20092009

Delitos InformáticosRichard Cotrina [4R11]

[ ]© Copyright 2009 Richard Cotrina

Presentación

La presente publicación resume en ocho capítulos, la evolución

histórica de los delitos informáticos, su definición, los crímenes

utilizando la computadora y su impacto en la sociedad.

Presenta también, los usos de las nuevas tecnologías y los riesgos

que surgen, como los delitos en Internet. Así mismo explica los

medios de prevención y control en Internet

Acerca de los Delitos Informáticos, se precisan diversos conceptos de

fraude y delito, se estudia la diversa terminología asociada a

“delitos informáticos”, se presenta las peculiaridades de la

criminalidad informática. A la vez se describe al tipo de perfil de

delincuente informático y las clases de delitos reconocidos por las

Naciones Unidas, así como la estrategia internacional de acción anti-

delitos informáticos.

Es estudiado el impacto económico y social de los delitos

informáticos, las acciones de prevención, así como las políticas y

medidas de seguridad de información, que incluyen las acciones

antes y después de una intromisión y la auditoría de

Finalmente, expreso mi agradecimiento y reconocimiento a las

personas que proporcionaron material y experiencias, para la

presente publicación.

Chimbote, Setiembre del 2009

ÍndicePresentación

1. HISTORIA DE LOS DELITOS INFORMÁTICOS……………………………………….

1.1. Casos Identificados1.2. Actos de Cibervandalismo y Ciberterrorismo

2. RIESGOS DEL USO DE LAS NUEVAS TECNOLOGÍAS…………………………….

2.1. Delitos en Internet2.2. Problemas con el derecho de autor

3. DELITOS INFORMÁTICOS…………………………………………………………………..

3.1. Concepto de Fraude y Delito3.2. Clasificación de los Delitos Informáticos3.3. Tipos de Delincuente Informático

3.3.1. Delincuente Informático Pasivo3.3.2. Delincuente Informático Activo

4. IMPACTO EN LA SOCIEDAD……………………………………………………………….

4.1. Efectos en la Sociedad4.2. Efectos en la Economía

5. PREVENCIÓN FRENTE A LOS DELITOS INFORMÁTICOS………………………

5.1. Prevención5.1.1. Piratería5.1.2. Contratos Informáticos5.1.3. Protección de Programas5.1.4. Propiedad Intelectual de Internet5.1.5. La Protección de Software en el Perú

5.2. Seguridad Informática5.2.1. Formas de Asegurar el Sistema5.2.2. Contingencias Frente al Delito

6. GLOSARIO…………………………………………………………………………………………

7. WEBGRAFIA………………………………………………………………………………………

8. ANEXOS…………………………………………………………………………………………….

1. HISTORIA DE LOS DELITOS INFORMÁTICOS

1.1. Casos IdentificadosDentro de la Historia de los Delitos Informáticos, encontramos grandes casos, muy notorios, que cambiaron el rumbo de la informática, tenemos por ejemplo:

Jhon Draper.- Llamado también “Capitan Crunch” [Captain Crunch, en inglés], descubrió que la sorpresa que venía dentro cereal Captain Crunch dublicaba la intensidad de la frecuencia de 2600 hz. de una línea de WATS, permitiéndole hacer llamadas telefónicas gratis.

Bill Gates y Paul Allen.- en el tiempo en el que estos dos hombres de Washington, eran aprendices, se dedicaban a hackear software. Llegaron ha ser grandes programadores, y se convirtieron en creadores del imperio de Sistemas Operativos líder. Sus “éxitos” fueron el SO MS-DOS, Windows, Windows 95/NT.

Kevin Mitnick, llegó a ser considerado uno de los mayores hackers de la historia; su carrera como hacker tuvo inicios en 1980, cuando rompió la seguridad de su colegio, “solo para mirar”, no para alterar sus notas. Es considerado como infractor de la Ley desde que entraron físicamente a la compañía COSMOS (Computer Systems for Mainframe Operations), que era una base de datos utilizada por la mayor parte de las compañías telefónicas norteamericanas utilizada para controlar el registro de las llamadas. Al ingresar él, y sus dos amigos, obtuvieron claves de seguridad, combinación de las puertas de acceso de varias sucursales y manuales del sistema COSMOS. Él fue considerado como una de las mayores pesadillas del Departamento de Justicia de los Estados Unidos y como hacker más peligroso y escurridizo del mundo por el FBI. Ian Murphy, también llamado “Captain Zap”, a sus 23 años de edad, logró entrar a los sistemas de la Casa Blanca, el Pentágono, BellSouth Corp. TRW, y deliberadamente dejó su currículum. El consideraba que “violar accesos le resultaba divertido”.

1.2. Actos de Cibervandalismo y CiberterrorismoEl Ciberterrorismo es un tipo de delito informático, el cual hace uso de las tecnologías, comunicación, informática o electrónica con el propósito de crear miedo o terror en una población o gobierno causando una violencia a la libre voluntad de las personas.

Los fines del ciberterrorismo pueden ser económicos, políticos, religiosos o simplemente de odios y prejuicios. La palabra "cibervandalismo" cataloga a todas aquellas funciones electrónicas, que no se encuentra bajo la tutela, de las diferentes naciones, en cambio, son realizadas por personas inescrupulosas quienes se dedican a causar problemas en cuanto a lo informático.

2. RIESGO DE USO DE LAS NUEVAS TECNOLOGÍAS

2.1. Delitos de InternetEl Ciberespacio es un mundo virtual el que los defectos, miserias y malos hábitos del ser humanos. Hoy hay necesidad de prevenir y sancionar esos malos usos en la red de internet, lo cual obliga a localizar las distorsiones mas habituales que se producen, y analizar los argumentos que se han dado a favor de una legislación que regule el uso de la red y los criterios contrarios a esa regulación

2.2. Problemas con el Derecho de AutorLa protección de los derechos de autor favorece el crecimiento de la sociedad de la información, ya que contribuye a establecer la certeza de que el autor de una obra verá compensado su esfuerzo con el rendimiento económico que produzca su explotación. Pensar que los derechos de autor son inaplicables en internet puede poner en peligro el futuro de la propia red, ya que nadie se atreverá a publicar sus obras en un entorno donde cualquiera puede apropiarse del esfuerzo ajeno.Existen por ejemplo páginas como Creative Commons que ofrece este tipo de servicios.

3. DELITOS INFORMÁTICOS

3.1. DefiniciónLos delitos informáticos son actividades criminales como: robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Pero estos son realizados por medio de recursos tecnológicos.

3.2. ClasificacionLa Organización de las Naciones Unidas (ONU) define tres tipos de delitos informáticos:

* Fraudes cometidos mediante manipulación de computadoras.

* Manipulación de los datos de entrada.

* Daños o modificaciones de programas o datos computarizados.

Los Fraudes Informáticos [Phising]

El fraude en línea, comúnmente conocido como phishing, registró más de 7 millones de intentos diarios durante 2006 en todo el mundo.Así lo señaló un informe elaborado por Symantec, donde destacó que estos intentos consistían en mensajes de correo electrónico aparentemente enviados por un banco o institución financiera.

De hecho, nueve de las diez marcas más utilizadas en los correos de phishing durante el 2006, pertenecieron al sector financiero. Un correo de phishing relacionado con un banco, típicamente trata de convencer al usuario que existe un problema con su cuenta y que necesita dar clic a alguna liga en el correo para actualizar su información.

La liga lleva al usuario a un sitio que parece del banco, pero que es controlado por un atacante. El sitio puede solicitarle ingresar información como nombre, dirección y número de cuenta además del nombre de usuario y clave de acceso.

Una vez obtenida esta información, los atacantes pueden usarla para solicitar préstamos, transferir fondos a otras cuentas y usar tarjetas de crédito.

Para evitar ser víctima de este tipo de ataques, el usuario debe sospechar de las ligas en correos supuestamente provenientes de su banco y si recibe un mensaje que parezca sospechoso, contactar al banco para confirmar que ellos lo mandaron y notificarles de la actividad fraudulenta, además de enviar la liga de la página a las diversas organizaciones que combaten este tipo de acciones. En el pasado, los gusanos de envío masivo eran los códigos maliciosos más comunes.

Estos gusanos se reenviaban a sí mismos como archivos adjuntos a mensajes de correo electrónico, llenando la bandeja de entrada de mensajes no deseados.

Dado que los gusanos se difundían en grandes cantidades, generaban amplios volúmenes de tráfico en línea y esto permitía a las compañías antivirus detectarlos de manera rápida e implementar las defensas necesarias.

Aunque este tipo de ataque estuvo presente en 2006, poco a poco está siendo reemplazado por ataques sigilosos y sofisticados.

Uno de estos ataques descubierto el año pasado, es LinkOptimizer, troyano que se instala a través de sitios Web maliciosos que aprovechan las fallas en navegadores como Internet Explorer y Firefox.

Si los usuarios visitan un sitio malicioso usando una versión vulnerable de los navegadores, el troyano se instala en la computadora del usuario y puede usar diversas técnicas para ocultar su presencia de manera que los programas antivirus no puedan detectarlo o removerlo de forma sencilla.

Los "rootkits", componente que a través de la discreción mantiene una presencia persistente e indetectable en una computadora, también utilizan técnicas silenciosas para propagarse.

Las acciones llevadas a cabo por un rootkit, como instalación y ejecución de códigos maliciosos, se llevan a cabo sin la aprobación o conocimiento del usuario.Las amenazas silenciosas que emplean técnicas usadas por los rootkits para esconderse se han vuelto muy comunes.

Por ello, se espera que a medida que más códigos maliciosos sean usados para obtener beneficios económicos serán más los ataques que buscarán esconder su presencia en las computadoras atacadas, lo que hace probable que en un futuro cercano, aparezcan más amenazas que empleen dichos mecanismos.

Piratería

Una investigación reciente acerca de la seguridad en la red ha puesto en evidencia una nueva fractura en el sistema, que afecta al uso del protocolo BGP (Border Gateway Protocol) y puede permitir la intercepción y seguimiento de las transmisiones de datos de cualquier web, siempre que los datos no estén encriptados, e incluso modificarlos antes de que lleguen a su destino.

La investigación, que ha sido publicada por la revista Wired, demuestra la falta de seguridad en algunos protocolos sobre los que se basa el funcionamiento de internet. Como señala el diario El País, no es la primera vez que se detecta un fallo de este tipo. Ya en julio, el experto en seguridad, Dan Kaminsky comunicó un error en el sistema DNS de asignación de direcciones.

Aquel fallo, abría la posibilidad de redireccionar el tráfico de una web a otra falsa, aunque se hubiese tecleado la dirección correcta. Sin embargo la magnitud del problema sobre el protocolo BGP puede ser mucho mayor. En su momento, se creó como "puerta trasera" para que las autoridades gubernamentales o las agencias de inteligencia pudiesen intervenir en las comunicaciones de Internet cuando fuera preciso. Y ahora, cualquier usuario con un router BGP también podría conseguirlo.

Los expertos apuntan que este tipo de intercepciones de datos podrían evitarse con la colaboración de las operadoras, siempre y cuando empleen un sistema de filtros que permitan distinguir la manipulación de los datos.

3.3. Tipos de Delincuente Informático3.3.1. Delincuente Pasivo

Este, la víctima del delito, es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. Las víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, etc. que usan sistemas automatizados de información, generalmente conectados a otros.El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los delitos informáticos, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos.

Es imposible conocer la verdadera magnitud de los delitos informáticos, ya que la mayor parte no son descubiertos o no son denunciados a las autoridades responsables y si a esto se suma la falta de leyes que protejan a las víctimas de estos delitos; la falta de preparación por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurídico adecuado; el temor por parte de las empresas de denunciar este tipo de ilícitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes pérdidas económicas,

trae como consecuencia que las estadísticas sobre este tipo de conductas se mantenga bajo la llamada "cifra negra".

Por lo anterior, se reconoce que para conseguir una prevención efectiva de la criminalidad informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de las fuentes de peligro. Una protección eficaz contra la criminalidad informática presupone ante todo que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus formas de encubrimiento.

En el mismo sentido, podemos decir que con:

* La divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras.

* Alertas a las potenciales víctimas, para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática.

* Creación de una adecuada legislación que proteja los intereses de las víctimas.

* Una eficiente preparación por parte del personal encargado de la procuración, administración y la impartición de justicia para atender e investigar estas conductas ilícitas.

Se estaría avanzando mucho en el camino de la lucha contra la delincuencia informática, que cada día tiende a expandirse más.

Además, se debe destacar que los organismos internacionales han adoptado resoluciones similares en el sentido de que educando a la comunidad de víctimas y estimulando la denuncia de los delitos, se promovería la confianza pública en la capacidad de los encargados de hacer cumplir la ley y de las autoridades judiciales para detectar, investigar y prevenir los delitos informáticos.

3.3.2. Delincuente ActivoSe llama así a las personas que cometen los delitos informáticos. Son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos.

Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "entra" en un

sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.

El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos.

Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los delitos informáticos, estudiosos en la materia los han catalogado como delitos de "cuello blanco".

La "cifra negra" es muy alta; no es fácil descubrirlos ni sancionarlos, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad. A los sujetos que cometen este tipo de delitos no se considera delincuentes, no se los segrega, no se los desprecia, ni se los desvaloriza; por el contrario, es considerado y se considera a sí mismo "respetable". Estos tipos de delitos, generalmente, son objeto de medidas o sanciones de carácter administrativo y no privativo de la libertad.

Delitos informáticos:

* Distribución de pornografía infantil

* Interrupción, obstrucción, entorpecimiento o desvío de comunicación (correo electrónico, navegación, etc)

* Acceso indebido a bases de datos privadas y/o restringidas

* Acceso o apertura indebida de comunicaciones electrónicas (como el correo electrónico

* Alteración de normal funcionamiento de sistemas

* Alteración, destrucción y/o inutilización de documentos, programas y sistemas informáticos

* Venta, distribución o introducción de programas destinados a hacer daño en un sistema informático