DELITOS INFORMÁTICOS

CRISTIAN DAVID GÓMEZ FAJARDO

CÓDIGO: 232531

ING. ESMERALDA BETANCUR LÓPEZ

SERVICIO NACIONAL DE APRENDIZAJE

TECNOLOGÍAS DE LA INFORMACIÓN: GENERALIDADES Y CLASIFICACIÓN

LA PLATA HUILA, 30 ABRIL 2011

 Seguridad Informática

La seguridad informática es el área de la informática que se enfoca en la

protección de la infraestructura computacional y todo lo relacionado con esta
(incluyendo la información contenida). Para ello existen una serie de estándares,
protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los
posibles riesgos a la infraestructura o a la información. La seguridad informática
comprende software, bases de datos, metadatos, archivos y todo lo que la
organización valore (activo) y signifique un riesgo si ésta llega a manos de otras
personas. Este tipo de información se conoce como información privilegiada o
confidencial.

En términos generales, la seguridad puede entenderse como aquellas reglas

técnicas y/o actividades destinadas a prevenir, proteger y resguardar lo que es
considerado como susceptible de robo, pérdida o daño, ya sea de manera
personal, grupal o empresarial. En este sentido, es la información el elemento
principal a proteger, resguardar y recuperar dentro de las redes empresariales.

Los activos son los elementos que la seguridad informática tiene como objetivo
proteger. Son tres elementos que conforman los activos:

• La información contenida: Es el objeto de mayor valor para una

organización, el objetivo es el resguardo de la información,
independientemente del lugar en donde se encuentre registrada, en algún
medio electrónico o físico. Debe ser administrada según los criterios
establecidos por los administradores y supervisores, evitando que usuarios
externos y no autorizados puedan acceder a ella sin autorización. De lo
contrario la organización corre el riesgo de que la información sea utilizada
maliciosamente para obtener ventajas de ella o que sea manipulada,
ocasionando lecturas erradas o incompletas de la misma.

• La infraestructura computacional: La función en esta área es velar que

los equipos (Software, hardware y organización) funcionen adecuadamente
y prever en caso de falla planes de robos, fallas en el suministro eléctrico y
cualquier otro factor que atente contra la infraestructura informática.

• Los usuarios: Individuos que utilizan la estructura tecnológica y de

comunicaciones que manejan la información. Para minimizar los riesgos a
la información o infraestructura informática se deben establecer normas
como horarios de funcionamiento, restricciones a ciertos lugares,
autorizaciones, denegaciones, perfiles de usuario, planes de emergencia,
 protocolos y todo lo necesario que permita un buen nivel de seguridad
informática minimizando el impacto en el desempeño de los funcionarios y
de la organización en general y como principal contribuyente al uso de
programas realizados por programadores, el monitoreo de la infraestructura
de red, los enlaces de telecomunicaciones, la realización del respaldo de
datos y hasta el reconocimiento de las propias necesidades de seguridad,
para establecer los niveles de protección de los recursos. ya que más de 70
por ciento de las violaciones e intrusiones a los recursos informáticos se
realiza por el personal interno, debido a que éste conoce los procesos,
metodologías y tiene acceso a la información sensible de su empresa, es
decir, a todos aquellos datos cuya pérdida puede afectar el buen
funcionamiento de la organización.

Esta situación se presenta gracias a los esquemas ineficientes de seguridad con

los que cuentan la mayoría de las compañías a nivel mundial, y porque no existe
conocimiento relacionado con la planeación de un esquema de seguridad eficiente
que proteja los recursos informáticos de las actuales amenazas combinadas.

El resultado es la violación de los sistemas, provocando la pérdida o modificación

de los datos sensibles de la organización, lo que puede representar un daño con
valor de miles o millones de dólares.

Por vulnerabilidad entendemos la exposición latente a un riesgo. En el área de

informática, existen varios riesgos tales como: ataque de virus, códigos maliciosos,
gusanos, caballos de troya y hackers; no obstante, con la adopción de Internet
como instrumento de comunicación y colaboración, los riesgos han evolucionado
y, ahora, las empresas deben enfrentar ataques de negación de servicio y
amenazas combinadas; es decir, la integración de herramientas automáticas de
"hackeo", accesos no autorizados a los sistemas y capacidad de identificar y
explotar las vulnerabilidades de los sistemas operativos o aplicaciones para dañar
los recursos informáticos.

Específicamente, en los ataques de negación de servicio, el equipo de cómputo ya

no es un blanco, es el medio a través del cual es posible afectar todo el entorno de
red; es decir, anular los servicios de la red, saturar el ancho de banda o alterar el
Web Site de la compañía. Con ello, es evidente que los riesgos están en la red, no
en la PC.

Es por la existencia de un número importante de amenazas y riesgos, que la

infraestructura de red y recursos informáticos de una organización deben estar
protegidos bajo un esquema de seguridad que reduzca los niveles de
vulnerabilidad y permita una eficiente administración del riesgo.
Este tipo de políticas permitirá desplegar una arquitectura de seguridad basada en
soluciones tecnológicas, así como el desarrollo de un plan de acción para el
manejo de incidentes y recuperación para disminuir el impacto, ya que
previamente habremos identificado y definido los sistemas y datos a proteger.

Es importante tomar en consideración, que las amenazas no disminuirán y las

vulnerabilidades no desaparecerán en su totalidad, por lo que los niveles de
inversión en el área de seguridad en cualquier empresa, deberán ir acordes a la
importancia de la información en riesgo.

Así mismo, cada dispositivo que conforma la red empresarial necesita un nivel de
seguridad apropiado y la administración del riesgo implica una protección
multidimensional (firewalls, autenticación, \ antivirus, controles, políticas,
procedimientos, análisis de vulnerabilidad, entre otros), y no únicamente
tecnología.

Un esquema de seguridad empresarial contempla la seguridad física y lógica de

una compañía. La primera se refiere a la protección contra robo o daño al
personal, equipo e instalaciones de la empresa; y la segunda está relacionada con
el tema que hoy nos ocupa: la protección a la información, a través de una
arquitectura de seguridad eficiente.

Desde el punto de vista de soluciones tecnológicas, una arquitectura de seguridad

lógica puede conformarse (dependiendo de los niveles de seguridad) por: software
antivirus, herramientas de respaldo, de monitoreo de la infraestructura de red y
enlaces de telecomunicaciones, firewalls, soluciones de autentificación y servicios
de seguridad en línea; que informen al usuario sobre los virus más peligrosos.

Existen organismos oficiales encargados de asegurar servicios de prevención de

riesgos y asistencia a los tratamientos de incidencias, tales como
el CERT/CC (Computer Emergency Response Team Coordination Center)
del SEI (Software Engineering Institute) de la Carnegie Mellon University el cual es
un centro de alerta y reacción frente a los ataques informáticos, destinados a las
empresas o administradores, pero generalmente estas informaciones son
accesibles a todo el mundo.
 Delitos informáticos

Crimen genérico o crimen electrónico, que agobia con operaciones ilícitas

realizadas por medio de Internet o que tienen como objetivo destruir y
dañar ordenadores, medios electrónicos y redes de Internet. Sin embargo, las
categorías que definen un delito informático son aún mayores y complejas y
pueden incluir delitos tradicionales como el fraude, el robo, chantaje, falsificación y
la malversación de caudales públicos en los cuales ordenadores y redes han sido
utilizados por los hackers.

Los delitos informáticos se pueden clasificar en:

Spam: El Spam o los correos electrónicos, no solicitados para propósito

comercial, es ilegal en diferentes grados. La regulación de la ley en cuanto al
Spam en el mundo es relativamente nueva y por lo general impone normas que
permiten la legalidad del Spam en diferentes niveles. El Spam legal debe cumplir
estrictamente con ciertos requisitos como permitir que el usuario pueda escoger el
no recibir dicho mensaje publicitario o ser retirado de listas de email.

Fraude: El fraude informático es inducir a otro a hacer o a restringirse en hacer

alguna cosa de lo cual el criminal obtendrá un beneficio por lo siguiente:

1. Alterar el ingreso de datos de manera ilegal. Esto requiere que el criminal

posea un alto nivel de técnica y por lo mismo es común en empleados de
una empresa que conocen bien las redes de información de la misma y
pueden ingresar a ella para alterar datos como generar información falsa
que los beneficie, crear instrucciones y procesos no autorizados o dañar los
sistemas.

2. Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil de
detectar.

3. Alterar o borrar archivos.

4. Alterar o dar un mal uso a sistemas o software, alterar o reescribir códigos

con propósitos fraudulentos. Estos eventos requieren de un alto nivel de
conocimiento.

Otras formas de fraude informático incluye la utilización de sistemas de

computadoras para robar bancos, realizar extorsiones o robar información
clasificada.
Contenido obsceno u ofensivo: El contenido de un website o de otro medio de
comunicación electrónico puede ser obsceno u ofensivo por una gran gama de
razones. En ciertos casos dicho contenido puede ser ilegal. Igualmente, no existe
una normativa legal universal y la regulación judicial puede variar de país a país,
aunque existen ciertos elementos comunes. Sin embargo, en muchas ocasiones,
los tribunales terminan siendo árbitros cuando algunos grupos se enfrentan a
causa de contenidos que en un país no tienen problemas judiciales, pero sí en
otros. Un contenido puede ser ofensivo u obsceno, pero no necesariamente por
ello es ilegal.

Algunas jurisdicciones limitan ciertos discursos y prohíben explícitamente

el racismo, la subversión política, la promoción de la violencia, los sediciosos y el
material que incite al odio y al crimen.

Hostigamiento / Acoso: El hostigamiento o acoso es un contenido que se dirige

de manera específica a un individuo o grupo con comentarios derogativos a causa
de su sexo, raza, religión, nacionalidad, orientación sexual, etc. Esto ocurre por lo
general en canales de conversación, grupos o con el envío de correos electrónicos
destinados en exclusiva a ofender. Todo comentario que sea derogatorio u
ofensivo es considerado como hostigamiento o acoso.

Tráfico de drogas: El narcotráfico se ha beneficiado especialmente de los

avances del Internet y a través de éste promocionan y venden drogas ilegales a
través de emails codificados y otros instrumentos tecnológicos. Muchos
narcotraficantes organizan citas en cafés Internet. Como el Internet facilita la
comunicación de manera que la gente no se ve las caras, las mafias han ganado
también su espacio en el mismo, haciendo que los posibles clientes se sientan
más seguros con este tipo de contacto. Además, el Internet posee toda la
información alternativa sobre cada droga, lo que hace que el cliente busque por sí
mismo la información antes de cada compra.

Terrorismo virtual: Desde 2001 el terrorismo virtual se ha convertido en uno de

los novedosos delitos de los criminales informáticos los cuales deciden atacar
masivamente el sistema de ordenadores de una empresa, compañía, centro de
estudios, oficinas oficiales, etc. Un ejemplo de ello lo ofrece un hacker de Nueva
Zelandia, Owen Thor Walker (AKILL), quien en compañía de otros hackers, dirigió
un ataque en contra del sistema de ordenadores de la Universidad de
Pennsylvania en 2008.

La difusión de noticias falsas en Internet (por ejemplo decir que va a explotar una
bomba en el Metro), es considerado terrorismo informático y es procesable.

A continuación daré algunos ejemplos de delitos informáticos:

o Herbert Zinn, (expulsado de la educación media superior), y que operaba
bajo el seudónimo de «Shadowhawk», fue el primer sentenciado bajo el
cargo de Fraude Computacional y Abuso en 1986. Zinn tenía 16 y 17
cuando violo el acceso a AT&T y los sistemas del Departamento de
Defensa. Fue sentenciado el 23 de enero de 1989, por la destrucción del
equivalente a US $174,000 en archivos, copias de programas, los cuales
estaban valuados en millones de dólares, además publico contraseñas y
instrucciones de cómo violar la seguridad de los sistemas computacionales.
Zinn fue sentenciado a 9 meses de cárcel y a una fianza de US$10,000. Se
estima que Zinn hubiera podido alcanzar una sentencia de 13 años de
prisión y una fianza de US$800,000 si hubiera tenido 18 años en el
momento del crimen. Smith, David.

o Poulsen Kevin, Dark Dante: Diciembre de 1992 Kevin Poulsen, un pirata

infame que alguna vez utilizo el alias de «Dark Dante» en las redes de
computadoras es acusado de robar órdenes de tarea relacionadas con un
ejercicio de la fuerza aérea militar Americana. Se acusa a Poulsen del robo
de información nacional bajo una sección del estatuto de espionaje federal
y encara hasta 10 años en la cárcel.

Siguió el mismo camino que Kevin Mitnick, pero es más conocido por su
habilidad para controlar el sistema telefónico de Pacifica Bell. Incluso llegó
a «ganar» un Porsche en un concurso radiofónico, si su llamada fuera la
102, y así fue.

Poulsen también crackeó todo tipo de sitios, pero él se interesaba por los
que contenían material de defensa nacional. Esto fue lo que lo llevó a su
estancia en la cárcel, 5 años, fue liberado en 1996, supuestamente
«reformado». Que dicho sea de paso, es el mayor tiempo de estancia en la
cárcel que ha comparecido un hacker.

o Murphy Lan, Captain Zap: En julio de 1981 Lan Murphy, un muchacho de

23 años que se autodenominaba «Captain Zap», gana notoriedad cuando
entra a los sistemas en la Casa Blanca, el Pentágono, BellSouth Corp.
TRW y deliberadamente deja su currículum.

En 1981, no había leyes muy claras para prevenir el acceso no autorizado

a las computadoras militares o de la casa blanca. En ese entonces Ian
Murphy de 24 años de edad, conocido en el mundo del hacking como
«Captain Zap,».

Mostró la necesidad de hacer más clara la legislación cuando en compañía

de un par de amigos y usando una computadora y una línea telefónica
 desde su hogar viola los accesos restringidos a compañías electrónicas, y
tenía acceso a ordenes de mercancías, archivos y documentos del
gobierno. «Nosotros usamos los a la Casa Blanca para hacer llamadas a
líneas de bromas en Alemania y curiosear archivos militares clasificados»
Explico Murphy. «El violar accesos nos resultaba muy divertido». La Banda
de hackers fue finalmente puesta a disposición de la ley». Con cargos de
robo de propiedad, Murphy fue multado por US $1000 y sentenciado a 2 ½
años de prueba.

o Morris Robert: En noviembre de 1988, Morris lanzo un programa «gusano»

diseñado por el mismo para navegar en Internet, buscando debilidades en
sistemas de seguridad, y que pudiera correrse y multiplicarse por sí solo.
La expansión exponencial de este programa causó el consumo de los
recursos de muchísimas computadoras y que más de 6000 sistemas
resultaron dañados o fueron seriamente perjudicados. Eliminar al gusano
de sus computadoras causo a las víctimas muchos días de productividad
perdidos, y millones de dólares. Se creó el CERT (Equipo de respuesta de
emergencias computacionales) para combatir problemas similares en el
futuro. Morris fue condenado y sentenciado a tres años de libertad
condicional, 400 horas de servicio comunitario y US $10,000 de fianza, bajo
el cargo de Fraude computacional y abuso. La sentencia fue fuertemente
criticada debido a que fue muy ligera, pero reflejaba lo inocuo de las
intenciones de Morris más que el daño causado. El gusano producido por
Morris no borra ni modifica archivos en la actualidad.
 Leyes que castigan los delitos informáticos

En Colombia, la ley 1273 del 5 de enero de 2009, sancionada por el Presidente

Álvaro Uribe Vélez, por medio de la cual se modifica el Código Penal y se crea un
nuevo bien jurídico denominado ‘De la protección de la información y de los datos’,
se establece que el ciudadano que, con objeto ilícito y sin estar facultado para ello,
diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas
electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de 48 a
96 meses, y en multa de 100 a 1.000 salarios mínimos legales mensuales
vigentes, siempre que la conducta no constituya delito sancionado con pena más
grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de

nombres de dominio, de tal manera que haga entrar al usuario a una IP (Protocolo
de Internet) diferente, en la creencia de que acceda a su banco o a otro sitio
personal o de confianza

En su primer capítulo, la norma dicta medidas penales de los atentados contra la

confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas
informáticos.

La norma tiene en cuenta:

Acceso abusivo a un sistema informático: habla del acceso parcial o completo a un

sistema informático protegido o no con una medida de seguridad.

Obstaculización ilegítima de sistema informático o red de telecomunicación: quien

obstaculice el normal funcionamiento o acceso a un sistema informático o a una
red de telecomunicaciones.

Interceptación de datos informáticos: quien sin orden judicial previa intercepte

datos informáticos en su origen, destino o en el interior de un sistema informático,
o las emisiones electromagnéticas provenientes de un sistema informático que los
transporte.

Daño informático: quien destruya, dañe, borre, deteriore, altere o suprima datos
informáticos, o un sistema de tratamiento de información o sus partes o
componentes lógicos.

Uso de software malicioso: quien distribuya, venda, envíe, introduzca o extraiga

del territorio nacional software malicioso u otros programas de computación de
efectos dañinos.
Violación de datos personales: quien obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes.

Con esta reglamentación Colombia da un paso muy importante en este tema legal,
pero no se debe olvidar que en el mundo de la tecnología hay tanta dinámica, que
si con esta modificación del Código Penal no se consideran las posibles nuevas
modalidades que van a surgir y se permita que queden sin castigo, este proyecto
de ley quedará a medias. Es importante que sea lo suficientemente flexible para
poder acoger lo que viene en el futuro del cibercriminalismo. Si no lo es, en poco
tiempo quedará obsoleta.