Delitos Informaticos
“Delitos Informáticos” INDICE INDICE.................................................................................
Views 182 Downloads 7 File size 716KB
Recommend stories
- Author / Uploaded
- angelsydemons
Citation preview
“Delitos Informáticos”
INDICE
INDICE........................................................................................................ 2 INTRODUCCION...........................................................................................3 I. OBJETIVOS............................................................................................... 4 II. ALCANCES Y LIMITACIONES......................................................................4 III. CONCEPTOS GENERALES.........................................................................5 IV. TIPO DE DELITOS INFORMATICOS..........................................................10 V. ESTADISTICAS SOBRE LOS DELITOS INFORMATICOS................................20 VI. ESTADISTICAS DE LOS DELITOS INFORMATICOS EN MEXICO....................27 VII. IMPACTO DE LOS DELITOS INFORMATICOS EN EL MUNDO......................30 VIII. IMPACTO DE LOS DELITOS INFORMATICOS EN MEXICO..........................34 IX. METODOS PARA PROTEGER LA INFORMACION Y EL EQUIPO DE UN DELITO INFORMATICO........................................................................................... 36 X. PRINCIPALES SISTEMAS QUE ESTAN PROPENSOS A SUFRIR UN DELITO INFORMATICO........................................................................................... 56 XI. ARTICULOS DE LA LEGISLACION MEXICANA QUE TIENEN QUE VER CON LOS DELITOS INFORMATICOS............................................................................58 XII. COMO DEFENDER UN DELITO INFORMATICO..........................................65 XIII. PERSONAS Y SU FUNCION..................................................................65 XIV. CONCLUSIÓN.....................................................................................66 XV. CONCLUSIONES DE LA MATERIA...........................................................66 XVI. BIBLIOGRAFIA ...................................................................................67
2
INTRODUCCION En la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas, sino como medio eficaz para obtener y conseguir información.
Según el diccionario de la Real
Academia de la Lengua Española, informática es el “conjunto de técnicas empleadas para el tratamiento automático de la información por medio de sistemas computacionales”. La informática está hoy presente en casi todos los campos de la vida moderna. Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos, y comienzan a utilizar los sistemas de información, para ejecutar tareas que en otros tiempos realizaban manualmente. Vivimos en un mundo que cambia rápidamente. Antes, estábamos seguros que nadie podía acceder a nuestra vida privada pues la informática solo era para los registros, eso quedo en el pasado y con ello a lo que también nuestra llamada
intimidad. La explosión de las industrias computacionales y de
comunicaciones ha permitido la creación de un sistema, que puede guardar grandes cantidades de información de una persona y transmitirla en muy poco tiempo. Cada vez más y más personas tienen acceso a esta información, sin que las legislaciones sean capaces de regularlos. Abordar el estudio de las implicaciones de la informática en el fenómeno delictivo resulta observa el impacto de las nuevas tecnologías en el ámbito social, económico y judicial. Efectivamente, el desarrollo y masificación de las nuevas tecnologías de la información han dado lugar a cuestiones tales como el análisis de la suficiencia del sistema jurídico actual para regular las nuevas
3
posiciones, los nuevos escenarios, en donde se debaten los problemas del uso y abuso de la actividad informática y su repercusión en el mundo contemporáneo.
I. OBJETIVOS 1.1 General Realizar una investigación de los Delitos Informáticos y saber cómo resolver un caso jurídico en el Estado de México. Específicos. •
Saber el Concepto de Delito Informático.
•
Tipificar los Delitos de acuerdo a sus características principales
•
Identificar que Delitos Informáticos se dan más en el mundo y en México
•
Conocer las medias preventivas que se deben tomar en cuenta para resolver este tipo de problemas.
•
Investigar el impacto de éstos actos en la vida social y tecnológica de la sociedad con un enfoque especial en México
•
Indagar que tipo de empresa son las más propensa a correr este riesgo
•
Analizar la Legislatura que enmarca a ésta clase de Delitos en nuestro País.
II. ALCANCES Y LIMITACIONES 2.1 Alcances: •
Para esta investigación solo se tomará en cuenta el estudio y análisis de la información referente al problema del Delito Informático.
•
Tomaremos elementos que aporten criterios referentes al tema.
•
Las leyes de nuestro país referentes a los Delitos Informáticos toman gran importancia ya que con ellos sabremos el avance de México para estos casos.
4
2.2 Limitaciones: •
La principal limitación que tenemos es la limitada información verídica en este tema que posee nuestro país, por lo que se utilizaran algunos datos de otras naciones.
III. CONCEPTOS GENERALES 3.1 Concepto de Fraude y Delito Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de delitos es más compleja y han sido muchos los intentos de formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible, dad la íntima conexión que existe entre la vida social y jurídica de casa sociedad y casa siglo, ya que ambas se condicionan íntimamente. El artículo 7o. Del Código Penal Federal dice que “Delito es el acto u omisión que sancionan las leyes penales. Esta noción de delitos es específicamente formal, y no define cuales sean sus elementos integrantes. En cualquier caso, sus elementos integrantes son: •
El delito es un acto humano, es una acción (acción u omisión)
•
Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido.
•
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
•
El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona.
•
La ejecución u omisión del acto debe estar sancionada por una pena.
5
Los hechos ilícitos que pueden afectar a las organizaciones, se pueden agrupar de la siguiente manera: •
Robo bajo sus distintas modalidades.
•
Daño en propiedad ajena
•
Terrorismo
•
Privación ilegal de la libertad
•
El abuso de confianza
•
El fraude
•
La violación de correspondencia
•
La falsificación de documentos
•
La revelación de secretos
Con la utilización de las computadoras, ha aparecido una nueva tipificación del accionar ilícito, los delitos informáticos. Definición de Delitos Informáticos El delito informático implica actividades criminales que un primer momento los países han tratado de encuadrar en figuras típicas de carácter personal, tales como el robo, hurto, fraudes, falsificaciones, perjuicios, estafas, sabotaje, etc., sin embargo, debe destacarse que el uso indebido de las computadoras es lo que ha propiciado la necesidad de regulación por parte del derecho. En la actualidad no existe una definición en la cual los juristas y estudiosos del derecho estén de acuerdo, es decir no existe una concepto propio de los llamados delitos informáticos. Aun cuando no existe dicha definición con carácter universal, se han formulado conceptos funcionales atendiendo a las realidades concretas de casa país.
6
“Delito informático es toda aquella conducta ilícita que hace uso indebido de cualquier medio informático, susceptible de ser sancionada por el derecho penal”. “Cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción criminógena, o como mero símbolo”. “Aquel que se da con la ayuda de la informática o de las técnicas anexas”. “La realización de una acción que, reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo utilizando un elemento informático o telemático contra los derechos y libertades de los ciudadanos definidos en la Constitución”. “En sentido amplio, es cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin y que, en sentido estricto, el delito informático, es cualquier acto ilícito penal en el que las computadoras, sus técnicas y funciones desempeñadas un papel ya sea con método, medio o fin”. “son las conductas típicas, antijurídicas y culpables en que se tiene a las computadoras como instrumentos o fin”. “Son actitudes ilícitas en que se tiene a las computadoras como instrumento o fin”. “Todas aquellas conductas ilícitas susceptibles de ser sancionadas por el Derecho Penal y que en su realización se valen de las computadoras como medio o fin para su omisión”. “Aquel que está íntimamente ligado a la informática o a los bienes jurídicos que históricamente se han relacionado con las tecnologías de la información; datos, programas, documentos electrónicos, dinero electrónico, información, etc.” “Conjunto de comportamientos dignos de reproche penal que tienen por instrumento o por objeto a los sistemas de técnica informática, o que están en
7
relación significativa con estas, pudiendo presentar múltiples formas de lesión de variados bienes jurídicos”. “La realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevado a cado utilizando elementos informativos y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software”. “Todos los actos antijurídicos según la ley penal vigente realizados con el empleo de un equipo automático de procesamiento de datos”. “Cualquier acto ilegal en relación con el cual el conocimiento de la tecnología informática es esencial para su realización, investigación y persecución”. “Delito informático, más que una forma específica del delito, supone una pluralidad de modalidades delictivas vinculadas, de algún modo con las computadoras”. “Es todo comportamiento ilegal o contraria a la ética o no autorizado que concierne a un tratamiento automático de datos y/o trasmisión de datos”. Algunos lo consideran inscribible en la criminalidad “de cuello blanco”, la delincuencia de cuello blanco es la violación de la ley penal por una persona de alto nivel socio-económico en el desarrollo de su actividad profesional. “Es cualquier acto ilegal ejecutado con dolo para el que es esencial el conocimiento y uso, propio o ajeno, de la tecnología informática para su comisión, investigación o persecución con la finalidad de beneficiarse con ello”. Una clasificación de los distintos tipos de delincuentes informáticos es la siguiente: •
Hacker: Es quien intercepta dolosamente un sistema informático para dañar, apropiarse, interferir, desviar, difundir, y/o destruir información que se encuentra almacenada en ordenadores pertenecientes a entidades públicas o privadas. El término de hacker en castellano significa "cortador". Las incursiones de los piratas son muy diferentes y responden a motivaciones dispares, desde el lucro económico a la
8
simple diversión. Los "Hackers", son fanáticos de la informática, generalmente jóvenes, que tan sólo con un ordenador personal, un modem, gran paciencia e imaginación son capaces de acceder, a través de una red pública de transmisión de datos, al sistema informatizado de una empresa o entidad pública, saltándose todas las medidas de seguridad, y leer información, copiarla, modificarla, preparando las condiciones idóneas para realizar un fraude, o bien destruirla. Se pueden considerar que hay dos tipos; 1) los que sólo tratan de llamar la atención sobre la vulnerabilidad de los sistemas informáticos, o satisfacer su propia vanidad; 2) los verdaderos delincuentes, que logran apoderarse por este sistema de grandes sumas de dinero o causar daños muy considerables.
•
Cracker: Para las acciones nocivas existe la más contundente expresión, "Cracker"
o "rompedor",
sus acciones
pueden
ir desde
simples
destrucciones, como el borrado de información, hasta el robo de información sensible que se puede vender; es decir, presenta dos vertientes, el que se cuela en un sistema informático y roba información o produce destrozos en el mismo, y el que se dedica a desproteger todo tipo de programas, tanto de versiones shareware para hacerlas plenamente operativas como de programas completos comerciales que presentan protecciones anti copia.
•
Phreaker: Es el que hace una actividad parecida a la anterior, aunque ésta se realiza mediante líneas telefónicas y con y/o sin el auxilio de un equipo de cómputo. Es el especialista en telefonía, empleando sus conocimientos para poder utilizar las telecomunicaciones gratuitamente.
•
Virucker: Consiste en el ingreso doloso de un tercero a un sistema informático ajeno, con el objetivo de introducir "virus" y destruir, alterar y/o inutilizar la información contenida. Existen dos tipos de virus, los
9
benignos que molestan pero no dañan, y los malignos que destruyen información o impiden trabajar. Suelen tener capacidad para instalarse en un sistema informático y contagiar otros programas e, inclusive, a otros ordenadores a través del intercambio de soportes magnéticos, como disquetes o por enlace entre ordenadores.
•
Pirata informático: Es quien reproduce, vende o utiliza en forma ilegítima un software que no le pertenece o que no tiene licencia de uso, conforme a las leyes de derecho de autor.
IV. TIPO DE DELITOS INFORMATICOS Existen
muchos
tipos
de
delitos
informáticos,
la
diversidad
de
comportamientos constitutivos de esta clase de ilícitos es inimaginable, a decir de Camacho Losa, el único límite existente viene dado por la conjugación de tres factores: la imaginación del autor, su capacidad técnica y las deficiencias de control existentes en las instalaciones informáticas, por tal razón y siguiendo la clasificación dada por el estadounidense Don B. Parker más la lista mínima de ilícitos informáticos señalados por las Naciones Unidas, he querido lograr una clasificación que desde el punto de vista objetivo sea lo más didáctica posible al momento de tratar esta clase de conductas delictivas, por lo expuesto anteriormente y sin pretender agotar la multiplicidad de conductas que componen a esta clase de delincuencia y como señala Gutiérrez Francés, es probable que al escribir estas líneas ya hayan quedado sobrepasada las listas de modalidades conocidas o imaginables, que ponemos a consideración
10
del lector en forma breve en que consiste cada una de estas conductas delictivas: 4.1 Conductas dirigidas a causar daños físicos: Comprende todo tipo de conductas destinadas a la destrucción «física» del hardware y el software de un sistema. 4.2 Conductas dirigidas a causar daños lógicos: Esta más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático. Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada.
4.3 Los Fraudes •
Los datos falsos o engañosos (Data diddling), conocido también como introducción de datos falsos, es una manipulación de datos de entrada al computador con el fin de producir o lograr movimientos falsos en transacciones de una empresa. Este tipo de fraude informático conocido también como manipulación de datos de entrada, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
•
Manipulación de programas o los “caballos de troya” (Troya Horses), Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya que consiste en insertar instrucciones de computadora de
11
forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. •
La técnica del salami (Salami Technique/Rounching Down), Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina “técnica del salchichón” en la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Y consiste en introducir al programa unas instrucciones para que remita a una determinada cuenta los céntimos de dinero de muchas cuentas corrientes.
•
Falsificaciones informáticas: Como objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumentos: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial.
Cuando
empezó
a
disponerse
de
fotocopiadoras
computarizadas en color basándose en rayos láser surgió una nueva generación
de
falsificaciones
o
alteraciones
fraudulentas.
Estas
fotocopiadoras pueden hacer reproducciones de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. •
Manipulación de los datos de salida: Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición
de
datos.
Tradicionalmente
esos
fraudes
se
hacían
basándose en tarjetas bancarias robadas, sin embargo, en la actualidad se
usan
ampliamente
equipo
y
programas
de
computadora
especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito. •
Pishing: Es una modalidad de fraude informático diseñada con la finalidad de robarle la identidad al sujeto pasivo. El delito consiste en
12
obtener
información
tal
como
números
de
tarjetas
de
crédito,
contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. El robo de identidad es uno de los delitos que más ha aumentado. La mayoría de las víctimas son golpeadas con secuestros de cuentas de tarjetas de crédito, pero para muchas otras la situación es aún peor. En los últimos cinco años 10 millones de personas han sido víctimas de delincuentes que han abierto cuentas de tarjetas de crédito o con empresas de servicio público, o que han solicitado hipotecas con el nombre de las víctimas, todo lo cual ha ocasionado una red fraudulenta que tardará años en poderse desenmarañar. En estos momentos también existe una nueva modalidad de Pishing que es el llamado Spear Pishing o Pishing segmentado, que funciona como indica el GRÁFICO 1, el cual ataca a grupos determinados, es decir se busca grupos de personas vulnerables a diferencia de la modalidad anterior.
4.4 El Sabotaje Informático Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:
13
•
Bombas lógicas (logic bombs), es una especie de bomba de tiempo que debe
producir
daños
posteriormente.
Exige
conocimientos
especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.
•
Gusanos: Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. (Gráfico 2)
14
Grafico 2: Gusano informático
•
Virus informáticos y malware, son elementos informáticos, que como los microorganismos biológicos, tienden a reproducirse y a extenderse dentro del sistema al que acceden, se contagian de un sistema a otro, exhiben
diversos
grados
de
malignidad
y
son
eventualmente,
susceptibles de destrucción con el uso de ciertos antivirus, pero algunos son capaces de desarrollar bastante resistencia a estos. (Grafico 3)
Grafico 3: Virus informáticos y malware
Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Han sido definidos como “pequeños programas que, introducidos subrepticiamente en una computadora,
15
poseen la capacidad de autorreporducirse sobre cualquier soporte apropiado que tengan acceso al computador afectado, multiplicándose en forma descontrolada hasta el momento en que tiene programado actuar” 37 El malware es otro tipo de ataque informático, que usando las técnicas de los virus informáticos y de los gusanos y las debilidades de los sistemas desactiva los controles informáticos de la máquina atacada y causa que se propaguen los códigos maliciosos. •
Ciberterrorismo: Terrorismo informático es el acto de hacer algo para desestabilizar un país o aplicar presión a un gobierno, utilizando métodos
clasificados
dentro
los
tipos
de
delitos
informáticos,
especialmente los de los de tipo de Sabotaje, sin que esto pueda limitar el uso de otro tipo de delitos informáticos, además lanzar un ataque de terrorismo informático requiere de muchos menos recursos humanos y financiamiento económico que un ataque terrorista común. •
Ataques de denegación de servicio: Estos ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo, de manera que nadie más pueda usarlos, perjudicando así seriamente la actuación del sistema, especialmente si debe dar servicio a mucho usuarios Ejemplos típicos de este ataque son: El consumo de memoria de la máquina víctima, hasta que se produce un error general en el sistema por falta de memoria, lo que la deja fuera de servicio, la apertura de cientos o miles de ventanas, con el fin de que se pierda el foco del ratón y del teclado, de manera que la máquina ya no responde a pulsaciones de teclas o de los botones del ratón, siendo así totalmente inutilizada, en máquinas que deban funcionar ininterrumpidamente, cualquier interrupción en su servicio por ataques de este tipo puede acarrear consecuencias desastrosas.
4.5 El Espionaje Informático Y El Robo o Hurto De Software: •
Fuga de datos (data leakage), también conocida como la divulgación no autorizada de datos reservados, es una variedad del espionaje industrial que sustrae información confidencial de una empresa. A decir de Luis
16
Camacho Loza, “la facilidad de existente para efectuar una copia de un fichero mecanizado es tal magnitud en rapidez y simplicidad que es una forma de delito prácticamente al alcance de cualquiera”. La forma más sencilla de proteger la información confidencial es la criptografía. •
Reproducción no autorizada de programas informáticos de Protección legal: Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas
reproducciones
telecomunicaciones
no
autorizadas
modernas.
Al
a
través
respecto,
de
las
redes
de
que
la
considero,
reproducción no autorizada de programas informáticos no es un delito informático, debido a que, en primer lugar el bien jurídico protegido es en este caso el derecho de autor, la propiedad intelectual y en segundo lugar que la protección al software es uno de los contenidos específicos del Derecho informático al igual que los delitos informáticos, por tal razón considero que la piratería informática debe ser incluida dentro de la protección penal al software y no estar incluida dentro de las conductas que componen la delincuencia informática. 4.6 El Robo De Servicios •
Hurto del tiempo del computador: Consiste en el hurto de el tiempo de uso de las computadoras, un ejemplo de esto es el uso de Internet, en el cual una empresa proveedora de este servicio proporciona una clave de acceso al usuario de Internet, para que con esa clave pueda acceder al uso de la supercarretera de la información, pero sucede que el usuario de ese servicio da esa clave a otra persona que no está autorizada para usarlo, causándole un perjuicio patrimonial a la empresa proveedora de servicios.
•
Apropiación
de
informaciones
residuales
(scavenging),
es
el
aprovechamiento de la información abandonada sin ninguna protección como residuo de un trabajo previamente autorizado. To scavenge, se traduce en recoger basura. Puede efectuarse físicamente cogiendo papel
17
de desecho de papeleras o electrónicamente, tomando la información residual que ha quedado en memoria o soportes magnéticos. •
Parasitismo informático (piggybacking) y suplantación de personalidad (impersonation), figuras en que concursan a la vez los delitos de suplantación de personas o nombres y el espionaje, entre otros delitos. En estos casos, el delincuente utiliza la suplantación de personas para cometer otro delito informático. Para ello se prevale de artimañas y engaños tendientes a obtener, vía suplantación, el acceso a los sistemas o códigos privados de utilización de ciertos programas generalmente reservados a personas en las que se ha depositado un nivel de confianza importante en razón de su capacidad y posición al interior de una organización o empresa determinada.
4.7 El Acceso No Autorizado A Servicios Informáticos •
Las puertas falsas (trap doors), consiste en la práctica de introducir interrupciones en la lógica de los programas con el objeto de chequear en medio de procesos complejos, si los resultados intermedios son correctos, producir salidas de control con el mismo fin o guardar resultados
intermedios
en
ciertas
áreas
para
comprobarlos
más
adelante. •
La llave maestra (superzapping), es un programa informático que abre cualquier archivo del computador por muy protegido que esté, con el fin de alterar, borrar, copiar, insertar o utilizar, en cualquier forma no permitida, datos almacenados en el computador. Su nombre deriva de un programa utilitario llamado superzap, que es un programa de acceso universal, que permite ingresar a un computador por muy protegido que se encuentre, es como una especie de llave que abre cualquier rincón del computador. Mediante esta modalidad es posible alterar los registros de un fichero sin que quede constancia de tal modificación
18
•
Pinchado de líneas (wiretapping), consiste en interferir las líneas telefónicas de transmisión de datos para recuperar la información que circula por ellas, por medio de un radio, un módem y una impresora. Como se señaló anteriormente el método más eficiente para proteger la información que se envía por líneas de comunicaciones es la criptografía que consiste en la aplicación de claves que codifican la información, transformándola en un conjunto de caracteres ininteligibles de letras y números sin sentido aparente, de manera tal que al ser recibida en destino, y por aplicación de las mismas claves, la información se recompone hasta quedar exactamente igual a la que se envió en origen.
•
Piratas informáticos o hackers: El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
19
V. ESTADISTICAS SOBRE LOS DELITOS INFORMATICOS Desde algunos años, en los Estados Unidos existe una institución que realiza un estudio anual sobre la Seguridad Informática y los crímenes cometidos a través de las computadoras. Esta entidad es El Instituto de Seguridad de Computadoras (CSI), quien anunció el «Estudio de Seguridad y Delitos Informáticos» realizado a un total de 273 Instituciones principalmente grandes Corporaciones y Agencias del Gobierno. Este Estudio de Seguridad y Delitos Informáticos es dirigido por CSI con la participación Agencia Federal de Investigación (FBI) de San Francisco, División de delitos informáticos. El objetivo de este esfuerzo es levantar el nivel de conocimiento de seguridad, así como ayudar a determinar el alcance de los Delitos Informáticos en los Estados Unidos de Norteamérica. Entre lo más destacable del Estudio de Seguridad y Delitos Informáticos 2000 se puede incluir lo siguiente: Violaciones a la seguridad informática.
20
•
No reportaron Violaciones de Seguridad 10%
•
Reportaron Violaciones de Seguridad 90%
90% de los encuestados descubrió violaciones a la seguridad de las computadoras dentro de los últimos doce meses. 70% reportaron una variedad de serias violaciones de seguridad de las computadoras, y que el más común de estas violaciones son los virus de computadoras, robo de computadoras portátiles o abusos por parte de los empleados - por ejemplo, robo de información, fraude financiero, penetración del sistema por intrusos y sabotaje de datos o redes. 5.1 Pérdidas Financieras. 74% reconocieron pérdidas financieras debido a las violaciones de las computadoras. Las pérdidas financieras ascendieron a $265, 589, 940 (el promedio total anual durante los últimos tres años era $120, 240, 180).
21
61 encuestados cuantificaron pérdidas debido al sabotaje de datos o redes para un total de $27, 148, 000. Las pérdidas financieras totales debido al sabotaje durante los años anteriores combinados ascendido a sólo $10, 848, 850.
22
Como en años anteriores, las pérdidas financieras más serias, ocurrieron a través de robo de información (66 encuestados reportaron $66, 708, 000) y el fraude financiero (53 encuestados informaron $55, 996, 000). Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus perímetros electrónicos, confirmando la tendencia en años anteriores. 5.2 Puntos Frecuentes de los Ataques Informáticos Como en años anteriores, las pérdidas financieras más serias, ocurrieron a través de robo de información (66 encuestados reportaron $66, 708, 000) y el fraude financiero (53 encuestados informaron $55, 996, 000). Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus perímetros electrónicos, confirmando la tendencia en años anteriores.
23
5.3 Accesos No Autorizados 71% de los encuestados descubrieron acceso desautorizado por personas dentro de la empresa. Pero por tercer año consecutivo, la mayoría de encuestados (59%) mencionó su conexión de Internet como un punto frecuente de ataque, los que citaron sus sistemas interiores como un punto frecuente de ataque fue un 38%. Basado en contestaciones de 643 practicantes de seguridad de computadoras en
corporaciones
americanas,
agencias
gubernamentales,
instituciones
financieras, instituciones médicas y universidades, los hallazgos del «Estudio de Seguridad y Delitos Informáticos 2000» confirman que la amenaza del crimen por computadoras y otras violaciones de seguridad de información continúan constantes y que el fraude financiero está ascendiendo. Los encuestados detectaron una amplia gama a de ataques y abusos. Aquí están algunos otros ejemplos: •
25% de encuestados descubrieron penetración al sistema del exterior. -
•
79% descubrieron el abuso del empleado por acceso de Internet (por ejemplo, transmitiendo pornografía o pirateó de software, o uso inapropiado de sistemas de correo electrónico). -
24
•
85% descubrieron virus de computadoras: Comercio electrónico.
Por segundo año, se realizaron una serie de preguntas acerca del comercio electrónico
por
Internet.
Aquí
están
algunos
de
los
resultados:
•
93% de encuestados tienen sitios de WWW.
•
43% maneja el comercio electrónico en sus sitios (en 1999, sólo era un 30%).
•
19% experimentaron accesos no autorizados o inapropiados en los últimos doce meses.
•
32% dijeron que ellos no sabían si hubo o no, acceso no autorizado o inapropiado.
•
35% reconocieron haber tenido ataques, reportando de dos a cinco incidentes.
•
19% reportaron diez o más incidentes.
•
64% reconocieron ataques reportados por vandalismo de la Web.
•
8% reportaron robo de información a través de transacciones.
•
3% reportaron fraude financiero.
5.4 Otras Estadísticas •
La «línea caliente» de la Internet Watch Foundation (IWF), abierta en diciembre de 1996, ha recibido, principalmente a través del correo electrónico, 781 informes sobre unos 4.300 materiales de Internet considerados ilegales por usuarios de la Red. La mayor parte de los informes enviados a la «línea caliente» (un 85%) se refirieron a pornografía infantil. Otros aludían a fraudes financieros, racismo, mensajes maliciosos y pornografía de adultos.
•
Según datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números
25
de tarjeta de crédito y de llamadas. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito, señala el Manual de la ONU. •
Los delincuentes cibernéticos al acecho también usan el correo electrónico para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Barbara Jenson «Acecho cibernético: delito, represión y responsabilidad personal en el mundo online», publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada año.
•
En Singapur El número de delitos cibernéticos detectados en el primer semestre del 2000, en el que se han recibido 127 denuncias, alcanza ya un 68 por ciento del total del año pasado, la policía de Singapur prevé un aumento este año en los delitos por Internet de un 38% con respecto a 1999.
•
En relación con Internet y la informática, la policía de Singapur estableció en diciembre de 1999 una oficina para investigar las violaciones de los derechos de propiedad y ya ha confiscado copias piratas por valor de 9,4 millones de dólares.
•
En El Salvador, existe más de un 75% de computadoras que no cuentan con licencias que amparen los programas (software) que utilizan. Esta proporción tan alta ha ocasionado que organismos Internacionales reacciones ante este tipo de delitos tal es el caso de BSA (Bussines Software Alliance).
26
VI. ESTADISTICAS DE LOS DELITOS INFORMATICOS EN MEXICO En la actualidad, el delito informático en México todavía sigue impune debido a tres factores fundamentales: la falta de claridad en algunos artículos de las distintas leyes que existen en el país como la Ley Federal de Derechos de Autor, el Código Penal Federal, la Constitución Política de los Estados Unidos Mexicanos, entre otros; la ausencia de una ley que hable concretamente sobre los delitos informáticos; así como la falta de interés por salvaguardar información valiosa en cualquier sitio Web mexicano. Y si a esto le sumamos, el carácter formal y escrito de nuestro sistema jurídico, las particularidades del proceso legislativo, resulta que el Derecho Mexicano se ha quedado rezagado en la regulación de una materia que lo ha rebasado y que exige atención inmediata y efectiva. Los delitos informáticos en México han aumentado en los últimos años, se calcula que 22% desde el año 2005. Entre los delitos más frecuentes se encuentra el robo de información personal y fraudes, según informó el Grupo Multisistemas de Seguridad Industrial. Estos ilícitos aumentan por concentración de la información, ausencia de registros visibles, fácil eliminación de evidencias, complejidad del entorno técnico, dificultad para proteger archivos electrónicos, centralización de funciones y carencia de controles. “El 60% del personal se apropia de datos de la empresa cuando se marcha a otra compañía o lo despiden. Asimismo, en 50% de los casos de fraude están implicados empleados de la firma, lo que evidencia falta de controles internos”, aseguró
Alejandro
Desfassiaux,
Presidente
de
Grupo
Multisistemas
Seguridad Industrial.
27
de
En cuanto a los datos más requeridos por los delincuentes se encuentran las cuentas bancarias, tarjetas de crédito, identidades completas, cuentas de subastas en línea, mailers, direcciones de correo y contraseñas. “Estos datos se cotizan de uno a mil dólares, por ejemplo, y en los últimos meses se detecta la tendencia delictiva a unir datos para obtener un beneficio económico mayor”, comenta Desfassiaux. Por
ejemplo,
profesionales
el
robo
(85%),
de
datos
empleados
personales (12%)
y
lo
efectúan
hackers
o
delincuentes
profesionales
de
computación (2%) y otros (1%)
El que el 78 % de las empresas mexicanas fue víctima de fraude en los últimos 12 meses, éste aumenta en Internet. “Hace una década los fraudes por la Red representaban sólo el 1.3% de todos los casos. En la actualidad se determina que en 6% de estos delitos se realizan por esta vía y el fraude captura el 20% de todos los cibercrímenes”, relata el directivo. El 83% de los delincuentes son hombres y en el 70% de las veces sus edades fluctúan de los 20 a los 30 años, es decir, son menores que los que realizan
28
fraudes de manera convencional cuya edad promedio es de 36 a 45 años en 30 por ciento de las ocasiones. En los sitios de red se realiza el 30% de los ilícitos y en el correo electrónico el 70 % restante. Es notable que en ésta última modalidad participen las personas con mayor edad, dado que es una de las funciones más convencionales. Los estados más afectados por los delitos cibernéticos son Nuevo León, Distrito Federal, Estado de México y Baja California. Sin embargo, México está muy por debajo del primer sitio a nivel mundial que lo ocupa Estados Unidos seguido de Gran Bretaña y Nigeria. Así también la firma asegura que en México los principales engaños en la red tienen relación con el romance y las compras de oportunidades: personas que viven lejos y quieren conocerte pero carecen de dinero para el viaje. “El defraudador aprovecha los sueños de sus potenciales víctimas. En México el romance y los golpes de suerte son referentes en los que se cree y ambos son explotados cabalmente por cibercriminales”, comentó Desfassiaux
29
VII. IMPACTO DE LOS DELITOS INFORMATICOS EN EL MUNDO 7.1 Impacto a Nivel General En los años recientes las redes de computadoras han crecido de manera asombrosa. Hoy en día, el número de usuarios que se comunican, hacen sus compras, pagan sus cuentas, realizan negocios y hasta consultan con sus médicos online supera los 200 millones, comparado con 26 millones en 1995. A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorización o «piratería informática», el fraude, el sabotaje informático, la trata de niños con fines pornográficos y el acecho. Los delincuentes de la informática son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden pasar desapercibidos a través de las fronteras, ocultarse tras incontables «enlaces» o simplemente desvanecerse sin dejar ningún documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en «paraísos informáticos» - o sea, en países que carecen de leyes o experiencia para seguirles la pista -. Según datos recientes del Servicio Secreto de los Estados Unidos, se calcula que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito, señala el Manual de la ONU. Otros delincuentes de la informática pueden sabotear las computadoras para ganarles ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados «gusanos» o «virus», que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al
30
azar; que originalmente pasaron de una computadora a otra por medio de disquetes «infectados»; también se están propagando últimamente por las redes, con frecuencia camuflados en mensajes electrónicos o en programas «descargados » de la red. En 1990, se supo por primera vez en Europa de un caso en que se usó a un virus para sonsacar dinero, cuando la comunidad de investigación médica se vio amenazada con un virus que iría destruyendo datos paulatinamente si no se pagaba un rescate por la «cura». Los delincuentes cibernéticos al acecho también usan el correo electrónico para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al
libro
de
Barbara
Jenson
«Acecho
cibernético:
delito,
represión
y
responsabilidad personal en el mundo online», publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada año. Afirma la Sra. Jenson que una norteamericana fue acechada durante varios años por una persona desconocida que usaba el correo electrónico para amenazar con asesinarla, violar a su hija y exhibir la dirección de su casa en la Internet para que todos la vieran. Los delincuentes también han utilizado el correo electrónico y los «chat rooms» o salas de tertulia de la Internet para buscar presas vulnerables. Por ejemplo, los aficionados a la pedofilia se han ganado la confianza de niños online y luego concertado citas reales con ellos para explotarlos o secuestrarlos. El Departamento de Justicia de los Estados Unidos dice que se está registrando un incremento de la pedofilia por la Internet. Además de las incursiones por las páginas particulares de la Red, los delincuentes pueden abrir sus propios sitios para estafar a los clientes o vender mercancías y servicios prohibidos, como armas, drogas, medicamentos sin receta ni regulación y pornografía. La CyberCop Holding Cell, un servicio de quejas online, hace poco emitió una advertencia sobre un anuncio clasificado de servicio de automóviles que apareció en la Internet. Por un precio fijo de $399, el servicio publicaría una descripción del auto del cliente en una página de la Red y garantizaban que les devolverían el dinero si el vehículo no se vendía en un plazo de 90 días. Informa CyberCop que varios autos que se habían anunciado en la página electrónica no se vendieron en ese plazo, pero los dueños no pudieron
31
encontrar a ninguno de los autores del servicio clasificado para que les reembolsaran el dinero. Desde entonces, el sitio en la Red de este «servicio» ha sido clausurado. 7.2 Impacto A Nivel Social La proliferación de los delitos informáticos ha hecho que nuestra sociedad sea cada vez más escéptica a la utilización de tecnologías de la información, las cuales pueden ser de mucho beneficio para la sociedad en general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el comercio electrónico puede verse afectado por la falta de apoyo de la sociedad en general. También se observa el grado de especialización técnica que adquieren los delincuentes para cometer éste tipo de delitos, por lo que personas con conductas maliciosas cada vez más están ideando planes y proyectos para la realización de actos delictivos, tanto a nivel empresarial como a nivel global. También se observa que las empresas que poseen activos informáticos importantes, son cada vez más celosas y exigentes en la contratación de personal para trabajar en éstas áreas, pudiendo afectar en forma positiva o negativa a la sociedad laboral de nuestros tiempos. Aquellas personas que no poseen los conocimientos informáticos básicos, son más vulnerables a ser víctimas de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no conocen nada de informática (por lo general personas de escasos recursos económicos) pueden ser engañadas si en un momento dado poseen acceso a recursos tecnológicos y no han sido asesoradas adecuadamente para la utilización de tecnologías como la Internet, correo electrónico, etc. La falta de cultura informática puede impedir de parte de la sociedad la lucha contra los delitos informáticos, por lo que el componente educacional es un factor clave en la minimización de esta problemática. 7.3 Impacto En La Esfera Judicial 7.3.1 Captura de delincuentes cibernéticos
32
A medida que aumenta la delincuencia electrónica, numerosos países han promulgado leyes declarando ilegales nuevas prácticas como la piratería informática, o han actualizado leyes obsoletas para que delitos tradicionales, incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el mundo virtual. Singapur, por ejemplo, enmendó recientemente su Ley sobre el Uso Indebido de las Computadoras. Ahora son más severos los castigos impuestos a todo el que interfiera con las «computadoras protegidas» -es decir, las que están conectadas con la seguridad nacional, la banca, las finanzas y los servicios públicos y de urgencia- así como a los transgresores por entrada, modificación, uso o intercepción de material computadorizado sin autorización. Hay países que cuentan con grupos especializados en seguir la pista a los delincuentes cibernéticos. Uno de los más antiguos es la Oficina de Investigaciones Especiales de la Fuerza Aérea de los Estados Unidos, creada en 1978. Otro es el de Investigadores de la Internet, de Australia, integrado por oficiales de la ley y peritos con avanzados conocimientos de informática. El grupo australiano recoge pruebas y las pasa a las agencias gubernamentales de represión pertinentes en el estado donde se originó el delito. Pese a estos y otros esfuerzos, las autoridades aún afrentan graves problemas en materia de informática. El principal de ellos es la facilidad con que se traspasan las fronteras, por lo que la investigación, enjuiciamiento y condena de los transgresores se convierte en un dolor de cabeza jurisdiccional y jurídico. Además, una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les siga juicio en otro lugar o transferir las pruebas -y a veces los testigos- al lugar donde se cometieron los delitos. En 1992, los piratas de un país europeo atacaron un centro de computadoras de California. La investigación policial se vio obstaculizada por la doble tipificación penal -la carencia de leyes similares en los dos países que prohibían ese comportamiento- y esto impidió la cooperación oficial, según informa el Departamento de Justicia de los Estados Unidos. Con el tiempo, la policía del país de los piratas se ofreció a ayudar, pero poco después la piratería terminó, se perdió el rastro y se cerró el caso. Asimismo, en 1996 el Servicio de Investigación Penal y la Agencia Federal de Investigación (FBI) de los Estados Unidos le siguió la pista a otro pirata hasta
33
un país sudamericano. El pirata informático estaba robando archivos de claves y alterando los registros en computadoras militares, universitarias y otros sistemas privados, muchos de los cuales contenían investigación sobre satélites, radiación e ingeniería energética. Los oficiales del país sudamericano requisaron el apartamento del pirata e incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes nacionales. Sin embargo, los dos países no habían firmado acuerdos de extradición por delitos de informática sino por delitos de carácter más tradicional. Finalmente se resolvió la situación sólo porque el pirata accedió a negociar su caso, lo que condujo a que se declarara culpable en los Estados Unidos.
VIII. IMPACTO DE LOS DELITOS INFORMATICOS EN MEXICO En México hay muy poca informa sobre el impacto que tienen los delitos informáticos en el país. En nuestro sistema jurídico se incluyó a los delitos informáticos justamente con las reformas que se publicaron en el Diario Oficial de la Federación el diecisiete de mayo de mil novecientos noventa y nueve.
34
Los novedosos ilícitos se ubicaron dentro de Título Noveno del código punitivo federal, al que se denominó “Revelación de Secretos y Acceso Ilícito a Sistemas y Equipos de Informática”. Resulta de interés al desarrollo de estas líneas las causas medulares que dieron origen a la exposición de motivos de la reforma, al considerarse que la iniciativa propone adicionar un capítulo al código penal para sancionar al que sin autorización acceda a sistemas y equipos informáticos protegidos por algún mecanismo de seguridad, con el propósito de conocer, copiar, modificar o provocar la pérdida de información que contenga, por lo que se pretende tutelar la privacidad y la integridad de la información. Lo anterior refleja que para el legislador fue de suma importancia proteger el acceso no autorizado a computadoras o sistemas electrónicos, la destrucción o alteración de información, el sabotaje por computadora, la intercepción de correo electrónico, el fraude electrónico y la transferencia ilícita de fondos, ilícitos que no son privativos de nuestro entorno, sino que suceden con frecuencia en el ámbito internacional y que constituyen, desde luego, un grave problema ante la revolución tecnológica que ha rebasado las estructuras de contención, control y vigilancia por parte de los Estados. En un sentido similar, se conduce Erika Tinajeros Arce al señalar que el uso de las técnicas informáticas, ha creado nuevas posibilidades del uso indebido de las computadoras, lo que ha propiciado a su vez la necesidad de regulación por parte del Derecho. Añade que el sabotaje informático es el acto mediante el cual se logra inutilizar, destruir, alterar o suprimir datos, programas e información computarizada, sus inicios se dieron en los labora¬orios del Instituto de Massachussets en 1960, al crearse un dispositivo informático destructivo mediante la utilización del lenguaje assambler.24 El diverso delito de revelación de secretos que establece el artículo 211 del enunciado Código Penal Federal, prevé sanción de uno a cinco años, cuando la revelación punible sea hecha por persona que presta servicios profesionales o técnicos o por funcionario o empleado público, o cuando el secreto revelado o publicado sea de carácter industrial, el subsecuente numerario 211 Bis, de dicho ordenamiento legal, dispone que a quien revele, divulgue o utilice
35
indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión. Tales ilícitos también pueden considerarse como un fin en tratándose del uso de computadoras, sobre todo cuando se trata de información de tipo industrial, en relación con el ordinal 211 Bis, de la ley del enjuiciamiento penal federal, la Primera Sala del más alto Tribunal de Justicia de la Nación, ha establecido de que el vocablo “indebidamente” empleado en dicho precepto legal, no provoca confusión; en primer lugar, porque es posible precisar su significado a través de su concepto gramatical y, el segundo, porque su sentido puede fijarse desde el punto de vista jurídico y determinar cuando la conducta es indebida para considerarse delictuosa. Además, el hecho de que el Código Penal Federal no contenga un anunciado especial que desentrañe el significado de ese elemento normativo, lo cual se entiende por constituir un elemento de valoración jurídica, no implica infracción a la citada garantía, pues, se trata de un concepto cuyo contenido resulta claro tanto en el lenguaje común como en el jurídico.
IX. METODOS PARA PROTEGER LA INFORMACION Y EL EQUIPO DE UN DELITO INFORMATICO 9.1 Política De Seguridad El término política de seguridad se suele definir como el conjunto de requisitos definidos por los responsables directos o indirectos de un sistema que indica en
36
términos generales qué está y qué no está permitido en el área de seguridad durante la operación general de dicho sistema. Al tratarse de `términos generales', aplicables a situaciones o recursos muy diversos, suele ser necesario refinar los requisitos de la política para convertirlos en indicaciones precisas de qué es lo permitido y lo denegado en cierta parte de la operación del sistema, lo que se denomina política de aplicación específica. Una política de seguridad puede ser prohibitiva, si todo lo que no está expresamente permitido está denegado, o permisiva, si todo lo que no está expresamente
prohibido
está
permitido.
Evidentemente
la
primera
aproximación es mucho mejor que la segunda de cara a mantener la seguridad de un sistema; en este caso la política contemplaría todas las actividades que se pueden realizar en los sistemas, y el resto - las no contempladas - serían consideradas
ilegales.
Cualquier política ha de contemplar seis elementos claves en la seguridad de un sistema informático: •
Disponibilidad: Es necesario garantizar que los recursos del sistema se encontrarán
disponibles
cuando
se
necesitan,
especialmente
la
información crítica. •
Utilidad: Los recursos del sistema y la información manejada en el mismo ha de ser útil para alguna función.
•
Integridad: La información del sistema ha de estar disponible tal y como se almacenó por un agente autorizado.
•
Autenticidad: El sistema ha de ser capaz de verificar la identidad de sus usuarios, y los usuarios la del sistema.
•
Confidencialidad: La información sólo ha de estar disponible para agentes autorizados, especialmente su propietario.
•
Posesión: Los propietarios de un sistema han de ser capaces de controlarlo en todo momento; perder este control en favor de un usuario malicioso compromete la seguridad del sistema hacia el resto de usuarios.
37
Para cubrir de forma adecuada los seis elementos anteriores, con el objetivo permanente de garantizar la seguridad corporativa, una política se suele dividir en puntos más concretos a veces llamados normativas (aunque las definiciones concretas de cada documento que conforma la infraestructura de nuestra política
de
seguridad
-
política,
normativa,
estándar,
procedimiento
operativo...- es algo en lo que ni los propios expertos se ponen de acuerdo). El estándar ISO 17799 define las siguientes líneas de actuación: •
Seguridad organizacional: Aspectos relativos a la gestión de la seguridad dentro de la organización (cooperación con elementos externos, outsourcing, estructura del área de seguridad...).
•
Clasificación y control de activos: Inventario de activos y definición de sus mecanismos de control, así como etiquetado y clasificación de la información corporativa.
•
Seguridad del personal: Formación en materias de seguridad, cláusulas de confidencialidad, reporte de incidentes, monitorización de personal...
•
Seguridad física y del entorno: Bajo este punto se engloban aspectos relativos a la seguridad física de los recintos donde se encuentran los diferentes recursos - incluyendo los humanos - de la organización y de los sistemas en sí, así como la definición de controles genéricos de seguridad.
•
Gestión de comunicaciones y operaciones: Este es uno de los puntos más interesantes desde un punto de vista estrictamente técnico, ya que engloba aspectos de la seguridad relativos a la operación de los sistemas y telecomunicaciones, como los controles de red, la protección frente a malware, la gestión de copias de seguridad o el intercambio de software dentro de la organización.
•
Controles de acceso: Definición y gestión de puntos de control de acceso a los recursos informáticos de la organización: contraseñas, seguridad perimetral, monitorización de accesos...
•
Desarrollo y mantenimiento de sistemas: Seguridad en el desarrollo y las aplicaciones, cifrado de datos, control de software...
38
•
Gestión de continuidad de negocio: Definición de planes de continuidad, análisis de impacto, simulacros de catástrofes...
•
Requisitos legales: Evidentemente, una política ha de cumplir con la normativa vigente en el país donde se aplica; si una organización se extiende a lo largo de diferentes países, su política tiene que ser coherente con la normativa del más restrictivo de ellos. En este apartado de la política se establecen las relaciones con cada ley: derechos de propiedad intelectual, tratamiento de datos de carácter personal, exportación de cifrado... junto a todos los aspectos relacionados con registros de eventos en los recursos (logs) y su mantenimiento.
9.2 Seguridad En Los Sistemas Informáticos La informatización de la sociedad ha proporcionado claras mejoras pero también nuevos problemas. Muchas entidades (Bancos,
Compañías de
Seguros, Administración Pública, etc.) contienen en sus ficheros de datos información personal cuyo acceso o difusión a personas no autorizadas podría perjudicar gravemente a la persona involucrada. También hay otro tipo de información, que no siendo de carácter personal, sí que es claramente vital para una empresa. Por ejemplo, toda empresa tiene almacenadas en sus sistemas informáticos las patentes de sus productos, nuevas campañas de marketing, planes estratégicos, etc. que si son accedidos por la empresa de la competencia podrían causar un grave perjuicio económico o incluso su ruina. Y no hablemos ya de los sistemas informáticos que controlan servicios vitales de un país: sistemas de control del tráfico aéreo, generación y distribución de electricidad, sistemas electrónicos de defensa, etc. Todos podemos imaginar las consecuencias catastróficas que puede suponer que un grupo terrorista pueda acceder y controlar estos sistemas (lo cual ya ha sido objeto de varias películas) Por lo tanto, la información contenida dentro de los sistemas informáticos es claramente vital y por lo tanto tiene que ser protegida. Lo primero que hay que decir, aunque sea evidente, es que este acceso a la información privada es considerado un delito y por lo tanto perseguido por la justicia.
39
El número de incidentes que afectan a la seguridad de un sistema informático está creciendo exponencialmente (ver figura 2) y su coste es cada vez mayor. Por ejemplo, la revista Computer Economics cifró en 1300 millones de dólares el daño provocado por el virus SirCam. Pero, ¿qué es un sistema informático seguro? Se puede utilizar la siguiente simple definición: "Un sistema es seguro si se puede confiar en él y se comporta de acuerdo a lo esperado". La seguridad se basa por tanto en conceptos como la confianza y el acuerdo. Esto no se diferencia del concepto común de seguridad: ¿por qué guardamos el dinero en un banco? Primero, porque confiamos en el Banco y segundo, sabemos que podemos obtener ese dinero de acuerdo a lo esperado. La seguridad es un conjunto de soluciones técnicas, métodos, planes, etc. con el objetivo de que la información que trata nuestro sistema informático sea protegida. Lo más importante es establecer un plan de seguridad en el cual se definan las necesidades y objetivos en cuestiones de seguridad. Es importante re-marcar que la seguridad supone un coste y que la seguridad absoluta es imposible. Por lo tanto, hay que definir cuáles son nuestros objetivos y a qué nivel de seguridad se quiere llegar. Esto no es diferente a los planteamientos de seguridad en lo que se refiere a la protección física de una empresa o vivienda. Por ejemplo, en nuestra casa podemos tener una puerta blindada y sentirnos seguros. O bien, poner una alarma y contratar los servicios de seguridad de una empresa, o incluso tener guardias jurados las 24 horas. Por ello, la seguridad se tiene que planificar haciendo un análisis del coste y su beneficio (teniendo siempre en cuenta los requisitos de seguridad legalmente establecidos, que evidentemente hay que cumplir). El término seguridad es muy amplio y comprende distintos aspectos: • Confidencialidad: la información sólo puede ser accedida por aquel que esté autorizado. • Integridad: La información no puede ser eliminada o modificada sin permiso.
40
• Disponibilidad: La información tiene que estar disponible siempre que sea necesario, evitando por tanto, ataques externos que puedan reducir esta disponibilidad o incluso una caída del servicio. • Consistencia: Hay que asegurar que las operaciones que se realizan sobre la información se comporten de acuerdo a lo esperado. Esto implica
que
los
programas
realicen
correctamente
las
tareas
encomendadas. • Control: Es importante regular y controlar el acceso a la información de la empresa. El tipo de empresa determina la importancia relativa que se da a los anteriores aspectos. Por ejemplo, un banco da mayor importancia a los aspectos de integridad y control que al resto, mientras que un sistema de control de tráfico aéreo dará mayor importancia a la disponibilidad y consistencia del sistema (evidentemente, sin dejar el resto de los aspectos de lado). 9.3 Análisis De Riesgos Y Medidas De Seguridad La primera pregunta a la hora de diseñar y planificar la seguridad en un sistema informático es la de analizar los riesgos. Este análisis trata de responder preguntas como: ¿qué quiero proteger?, ¿quién podría entrar en mi sistema? ¿Y cómo? Sabiendo a que peli-gros nos enfrentamos y qué es lo que tenemos que proteger podremos mejorar la seguridad de nuestro sistema informático. Por lo tanto no sólo hay que identificar los elementos tangibles: ordenadores, fiche-ros de datos, documentos, etc., sino también los intangibles: aspectos legales, imagen y reputación de la empresa También hay que identificar los posibles riesgos: virus informáticos, intrusos en la red (hackers), empleados malintencionados, pérdidas de backups, robos de equipos (por ejemplo portátiles), fallos en el software, una catástrofe natural (terremotos, inundaciones), etc. De este tipo de riesgos hay que analizar cuál es la probabilidad de que ocurran. Por ejemplo, en determinadas zonas es probable
que
ocurran
inundaciones,
lo
cual
puede
provocar
que
los
ordenadores se inunden y no estén disponibles, e incluso se pierda información vital en la empresa.
41
9.3.1 Tipos De Riesgos ¿Cuáles son los posibles ataques que puede sufrir un sistema informático? Si sabemos cuáles son los ataques podremos poner medidas de seguridad para evitarlos. En este punto voy a enumerar los tipos de ataques más comunes que puede sufrir un sistema informático y para los cuales existen, como veremos en los puntos siguientes, medidas bastante efectivas. •
Virus:
•
Hackers
•
Ataques masivos
Cuando ya se han analizado los riesgos es importante determinar las consecuencias
que
supondría
cada
uno
de
ellos.
Por
ejemplo,
¿qué
consecuencia puede tener un intruso en la red? Esto dependerá de la información con la que trabajemos: en un hospital es crítico que un intruso se lleve los historiales médicos de todos los pacientes mientras que en un taller mecánico no sería muy grave que se llevase información sobre los coches reparados. O bien, ¿qué pasaría si se inundase el centro de cálculo de una Entidad Financiera? (hecho que ocurrió en una recientes inundaciones en el País Vasco). En este caso, ¿cuánto tiempo podría estar la entidad financiera sin dar servicio a los clientes?, ¿horas?, ¿días?, ¿semanas? 9.3.2 Medidas De Seguridad Como se ha comentado antes, los riesgos no pueden ser totalmente eliminados, sino que pueden ser reducidos. Por ello, la seguridad en un sistema informático tiene que basarse en objetivos realistas y plantearse como un clásico estudio de coste/beneficio. Por tanto, las medidas de seguridad a implementar tendrán que ser consecuentes con los análisis realizados. Las posibles medidas a establecer se pueden clasificar en •
Protección física: Guardias de seguridad, recintos vigilados, sistemas anti-incendios (de nada vale poner medidas de seguridad informática si
42
cualquier persona puede entrar en un recinto y robar un ordenador vital de la empresa). •
Medidas informáticas: son los sistemas y so-luciones informáticas que aumenta la seguridad de los sistemas informáticos. Estos incluyen el cifrado de la información, cortafuegos, antivirus, detectores de intrusos, etc.
•
Medidas organizativas: cursos de formación sobre seguridad, auditorías informáticas, etc. El personal de una empresa tiene que ser consciente de que la seguridad empieza en los empleados.
9.4 Criptografía Y Autentificación Como elementos indispensables para implementar un sistema seguro está la criptografía y los mecanismos de autentificación. La criptografía es una disciplina muy antigua cuyo objeto es la de ocultar la información a personas no deseadas. La base de la criptografía ha sido el cifrado de textos, aunque se ha des-arrollado ampliamente desde la aparición de los primeros ordenadores (Ver [3] para una pequeña historia de la criptografía). 9.4.1 Criptografía El cifrado es el proceso por el que un texto es transformado en otro texto cifrado usando una función matemática (también denominado algoritmo de encriptación) y una clave. El descifrado es el proceso inverso. El objetivo de la criptografía se puede resumir en asegurar la: •
Confidencialidad: el mensaje no puede ser leído por personas no autorizadas.
•
Integridad: el mensaje no puede ser alterado sin autorización.
•
Autentificación: se puede verificar que el mensaje ha sido enviado por una persona, y recibido por otra.
43
•
No repudio: significa que después de haber enviado un mensaje, no se puede negar que el mensaje no es tuyo.
El cifrado es necesario entre otras funciones para: •
Proteger la información almacenada en un ordenador
•
Proteger la información transmitida desde un ordenador a otro.
•
Asegurar la integridad de un fichero.
El cifrado también tiene sus límites ya que no puede prevenir el borrado de información, el acceso al documento antes de su cifrado, por lo que un plan de seguridad no se puede basar simplemente en el cifrado de la información. No todas las formas de cifrado tienen la misma seguridad. Hay cifrados muy simples que son fáciles de romper (se denomina romper un cifrado a la obtención del mensaje cifrado o la clave) y otros muchos más complejos que requieren de técnicas muy complejas para su descifrado. Hay que comentar que no existen mecanismos de cifrado totalmente seguros, ya que con un ordenador lo suficientemente potente (o muchos a la vez) y el tiempo necesario (años o siglos) siempre será posible romper el cifrado. Por lo tanto, el objetivo de la criptografía es obtener mecanismos de cifrado que sean lo suficientemente complejos para evitar su descifrado usando la tecnología actual. En la figura 3 se puede ver un ejemplo de uso del cifrado para transmitir un mensaje en una red no segura (por ejemplo Internet). El emisor cifra su mensaje utilizando una clave y un algoritmo de cifrado. Este mensaje cifrado es transmitido por la red al receptor. Este, utilizando la clave y un algoritmo de descifrado puede obtener el mensaje original. De esta forma, aunque un intruso intercepte el mensaje no lo podrá descifrar si no sabe el algoritmo de descifrado y la clave. Hay dos tipos básicos de algoritmos de encriptación:
44
•
Clave secreta (o clave simétrica): utiliza la misma clave para cifrar y descifrar un mensaje. Estos métodos de cifrado se usan principalmente para proteger información que se almacena en un disco duro o para transmisión de datos entre ordenadores. El algoritmo de encriptación más usado de este tipo es el DES (Data Encryption Standard) que usa una clave de 56-bits. Un mensaje cifrado con este algoritmo es bastante seguro aunque ya puede ser descifrado con máquinas muy potentes en menos de un día, por lo que su uso está restringido a ámbitos civiles. Otros algoritmos comúnmente usados son el RC2, RC4, RC5 e IDEA. La mayoría de estos algoritmos tienen patente, aunque su uso público está permitido.
•
Clave pública (o clave asimétrica): que utiliza una clave pública para cifrar el mensaje y una clave privada para descifrarlo De esta forma cualquiera puede cifrar un mensaje pero solo quien tenga la clave privada puede descifrarlo. Esto sirve para poder enviar un mensaje a un determinado destino sin que otro pueda descifrarlo. El objeto de estos métodos es la de asegurar la integridad y la autentificación del origen de los datos (por ejemplo, usando firmas digitales). RSA es el algoritmo de encriptación más conocido de clave pública. RSA utiliza una clave pública que es usada para cifrar el mensaje y una clave privada que es usada para descifrar el mensaje.
45
Estos dos métodos de encriptación funcionan muchas veces conjuntamente. Por ejemplo, el protocolo SSL que se utiliza como conexión segura en Internet (el que usa el navegador cuando está en modo seguro y en la URL nos sale https), utiliza primero una clave pública para enviar de forma cifrada la clave secreta DES que posteriormente utilizarán en la comunicación. De esta forma la clave DES utilizada sólo la podrá descifrar el destino. Este método en general se denomina OTP (One Time Password) ya que para cada sesión se genera un nueva clave DES. 9.4.2 Firma Digital El objetivo de la firma digital es la de certificar los contenidos de un mensaje. En este caso el mensaje original no es necesario que vaya cifrado, sino que contiene (o va en un fichero aparte) un código que identifica el mensaje y que va cifrado con una clave privada. A este proceso de certificar el mensaje con una firma digital se denomina firmado. Esta firma digital nos sirve para asegura la integridad, autentificación y el no repudio. En este caso, el mensaje original no es necesario que vaya cifrado, aunque si lo va también garantizamos la confidencialidad del mensaje. El algoritmo de firma digital más usado actualmente es el MD5. 9.4.3 Seguridad Interna En la seguridad interna (o centralizada) se pueden englobar todos los mecanismos que aseguran el sistema frente a riesgos procedentes del interior de una organización o empresa. Muchos de estos mecanismos sirven también para afrontar riesgos procedentes del exterior. 9.4.4 Autentificación Hay que asegurar que cualquier persona que entre en nuestro sistema informático esté autorizado y sólo pueda acceder a la información permitida en
46
función de su cargo o función. La forma habitual de autorizar una persona es por medio de un identificador de usuario y una clave, y asociando a este usuario una serie de permisos. Por ello, es de vital importancia que estos usuarios y sus claves sean custodiados de forma adecuada. De nada vale implantar un sistema informático de alta seguridad si los usuarios y claves son fácilmente accesibles. Por ejemplo, es muy cómodo poner como clave dos letras o un único número, o incluso tenerla pegada en la pantalla del ordenador. Esto tipos de claves son muy fáciles de obtener por cualquier hacker con lo que podrían entrar en nuestro sistema. Para evitar estos problemas, algunos sistemas imponen claves complejas (con número y letras) o que tengan que variarse un cierto periodo de tiempo o incluso, en sistemas de alta seguridad, otros dispositivos de autentificación como tarjetas de acceso, reconocimiento de voz o huella, etc. También es importante asegurar que cualquier empleado que entre en nuestro sistema informático esté autorizado y sólo pueda acceder a la información permitida en función de su cargo o función. Esto evitará que el acceso a determinada información crítica este restringida a determinadas personas de total confianza.
9.5 Copias De Seguridad (Backups) Las copias de seguridad son una medida para recuperarse de un desastre (perdida voluntaria o involuntaria de información, ordenador estropeado, catástrofe natural, etc.), Por ello, es de vital importante que las copias de seguridad estén perfectamente planifica-das y que se verifique el correcto funcionamiento de la copia. También es importante que los soportes físicos de estas copias de seguridad se custodien de forma adecuada. No tiene sentido que una copia de seguridad de la base de datos de los clientes esté encima de la mesa del operador que la ha realizado (cualquier persona que pase por su mesa se podría llevar esta información tan importante). 9.6 Registros Y Auditoria
47
Es necesario mantener un registro de las operaciones realizadas sobre los sistemas informáticos. De esta forma se puede realizar una auditoría sobre el acceso a los sistemas y posibles fallos de seguridad. Este registro suele ser un conjunto de ficheros donde se traza las operaciones realizadas sobre datos, equipos, etc. Por ejemplo, para una entidad financiera sería importante saber quién ha consultado las cuentas reservadas, por ello, cuando se consulten estas cuentas se añadirá un registro indicando que empleado lo ha consultado y cuando. 9.7 Seguridad Perimetral El objetivo de la seguridad perimetral es evitar el ataque externo a nuestros sistemas informáticos. Este ataque puede ocurrir de muchas formas y con diferentes objetivos. Hay intrusos cuyo único objetivo es conseguir entrar en una entidad por cualquier puerta falsa (los denominados hackers). También están los virus, que pueden entrar por correo electrónico. Si estuviéramos en la edad media lo más parecido a la seguridad perimetral sería un castillo con una buena fortaleza, foso, y puente levadizo que sería la única vía de entrada permitida (figura 4). De esta forma tendríamos más controlado el acceso a nuestro sistema informático. Otro tipo de ataque muy común es el de bombardeo. Esto puede provocar que nuestro sistema se quede bloqueado y no pueda ofrecer servicio (sería muy parecido a un asedio a nuestra fortaleza). La forma más simple de asegurar nuestro sistema es no tener ninguna conexión con el exterior. Esto significa, que nuestro sistema está aislado y no puede entrar nadie externo. Pero esta solución no es posible en la mayoría de los sistemas informáticos, ya que se requiere la consulta de datos de sistemas externos o/y la provisión de información a clientes externos (por ejemplo, vía un navegador). Para aumentar la seguridad y permitir esta comunicación con sistemas externos la solución más segura es mantener un único (o bien algunos pocos) enlaces con el exterior. Usando el símil de un castillo medieval, el único punto de entra-da y salida a la fortaleza sería el puente levadizo con lo que es más fácil controlar quién entra y quién sale. Este control se implementa en los sistemas informáticos por medio de un dispositivo denominado cortafuegos (o firewall).
48
9.8 Cortafuegos (firewalls) El término de cortafuegos viene prestado de su propia definición de puerta de seguridad antiincendios. Esta puerta puede aislar una determinada zona de un edificio del incendio en otra parte (durante un tiempo limitado, por supuesto). Con esta idea, la función de un cortafuegos en una red informática es la de aislar el sistema informático interno de problemas externos. Tal como representa la figura 5 la función funda-mental de un cortafuegos es la de limitar y controlar el tránsito de información entre una red externa (por ejemplo Internet) de una red interna (la Intranet). El cortafuegos permite añadir varias barreras para que un ordenador externo no pueda acceder a los ordenado-res internos, haciendo más difícil el acceso a la red interna. Para configurar un cortafuegos hay que definir qué información hay que dejar pasar y cual no, es decir, hay que definir una política de permisos. Las funciones de un cortafuegos son varias: • Permite bloquear el acceso a determinadas páginas de Internet (por ejemplo, algunas de uso interno de una empresa). • Monitorizar las comunicaciones entre la red interna y externa. • Controlar el acceso a determinado servicios externos desde dentro de una empresa (por ejemplo, puede evitar que los empleados de una empresa usen Internet para descargarse ficheros).
Este mecanismo de cortafuegos suele ser más complejo en implementaciones reales. Normalmente se compone de varios ordenadores y una red perime-ral que ofrece los servicios que una entidad quiere proporcional al exterior (por ejemplo, servidores de páginas web, correo electrónico. etc.) de tal forma que para entrar en la red interna tendrían que pasar dos barreras: el cortafuegos de la red perimetral y el cortafuegos de la red interna. Los cortafuegos también se pueden usar para separar distintas sub-redes dentro de una gran empresa. Por ejemplo, se podrían aislar los ordenadores que gestionan las nóminas del resto de la red de la empresa (para evitar que
49
un empleado de la empresa pueda entrar en el ordenador de nóminas y se modifique su nómina, o pueda consultar la nómina del director general). De esta forma también se aumenta la seguridad de estas subredes al ir añadiendo nuevas barreras. Recientemente han aparecido los denominados cortafuegos domésticos, cuyo objetivo es el mismo que los cortafuegos en red. El motivo de la aparición de estos cortafuegos es el incremento del número de ordenadores domésticos conectados permanentemente a Internet (vía ADSL, cable, modem, etc.), lo que los hace muy vulnerables a ataques externos. Estos cortafuegos se instalan en el propio ordenador personal y lo protegen de posibles intrusos, alertando al usuario cuando alguien quiere entrar en el ordenador. 9.9 Antivirus Perimetrales El objetivo de un antivirus perimetral es la de analizar todo el tráfico que entra y sale de la red y comprobar si tiene virus. Lo más habitual es analizar únicamente el tipo de tráfico que puede introducir virus: el correo electrónico y la navegación por Internet. Estos antivirus están en permanente actualización: están conectados a la bases de datos de la empresa fabricante con lo que si aparece un nuevo virus y se descubre su antídoto, rápidamente el antivirus perimetral lo podrá interceptar evitando así su propagación. 9.10 Detección De Intrusos Incluso con los sistemas de protección más avanzados, la seguridad absoluta no existe, por lo que siempre es posible que alguien entre dentro de nuestro sistema. Por ello, es necesario, un sistema de detección de intrusos que nos alerte de cuando se produce un fallo en la seguridad de nuestro sistema. En esencia, un sistema de detección de intrusos es como una alarma en una casa. Los sistemas de detección de intrusos pueden actuar en tiempo real: avisan de forma inmediata cuando hay un intruso o a posteriori: analizando el sistema pueden averiguar que ha habido un intruso.
50
Hay varias formas de detectar un intruso: comprobar que un usuario no autorizado se ha conectado en una máquina, deducir que alguien ha entrado por que ha modificado ficheros en el sistema, un comportamiento anómalo en los ordenadores (sobrecarga, fallos continuos, etc.). Los dos tipos más importantes de sistemas de detección de intrusos son los basados en red y los basados en host. • Basados en red: Estos detectores son aplicaciones que están conectadas a la red interna de la empresa y analizan todo el tráfico detectando anomalías que puedan indicar que hay intrusos. La ventaja de estos sistemas es que sirven para todos los equipos de una red, aunque si el tráfico de la red está cifrado no suele ser muy eficientes. • Basados en host: Estos detectores están insta-lados en la misma máquina a proteger y analizan un comportamiento anómalo en el equipo. Estos sistemas suelen ser más eficientes aunque tienen el inconveniente de tener que instalarse en cada ordenador a proteger. Pero cuando se detecta un intruso, ¿qué podemos hacer? Lo más drástico (y efectivo) es apagar el ordenador donde el intruso ha entrado con lo que no podrá hacer más daño. Otras opciones menos drásticas son eliminar los programas que haya arrancado el intruso o bien desconectarlos de la red externa. En muchas ocasiones el intruso sólo se detecta cuando el daño se ha cometido. En este caso hay que analizar el daño causado, como ha podido entrar y poner remedio a este fallo de seguridad. También es necesario denunciar esta intrusión a la policía, aunque si el daño no ha sido grave en muchos casos no se suele denunciar para evitar la mala publicidad que puede producir. 9.11 Denegación De Servicio Como se ha comentado antes la denegación de servicio es un ataque a nuestro sistema en el que alguien abusa de nuestros sistemas informáticos de forma que otros usuarios no puedan utilizarlos. Existen varias formas de evitar este abuso de nuestro sistema: poniendo cotas o límites al uso del sistema a cada usuario.
51
Más difícil de solucionar es cuando esta denegación del servicio se produce porque se satura la red que conecta nuestro sistema al exterior, debido a un ataque masivo de gente. Estos ataques suelen ser de tipo de protesta colectiva y el objetivo es que un grupo muy elevado de usuarios se conecten a un ordenador (por ejemplo una página web) de forma que la red quede saturada y el sistema sea inoperativo. En este caso, la solución la tiene que proporcionar nuestro proveedor de Internet (por ejemplo, rechazando las conexiones en el origen). Recientemente han surgido otros tipos de ataques más elaborados y peligrosos. Se basan en utilizar un conjunto elevado de ordenadores que previamente han sido infectados con un virus, que en determinado momento realizan el ataque a un determinado servidor web, bloqueándolo. 9.12 Redes Privadas Virtuales La evolución de los sistemas de comunicaciones ha permitido nuevas formas de trabajo al permitir el acceso a los sistemas de información de una empresa desde cualquier punto del mundo. No es raro ver un comercial de una empresa en casa del cliente con su portátil conectado al ordenador de la empresa realizando un pedido. O bien, el teletrabajo, gente trabajando con un ordenador en su casa. Incluso, empleados con agendas electrónicas (o PDA) que consultan el correo electrónico de la empresa con conexión inalámbrica. Esto nuevos medios de acceso a la información de la empresa es un arma de doble filo: permite una mayor flexibilidad al empleado pero aumenta los riesgos de acceso a la información. Dado que la información viaja desde el punto donde está el empleado a la empresa por medio de redes de comunicaciones que la empresa no controla, esta información está más expuesta a posibles interceptaciones. Por ejemplo, si nos conectamos desde casa por medio de un modem, no es difícil que un intruso pinche la línea y espíe lo que se transmite por ello. La solución a estos problemas se concreta en lo que se denomina Redes Privadas Virtuales: el objetivo es que el cualquier ordenador que se conecte remotamente tenga un canal de comunicaciones tan seguro como si estuviese
52
dentro de la empresa. Para ello se suelen utilizar los estándares de seguridad IPSec y EAP). 9.13 Seguridad Física La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta acceder físicamente a una sala de operaciones de la misma. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial". Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
9.13.1 Tipos de Desastres Cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos.. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.
53
Las principales amenazas que se prevén en la seguridad física son: 1. Desastres naturales, incendios accidentales tormentas e inundaciones. 2. Amenazas ocasionadas por el hombre. 3. Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara. A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno. A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos. •
Incendios
•
Inundaciones
•
Condiciones Climatológicas
•
Señales de Radar
•
Instalaciones Eléctricas
•
Ergometría
9.13.2 Acciones Hostiles •
Robo: La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora.
54
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro •
Fraude
•
Sabotaje: Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc.
9.13.3 Control de Accesos El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. •
Utilización de Guardias
•
Utilización de Detectores de Metales: La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.
•
Utilización de Sistemas Biométricos
•
Verificación Automática de Firmas (VAF): Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La
55
secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada. •
Seguridad con Animales Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.
•
Protección Electrónica
X. PRINCIPALES SISTEMAS QUE ESTAN PROPENSOS A SUFRIR UN DELITO INFORMATICO Evidentemente el artículo que resulta más atractivo robar es el dinero o algo de valor. Por lo tanto, los sistemas que pueden estar más expuestos a fraude son los que tratan pagos, como los de nómina, ventas, o compras. En ellos es donde es más fácil convertir transacciones fraudulentas en dinero y sacarlo de la empresa. Por razones similares, las empresas constructoras, bancos y compañías de seguros, están más expuestas a fraudes que las demás.
56
Los sistemas mecanizados son susceptibles de pérdidas o fraudes debido a que: Tratan grandes volúmenes de datos e interviene poco personal, lo que impide verificar todas las partidas. •
Se sobrecargan los registros magnéticos, perdiéndose la evidencia auditable o la secuencia de acontecimientos.
•
A veces los registros magnéticos son transitorios y a menos que se realicen pruebas dentro de un período de tiempo corto, podrían perderse los detalles de lo que sucedió, quedando sólo los efectos.
•
Los sistemas son impersonales, aparecen en un formato ilegible y están controlados parcialmente por personas cuya principal preocupación son los aspectos técnicos del equipo y del sistema y que no comprenden, o no les afecta, el significado de los datos que manipulan.
•
En el diseño de un sistema importante es difícil asegurar que se han previsto todas las situaciones posibles y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir. Los sistemas tienden a ser algo rígidos y no siempre se diseñan o modifican al ritmo con que se producen los acontecimientos; esto puede llegar a ser otra fuente de «agujeros».
•
Sólo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el centro de cálculo puede llegar a ser un centro de información. Al mismo tiempo, el centro de cálculo procesará muchos aspectos similares de las transacciones.
•
En el centro de cálculo hay un personal muy inteligente, que trabaja por iniciativa propia la mayoría del tiempo y podría resultar difícil implantar unos niveles normales de control y supervisión.
•
El error y el fraude son difíciles de equiparar. A menudo, los errores no son iguales al fraude. Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la investigación puede abandonarse antes de llegar a esa conclusión. Se tiende a empezar buscando errores de programación y del sistema. Si falla esta operación, se buscan fallos
57
técnicos y operativos. Sólo cuando todas estas averiguaciones han dado resultados negativos, acaba pensándose en que la causa podría ser un fraude.
XI. ARTICULOS DE LA LEGISLACION MEXICANA QUE TIENEN QUE VER CON LOS DELITOS INFORMATICOS Es necesario reconocer que actualmente México cuenta con distintas leyes que hablan sobre el derecho informático y sobre los derechos de autor. Entre ellas tenemos: 11.1 Código Penal Federal Libro Segundo Título Noveno: Revelaciones secretos y acceso ilícito a sistemas y equipos de informática Capítulo II: acceso ilícito a sistemas y equipos de informática
58
“Artículo 211 bis 1: Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrá de seis meses a dos años de prisión y de 100 a 300 días multa. Al que sin autorización conozca o copia información contenida en sistemas fue equipos de informática protegidos por algún mecanismo la, se le impondrá de tres meses a un año de prisión y de 50 a 150 días multa.” “Artículo 211 bis 2: Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días de multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.” “Artículo 211bis 3: Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa.” “Artículo 211 bis 4. Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero,
59
protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa”. “Artículo 211 bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque perdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este artículo se incrementaran en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero”. “Artículo 211 bis 6: Para los efectos de los Artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código”. “Artículo 211 bis 7: Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno”. 11.2 Ley Federal Del Derecho De Autor En la Ley Federal del Derecho de Autor publicada por decreto de 18 de diciembre de 1996, la cual entró en vigor el 18 de marzo de 1997.6, en su Capítulo IV se regula todo lo relativo a la protección de los programas de computación, a las bases de datos y a los derechos autorales relacionados con ambos. En este sentido, los artículos 101,102, 229,424, 424 bis del citado ordenamiento legal han sufrido reformas con las cuales se ha logrado tipificar, aunque muy vagamente a los delitos informáticos y electrónicos.
60
Titulo Cuarto De La Protección Al Derecho De Autor Capítulo IV: De Los Programas De Computación Y Las Bases De Datos “Art. 101: Se entiende por programa de computación la expresión original en cualquier forma, lenguaje o código, de un conjunto de instrucciones que, con una secuencia, estructura y organización determinada, tiene como propósito que una computadora o dispositivo realice una tarea o función específica”. “Art. 102: Los programas de computación se protegen en los mismos términos que las obras literarias. Dicha protección se extiende tanto a los programas operativos como a los programas aplicativos, ya sea en forma de código fuente o de código objeto. Se exceptúan aquellos programas de cómputo que tengan por objeto causar efectos nocivos a otros programas o equipos”.
Titulo Décimo Segundo De Los Procedimientos Administrativos Capítulo I: De Las Infracciones En Materia De Derechos De Autor “Art. 229: Son infracciones en materia de derecho de autor: I. Celebrar el editor, empresario, productor, empleador, organismo de radiodifusión o licenciatario un contrato que tenga por objeto la transmisión de derechos de autor en contravención a lo dispuesto por la presente ley; II. Infringir el licenciatario los términos de la licencia obligatoria que se hubiese declarado conforme al artículo 146 la presente ley; III. Ostentarse como sociedad de gestión colectiva sin haber obtenido el registro correspondiente ante el instituto; IV. No proporcionar, sin causa justificada, al instituto, siendo administrador de una sociedad de gestión colectiva los informes y documentos a que se refieren los artículos 204 fracción iv y 207 de la presente ley; V. No insertar en una obra publicada las menciones a que se refiere el artículo 17 de la presente ley; VI. Omitir o insertar con falsedad en una edición los datos a que se refiere el artículo 53 de la presente ley; VII. Omitir o insertar con falsedad las menciones a que se refiere el artículo 54 de la presente ley;
61
VIII. No insertar en un fonograma las menciones a que se refiere el artículo 132 de la presente ley; IX. Publicar una obra, estando autorizado para ello, sin mencionar en los ejemplares de ella el nombre del autor, traductor, compilador, adaptador o arreglista; X. Publicar una obra, estando autorizado para ello, con menoscabo de la reputación del autor como tal y, en su caso, del traductor, compilador, arreglista o adaptador; XI. Publicar antes que la federación, los estados o los municipios y sin autorización las obras hechas en el servicio oficial; XII. Emplear dolosamente en una obra un título que induzca a confusión con otra publicada con anterioridad; XIII. Fijar, representar, publicar, efectuar alguna comunicación o utilizar en cualquier forma una obra literaria y artística, protegida conforme al capítulo III, del título VIII, de la presente ley, sin mencionar la comunidad o etnia, o en su caso la región de la república mexicana de la que es propia, y XIV. Las demás que se deriven de la interpretación de la presente ley y sus reglamentos”. “Artículo 424.- Se impondrá prisión de seis meses a seis años y de trescientos a tres mil días multa: I. Al que especule en cualquier forma con los libros de texto gratuitos que distribuye la Secretaría de Educación Pública; II. Al editor, productor o grabador que a sabiendas produzca más números de ejemplares de una obra protegida por la Ley Federal del Derecho de Autor, que los autorizados por el titular de los derechos; III. A quien use en forma dolosa, con fin de lucro y sin la autorización correspondiente obras protegidas por la Ley Federal del Derecho de Autor”. “Artículo 424 Bis.- Se impondrá prisión de tres a diez años y de dos mil a veinte mil días multa: I. A quien produzca, reproduzca, introduzca al país, almacene, transporte, distribuya, venda o arriende copias de obras, fonogramas, videogramas o libros, protegidos por la Ley Federal del Derecho de Autor, en forma dolosa,
62
con fin de especulación comercial y sin la autorización que en los términos de la citada Ley deba otorgar el titular de los derechos de autor o de los derechos conexos. Igual pena se impondrá a quienes, a sabiendas, aporten o provean de cualquier forma, materias primas o insumos destinados a la producción o reproducción de obras, fonogramas, videogramas o libros a que se refiere el párrafo anterior, o II. A quien fabrique con fin de lucro un dispositivo o sistema cuya finalidad sea desactivar los dispositivos electrónicos de protección de un programa de computación”.
11.3 Código Penal de Sinaloa En el capítulo V del Código Penal de Sinaloa se establece lo siguiente: Titulo Décimo: Delitos Contra El Patrimonio Capítulo V: Delito Informático “Artículo 217: Comete delito informático, la persona que dolosamente y sin derecho: I. Use o entre a una base de datos, sistema de computadoras o red de computadoras o a cualquier parte de la misma, con el propósito de diseñar, ejecutar o alterar un esquema o artificio, con el fin de defraudar, obtener dinero, bienes o información; o II. Intercepte, interfiera, reciba, use, altere, dañe o destruya un soporte lógico o programa de computadora o los datos contenidos en la misma, en la base, sistema o red. Al responsable de delito informático se le impondrá una pena de seis meses a dos años de prisión y de noventa a trescientos días multa”. 11.4 Legislación Penal del Distrito Federal De igual manera en la legislación Penal del Distrito Federal se lee en su Capítulo III el fraude, referente a los delitos electrónicos en sus Artículos 386 y 387 fracciones VI, X, XXII y 388 que a la letra dicen:
63
“Artículo 386.- Comete el delito de fraude el que engañando a uno o aprovechándose del error en que este se halla se hace ilícitamente de alguna cosa o alcanza un lucro indebido. El delito de fraude se castigará con las penas siguientes: I. Con prisión de tres meses a tres años o multa de cien a trescientos días multa, cuando el valor de lo defraudado no exceda de quinientas veces el salario mínimo; II. Con prisión de tres a cinco años y multa de trescientos a mil días multa, cuando el valor de lo defraudado exceda de quinientas, pero no de cinco mil veces el salario mínimo; y III. Con prisión de cinco a doce años y multa de mil a tres mil días multa, si el valor de lo defraudado fuere mayor de cinco mil veces el salario mínimo”. “Artículo 387.- Las mismas penas señaladas en el artículo anterior, se impondrán: VI.- Al que hubiere vendido una cosa mueble y recibido su precio, si no la entrega dentro de los quince días del plazo convenido o no devuelve su importe en el mismo término, en el caso de que se le exija esto último. X.- Al que simulare un contrato, un acto o escrito judicial, con perjuicio de otro o para obtener cualquier beneficio indebido. XXII. Al que, para obtener algún beneficio para sí o para un tercero, por cualquier medio accese, entre o se introduzca a los sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la Institución”. “Artículo 388.- Al que por cualquier motivo teniendo a su cargo la administración o el cuidado de bienes ajenos, con ánimo de lucro perjudique al titular de estos, alterando las cuentas o condiciones de los contratos, haciendo aparecer operaciones o gastos inexistentes o exagerando los reales, ocultando o reteniendo valores o empleándolos indebidamente, o a sabiendas realice operaciones perjudiciales al patrimonio del titular en beneficio propio o de un tercero, se le impondrán las penas previstas para el delito de fraude”.
64
XII. COMO DEFENDER UN DELITO INFORMATICO Fraude Informático: Para defender este caso necesito presentar todos los recibos de pago para que se den cuenta que los ingresos que él ha recibido son por medio de algunas deudas que tenían las algún personal con él.
XIII. PERSONAS Y SU FUNCION Todas las personas que firmaron dichosos recibos de pago se presentarían a declaran, a favor de mi cliente.
65
XIV. CONCLUSIÓN Podemos ver que en materia legislativa México no cuenta con leyes bien definidas sobre el delito informático. Existen muchos tipos de delitos informáticos y lo decepcionante es que día con día la cantidad de personas que los realizan crecen llevando a si de manera exponencial al crecimiento de personas que sufren estos delitos. Toda la información que se encuentra es información que no es verídica, pero aun así es de gran ayuda porque nos damos una pequeña idea de lo que trata el tema
XV. CONCLUSIONES DE LA MATERIA Me quedo con una retroalimentación de lo que ya alguna vez lleve en la preparatoria aunque si hace falta un poco de organización en las prácticas. La materia en si es agradable, pero lo que más me agrado es que no fue una materia tediosa, en la que se intentó manejar las cosas de manera diferente con más interactividad con los compañeros con ayuda de las exposiciones. De la materia lo único que no me agrado fue que llevamos muy poco trabajo práctico. Sugiero que se trabaje más de una manera práctica, que los, trabajos se realicen con computadoras para hacer más entendible. Yo en lo personal creo que llevar esta materia es importante para nuestro desarrollo personal ya que en la actualidad es básico que una persona maneje una computadora con los programas básico y si un sabe utilizarla casi a la perfección es mejor; actualmente una persona que no sabe cómo manejar una computadora es considerado un analfabeto.
66
XVI. BIBLIOGRAFIA S. Garfinkel y G.Spafford, "Practical Unix and Internet Security". O'Reilly and Associates, Inc. Second Edition 1996. J.A.Labodía, "Protección de la informática a través del cifrado", Manuales formativos ACTA. Número 16, Año 2000[ "Computer Crime Survey" del FBI, proporcionado por Secure Site E-News del 22 de mayo de 1999, A. Menezes, P. van Oorschot and S. Vanstone, "Hand-book of Applied Cryptography", CRC Press, 1996. A. Householder, K. Houle and C.Dougherty, "Com-puter Attack Trends Challenge Internet Security", Se-curity and Privacy. IEEE Press. 2002. G.Álvarez, "Sistemas de detección de intrusos", PCWorld, Enero 2003. R.A.Kemmerer and G.Vigna, "Intrusion Detection: A brief History and Overview." Security and Privacy. IEEE Press. 2002. PCWord, "Seguridad: ¿cómo pueden preservarse las empresas?. Suplemento PCWorld Número 116. Marzo 2003. (SEGURIDAD) El Financiero “Estadística de los delitos informáticos en México” Código Penal Federal. Franco Guzmán, Ricardo. .Análisis de los Delitos Informáticos.. 1ª ed., Ed. Porrúa. México, 2005.p. 79. Código Penal y de Procedimientos Penales del Estado de Sinaloa.. Ed. Anaya. México, 1996. Franco Guzmán, Ricardo. .Análisis de los Delitos Informáticos.. 1ª ed., Ed. Porrúa. México, 2005.p 77. Ley Federal Del Derecho De Autor Legislación Penal del Distrito Federal
67
http://info4.juridicas.unam.mx/ijure/tcfed/8.htm?s= TELLEZ VALDÉS, Julio. “Los Delitos informáticos. Editorial Temis 1999. TELLEZ VALDÉS, Julio. “Los Delitos informáticos. Situación en México”, Informática y Derecho Nº 9, 10 y 11, UNED, Centro Regional de Extremadura, Mérida, 1996, pág. 461 474
68