“AÑO DE LA PROMOCIÓN DE LAINDUSTRIA RESPONSABLE Y

DEL COMPROMISORESPONSABLE”

UNIVERSIDAD NACIONAL DE SAN MARTÍN

FACULTAD DE INGENIERÍA DE SISTEMAS EINFORMÁTICA

LEGISLACIÓN INORMÁTICA

TEMA : DELITOS INFORMÁTICOS

DOCENTE : ING. GILBERTO PAREDES GARCÍA

INTEGRANTES : Chong Bartra Karla Suleyka

Pezo López Cintia Yaquelin

TARAPOTO – PERÚ

2014 – I

INTRODUCCIÓN

Es indiscutible la enorme importancia que tiene la Interneten todos los ámbitos de la actividad humana en estemomento, cada día son millones las transaccionescomerciales que se dan en la red, el intercambio deinformación entre las diferentes empresas y los millones decontactos sociales de todo tipo que se ofrecen en la red,por eso mismo la mayor parte de los usuarios ven en laInternet una posibilidad maravillosa de realizar estosintercambios encontrándose con situaciones muy positivas,pero también al margen de todo eso, hay muchas personas entodo el mundo que también exploran el lado oscuro que tieneInternet, como toda creación humana, hay este otro lado oscuro, que atenta contra todas estas sanas intenciones; elfraude, el abuso de confianza, el robo, la estafaelectrónica, falsas loterías, el engaño, piratería,extorsiones, amenazas, calumnias, injurias, pornografía,explotación sexual infantil son algunos de los delitos quemás frecuentemente se están encontrando en la red.

Es difícil concebir la vida actualmente sin la intervenciónque en ella tiene el uso de la informática, en su sentidomás amplio. En los finales del siglo, además, hanconvergido la tecnología de la información y

DELITOS INFORMÁTICOS 2

comunicaciones, dando lugar a la llamada telemática, y endefinitiva, a que hayamos entrado en la "era de lainformación".

En el siguiente trabajo hacemos un investigación completade toda la telemática en lo que refiere a este tema, loscasos que impactaron a nivel mundial, el efecto de estos endiferentes áreas, como poder minimizar la amenaza de losdelitos a través de la seguridad, las políticas deseguridad, los aspectos de la legislación informática desdeel punto general, todo ello no dará un alcance de cómopodemos prevenir diferentes sucesos que puedan ocurrir enel mundo real.

INDICE

1. CASOS DE IMPACTO DE DELITOS INFORMÁTICOS....................41.1. Holland, Wau y Wenery, Steffen..........................41.2. Murphy Ian, Captain Zap.................................51.3. Morris Robert...........................................61.4. Smith, David............................................61.5. Poulsen Kevin, Dark Dante...............................7

2. SEGURIDAD CONTRA LOS DELITOS INFORMÁTICOS...................82.1. Seguridad en Internet...................................82.2. Medidas de Seguridad en Red............................10

DELITOS INFORMÁTICOS 3

2.2.1. Firewalls:..........................................102.2.2. Firma Digital.......................................112.2.3. Seguridad en WWW....................................12

3. POLÍTICAS DE SEGURIDAD.....................................123.1. ¿Por qué se necesita una política de seguridad?........13

4. LEGISLACIÓN SOBRE DELITOS INFORMÁTICOS. PANORAMA GENERAL...155. ANÁLISIS LEGISLATIVO.......................................176. LEGISLACIÓN – CONTEXTO INTERNACIONAL.......................197. CONCLUSIONES...............................................238. BIBLIOGRAFÍA...............................................24

1.CASOS DE IMPACTO DE DELITOS INFORMÁTICOS

1.1. Holland, Wau y Wenery, SteffenDe visita en la NASA «Las dos de la madrugada,Hannover, ciudad Alemana, estaba en silencio. Laprimavera llegaba a su fin, y dentro del cuartocerrado el calor ahogaba. Hacía rato que WauHolland y Steffen Wernery permanecían sentadosfrente a la pantalla de una computadora, casiinmóviles, inmersos en una nube de humo cambiando

DELITOS INFORMÁTICOS 4

ideas en susurros. - Desde acá tenemos que poderllegar. -murmuró Wau. - Mse. Hay que averiguarcómo -contestó Steffen.-Probemos algunos. Siempre eligen nombresrelacionados con la astronomía, ¿No? - Tengo unmapa estelar: usémoslo. Con el libro sobre lamesa, teclearon uno a uno y por orden, losnombres de las diferentes constelaciones.- «Acceso Denegado» -leyó Wau-; maldición,tampoco es este - Quizá nos esté faltando algunaindicación. Calma.Pensemos. «set» y «host» son imprescindibles...-Obvio; además, es la fórmula. Probemos de nuevo¿Cuál sigue? - Las constelaciones se terminaron.Podemos intentar con las estrellas. A ver...¿Castor, una de las dos más brillantes deGéminis? - Set Host Castor deletreó Wau mientrastecleaba.Cuando la computadora comenzó a ronronear, WauHolland y Steffen Wernery supieron que habíanlogrado su objetivo. Segundos más tarde lapantalla mostraba un mensaje: «Bienvenidos a lasinstalaciones VAX del cuartel general, de laNASA». Wau sintió un sacudón y atinó a escribiren su cuaderno: «Lo logramos, por fin... Sólo hayalgo seguro, la infinita inseguridad de laseguridad».El 2 de mayo de 1987, los dos hackers alemanes,de 23 y 20 años respectivamente, ingresaron sinautorización al sistema de la central deinvestigaciones aeroespaciales más grande delmundo.- ¿Por qué lo hicieron? -Preguntó mesesdespués un periodista norteamericano.- Porque es fascinante. En este mundo seterminaron las aventuras. Ya nadie puede salir acazar dinosaurios o a buscar oro. La únicaaventura posible -respondió Steffen, está en lapantalla de un ordenador. Cuando advertimos que

DELITOS INFORMÁTICOS 5

los técnicos nos habían detectado, les enviamosun telex: «Tememos haber entrado en el peligrosocampo del espionaje industrial, el crimeneconómico, el conflicto este-oeste y la seguridadde los organismos de alta tecnología.Por eso avisamos, y paramos el juego».- El juego puede costar muchas vidas...- ¡Nimedia vida! La red en que entramos no guardainformación ultra secreta; en este momento tiene1,600 subscriptores y 4,000 clientes flotantes.Con esos datos, Steffen anulaba la intención depresentarlos como sujetos peligrosos para elresto de la humanidad». (Hackers, la guerrillainformática - Raquel Roberti).

1.2. Murphy Ian, Captain ZapEn julio de 1981 Ian Murphy, un muchacho de 23años que se autodenominaba «Captain Zap», gananotoriedad cuando entra a los sistemas en la CasaBlanca, el Pentágono, BellSouth Corp. TRW ydeliberadamente deja su currículum.En 1981, no había leyes muy claras para prevenirel acceso no autorizado a las computadorasmilitares o de la casa blanca. En ese entoncesIan Murphy de 24 años de edad, conocido en elmundo del hacking como «Captain Zap,».Mostró la necesidad de hacer más clara lalegislación cuando en compañía de un par deamigos y usando una computadora y una líneatelefónica desde su hogar viola los accesosrestringidos a compañías electrónicas, y teníaacceso a órdenes de mercancías, archivos ydocumentos del gobierno. «Nosotros usamos los ala Casa Blanca para hacer llamadas a líneas debromas en Alemania y curiosear archivos militaresclasificados» Explico Murphy. «El violar accesosnos resultaba muy divertido». La Banda de hackersfue finalmente puesta a disposición de la ley».

DELITOS INFORMÁTICOS 6

Con cargos de robo de propiedad, Murphy fuemultado por US $1000 y sentenciado a 2 ½ años deprueba.

1.3. Morris RobertEn noviembre de 1988, Morris lanzo un programa«gusano» diseñado por el mismo para navegar enInternet, buscando debilidades en sistemas deseguridad, y que pudiera correrse y multiplicarsepor sí solo. La expansión exponencial de esteprograma causó el consumo de los recursos demuchísimas computadoras y que más de 6000sistemas resultaron dañados o fueron seriamenteperjudicados. Eliminar al gusano de suscomputadoras causo a las víctimas muchos días deproductividad perdidos, y millones de dólares.Se creó el CERT (Equipo de respuesta deemergencias computacionales) para combatirproblemas similares en el futuro. Morris fuecondenado y sentenciado a tres años de libertadcondicional, 400 horas de servicio comunitario yUS $10,000 de fianza, bajo el cargo de Fraudecomputacional y abuso. La sentencia fuefuertemente criticada debido a que fue muyligera, pero reflejaba lo inocuo de lasintenciones de Morris más que el daño causado. Elgusano producido por Morris no borra ni modificaarchivos en la actualidad. 

1.4. Smith, DavidProgramador de 30 años, detenido por el FBI yacusado de crear y distribuir el virus que habloqueado miles de cuentas de correo, «Melissa».Entre los cargos presentados contra él, figuranel de «bloquear las comunicaciones públicas» y de«dañar los sistemas informáticos». Acusaciones

DELITOS INFORMÁTICOS 7

que en caso de demostrarse en el tribunal podríanacarrearle una pena de hasta diez años de cárcel.Por el momento y a la espera de la decisión quehubiese tomado el juez, David Smith está enlibertad bajo fianza de 10.000 dólares. Melissaen su «corta vida» había conseguido contaminar amás de 100,000 ordenadores de todo el mundo,incluyendo a empresas como Microsoft, Intel,Compaq, administraciones públicas estadounidensescomo la del Gobierno del Estado de Dakota delNorte y el Departamento del Tesoro.En España su «éxito» fue menor al desarrollarseuna extensa campaña de información, que alcanzoincluso a las cadenas televisivas, alertando alos usuarios de la existencia de este virus. Ladetención de David Smith fue fruto de lacolaboración entre los especialistas del FBI y delos técnicos del primer proveedor de servicios deconexión a Internet de los Estados Unidos,América On Line. Los ingenieros de América OnLine colaboraron activamente en la investigaciónal descubrir que para propagar el virus, Smithhabía utilizado la identidad de un usuario de suservicio de acceso. Además, como otrosproveedores el impacto de Melissa había afectadode forma sustancial a buzones de una gran partede sus catorce millones de usuarios.Fue precisamente el modo de actuar de Melissa,que remite a los cincuenta primeros inscritos enla agenda de direcciones del cliente de correoelectrónico «Outlook Express», centenares dedocumentos «Office» la clave para encontrar alautor del virus. Los ingenieros rastrearon losprimeros documentos que fueron emitidos por elcreador del virus, buscando encontrar los signosde identidad que incorporan todos los documentosdel programa ofimático de Microsoft «Office» yque en más de una ocasión han despertado la

DELITOS INFORMÁTICOS 8

alarma de organizaciones en defensa de laprivacidad de los usuarios. Una vez desmontado elpuzzle de los documentos y encontradas las clavesse consiguió localizar al creador de Melissa. Sinembargo, la detención de Smith no significa queel virus haya dejado de actuar.Compañías informáticas siguen alertando que aúnpueden quedar miles de usuarios expuestos a susefectos, por desconocimiento o por no haberinstalado en sus equipos sistemas antivíricos quefrenen la actividad de Melissa u otros virus, quehan venido apareciendo últimamente como Happy99 oPapa.

1.5. Poulsen Kevin, Dark DanteDiciembre de 1992 Kevin Poulsen, un pirata infameque alguna vez utilizo el alias de «Dark Dante»en las redes de computadoras es acusado de robarórdenes de tarea relacionadas con un ejercicio dela fuerza aérea militar americana. Se acusa aPoulsen del robo de información nacional bajo unasección del estatuto de espionaje federal yencara hasta 10 años en la cárcel.Siguió el mismo camino que Kevin Mitnick, pero esmás conocido por su habilidad para controlar elsistema telefónico de Pacific Bell. Incluso llegóa «ganar» un Porsche en un concurso radiofónico,si su llamada fuera la 102, y así fue.Poulsen también crackeó todo tipo de sitios, peroél se interesaba por los que contenían materialde defensa nacional.Esto fue lo que lo llevó a su estancia en lacárcel, 5 años, fue liberado en 1996,supuestamente «reformado». Que dicho sea de paso,es el mayor tiempo de estancia en la cárcel queha comparecido un hacker.

DELITOS INFORMÁTICOS 9

2.SEGURIDAD CONTRA LOS DELITOS INFORMÁTICOS

2.1. Seguridad en InternetHoy en día, muchos usuarios no confían en laseguridad del Internet. En 1996, IDC Researchrealizó una encuesta en donde el 90% de losusuarios expresó gran interés sobre la seguridaddel Internet, pues temen que alguien puedaconseguir el número de su tarjeta de créditomediante el uso de la Red.

Ellos temen que otros descubran su código deacceso de la cuenta del banco y entoncestransferir fondos a la cuenta del hurtador. Lasagencias de gobierno y los bancos tienen granpreocupación en dar información confidencial apersonas no autorizadas. Las corporacionestambién se preocupan en dar información a losempleados, quienes no están autorizados al accesode esa información o quien trata de curiosearsobre una persona o empleado. Las organizacionesse preocupan que sus competidorestengan conocimiento sobre información patentadaque pueda dañarlos.

Aunque los consumidores tienden a agrupar susintereses juntos por debajo del término de laseguridad general, hay realmente varias partes dela seguridad que confunden. La Seguridadsignifica guardar "algo seguro ". "Algo" puedeser un objeto, tal como un secreto, mensaje,aplicación, archivo, sistema o una comunicacióninteractiva. "Seguro" los medios son protegidosdesde el acceso, el uso o alteración noautorizada.

Para guardar objetos seguros, es necesario losiguiente:

DELITOS INFORMÁTICOS 10

La autenticación (promesa de identidad),es decir la prevención de suplantaciones,que se garantice que quien firma unmensaje es realmente quien dice ser.

La autorización (se da permiso a unapersona o grupo de personas de poderrealizar ciertas funciones, al resto se leniega el permiso y se les sanciona si lasrealizan).

La privacidad o confidencialidad, es elmás obvio de los aspectos y se refiere aque la información solo puede ser conocidapor individuos autorizados. Existeninfinidad de posibles ataques contra laprivacidad, especialmente en lacomunicación de los datos. La transmisióna través de un medio presenta múltiplesoportunidades para ser interceptada ycopiada: las líneas "pinchadas" laintercepción o recepción electromagnéticano autorizada o la simple intrusióndirecta en los equipos donde lainformación está físicamente almacenada.

La integridad de datos, La integridad serefiere a la seguridad de que unainformación no ha sido alterada, borrada,reordenada, copiada, etc., bien duranteel proceso de transmisión o en su propioequipo de origen. Es un riesgo común queel atacante al no poder descifrar unpaquete de información y, sabiendo que esimportante, simplemente lo intercepte y loborre.

La disponibilidad de la información, serefiere a la seguridad que la informaciónpueda ser recuperada en el momento que senecesite, esto es, evitar su pérdida obloqueo, bien sea por ataque doloso, malaoperación accidental o situacionesfortuitas o de fuerza mayor.

DELITOS INFORMÁTICOS 11

No rechazo (la protección contra alguienque niega que ellos originaron lacomunicación o datos).

Controles de acceso, esto es quien tieneautorización y quien no para acceder a unapieza de información determinada.

Son los requerimientos básicos para la seguridad,que deben proveerse de una manera confiable. Losrequerimientos cambian ligeramente, dependiendode lo que se está asegurado. La importancia de loque se está asegurando y el riesgo potencialinvolucra en dejar uno de estos requerimientos otener que forzar niveles más altos de seguridad.Estos no son simplemente requerimientos para elmundo de la red, sino también para el mundofísico.

En la tabla siguiente se presenta una relaciónde los intereses que se deben proteger y susrequerimientos relacionados:

DELITOS INFORMÁTICOS 12

Intereses RequerimientosFraude Autenticación

Acceso no Autorizado Autorización

Curiosear PrivacidadAlteración de

MensajeIntegridad de

Datos

Desconocido No - Rechazo

Estos intereses no son exclusivos de Internet. Laautenticación y el asegurar los objetos es unaparte de nuestra vida diaria. La comprensión delos elementos de seguridad y como ellos trabajanen el mundo físico, puede ayudar para explicarcómo estos requerimientos se encuentran en elmundo de la red y dónde se sitúan lasdificultades.

2.2. Medidas de Seguridad en RedExisten numerosas técnicas para proteger laintegridad de los sistemas. Lo primero que sedebe hacer es diseñar una política de seguridad.En ella, definir quiénes tienen acceso a lasdiferentes partes de la red, poner proteccionescon contraseñas adecuadas a todas las cuentas, ypreocuparse de hacerlas cambiar periódicamente(Evitar las passwords "por defecto" o demasiadoobvias).

2.2.1. Firewalls: Existen muchas y muypotentes herramientas de cara a la seguridadde una red informática. Una de las manerasdrásticas de no tener invasores es la de ponermurallas. Los mecanismos más usados para laprotección de la red interna de otras externasson los firewalls o cortafuegos. Estos tienenmuchas aplicaciones, entre las más usadasestá:

Packet filter (filtro de paquetes). Se basaen el tratamiento de los paquetes IP a losque aplica unas reglas de filtrado que lepermiten discriminar el tráfico segúnnuestras indicaciones.Normalmente se implementa mediante un router.Al tratar paquetes IP, los filtros quepodremos establecer serán a nivel dedirecciones IP, tanto fuente como destino.

DELITOS INFORMÁTICOS 13

La lista de filtros se aplican secuencialmente,de forma que la primera regla que el paquetecumpla marcará la acción a realizar (descartarloo dejarlo pasar). La aplicación de las listas defiltros se puede hacer en el momento de entradadel paquete o bien en el de salida o en ambos. 

La protección centralizada es la ventaja másimportante del filtrado de paquetes. Con unúnico enrutador con filtrado de paquetes situadoestratégicamente puede protegerse toda una red.

2.2.2. Firma DigitalEl cifrado con clave pública permite generarfirmas digitales que hacen posible certificar laprocedencia de un mensaje, en otras palabras,asegurar que proviene de quien dice. De estaforma se puede evitar que alguien suplante a unusuario y envíe mensajes falsos a otro usuario,por la imposibilidad de falsificar la firma.Además, garantizan la integridad del mensaje, esdecir, que no ha sido alterado durante latransmisión. La firma se puede aplicar a unmensaje completo o puede ser algo añadido almensaje.

DELITOS INFORMÁTICOS 14

Las firmas son especialmente útiles cuando lainformación debe atravesar redes sobre las queno se tiene control directo y, en consecuencia,no existe posibilidad de verificar de otra formala procedencia de los mensajes.

Existen varios métodos para hacer uso de lafirma digital, uno de ellos es el siguiente:"quien envía el mensaje lo codifica con su claveprivada. Para descifrarlo, sólo puede hacersecon la clave pública correspondiente a dichapersona o institución. Si efectivamente condicha clave se descifra es señal de que quiendice que envió el mensaje, realmente lo hizo".

Firma digital formada encriptando con la claveprivada del emisor:

E: Encriptar / D: Desencriptar.KP: Encriptación utilizando la Clave Privada.KV: Encriptación utilizando la Clave Pública.M: Mensaje.

2.2.3. Seguridad en WWW¿Es posible hacer un formulario seguro?

Para hacer un formulario se debe tenerun servidor seguro.

DELITOS INFORMÁTICOS 15

En primer lugar los formularios pueden tener"agujeros" a través de los que un hackerhábil, incluso poco hábil, puede"colar" comandos.La red es totalmente pública y abierta, lospaquetes pasan por máquinas de las que no setiene conocimiento y a las que puede teneracceso la gente que le guste husmear eltráfico de la red. Si es así (y no tienen queser necesariamente hackers malintencionados,algunos proveedores de servicio lo hacen) sólose puede recurrir a encriptar el tráfico pormedio, en WWW, de servidores y clientesseguros.

3.POLÍTICAS DE SEGURIDAD

Proveer acceso a los servicios de la red de unaempresa y proveer acceso al mundo exterior a través dela organización, da al personal e institución muchosbeneficios. Sin embargo, a mayor acceso que se provea,mayor es el peligro de que alguien explote lo queresulta del incremento de vulnerabilidad.

De hecho, cada vez que se añade un nuevo sistema,acceso de red o aplicación se agregan vulnerabilidadespotenciales y aumenta la mayor dificultad ycomplejidad de la protección. Sin embargo, si se estádispuesto a enfrentar realmente los riesgos, esposible cosechar los beneficios de mayor accesomientras se minimizan los obstáculos. Para lograresto, se necesitará un plan complejo, así como losrecursos para ejecutarlo. También se debe tener unconocimiento detallado de los riesgos que puedenocurrir en todos los lugares posibles, así como lasmedidas que pueden ser tomadas para protegerlos.

En algunos aspectos, esto puede parecer una cargaabrumadora, y podría muy bien serlo, especialmente enorganizaciones pequeñas que no tienen personal experto

DELITOS INFORMÁTICOS 16

en todos los temas. Alguien podría estar tentado paracontratar un consultor de seguridad y hacerlo con él;aunque esto puede ser una buena manerapara outsourcing, todavía necesita saber lo suficientey observar la honestidad del consultor. Después detodo, se le va a confiar a ellos los bienes másimportantes de la organización.

Para asegurar una red adecuadamente, no solamente senecesita un profundo entendimiento de lascaracterísticas técnicas de los protocolos de red,sistemas operativos y aplicaciones que son accesadas,sino también lo concerniente al planeamiento. El planes el primer paso y es la base para asegurar que todaslas bases sean cubiertas.

3.1. ¿Por qué se necesita una política de seguridad?

La imagen que frecuentemente viene a la mente cuando sediscute sobre seguridad está la del gran firewall quepermanece al resguardo de la apertura de su red,defendiendo de ataques de malévolos hackers. Aunque unfirewall jugará un papel crucial, es sólo unaherramienta que debe ser parte de una estrategia máscomprensiva y que será necesaria a fin de protegerresponsablemente los datos de la red. Por una parte,sabiendo cómo configurar un firewall para permitir lascomunicaciones que se quiere que ingresen, mientrassalvaguarda otros datos, es un hueso muy duro de roer.

Aun cuando se tenga las habilidades y experiencianecesaria para configurar el firewall correctamente,será difícil conocer la administración de riesgos queestá dispuesto a tomar con los datos y determinar lacantidad de inconveniencias a resistir paraprotegerlos. También se debe considerar cómo asegurarlos hosts que están siendo accesados. Incluso con laprotección de firewall, no hay garantía que no se puedadesarrollar alguna vulnerabilidad. Y es muy probableque haya un dispositivo en peligro. Los modems, porejemplo, pueden proveer un punto de acceso a su red que

DELITOS INFORMÁTICOS 17

completamente sobrepase su firewall. De hecho, unfirewall puede aumentar la probabilidad que alguienestablecerá un módem para el acceso al Internetmediante otro ISP (ISP - Internet Service Providers,cualquier empresa o institución que provea de conexióna Internet), por las restricciones que el firewallpuede imponer sobre ellos (algo para recordar cuando seempieza a configurar su firewall). Se puede proveerrestricciones o "protección," que puede resultar serinnecesario una vez que las consecuencias se entiendenclaramente como un caso de negocio. Por otra parte, losriesgos pueden justificar el incremento derestricciones, resultando incómodo. Pero, a menos queel usuario esté prevenido de estos peligros y entiendaclaramente las consecuencias para añadir el riesgo, nohay mucho que hacer.

Los temas legales también surgen.¿Qué obligaciones legales tiene para proteger suinformación? Si usted está en una compañíade publicidad puede tener algunas responsabilidadesdefinitivas al respecto.

Asegurar sus datos involucra algo más que conectarse enun firewall con una interface competente. Lo que senecesita es un plan comprensivo de defensa. Y senecesita comunicar este plan en una manera que puedaser significativo para la gerencia y usuarios finales.Esto requiere educación y capacitación, conjuntamentecon la explicación, claramente detallada, de lasconsecuencias de las violaciones. A esto se le llamauna "política de seguridad" y es el primer paso paraasegurar responsablemente la red. La política puedeincluir instalar un firewall, pero no necesariamente sedebe diseñar su política de seguridad alrededor de laslimitaciones del firewall.

Elaborar la política de seguridad no es una tareatrivial. Ello no solamente requiere que el personaltécnico comprenda todas las vulnerabilidades que están

DELITOS INFORMÁTICOS 18

involucradas, también requiere que ellos se comuniquenefectivamente con la gerencia. La gerencia debe decidirfinalmente cuánto de riesgo debe ser tomado con elactivo de la compañía, y cuánto se debería gastar enambos, en dólares e inconvenientes, a fin de minimizarlos riesgos. Es responsabilidad del personal técnicoasegurar que la gerencia comprenda las implicaciones deañadir acceso a la red y a las aplicaciones sobre lared, de tal manera que la gerencia tenga la suficienteinformación para la toma de decisiones. Si la políticade seguridad no viene desde el inicio, será difícilimponer incluso medidas de seguridad mínimas. Porejemplo, si los empleados pueden llegar a alterarse siellos imprevistamente tienen que abastecer logins ycontraseñas donde antes no lo hacían, o estánprohibidos particulares tipos de acceso a Internet. Esmejor trabajar con estos temas antes de tiempo y ponerla política por escrito. Las políticas pueden entoncesser comunicadas a los empleados por la gerencia. Deotra forma, los empleados no lo tomarán en serio, o setendrán batallas de políticas constantes dentro de lacompañía con respecto a este punto. No solamente conestas batallas tendrán un impacto negativo sobre laproductividad, es menos probable que la decisión tomadaracionalmente pueda ser capaz de prevalecer en lavehemencia de las guerras políticas.

El desarrollo de una política de seguridad comprende laidentificación de los activosorganizativos, evaluación de amenazas potenciales, laevaluación del riesgo, implementación de lasherramientas y tecnologías disponibles para hacerfrente a los riesgos, y el desarrollo de una políticade uso. Debe crearse un procedimiento de auditoria querevise el uso de la red y servidores de formaperiódica.

Identificación de los activos organizativos: Consisteen la creación de una lista de todas las cosas queprecisen protección.

DELITOS INFORMÁTICOS 19

Por ejemplo:

Hardware: ordenadores y equipos detelecomunicación

Software: programas fuente, utilidades,programas de diagnóstico, sistemas operativos,programas de comunicaciones.

Datos: copias de seguridad, registros deauditoria, bases de datos.

Valoración del riesgo:

Conlleva la determinación de lo que se necesita proteger. No es más que el proceso de examinar todos los riesgos, y valorarlos por niveles de seguridad.

Definición de una política de uso aceptable:

Las herramientas y aplicaciones forman la base técnicade la política de seguridad, pero la política de usoaceptable debe considerar otros aspectos:

¿Quién tiene permiso para usar los recursos? ¿Quién está autorizado a conceder acceso y a

aprobar los usos? ¿Quién tiene privilegios de administración del

sistema? ¿Qué hacer con la información confidencial? ¿Cuáles son los derechos y responsabilidades de

los usuarios?

Por ejemplo, al definir los derechos yresponsabilidades de los usuarios:

Si los usuarios están restringidos, y cuáles sonsus restricciones.

Si los usuarios pueden compartir cuentas o dejarque otros usuarios utilicen sus cuentas.

Cómo deberían mantener sus contraseñas losusuarios.

Con qué frecuencia deben cambiar sus contraseñas.

DELITOS INFORMÁTICOS 20

Si se facilitan copias de seguridad o los usuariosdeben realizar las suyas.

4.LEGISLACIÓN SOBRE DELITOS INFORMÁTICOS.PANORAMA GENERAL

Panorama general

La legislación sobre protección de los sistemasinformáticos ha de perseguir acercarse lo más posiblea los distintos medios de protección ya existentes,creando una nueva regulación sólo en aquellos aspectosen los que, basándose en las peculiaridades del objetode protección, sea imprescindible.

Si se tiene en cuenta que los sistemas informáticos,pueden entregar datos e informaciones sobre miles depersonas, naturales y jurídicas, en aspectos tanfundamentales para el normal desarrollo yfuncionamiento de diversas actividades como bancarias,financieras, tributarias, previsionales y deidentificación de las personas. Y si a ello se agregaque existen Bancos de Datos, empresas o entidadesdedicadas a proporcionar, si se desea, cualquierinformación, sea de carácter personal o sobre materiasde las más diversas disciplinas a un Estado oparticulares; se comprenderá que están en juego opodrían ha llegar a estarlo de modo dramático, algunosvalores colectivos y los consiguientes bienesjurídicos que el ordenamiento jurídico institucionaldebe proteger.

No es la amenaza potencial de la computadora sobre elindividuo lo que provoca desvelo, sino la utilizaciónreal por el hombre de los sistemas de información confines de espionaje.

No son los grandes sistemas de información los queafectan la vida privada sino la manipulación o el

DELITOS INFORMÁTICOS 21

consentimiento de ello, por parte de individuos pococonscientes e irresponsables de los datos que dichossistemas contienen.

La humanidad no está frente al peligro de lainformática sino frente a la posibilidad real de queindividuos o grupos sin escrúpulos, con aspiracionesde obtener el poder que la información puedeconferirles, la utilicen para satisfacer sus propiosintereses, a expensas de las libertades individuales yen detrimento de las personas. Asimismo, la amenazafutura será directamente proporcional a los adelantosde las tecnologías informáticas.

La protección de los sistemas informáticos puedeabordarse tanto desde una perspectiva penal como deuna perspectiva civil o comercial, e incluso dederecho administrativo. Estas distintas medidas deprotección no tienen por qué ser excluyentes unas deotras, sino que, por el contrario, éstas deben estarestrechamente vinculadas. Por eso, dadas lascaracterísticas de esta problemática sólo a través deuna protección global, desde los distintos sectoresdel ordenamiento jurídico, es posible alcanzar unacierta eficacia en la defensa de los ataques a lossistemas informáticos.  

5.ANÁLISIS LEGISLATIVO 14

Un análisis de las legislaciones que se han promulgadoen diversos países arroja que las normas jurídicas quese han puesto en vigor están dirigidas a proteger lautilización abusiva de la información reunida yprocesada mediante el uso de computadoras.Desde hace aproximadamente diez años la mayoría de lospaíses europeos han hecho todo lo posible para incluir

DELITOS INFORMÁTICOS 22

dentro de la ley, la conducta punible penalmente, comoel acceso ilegal a sistemas de cómputo o elmantenimiento ilegal de tales accesos, la difusión devirus o la interceptación de mensajes informáticos.

En la mayoría de las naciones occidentales existennormas similares a los países europeos. Todos estosenfoques están inspirados por la misma preocupación decontar con comunicaciones electrónicas, transacciones eintercambios tan confiables y seguros como sea posible.

Las personas que cometen los «Delitos Informáticos»son aquellas que poseen ciertas características que nopresentan el denominador común de los delincuentes,esto es, los sujetos activos tienen habilidades para elmanejo de los sistemas informáticos y generalmente porsu situación laboral se encuentran en lugaresestratégicos donde se maneja información de caráctersensible, o bien son hábiles en el uso de los sistemasinformatizados, aun cuando, en muchos de los casos, nodesarrollen actividades laborales que faciliten lacomisión de este tipo de delitos.

Con el tiempo se ha podido comprobar que los autoresde los delitos informáticos son muy diversos y que loque los diferencia entre sí es la naturaleza de losdelitos cometidos. De esta forma, la persona que«ingresa» en un sistema informático sin intencionesdelictivas es muy diferente del empleado de unainstitución financiera que desvía fondos de las cuentasde sus clientes.

El nivel típico de aptitudes del delincuenteinformático es tema de controversia ya que para algunosel nivel de aptitudes no es indicador de delincuenciainformática en tanto que otros aducen que los posiblesdelincuentes informáticos son personas listas,decididas, motivadas y dispuestas a aceptar un retotecnológico, características que pudieran encontrarseen un empleado del sector de procesamiento de datos.

DELITOS INFORMÁTICOS 23

Sin embargo, teniendo en cuenta las características yamencionadas de las personas que cometen los «delitosinformáticos», los estudiosos en la materia los hancatalogado como «delitos de cuello blanco» términointroducido por primera vez por el criminólogonorteamericano Edwin Sutherland en el año de 1943.

Efectivamente, este conocido criminólogo señala unsinnúmero de conductas que considera como «delitos decuello blanco», aun cuando muchas de estas conductas noestán tipificadas en los ordenamientos jurídicos comodelitos, y dentro de las cuales cabe destacar las«violaciones a las leyes de patentes y fábrica dederechos de autor, el mercado negro, el contrabando enlas empresas, la evasión de impuestos, las quiebrasfraudulentas, corrupción de altos funcionarios, entreotros».

Asimismo, este criminólogo estadounidense dice quetanto la definición de los «delitos informáticos» comola de los «delitos de cuello blanco» no son de acuerdoal interés protegido, como sucede en los delitosconvencionales sino de acuerdo al sujeto activo que loscomete. Entre las características en común que poseenambos delitos tenemos que: «El sujeto activo del delitoes una persona de cierto status socioeconómico, sucomisión no puede explicarse por pobreza ni por malahabitación, ni por carencia de recreación, ni por bajaeducación, ni por poca inteligencia, ni porinestabilidad emocional».

Es difícil elaborar estadísticas sobre ambos tipos dedelitos. Sin embargo, la cifra es muy alta; no es fácildescubrirlo y sancionarlo, en razón del poder económicode quienes los cometen, pero los daños económicos sonaltísimos; existe una gran indiferencia de la opiniónpública sobre los daños ocasionados a la sociedad; lasociedad no considera delincuentes a los sujetos quecometen este tipo de delitos, no los segrega, no losdesprecia, ni los desvaloriza, por el contrario, elautor o autores de este tipo de delitos se considera a

DELITOS INFORMÁTICOS 24

sí mismos «respetables» otra coincidencia que tienenestos tipos de delitos es que, generalmente, «sonobjeto de medidas o sanciones de carácteradministrativo y no privativos de la libertad».

Este nivel de criminalidad se puede explicar por ladificultad de reprimirla en forma internacional, ya quelos usuarios están esparcidos por todo el mundo y, enconsecuencia, existe una posibilidad muy grande de queel agresor y la víctima estén sujetos a leyesnacionales diferentes. Además, si bien los acuerdos decooperación internacional y los tratados de extradiciónbilaterales intentan remediar algunas de lasdificultades ocasionadas por los delitos informáticos,sus posibilidades son limitadas.Por su parte, el «Manual de la Naciones Unidas para laPrevención y Control de Delitos Informáticos» señalaque cuando el problema se eleva a la escenainternacional, se magnifican los inconvenientes y lasinsuficiencias, por cuanto los delitos informáticosconstituyen una nueva forma de crimen transnacional ysu combate requiere de una eficaz co operacióninternacional concertada. Asimismo, la ONU resume de lasiguiente manera a los problemas que rodean a lacooperación internacional en el área de los delitosinformáticos:

Falta de acuerdos globales acerca de qué tipo deconductas deben constituir delitos informáticos.

Ausencia de acuerdos globales en la definición legalde dichas conductas delictivas.

Falta de especialización de las policías, fiscales yotros funcionarios judiciales en el campo de losdelitos informáticos.

Falta de armonización entre las diferentes leyesprocesales nacionales acerca de la investigación delos delitos informáticos.

DELITOS INFORMÁTICOS 25

Carácter transnacional de muchos delitos cometidosmediante el uso de computadoras.

Ausencia de tratados de extradición, de acuerdos deayuda mutuos y de mecanismos sincronizados quepermitan la puesta en vigor de la cooperacióninternacional.

En síntesis, es destacable que la delincuenciainformática se apoya en el delito instrumentado por eluso de la computadora a través de redes telemáticas yla interconexión de la computadora, aunque no es elúnico medio. Las ventajas y las necesidades del flujonacional e internacional de datos, que aumenta de modocreciente aún en países latinoamericanos, conllevatambién a la posibilidad creciente de estos delitos;por eso puede señalarse que la criminalidad informáticaconstituye un reto considerable tanto para los sectoresafectados de la infraestructura crítica de un país,como para los legisladores, las autoridades policialesencargadas de las investigaciones y los funcionariosjudiciales.  

6.LEGISLACIÓN – CONTEXTO INTERNACIONAL

En el contexto internacional, son pocos los países quecuentan con una legislación apropiada. Entre ellos, sedestacan, Estados Unidos, Alemania, Austria, GranBretaña, Holanda, Francia, España, Argentina y Chile.

Dado lo anterior a continuación se mencionan algunosaspectos relacionados con la ley en los diferentespaíses, así como con los delitos informáticos quepersigue.

Estados Unidos.

Este país adoptó en 1994 el Acta Federal de AbusoComputacional que modificó al Acta de Fraude y AbusoComputacional de 1986.

DELITOS INFORMÁTICOS 26

Con la finalidad de eliminar los argumentoshipertécnicos acerca de qué es y que no es un virus, ungusano, un caballo de Troya y en que difieren de losvirus, la nueva acta proscribe la transmisión de unprograma, información, códigos o comandos que causandaños a la computadora, a los sistemas informáticos, alas redes, información, datos o programas. La nueva leyes un adelanto porque está directamente en contra delos actos de transmisión de virus.

Asimismo, en materia de estafas electrónicas,defraudaciones y otros actos dolosos relacionados conlos dispositivos de acceso a sistemas informáticos, lalegislación estadounidense sanciona con pena de prisióny multa, a la persona que defraude a otro mediante lautilización de una computadora o red informática.

En el mes de Julio del año 2000, el Senado y la Cámarade Representantes de este país -tras un año largo dedeliberaciones- establece el Acta de FirmasElectrónicas en el Comercio Global y Nacional. La leysobre la firma digital pone a la necesidad de darvalidez a documentos informáticos -mensajeselectrónicos y contratos establecidos medianteInternet- entre empresas (para el B2B) y entre empresasy consumidores (para el B2C).

Alemania.

Este país sancionó en 1986 la Ley contra laCriminalidad Económica, que contempla los siguientesdelitos:

Espionaje de datos. Estafa informática. Alteración de datos. Sabotaje informático.

Austria.

La Ley de reforma del Código Penal, sancionada el 22 deDiciembre de 1987, sanciona a aquellos que con dolo

DELITOS INFORMÁTICOS 27

causen un perjuicio patrimonial a un tercero influyendoen el resultado de una elaboración de datos automáticaa través de la confección del programa, por laintroducción, cancelación o alteración de datos o poractuar sobre el curso del procesamiento de datos.Además contempla sanciones para quienes comenten estehecho utilizando su profesión de especialistas ensistemas.

Gran Bretaña.

Debido a un caso de hacking en 1991, comenzó a regir eneste país la Computer Misuse Act (Ley de AbusosInformáticos). Mediante esta ley el intento, exitoso ono, de alterar datos informáticos es penado con hastacinco años de prisión o multas. Esta ley tiene unapartado que específica la modificación de datos sinautorización.

Holanda.

El 1º de Marzo de 1993 entró en vigencia la Ley deDelitos Informáticos, en la cual se penaliza lossiguientes delitos:

El hacking. El preacking (utilización de servicios de

telecomunicaciones evitando el pago total oparcial de dicho servicio).

La ingeniería social (arte de convencer a la gentede entregar información que en circunstanciasnormales no entregaría).

La distribución de virus.

Francia.

En enero de 1988, este país dictó la Ley relativa alfraude informático, en la que se consideran aspectoscomo:

Intromisión fraudulenta que suprima o modifiquedatos.

DELITOS INFORMÁTICOS 28

Conducta intencional en la violación de derechos aterceros que haya impedido o alterado elfuncionamiento de un sistema de procesamientoautomatizado de datos.

Conducta intencional en la violación de derechos aterceros, en forma directa o indirecta, en laintroducción de datos en un sistema deprocesamiento automatizado o la supresión omodificación de los datos que éste contiene, o susmodos de procesamiento o de transmisión.

Supresión o modificación de datos contenidos en elsistema, o bien en la alteración delfuncionamiento del sistema (sabotaje).

España.

En el Nuevo Código Penal de España, se establece que alque causare daños en propiedad ajena, se le aplicarápena de prisión o multa. En lo referente a:

La realización por cualquier medio de destrucción,alteración, inutilización o cualquier otro daño enlos datos, programas o documentos electrónicosajenos contenidos en redes, soportes o sistemasinformáticos.

El nuevo Código Penal de España sanciona en formadetallada esta categoría delictual (Violación desecretos/Espionaje/Divulgación), aplicando pena deprisión y multa.

En materia de estafas electrónicas, el nuevoCódigo Penal de España, solo tipifica las estafascon ánimo de lucro valiéndose de algunamanipulación informática, sin detallar las penas aaplicar en el caso de la comisión del delito.

Chile.

Chile fue el primer país latinoamericano en sancionaruna Ley contra delitos informáticos, la cual entró en

DELITOS INFORMÁTICOS 29

vigencia el 7 de junio de 1993. Esta ley se refiere alos siguientes delitos:

La destrucción o inutilización de los de los datoscontenidos dentro de una computadora es castigadacon penas de prisión. Asimismo, dentro de esasconsideraciones se encuentran los virus.

Conducta maliciosa tendiente a la destrucción oinutilización de un sistema de tratamiento deinformación o de sus partes componentes o quedicha conducta impida, obstaculice o modifique sufuncionamiento.

Conducta maliciosa que altere, dañe o destruya losdatos contenidos en un sistema de tratamiento deinformación.

DELITOS INFORMÁTICOS 30

7.CONCLUSIONES

La falta de cultura informática es un factor críticoen el impacto de los delitos informáticos en lasociedad en general, cada vez se requieren mayoresconocimientos en tecnologías de la información, lascuales permitan tener un marco de referencia aceptablepara el manejo de dichas situaciones. 

 Las nuevas formas de hacer negocios como el comercioelectrónico puede que no encuentre el eco esperado enlos individuos y en las empresas hacia los que vadirigido ésta tecnología, es necesario crearinstrumentos legales efectivos que ataquen éstaproblemática, con el único fin de tener un marco legalque sirva como soporte.

La ocurrencia de delitos informáticos enlas organizaciones alrededor del mundo no debe en

DELITOS INFORMÁTICOS 31

ningún momento impedir que éstas se beneficien de todolo que proveen las tecnologías de información(comunicación remota, Ínter colectividad, comercioelectrónico, etc.); dicha situación debe plantear unreto a los profesionales de la informática, de maneraque se realicen esfuerzos encaminados a robustecer losaspectos de seguridad, controles, integridad de lainformación, etc. en las organizaciones.

8.BIBLIOGRAFÍA

http://myprofetecnologia.wordpress.com/2011/01/30/delitos-informaticos/

http://anforma.blogspot.com/2012/06/medidas-de-seguridad-para-delitos.html

http://www.monografias.com/trabajos6/delin/delin2.shtml

DELITOS INFORMÁTICOS 32

http://icjperu.wordpress.com/2012/05/25/los-delitos-informaticos-en-el-codigo-penal-peruano/

http://actulidaddelitosinformaticos.blogspot.com/ https://docs.google.com/document/d/

1shYhIUuqLCe9MiRteX1b8wsuq9WKG3kQwITiXMZGayk/edit?hl=es&pli=1

http://www.monografias.com/trabajos22/delitos-informaticos/delitos-informaticos.shtml#objet

DELITOS INFORMÁTICOS 33