En consecuencia no voy a profundizar en ninguna de las dos grandes
lneas de actuacin que he citado como prioritarias en la proteccin contra
el terrorismo. Baste decir que existen medidas de proteccin y de recupera-
cin suficientes para garantizar la supervivencia de las instalaciones infor-
mticas y la continuidad del servicio que prestan.
Todo lo anteriormente expuesto se refiere al terrorismo de motivaciones
polticas, ya que otras variantes cercanas a actos terroristas como pueden
ser las acciones de sabotaje, vandalismo, etc., tienen otros condicionantes
y los ratios pueden ser considerablente diferentes.
Para empezar, los autores de un sabotaje suelen ser empleados resenti-
dos que con el nico fin de perjudicar a la empresa realizan actos aparente-
mente insignificantes pero que pueden causar daos de enorme considera-
cin, satisfaciendo as el afn de venganza que suele ser en definitiva la
motivacin primaria del saboteador.
Las dos formas tpicas de sabotaje son las que podramos denominar
sabotaje fsico y lgico, incluyendo en el primer grupo a todos aquellos
actos vandlicos en que se trata de destruir o daar considerablemente los
elementos fsicos necesarios para desarrollar la actividad informtica, y en
el segundo, estaran comprendidas las acciones tendentes a destruir la in-
formacin mecanizada o los programas necesarios para que los procesos
mecanizados se puedan efectuar adecuadamente.
Como antes deca, la realizacin de un sabotaje requiere, de forma casi
ineludible, conseguir acceder a las zonas donde se encuentran los dispositi-
vos que han sido elegidos como blanco de la accin violenta, y en muchos
casos esto debe hacerse portando materiales explosivos, incendiarios, corro-
sivos, armas, etc., lo cual no siempre resulta fcil.
EL TERRORISMO Y LA INFORMTICA 103
Pero no debemos equivocamos pensando en que solamente puede efec-
tuarse un dao sobre los dispositivos fsicos introduciendo explosivos, o
cualquier elemento similar, en la sala de ordenadores, ya que basta con
interrumpir el suministro de energa elctrica durante la ejecucin de un
proceso para que se puedan producir prdidas de informacin, roturas de
cintas magnticas, y uno de los incidentes ms perjudiciales que se dan
en los discos magnticos, lo que se denomina un aterrizaje de cabezas,
que no es ni ms ni menos que un proceso similar al que se producira
si dejramos caer la aguja de un tocadiscos sobre un disco girando a gran
velocidad, con las consecuencias de que no slo se daa el disco magntico
y se pierde la informacin contenida en los sectores del disco afectados,
sino que al daarse la cabeza de lectura/escritura cada nuevo disco que
introduzcamos en esa unidad quedar a su vez daado y la informacin
que contiene se habr perdido. Y todo eso slo con desconectar un momen-
to el alimentador de corriente.
Pero esto no es ms que un ejemplo, ya que como casi todo el mundo
sabe basta con crear un campo magntico de suficiente intensidad cerca
de soportes magnticos (cintas, discos, diskettes, etc.) para daar irreversi-
blemente toda la informacin que contienen. Sin embargo nunca he visto
una instalacin en donde se hayan instalado detectores de campos magnti-
cos que puedan dar la alarma antes de que sea demasiado tarde.
Y quin se atrevera a ser tan desconsiderado como para impedirle
a un operador que se lleve a la sala de ordenadores un refresco de Cola?
Y una vez dentro por qu no lo puede dejar encima del ordenador? Y
qu cosa ms sencilla que golpear el vaso accidentalmente y verterlo sobre
el ordenador? Os imaginis el resultado? Si el lquido llega a los cir-
cuitos del ordenador el dao puede ser de tal magnitud que sea necesario
cambiar totalmente el equipo. Y si alguien piensa que exagero le sugiero
que para hacerse una idea de lo que puede suceder coja una moneda oxida-
da y la introduzca en un vaso con refresco de Cola durante algunas horas
y podr comprobar que la accin corrosiva del lquido deja la moneda
reluciente.
Pero hay muchas otras formas de sabotaje que no requieren ms que
la presencia fsica de la persona que lo comete, por ejemplo, la inutiUza-
cin de soportes magnticos mediante la supresin de sus etiquetas.
En una instalacin de un tamao importante que lleve funcionando bas-
tantes aos puede existir un archivo de soportes magnticos de tal magni-
tud que albergue cientos o incluso miles de cintas magnticas, que suele
ser el soporte habitualmente utilizado para conservar datos.
104 EL DELITO INFORMTICO EL TERRORISMO Y LA INFORMTICA 103

Estas cintas pueden tener dos elementos de identificacin, las etiquetas Y las soluciones no son ni complejas ni caras. Bastara con instalar
externas que estn pegadas al carrete de la cinta y que suele ser un nmero un circuito cerrado de televisin que permitiera grabar todo lo que hace
de serie que permite identificar la cinta visualmente, y las etiquetas internas el personal de noche, adems, claro est, de los dos tipos de medidas antes
que son unos datos que se graban al comienzo de la cinta y que identifican citadas como proteccin contra los actos terroristas.
los datos que contiene, el periodo a que corresponde, etc. Cualesquiera que sean las medidas de seguridad que se adopten, y asu-
Cuando en una instalacin existe un nmero de cintas archivadas de miendo que podamos controlar la amenaza externa, nunca, repito, nunca
tal magnitud que no es posible o cmodo manejarlas por medios manuales debemos olvidar que la mejor medida de seguridad de cara a las amenazas
se recurre a un procedimiento en el que el ordenador tiene establecido un internas consiste en tener personal honesto, competitivamente pagado, pro-
sistema mecanizado por el que identifica las cintas que precisa para cada fesionalmente satisfecho y con un alto nivel de integracin en la empresa.
proceso y las solicita al operador por el nmero de su etiqueta externa. O acaso es mucho pedir?
El tipo de sabotaje a que me refiero consiste en retirar las etiquetas
externas de todo el archivo de cintas, con lo cual es imposible identificarlas
visualmente o por procedimientos manuales, por lo que el coste de recom-
posicin de todo el fichero puede ser muy importante e incluso puede para-
lizar la actividad del ordenador durante das o semanas.
Pero como puede deducirse, el proceso de recomposicin slo es posible
si existen etiquetas internas, y como desgraciadamente los informticos so-
mos bastante cmodos en nuestra forma de trabajar, lo habitual en la ma-
yora de las instalaciones es que las cintas no tengan etiquetas internas,
ya que su existencia obliga a introducir unos procedimientos de control
en cada programa que maneja esas cintas, lo cual en muchos casos se con-
sidera engorroso e innecesario, por lo que en este caso el dao producido
puede llegar a ser irreversible, o en el mejor de los casos recuperable de
una forma extremadamente lenta.
Estadsticamente se ha comprobado que la mayor parte de los sabotajes
no violentos, como puede ser el ejemplo anterior de la supresin de etique-
tas, se producen durante los turnos de noche, lo cual es perfectamente com-
prensible si consideramos la extremada disminucin de controles existentes
sobre las personas que trabajan en esos turnos.
Es realmente asombroso que una gran parte de los controles estableci-
dos en las horas laborables diurnas desaparecen a partir de media tarde,
y al reducirse el nmero de personas que permanecen en las instalaciones
es posible realizar multitud de actividades habitualmente no permitidas sin
que nadie lo sepa, por ejemplo curiosear por los despachos, entrar en los
archivos de soportes magnticos, fotocopiar documentos, incluso en mu-
chos casos franquearle la entrada a personas ajenas a la empresa. Y en
este punto no puedo dejar de 'mencionar una situacin vivida por m en
la que nos encontramos a un operador de noche en pleno romance con
su novia en la sala del ordenador.
 IX

LA INVESTIGACIN DEL DELITO INFORMTICO

Cuando en alguna rara ocasin me he encontrado frente a un directivo

preocupado por la seguridad de sus sistemas informticos y me ha pregun-
tado: Cmo puedo estar seguro de que no se nos va a producir ningn
fraude informtico?, mi respuesta ha sido clara y contundente: desenchu-
fando el ordenador y olvidndose de la informtica.
No hace falta ser muy inteligente para llegar al convencimiento de que
la seguridad absoluta en cualquier faceta de la vida es imposible por defini-
cin. Y por ello, yo, particularmente, le doy gracias a Dios, ya que sera
absolutamente tedioso vivir en un mundo donde las cosas pueden planifi-
carse y asegurarse al cien por cien.
'v Adems de esta circunstancia, que es un hecho axiomtico, existe otro
/actor que no podemos olvidar: a partir de un determinado punto el coste
de las medidas de seguridad no se justifica en funcin del incremento del
nivel de seguridad que proporcionan!
Por tanto, pl marco en que se debe desenvolver cualquier actividad in-
formtica est marcado por el riesgo, y el objetivo fundamental de los
directivos es conseguir, con la colaboracin de los expertos en seguridad
informtica, disminuir el nivel de riesgo hasta lmites razonables^
/El problema primario que hay que abordar en la mayora de las mstala-
ciones es determinar dnde est ese lmite razonable i Pero esa es otra cues-
tin que nos apartara de nuestro tema central.
Lo que resulta incuestionable es que tenemos que asumir y estar psico-
lgicamente preparados para enfrentarnos en algn momento a la posibili-
dad real de ser vctimas de un delito informtico.
108 EL DELITO INFORMTICO
Y cuando ese momento llegue nos vamos a hacer una pregunta clave:
Y ahora qu hacemos?
Porque si grave es el problema de la falta de seguridad que hace tan
sumamente vulnerable la mayora de las instalaciones, an ms grave es
el absoluto^esconocimiento existente tanto en los sectores pblicos como
privados para hacer frente a la situacin generada por la comisin de un
delito nformtic(^
Un hecho lanientable pero cierto es la increbl^falta de preparacin
de los Cuerpos de Seguridad del Estado en la mayora de los pases para
acometer adecuadamente la investigacin necesaria para descubrir a los auto-
res de un delito informtico y recopilar las pruebas incriminatorias que
permitan sostener razonablemente una acusacin formal ante los tribunales
de justiciay^
Claro que bien pensado para qu preocuparse de formar investigado-
res especializados en delitos informticos si/do hay una legislacin adecua-
da que permita soportar las acusaciones?/
En cualquier caso no quiero entrar en ningn tipo de disquisicin filo-
sfica sobre si primero debe ser el huevo o la gallina, si es preciso que
exista una legislacin previa a la especializacin de los investigadores o
si stos deben preceder a aqulla. Lo que es incuestionable es que los deh-
tos se estn produciendo y que maldita sea! quedan impunes en su inmen-
sa mayora. . cundo y dnde tuvo lugar, la cuanta o el valor del objeto del delito,
Como siempre,festados Unidos marcando la pauta/ El 8 de junio de
1985 poda leerse en el diario 5 das:^nte la expansin del crimen electrni-
co se crea la Polica Informtica en EE.UU/
El mencionado artculo comentaba/a primera intervencin del denomi-
nado Departamento de Fraudes Informticos (Computer Fraud Department)
creado escasamente un mes antes por la polica de la ciudad de Los nge-
les, en un caso de bomba lgica ocurrido en el Departamento de Agua
y Electricidad que abastece la ciudadV
Personalmente tuve ocasin de entablar una cordial amistad con Ber-
nard P. Zajac, Jr., miembro del Departamento de Justicia de Illinois, Chi-
cago, y polica especializado en la investigacin de delitos informticos,
en el IV Congreso Mundial de la Proteccin y la Seguridad de las Comuni-
caciones y la Informtica celebrado en Pars en marzo de 1986, en donde
present una brillante conferencia sobre qu hacer y cmo reaccionar cuan-
do se descubre o se sospecha que se ha cometido un delito informtico,
con el fin de poder iniciar una investigacin racional y preservar las eviden-
cias del delito que puedan inculpar a los autores.
LA INVESTIGACIN DEL DELITO 109
Y este es precisamente el aspecto clave de la cuestin que voy a analizar
en este captulo.
Son, sin embargo, muy escasos los intentos similares producidos en otros
pases para hacer frente al problema de una forma seria y responsable.
Mucho he criticado a lo largo de este libro a las empresas e instituciones
quefno denuncian los delitos informticos de que son vctimas, pero la
verdad es que a veces me pregunto y qu adelantan con ello?/
/En la mayora de los casos, y desde un punto de vista de resultados
inmediatos, nada; pero dado que la legislacin suele ir siempre por detrs
de los hechos, a la larga lo que se conseguir ser crear un clima que fuerce
a los poderes pblicos a tomar determinaciones eficaces para la lucha con-
tra este tipo de delitos que junto con el terrorismo internacional, el paro
en los pases desarrollados y el hambre en los subdesarrollados amenazan
con ser los cuatro jinetes del apocalipsis de finales del siglo xx.
Pero centrmonos en el problema: Jbn la investigacin de un delito de
los que podramos denominar tradicionales, la primera evidencia que suele
establecerse es la propia existencia del delitq//en la forma de un cadver,
de una caja fuerte forzada, de un objeto desaparecido, de unos testigos
presenciales de un atraco, etc\ por lo que/aunque no se conozca la identi-
dad de los autores es perfectamente factible determinar qu tipo de delito
se ha cometido, contra quin, en muchos casos de qu forma se cometi,
y el tipo de pruebas que pueden buscarse y en consecuencia el camino pre-
visible que debe seguir la investigacin/
Pero desgraciadamente /uando se trata de un delito informtico casi
ninguno de esos factores puede determinarse a priori, ya que en muchos
casos se descubren irregularidades que hacen sospechar que algo extrao
est ocurriendo en nuestros sistemas informticos, pero la mayor parte de
las veces el primer problema es determinar si realmente se ha cometido
un delito, y una vez establecido este primer hecho es cuando realmente
comienzan los problemas al tratar de establecer el tipo de delito, cmo,
cundo y dnde se realiz, sus consecuencias previsibles, la identidad del
posible autor, y las posibles pruebas que pudieran encontrarse como conse-
cuencia de la investigacin./
Inmediatamente nos asalta la gran duda de^iuin sera capaz de plan-
tear y realizar adecuadamente una investigacin de este tipo, y qu perfil
profesional debera tener, ya que es fcil inferir que el complejo entorno
en el que debe trabajar le va a requerir un conjunto de conocimientos bas-
tante alejados de los que suelen poseer los miembros de los Cuerpos de
lio EL DELITO INFORMTICO
la Seguridad del EstadV. Y / n el caso de que fuera necesario acometer
este tipo de investigaciones mediante la formacin de equipos multidiscipli-
nares agrupando tcnicos expertos en diferentes especialidades, cual sera
su composicin idnea?/
/Adems de los conocimientos de ndole general en relacin con los as-
pectos legales aplicables al caso, y a las tcnicas de investigaciiV en su
contexto ms generalista, psicologa criminal, etc., es evidente, en mi opi-
nin, que lasares disciplinas bsicas con que debe contarse para acometer
con xito la investigacin de un delito informticc^ y ms especficamente
un fraude informtico, en un entorno empresarial son las siguientes:
1. Conocimientos suficientes sobre/tcnicas informtica, que le per-
mitan comprender la filosofa de funcionamiento de un sistema informti-
co, analizar documentacin tcnica, y dirigir si es preciso a tcnicos infor-
mticos mucho ms expertos para que le ayuden en lo que precise.
2. Conocimientos suficientes sobre^cnicas empresariales/ y especial-
mente sobre^istemas contable^ en orden a comprender las caractersticas
de los sistemas mecanizados que pueden haber sido objeto del fraude para
establecer tanto el modus operandi como para poder dirigir la investigacin
hacia donde puedan hallarse las evidencias del delito.
3. Conocimientos suficientes sobre tcnicas de^auditora y control in-
terne con el fin de que la investigacin pueda efectuarse con rapidez, fiabi-
lidad y, sobre todo, que desde el primer momento se dirija en la direccin
correcta.
/ES indiscutible que el nivel de conocimientos informticos que deben
poseer las personas que tienen que soportar el peso de una investigacin
debe ser el suficiente como para moverse con soltura en un entorno tcnico,
solicitar las ayudas que necesiten tanto de personal de la empresa afectada,
como del suministrador del equipo o del software, de consultores indepen-
dientes, etc., determinar qu elementos pueden ser utiHzables como prueba,
y en definitiva tomar todas las decisiones que le son propias como respon-
sable de la investigacirjif sin caer enyituaciones tan absurdas y cmicas
como la del poUca que quera precintar el centro de proceso de datos de
un gran banco hasta tanto terminase la investigacin para que las pruebas
no desaparecieran, o aquel otro que pretenda llevarse fsicamente la me-
moria del ordenador nara presentarla como prueba ante el juezV
Por otra parte, los f:onocimientos a suficiente nivel de la operativa de
los sistemas empresariales permiten al investigador comunicarse con agili-
LA INVESTIGACIN DEL DELITO 111
dad con los responsables de la empresa afectada^^nalizar el esquema fun-
cional de los sistemas mecanizados afectados por el fraude, e identificar
aquellas partes del sistema que previsiblemente son en las que se han pro-
ducido los hechos delictivos, lo cual permita de forma inmediata acotar
el grupo de personas que por sus funciones, niveles de autorizacin, cono-
cimientos del sistema, perfil tcnico, etc., pueden ser sospechosas/
Por ltimo,/as tcnicas de auditora de sistemas y los conocimientos
de control interno son una herramienta de excepcional valor para la investi-
gacin^ toda vez que permiten anahzar con extrema rapidez las debilidades
de control interno que presentan los sistemas, investigar en los registros
de transacciones cualquier anormalidad que exista, e identificar las eviden-
cias que puedan utilizarse como pruebas de la acusacin./
Un concepto fundamental, que no podemos perder de vista, es que,
/iebido a las especiales caractersticas del entorno en que se producen los
delitos informticos un pequeo retraso en la investigacin del delito puede
suponer que desaparezcan todas las evidencias, con lo que no slo no ser
posible demostrar la culpabilidad de su autor sino que probablemente ni
siquiera ser posible establecer la forma en que se cometi, y por tanto
tampoco se podrn adoptar medidas correctoras para que no se vuelvan
a producir hechos similares./
Hoy da /a mayor parte de los sistemas mecanizados son del tipo de
los llamados sistemas interactivos, que para quien no lo sepa significa
una filosofa de funcionamiento en la que los usuarios introducen las tran-
sacciones directamente por sus terminales y, en la mayor parte de los casos,
actualizan de forma inmediata (on line) la informacin contenida en los
ficheros mecanizados. Basta pensar que a lo largo de una jornada laboral
una cuenta corriente bancaria cambia de saldo tantas veces como se proce-
sen transacciones que afecten a esa cuenta/
Por ello, y siempre pensando en sistemas de una cierta complejidad,
luno de los mayores problemas con que se encuentra el investigador infor-
' mtico es conseguir reproducir las circunstancias existentes cuando se pro-
dujo el delito, lo que en algunos casos puede ser totalmente determinante
para establecer las responsabilidades/
Imaginemos las decisivas diferencias con que nos encontraramos al in-
vestigar/una malversacin de fondos realizada en un sistema contable que
se llevase por procedimientos manuales y soportado en libros tradicionales,
en donde todas las evidencias estn recogidas en documentos escritos, auto-
rizados con firmas, perfectamente legibles y archivados en carpetas accesi-
bles muy cmodamente^ y la situacin opuestaial tratarse de un sistema
112 EL DELITO INFORMTICO
mecanizado en donde las transacciones estn registradas en forma de im-
pulsos electrnicos grabados en soportes magnticos, las firmas han sido
sustituidas por claves de autorizacin, las cintas o discos magnticos slo
pueden ser ledos a travs de un ordenador, el anlisis de los archivos hist-
ricos no puede hacerse visualmente, etc., etc./
p t r o aspecto a considerar es la necesidad de establecer las circunstan-
cias del delito y sus evidencias ante los tribunales/ ya que la simple confe-
sin del autor, aunque se consiguiera, no es elemento suficiente para que
sea condenado. El investigador debe necesariamente/"econstruir el escena-
rio del crimen y establecer las circunstancias en que se produjg'^para poder
probar la viabilidad del hecho.
No olvidemos que si conseguimos llevar al autor del delito ante los tri-
bunales habremos de hacer frente a un procedimiento criminal, no civil,
y en consecuencia el planteamiento de las evidencias incriminatorias habrn
de ser algo ms que meras pruebas circunstanciales para establecer ms
all de cualquier duda razonable la culpabilidad del acusadc^
Y una de las ms duras tareas que habremos de afrontar es /^acer com-
prender al tribunal la naturaleza y el peso de las pruebas aportada^ Por
ejemplo, supongamos que e ha manipulado un programa por el procedi-
miento denominado Caballo de Troya introducindole una rutina para que
efecte operaciones no autorizadas, y hemos conseguido recuperar la cinta
en que est contenido el programa manipulado, lo que constituye la prueba
ms efectiva que pudiera hallarse.I
Pues bien, al presentar ante el tribunal la cinta,^sta no puede ser leda
y anahzada por los jueces, por lo que necesariamente deber presentarse
la transcripcin impresa del programa que contiene la cinta. Primer proble-
ma, hay que demostrar que el contenido de los listados se corresponde
con los impulsos electrnicos grabados en la cinta magntica, y parece poco
probable que un notario d fe de tal correspondencia, ya que l tampoco
puede por s mismo leer la cinta/
fAnle esta situacin el nico camino parece recurrir a un peritaje tcnico
realizado por un profesional independiente, pero podemos imaginarnos lo
fcilmente que un hbil abogado puede explotar una situacin tan confusa
como sta, ya que se puede entrar en una dinmica de recusacin sistemti-
ca de los peritos por muy distintas causaa as como plegar que dado que
para listar el contenido de la cinta es imprescindible hacerlo a travs de
un ordenador y utilizando un programa de listado, lo primero que habra
que verificar sera la adecuacin del programa que va a listar la cinta,
o todava se puede complicar ms, si cargamos la cinta en un ordenador
LA INVESTIGACIN DEL DELITO 113
quien nos asegura que se est leyendo y no se estn grabando cosas distin-
tas a las que contena originalmente?/Ciertamente, pobre del juez que le
tocase en suerte semejante situacin.
Pero no terminan ah los problemas, porque Aun suponiendo que ya
hemos conseguido establecer que el listado del programa es exacta y fiel-
mente el contenido de la cinta, y siguiendo con la hiptesis de que se trata
del programa fuente/porque si la cinta contuviera el cdigo objeto el pro-
blema sera prcticamente insoluble/ dicho listado (que pudiera ser por ejem-
plo un programa en COBOL) es totalmente ininteligible para un profano,
por lo que seguiramos sin poder probar n a d ^
Parece que sera necesario acometer/6na transcripcin en texto escrito
y en lenguaje corriente para explicar cada una de las acciones que se reali-
zan en el programa, y no olvidemos que a veces la lgica de un programa
complejo puede ser extraordinariamente complicada de entender, especial-
mente si maneja indicadores de situacin (swtches), las roturas de control
se producen a diferentes niveles y por distintas circunstancias, se procesan
diferentes tipos de transacciones y se manejan distintos ficheros, etcj
jtlna vez ms habra que establecer fehacientemente la fidelidad de la
transcripcin escrita respecto al programa original, con la consiguiente nue-
va intervencin de tcnicos actuando como peritos./
Y si hemos conseguido llegar hasta aqu{,^hora sera necesario demos-
trar las diferencias existentes entre el programa original y el modificado,
por lo que es de esperar que el programa original no haya sido destruido
por el autor del delito, lo cual podra compcar considerablemente la
situacin/
Para hacerlo ms sencillo^amos a suponer que se conserva una copia
del programa original, y que por tanto se ha podido establecer la existencia
de una diferencia entre ambos y tenemos acotada la parte de programa
no autorizadyy^e hace necesario en este punto determinar las consecuen-
cias que la rutina no autorizada provoca al procesarse el programa, y una
vez ms es algo que debe establecerse en trminos inteligibles para los jueces/
Aleluya! Ya hemos demostrado que se ha cometido una modificacin
no autorizada al programa, y que dicha modificacin permite efectuar una
operacin fraudulenta.
Ahora deberemos establecer quin tiene la capacidad tcnica necesaria
para haberlo hecho y quin dispuso de la oportunidad para realizarlo, y
cuando hallamos determinado ambas cosas slo nos faltar algo tan senci-
llo como demostrar quin fue la persona beneficiada p)or el fraude y aportar
las pruebas que permitan demostrar que el acusado fue realmente el autoi/
EL DELITO INFORMTICO. 8 ^^^^S^?~
Pt^
114 EL DELITO INFORMTICO
Porque, qu podra suceder si a pesar de todo no existen pruebas feha-
cientes? Pues que nos encontraramos con un delito sin autor y, en conse-
cuencia, el acusado sera absuelto.
Peroyun suponiendo que consigamos pruebas consistentes no por ello
debemos cantar victoria. Porque podra suceder algo tan simple como que,
por ejemplo, el programador al que se est acusando declare que efectiva-
mente l realiz la modificacin al programa, pero que lo hizo atendiendo
una solicitud verbal, como suele ser habitual, de uno de los usuarios del
sistema, y que l no se haba percatado de las consecuencias que poda
tener semejante modificacin, por lo que la efectu sin comentarlo con
sus superiores y, dentro del contexto general de su trabajo de mantenimien-
to del sistema, de acuerdo con los requerimientos de los usuarios/
Bonita situacin, verdad?
Si mi objetivo fuera emular a Agatha Christie y escribir una novela
de intriga, estoy seguro de que no encontrara un tema ms apropiado que
el de un delito informtico similar al que estoy planteando como ejemplo,
que fcil es imaginar que podra complicarse ad infinitum.
Resumiendo y sacando conclusiones puede asegurarse que/o que en tr-
minos jurdicos se define como la mejor evidencia es algo muy difcil
de conseguir en entornos informticos, ya que la evidencia primaria (el
original de un documento, por ejemplo) tiene mayor fuerza probatoria que
una evidencia secundaria (una fotocopia del documento anterior), por lo
que dado que la mayor parte de las veces las evidencias primarias en los
delitos informticos no son directamente legibles o interpretables por los
jueces, ineludiblemente nos vemos en la necesidad de trabajar con evi-
dencias secundarias basadas generalmente en dictmenes tcnicos de peritos
independientes/
La jurisprudencia obtenida en los tribunales norteamericanos en rela-
cin con delitos informticos ha establecido conceptos como los que siguen:
Un documento escrito es considerado por s mismo como la
primaria y mejor posible evidencia de su existencia y contenido;
una copia, transcripcin o testimonio de un testigo ser considera-
do como una evidencia secundaria.
La evidencia puede ser definida como cualquier especie de prue-
ba o materia probativa presentada legalmente en juicio como un
acto voluntario realizado por las partes a travs de documentos,
objetos concretos, testigos, etc., con el objeto de hacer creer al
tribunal o al jurado en sus argumentos.
LA INVESTIGACIN DEL DELITO 115
La expresin presentada legalmente del texto anterior quiere decir
que las evidencias o pruebas presentadas deben ser relevantes, materiales
y competentes.
(Evidencias relevantes/pueden considerarse, entre otras, las siguientes:
mvil del delito (existencia de problemas financieros, drogas, ren-
cor hacia la empresa, etc.)/
^a capacidad tcnica para realizarlo (saber programar, conocer la es-
tructura interna del sistema, etc.)/
^a oportunidad para haber podido hacerlo (conocer las claves de ac-
ceso, estar autorizado para efectuar transacciones similares, etc.)/
^menazas, expresiones o demostraciones de rencor por parte del acu-
sado (malestar manifiesto del acusado respecto a la empresa por un trato
que consideraba injusto)/
/La posesin de instrumentos u objetos utilizados en la realizacin
del detito (disponer de la llave de la biblioteca de cintas magnticas, tener
en su poder un listado del programa modificado, etc.)/
pvidencia de presencia fsica en el lugar y momento del delito (encon-
trarse trabajando en la sala del ordenador en el momento de la comisin
del hecho)/
I^onducta y comentarios sospechosos del acusado (ostensible cambio
de nivel de vida econmico coincidente con el fraude)/
/jtilizar una personalidad falsa (haber asumido una identidad falsa
al identificarse ante un vigilante para acceder a la sala de ordenadores,
identificarse con el cdigo de otra persona para trabajar desde un terminal,
etc.)/
^1 intento de destruir u ocultar pruebas (haber sido sorprendido in-
tentando destruir las pruebas del delito, borrando ficheros, destruyendo
copias de programas, etc.)/
^Confesiones realizadas legalmente {ante el juez, la polica, etc.V.
/Evidencias materiales son aquellas que tienen un suficiente grado de
relevancia para probar los aspectos claves en litigi^ en tanto que todos
-^os aspectos accesorios del caso, por ejemplo la forma en que vesta el
acusado el da de autos, son evidencias no materiales para el tribunal./
Por ltimo, las/fevidencias competentes son aquellas, aportadas por tes-
tigos, cuya cuahficacin tcnica es considerada por el tribunal suficiente
para el testimonio aportado en funcin de sus estudios y experiencia profe-
sional/Es importante tener presente que fe competencia de un testigo debe

EL DELITO INFORMTICO
116
ser establecida antes de presentar su testimonio ante el tribunal, por lo
que en muchas ocasiones deber prestarse especial atencin a la seleccin
de los expertos apropiados si no se quiere que una intensa labor investigati-
va realizada se derrumbe, como un castillo de naipes, ante los tribunales
por deficiencias de cualificacin profesional en los testigos/
Para resumir lo expuesto, la primera gran constatacin que es necesario
afrontar es que hoy da la pohca espaola no cuenta con la experiencia
y cualificacin necesarias para abordar con garantas de xito la investiga-
cin de un delito informtico.
Adicionalmente pero no menos importante, es el hecho de que/6o dis-
ponemos de una legislacin adecuada a este tipo de delitos, por lo que
es extremadamente difcil tratar de intuir la forma ms apropiada en que
podra presentarse un determinado caso ante la justicia para conseguir de-
mostrar la culpabilidad de los autores y su castigo./
An en el caso de que se reaUce una investigacin adecuada y se
consigan reunir pruebas suficientes, mn problema de suma complejidad es
conseguir presentar dichas pruebas ante un juez de tal forma que pueda
considerarse como una evidencia primaria en orden a permitir conseguir
una sentencia de culpabilidat^
Ante unos problemas de la magnitud de los expuestos parece inevitable
que Aa nica forma de acometer la investigacin de un delito informtico
ser la formacin de un equipo mixto de personas que pudieran reunir
la gran variedad de perfiles profesionales y experiencias necesarias para
llevar a buen puerto la investigacin/ Dicho equipo debera estar formado,
en mi opinin, por las siguientes personas:
-fe responsable de la investigacin, funcin que entiendo corresponde
a un miembro del Cuerpo Superior de Polica./
n consultor experto en seguridad informtica/es decir, un Profesio-
nal independiente con profundos conocimientos informticos A' con una gran
experiencia en la investigacin de delitos informticos.
jCln representante de la empresa/vctima del delito con profundos/co-
nocimientos del rea de negocio en que se ha producido el delito/
Un ^sesor legal para colaborar en el planteamiento del caso y su pre-
sentacin ante los tribunales/
De forma espordica pueden requerirse/ayudas especficas de tcnicos
procedentes del suministrador del hardware, de paquetes de software si exis-
tieran, de la compaa telefnica si el fraude se hubiera cometido utilizan-
do la red de transmisin de datos etc.
LA INVESTIGACIN DEL DELITO 117
La moraleja es que cuando seamos vctimas de un delito informtico
no basta con llamar a la polica, es necesario que estemos dispuestos a
gastarnos una considerable cantidad de dinero adicional en la investigacin
si realmente queremos alcanzar unos resultados satisfactorios y castigar a
los culpables/^ no tan slo aparentar que hemos tomado medidas y quedar
bien ante la opinin pblica y los accionistas de la empresa/
Un yCoste intangible a corto plazo/ que muchas empresas no toman en
consideracin, es la>degradacin del clima laboral que puede producirse
en una empresa si uno de sus empleados comete un fraude y la empresa
no hace nada, o en el mejor de los casos le despide pero sin proceder
judicialmente contra U Eso equivale a enviary6n mensaje al personal di-
cindoles: A partir de este momento el que quiera cometer un fraude sabe
que lo nico que se juega es su empleo. Y generalmente quien tiene capa-
cidad tcnica para hacerlo no tendr ninguna dificultad para encontrar un
nuevo empleo, suponiendo que el fraude no le sea suficientemente rentable
como para no volver a trabajar en toda su vida^
Por ello, el sptimo gran principio es;
El jgaftq producido por un delito informtico se calcula
sumando al (inioriejdeJQ-defraiidado el coste de la reali-
zacin de la/inygstigaciD/, ms las ]iieficacias en_el trabaioj
derivadas de la propia investigacin, ms la ^rd^dejina;i
gen que la publicidad del hecho provoca entre los clientes,
ms el ^oste deja^enormecantidad deliempoqueJosdiii
rectiyos_^eben dedicar a un hecho de esta naturaleza, ms
las consecuencias del efecto pendular que suele producirse
al querer implantar rpidamente muchas medidas de segu-
ridad con un costo generalmente desproporcionado Jan s_-
lo justificable por querer aparentar eficacia a toda costa,
m^s^TBost d l'duda de lo que puedan haberno^_gfra:y
\dado anteriormente sin que se descubriera!
Hasta aqu he tratado de aportar una panormica de los problemas
que se pueden plantear ante la^videncia de haber sufrido un frauddinfor-
mtico y encontrarnos en la/iecesidad de iniciar una investigacin formaiy
pero en muchas ocasiones, me atrevera a decir que en la mayora de los
casos, las cosas no estn tan claras, ya que tan slo nos encontramos con
pechos anmalos de forma aislada/que nos estn haciendo/Sospecha/ que
es muy posible que algo raro est sucediendo en los sistemas informticos.
118 EL DELITO INFORMTICO
No podemos negar que en unos pocos aos se ha producido una inver-
sin de la tendencia a la Credibilidad absoluta^n la informtica que exista
aos atrs, al tremendo fscepticismo'de hoy en da. Hemos pasado de
el ordenador no se equivoca nunca a otra vez ha fallado el orde-
nador.
Yo, como todo informtico que se precie, tengo que reconocer humilde-
mente que los ordenadores no se equivocan jams, salvo circunstancias de
/l'uncionamiento anmalo en algn dispositivo, fallos de corriente.jfetc, en
tanto que el J99,9 % de los errores son fallos humanos, bien por defectos
en los programas, bien por haber introducido datos errneos, bien por pro-
ducirse situaciones de proceso no previstas (defecto de anlisis). /
Pero, y aqu es donde est el quid de la cuestin, yesos fallos humanos
no hubieran debido producirse si los procedimientos de control aplicados
sobre los procesos mecanizados fueran suficientemente eficaces| Por tanto,
seamos conscientes de que cuando decimos errores de! ordenador esta-
mos queriendo decir fallos de control interno.
Y lo ms preocupante de estos errores del ordenador es que nos hemos
acostumbrado a ellos y fio se les suele dar importancia/ sin querer ver que
/todo error en un programa/o |:oda transaccin errnea que consigue entrar
en el sistema est marcando el camino al defraudador potencial de cmo
y por dnde sera posible violar el sistem^
/Esta es en mi opinin, la primera y principal seal de alarma que debe
servir para desencadenar acciones correctivas, ya que en un importante n-
mero de casos la repeticin de un determinado tipo de errores fue el deto-
nante que permiti descubrir situaciones fraudulenta^ bastantes de ellas
todava en situacin incipiente.
La expcacin es bastante simple, es frecuente que el defraudador antes
de lanzarse a la comisin del delito efecteAentativas que caso de ser descu-
biertas pueden justificarse como un error sin importancia/ Esto sirve para
probar/Gomo reacciona el sistema y, lo que es ms importante, cmo reac-
cionan los supervisores del empleadc^
Sin embargo sta seal de alarma no es la nica/ ni mucho menos,
ya que existe una considerable cantidad dejfeituaciones, aspectos, comporta-
mientos, costumbres, etc., que son por s mismas indicadores de que algo
raro puede estar sucediendo, y que, al menos, existen debilidades de con-
trol que podran facilitar actuaciones anmalas^
Entre otras muchas seales de alarma podra citar como ms caracters-
ticas las siguientes:
LA INVESTIGACIN DEL DELITO 119
La falta de procedimientos de reconciliacin entre los datos manuales
y los mecanizados, es decir el control que permita asegurar que los datos
que se han introducido en el ordenador cuadran con los resultados que
nos ha devuelto. Es obvio que no basta con que los procedimientos existan,
si no se cumplen puntual y exactamente. No olvidemos que el control ma-
nual termina en la persona que confeccion el ltimo documento que sirve
como soporte para la entrada al ordenador, por lo que si no se cierra el
circuito montando el enlace de control entre dicho documento y los datos
de salida no podremos tener la certeza de que dentro del ordenador no
se ha producido ninguna anormalidad. Incluso efectuando este control tam-
poco se tiene una fiabilidad absoluta, pero es, al menos, un primer nivel
de control.
Las inconsistencias entre informaciones similares facilitadas por apli-
caciones diferentes. Con bastante frecuencia suele darse el caso, especial-
mente en sistemas algo antiguos en donde no existe una buena integracin
entre aplicaciones, de que dos aplicaciones nos facilitan informacin del
mismo tipo, por ejemplo, el saldo de clientes obtenido de la cuenta de
mayor de contabilidad general y el que presenta la aplicacin de clientes.
Esto suele deberse a que se introducen los mismos movimientos dos veces
en diferentes aplicaciones, con lo que si los controles no son estrictos es
muy posible que en ms de una ocasin no coincidan las transacciones
de ambos sistemas, lo que claramente puede ser un terreno abonado para
la realizacin de un hecho delictivo.
La carencia de procedimientos mecanizados para detectar situaciones
de excepcin suele ser un eficaz colaborador del defraudador, ya que si
el ordenador no detecta y avisa de forma automtica de situaciones previa-
mente definidas como anmalas o excepcionales tan slo podrn ser descu-
biertas por azar, lo que facilita al delincuente un muy alto porcentaje de
impunidad. Situaciones anmalas o de excepcin son, entre otras muchas,
los intentos fallidos de introducir transacciones falsas o de acceder a infor-
macin para la que no se est autorizado, la ejecucin de trabajos no pre-
vistos en la planificacin diaria de explotacin, la descatalogacin y catalo-
gacin de programas en proceso de produccin habitual sin ninguna justifi-
cacin, el uso indebido de rutinas de acceso universal (tipo superzap), etc.
La ausencia de pistas de auditora en las aplicaciones es un hecho
preocupante por la imposibilidad de poder analizar el camino recorrido
por una transaccin a lo largo del sistema en orden a determinar las opera-
ciones que se han hecho con ella, los ficheros que ha actualizado, etc. De
igual forma, pero en sentido inverso, la pista de auditora permite, por ejem-
^
120 EL DELITO INFORMTICO
po, dado un saldo existente en una determinada cuenta contable, identifi-
car de forma rpida y segura las transacciones que han afectado dicho
saldo, lo que posibilita un eficaz anlisis sobre las transacciones procesadas.
Algo tan simple y tan habitual como los retrasos en la obtencin
de los resultados de los procesos constituye una seal de alarma al ser
una prueba evidente de que algo anormal est sucediendo en el sistema,
ya que si todo se desarrollase segn la planificacin prevista no se hubiera
producido la demora. Ante una situacin que ha llegado a considerarse
i'^
normal y hasta cierto punto inevitable, la direccin no se plantea la pregun-
ta de qu causas estn provocando estos retrasos, y si trata de averiguarlo
es muy posible que ni los mismos informticos se lo puedan contestar,
escudndose en argumentos tales como las aplicaciones son muy antiguas,
ha habido que hacer unos cambios de ltima hora en los programas,
se ha producido un error en los programas que ha costado mucho trabajo
detectar y corregir, se haban introducido en el sistema unos movimien-
tos errneos que provocaron la repeticin de todo el proceso, hubo una
cada de corriente que provoc la prdida de parte de la informacin y
fue necesario recuperarla, lo que nos hizo perder varias horas, etc., etc.
Quin no ha odo excusas como stas cientos de veces? En el fondo de
todos estos hechos, que por supuesto suelen ser ciertos, subyace una verdad
incuestionable: los sistemas informticos no son suficientemente seguros
y por ello se ven afectados por estas situaciones. En medio de este clima
de trabajo quin sabe lo que podra suceder?
ntimamente relacionado con las situaciones de excepcin antes men-
cionadas estn lo que podramos denominar mrgenes de tolerancia de
los sistemas. Es normal prever que en un sistema mecanizado, por ejemplo
de nminas, existan unos controles de rangos de valores para detectar que
dentro de una determinada categora ningn empleado pueda aparecer con
un importe de salario mensual mucho ms alto de lo habitual; sin embargo,
si esa persona cobra mensualmente una cifra del orden de 150.000 pesetas,
el sistema no reaccionar cuando se produzca una liquidacin mensual de,
por ejemplo, 157.348 pesetas, avisando en cambio si se le pretendiera ex-
tender un recibo de nmina por importe de 200.000 pesetas. Recordemos
la denominada tcnica del salami, que juega con el criterio de ir acumu-
lando cantidades muy pequeas en un gran nmero de veces. La seal de
alarma en este caso no es el que los sistemas mecanizados tengan estableci-
do un margen de tolerancia, lo cual es bueno y prctico, sino que se sea
el nico control existente y en l confiemos a ciegas, ya que es evidente
que se es tan slo un control bastante rudimentario y muy fcil de burlar.
LA INVESTIGACIN DEL DELITO 121
Aun cuando en nuestro pas no est muy extendido, una importante
seal de alarma a tener en cuenta es la existencia de identidades anni-
mas. En Estados Unidos, y en muchos otros pases, suele ser frecuente
que un gran nmero de empresas no faciliten ms identificacin que un
nmero de telfono y un apartado de correos (P.O. Box), y con slo estos
datos muchas empresas atienden a sus clientes, les envan mercancas, les
mandan informacin tcnica, facturas, correspondencia, y si aparecen re-
gistrados como proveedores se les remiten cheques. Es fcil imaginar lo
sencillo que puede resultar crear una identidad ficticia para despacharle
mercanca, expedirle un taln por ordenador, etc. Hace unos aos era rela-
tivamente frecuente en algunas instituciones bancarias, y as lo pude cons-
tatar personalmente en algunas pequeas Cajas de Ahorro y Cajas Rurales,
la existencia de operaciones bancarias con personas fsicas de las cuales
nicamente constaba el nombre y el domicilio, ya que ni saban firmar
ni siquiera estaban en posesin del documento nacional de identidad. Esta
situacin que hoy puede parecemos extraa se produca en ambientes rura-
les un tanto atrasados, y la justificacin, hasta cierto punto lgica, de los
responsables de la entidad bancaria, era que no podan perder a un cliente
por el hecho de que no tuviera D.N.I. Pero incluso hoy es posible encon-
trar estas identidades irregularmente establecidas en sistemas comerciales
de grandes empresas que trabajan con minoristas que son propietarios de
una pequea tienda y que unas veces figuran como clientes con el nombre
del propietario, otras con la de su esposa, si es ella la que se encontraba
en la tienda en el momento de hacer el pedido, y otras con el nombre
del establecimiento que por supuesto no es ni razn jurdica ni siquiera
nombre comercial registrado. Esto provoca una tremenda distorsin en el
control de riesgos al figurar un slo cliente como s fueran tres distintos,
lo que puede desembocar en una imprevisible situacin de prdidas econ-
micas.
Otra situacin que debe ponernos en estado de alerta es cuando nos
encontremos ante la imposibilidad de poder consolidar informacin debido
a que el ordenador nos la suministra desde diferentes aplicaciones y con
criterios distintos. Un caso tpico se produce cuando una estadstica se efec-
ta partiendo de las unidades servidas por el almacn que posteriormente
se convierten a pesetas y otra desde las pesetas facturadas que se traducen
a unidades vendidas, con el resultado previsible de que generalmente no
suele cuadrar, y por increble que parezca, las empresas suelen aceptarlo
como un hecho irremediable asumiendo las diferencias existentes y dndo-
las por buenas si no son demasiado grandes. No es descabellado pensar
122 EL DELITO INFORMTICO
que esta circunstancia puede ser aprovechada por el listillo de turno para
desviar mercanca en cantidades que puedan ser asumidas como diferencias
generadas por los propios sistemas, y en consecuencia no sean investigadas.
Este es un ejemplo fehaciente de aplicaciones antiguas, mal diseadas y
sin ningn tipo de integracin en la informacin que manejan, que sera
fcilmente solucionado con un rediseo de las aplicaciones.
Una costumbre, me atrevera a decir que perniciosa, bastante extendi-
da entre los informticos responsables de diseo de sistemas es que al vali-
dar las transacciones de entrada y encontrarse con alguna errnea la recha-
zan sin dejarla entrar y sin conservar constancia del hecho. Las ventajas
de este planteamiento para ios informticos son grandes, toda vez que no
precisan prever tratamientos de excepcin dejando a criterio del usuario
volver a intentar introducir la transaccin fallida una vez corregida, o tal
vez no hacerlo nunca. Desde el punto de vista de proceso informtico el
planteamiento puede ser correcto, ya que al comprobar la inadecuacin
de una transaccin se la ha rechazado del sistema, sin embargo desde el
punto de vista de control interno es una autntica aberracin, puesto que
el planteamiento correcto sera conservarla dentro del sistema en un fichero
de transacciones en suspenso, donde no pueden ser borradas sino tan slo
corregidas pasando entonces al tratamiento de transacciones vlidas. Y esto
es as por las siguientes razones:
1. Es la forma de controlar si alguien ha intentado introducir transac-
ciones fraudulentas.
2. Una vez capturada una transaccin dentro del sistema no puede
ser eliminada, ni aun siendo errnea, por lo que el usuario est obligado
a corregirla o a dar las explicaciones pertinentes, si no puede ser corregida
por procedimientos normales, para que sea anulada mediante una transac-
cin compensatoria de signo contrario, que como es lgico tambin per-
manecer en el sistema (es el tpico juego de los contra-asientos contables).
3. Evita que el usuario olvide reintentar introducir la transaccin err-
nea, estableciendo un control adicional que de forma automtica impide
cerrar el perodo de que se trate, generalmente el proceso mensual, sin ha-
ber previamente corregido todas las transacciones en suspenso, lo que evita
que por olvido no figuren en el perodo transacciones que realmente se
han producido.
Una de las funciones que tradicionalmente se encomiendan al ordena-
dor es la realizacin de clculos complejos que deben efectuarse en grandes
cantidades y de forma reiterativa peridicamente. Ejemplo tpico lo consti-
LA INVESTIGACIN DEL DELITO 123
tuye el clculo de intereses de cuentas corrientes, libretas de ahorro, etc.,
en donde es necesario calcular los saldos medios mantenidos durante el
perodo que se est liquidando para aplicarles durante los das que corres-
ponda el clculo de intereses que proceda. Hasta aqu todo normal, sin
embargo no tengo ms remedio que manifestar que cada vez que he someti-
do a una profunda revisin una aplicacin de este tipo he detectado irregu-
laridades en mayor o menor medida, como aquella ocasin en una entidad
bancaria de la zona levantina en donde descubrimos que haba libretas de
ahorro en las que los intereses se estaban liquidando al 600 % en lugar
de al 6 % que era el tipo fijado. Y la causa era tan simple como que
en lugar de teclear: seis/punto/cero/cero, se haba tecleado: seis/cero/cero.
Aqu coincidieron dos problemas distintos, que el programa de validacin
era totalmente ineficaz al admitir un tipo de inters del 600 %, y que nadie
se molestaba en controlar las liquidaciones de intereses, lo que posibilit
que durante un periodo de tiempo de una cierta dinensin los afortunados
titulares de dichas libretas de ahorros recibieran un trato absolutamente
preferencial por parte de la entidad. La moraleja de esta historia es que
nos hemos habituado a aceptar como buenos los clculos realizados por
el ordenador sin molestarnos en chequear peridica y aleatoriamente dichos
clculos para comprobar su veracidad. Esta confianza absoluta en el orde-
nador es otra importante seal de alarma, ya que si el hecho comentado
fue simplemente un error bien pudo ser el origen de un fraude.
Por ltimo quiero dejar constancia de otra circunstancia que a m
siempre me preocupa considerablemente, cual es la fe ciega en la partida
doble. Denomino as a la mentalidad contable que con bastante frecuencia
se traslada a los sistemas mecanizados y que asume como dogma de fe
que lo que est cuadrado est correcto. Craso error, pues no hay nada
ms fcil que establecer un juego de transacciones compensatorias que sin
distorsionar los totales y manteniendo el cuadre contable permita el proce-
so de movimientos falsos que por el simple mtodo del cuadre no pueden
ser detectados.
Estos han sido unos ejemplos de circunstancias que diariamente se estn
dando en la mayor parte de los centros de proceso de datos de nuestro
pas y que por habernos habituado a convivir con ellas no les damos ningu-
na importancia. No obstante, creo que cualquiera de ellas, por las razones
expuestas, es por s misma, y no digamos si confluyen varias simultnea-
mente, razn sobrada para iniciar una investigacin tendente a determinar
si es tan slo una deficiencia de control que puede ser subsanable, es un
124 EL DELITO INFORMTICO

problema estructural grave que debe ser abordado con planteamientos de

mayor alcance, o estamos ante un indicador que nos est mostrando el
camino que nos va a llevar a descubrir un fraude que todava ni siquiera
sospechamos.
Por tanto el mensaje final es que no es necesario esperar a descubrir
que hemos sido vctimas de un delito informtico para iniciar una investi-
gacin, y que en muchos casos es ms barato y ms eficaz hacer medicina
preventiva al primer sntoma que ir al mdico cuando ya estamos enfermos,
y en ltimo caso mejor acudir al mdico al principio de la enfermedad
que cuando nos encontremos ante un problema que slo se resuelve con
ciruga.
EL FACTOR HUMANO EN LOS DELITOS
INFORMTICOS

A estas alturas y despus de ciento y pico de pginas escritas todava

me asalta la duda de si he conseguido transmitir uno de los principales
mensajes que pretenda haceros llegar. Por si no he logrado mi objetivo
lo har ahora de forma explcita al establecer el octavo principio:
El problema de los delitos informticos no es tcnico, sino
humano.

Esta es una afirmacin ante la que muchas personas se muestran sor-

prendidas, pero si lo pensis detenidamente veris que es cierta. Y la prue-
ba evidente es que no son las mquinas las que delinquen sino los hombres.
Es por otra parte evidente que no existe una solucin tcnica de aplica-
cin universal que pueda permitir que comprando un determinado aparato
o aplicando una cierta tecnologa estemos completamente a salvo de la de-
lincuencia informtica.
La primera premisa que tenemos que asumir es que el enfoque correcto
del problema seguridad informtica versus delitos informticos es un pro-
blema de hombres contra hombres, eso s, movindose en un entorno alta-
mente tecnificado. Pero en cualquier caso el primer factor del xito est
en la anticipacin, en ir por delante, en que la seguridad preceda a la delin-
cuencia, aunque en ningn caso debemos olvidar que las medidas de seguri-
dad que un hombre ha establecido otro hombre puede violarlas, por lo
que el segundo factor debe ser el concepto de la seguridad permanente.
126 EL DELITO INFORMTICO
la continuidad en la apHcacin de las medidas establecidas y la permanente
adecuacin de la seguridad a las nuevas cncunstancias mediante la aplica-
cin de nuevas medidas que refuercen o sustituyan a las antiguas.
En un terreno de puro ejercicio intelectual, pero en m opinin bastante
ilustrativo, Krauss y Macgahan establecieron una teora sobre el fraude
informtico que merece la pena analizar.
Dicha teora estaba fundamentada en la idea de que las probabilidades
de que una empresa fuera vctima de un delito informtico era funcin
de tres variables, lo cual se expresaba mediante notacin matemtica de
la siguiente forma:
P(F,I.) ^ _ D X O X M
1.000
siendo:
P(F.I.) = la probabilidad de sufrir un fraude informtico
D = el factor de deshonestidad
O = el factor de oportunidad
M = el factor de motivos
Si suponemos que los valores de los tres parmetros del numerador de
la fraccin pueden moverse en un rango de valores de O a 10, veamos
qu sucedera en los dos casos extremos:
1. Si el personal que trabaja en relacin con la informtica fuera total-
mente deshonesto, deberamos aplicar al primer factor un valor D = 10.
2. De forma similar, si dicho personal dispusiera de una extremada
cantidad de oportunidades idneas para cometer un fraude, el valor del
segundo parmetro sera O = 10.
3. Por la misma razn, si todo el personal estuviera impulsado por
motivos poderossimos para cometer hechos deHctivos, el tercer factor sera
M = 10.
En consecuencia, la probabilidad resultante para este supuesto sera:
10 X 10 X 10
P(F.I.) = =1
1.000
lo cual quiere decir que al hallarnos ante una probabilidad 1 tendramos
una total certeza de que el fraude se producira.
Veamos ahora el caso opuesto:
EL FACTOR HUMANO 127
1. Si todo el personal fuera totalmente honesto el primer factor ten-
dra una valor D = 0.
2. Si no existiera la ms mnima oportunidad para que el fraude pu-
diera cometerse el valor del segundo factor sera 0 = 0.
3. Si el personal no tuviera ningn tipo de motivos para involucrarse
en un delito, el tercer parmetro sera M = 0.
En este caso la probabilidad sera:
0x0x0
P(F.I.) = - o
Tooo
Es decir, nos hallaramos ante la absoluta seguridad de que no se pro-
ducira el fraude.
Esta teora, que como deca inicialmente no deja de ser un ejercicio
intelectual, tiene como inconveniente fundamental la imposibidad de su
aplicacin prctica, toda vez que en el mundo real no se producen situacio-
nes de O o 10, y que en todo caso la cuantificacin de los factores es una
tarea poco menos que imposible, aadindole el inconveniente de que sera
necesario efectuar un clculo ponderado para agrupar en una sola probabi-
lidad el conjunto de todas las personas relacionadas con la informtica.
No obstante, la mayor enseanza prctica que se puede obtener de esta
teora es, a mi modo de ver, que los factores que determinan que un hecho
delictivo pueda producirse son mltiples e interrelacionados, y sobre todo,
que la mayor parte de ellos son factores humanos y no tcnicos.
En un orden prctico y como profesionales comprometidos con la segu-
ridad informtica, cada uno a nuestro nivel, en este punto deberamos pre-
guntarnos: Podemos actuar sobre alguno de estos factores? Y si es as
sobre cul y de qu forma?
A pocas matemticas que sepamos, a ninguno se nos habr escapado
el hecho de que si conseguimos que uno cualquiera de los factores del nu-
merador de la fraccin tienda a cero, estaremos haciendo que la probabili-
dad tienda tambin a cero.
Por ejemplo: si una empresa consiguiera contratar exclusivamente per-
sonal total y absolutamente honesto, es obvio que no necesitara implantar
ningn tipo de medidas de seguridad, ya que aunque el factor de oportuni-
dad tuviera valor 10, al ser el factor de deshonestidad igual a O, la probabi-
lidad tambin sera 0.
Sin embargo es evidente que los factores de deshonestidad y de motivos
de los empleados estn bastante fuera del alcance de la direccin de las
 EL DELITO INFORMTICO
128
empresas, por lo que la conclusin y la enseanza aprovechable de esta
teora es que el nico aspecto en el que las empresas pueden incidir para
incrementar su seguridad informtica, o lo que es lo mismo para disminuir
la probabilidad de ser vctimas de un fraude informtico, es el factor de
oportunidad. Y obviamente la disminucin del factor de oportunidad pasa
ineludiblemente por el establecimiento de las necesarias y suficientes medi-
das de seguridad, no de forma aislada sino en el contexto de un plan inte-
gral de seguridad informtica, que es la nica forma seria de plantearse
con rigurosidad un asunto de tanta trascendencia para el futuro de la empresa.
Lo cual no quiere decir que descuidemos los otros dos factores, ya que
el grado de honestidad de nuestro personal y la carencia o al menos la
escasez de motivos para delinquir son, o al menos deberan ser, un motivo
de principal preocupacin como para figurar en lugar prioritario en los
objetivos estratgicos permanentes de la empresa.
A tal efecto considero imprescindible que una de las primeras medidas
que debe tomar la direccin cuando se acomete un plan integral de seguri-
dad informtica es establecer y promulgar de forma clara y precisa las
polticas de personal que contribuyan no slo a mentalizar a los directivos,
mandos intermedios y empleados en general respecto al compromiso global
que afronta la empresa en relacin con la seguridad, sino a definir los
procedimientos para la seleccin, incorporacin, evaluadones peridicas desde
el punto de vista de la seguridad, traslados de puestos de trabajo y despidos
de personal relacionado con la informtica.
Aspectos, que a veces son muy criticados, como las investigaciones de
las condiciones de vida del personal que ocupa posiciones clave, pueden
revelarnos situaciones polencialmente explosivas, como por ejemplo, cam-
bios de hbitos y costumbres que implican un deslizamiento hacia formas
de vida desordenada (relaciones extramatrimoniales, alcohol, juego, dro-
gas, etc.). ritmo de vida insostenible econmicamente con los ingresos de
su trabajo, etc.
Las polticas de personal que inciden en la seguridad informtica es
un tema apasionante que por s mismo tiene contenido como para escribir
una monografa, y quizs en algn momento me dedda a hacerlo, sin em-
bargo, el objetivo que pretendo cubrir en este captulo no es proporcionar
ejemplos de dichas polticas y procedimientos de personal, sino tratar de
analizar las responsabidades que todas y cada una de las personas y enti-
dades que se mueven en el mundo de la empresa o que tienen alguna rela-
cin con ella deben afrontar en lo que se refiere a los aspectos relacionados
con la seguridad informtica.
EL FACTOR HUMANO 129
Y considero imprescindible abordar este aspecto de la cuestin debido
a que con excesiva frecuencia unos y otros se preocupan ms en alejar
de s sus responsabidades para cargarlas sobre los dems, que en colabo-
rar en algunos aspectos que aun siendo bastante elementales permitiran,
por esa conjuncin de esfuerzos, establecer una sinergia que aumentara
en forma exponencial la eficacia de los resultados.
Parece incuestionable que los primeros que deben preocuparse por la
seguridad informtica son los responsables de la empresa al ms alto nivel,
es decir, la alta direccin. Y esto no es ninguna idea genial que se me
haya ocurrido a m, puesto que en Estados Unidos ya existe una ley federal
en virtud de la cual los directivos son responsables de los activos encarga-
dos a su custodia, y entre esos activos se incluye especficamente la infor-
macin de la empresa, estando dicha funcin de custodia afecta incluso
a responsabilidades criminales. Esto quiere decir que si por no haber toma-
do las necesarias medidas de seguridad la informacin de la empresa se
destruye, es robada, revelada a la competencia, etc., los directivos respon-
den ante la justicia a instancias de la parte perjudicada, que puede ser
la representacin de los accionistas, clientes, proveedores, o incluso el mi-
nisterio fiscal en representacin de la sociedad en casos de extrema gravedad.
Imaginemos la responsabilidad que habra de afrontar la direccin de
una empresa que se encuentra ante casos como los que se han relatado
a lo largo de este libro, y que son acusados de negligencia en el desempeo
de sus funciones, ya que ante la justicia no slo tendran que defenderse
sino que deberan probar que adoptaron todas las medidas que razonable-
mente eran suficientes para proteger la informacin, evitar la comisin de
fraudes y asegurar la continuidad del servicio informtico como elemento
esencial de la actividad empresarial.
As como no se concibe que una empresa deje abierta las puertas de
sus almacenes para que les roben sus mercancas tampoco es comprensible
que se dejen abiertas las puertas de entrada al ordenador para que algo
tan valioso como la informacin pueda ser sustrada o daada de alguna
forma.
As como no es comprensible que el dinero se deje encima de las mesas
sin guardar en los bancos o en las cajas fuertes, tampoco es explicable
que la informacin o la documentacin confidencial no sea custodiada bajo
las apropiadas medidas de seguridad.
Asi como no parece lgico que las tiendas, almacenes, etc., no estn
dotados de sistemas de control (vigilantes, sistemas electrnicos de alarma,
etc.), tampoco es razonable que la informacin vital para la empresa no
E l DELITO INFORMTICO. 9
 EL DELITO INFORMTICO
130
disponga de sistemas de control y de alanna para impedir la comisin de
delitos y avisar de forma inmediata de los intentos que se produzcan.
As como no es justificable que no se hayan asegurado las mercancas
almacenadas para poder recuperarse econmicamente en caso de su prdida
o destruccin, tampoco es explicable que no se asegure algo tan valioso
como la informacin y a veces tan difcil de recuperar.
As como no es admisible que no se protejan adecuadamente los medios
de produccin que son los que en definitiva aseguran la continuidad de
la empresa en el mercado, tampoco es tolerable que no se protejan adecua-
damente los sistemas informticos, que son los que en definitiva soportan
la actividad empresarial y sin los cuales es muy dudoso que se pudiera
asegurar la supervivencia de la empresa.
Como es habitual en todas las facetas de la vida, no sabemos lo que
valen las cosas hasta que las perdemos, por lo que os sugiero que tratis
de hacer un ejercicio mental consistente en imaginar lo que sera desarrollar
vuestra actividad diaria durante digamos un mes sin recibir un solo dato
del ordenador que, por ejemplo, ha resultado afectado por un incendio.
Haced un detallado inventario de todas las tareas que efecta el ordena-
dor y de toda la informacin que os suministra y tratad de imaginar lo
que representara para vosotros trabajar sin esa ayuda.
Tan slo as tendris una ligersima idea de lo que podra suponer tal
situacin, y podris empezar a valorar lo que representa la informacin
para la empresa en general y para vuestro trabajo en particular.
Es por tanto evidente que la seguridad informtica debe constituir una
tarea prioritaria entre las actividades propias de la direccin, no para desa-
rrollarla personalmente sino para promoverla y controlarla.
Un escaln ms abajo en la estructura empresarial nos encontramos
con los usuarios. Ah, los usuarios!
Nunca he conseguido entender por qu, cuando de sistemas manuales
se trata, los usuarios son responsables del control sobre las operaciones
propias de dichos sistemas, en tanto que al mecanizarse los sistemas se
produce una dispersin de la responsabilidad de tal forma que a partir
de ese momento los usuarios se encogen de hombros y descargan todos
los aspectos de control sobre el departamento de informtica, sobre los
informticos o para hacerlo todava ms impersonal, sobre el ordenador,
Qu diferencia existe entre que el departamento de contabihdad traba-
je con una mquina contable o con un ordenador?
Qu hace distinto el hecho de que los movimientos contables se escri-
ban sobre un papel o sobre una pantalla de ordenador?
EL FACTOR HUMANO 131
Qu variacin experimentan los criterios de control por el hecho de
que los libros contables estn escritos por medios tradicionales sobre papel
o grabados en un soporte magntico?
Probablemente el origen de esta situacin ser que en la mayora de
los casos los usuarios de la informtica no se sienten identificados con los
sistemas mecanizados porque no han participado nada o muy poco en su
diseo, no funcionan como a ellos les gustara, y se ven incapaces para
corregirlos y adecuarlos a sus necesidades. En consecuencia, aunque los
soportan por necesidad u obHgacin en el fondo los rechazan, y por tanto
no se hacen responsables de ellos.
Sin embargo quien as acta dice muy poco de s mismo en cuanto
a profesionalidad, y por mucha razn que tenga no est justificada su acti-
tud, siendo adems un claro candidato a un serio correctivo por parte de
una direccin seria y responsable.
Ningn profesional que se precie debe permitir que se desarrolle un
sistema cuyo funcionamiento cae bajo su rbita de responsabiUdad sin que
se le permita participar, y muy activamente, en su diseo, puesto que en
definitiva lo que se est confeccionando es una herramienta que estar puesta
a su servicio para que su departamento funcione adecuadamente, lo que
en ltima instancia es su responsabihdad principal.
Pero todava hay ms. No basta con que participe en su diseo, es
imprescindible que, adems de definir cmo quiere que funcione, identifi-
que las medidas de control que desea establecer para que dicho sistema,
que le guste o no le guste, es su sistema, sea suficientemente fiable para
que l, su personal y, en definitiva, su departamento, no se vean involucra-
dos en responsabilidades derivadas de negligencias en el funcionamiento
que les es propio.
Y por ltimo, tampoco es suficiente con que defina qu quiere, cmo
lo quiere y con qu seguridades lo quiere, sino que debe chequear exhausti-
vamente que el sistema cumple con todos los requerimientos funciona-
les y de control que l ha establecido, antes de que entre en funciona-
miento con datos reales, y en caso de no ser as, no debe hacerse cargo
de l.
Muchas veces los pequeos detalles suelen ser el inicio de los grandes
acontecimientos, por ello, y aunque parezca trivial, en algunas ocasiones
he sugerido a mis clientes cambiar el nombre del llamado departamento
de informtica o centro de proceso de datos, por el de departamento de
servicios informticos, porque el simple hecho de incluir la palabra servi-
cios dentro del nombre del departamento imphca un reconocimiento for-
132 EL DELITO INFORMTICO
mal de que dicha unidad est all para servir a los dems, y no para que
los dems se adapten a ella, que es lo que a veces sucede.
Este criterio, planteado errneamente en muchas empresas, ha generado
una insatisfaccin considerable respecto a la informtica, a la que en mu-
chos casos se trata como un mal necesario o como una patata caliente
que nadie quiere asumir como propia y que todos se quitan de encima.
Y cul es la responsabilidad de los informticos en todo este asunto?
Porque parece que lo nico que les preocupa a los informticos es que
los sistemas funcionen, y una vez que funcionan ya no se preocupan ni
siquiera de documentar lo que han hecho, con lo cual generan una fuerte
dependencia del sistema hacia quien lo desarroll y, adcionalmente, some-
ten a la empresa a un riesgo considerable, ya que si otra persona debe
hacerse cargo del sistema es ms que dudoso que pueda hacerlo eficazmen-
te y en plazos razonables. Por extrao que parezca, muy recientemente
me he encontrado con dos entidades de crdito que tenan funcionando
el sistema de teleproceso que soportaba la red de oficinas con unas aplica-
ciones muy antiguas y sin ningn tipo de documentacin. No quiero imagi-
narme lo que hubiera sucedido si se hubiera producido un incidente grave
que hubiera obligado a rehacer parte de un sistema que nadie conoca y
del cual no exista documentacin alguna. Lo que me extraa es que los
directivos de la entidad pudieran dormir.
Siguiendo con la actitud de los informticos, y su responsabilidad res-
pecto a la seguridad, es de destacar que en muchos casos, afortunadamente
cada vez menos, abusan de los usuarios y de su desconocimiento de lo
que es posible y conveniente hacer y lo que no lo es, buscando en muchos
casos ms su comodidad que la eficacia del sistema. Lo que sigue siendo
una constante en la actividad informtica es una absoluta inhibicin hacia
lo que representa la seguridad y el control interno, aspectos estos que toda-
va no han llegado a calar en la conciencia profesional de los informticos.
La clara tendencia que se ha producido en estos ltimos aos de no
tener en plantilla ms que a un nmero reducido de tcnicos informticos,
suficientes para mantener el correcto funcionamiento de los servicios infor-
mticos, contratando con empresas de servicios los nuevos desarrollos, ha
provocado una sistematizacin del control que tanto los usuarios como los
informticos de la empresa ejercen sobre la empresa de servicios en cuanto
a calidad del trabajo, documentacin, pruebas, etc.; sin embargo y de for-
ma curiosa puede constatarse que esos controles no se aplican internamen-
te, quizs por cumplir con la mxima de que en casa del herrero, cuchillo
de palo.
EL FACTOR HUMANO 133
Lo cierto es que desde la ptica de la seguridad informtica, aunque
tambin contribuya a la eficacia en el desarrollo de sistemas, es imprescin-
dible que en el diseo y confeccin de nuevos sistemas o modificaciones
a los ya existentes confluyan la intervencin prctica, las aportaciones y
el control de al menos cuatro tipos de intereses:
1. La direccin, con el fin de que el nuevo sistema est encuadrado
en las polticas de la empresa y no se produzcan choques de intereses
interdepartamentales.
2. Los usuarios, que son en definitiva los que deben definir cmo quieren
el sistema y los que habrn de hacerse cargo de l para su uso habitual.
3. Los informticos, que deben interpretar las necesidades de los usua-
rios y de acuerdo con los recursos tcnicos existentes en la empresa desarro-
llar el mejor sistema posible, que no siempre tiene que ser el tcnicamente
ms perfecto.
4. Los responsables de control interno (auditora interna, controller,
inspeccin, intervencin, organizacin, etc.), que son los que deben estable-
cer los criterios de control que ineludiblemente debe incorporar el sistema,
as como de acuerdo con los usuarios definir los controles manuales que
debern aplicarse tanto sobre los datos introducidos al sistema como sobre
los suministrados por el mismo.
Este enfoque y estos equipos de trabajo no se pueden coordinar y poner
en marcha si no existe un rgano, formalmente constituido en la empresa,
que se responsabilice de tal funcin, y ese no es otro que un comit de
informtica.
Lo que en definitiva estoy diciendo es que la informtica es dema-
siado importante como para dejarla exclusivamente en manos de los infor-
mticos.
Hasta ahora he tratado de personas en relacin directa con la informti-
ca y pertenecientes a la plantilla de la empresa, pero qu sucede cuando
las responsabilidades exceden el mundo empresarial y se ven involucradas
personas o entidades externas?
Pues que claramente no podemos actuar, al menos directamente, sobre
ellas, pero no por eso debemos ignorar el papel que juegan y sobre todo
tratar de caminar en la direccin correcta para que antes o despus sea
posible establecer un marco global de seguridad informtica que nos posi-
t bilite salir del caos en que actualmente nos encontramos.
Por ejemplo: Cmo se le puede aconsejar a un directivo que asegure
la informacin mecanizada y el coste de su reconstruccin en caso de prdi-
134 EL DELITO INFORMTICO
da si hasta hace muy poco no exista ninguna compaa aseguradora que
hiciera tales plizas?
Cmo se puede fijar el coste de la informacin mecanizada y el de
su reconstruccin si las compaas aseguradoras no disponen de expertos
en dicha materia?
As como a la banca le ha costado aos entender que era necesario
establecer nuevas estrategias de marketing y salir a la calle de forma agresi-
va a captar Chentes, las empresas de seguros siguen anquilosadas en un
terreno tan sumamente abonado para hacer grandes negocios como el de
la seguridad informtica, y para ello basta ver las increbles posibiUdades
que se ofrecen en Estados Unidos donde es posible asegurar prcticamente
cualquier cosa que a uno se le ocurra en relacin con la informtica, y
no se me diga que no entran en ese terreno por desconocimiento, ya que
lo nico que precisaran sera disponer de asesores especializados en seguri-
dad informtica.
Es absolutamente evidente que al igual que se ofrecen bonificaciones
al hacer el seguro de una vivienda en la que se han instalado medidas de
seguridad (alarmas, extintores, cristales antidisturbios, etc.), deberan ha-
cerse bonificaciones semejantes al contratarse seguros sobre las instalacio-
nes informticas en las que se han establecido medidas de seguridad cohe-
rentes y eficaces. Pero volvemos al caso anterior, si la compaa asegura-
dora no dispone de asesores especializados quien puede evaluar la eficacia
de las medidas para proponer el grado de bonificacin a aplicar?
En mi conocimiento del mercado de la seguridad informtica le auguro
grandes xitos a la empresa de seguros que tenga la visin y la valenta
de entrar en este terreno inexplorado pero altamente prometedor en los
prximos aos.
Antes me he referido a las polticas de personal que es necesario im-
plantar, y a que en muchos casos pasan por investigar situaciones que per-
tenecen a la vida privada de los empleados. No quiero imaginarme la cara
que habrn puesto los representantes de las organizaciones sindicales si es
que alguno lee este libro.
Pero s, seores mos. No hay otra solucin, y ustedes que tienen como
misin principal representar a los trabajadores y defender sus puestos de
trabajo deberan saberlo.
Porque en definitiva lo que la seguridad informtica pretende no es
ni ms ni menos que la continuidad de la empresa sin prdidas y sin sobre-
saltos, y si para ello es necesario recortar un poco ciertos derechos de algu-
EL FACTOR HUMANO 135
nos trabajadores creo que merece la pena hacerlo, porque en este caso el
fin s que justifica los medios.
As que no nos rasguemos las vestiduras, porque al igual que a ciertos
empleados que trabajan en contacto con el dinero se les registra antes de
abandonar su trabajo, y a los pilotos, quieran o no, se les somete a revisio-
nes mdicas peridicas, por poner unos ejemplos, en una gran cantidad
de empresas que yo conozca, la investigacin de las circunstancias persona-
les de ciertos empleados es una prctica habitual.
La fra verdad es que en estos casos la empresa est actuando previsora-
mente para proteger el bien comn, que son los intereses de todos, inclu-
yendo los trabajadores, y entiendo que es lo menos que se le puede pedir
a una empresa, que defienda su estabilidad en el mercado, que es tanto
como asegurar la continuidad de los puestos de trabajo. Y, por otra parte,
a nadie debe preocupar que se investiguen sus circunstancias personales
si no tiene nada que ocultar, ya que es incluso una satisfaccin que su
honestidad pueda quedar de manifiesto.
Y cmo no? le lleg el turno a los polticos.
Mucho he hablado ya a lo largo de los captulos anteriores respecto
a los enormes vacos legislativos existentes en nuestro pas sobre los delitos
informticos, y no quiero ser reiterativo.
Por lo tanto no voy a volver a incidir sobre un tema en mi opinin
tan sangrante, pero quede aqm' y ahora constancia de mi spUca como
ciudadano respetuoso, mi peticin enrgica como votante en ejercicio, mi
exigencia como irremediable contribuyente, y mi grito desgarrador como
profesional de la seguridad informtica.
Seores representantes de los poderes Ejecutivo, Legislativo y Judicial:
Hasta cuando vamos a seguir as?
 XI

UN F U T U R O P R E O C U P A N T E

Pues s, mis queridos amigos, hasta aqu ha quedado expuesta mi visin

de cul es la realidad actual, por duro que sea aceptarla, y que si tuviera
que definirla grficamente la dibujara como un ordenador sobre un barril
de plvora. Pero no quisiera soslayar el hacer algunas consideraciones so-
bre lo que se intuye que el futuro nos puede deparar si Dios no lo remedia
y nosotros no nos movemos con rapidez.
Tal como yo lo veo, existen tres factores esenciales que pueden condi-
cionar de forma absoluta el futuro de los delitos informticos:
1. La incorporacin de nuevos avances tecnolgicos al trabajo diario
sin haber medido previamente sus repercusiones sobre las condiciones de
seguridad.
2. La paulatina constatacin por parte de las personas que trabajan
en contacto con los sistemas informticos de lo fcil que es defraudar utili-
zando las deficiencias de los sistemas y la escasa probabilidad de ser descu-
bierto y castigado.
3. La entrada de organizaciones criminales profesionales en un campo
delictivo tan prometedor como el de los delitos informticos.

En relacin con el primero de dichos factores me gustara aportaros

un par de ejemplos.
En 1985, en Cannes, un investigador alemn demostr ante un nutrido
grupo de expertos que los mensajes recibidos en la pantalla de un terminal
podan ser sustrados desde fuera del edificio en que estaba ubicado el
terminal utilizando un receptor, de los que abundan en el mercado a pre-
138 EL DELITO INFORMTICO
cios muy baratos, dotado de un amplificador y un sintonizador para moni-
torizar las seales electromagnticas que emiten los terminales.
Ni que decir tiene la alarma que esta demostracin caus entre la
comunidad de usuarios, y en especial de las entidades bancarias. Desgracia-
damente, que yo sepa, nada cambi a raz de aquello, y el susto lo comba-
tieron con una buena dosis de olvido.
Bienaventurados los inconscientes porque ellos vivirn ms felices.
Otro hecho que tambin ha sido demostrado fehacientemente es la posi-
bilidad de pinchar (permitidme la utilizacin del trmino) las comunica-
ciones va satlite, es decir, interceptar y apropiarse las seales enviadas
no a travs de lineas telefnicas como es habitual, sino por medio de ondas
hertzianas.
Es por otra parte prcticamente imposible tratar de imaginar aunque
sea remotamente, las consecuencias que puede acarrear la manipulacin
de la informacin mecanizada en sistemas altamente complejos y tecnifica-
dos, ya que os habris dado cuenta de que hasta ahora todos los delitos
que he relatado se referan a sistemas tradicionales de uso comn en las
empresas, los denominados habituaimente sistemas de gestin (contabiH-
dad, clientes, proveedores, stocks, cuentas corrientes, etc.).
Pero jugad a imaginad lo que supondra la manipulacin fraudulenta
en sistemas mecanizados que controlasen de forma totalmente automatiza-
da los procesos de grandes instalaciones industriales, por ejemplo: prospec-
ciones petrolferas, refineras, siderrgicas, cadenas robotizadas de produc-
cin de automviles, distribucin de productos energticos por oleoductos,
gaseoductos o redes de alta tensin, control del trfico areo, etc.
El mayor riesgo asumido por las empresas que estn en sectores de alta
tecnologa, cuyo futuro depende en gran medida de sus departamentos de
I -\- D (investigacin y desarrollo) es la prdida derivada de lo que podra-
mos llamar espionaje industrial por ordenador, ya que hoy da estas em-
presas investigan y desarrollan sus prototipos de nuevos productos de for-
ma totalmente automatizada, utilizando sistemas de CAD (Computer As-
sisted Design), CAE (Computer Assisted Engineering) o similares. Una fu-
ga de informacin de este tipo puede suponer una prdida de cientos de
millones invertidos en investigacin y lo que es ms grave una prdida de
competitividad en el mercado, al tiempo que a la persona que sustraiga
esa informacin le puede representar un muy importante pellizco de dinero
que algunas empresas competidoras estaran dispuestas a pagarle.
Y qu decir de lo que puede suceder el da que se generalicen los siste-
mas expertos? La inteligencia artificial abre caminos totalmente inexplora-
UN FUTURO PREOCUPANTE 139
dos que hoy por hoy yo me considero humildemente incapaz de imaginar.
Lo nico que s puedo entrever en medio de las sombras es el tremendo
riesgo que puede representar una toma de decisiones automtica basada
en ingentes cantidades de informacin mecanizada manejada por unos
programas (los llamados sistemas expertos) que son capaces de analizar
informacin absolutamente heterognea, sacar conclusiones, analizar sus
propios errores, aprender de sus fallos mediante la autocorreccin de los
propios programas y repetir los procesos tantas veces como sea preciso
sin intervencin humana. Casi nada!
Una manipulacin en la informacin o en los programas en un sistema
de este tipo podra llevarnos a una situacin absolutamente incontrolada
e incontrolable del tipo de la que ya se empieza a hablar en la teora de
los virus informticos.
Dicha teora, en estado todava bastante incipiente, trata de estudiar
las consecuencias que se producen en ciertos programas que tienen capaci-
dad de autocorreccin en el caso de que una circunstancia anormal provo-
que un funcionamiento inesperado del programa y, en consecuencia, se
produzcan modificaciones imprevistas que comiencen a extenderse por el
sistema de forma similar a como una infeccin vrica se extiende por el
organismo humano.
En relacin con el segundo de los puntos, y de acuerdo con lo ya ex-
puesto repetidas veces a lo largo de este libro, los fraudes hasta ahora
descubiertos son absolutamente rudimentarios, y a pesar de ello slo se
descubren una nfima parte de los cometidos, por lo que a poco que se
eche a volar la imaginacin unida a la tcnica, el problema de la delincuen-
cia informtica puede realmente desbordar a las empresas.
Y como para muestra basta un botn, os revelar algunos procedimien-
tos para sustraer informacin de una instalacin informtica de forma sen-
cilla pero totalmente incontrolable.
La absurda mana de cerrar la sala de ordenadores con cristales trans-
parentes permite que un programador confeccione un programa manejando
cintas magnticas con el fin de que otra persona fuera de la sala pudiera
ver el movimiento de las cintas y anotar un cero cada vez que la cinta
gira hacia la izquierda y un imo cuando gira hacia la derecha.
Esta simple clave binaria posibilitara que al ir el programa leyendo
informacin confidencial y haciendo girar las cintas, dicha informacin fuera
transcrita y en consecuencia sustrada.
Se podr decir que es un procedimiento lento, sin embargo tiene la ven-
taja de ser prcticamente imposible de descubrir ya que no deja rastro.
140 EL DELITO INFORMTICO
Otro procedimiento algo ms complejo pero todava ms seguro es el
efectuar un programa de impresin cuya clave es el ruido del martillo de
la impresora, y el cdigo utilizado es el Morse, por lo que basta un simple
cassette para grabar el ruido que va haciendo la impresora a medida que
lee informacin confidencial para posteriormente descifrar el mensaje en
Morse contenido en la grabadora.
Existen decenas de posibilidades similares a las descritas, e incluso me-
jores, pero no voy a continuar porque no quiero que me acusen de fomen-
tar la delincuencia.
En cualquier caso, y siempre desde mi punto de vista, todo lo descrito
es un juego de nios comparado con lo que puede suceder el da que
organizaciones criminales profesionales descubran el filn de los delitos
informticos.
No me atrevo a imaginar lo que puede resultar de la conjuncin de
unos planteamientos sin el ms mnimo escrpulo, fuertes recursos econ-
micos para ponerlos a disposicin del crimen, la posibilidad de comprar
los mejores tcnicos al precio que sea necesario, incluso utilizando el chan-
taje o la coaccin, y un ansia desmedida de lucro, puesto que en este caso
no estaramos hablando de fraudes aislados ms o menos importantes, sino
de grandes operaciones criminales.
Y como prueba de que la imaginacin de la delincuencia no tiene lmi-
tes, quiero resear el suceso acaecido la noche del 26 al 27 de septiembre
de 1986 en Blgica.
Unos desconocidos penetraron en la sede de la Belgium Industrial Ma-
nagement (BIM) en Kortenberg, empresa dedicada al desarrollo de softwa-
re y a la importacin y distribucin de material informtico, y se apodera-
ron de la CPU (unidad central de proceso) del ordenador Convex propie-
dad de la compaa. Este ordenador es un equipo muy moderno y sofistica-
do del cual slo existen otros dos en Europa, uno en el Reino Unido y
otro en Holanda. La CPU secuestrada est compuesta por 12 tarjetas
electrnicas de 50 centmetros de largo por 30 de ancho y un kilogramo
de peso, siendo su precio de unos 63 millones de pesetas.
Al da siguiente la empresa recibi una llamada annima exigiendo el
pago de 3,5 millones de francos (unos 11 millones de pesetas) para devolver
la CPU, sin que hasta el momento se conozca cual ha sido el desenlace
de tan peculiar secuestro, pero no cabe duda de que cada da de paraliza-
cin le habr costado a la BIM un buen montn de dinero, por lo que
no es de extraar que hayan preferido pagar el rescate antes que comprar
una nueva CPU. Lo que es indudable es la perspicacia de los delincuentes
UN FUTURO PREOCUPANTE 141
para elegir un elemento cmodo y ligero de llevar, imprescindible para el
funcionamiento del ordenador, de un precio muy elevado, y muy difcil
de sustituir a corto plazo.
Como veis, cada da aparece una nueva forma de delito ahededor de
la informtica.
Y para qu hablar de las consecuencias de la entrada en esta actividad
de grupos terroristas perfectamente organizados?
Las tcnicas de la guerrilla urbana, que desgraciadamente estamos com-
probando que son absolutamente eficaces y dificilsimas de prevenir y con-
trolar por las Fuerzas de la Seguridad del Estado, pueden verse sustituidas
por la guerrilla informtica, que de una forma mucho ms snple, ms
eficaz y menos sangrienta puede desestabilizar el sistema poltico a travs
de hacer cundir el pnico en la sociedad.
Por ejemplo:
Sembrar el caos circulatorio en las grandes ciudades manipulando los
sistemas informticos de control del trfico, descompensando el funciona-
miento de los semforos para que se abran y se cierren todos a la vez,
ponindolos simultneamente en intermitente en todas las direcciones, etc.
InutiUzando o haciendo que funcionen de forma anmala los siste-
mas de control de trfico ferroviario, areo, martimo, el metro, servicios
pblicos de transporte de superficie, etc.
Cortando los suministros de energa elctrica por perodos prolonga-
dos en las grandes in-bes, lo cual puede hacerse extensible a los servicios
de agua, gas, telfono, etc.
Inutilizando los controles informatizados de seguridad en grandes ins-
talaciones industriales para provocar accidentes laborales, por ejemplo, con-
troles de temperatura, presin, etc. en procesos qumicos, refineras y
similares.
Y no se me trate de decir que si esto comienza a suceder los gobiernos
reaccionarn adecuadamente para arbitrar los medios necesarios en orden
a dar una respuesta adecuada en defensa del orden pblico.
Si ha costado aos y una increble cantidad de dinero preparar grupos
especiales de accin directa (GEOS y CAR en Espaa, SWAP en USA,
SAS en Inglaterra, etc.) a pesar de que el crecimiento del terrorismo era
algo que se prevea con claridad, me cuesta trabajo imaginar cmo reaccio-
naran los gobiernos ante una situacin de caos creada por lo que podra-
mos denominar un ataque informtico a gran escala.
!42 EL DELITO INFORMTICO
Esta prospeccin de futuro me lleva a establecer el noveno gran prin-
cipio:
En materia de delitos informticos, cualquiera tiempo pa-
sado fue mejor.
Pero basta ya de hacer de agorero. No es esa mi intencin, sino tan
slo efectuar una llamada de atencin a aquel que quiera orla.
La tercera ola, la era de la tecnologa de la informacin, est cambian-
do nuestras vidas, nuestro trabajo, nuestro ocio, y en consecuencia estn
apareciendo factores de desequilibrio que es necesario afrontar cada uno
a nuestro nivel. Y mi misin queda cumplida enarbolando la bandera que
avisa del peligro a esos capitanes de navio que son los directivos de las
empresas, porque la revolucin informtica ha hecho aparecer en su ruta
habitual arrecifes peligrosos que antes no existan y que pueden hacer enca-
llar sus naves.
El cambio de rumbo es una decisin que no depende de m.
XII
UN CAMINO DE ESPERANZA
No hay mal que cien aos dure, deca el acomodaticio que no quera
esforzarse en remediar sus males.
Ni cuerpo que lo resista, responda el pragmtico que no estaba dis-
puesto a dejarse arrollar por los acontecimientos.
T, claramente, con cual ests?
Porque si ests con el primero has perdido el dinero y el tiempo com-
prando y leyendo este libro, ya que lo nico que habrs adelantado ser
aadir una preocupacin ms a las que ya tuvieras.
Pero si ests con el segundo permteme que te felicite, porque t eres
de los mos, de los que no estn dispuestos a pasarse la vida en un rincn
lamindose sus heridas cuando la vida les someta a duros reveses, prefirien-
do la postura, generalmente ms difcil, de anticiparse a los acontecimien-
tos y crear sus propias circunstancias antes de verse arrollado por ellas.
Y como ya te oigo preguntar: Luis, qu se puede hacer?, vamos a
ponernos manos a la obra y definir el camino a seguir para luchar contra
el delito informtico.
Lo primero que tienes que entender con absoluta claridad y aceptar
con total convencimiento es el hecho de que la seguridad es cara (hay otra
ms barata, pero es una seguridad bastante insegura), y que los beneficios
de la seguridad no se aprecian en situaciones normales sino tan slo cuando
sobrevienen los problemas.
Esto nos permite establecer el dcimo y ltimo gran principio:
Cuando no hay problemas nos quejamos de lo mucho que
estamos gastando en seguridad; pero cuando los proble-
mas llegan nos lamentamos de no haber invertido en ella
ms tiempo y ms dinero.
 EL DELITO INFORMTICO
144
Otro concepto que es necesario asumir es que la seguridad es un camino
sin retorno, por cuanto es necesario estar constantemente trabajando en
el mantenimiento de las condiciones existentes para que el nivel de seguri-
dad no se degrade.
La actualizacin permanente de las condiciones de seguridad viene mo-
tivada por el cambio constante de los factores que inciden en ella (nuevas
aplicaciones, cambios en la estructura de la red de comunicaciones, amplia-
ciones o cambios en el hardware, etc.)-
El concepto que a veces resulta ms difcil de asumir por los directivos
es el hecho de que la seguridad es una parte irrenunciable de sus responsa-
bilidades, y dado que la informacin constituye uno de los principales acti-
vos empresariales, la seguridad de la informacin es un problema que
deben afrontar les guste o no.
Por ltimo, dentro de este esquema de mentalizacin, que debe ser pre-
vio a la toma de decisin alguna, es necesario ser consecuente para una
vez iniciado el proceso de acometer un plan integral de seguridad inform-
tica en la empresa apoyarlo decididamente y no tirar la toalla a las prime-
ras de cambio, ya que, tened por seguro, resistencias las habr, y muchas.
No quiero dejar de resear uno de los casos ms frecuentes de fracaso
que se suelen dar en este campo: tratar de acometer el plan de seguridad
con medios exclusivamente internos.
Este campo es quizs uno de los ms claros en que es necesario utilizar
consultores externos, y las razones son mltiples:
1. Podra asegurar que no existe absolutamente ninguna empresa que
cuente en su plantilla con un experto en seguridad informtica (y cuando
digo experto me refiero a alguien que tenga experiencia prctica demostra-
da, no que haya ledo algn que otro artculo al respecto).
2. Para responsabilizarse de un plan de seguridad informtica es nece-
sario tener unos muy profundos conocimientos informticos, y paradjica-
mente no se debe estar bajo el control del departamento de informtica.
Existe en tu empresa algn informtico que no pertenezca a! departamen-
to de informtica?
3. An suponiendo que encontremos en la empresa este rara avis, ten-
dra el tiempo suficiente para dejar sus responsabilidades habituales y dedi-
carse por completo a estas actividades durante bastantes meses?
4. Adems de todas las circunstancias anteriores se precisa disponer
de unas metodologas de trabajo que posibiliten optimizar la dedicacin
del personal involucrado y la duracin de las tareas a desarrollar, la nter-
UN CAMINO DE ESPERANZA 145
accin entre actividades para obtener conclusiones fiables, la definicin de
la secuencia lgica de actividades, los criterios de evaluacin de riesgos, etc.
5. La experiencia acumulada de los consultores externos en la realiza-
cin prctica de trabajos similares es lo que les permite recomendar con
fiabilidad acciones correctoras cuya eficiencia ha sido comprobada ante-
riormente en circunstancias semejantes. (Aqu deberas emular a Eugenio
d'Ors cuando deca aquello de: Hijo mo, los experimentos con gaseosa).
Bien. Ya ests mentalizado y decidido a actuar. Eres consciente de que
el nico planteamiento serio es solicitar la colaboracin de consultores ex-
ternos. El problema ahora es identificar quin puede prestarte ese servicio.
Mi primer consejo (y solamente por esta vez, y sin que sirva de prece-
dente, no te lo voy a cobrar) es que extremes el cuidado al hacer tu elec-
cin, ya que una equivocacin en este punto puede hacer fracasar tus pro-
psitos y conducirte a ti, a tu empresa y a tus empleados a una situacin
de frustracin que retrase durante aos la consecucin de los objetivos que
te has marcado, sin contar la prdida econmica que pueda representar.
Algunas recomendaciones para elegir una firma consultora:
1. Haz una preseleccin de varias empresas especializadas en el tipo
de servicio que necesitas (no menos de tres y no ms de cinco).
2. Realiza un esfuerzo de concrecin y trata de poner por escrito la
definicin del problema que pretendes resolver y los objetivos que preten-
des cubrir.
3. Cita a las empresas preseleccionadas una a una y, sin darles ningu-
na informacin previa, pdeles que te expliquen con detalle cules son los
diferentes tipos de servicio que pueden prestarte en relacin con la seguri-
dad informtica.
4. A continuacin dales la descripcin de lo que pretendes hacer (tu
problema y tus objetivos). Si realmente no sabes cul es tu problema, tu
primer y principal objetivo ser que ellos te ayuden a definirlo.
5. Pdeles que te confeccionen una propuesta de prestacin de servi-
cios, estableciendo con absoluta rigurosidad que la persona que confeccio-
ne la propuesta y la discuta contigo debe ser la misma que posteriormente
realizar el trabajo, en el caso de que esa firma sea la adjudicataria, ya
que suele ser bastante frecuente que las firmas consultoras utilicen sus me-
jores hombres para confeccionar las propuestas y vender sus servicios, en-
viando posteriormente a profesionales bastante menos brillantes y con mu-
cha menos experiencia para efectuar el trabajo.
146 EL DELITO INFORMTICO
6. Exige que la propuesta contenga, como mnimo, lo siguiente:
a) Un programa de trabajo detallado al menos a dos niveles: activida-
des globales y tareas concretas.
b) Para cada actividad se deber detallar:
Objetivos a cubrir.
Tareas que comprende.
Descripcin del trabajo contenido en cada tarea.
Persona concreta de la firma consultora que la realizar.
Ayuda que se precisa del personal del cliente para la realizacin
de la tarea.
Duracin estimada por tareas y total de la actividad, as como
fechas previstas de comienzo y final.
Resultados concretos que se esperan obtener al final de la actividad.
c) Definicin exacta de los puntos de control que el cliente efectuar
sobre el trabajo que se est realizando y condiciones de rescisin si fuera
necesario.
d) Precio fijo y cerrado (siempre que sea posible) para el trabajo a
realizar, con indicacin expresa de si estn incluidos o no gastos, impues-
tos, etc.
e) Forma de pago equitativa para proteger los derechos de ambas partes.
O Nombres, apellidos e historiales profesionales de los consultores que
realizarn el trabajo, con indicacin de su titulacin acadmica, tiempo
que llevan en la empresa (es obvio que no debe aceptarse la participacin
de consultores que no sean de plantilla fija de la firma consultora), y expe-
riencias concretas en trabajos similares.
g) Referencias de clientes expresamente divididas en:
Referencias de ndole general (cualquier tipo de trabajo). Bastar
con el nombre de la empresa.
Referencias especficas de trabajos iguales al ofertado. Ser nece-
sario indicar nombre del cliente, direccin, telfono, persona de
contacto, fecha de realizacin y personal que lo efectu.
7. Es muy conveniente que formes un equipo de personas (no ms
de 3 o 4) de tu confianza para que te ayuden a seleccionar la empresa
consultora. Estas personas deben ser las que posteriormente colaborarn
con los consultores en la reahzacin prctica del trabajo.
UN CAMINO DE ESPERANZA 147
8. Analiza la propuesta que te han presentado y examina la coherencia
lgica del programa de trabajo que te proponen as como el grado de cum-
pHmiento con los objetivos que tu habas definido.
9. Pide una entrevista (o las que necesites) con las personas que van
a participar en el trabajo, con el fin de que, a travs de una profunda
discusin sobre las caractersticas del trabajo a realizar, las conozcas perso-
nalmente y puedas analizar cmo van a encajar en tu organizacin.
10. Es muy importante que dejes perfectamente definido (a ser posible
por escrito) el grado de dedicacin de cada consultor.
11. Ocpate de chequear personalmente las referencias que te han fa-
cilitado, tratando de obtener informacin de personas que estuvieron direc-
tamente involucradas en el trabajo a diferentes niveles, referente a grado
de satisfaccin del cliente, nivel profesional de los consultores, grado de
adecuacin de las recomendaciones que efectuaron, cumplimiento de pla-
zos, etc.
12. Una especial consideracin debe merecer valorar la adecuacin de
la empresa consultora en su conjunto, en aspectos tales como:
a) Tiempo que lleva establecida en Espaa. No te preocupe excesiva-
mente el hecho de que sea una empresa joven con tal de que la experiencia
profesional de sus hombres sea dilatada.
b) Cobertura geogrfica en relacin con tu empresa. Analiza si vas
a precisar soporte en otras localidades y si estn cubiertas por la empresa
de servicios, ya que en caso contrario el tiempo de respuesta ser bastante
dilatado y el costo se encarecer considerablemente como consecuencia de
los gastos de desplazamientos y estancias.
c) Nmero de empleados por categoras profesionales y titulacin aca-
dmica. Sin caer en la titulitis es innegable que para ciertos trabajos
se precisan, ineludiblemente, consultores con una profunda formacin y
especializadn, la cual es prcticamente imposible conseguir sin una for-
macin universitaria. No olvides analizar el porcentaje proporcional que
representa el equipo de personas que trabajar para ti en relacin con el
total de la empresa de servicios, lo que te puede dar una idea de las posibi-
lidades de sustitucin que existen en el caso de que sea necesario por inade-
cuacin o inadaptacin de los consultores, ceses repentinos, etc. Trabajar
con una empresa que te va a epviar los nicos tres consultores que tiene
puede ser una decisin temeraria.
d) Capital social desembolsado.
148 EL DELITO INFORMTICO
e) Principales grupos accionistas. Tanto el punto anterior como este
pueden darte una idea del tipo de empresa con la que vas a contratar
y de las garantas que te ofrece. No olvides que para montar una em-
presa de consultora basta que se renan tres amigos y alquilen un des-
pacho.
f) Facturacin total y si es posible por tipos de servicios. Compara
la facturacin total con el nmero de profesionales que dicen tener y anali-
za su coherencia. El ratio normal del sector se mueve entre cuatro y seis
millones por hombre y ao. Es conveniente que consideres tu importancia
relativa como cliente ante el que va a ser tu proveedor. Si tu contrato
supone el cincuenta por ciento de su facturacin anual es probable que
no puedan desarrollarlo por su excesiva dimensin; por el contrario si es
un contrato insignificante en relacin con su facturacin anual es probable
que te presten una escasa atencin. La facturacin por tipo de servicios
te dar una idea del nivel de especializacin que poseen y en dnde est
centrada su actividad.
g) Evaluacin de la estabilidad previsible en el mercado. Esta es una
conclusin que debers sacar como consecuencia de todos los puntos ante-
riores. No olvides que la continuidad es fundamental para ti puesto que
necesitars servicios y asesoramiento de forma recurrente, y el cambiar de
empresa consultora supone una prdida econmica por ineficiencias deriva-
das del desconocimiento de la realidad de tu empresa que se hace patente
durante al menos los dos primeros meses.
h) Grado de especializacin en relacin con el tipo de servicio que
se precisa. Tan absurdo es pedirle a una empresa especializada en CAD/CAM
que nos desarrolle un sistema de contabilidad general como pedirle a una
empresa de auditora un estudio de seguridad informtica. Desconfa de
las empresas que hacen de todo. A m me recuerdan esos Jvenes que ven-
den en el entreacto de los cines voceando: pipas, caramelos, avellanas,
chocolatinas.
i3. Por ltimo, establece las clusulas de garanta que consideres ne-
cesarias para la defensa de tus intereses, sin olvidar que los consultores
tambin tienen derecho a vivir. Es importante, y suele ser un factor deter-
minante del grado de seriedad de la firma consultora, que solicites te sea
mostrado si poseen un seguro de responsabilidad civil que pueda garantizar
la cobertura de perjuicios ocasionados con motivo del desempeo de su
actividad profesional, y te adjunten una fotocopia de la pliza junto con
la propuesta de servicios. Ni que decir tiene que dicho seguro, para que
149 UN CAMINO DE ESPERANZA 149
sea efectivo, debera cubrir al menos una cifra del orden de cien millones
de pesetas por siniestro unitario.
Despus de estos consejos sobre la eleccin de la empresa consultora
especializada en seguridad informtica que te va a ayudar, creo que puede
serte til que fijemos un programa ideal de actuacin que por supuesto
no es una receta de cocina que pueda aplicarse en cualquier momento,
en cualquier empresa y en cualquier situacin. No obstante creo que puede
ser ilustrativo de lo que podra englobar un Plan Integral de Seguridad
Informtica para una empresa tipo.
PRIMERA FASE
1. Diagnstico de seguridad.
Parece evidente que la primera medida a adoptar debe ser tomar con-
ciencia de cul es exactamente la situacin en la empresa en relacin con
los niveles de seguridad existentes en las actividades informticas. Es lo
que tambin suele llamarse un anlisis de riesgos.
No es mi objeto proporcionar en este libro una gua de trabajo para
efectuar un diagnstico de seguridad, por lo que quiero limitarme a sealar
que la finalidad primordial a conseguir es identificar los riesgos existentes
en la empresa, no slo riesgos fsicos sino lgicos, no slo dentro de la
sala del ordenador sino en todas las actividades relacionadas con la infor-
mtica, no slo en la explotacin normal de los trabajos mecanizados sino
en la confeccin del software de aplicacin, no slo en los aspectos de
prevencin del riesgo sino de su deteccin y correccin, y as hasta un largo
etctera.
Los riesgos detectados no deberan ser solamente riesgos puntuales y
aislados unos de otros, sino que lo importante es identificar reas de con-
centracin de riesgos, ya que stos suelen estar ntimamente interrelaciona-
dos, por lo que al actuar sobre algunos de ellos hay muchos otros que
se corrigen de forma automtica por un efecto de rebote.
No basta con identificar los riesgos, ya que lo importante es analizar
las causas que los provocan puesto que sobre ellas es sobre las que habr
que aplicar las medidas correctoras.
No todos los riesgos tienen igual importancia, puesto que sobre ellos
inciden dos factores esenciales que pueden condicionar considerablemente
EL DELITO INFORMTICO. 10
150 EL DELITO INFORMTICO

su verdadera magnitud. Estos factores son; la probabilidad de ocurrencia

y el dao potencial.
La probabilidad de ocurrencia de un suceso catastrfico es algo que
no puede predecirse, y que sin embargo debemos tratar de evaluar. No
es lo mismo tratar de actuar sobre un riesgo de terremoto en Espaa que
en Japn, ni previsiblemente tiene la misma probabilidad de ocurrir un
atentado terrorista en Italia que en Suiza. Por la misma razn no asignare-
mos la misma probabilidad a una inundacin que a un error de programa-
cin, ni a un incendio que al intento de introducir una transaccin falsa.
Es claro, por otra parte, que no ser el mismo perjuicio el que sufrire-
mos en caso de incendio que en el supuesto de un fallo humano de operacin.
Aun cuando existen diferentes procedimientos, suele ser suficiente para
el nivel de aproximacin requerido en estos estudios, utilizar tablas del tipo
de las recogidas en los grficos 10 y 11, con la salvedad de que la estima-
cin de la probabilidad de ocurrencia debern hacerla los expertos en tanto
que la evaluacin del dao potencial debern efectuarla los usuarios aseso-
rados por los consultores.
Por lo tanto, para encuadrar en su exacta dimensin los niveles de ries-
go que estamos asumiendo ser necesario aplicarles ambos factores y utili-
zar la siguiente frmula:
dao (pesetas)
exposicin =
probabilidad (aos)
Si aplicamos dicha frmula a los datos contenidos en el ejemplo del
grfico 12 comparando los resultados de los riesgos 1 y 3 observamos que
un suceso aparentemente trivial, como es un error humano, que hemos
estimado que ocurre como promedio treinta veces al ao y que cada vez
que sucede produce un dao muy pequeo, evaluado en treinta y cjnco
mil pesetas, provoca en la empresa una exposicin mayor que un riesgo
aparentemente mucho ms grande, cual es una catstrofe natural con una
probabilidad de ocurrencia de una vez cada cincuenta aos y con un dao
estimado de cincuenta millones.

Riesgo 1:
50.000.000
exposicin = = 1.000.000 ptas./ao
50 Grfico 10. Clasificacin de probabilidades
Riesgo 3:
35.0000
exposicin = = 1.050.000 ptas./ao
1/30

-i-,^rfeS&a--Sim^i;s22^^iE>^,
 2. Fallos de) hardware o del software 2 veces al ao 200.000

3. Error humano 30 veces al ao 3^.000

4. Daos intencionados vez cada 5 aos 5.000.000

5. Fraudes I vez cada 3 aos 10.000.000

6. Manipulacin de la informacin 2 veces al ao 400.000

Del orden de l.OOO.OOO.OOO pesetas

Grfico 12. Anlisis del riesgo potencial

Grfico 1 ! . Clasificacin de daos

 EL DELITO INFORMTICO
154
Baste este ejemplo para que seamos conscientes de que es necesario ser
rigurosos y dirigir muy bien los tiros de nuestras inversiones en seguridad
informtica, ya que es muy fcil dejarse impresionar por riesgos aparente-
mente muy importantes y menospreciar pequeos riesgos recurrentes que
causan grandes perjuicios econmicos a la empresa.
Quiero por ltimo resear que es muy importante evaluar la exposicin
total de la empresa, ya que la exposicin riesgo a riesgo no suele ser por
s misma significativa, y que en el caso de una instalacin con unas condi-
ciones muy deficientes de seguridad no merece la pena hacer una detallada
valoracin de riesgos que sera enormemente larga y poco representativa.
Lo que hay que hacer es actuar de inmediato.
2. Pan de acciones.
Un error muy frecuente en diagnsticos de seguridad de escasa calidad
es hacer corresponder a una Hsta de riesgos determinada un nmero igual
de acciones a tomar.
Generalmente, un conjunto de acciones concretas suelen solucionar un
conjunto de riesgos determinados. Es por esta razn que los riesgos no
deben ser una lista de situaciones inconexas sino agrupaciones lgicas que
se suelen denominar reas de concentracin de riesgos. Y sobre estas
reas es sobre las que se debe actuar.
Por ello, y una vez finalizado el diagnstico, se deber disear un plan
de acciones, para lo cual el primer paso ser analizar diferentes alterna-
tivas de solucin para cada rea de riesgo, basndose en la exposicin
antes citada y en una evaluacin coste/eficacia de las acciones a pro-
poner.
A ttulo orientativo, un plan de acciones suele englobar diferentes pla-
nes parciales o sectoriales, cada uno de los cuales aborda una de las reas
de riesgo identificadas, conteniendo un conjunto de acciones coherentes
y complementarias.
El tipo de acciones propuestas suele ser:
Acciones preventivas de ndole general, incluyendo polticas, procedi-
mientos y mtodos de trabajo que de forma general incrementan el nivel
de seguridad de la instalacin.
Acciones de prevencin orientadas a riesgos concretos detectados en
la instalacin, cuya finalidad primaria es minimizar la probabilidad de ocu-
rrencia del suceso.
UN CAMINO DE ESPERANZA 155
Acciones de deteccin dirigidas a poner de manifiesto la existencia
de situaciones anormales, bien sea para actuar de inmediato en el momento
de producirse o para permitir su posterior investigacin.
Acciones correctoras con el fin de minimizar el impacto de ocurrencia
de un suceso y sus consecuencias, ya sean econmicas o funcionales.
Acciones de recuperacin, para que en caso de que todas las medidas
de prevencin, deteccin y correccin no sean eficaces exista la posibilidad
de recuperar el servicio rpidamente a una situacin lo ms aproximada
posible a la normal.
SEGUNDA FASE
3. Implantacin del plan de acciones.
Es evidente que la puesta en prctica del plan de acciones es una labor
larga y costosa, por lo que deber ser planificada con detalle y realizada
con constancia.
El plan de acciones deber ser desglosado en diferentes actividades en
funcin del tiempo en que deban realizarse:
Acciones de carcter inmediato.
Acciones a corto plazo (menos de seis meses).
Acciones a medio plazo (de seis a doce meses).
Acciones a largo plazo (de doce a veinticuatro meses).
Tambin es conveniente prever la responsabilidad de la puesta en prcti-
ca del plan de acciones (personal interno, consultores externos o equipos
mixtos) y los recursos precisos (compra de dispositivos, programas de for-
macin, desarrollo de software, etc.).
4. Plan de continuidad.
Hoy en da no se concibe ninguna instalacin informtica seria que no
est preocupada por la continuidad del servicio informtico, especialmente
en aquellas actividades que precisan de dicho soporte de servicio para que
la empresa pueda seguir funcionando, como es por ejemplo el caso de la
banca.
Podramos definir el plan de continuidad como el esquema metodolgi-
co que define las acciones que deben tomarse, los recursos que deben utili-
zarse y los procedimientos que deben seguirse antes, durante y despus
156 EL DELITO INFORMTICO
de producirse un acontecimiento que paraliza la actividad informtica ms
de un plazo de tiempo determinado.
La recuperacin de un nivel de servicio aceptable en un plazo de aproxi-
madamente cuarenta y ocho horas en caso de destruccin de un gran centro
de proceso de datos, es una tarea total y absolutamente imposible si no
ha sido planificada hasta en sus ms mnimos detalles y el personal que
debe llevar a cabo la recuperacin no est perfectamente entrenado.
Quien no haya visto un plan de continuidad completamente redactado
o haya participado en su confeccin no puede hacerse una idea de la tre-
menda complejidad que conlleva su desarrollo, Sin embargo, es la nica
posibilidad de no caer en una situacin de total paralizacin en caso de
un desastre de proporciones extremas.
Para dar una somera idea de lo que hay detrs de un plan de continui-
dad puedo deciros que su plazo de confeccin no suele bajar de unos seis
meses, y que requiere una total cooperacin por parte del personal de la
empresa que, en definitiva, es quien tiene que responsabilizarse de su pues-
ta en prctica si algn hecho catastrfico llegara a producirse.
El personal de la empresa participa formando equipos que estn es-
pecializados y responsabilizados en tareas muy concretas, sin que bajo nin-
gn concepto deban ocuparse, en caso de desencadenarse el plan, de nada
que no sean sus responsabiHdades especficas.
Es, de alguna forma, un pequeo ejrcito con unas tareas muy clara-
mente definidas que tienen por objeto asegurar la continuidad del servicio
informtico como elemento imprescindible para la supervivencia de la
empresa.
De forma orientativa y muy general, los equipos que se forman y las
funciones que asumen son las siguientes:
a) Equipo de Direccin
Desencadena la puesta en marcha del plan y de los equipos de
recuperacin.
Decide la estrategia de recuperacin.
Coordina y dirige todas las actividades de recuperacin.
Decide sobre la conveniencia de recuperar sobre la ubicacin primaria
del centro de proceso de datos o en un lugar alternativo.
b) Equipo de Administracin
Asiste administrativamente los trabajos de recuperacin.
UN CAMINO DE ESPERANZA 157
Centraliza y coordina los requerimientos de telfono para los equipos
de recuperacin.
Provee de fondos al resto de los equipos.
c) Equipo de transporte
Coordina las necesidades y los medios de transporte para el personal
informtico, los soportes magnticos, el material fungible, etc.
Distribuye los hstados de salida a los usuarios.
Recoge del almacenamiento de back-up externo cualquier material ne-
cesario para el resto de los equipos.
d) Equipo del nuevo hardware
Planifica los requisitos de los equipos de respaldo y establece los ca-
lendarios de disponibilidades.
Acuerda con los suministradores del hardware el soporte necesario
para la nueva instalacin.
Mantiene permanentemente actualizada la situacin del hardware pa-
ra asegurar la funcionalidad del emplazamiento alternativo.
e) Equipo de soporte tcnico
Implementa, chequea y soporta el software del sistema en el emplaza-
miento alternativo.
Mantiene permanentemente actualizado el back-up de las libreras del
software del sistema.
Es responsable de la integridad del sistema hardware/software en su
conjunto.
Es responsable de la transportabilidad permanente del sistema operativo.
Es responsable de la seguridad de la informacin y del software en
la instalacin de emergencia.
f) Equipo de soporte de aplicaciones
Es responsable de la puesta en marcha de las aplicaciones en la insta-
lacin alternativa.
Mantiene permanentemente actualizado el back-up de las libreras de
aplicaciones en produccin.
Soporta cualquier problema relacionado con las aplicaciones en la
instalacin de emergencia.
Es responsable de la transportabilidad permanente de las apUcaciones.
158 EL DELITO INFORMTICO
g) Equipo de comunicaciones
Implementa y soporta la red de comunicaciones en la instalacin
alternativa.
Es responsable del reinicio del servicio en la nueva instalacin.
Asegura la funcionaUdad del conjunto lneas, modems, front-end y
software de comunicaciones.
h) Equipo de explotacin
Es responsable del reinicio de la explotacin en la instalacin alternativa.
Establece las necesidades de transporte desde el centro de back-up
externo.
Planifica el personal de explotacin y las tareas de acuerdo con el
esquema de prioridades previamente establecido.
i) Equipo de preparacin de datos
Prepara las transacciones de entrada para las apHcaciones en
produccin.
Establece los puntos en que se recopilarn las transacciones.
Planifica la recogida de transacciones dentro del esquema que permi-
ta la situacin.
Es responsable de alimentar las aplicaciones con datos de entrada
de acuerdo con el plan de prioridades previamente definido.
j) Equipo de control de produccin
Coordina y supervisa los resultados de explotacin para asegurar su
flabilidad antes de distribuirlo a los usuarios.
k) Equipo de relacin con usuarios
Coordina todas las actividades entre los usuarios e informtica.
Mantiene informados a los usuarios de cualquier retraso que sus siste-
mas hayan de sufrir.
1) Equipo de evaluacin
Realiza la primera evaluacin de los daos sufridos por el centro de
proceso de datos (edificio, hardware, suministros de energa, aire acondi-
cionado, librera de soportes magnticos, etc.)-
Presenta sus primeras conclusiones al equipo de direccin para ayu-
darle a determinar la estrategia de recuperacin.
Realiza una detallada evaluacin de la situacin.
UN CAMINO DE ESPERANZA 159
Presenta un informe con sus conclusiones para ayudar en la decisin
de reconstruir el centro de proceso de datos daado o construir otro en
un nuevo lugar.
11) Equipo de salvamento
Coordina las operaciones de salvamento de personas y materiales en
el centro de proceso de datos afectado.
Determina qu materiales son recuperables y coordina su traslado y
reparacin.
Contacta con la compaa de seguros antes de iniciar las operaciones
de salvamento y recuperacin.
Una ltima consideracin: Un plan de continuidad mal planteado puede
agravar considerablemente las consecuencias de la catstrofe y no permitir
la recuperacin.
TERCERA FASE
5. Plan de revisin y actualizacin permanente.
Ya he dicho anteriormente que la seguridad, o si lo prefers la lucha
contra la delincuencia informtica, es una tarea permanente, en la que hay
que estar trabajando da a da, minuto a minuto, y para siempre. No s
si esta afirmacin os gusta o no, pero es un hecho incuestionable.
En consecuencia, una vez que hemos hecho el esfuerzo de actualizar
la situacin de seguridad en nuestra instalacin informtica debemos seguir
trabajando para que, cuando menos, se mantenga en el nivel que la hemos
colocado. Es por ello que debe establecerse un plan de revisin y actuaza-
cin permanente que permita cumplir los siguientes objetivos:
a) Evitar el deterioro de las medidas de seguridad que se han estableci-
do como consecuencia de la puesta en prctica del plan de acciones.
b) Consecuentemente asegurar la eficacia de las inversiones efectuadas
en seguridad.
c) Chequear peridica y sistemticamente los niveles de seguridad exis-
tentes en la instalacin.
d) Detectar de forma preventiva reas de fraude o riesgo potencial
antes de que se produzcan consecuencias irreversibles.
e) Establecer de forma visible procedimientos disuasorios de cara
a potenciales defraudadores.
160 EL DELITO INFORMTICO UN CAMINO DE ESPERANZA 161

f) Investigar hechos sospechosos que puedan ocurrir y que supongan Mas si quieres hacer las cosas razonablemente bien tendras que consi-
indicios de situaciones anormales. derar que al igual que el gasto informtico hoy da no puede desvincularse
g) Proponer nuevas acciones como respuesta a nuevas situaciones, de los presupuestos generales de la empresa y que su importe total no pue-
h) Mantener actualizado el plan de continuidad para que sea operativo de ser analizado en su valor absoluto sino como un porcentaje relacionado
en el momento que se precise. con la facturacin total de la empresa, de igual forma el captulo destinado
a seguridad informtica debe considerarse un porcentaje del coste total del
Es evidente que las revisiones peridicas no pueden convertirse en algo servicio informtico.
rutinario, por lo que deben efectuarse sin periodicidad predeterminada, en Pero para ello lo primero que tendrs que hacer es reconfigurar el pre-
diferentes das de la semana y del mes, a distintas horas y sobre diferentes supuesto del departamento de informtica que en la mayor parte de las
funciones y reas de actividad. empresas no suele ser real, ya que generalmente tan slo incluye los costes
El ciclo normal suele ser entre tres y seis revisiones por ao, y es condi- de hardware, personal y algn otro ms, olvidando partidas muy importan-
cin indispensable que sea llevada a cabo siempre por los mismos consulto- tes como son la amortizacin del software de aplicacin (aun cuando fiscal-
res que conocen todas las caractersticas de la instalacin. mente no est aceptado), las asignaciones para formacin del personal, se-
Si tuviera que aventurar una idea del timing en que un plan integral guros, biblioteca tcnica y suscripciones, asistencias a congresos y semina-
de seguridad podra desarrollarse, y a expensas de que la dimensin y com- rios, servicios externos, material fungible, ocupacin de locales (la parte
plejidad de la instalacin informtica es la que reabnente condiciona los proporcional que corresponda), electricidad, telfono, el cargo por los
plazos, podra estimar el siguiente calendario: servicios prestados por otros departamentos (por ejemplo, administracin
y personal), etc.
PRIMERA FASE: Una vez que tengas claro cul es el coste real de los servicios informti-
duracin cos de tu empresa lo nico que tienes que hacer es asignar una partida
1. Diagnstico de seguridad 2 a 4 meses para seguridad informtica, cuyo importe anual ser una cantidad variable
2. Plan de acciones dependiendo de las condiciones de la instalacin, pero oscilando entre un
1 a 2 meses
3 y un 5 % del costo total informtico.
SEGUNDA FASE: Esto nos lleva a que en un hipottico ejemplo de una compaa del
sector distribucin en que un costo informtico razonable puede ser del
3. Implantacin del plan de acciones 1 a 2 aos orden de un 2 % de la facturacin total, si el volumen de negocio fuera
4. Plan de continuidad 6 a 8 meses 10.000 millones de pesetas el presupuesto informtico sera de unos 200
millones aos, y dentro de l debera existir una partida de unos 8 millones
TERCERA FASE; para seguridad.
5. Plan de revisin y actualizacin permanente, con Parece innecesario sealar que los primeros aos en que se empieza
permanente 3-6 revisiones/ao a trabajar en la seguridad informtica (las anteriormente definidas Primera
y Segunda Fase) no pueden considerarse dentro de los porcentajes estndar
Todava me falta escucharte la ltima pregunta: Cunto cuesta la segu- antes indicados, puesto que en esos primeros aos se concentran unos fuer-
ridad informtica?, o mejor an, cunto debo gastarme en seguridad tes gastos derivados de la puesta en marcha del plan integral de seguridad
informtica? informtica, por lo que los porcentajes citados se refieren a esquemas esta-
Si miras a tu alrededor y tratas de compararte a la mayora de las insta- bles, bsicamente centrados en la antes referida Tercera Fase.
laciones espaolas puedes estar seguro de que te va a salir muy barato, En cualquier caso, la consideracin ms importante que debes hacerte
ya que la mayora no asignan ni una sola peseta para seguridad en los es hasta qu punto ests decidido a correr riesgos y dnde est el punto
presupuestos informticos. de equilibrio de lo que puedes perder si no acometes un plan de seguridad
162 EL DEUTO INFORMTICO

y lo que ese plan te puede costar. Pero lo que bajo ningn concepto debe-
ras permitirte es engaarte a ti mismo tratando de implantar unas pseudo-
medidas de seguridad definidas de forma incoherente y por personas no
especializadas, salvo en el caso de que lo nico que pretendas sea justificarte
ante los dems.
A partir de aqu la pelota est en tu terreno. Me he pasado once cap-
tulos tratando de preocuparte ponindote de manifiesto un mundo gene-
ralmente desconocido para los directivos empresariales y he dedicado el
decimosegundo y ltimo a mostrarte el camino por donde avanzar para
solucionar esos problemas latentes que sin ninguna duda existen en tu
empresa.
La hora de nuestra despedida ha llegado, pero permteme un consejo
ms abusando del tiempo que me has dedicado: maana cuando llegues
a tu despacho llama a tu director de informtica y pdele su colaboracin
para abordar un plan integral de seguridad.
Dentro de unos aos te dars cuenta de que el tiempo y el dinero que
hayas invertido en dicho plan no slo te habrn evitado problemas mayo-
res, sino que, y esto s que es importante, te habrn permitido dormir tran-
quilo, lo que en definitiva es la mejor vacuna contra el infarto.
No crees que es una buena razn para poner manos a la obra?