20/10/2014 RDU

El Fraude y la Delincuencia Informática: Un Problema Jurídico y Etico

30 de junio del 2002 Vol.3 No.2

Begoña Albizuri
albizuri@itam.mx
Instituto Tecnológico Autónomo de México

Palabras Clave: fraude informático, hackers, delincuencia informática, ética, deontología, jurisprudencia.

Resumen

El presente artículo analiza la problemática referente al fraude y la delincuencia

informática. Asimismo, colabora en la caracterización del fraude informático y los
hackers ("entrometidos"), quienes se dedican a perpetrarlos. En el artículo se
argumenta y justifica la dificultad en la detección y la prueba del delito informático.
Finaliza con la propuesta de la necesidad de un código ético y una deontología
profesional propia de los informáticos, como la forma más adecuada para evitar el
fraude y la delincuencia informática, colaborando en el incremento de la seguridad de
los sistemas informáticos.

The Fraud and Computer Crime: a Legal and an Ethical Problem

Key Words: hackers, computer fraud, computer crime, ethics code, jurisprudence.

Abstract

The article analizes problems related to computer fraud and delinquency. In adition it
contributes a characterization of computer fraud and the hackers who perpetuate it.
The article argues and justifies the difficulty in the detection and proof of computer-
related crime. It concludes with the proposal of the need to develop an ethics code and
professional deontology for computer related issues, as the best way to avoid
computer fraud and crime, and thus collaborating in increasing the levels of security of
computer systems.

Artículo
Introducción
Las tecnologías muy dinámicas como la informática, rápidamente son objeto de la
posibilidad de su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de
regular jurídicamente las consecuencias y las responsabilidades.

Para tipificar las nuevas posibilidades de delinquir a raíz de la aparición de una nueva
tecnología ubicua y multiforme como la informática, se requieren esfuerzos conjuntos
de parte de la justicia y la propia informática. Esto conduce a la formulación de
discursos en los que cada parte utiliza un lenguaje especializado y claramente
diferenciado entre sí.

Los juristas disponen de un vocabulario técnico propio que para los informáticos resulta
extraño. Al mismo tiempo los informáticos son conocidos por el carácter tal vez
exageradamente críptico de su vocabulario técnico que, evidentemente, también resulta

http://www.revista.unam.mx/vol.3/num2/art3/# 1/14
20/10/2014 RDU

desusado para los juristas. La dificultad para aproximar conceptos formulados con
vocabularios distanciados, es uno de los problemas implícitos en el tratamiento de
temas como el delito y el fraude informático.

En el presente trabajo se tratan los temas del delito y el fraude informáticos desde el
punto de vista de un informático, intentando reducir la especificidad del propio lenguaje
técnico para favorecer la comprensión de los lectores con formación jurídica.

Un sistema de información es aquél que compila, almacena, procesa y distribuye

información. De hecho, los sistemas de información no son una novedad reciente. Se
puede decir que han existido siempre y en todo tipo de actividad humana, pero es
precisamente la potencialidad de su implementación basada en la tecnología
informática y en las comunicaciones electrónicas, lo que induce al planteamiento de
cuestiones como las que se abordan en este trabajo.

El número de veces que una tecnología es capaz de mejorar la función y el objetivo

encomendados, se conoce como "factor multiplicador de la tecnología". Los factores
multiplicadores de las tecnologías convencionales, a pesar de su gran potencialidad,
tienen un orden de magnitud limitado: 15 en el caso de la automoción, 150 en la
aviación y 1000 para la revolución industrial. El aspecto diferenciador de la tecnología
informática de los sistemas de información distribuidos, se encuentra en un factor
multiplicador muy grande que alcanza una magnitud del orden de billones, como
resultado de la conjunción sinérgica de la tecnología informática del procesamiento de
datos y la tecnología paralela de las comunicaciones informáticas. Ambas presentan,
individualmente, un factor multiplicador del orden de millones, ya que,
respectivamente, multiplican la velocidad "manual" del proceso y la comunicación de
datos por un factor del orden del millón.

Esta potencialidad, que implica el gran factor multiplicador de la tecnología informática,

se ha desarrollado en un periodo de tiempo francamente breve. Hace poco más de
sesenta años que hizo su aparición pública la primera computadora electrónica: la
ENIAC, presentada el 15 de febrero de 1941. El aumento en la potencialidad ha sido
significativamente grande con la miniaturización de los sistemas. Forester and Morrison
(1990) mencionan un ejemplo clásico: "si la automoción hubiese tenido un desarrollo
parecido, ahora se podría adquirir un Rolls Royce por menos de 15 dólares y, además,
este vehículo dispondría de una potencia comparable a la de un trasatlántico como el
'Queen Elizabeth' y sería capaz de recorrer un millón de kilómetros, unas 25 vueltas
alrededor del mundo, con sólo un litro de benzina. Todo un sueño que, de hecho, en el
ambiente informático es tecnológicamente posible".

Estas características particulares han propiciado el hablar de una revolución industrial

llamada "de las tecnologías de la información", que se manifiesta claramente en la
actividad cotidiana del mundo moderno. Textos como el de Forester and Morrison
(1990•) analizan y detallan algunas de las posibilidades y los problemas que presenta
esta revolución de las tecnologías de la información.

Paralelamente a la potencialidad que ofrece una tecnología transformadora como la

informática, surge también un crecimiento en los riesgos y los peligros, que son, en
cierta forma, proporcionales a la gran potencialidad de las tecnologías de la
información. Pero precisamente esta evolución tan rápida de la informática supone la
existencia de una inevitable separación temporal, esto, entre los aspectos informáticos
que se deben regular jurídicamente y el nacimiento de la ley que los regule y, lo que es
más importante y específico, la inevitable temporalidad de la justicia frente a las
nuevas tecnologías esencialmente cambiantes como la informática.

Anteriormente era frecuente entre los informáticos reflexionar sobre la vulnerabilidad

de una sociedad sometida a las posibilidades de las tecnologías de la información.
http://www.revista.unam.mx/vol.3/num2/art3/# 2/14
20/10/2014 RDU

Incluso instituciones como la IFIP (International Federation for Information Processing)

se preocuparon por el tema: en un congreso que realizó en 1992 se presentó el
material de base para el estudio sobre "riesgos y vulnerabilidad en una sociedad
artificial y basada en la información" [BER 92].

El texto de la IFIP hace énfasis en tres ejemplos, que considera típicos sobre la
vulnerabilidad creciente de una organización social basada en forma casi absoluta en
las tecnologías de la información, la que denomina "sociedad de la información". Los
casos mencionados hacen referencia, por ejemplo, al colapso de la bolsa de Wall Street
el 19 de octubre de 1987. Algunos consideraron que se debió a la ágil respuesta de los
inversores ante los cambios de cotizaciones, gracias a programas informáticos que
incorporaban modelos esmerados del comportamiento del mercado de valores,
ayudados por la efectividad de los instrumentos de comunicación informatizados que ya
dominaban la bolsa. También es un caso evidente de vulnerabilidad los problemas
potenciales en los hospitales, cada vez más informatizados. Los errores o el mal uso de
los sistemas informáticos médicos o administrativos, pueden traer consecuencias
graves como el peligro de muerte. Berleur [BER 92] menciona también el problema,
cada vez mayor, del intercambio electrónico de datos y "objetos" intangibles, y la
consideración del "documento electrónico".

Delito y Fraude
Cuando se habla de fraude y delincuencia informática, generalmente se hace referencia
a una manera muy genérica, ya que es muy difícil concretar el "delito informático"
como tal. A menudo se entiende el delito informático como aquella acción dolosa que
provoca un perjuicio a personas o entidades, en la que intervienen dispositivos o
programas informáticos (Castillo y Ramallo, 1989). Considerar una actividad como
delictuosa supone necesariamente que el posible delito ha sido establecido como tal en
las leyes de un país determinado (Vázquez y Barroso, 1993).

Puesto que la legislación sobre delitos informáticos es todavía muy limitada en la

mayoría de los países, es común evitar hablar precisamente de "delito informático" y
referirse al "fraude informático", o más genéricamente a "delincuencia informática".
Independientemente del término que se utilice, entendemos el fraude como aquella
conducta realizada mediante un sistema informático con la que se busca conseguir un
beneficio ilícito.

Algunos autores (Vázquez y Barroso, 1993•). limitan el fraude informático a los actos
fruto de la intencionalidad, realizados con la voluntad de obtener un beneficio propio y,
si es posible, provocar un perjuicio a alguien. Así, se puede hablar también de un tipo
de fraude informático no intencionado, producto de un error humano al utilizar un
sistema informático o por un defecto del hardware o el software. Este tipo de fraude es
conocido como "error informático". En el caso del error informático puede no haber un
beneficio directo para quien causa el funcionamiento erróneo del sistema informático,
pero sí un perjuicio a los otros usuarios o a los propietarios del sistema.

Nuevas Necesidades y Nuevos Planteamientos

Las actuales posibilidades que ofrece la sociedad de la información, exigen nuevas
respuestas en los aspectos ético y jurídico. Para Mason (1986)hay 4 puntos éticos
ineludibles, los cuales, según Morris (1992), se convierten en "los cuatro derechos
básicos relevantes en la era de la información":

-Privacidad. Hace referencia a la necesidad de proteger la información de un uso no

autorizado.

-Exactitud. Se requiere de una alta calidad en la información, para que los procesos de
toma de decisiones que se realizan con ella sean efectivos.

http://www.revista.unam.mx/vol.3/num2/art3/# 3/14
20/10/2014 RDU

-Protección. Se debe proteger el conocimiento que se almacena en las computadoras,

tanto los programas como los datos, es decir, los sistemas.

-Acceso. Los permisos para el acceso a la información deben ser adecuados, pero
estrictamente controlados.

Para autores como Morris (1992•), estas exigencias jurídicas, convertidas para él en
derechos, son el marco de referencia para la ineludible generación de un componente
ético en la conducta profesional de los especialistas en sistemas de información. De
hecho, los especialistas son los que disponen de más poder para "maltratar" los
sistemas de información y atentar contra estos nuevos derechos básicos de la era de la
información.

En este sentido, algunos autores como Del Paso (1990) reconocen que la actividad
informática es muy vulnerable, por lo que defienden explícitamente el papel y la
función de los profesionales de la auditoria informática. Sintetizan en cinco grupos, más
o menos diferenciados, a la delincuencia informática:

-El fraude informático, entendido como el uso indebido o la manipulación fraudulenta de

los elementos informáticos de cualquier tipo, que produce un beneficio ilícito.

-El hacking o "terrorismo lógico", que incluye los casos de vandalismo, terrorismo,
destrucción, etcétera, que provocan perjuicios. Son motivados por venganzas,
chantajes, sabotajes o un mal uso de la curiosidad intelectual, la cual caracterizó a los
primeros hackers o manipuladores no autorizados de sistemas informáticos.

-Las acciones físicas realizadas contra la integridad de los sistemas informáticos.

-Atentar contra el derecho a la integridad de las personas, gracias a la existencia de

bases de datos informatizadas y las posibilidades que presenta la misma informática
para vulnerar los, a menudo, escasos sistemas de seguridad operativa.

- Atentar contra la propiedad intelectual informática que, de forma exageradamente

simplificada, se llama coloquialmente "piratería del software", olvidándose de la
posibilidad de una equivalente piratería del hardware que, de hecho, corresponde a un
caso típico de espionaje industrial.

Resulta fácil relacionar las cinco figuras delictuosas de Del Paso con los cuatro
derechos de Morris, pero lo que realmente interesa es constatar que algunas de estas
acciones ilícitas pueden estar ya recogidas en el derecho legislativo, aunque hayan sido
incluidas con independencia de la tipicidad exclusiva del hecho informático. Se trata, en
este caso, de una regulación por analogía que parece insuficiente para cubrir todas las
particularidades informáticas.

Internacionalización de los Problemas del Derecho Informático

Las redes de computadoras y su alcance internacional permiten la difusión de
programas, datos y, en definitiva, sistemas que sobrepasan las fronteras de los países.
Esta es la razón por la que resulta de gran utilidad atenerse a los resultados del
derecho comparado en el ámbito internacional, en concreto al que hace referencia a los
aspectos informáticos. En este sentido cabe destacar los trabajos de Sieber, 1986, y
Sieber, 1990, por ejemplo, o estudios puntuales sobre leyes concretas, como el que
hace Wasik (1992) sobre "el acto de abusar de la informática" .

El trabajo de Sieber establece como un aspecto importante el hecho de que los

sistemas informáticos ya no sean tratados como objetos físicos, ya que son el soporte
de objetos que no tienen una realidad física, como es la información y su distribución.

http://www.revista.unam.mx/vol.3/num2/art3/# 4/14
20/10/2014 RDU

Sieber sugiere que el cambio de paradigma que representa el paso de objetos

corpóreos a incorpóreos, justifica la necesidad de leyes específicas propias de la
informática. En este sentido Sieber, como un resultado de su trabajo sobre el derecho
comparado, opina que "el régimen legal para la información no se puede derivar por
analogía de las reglamentaciones de los objetos corpóreos". Sieber se concentra en la
especificidad de la información y las tecnologías que están asociadas, para así
renunciar a la posibilidad de tratar legalmente el factor informático: la utilización por
analogía de las leyes ya existentes sobre el hurto, la protección de la propiedad, el
vandalismo, etcétera.

De hecho, los estudios realizados sobre legislación comparada marcan claramente

estas dos tendencias en el tratamiento legal del aspecto informático: leyes específicas
o la aplicación analógica de leyes ya existentes. En realidad, las dos opciones no
parecen ser excluyentes una de la otra y, de hecho, se proporcionan conjuntamente en
el ordenamiento legal de diversos países. A pesar de todo, es fácil estar de acuerdo
con Sieber. Aunque la incorporación de los objetos informáticos y las diferentes
características de la información en las leyes provoca sólo una disputa entre muchos,
cabe pensar en la necesidad de leyes específicas para tratar en forma adecuada el
fraude y la delincuencia informática.

Es importante tomar en cuenta que, tal y como ha sucedido varias veces, la

potencialidad de las tecnologías de la información; el carácter revolucionario de su
impacto en las organizaciones sociales; el dinamismo propio de la informática, y la
multiplicidad de formas que pueden tener el fraude y la delincuencia informática, hacen
prácticamente imposible esperar que la jurisprudencia responda completamente a todas
las modalidades de fraude y delitos informáticos. Por eso, como sucede en otras
profesiones de gran incidencia social, se debe contar, por el bien de la sociedad, con un
código completo, ético y deontológico, que gobierne la actuación de los profesionales
informáticos y, de hecho, evite gran parte del peligro de fraude que ofrecen las nuevas
tecnologías de la información.

Tipología del Fraude Informático

Cuando se menciona el fraude informático resulta habitual hacer referencia a los

trabajos de Donn B. Parker, jefe consultor del SRI (Stanford Research Institute). Parker
estudia el tema del fraude y la delincuencia informática desde los años setenta,
ateniéndose a lo que él nombra "cuatro dimensiones" del problema, que sintetiza en:

-El modus operandi;

-La tipología de los autores de los fraudes informáticos;

- Los problemas éticos asociados, y

-Los precedentes legales ya existentes y la legislación todavía pendiente sobre este

asunto.

El tratamiento de las dos primeras "dimensiones" del problema es desarrollado por

Parker en su primer libro sobre delitos informáticos (Parker, 1976). El texto de 1983
(Parker) utiliza una perspectiva histórica para profundizar en el análisis de las dos
últimas "dimensiones". Por ser este trabajo el pionero en la materia, se le ha dado una
gran difusión y además una justificación, porque a menudo tal vez se haga referencia a
él aun sin citar el origen. También explica la existencia de trabajos que pretenden
complementar su estudio, dando nuevas aportaciones sobre el método de detección del
fraude o las evidencias que pueden sugerir su presencia (Agenda Hispamex, 1981).

De esta tipología tan difusa del modus operandi del fraude informático, se puede
http://www.revista.unam.mx/vol.3/num2/art3/# 5/14
20/10/2014 RDU

remarcar su aspecto coyuntural y la necesidad evidente de actualizarse continuamente,

para considerar las nuevas técnicas que el dinamismo de la tecnología informática
produce en los nuevos sistemas.

Las principales formas de fraude informático que Parker consideraba se realizaban

hasta 1983, son:

-Introducción de datos falsos (data diddling). Consiste en la manipulación fraudulenta

de las transacciones de entrada a un sistema informático, al introducir movimientos
falsos o eliminar la entrada de operaciones reales.

-Caballo de Troya (Trojan horse). En un programa normal se incluyen una serie de

instrucciones no autorizadas, que actúan, en ciertos casos, de forma diferente en
aquello que había sido previsto, evidentemente, en beneficio del autor o para sabotear
al usuario.

-Técnica del salami (salami technique). Consiste en pequeñas manipulaciones que,

sumadas, hacen un gran fraude. Es habitual citar en este punto el no demostrado y casi
mítico caso de la desviación fraudulenta de centavos en transacciones bancarias o
nóminas.

-Uso no autorizado de programas especiales (superzapping). Hace referencia a la

utilización no autorizada de cualquier programa para alterar datos y resultados, u
obtener información. El nombre en inglés de este tipo de fraude deriva de un conocido
programa de servicio de ciertos sistemas de IBM: "superzap".

- Puertas falsas (trap doors). Consiste en hacer "agujeros" y defectos en la seguridad

de los sistemas y las "entradas especiales", que generalmente, con aspecto de
provisionalidad, poseen los programas para hacer más ágil su proceso de prueba y
depuración, y permitir que la instalación de la versión definitiva sea exitosa.

-Bombas lógicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando
rutinas ocultas (la bomba lógica). En cada ejecución de un programa, por ejemplo, al
llegar a un cierto valor, se ejecuta una operación destructiva. Es un procedimiento que,
regulado por una computadora o por un dato clave, se convierte en el más habitual de
los virus informáticos.

- Ataques asíncronos (asynchronous attacs). Se aprovecha la posibilidad que tiene el

sistema operativo de volver a inicializar el sistema en condiciones diferentes a las
autorizadas, como por ejemplo en ciertos puntos de recuperación del sistema. Un
ejemplo de un ataque asíncrono sería un programa que reproduzca la pantalla de
entrada en un sistema. Cuando el usuario proporciona su clave, se almacena esta
información en un archivo de la persona que está realizando el fraude. De esta manera
logra el acceso que le estaba prohibido.

-Recogida de información residual (scavengig). Consiste en aprovechar todo tipo de

desechos, como listados y manuales tirados en la papelera, que no han sido destruidos;
emplear el estado final de la memoria al finalizar la ejecución de un programa,
etcétera, para obtener información reservada y sensible.

- Divulgación no autorizada de datos reservados (data leakage). También incluye la

divulgación no autorizada de información secreta, obteniendo los datos por espionaje o
al adquirirlos de manera fraudulenta de información destinada a otra finalidad, como
por ejemplo del censo electoral, información médica, etcétera.

-Entrada a caballo (piggybacking and impersonation). Conocido también como

"ingeniería social", consiste, por ejemplo, en hacerse pasar por otra persona para
http://www.revista.unam.mx/vol.3/num2/art3/# 6/14
20/10/2014 RDU

conseguir información reservada.

- Intervención de líneas (wiretapping). Se intervienen las líneas de comunicación

informática para acceder o manipular los datos que por ellas circulan.

-Simulación y modelado de delitos (simulation and modeling). Se utiliza una

computadora para planear y controlar un delito mediante técnicas de simulación, que
permiten ver qué pasaría si realmente se realiza el delito.

Diversos estudios sobre el comportamiento de los manipuladores no autorizados de los

sistemas informáticos (hackers), indican que van incorporando nuevas "técnicas", las
cuales, a veces, son nuevas o simplemente variaciones sobre algunos de los tipos
centrales y canónicos ya expresados por Parker.

Libros especializados en el comportamiento de los hackers (Skoll, 1985; Raymond,

1991; Hafner y Morkoff, 1991, y Clough y Mungo, 1992) o versiones casi periodísticas
de estudios sobre el fraude informático (Sneyers, 1990), mencionan nuevas
modalidades de fraude y delincuencia informática. Como ejemplo de algunas de éstas,
se puede mencionar:

-Exploración (scanning). Consiste en hacer una exploración secuencial para encontrar

los números telefónicos o las claves de usuario que permiten el acceso a la
computadora o a los sistemas informáticos reservados.

-Mirar sobre el hombro (shoulder surfing). Como su nombre lo indica, se trata de mirar
sobre el hombro de un operador autorizado, para seguir el movimiento de sus dedos
sobre el teclado cuando escribe su clave, con el fin de robársela.

-Buscar en la basura (dumpster diving). Es una nueva variante de la "recogida de

información residual" establecida por Parker. Se buscan en la basura los documentos
que no fueron destruidos y que contienen información sensible.

-Mistificación (spoofing). Es la nueva denominación que se le da a la anteriormente

llamada "ingeniería social", que permite obtener información con engaños y simulación
de personas.

Es fácil observar que la cantidad de métodos aumenta con el tiempo, así como el
ingenio, que nunca falta, de los interesados en cometer un fraude y delitos
informáticos.

Por eso la referencia a la docena de métodos mencionados por Parker será siempre
una tipología limitada, como, de hecho, lo será cualquier otra tipología, debido al
dinamismo de la informática y los hackers.

Hackers. Del Romance al Fraude

Si bien la tipología del modus operandi del fraude y la delincuencia informática de
Parker es bastante difusa, lo son mucho menos las otras "dimensiones" que, según los
especialistas indiscutibles en el tema, acompañan al fenómeno. Una es la que hace
referencia a las características de los autores de los fraudes informáticos: los hackers.
De hecho, el objetivo central del segundo libro de Parker, sobre los delitos informáticos
(Parker, 1983••), se centra en "la esencia del problema: la gente se dedica a delinquir
y no se preocupa de los instrumentos que va a utilizar".

Posiblemente todo comenzó con los phreakers, manipuladores no autorizados de las

líneas telefónicas norteamericanas de los años sesenta. La voluntad por utilizar
fraudulentamente las líneas telefónicas de la compañía telefónica Bell, la principal de
Estados Unidos, para lograr gratuitamente la posibilidad de hacer llamadas de larga
http://www.revista.unam.mx/vol.3/num2/art3/# 7/14
20/10/2014 RDU

distancia, estimuló la actividad de un grupo de jóvenes, que denominaron a su actividad

phreaking. Los phreakers tomaron su nombre de la conjunción de freak (suceso
anormal), phone (teléfono) y free (gratuito o libre). Se puede ver que ellos mismos
recogen en su nombre el carácter marginal de su actividad, que, inicialmente, podía
responder a objetivos posiblemente románticos de liberación de cierto servilismo de la
tecnología. Clough y Mungo (1992•) dan una descripción detallada de las actividades de
los phreakers.

Dado que los sistemas telefónicos utilizan computadoras, los phreakers se convirtieron
en manipuladores no autorizados de los sistemas informáticos, pero en los años
sesenta y setenta aparece otro tipo de manipuladores no autorizados: los hackers.

El atractivo innegable de hacer programas de todo tipo, provoca el surgimiento de

especialistas informáticos, jóvenes, decididos y, seguramente, con una gran curiosidad
intelectual, a quienes se les da el nombre de hackers. Según el diccionario de Raymond
(1991), hackers originalmente eran aquellas personas que "hacen muebles a golpe de
hacha". Además define al hacker, en la primera acepción, como "una persona que goza
explorando los detalles de los sistemas programables para extender sus capacidades,
oponiéndose a los usuarios que prefieren aprender sólo lo mínimo necesario". Esta es
una visión positiva y romántica del hacker que, desgraciadamente, ha evolucionado en
un sentido negativo, dando como resultado las terribles consecuencias de sus
actividades en la actualidad.

Con relación al sentido positivo típico de la primera actividad de los hackers, el

diccionario de Raymond cita como séptima acepción: "una persona que disfruta con el
reto intelectual de la creatividad para superar o esquivar limitaciones". Esta definición,
de nuevo, nos lleva a una visión romántica y positiva del hacker, que tendría más un
afán de conocimiento y superación de retos, actividades francamente muy atractivas
para los jóvenes que ahora adoptan el ejercicio creciente de los hackers. Así fueron,
seguramente, las condiciones para algunos de los primeros hackers de los bellos
tiempos, en los años sesenta y setenta.

El cambio de gran importancia que Parker introduce en su segundo libro sobre el delito
informático (Parker, 1983•), es precisamente la constatación de la pérdida de este
romanticismo. Las terribles consecuencias de las actividades de los hackers llevan a
Parker a abandonar una cierta épica romántica, perceptible en su primer libro (Parker,
1976), para dar una descripción menos sensacionalista de los delitos informáticos y sus
perpetradores, y abandonar definitivamente el tono de curiosidad intelectual propiciado
por una tecnología como la informática, mucho más nueva y sorprendente en los años
sesenta y setenta que ahora. El romanticismo desaparece del todo y los hackers pasan
a ser considerados como "gente fuera de la ley que provoca perjuicios a otros".

Como no podía ser menos, diccionarios como el de Raymond, escritos desde la óptica
del "buen hacker" de los años sesenta y setenta, no pueden evadir esta nueva acepción
del hacker, diciendo que es "un entrometedor malicioso que intenta descubrir
información sensible, escudriñando en los sistemas".

Es mucha la literatura que se puede encontrar sobre las actividades de los hackers,
pero cabe mencionar específicamente el trabajo de Clifford Stoll (1985) sobre la
utilización de hackers alemanes por parte de la KGB soviética, para intentar obtener
secretos militares norteamericanos. Este espionaje se consiguió explotando la
existencia de una "puerta falsa" en el sistema operativo del Lawrence Berkeley
Laboratories, del cual Stoll era el encargado provisional de supervisar. El resultado fue
que las investigaciones de Stoll, narradas casi como una novela policíaca y de una
manera muy amena, se encontraron con la desidia y el poco interés de los
responsables de las instituciones encargadas de administrar la seguridad de los
sistemas informáticos en Estados Unidos. Algunos libros (Clough and Mungo, 1992•*), y
http://www.revista.unam.mx/vol.3/num2/art3/# 8/14
20/10/2014 RDU

Hafner and Morkoff, 1991) se ocupan de este caso, proporcionando datos, tales como
los resultados de los juicios que se llevaron a cabo y que no se contemplan en el relato
de Stoll.

Otro caso famoso es el de Robert T. Morris y su programa, que se difundió y duplicó

varias veces, bloqueando Internet en Estados Unidos el 2 de noviembre de 1988. El
hecho curioso en este caso, y tal vez intrigante, es la relación familiar del autor de la
fechoría con Bob Morris, su padre, entonces director de la NCSC (National Computer
Security Center) norteamericana, encargada, precisamente, de la seguridad de los
sistemas informáticos de ese país. Se llegó a comentar que el ataque de Morris hijo a
la seguridad de Internet, podría estar relacionado con las repetidas peticiones de Morris
padre de reforzar la seguridad de la red. Obviamente y como era de esperarse, ambos
niegan dicha relación. Este caso está ampliamente descrito en Hafner and Morkoff,
1991•) y en (Clough and Mungo, 1992••,

En Europa se dio el caso del programa de Christmas, desarrollado, según parece, por
un estudiante de Hannover, que se presentaba como una felicitación navideña
informatizada. El problema fue que mientras se mostraba el programa Christmas en la
pantalla del usuario, aquel buscaba su lista de correspondencia electrónica y enviaba
copias a todas las direcciones registradas en ella. Este es un claro ejemplo del "caballo
de Troya", en la denominación de Parker. Lo que posiblemente fue en un inicio una
broma, después de todo no maliciosa, se convirtió en un problema grave cuando,
después de superar la red informática de la Universidad Clausthal-Zellerfeld de
Hannover, llegó a la red del servicio de investigación europeo EARNET (European
Academic Research Network), para saturar finalmente la red VNET interna de IBM de
Europa, el 15 de diciembre de 1987. Algo que comenzó posiblemente como un juego,
acabó como un perjuicio grave en una compañía privada, que desde entonces se ha
visto obligada a implementar sistemas de seguridad que detecten la presencia de
programas indeseables para borrarlos automáticamente. Este es un ejemplo típico de
cómo la inconsciencia de un hacker puede producir un gran perjuicio.

Hay muchos más casos de actividades de los hackers. Se describen en los libros
(Clough and Mungo, 1992•••),y Hafner and Morkoff, 1991••). Lo más preocupante es el
crecimiento de los casos claramente orientados a la actividad delictuosa. Por poner un
ejemplo, recogido en (Clough and Mungo, 1992••••),, se puede mencionar el caso de
"Kyrie", Leslie Lynne Doucette, una canadiense que en 1989 administraba una red de
unos 150 hackers, especializados en obtener información sensible para ser utilizada en
la realización de robos. Les encontraron 118 tarjetas de crédito Visa, 150 de
MasterCard, 2 de American Express y 171 tarjetas de servicio telefónico de las
compañías ATT e ITT, así como 39 códigos de autorización de centrales telefónicas y
datos PBX. Todo un botín producto de una actuación claramente delictuosa de los
hackers.

Otra actividad de los hackers es la creación y difusión de virus, ya bastante conocida y

divulgada en libros, como por ejemplo Lendell (1989) y (Clough and Mungo,
1992•••••),. El virus es una rutina o programa añadido a un programa normal, que al
ser ejecutado activa un virus que produce, por ejemplo, alguna acción destructiva en el
sistema sobre el que se está trabajando. Lo más importante y peligroso de un virus, de
ahí la similitud biológica y médica de su nombre, es su capacidad reproductiva para
infectar otras unidades de disco, difundiéndose rápidamente al amparo, por caso, de la
creciente piratería del software existente en el mundo de la microinformática.

Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms),
que no dependen de otros programas y son en sí mismos programas aislados y
autosuficientes, como sucedió, por ejemplo, en el caso del programa que Robert T.
Morris esparció por Internet a finales de 1988. Utilizando el término empleado por
Parker, también se puede hablar de los "caballos de Troya", como el caso del programa
http://www.revista.unam.mx/vol.3/num2/art3/# 9/14
20/10/2014 RDU

del estudiante de Hannover, que colapsó la red interna de IBM en Europa, o bombas
lógicas como la renombrada "Viernes 13", que se activa precisamente en esa fecha. A
ésta los periodistas la han hecho famosa.

Han surgido empresas y programas especializados en la detección y la lucha contra los

virus tan frecuentes en la microinformática. El texto de Clough y Mungo (1992••••••)
expone con detalle el tema de los virus, y pone una particular atención a lo que llama
"la fábrica búlgara" de virus y la actividad del hacker, conocida como Dark Avenger (el
vengador tenebroso).

A pesar de que se comenzó con un aura de romanticismo, de superación del reto que
ofrecía una nueva y prometedora tecnología, la realidad es que los hackers de hoy
pueden ser, de hecho dan indicios de que lo son, un grave problema público. Los
hackers que no son conscientes de la gravedad y el peligro de sus actos, consideran
sus acciones como un juego, mientras que los claramente conscientes de sus
conocimientos informáticos para robar información sensible o difundir programas
indeseables, forman el ejército de delincuentes informáticos potenciales que pueden
utilizar de mala manera las grandes posibilidades de una tecnología como la
informática.

El incremento de las medidas de seguridad en los sistemas informáticos, ha llegado a

convertirse en una nueva responsabilidad para los profesionales conscientes, por
desgracia no siempre muy abundantes en una profesión a menudo condicionada por la
celeridad y los requerimientos económicos en la instalación apresurada de nuevos
sistemas.

Investigación y Prueba del Fraude Informático

Desgraciadamente el fraude y la delincuencia informática, además de presentar una
gran variedad, resultan francamente difíciles de detectar y, aun más, de probar.

Hay características concretas de la tecnología que explican este aspecto típico de la

delincuencia informática. Castillo y Ramallo (1989•) indican una serie de factores, no
todos de igual importancia, como los que se indican a continuación:

- La concentración de la información, típica de la informática, que facilita en cierta

forma, por su localización centralizada, el hurto de datos, a pesar de que se piense que
con los modernos sistemas distribuidos esta característica resultará cada vez menos
importante.

-La falta de registros visibles que hacen más difícil y complicada la investigación de los
hechos.

- La posibilidad de alterar los programas y los datos, sin dejar prácticamente el más
mínimo rastro o pista que permita descubrir la alteración efectuada.

- La facilidad para eliminar las pruebas, simplemente haciendo desaparecer programas

y datos con una sencilla operación del teclado.

-La dispersión territorial de los puntos de entrada a los sistemas informáticos y, por
tanto, el aumento de los puntos de origen de los ataques de los hackers.

-La falta de controles internos y mecanismos de seguridad de la gran mayoría de los

sistemas informáticos, y su falta de protección frente a los ataques de los hackers.

- La falta, aún más grave, de seguridad para con los propios operadores y el personal
técnico responsable de los sistemas, que pueden ser, también, perpetradores de
fraudes y delitos informáticos.
http://www.revista.unam.mx/vol.3/num2/art3/# 10/14
20/10/2014 RDU

Estas son algunas de las características propias de la tecnología informática, que

permiten explicar la dificultad para detectar un fraude o un delito informático. Muchas
posibles soluciones a estos problemas, están condenadas a ser rápidamente superadas
por el dinamismo de la informática, así como por la evolución y el aumento de las
capacidades de intrusión de los hackers.

Para detectar el fraude o el delito informático y, sobre todo, para obtener en forma
indiscutible las pruebas, es útil tener conocimientos técnicos que, como en el caso de la
auditoría informática, resultan difíciles, si no es que imposibles de obtener, a causa de
la variedad y multiplicidad de los sistemas informáticos existentes.

Para un especialista en auditoría informática como Del Paso (1990•), obligado a creer
en la efectividad final del proceso de auditoría en sistemas informáticos, la solución
parece consistir en dejarla en manos de los profesionales de esta vertiente moderna de
la auditoría y el control de sistemas.

Seguramente no es ésta la única ni la mejor de las soluciones posibles para impedir,

detectar y probar el delito informático. Los problemas que el mismo Del Paso considera
como un presente inevitable, resultan difícilmente superables. Algunos de estos
problemas, son:

-Desaparición de los elementos de prueba, por el propio dinamismo del sistema

informático o como producto de una manipulación interesada.

- Aparente desvinculación temporal del delincuente informático con el delito o el

fraude, preparado con mucha antelación, ya que el hecho delictuoso puede presentarse
mucho tiempo después de haber sido preparadas, por ejemplo, las bombas lógicas
activadas temporalmente.

-Falta de conocimientos específicos entre los auditores informáticos o entre los

miembros del cuerpo de seguridad, sobre la forma de proceder en la detención del
delincuente y la obtención de pruebas.

-Falta de una legislación específica para el reconocimiento y la sanción del fraude y la

delincuencia informáticos.

- Dificultad para aceptar las pruebas en el ordenamiento jurídico actual, debido, por
ejemplo, a su incorporeidad.

- Posibilidad de que el delincuente forme parte del personal de la empresa u

organización investigadora, lo que le permita disponer de información sobre el
desarrollo de la investigación para interferir en la misma.

Como se puede observar, hay todo un conjunto de dificultades añadidas a un problema

de por sí difícil, complejo y con gran variabilidad y dinamismo.

Ética y Deontología Profesional

Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad
es que una gran mayoría de los especialistas informáticos que han estudiado con
detalle el tema del fraude y la delincuencia informática, acaban coincidiendo en la
imposibilidad de que el derecho compile y regule todos los aspectos del delito
informático. Las posibilidades tecnológicas son muchas y cambiantes; las modalidades
de fraude aumentan día a día; el número y la capacidad de los hackers aumentan
también con la creciente difusión de la microinformática y los sistemas distribuidos, y
las características de la tecnología informática hacen especialmente difícil la detección
y la prueba de los delitos.
http://www.revista.unam.mx/vol.3/num2/art3/# 11/14
20/10/2014 RDU

Este es un panorama nada entusiasta, que ha llevado cada vez más a poner el acento
en la responsabilidad social de los profesionales de la informática que construyen los
sistemas. El llamamiento a la responsabilidad se centra en la necesidad de: no dejar
"puertas falsas"; proteger la información sensible; detectar "caballos de Troya" y
"bombas lógicas" que busquen introducirse en los sistemas; poner mucha atención en lo
que se desecha en la papelera; proteger las líneas de comunicación con los sistemas de
"encriptación", etcétera. En definitiva se trata de aumentar significativamente la
seguridad en los sistemas informáticos, para que resistan ante los inevitables intentos
de intrusión de toda clase de hackers.

Comienza así un nuevo tema: la necesidad de incidir en la ética y la deontología

profesional de los informáticos que, otra vez, ha recibido un importante empuje con los
trabajos del pionero Parker, desde 1981, que ha seguido desarrollando posteriormente
él mismo con sus colaboradores Swope y Baker (1990), y otros autores como Johnson
(1985), Forrester y Morrison(1990), así como Ermann, William y Gutiérrez (1990), y
muchos más.

El problema, nada banal, es convencer a la comunidad profesional informática sobre la

necesidad de un comportamiento ético, serio y responsable, en su actividad profesional
cotidiana. Ya Parker (1983) resaltó su convencimiento de que de todas las posibles
medidas preventivas ante el fraude y la delincuencia informática, la más eficiente sería
que los profesionales informáticos acepten unos estándares éticos que les permitan
responder ante el reto que el fraude y la delincuencia informática representan por toda
la tecnología informática. La informática sin controles puede llegar a ser una tecnología
perjudicial para la sociedad que la utiliza.

En este sentido, es bueno destacar la buena respuesta institucional de las principales

asociaciones mundiales de profesionales de la informática: la IFIP (International
Federation for Information Processing) y la ACM (Association of Computing Machinery),
que están en proceso de elaborar y perfeccionar códigos éticos, que pueden ser una
guía en la actividad profesional de los desarrolladores de sistemas informáticos.

Bibliografía
Castillo, María Cinta• y Ramallo, Miguel (1989) El Delito Informático, en Congreso sobre
"Derecho Informático", Universidad de Zaragoza, Junio.

Vazquez, Jesús María y Barroso, Porfirio (1993) Deontología de la Informática

(esquemas). Madrid: Instituto de Sociología Aplicada.

[MAS 86] Mason Roger O. (1986) Four Ethical Issues of the Information Age. MIS
Quarterly, 10.

Morris A. B. (1992•) Ethics and Information Systems Practice, IFIP Transactions (A-13).
En: R. Aiken (ed.) Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 363-369.

Del Paso, Emilio (1990) La auditoria como medio de prevención frente al delito
informático. Revista ALI (Asociación de Licenciados en Informática), Madrid (14).

Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.

http://www.revista.unam.mx/vol.3/num2/art3/# 12/14
20/10/2014 RDU

Sieber, Ulrich (1990) General Report on Computer Crime, en 13th International

Congress of International Academy of Comparative Law, University of Bayreuth.

Wasik, Martin (1992) Legal Control of IT Misuse: Limited Relevance of the Criminal Law,
IFIP Transactions (A - 13). Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 385-392.

[PAR 76] Parker, Donn B. (1976) Crime by Computer. New York: Charles Scribner's
Sons.

(1981) Agenda HISPAMER. Madrid: Corporación Financiera, Edición Simancas.

Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.

Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.

Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.

Sneyers, Alfredo (1990) El fraude y otros delitos informáticos. Madrid: Tecnologías de

Gerencia y Producción, S.A..

Parker, Donn B. (1983••) Fighting Computer Crime. New York: Charles Scribner's Sons.

Clough, Bryan and Mungo•, Paul (1992••) Approaching Zero•••. London••••: Faber &
Faber•*.•••••••••••

Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.

Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.

. Hafner, Katie and Markoff•, John (1991)•• Cyberpunk: Outlaws and Hackers on the
Computer Frontier. New York: A Touchstone Book, Simon & Schuster

Lundell, Allan (1989) Virus: the secret world of computer invaders that breed and
destroy. Chicago: Contemporary Books, Inc.

Parker, Donn B., Swope, Susan and Baker, Bruce N. (1990) Ethical Conflicts: in
Information and Computer science, technology and business, Q. E. D. Wellesley (MA):
Information Sciences.

http://www.revista.unam.mx/vol.3/num2/art3/# 13/14
20/10/2014 RDU

Johnson, Deborah G. (1985) Computer Ethics. Englewood Cliffs (NJ): Prentice Hall.

Forrester, Tom (1985) The Information Technology Revolution. Oxford: Basil Blackwell
Ltd.

Ermann M., David, William, Mary B. and Gutierrez, Claudio (1990) Computers, ethics, &
society. New York: Oxford University Press.

Parker, Donn B. (1983) Fighting Computer Crime. New York: Charles Scribner's Sons.

Forrester, Tom and Morrison•, Perry (1990) Computer Ethics: Cautionary Tales and
Ethical Dilemmas in Computing. Cambridge: MITPress (MA).

http://www.revista.unam.mx/vol.3/num2/art3/# 14/14