SEGURIDAD INFORMATICA Y CONDUCTAS DIGITALES LESIVAS
1.
Aspectos generales: (F.T)Ya hace tiempo que se ha iniciado la etapa de la llamada
REVOLUCION CIBERNÉTICA, en la que una segunda revolución industrial ha instaurado una nueva filosofía de la tecnología y de la organización del trabajo, mediante la creación continua de sistemas automatizados de información y control
[1] La información se configura como un bien de incuestionable valor, cuyo tratamiento automatizado tiene repercusión en múltiples ámbitos, sea económico, social por ejemplo en la empresa, se protege el interés económico del empresario en mantener la reserva de cierta información, por lo que no pueden desconocerse las innovaciones que esta provocando la inevitable incorporación de Internet al ámbito empresarial.
Del punto de vista económico y financiera, la información es un bien que, como otros bienes del negocio, tiene valor para una organización y consecuentemente necesita ser protegida en forma apropiada.
[2]Actualmente las empresas invierten grandes sumas de dinero para evitar el espionaje informático empresarial, pero que podemos entender por espionaje informático, en el derecho comparado podemos encontrarlo definido como Obtención, sin autorización, de los datos almacenados en un fichero a través de distintos mecanismos, siempre que el contenido del fichero tenga un valor económico, siendo el bien jurídico protegido en este caso el secreto empresarial, la información almacenada informáticamente que supone un valor económico para la empresa porque confiere al titular una posición ventajosa frente a terceros en el mercado y por secreto de empresa podemos entender aquella información relativa a la industria o a la empresa (aspectos industriales, comerciales o de organización) que conoce un número reducido de personas y que por su importancia el titular desea tenerla oculta
[3].
En nuestra legislación el delito de espionaje informático se encuentra en sus diversas modalidades contemplado en los artículos 2º y 4º de la Ley Nº 19.223, el artículo nos dice “El que con animo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él”. Análisis que se vera mas adelante. Pero también podemos encontrar otras amenazas que no solo significa apoderarse de secretos industriales, sino también el solo hecho de acabar con la competencia. Por ejemplo: un presidente de una empresa supuestamente ocasiono perdidas de dos millones de dólares a su competencia. De acuerdo con investigadores de la OPERACIÓN CYBERSLAM, un presidente de una empresa de televisión vía satélite con sede en Massachussets contrató a un hacker en Ohio para que atacara los portales de su competencia. El supuesto hacker luego empleo, aparentemente, a hackers en Luisiana, Arizona y Gran Bretaña para ayudar en el ardid. Los hackers usaron “bots” y “ computadoras zombi” para inundar y abarrotar portales específicos utilizando, en cierto punto, gusanos de Internet diseñados en Alemania. La Investigación de esta conspiración requirió la labor de fuerzas de orden publico de una gran variedad de jurisdicciones
[4]. Como podemos apreciar unas pocas personas pueden causar perjuicios económicos enormes o actuar como conductos de actividades ilegales masivas, ya que un solo hacker puede diseñar un virus de computadora que puede causar daños millonarios.
El espionaje no sólo queda circunscrito al ámbito empresarial, los mayores casos de espionajes se realizan a computadores personales confiados en la seguridad de nuestro hogar, sin saber lo que puede estar pasando por detrás mientras escribimos carta o terminamos algún trabajo pendiente, el siguiente ejemplo grafica parte de esta realidad, imagínese que una compañía estadounidense, “Lover Spy”, ofrece la forma de espiar a la persona deseada
[1] Morales Prats, F: La tutela penal de la Intimidad. Barcelona, 1984, pags 32.
[2] Principios de seguridad informática, Facultad Economía y Negocios U. De Chile, abril-octubre 2006.
[3] www.delitosinformaticos.com/10/2006/delitos/delitos-de –espionaje-por medios-informaticos.
[4] Comentario preparado del Secretario de Justicia de los Estados Unidos.
enviando una tarjeta postal electrónica, que se duplica en el sistema como un dispositivo oculto, se vende como una manera de poder saber que es lo que esta haciendo la pareja, o cualquier otra persona cercana. Su precio es de 89 dólares, y puede ser instalado hasta en cinco computadores. Esta información es posteriormente remitida a la persona que solicitó el servicio de espionaje.
La calificación penal de esta conducta difiere según el tipo de datos a los que se tiene acceso de manera no consentida o quién sea el sujeto pasivo de la acción delictiva.
La aparición en el mercado de nuevas técnicas y programas, difundidos en su mayor parte a través de Internet, posibilitan la recogida de información privada de un determinado usuario, sin dejar de mencionar aquellos programas que reconfiguran parámetros de los ordenadores aprovechándose del desconocimiento de las personas en el campo de las nuevas tecnologías. Existiendo diferentes técnicas para ello.
Las conductas digitales que puede adoptar un delincuente son innumerables, más aun que las conductas más destructivas perpetradas en Internet se fundamentan precisamente en la capacidad de que una persona, mediando una de sus identidades anónimas, vulnere passwords o introduzca virus, o imágenes de pornografía infantil.
Como bien señala E.Moron Lerma, en su libro Internet y Derecho Penal, “La sociedad digital ha fomentado el mito orwelliano del Big Brother” (La posibilidad de tener acceso a millones de bancos de datos y a millones de interlocutores puede suscitar una sensación de poder) por lo tanto surgen conflictos entre la privacidad de Internet ( privacidad informática) libertades publicas, y de seguridad a nivel nacional o mundial, encontramos un constante conflicto de intereses jurídicos, el autor nos dice “Esta reivindicación casi constante y con cariz alarmista de la privacy en la Red desvela la tensión existente entre los intereses en pugna, lógicas contrarias subyacentes a un conflicto histórico, robustecido por los avances tecnológicos y recrudecidos a raíz de los acontecimientos del 11-S. De una parte, la defensa de los derechos fundamentales y libertades públicas y, en concreto, el derecho a la intimidad; de otra, la necesidad estatal de proteger la seguridad nacional y, en consecuencia, la creciente ampliación de las capacidades de vigilancia en la lucha contra la criminalidad, dados los vertiginosos cambios que se suceden en las infraestructuras de telecomunicaciones, transfronteriza. Se trata de un conflicto, pues, que no puede ventilarse sin parar mientes en los excesos en que el ante citado interés en pugna puede concluir. En efecto, la incuestionable necesidad de velar por la defensa nacional y la seguridad publica puede facilitar paraguas, que cobijen solo propósitos de lucha contra el terrorismo o el blanqueo de dinero, sino también intolerables conductas de espionaje económico o irreparables atentados contra la privacidad de las personas. Todo lo dicho aconseja la verificación de una permanente tutela jurídica que garantice la salvaguarda de los derechos fundamentales en mayor medida vulnerables”
[1]
1.
Conceptos básicos (F.T)A fin de comprender cabalmente los nuevos riesgos a que nos encontramos sometidos en Internet, debemos tener presente algunos conceptos básicos de seguridad informática:
a)
Hacker: Experto en informática capaza de ingresar en sistemas de acceso restringido sin estar autorizado. El vocablo procede del verbo inglés "to hack" que se usaba para referirse a la técnica mediante la cual las computadoras de válvulas se arreglaban dándole golpes a su carcasa. Una traducción posibles es "arreglar a lo bestia".
Entre muchas clasificaciones están las White Hat, los que generalmente son los no delictivos, luego viene Blak Hat, el que generalmente es delictivo y Grey Hat, que son los reconvertidos por la empresa.
b)
Cracker: Persona que intenta de forma ilegal romper la seguridad de un sistema por diversión o interés, o bien persona que "piratea" programas o produce daños en sistemas o redes. Hackers mal intencionados también conocidos como "black hat hackers”.
c)
Script Kiddie: Un inexperto, normalmente un adolescente, que usará programas que se descarga de Internet para atacar sistemas.
d)
Tiger team: Equipos de hackers contratados por las empresas con el fin de probar la seguridad de sus sistemas informáticos.
3.
Amenazas informáticas. (F.T)
3.1
Los tipos de amenazas más conocidos[2] son:
a.
Fraude: Acto deliberado de manipulación de datos perjudicando a una persona física o jurídica que sufre de esta forma una perdida económica, logrando el autor un beneficio normalmente económico.
b.
Sabotaje: Acción con la que se desea perjudicar a una empresa entorpecimiento deliberadamente su marcha, averiando sus equipos, herramientas, programas, etc. El autor no logra normalmente beneficios económicos.
c.
Chantaje: Acción que consiste en exigir una cantidad de dinero a cambio de no dar a conocer información privilegiada o confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa.
[1] Ester Moron Lerma, 2002 (Navarra) España, Internet y Derecho Penal “Haking y otras conductas ilícitas”
[2] Tipos de amenazas según el Diplomado U. de Chile Facultad de Economía y Negocios, Profesor A. Fuentes de la Hoz.
a.
Suplantación (Identify Thief): Utilización de una clave por una persona no autorizada y que accese al sistema suplantando una identidad, de esta forma el intruso se hace dueño de la información, documentación y datos de otros usuarios.
b.
Virus: Código diseñado para introducirse en un programa, modificar o destruir datos, se copia automáticamente a otros programas para seguir su ciclo de vida.
[1]c.
Gusanos: Virus que se activa y transmite a través de la red, tiene como finalidad su multiplicación hasta agotar el espacio en el disco, considerado uno de los mas dañinos por producir un colapso de la red.
[2] Un gusano de Internet es un tipo especifico de gusano que aprovecha los medios que provee la red de redes para reproducirse a través de ella, su fin es replicarse a nuevos sistemas para infectarlos y seguir replicándose a otros equipos informáticos, pero lo que lo califica como un gusano de Internet es que aprovecha medios como el correo electrónico, IRC, FTP, y otros protocolos específicos o ampliamente utilizados en Internet.
[1] Virus: Conjunto de instrucciones, programáticas o de otro tipo que, merced a su capacidad de autoduplicarse, se propagan a través de redes y/o sistemas informáticos generando algún tipo de daño o molestia.
Virus de macro: Grupos de órdenes escritas con el lenguaje de macros de una determinada aplicación informática que se ejecutan única y exclusivamente sobre dicha aplicación y que se transmiten por medio de documentos.
Virus Polimorficos: Este tipo de virus tienen una cualidad muy importante: pueden cambiar de forma. Pero, ¿qué quiere decir que un programa informático, como un virus, pueda cambiar de forma? Lo que realmente hace el virus es copiarse en memoria, volver a compilarse tras cambiar su estructura interna, tal como nombres de variables, funciones, etc, y volver a compilarse, de manera que una vez creado nuevamente un espécimen del virus, es distinto del original. Existen virus de un polimorfismo avanzado que no sólo cambian variables y funciones sino mucho más, e incluso hay algunos nuevos tipos de virus polimórficos que son llamados metamórficos por su capacidad de cambiarse casi completamente creando una copia nueva de si misma, que puede no ser detectada por la mayoría de los antivirus. Para los fanáticos de los virus informáticos, los polimórficos son uno de los especimenes más interesantes dada su capacidad camaleónica.
[2] Worm: Gusano. Tipo de programa, similar a un virus, que se distribuye en red y tiene como objetivo afectar el funcionamiento de las computadoras a las que ingresa.
a. Caballos de Troya[1]: Virus que entra al computador y posteriormente actúa de forma similar a este hecho de la mitología griega. Enmascarados de alguna forma como un juego o similar, buscan hacer creer al usuario que son inofensivos, para realizar acciones maliciosas en su equipo. Estos troyanos no son virus ni gusanos dado que no tienen capacidad para replicarse por si mismos, pero en muchos casos, los virus y gusanos liberan troyanos en los sistemas que infectan para que cumplan funciones especificas, como, por ejemplo, capturar todo lo que el usuario ingresa por teclado (keylogger).La principal utilización de los troyanos es para obtener acceso remoto a un sistema infectado a través de una puerta trasera. Este tipo de troyano es conocido como Backdoor.
b.
Spam: El spam o correo no deseado, si bien no lo podemos considerar como un ataque propiamente tal, provoca hoy en día perdidas muy importantes en empresas y organismos.
c.
Denegación de servicio: Ataque Informático que consiste en la interrupción parcial o total de la operación de un sistema informático, mediante ataques específicos sobre los sistemas o por sobrecarga de los mismos.
d.
Phishing: Ataque que consiste en engañar a los usuarios de bancos u otros sitios web, mediante el envío de correos electrónicos que contienen links a sitios clonados y por ende falsos, de los sitios reales, con la finalidad de obtener claves de acceso a los sistemas y posteriormente realizar el fraude
[2].
e.
Ingeniería Social: Son una serie de practicas que buscan obtener información confidencial mediante la manipulación de usuarios legítimos de dicha información. Para eso utilizara como herramienta, el teléfono o Internet a fin de engañar a las personas para que revelen información sensible.
[1] Los troyanos son cualquier programa que ha modificado algún programador malicioso insertando un código adicional que va a ejecutar una función oculta no autorizada.
[2] Uno de los casos más conocidos se dio en Brasil, en el Banco Itaú. "Es el caso más famoso en América Latina. Lo que se hizo fue clonar la página del banco, creando una ficticia que lucía igual a la original. Luego se indujo a los usuarios a través de email para que validaran sus datos. La dirección también había sido falseada, para que pareciese legítima. Así, muchos clientes entregaron sus datos en bandeja de plata". (
http://www.mouse.cl/2004/guiaweb/07/12/index.asp).
C.F.T.O.
