Documentos de Académico
Documentos de Profesional
Documentos de Cultura
U1 El Fraude y La Delincuencia Informatica PDF
U1 El Fraude y La Delincuencia Informatica PDF
Begoña Albizuri
albizuri@itam.mx
Instituto Tecnológico Autónomo de México
Palabras Clave: fraude informático, hackers, delincuencia informática, ética, deontología, jurisprudencia.
Resumen
Key Words: hackers, computer fraud, computer crime, ethics code, jurisprudence.
Abstract
The article analizes problems related to computer fraud and delinquency. In adition it
contributes a characterization of computer fraud and the hackers who perpetuate it.
The article argues and justifies the difficulty in the detection and proof of computer-
related crime. It concludes with the proposal of the need to develop an ethics code and
professional deontology for computer related issues, as the best way to avoid
computer fraud and crime, and thus collaborating in increasing the levels of security of
computer systems.
Artículo
Introducción
Las tecnologías muy dinámicas como la informática, rápidamente son objeto de la
posibilidad de su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de
regular jurídicamente las consecuencias y las responsabilidades.
Para tipificar las nuevas posibilidades de delinquir a raíz de la aparición de una nueva
tecnología ubicua y multiforme como la informática, se requieren esfuerzos conjuntos
de parte de la justicia y la propia informática. Esto conduce a la formulación de
discursos en los que cada parte utiliza un lenguaje especializado y claramente
diferenciado entre sí.
Los juristas disponen de un vocabulario técnico propio que para los informáticos resulta
extraño. Al mismo tiempo los informáticos son conocidos por el carácter tal vez
exageradamente críptico de su vocabulario técnico que, evidentemente, también resulta
http://www.revista.unam.mx/vol.3/num2/art3/# 1/14
20/10/2014 RDU
desusado para los juristas. La dificultad para aproximar conceptos formulados con
vocabularios distanciados, es uno de los problemas implícitos en el tratamiento de
temas como el delito y el fraude informático.
En el presente trabajo se tratan los temas del delito y el fraude informáticos desde el
punto de vista de un informático, intentando reducir la especificidad del propio lenguaje
técnico para favorecer la comprensión de los lectores con formación jurídica.
El texto de la IFIP hace énfasis en tres ejemplos, que considera típicos sobre la
vulnerabilidad creciente de una organización social basada en forma casi absoluta en
las tecnologías de la información, la que denomina "sociedad de la información". Los
casos mencionados hacen referencia, por ejemplo, al colapso de la bolsa de Wall Street
el 19 de octubre de 1987. Algunos consideraron que se debió a la ágil respuesta de los
inversores ante los cambios de cotizaciones, gracias a programas informáticos que
incorporaban modelos esmerados del comportamiento del mercado de valores,
ayudados por la efectividad de los instrumentos de comunicación informatizados que ya
dominaban la bolsa. También es un caso evidente de vulnerabilidad los problemas
potenciales en los hospitales, cada vez más informatizados. Los errores o el mal uso de
los sistemas informáticos médicos o administrativos, pueden traer consecuencias
graves como el peligro de muerte. Berleur [BER 92] menciona también el problema,
cada vez mayor, del intercambio electrónico de datos y "objetos" intangibles, y la
consideración del "documento electrónico".
Delito y Fraude
Cuando se habla de fraude y delincuencia informática, generalmente se hace referencia
a una manera muy genérica, ya que es muy difícil concretar el "delito informático"
como tal. A menudo se entiende el delito informático como aquella acción dolosa que
provoca un perjuicio a personas o entidades, en la que intervienen dispositivos o
programas informáticos (Castillo y Ramallo, 1989). Considerar una actividad como
delictuosa supone necesariamente que el posible delito ha sido establecido como tal en
las leyes de un país determinado (Vázquez y Barroso, 1993).
Algunos autores (Vázquez y Barroso, 1993•). limitan el fraude informático a los actos
fruto de la intencionalidad, realizados con la voluntad de obtener un beneficio propio y,
si es posible, provocar un perjuicio a alguien. Así, se puede hablar también de un tipo
de fraude informático no intencionado, producto de un error humano al utilizar un
sistema informático o por un defecto del hardware o el software. Este tipo de fraude es
conocido como "error informático". En el caso del error informático puede no haber un
beneficio directo para quien causa el funcionamiento erróneo del sistema informático,
pero sí un perjuicio a los otros usuarios o a los propietarios del sistema.
-Exactitud. Se requiere de una alta calidad en la información, para que los procesos de
toma de decisiones que se realizan con ella sean efectivos.
http://www.revista.unam.mx/vol.3/num2/art3/# 3/14
20/10/2014 RDU
-Acceso. Los permisos para el acceso a la información deben ser adecuados, pero
estrictamente controlados.
Para autores como Morris (1992•), estas exigencias jurídicas, convertidas para él en
derechos, son el marco de referencia para la ineludible generación de un componente
ético en la conducta profesional de los especialistas en sistemas de información. De
hecho, los especialistas son los que disponen de más poder para "maltratar" los
sistemas de información y atentar contra estos nuevos derechos básicos de la era de la
información.
En este sentido, algunos autores como Del Paso (1990) reconocen que la actividad
informática es muy vulnerable, por lo que defienden explícitamente el papel y la
función de los profesionales de la auditoria informática. Sintetizan en cinco grupos, más
o menos diferenciados, a la delincuencia informática:
-El hacking o "terrorismo lógico", que incluye los casos de vandalismo, terrorismo,
destrucción, etcétera, que provocan perjuicios. Son motivados por venganzas,
chantajes, sabotajes o un mal uso de la curiosidad intelectual, la cual caracterizó a los
primeros hackers o manipuladores no autorizados de sistemas informáticos.
Resulta fácil relacionar las cinco figuras delictuosas de Del Paso con los cuatro
derechos de Morris, pero lo que realmente interesa es constatar que algunas de estas
acciones ilícitas pueden estar ya recogidas en el derecho legislativo, aunque hayan sido
incluidas con independencia de la tipicidad exclusiva del hecho informático. Se trata, en
este caso, de una regulación por analogía que parece insuficiente para cubrir todas las
particularidades informáticas.
http://www.revista.unam.mx/vol.3/num2/art3/# 4/14
20/10/2014 RDU
De esta tipología tan difusa del modus operandi del fraude informático, se puede
http://www.revista.unam.mx/vol.3/num2/art3/# 5/14
20/10/2014 RDU
-Bombas lógicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando
rutinas ocultas (la bomba lógica). En cada ejecución de un programa, por ejemplo, al
llegar a un cierto valor, se ejecuta una operación destructiva. Es un procedimiento que,
regulado por una computadora o por un dato clave, se convierte en el más habitual de
los virus informáticos.
-Mirar sobre el hombro (shoulder surfing). Como su nombre lo indica, se trata de mirar
sobre el hombro de un operador autorizado, para seguir el movimiento de sus dedos
sobre el teclado cuando escribe su clave, con el fin de robársela.
Es fácil observar que la cantidad de métodos aumenta con el tiempo, así como el
ingenio, que nunca falta, de los interesados en cometer un fraude y delitos
informáticos.
Por eso la referencia a la docena de métodos mencionados por Parker será siempre
una tipología limitada, como, de hecho, lo será cualquier otra tipología, debido al
dinamismo de la informática y los hackers.
Dado que los sistemas telefónicos utilizan computadoras, los phreakers se convirtieron
en manipuladores no autorizados de los sistemas informáticos, pero en los años
sesenta y setenta aparece otro tipo de manipuladores no autorizados: los hackers.
El cambio de gran importancia que Parker introduce en su segundo libro sobre el delito
informático (Parker, 1983•), es precisamente la constatación de la pérdida de este
romanticismo. Las terribles consecuencias de las actividades de los hackers llevan a
Parker a abandonar una cierta épica romántica, perceptible en su primer libro (Parker,
1976), para dar una descripción menos sensacionalista de los delitos informáticos y sus
perpetradores, y abandonar definitivamente el tono de curiosidad intelectual propiciado
por una tecnología como la informática, mucho más nueva y sorprendente en los años
sesenta y setenta que ahora. El romanticismo desaparece del todo y los hackers pasan
a ser considerados como "gente fuera de la ley que provoca perjuicios a otros".
Como no podía ser menos, diccionarios como el de Raymond, escritos desde la óptica
del "buen hacker" de los años sesenta y setenta, no pueden evadir esta nueva acepción
del hacker, diciendo que es "un entrometedor malicioso que intenta descubrir
información sensible, escudriñando en los sistemas".
Es mucha la literatura que se puede encontrar sobre las actividades de los hackers,
pero cabe mencionar específicamente el trabajo de Clifford Stoll (1985) sobre la
utilización de hackers alemanes por parte de la KGB soviética, para intentar obtener
secretos militares norteamericanos. Este espionaje se consiguió explotando la
existencia de una "puerta falsa" en el sistema operativo del Lawrence Berkeley
Laboratories, del cual Stoll era el encargado provisional de supervisar. El resultado fue
que las investigaciones de Stoll, narradas casi como una novela policíaca y de una
manera muy amena, se encontraron con la desidia y el poco interés de los
responsables de las instituciones encargadas de administrar la seguridad de los
sistemas informáticos en Estados Unidos. Algunos libros (Clough and Mungo, 1992•*), y
http://www.revista.unam.mx/vol.3/num2/art3/# 8/14
20/10/2014 RDU
Hafner and Morkoff, 1991) se ocupan de este caso, proporcionando datos, tales como
los resultados de los juicios que se llevaron a cabo y que no se contemplan en el relato
de Stoll.
En Europa se dio el caso del programa de Christmas, desarrollado, según parece, por
un estudiante de Hannover, que se presentaba como una felicitación navideña
informatizada. El problema fue que mientras se mostraba el programa Christmas en la
pantalla del usuario, aquel buscaba su lista de correspondencia electrónica y enviaba
copias a todas las direcciones registradas en ella. Este es un claro ejemplo del "caballo
de Troya", en la denominación de Parker. Lo que posiblemente fue en un inicio una
broma, después de todo no maliciosa, se convirtió en un problema grave cuando,
después de superar la red informática de la Universidad Clausthal-Zellerfeld de
Hannover, llegó a la red del servicio de investigación europeo EARNET (European
Academic Research Network), para saturar finalmente la red VNET interna de IBM de
Europa, el 15 de diciembre de 1987. Algo que comenzó posiblemente como un juego,
acabó como un perjuicio grave en una compañía privada, que desde entonces se ha
visto obligada a implementar sistemas de seguridad que detecten la presencia de
programas indeseables para borrarlos automáticamente. Este es un ejemplo típico de
cómo la inconsciencia de un hacker puede producir un gran perjuicio.
Hay muchos más casos de actividades de los hackers. Se describen en los libros
(Clough and Mungo, 1992•••),y Hafner and Morkoff, 1991••). Lo más preocupante es el
crecimiento de los casos claramente orientados a la actividad delictuosa. Por poner un
ejemplo, recogido en (Clough and Mungo, 1992••••),, se puede mencionar el caso de
"Kyrie", Leslie Lynne Doucette, una canadiense que en 1989 administraba una red de
unos 150 hackers, especializados en obtener información sensible para ser utilizada en
la realización de robos. Les encontraron 118 tarjetas de crédito Visa, 150 de
MasterCard, 2 de American Express y 171 tarjetas de servicio telefónico de las
compañías ATT e ITT, así como 39 códigos de autorización de centrales telefónicas y
datos PBX. Todo un botín producto de una actuación claramente delictuosa de los
hackers.
Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms),
que no dependen de otros programas y son en sí mismos programas aislados y
autosuficientes, como sucedió, por ejemplo, en el caso del programa que Robert T.
Morris esparció por Internet a finales de 1988. Utilizando el término empleado por
Parker, también se puede hablar de los "caballos de Troya", como el caso del programa
http://www.revista.unam.mx/vol.3/num2/art3/# 9/14
20/10/2014 RDU
del estudiante de Hannover, que colapsó la red interna de IBM en Europa, o bombas
lógicas como la renombrada "Viernes 13", que se activa precisamente en esa fecha. A
ésta los periodistas la han hecho famosa.
A pesar de que se comenzó con un aura de romanticismo, de superación del reto que
ofrecía una nueva y prometedora tecnología, la realidad es que los hackers de hoy
pueden ser, de hecho dan indicios de que lo son, un grave problema público. Los
hackers que no son conscientes de la gravedad y el peligro de sus actos, consideran
sus acciones como un juego, mientras que los claramente conscientes de sus
conocimientos informáticos para robar información sensible o difundir programas
indeseables, forman el ejército de delincuentes informáticos potenciales que pueden
utilizar de mala manera las grandes posibilidades de una tecnología como la
informática.
-La falta de registros visibles que hacen más difícil y complicada la investigación de los
hechos.
- La posibilidad de alterar los programas y los datos, sin dejar prácticamente el más
mínimo rastro o pista que permita descubrir la alteración efectuada.
-La dispersión territorial de los puntos de entrada a los sistemas informáticos y, por
tanto, el aumento de los puntos de origen de los ataques de los hackers.
- La falta, aún más grave, de seguridad para con los propios operadores y el personal
técnico responsable de los sistemas, que pueden ser, también, perpetradores de
fraudes y delitos informáticos.
http://www.revista.unam.mx/vol.3/num2/art3/# 10/14
20/10/2014 RDU
Para detectar el fraude o el delito informático y, sobre todo, para obtener en forma
indiscutible las pruebas, es útil tener conocimientos técnicos que, como en el caso de la
auditoría informática, resultan difíciles, si no es que imposibles de obtener, a causa de
la variedad y multiplicidad de los sistemas informáticos existentes.
Para un especialista en auditoría informática como Del Paso (1990•), obligado a creer
en la efectividad final del proceso de auditoría en sistemas informáticos, la solución
parece consistir en dejarla en manos de los profesionales de esta vertiente moderna de
la auditoría y el control de sistemas.
- Dificultad para aceptar las pruebas en el ordenamiento jurídico actual, debido, por
ejemplo, a su incorporeidad.
Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad
es que una gran mayoría de los especialistas informáticos que han estudiado con
detalle el tema del fraude y la delincuencia informática, acaban coincidiendo en la
imposibilidad de que el derecho compile y regule todos los aspectos del delito
informático. Las posibilidades tecnológicas son muchas y cambiantes; las modalidades
de fraude aumentan día a día; el número y la capacidad de los hackers aumentan
también con la creciente difusión de la microinformática y los sistemas distribuidos, y
las características de la tecnología informática hacen especialmente difícil la detección
y la prueba de los delitos.
http://www.revista.unam.mx/vol.3/num2/art3/# 11/14
20/10/2014 RDU
Este es un panorama nada entusiasta, que ha llevado cada vez más a poner el acento
en la responsabilidad social de los profesionales de la informática que construyen los
sistemas. El llamamiento a la responsabilidad se centra en la necesidad de: no dejar
"puertas falsas"; proteger la información sensible; detectar "caballos de Troya" y
"bombas lógicas" que busquen introducirse en los sistemas; poner mucha atención en lo
que se desecha en la papelera; proteger las líneas de comunicación con los sistemas de
"encriptación", etcétera. En definitiva se trata de aumentar significativamente la
seguridad en los sistemas informáticos, para que resistan ante los inevitables intentos
de intrusión de toda clase de hackers.
Bibliografía
Castillo, María Cinta• y Ramallo, Miguel (1989) El Delito Informático, en Congreso sobre
"Derecho Informático", Universidad de Zaragoza, Junio.
[MAS 86] Mason Roger O. (1986) Four Ethical Issues of the Information Age. MIS
Quarterly, 10.
Morris A. B. (1992•) Ethics and Information Systems Practice, IFIP Transactions (A-13).
En: R. Aiken (ed.) Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 363-369.
Del Paso, Emilio (1990) La auditoria como medio de prevención frente al delito
informático. Revista ALI (Asociación de Licenciados en Informática), Madrid (14).
Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.
http://www.revista.unam.mx/vol.3/num2/art3/# 12/14
20/10/2014 RDU
Wasik, Martin (1992) Legal Control of IT Misuse: Limited Relevance of the Criminal Law,
IFIP Transactions (A - 13). Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 385-392.
[PAR 76] Parker, Donn B. (1976) Crime by Computer. New York: Charles Scribner's
Sons.
Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.
Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.
Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.
Parker, Donn B. (1983••) Fighting Computer Crime. New York: Charles Scribner's Sons.
Clough, Bryan and Mungo•, Paul (1992••) Approaching Zero•••. London••••: Faber &
Faber•*.•••••••••••
Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.
Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.
. Hafner, Katie and Markoff•, John (1991)•• Cyberpunk: Outlaws and Hackers on the
Computer Frontier. New York: A Touchstone Book, Simon & Schuster
Lundell, Allan (1989) Virus: the secret world of computer invaders that breed and
destroy. Chicago: Contemporary Books, Inc.
Parker, Donn B., Swope, Susan and Baker, Bruce N. (1990) Ethical Conflicts: in
Information and Computer science, technology and business, Q. E. D. Wellesley (MA):
Information Sciences.
http://www.revista.unam.mx/vol.3/num2/art3/# 13/14
20/10/2014 RDU
Johnson, Deborah G. (1985) Computer Ethics. Englewood Cliffs (NJ): Prentice Hall.
Forrester, Tom (1985) The Information Technology Revolution. Oxford: Basil Blackwell
Ltd.
Ermann M., David, William, Mary B. and Gutierrez, Claudio (1990) Computers, ethics, &
society. New York: Oxford University Press.
Parker, Donn B. (1983) Fighting Computer Crime. New York: Charles Scribner's Sons.
Forrester, Tom and Morrison•, Perry (1990) Computer Ethics: Cautionary Tales and
Ethical Dilemmas in Computing. Cambridge: MITPress (MA).
http://www.revista.unam.mx/vol.3/num2/art3/# 14/14