"Si Ud. piensa que la tecnología puede resolver sus problemas de seguridad, entonces Ud. no entiende los problemas de seguridad y tampoco entiende la tecnología.” SCHNEIER
¿Qué es un delito Informático?
Es toda acción dolosa que provoca un perjuicio a personas o entidades en cuya comisión intervienen dispositivos habitualmente utilizados en las actividades informáticas. Es decir, cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjuicio, estafa y sabotaje, pero siempre que involucre la informática de por medio para cometer la ilegalidad.Tipos de Delitos Informáticos según la ONU:
1. Fraudes cometidos mediante manipulación de computadoras
- Manipulación de los datos de
entrada o sustracción de datos.
- La manipulación de programas: modificación de programas existentes en un sistema o la inserción de nuevos programas.
- Manipulación de los datos de salida.
- Fraude efectuado por manipulación informática: también llamado "técnica del salchicón", aprovecha las iteraciones automáticas de los procesos de cómputo.
- La manipulación de programas: modificación de programas existentes en un sistema o la inserción de nuevos programas.
- Manipulación de los datos de salida.
- Fraude efectuado por manipulación informática: también llamado "técnica del salchicón", aprovecha las iteraciones automáticas de los procesos de cómputo.
2. Manipulación de los datos
de entrada
- Como objeto: alteración de los documentos digitales.
- Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.
- Como objeto: alteración de los documentos digitales.
- Como instrumento: uso de las computadoras para falsificar documentos de uso comercial.
3. Daños o modificaciones de
programas o datos computarizados
- Sabotaje informático: acción de eliminar o modificar funciones o datos en una computadora sin autorización, para obstaculizar su correcto funcionamiento.
- Acceso no autorizado a servicios y sistemas informáticos.
- Reproducción no autorizada de programas informáticos de protección legal: Piratería.
El bien jurídico protegido en general es la información, pero esta considerada en diferentes formas; como el valor económico, el valor intrínseco de la persona, por su fluidez y tráfico jurídico y finalmente, por los sistemas que la procesan o automatizan los cuales se equiparan a los bienes jurídicos protegidos tradicionales tales como: - Sabotaje informático: acción de eliminar o modificar funciones o datos en una computadora sin autorización, para obstaculizar su correcto funcionamiento.
- Acceso no autorizado a servicios y sistemas informáticos.
- Reproducción no autorizada de programas informáticos de protección legal: Piratería.
Los bienes jurídicos protegidos en el Delito Informático:
- EL PATRIMONIO; en el caso de la amplia gama de fraudes informáticos y las manipulaciones de datos que da a lugar.
- LA RESERVA, LA INTIMIDAD Y CONFIDENCIALIDAD DE LOS DATOS; en el caso de las agresiones informáticas a la esfera de la intimidad en forma general, especialmente en el caso de los bancos de datos.
- LA SEGURIDAD O FIABILIDAD DEL TRÁFICO JURÍDICO Y PROBATORIO, en el caso de falsificaciones de datos o documentos probatorios vía medios informáticos.
- EL DERECHO DE PROPIEDAD, en este caso sobre la información o sobre los elementos físicos, materiales de un sistema informático, que es afectado por los de daños y el llamado terrorismo informático.
Por tanto el bien jurídico protegido, acoge a la confidencialidad, integridad, disponibilidad de la información.
Delitos Informáticos en el Perú
Definir cuando se comete un delito informático en muchas ocasiones puede ser objeto de debate entre aquellos que defienden la libertad de información en Internet y quienes están a cargo de garantizar la integridad y disponibilidad de los datos, pero ya son muchos los países donde está claro cuál es el límite, lamentablemente uno de ellos no es el Perú.
Toda una controversia debido a la Nueva Ley de Delitos Informáticos que tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal,cometidas con el uso de tecnologías de la información o de la comunicación, la misma que fue promulgada el martes 22 de Octubre del presente año, que rige en ya en nuestro país y que sanciona los siguientes ilícitos:
LEY DE DELITOS INFORMÁTICOS
- ACCESO ILÍCITO: Acceder sin autorización a todo o parte de un sistema informático vulnerando las medidas de seguridad establecidas.
Condena: 1 a 4 años de cárcel.
Condena: 1 a 4 años de cárcel.
- ATENTADO A LA INTEGRIDAD DE DATOS INFORMÁTICOS: Uso de las tecnologías de la información y la comunicación, para introducir, borrar, deteriorar, alterar, suprimir o hacer inaccesibles datos informáticos.
Condena: 3 a 6 años de cárcel y 80 a 90 días de multa.
Condena: 3 a 6 años de cárcel y 80 a 90 días de multa.
- ATENTADO A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS:Cuando se inutiliza total o parcialmente un sistema informático, impide el acceso, entorpece o imposibilita su funcionamiento o la prestación de sus servicios.
Condena: 3 a 6 años de cárcel y 80 a 120 días de multa.
Condena: 3 a 6 años de cárcel y 80 a 120 días de multa.
- PROPOSICIONES A NIÑOS, NIÑAS Y ADOLESCENTES CON FINES SEXUALES POR MEDIOS TECNOLÓGICOS: Contacto con un menor de catorce años para solicitar u obtener material pornográfico o llevar a cabo actividades sexuales con él.
Condena: 4 a 8 años de cárcel, inhabilitación según los numerales 1,2 y 4 del artículo 36 del Código Penal.
Condena: 4 a 8 años de cárcel, inhabilitación según los numerales 1,2 y 4 del artículo 36 del Código Penal.
- TRÁFICO ILEGAL DE DATOS: El que crea o utiliza base de datos sobre una persona natural o jurídica, identificada o identificable para comercializar, traficar, vender, promover, favorecer facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otra naturaleza.
Condena: 3 a 5 años de cárcel
Condena: 3 a 5 años de cárcel
- INTERCEPTACIÓN DE DATOS INFORMÁTICOS: El que a través de las TIC intercepta datos informáticos en transmisiones no públicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuados dentro del mismo incluidas en las emisiones electromagnéticas.
Condena: 3 a 6 años de cárcel
Condena: 3 a 6 años de cárcel
- FRAUDE INFORMÁTICO: El que a través de las TIC procura para sí o para otro un provecho ilícito en perjuicio de un tercero, mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación de un sistema informático.
Condena: 3 a 8 años y con 60 a 120 días de multa.
Condena: 3 a 8 años y con 60 a 120 días de multa.
- SUPLANTACIÓN DE IDENTIDAD: El que mediante las TIC suplanta la identidad de una persona natural o jurídica, siempre que dicha conducta resulte algún perjuicio.
Condena: 3 a 5 años de cárcel
Condena: 3 a 5 años de cárcel
- ABUSO DE MECANISMOS Y DISPOSITIVOS INFORMÁTICOS: El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización, uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático para la comisión de delitos según la Ley, preste servicio o contribuya a ese propósito.
Condena: 1 a 4 años de cárcel y 30 a 90 días de multa.
Condena: 1 a 4 años de cárcel y 30 a 90 días de multa.
Y como se puede
evidenciar, esta nueva ley se presenta ambigua e imprecisa, generado
muchos debates, entre los riesgos
y peligros están la libertad de expresión, sumándose a ella la
regulación del uso de la Internet que también es un factor importante que se
vería afectado.
Todo esto obligó a que
el gobierno se comprometa a modificarla, lo cual de hecho es la mejor medida
que se puede tomar.
Además, como primera medida
de protesta a esta nueva ley, el grupo Anonymus Perú también alzó su voz hackeando
una página del gobierno por una hora, situación sobre la cual nadie se
pronunció.
Modalidades delictivas de los Delitos Informáticos:
1. Hacker:
Son personas interesadas en burlar las
seguridad de los sistemas operativos, dar con los agujeros de seguridad, y no
solo en conocerlos sino en conocer su por qué.
Pero no altera, destroza o cambia la
información; sólo la observa.
Un hacker toma su actividad como un
reto intelectual, es así que él no se motiva con premios convencionales tales
como la aprobación social o el dinero, sino que su mejor trofeo es haber
logrado todo un desafío.
El problema es que esta afición, en
principio perfectamente legítima, llevada a la práctica se mueve en los límites
de la legalidad y es potencialmente muy peligrosa si las motivaciones de quien
las realiza son malintencionadas, de ahí la mala fama de los hackers.
Un hacker, al contrario de la imagen
pública que se tiene de ellos, tiene una serie de normas, algunas de índole
ético, que son ampliamente conocidas en el entorno hacker; algunas de estas
normas son el no hacer daño intencionadamente, modificar sólo lo estrictamente
necesario para entrar y evitar ser localizado, no hackear nunca ni por venganza
ni por intereses personales o económicos, así como no comentar con nadie las
acciones realizadas.
Las características más comunes de
personalidad son su alto nivel intelectual, ordenado, gran curiosidad, y
facilidad para abstracciones intelectuales, además hay otra característica más
importante: la habilidad mental de absorber, retener, y referenciar grandes
cantidades de detalles aparentemente sin importancia basados en la experiencia
que le dan contexto y significado.
Las áreas académicas de mayor tendencia
entre hackers son ciencias de la computación, ingenierías, física y
matemáticas.
Como vemos, la filosofía hacker nada
tiene que ver con el vandalismo. Tal es así, que no resulta extraño que sea el
propio hacker quien notifique al administrador los fallos de seguridad
encontrados y la forma de solucionarlos, hasta el punto de producirse la
profesionalización, creando empresas que, por encargo, asaltan ordenadores con
el fin de detectar estos fallos.
2. Cracker:
Para las acciones nocivas existe la
expresión, "cracker". Este término fue acuñado hacia 1985 por hackers
en defensa contra la utilización inapropiada por periodistas del término
hacker.
Crack es sinónimo de rotura y por lo
tanto, el cracker tiene como intención destruir.
Los crackers modernos usan programas
propios o muchos de los que se distribuyen gratuitamente en cientos de páginas
web, tales como rutinas desbloqueadoras de claves de acceso o generadores de
números para que en forma aleatoria y ejecutada automáticamente pueden lograr
vulnerar claves de accesos de los sistemas.
Tienden a agruparse en grupos pequeños,
muy secretos y privados. Poseen una filosofía anti-sistema y muchas veces
sabotean sistemas informáticos de grandes empresas que acumulan cuantiosos
beneficios.
Los miembros de este grupo no tienen
habilidades significativas en programación, no conocen términos extremadamente
técnicos.
Sus acciones pueden ir desde simples
destrucciones, como el borrado de información, hasta el robo de información
sensible que se puede vender; es decir, presenta dos vertientes, el que se
infiltra en un sistema informático y roba información o produce destrozos en el
mismo, y el que se dedica a desproteger todo tipo de programas, tanto de
versiones shareware para hacerlas plenamente operativas como de programas
completos comerciales que presentan protecciones anticopia.
Variantes de crackers maliciosos:
-Carding: tarjeteo, uso
ilegal de tarjetas de crédito
-Trashing: Basureo, obtención de
información en cubos de basura, tal como números de tarjetas de crédito,
contraseñas, directorios o recibos
Los crackers, pueden ser empleados
rencorosos o frustrados de alguna empresa, que tengan fines maliciosos o de
venganza en contra de alguna empresa o persona, o pueden ser estudiantes que
quieran demostrar sus habilidades pero de la manera equivocada o simplemente
personas que lo hagan sólo por diversión.
3. Phreaker: (monstruo telefónico)
Un phreaker posee conocimientos
profundos de los sistemas de telefonía, tanto terrestres como móviles. En la
actualidad también poseen conocimientos de tarjetas prepago, ya que la
telefonía celular las emplea habitualmente. Sin embargo es, en estos últimos
tiempos, cuando un buen Phreaker debe tener amplios conocimientos sobre
informática, ya que la telefonía celular o el control de centralitas es la parte
primordial a tener en cuenta y/o emplean la informática para su procesado de
datos.
Construyen equipos electrónicos
artesanales que pueden interceptar y hasta ejecutar llamadas de aparatos
telefónicos celulares sin que el titular se percate de ello.
Estos sujetos buscan burlar la
protección de las redes públicas y corporativas de telefonía, con el declarado
fin de poner a prueba conocimientos y habilidades -en la actualidad casi todas
estas redes de comunicaciones son soportadas y administradas desde sistemas de
computación-, pero también el de obviar la obligatoriedad del pago por
servicio, e incluso lucrar con las reproducciones fraudulentas de tarjetas de
prepago para llamadas telefónicas, cuyos códigos obtienen al lograr el acceso
mediante técnicas de "Hacking" a sus servidores.
4. Virucker
Consiste en el ingreso doloso de un
tercero a un sistema informático ajeno, con el objetivo de introducir
"virus" y destruir, alterar y/o inutilizar la información
contenida.
Los tipos de virus son:
-Los benignos; que molestan pero no
dañan.
-Los malignos; que destruyen
información o impiden trabajar.
Suelen tener capacidad para instalarse
en un sistema informático y contagiar otros programas e, inclusive, a otros
ordenadores a través del intercambio de soportes magnéticos, como disquetes o
por enlace entre ordenadores.
5. Samurai
Normalmente es alguien contratado para investigar
fallos de seguridad, que investiga casos de derechos de privacidad. Los
samuráis desdeñan a los crackers y a todo tipo de vándalos electrónicos.
También se dedican a hacer y decir cómo saber sobre la seguridad con sistemas
en redes.
6. Phising: (Fraude electrónico)
Esta modalidad se inicia con la recepción de un correo electrónico, el
mismo que contiene una dirección electrónica que intenta reproducir una página
web de la entidad afectada, a fin de obtener información confidencial de sus
usuarios.
En el contenido del correo electrónico se indica, entre otros
argumentos:
-Que se requiere la actualización de sus datos...
-Que la cuenta será deshabilitada por seguridad....
-Que ha sido favorecido con un premio y lo invitan a verificar su
"abono"...
por lo que se induce al usuario a ingresar a la página web indicada en
el correo, para verificar su información personal, o corregirla según el caso,
para evitar "un posible fraude".
La página web "falsa", solicita que el usuario ingrese
información confidencial; una vez ingresada (número de cuenta, clave secreta y
otros), es almacenada y utilizada para suplantar al cliente, efectuando
compras, transferencias de su dinero o ingresar a su correo electrónico
personal.
Es todo por el día de hoy. Por cierto, esta monografía, referida a una aproximación del
perfil de los que cometieron delitos informáticos, está muy interesante, se la
recomiendo. ¡Qué tengan buena semana! El próximo tema es "La protección
jurídica del Software".
