El malware como eje de la actividad cibercriminal Lic ...
Transcript of El malware como eje de la actividad cibercriminal Lic ...
El malware como eje de la actividad cibercriminal
Lic. José Adalid Medrano
15 de septiembre de 2014
Introducción
Las nuevas tecnologías se han convertido en parte convertido en parte de nuestra vida, han
venido a simplificar nuestra vida, y ya no solo nos ayudan con nuestras obligaciones
laborales o de estudio,
sino que también se han vuelto parte importante en el cómo interactuamos con nuestro grafo
social, volviéndonos cada vez más cercanos y dependientes de los sistemas informáticos.
Los delincuentes evolucionan junto con la sociedad, por lo cual no es de extrañarse que el
crecimiento de la cibercriminalidad sea proporcional al uso que le damos a los sistemas
informáticos. La ciberdelincuencia nos impactó como sociedad, no estábamos preparados
para enfrentarla - todavía no lo estamos-.
Aparecieron conductas lesivas que eran atípicas, por lo cual se hacia imposible la sanción,
apegada a derecho, de las mismas. ! En las conductas en las cuales el ordenador era usado
como un simple instrumento para cometer un delito tradicional, no se presentaban mayores
problemas, debido a que la acción delictiva contaba con todos los elementos para poder ser
perseguida penalmente. Sin embargo, la problemática se agravaba con el incremento de
acciones informáticas lesivas que atacaban la fiabilidad de los sistemas informáticos, la
información, la privacidad y el patrimonio. Y es precisamente la falta de normas que
persiguieran estas conductas abusivas atípicas, cometidas a través del ordenador, una de las
razones que se incentivo el crecimiento impune de la delincuencia informática.
La seguridad de los sistemas informáticos va a depender de la prevención desde su génesis,
por lo que al programarlos se debe tomar en cuenta a priori múltiples circunstancias. Siendo
así que con la falta de previsión o la mala inserción de una medida de seguridad, se puede
convertir un sistema
en vulnerable, exponiéndolo a los ataques o abusos informáticos. ! En un inicio, el perfil del
delincuente informático era de individuos altamente especializados, debido a que se
requerían grandes conocimientos en informática para encontrar las vulnerabilidades en los
sistemas informáticos y la debida explotación de las mismas. ! Sin embargo, en la actualidad
con la aparición de múltiples herramientas gratuitas que se especializan en explotar
conocidas vulnerabilidades de los sistemas
informáticos, ya no es tan difícil convertirse en un delincuente informático: cualquier con el
interés y acceso a internet puede lograrlo. ! La producción del ‘malware’ se ha facilitado, su
detección dificultado y su propagación se ha diversificado. ! Ya no es necesario descargar
voluntariamente un archivo ejecutable malicioso para “infectar” nuestros ordenadores, ya que
tan solo basta visitar una página de internet que haya sido programada para explotar una
vulnerabilidad de nuestro navegador o de sus complementos, para que estemos a la merced
de los delincuentes informáticos. ! La
educación en seguridad informática es primordial en la lucha contra la ciberdelincuencia, ya
que una de las más grandes herramientas con las que cuentan los ciberdelincuentes es la
ingeniería social, que consta de la utilización del engaño para la obtención de información
confidencial o relevante para la vulneración de un sistema informático.
La alta penetración de las redes sociales, la ignorancia en seguridad informática
generalizada y la confianza en nuestros amigos, hace que los delincuentes exploten esta
como la vulnerabilidad más potente y grave de todos los sistemas informáticos. Los
delincuentes han convertido a las redes sociales en el agente transmisor más peligroso de
‘malware’ de todos los tiempos. ! La infección de nuestras computadoras ya no comprende
solo la vulneración de la seguridad informática de nuestros sistemas, sino la global. Ya no
nos estamos enfrentando a simples virus que tenían como fin el daño informático de nuestros
ordenadores personales o empresariales, sino que ahora frecuentemente los programas
informáticos maliciosos buscan obtener el control de nuestros ordenadores para reclutarlos
para conformar un ejercito mercenario de computadores zombie, dirigido por el delincuente
informático. Estos ejércitos zombie atentarán contra la seguridad informática global, al
funcionar como agentes propagadores de malware, emisores de comunicaciones masivas no
solicitadas y como soldados rasos en los ataques de sabotaje informático o denegación de
servicios (DDOS). La instalación de software malicioso es un abuso informático que atenta
contra la fiabilidad de los sistemas informáticos, la información, la privacidad y el patrimonio,
y lava la confianza que depositamos sobre lo mismos. Entre más dependa la sociedad de los
sistemas informáticos, interconectados o no, más grande la necesidad de la tutela penal de la
fiabilidad de los mismos. Por lo anterior, en el año 2012 Costa Rica en la reforma al código
penal sobre delitos informáticos No. 9048 se incluye el tipo penal de “Instalación o
propagación de programas informáticos maliciosos” .
Los abusos informáticos
¿Qué es un abuso informático? “.....cualquier incidente asociado con la tecnología de
ordenador, en el cual una víctima ha sufrido una pérdida y el perpetrador voluntariamente ha
tenido o pudo haber tenido una ganancia.......” [PARKER 1976] El abuso informático es toda
aquella conducta en la cual se hace uso malintencionado de los ordenadores, con el fin de,
ya sea provocar un perjuicio de manera directa con dicha conducta, o de forma conjunta con
otras acciones delictivas, encaminadas a vulnerar un bien jurídico tutelado penalmente ! Las
computadoras pueden ser usadas para el fin para el cual están predestinadas o se puede
abusar de su tecnología para fines no éticos. Se puede crear rutinas destinadas al abuso, o
se puede hacer uso abusivo de las rutinas ya contenidas en el ordenador. El abuso
informático, en sentido estricto, es aquella conducta no ética, cometida vía ordenador, la cual
no cuenta con los elementos necesarios para ser considerada como delito. En sentido
general, los delitos informáticos son a su vez abusos de la informática, pero no todo abuso
informático puede considerarse delito. Por abuso informático se entiende el uso
malintencionado del ordenador, por razones de lucro , venganza o por despreocupación.
Abuso viene del latín “abusus”; de ab, en sentido de perversión, y usus, de uso; y es
precisamente lo que caracteriza estas conductas, un uso “perverso” computador en contra de
otro.
Los abusos informáticos suelen usarse para cometer toda clase de delitos, desde delitos
informáticos, hasta los tradicionales. Un ejemplo de esto es el “acceso inautorizado” al
sistema informático de una empresa, el cual, en sentido estricto, no es un delito, pero puede
servir como medio para cometer un delito, si después de haber ingresado al sistema se
realiza una conducta delictiva, como lo es la instalación un programa informático malicioso.
! Delitos Informáticos! Es toda aquella acción delictiva dirigida a vulnerar la fiabilidad
informática o realizada mediante el uso de medios informáticos, siendo el uso de éstos
esencial para su tipificación. El delito informático en su concepción estricta se encuentra
inmerso en aquel tipo penal cuya acción pueda ser únicamente realizada por medios
informáticos.
Excluyéndose, con esto, de manera expresa, los delitos tradicionales que se cometen por
vías informáticas. ! La instalación de programas informáticos maliciosos es un delito
informático por excelencia, debido a que el único medio por el cual puede cometerse es el
informático. Los bienes jurídicos tutelados en los delitos informáticos son principalmente la
fiabilidad del sistema informático y/o la información. Sin embargo, suelen ser delitos
pluriofensivos, por lo cual lesionan más de un bien jurídico con una misma acción. La
fiabilidad de un sistema informático la comprende la integridad,
la disponibilidad y la confidencialidad de este
Por sistema informático entenderemos a todo dispositivo aislado o conjunto de dispositivos
interconectados o relacionados entre sí, siempre que uno o varios de ellos permitan el
tratamiento automatizado de datos en ejecución de un programa . 1 Delitos
Computacionales. Son aquellos delitos tradicionales de resultado, en los cuales el uso de
medios informáticos no muta la naturaleza del delito en si misma, donde importa el resultado
de la acción para su tipificación, y el delito se estudia con base en la naturaleza propia del
delito tradicional, ya que el elemento informático resulta accesorio. Diferencias con los delitos
informáticos: • Medio informático es accesorio. • La naturaleza del tipo no muta. • El
elemento informático es esencial en la investigación. Características a) Son delitos de
resultado: Para la tipificación de los mismos no se requiere un medio específico de comisión,
simplemente es indispensable que se dé el
Fiabilidad del Sistema informático Integridad Confidencialidad Disponibilidad Los recursos de
un sistema sólo pueden ser modificados o alterados por los elementos autorizados Los
recursos del sistema sólo pueden ser accedidos por los elementos autorizados. Los recursos
del sistema deben permanecer accesibles a los elementos autorizados.
El delito se consuma con la aparición del resultado, siendo accesorio el medio por el cual se
realizó. ! b) Utilizan medios informáticos para obtener el resultado: Necesaria y lógicamente
esta clase de delitos requiere de que en cualquiera de sus fases se utilicen medios
informáticos para la comisión del delito. En este tipo de delitos no se requiere que el medio
informático tenga un papel tan importante sobre el delito, pero si es necesario que se
presente el elemento.
Programas informáticos maliciosos (Malware)
Definición
Al Software malicioso, o ‘malware', término que surge de las palabras en inglés “malicious
software”, se le considera todo tipo de software cuyo objetivo es provocar daños en un
sistema informático . Sin embargo, es incorrecto decir 2 que el malware va a tener como
objetivo generar un daño al sistema informático, porque podría tener sólo como objetivo
vulnerar la intimidad, como el caso de los “Keyloggers”. ! Otros autores definen el ‘malware'
de acuerdo a la intención con la que se utilice o haya sido creado.
En este sentido, en el Manual de Hackers de Sombrero Gris lo definen como “un conjunto de
instrucciones que corren en su computadora y hacen que su sistema haga algo que el
atacante quiere”. . Esta definición es interesante, porque comprende que todo malware es
instalado con un objetivo malicioso por parte de un atacante.
Especialistas en el parlamento Británico lo han definido como “programas escritos con
intenciones maliciosas” . Esta definición deja por fuera, aquellos 4 programas legítimos que
pueden ser utilizados con intenciones maliciosas.
Desde la perspectiva de la autorización con la que es instalado se define “como cualquiera
que haya sido instalado de forma no solicitada y sin intención en un sistema, sin que el
usuario lo sepa o lo quiera” Esta definición es por todos 5 lados incorrecta, debido a que la
instalación no autorizada de un juego, en un mbiente laboral, no podría entenderse que el
mismo tiene intenciones maliciosas.
Desde la perspectiva del derecho penal, debemos entender por Programa informático
malicioso como todo aquel utilizado con el fin de vulnerar un bien jurídico tutelado
penalmente, sea la fiabilidad del sistema informático, la información, la intimidad o el
patrimonio.
Según Symantec las amenazas de código malicioso se clasifican en cuatro tipos principales:
• Puertas traseras (backdoors) - Permiten que un atacante acceda en forma remota a
computadoras afectadas. • Troyanos - Son código malicioso que los usuarios instalan en sus
computadoras sin darse cuenta, por lo general abriendo adjuntos de correo electrónico o
realizando descargas desde Internet. Habitualmente, es otro código malicioso el que
descarga e instala el troyano. Los programas troyanos difieren de los gusanos y los virus
porque no se propagan por sí mismos.
• Virus - Se propagan mediante la infección de archivos existentes en computadoras
afectadas con código malicioso.
• Gusanos - Son amenazas de código malicioso que pueden replicarse en computadoras
infectadas o de algún modo que facilite su copia a otro equipo (por ejemplo, a través de
dispositivos de almacenamiento USB)
El ‘malware’ como eje de la actividad cibercriminal.
Los sujetos activos de la cibercriminalidad se pueden dividir en dos: programadores y
usuarios de programas informáticos maliciosos. ! La compra y venta de las vulnerabilidades
de los sistemas informáticos dominan los mercados negros, debido a que estas serán
traducidas en rutinas maliciosas que se incorporaran en las funciones de los “toolkits” que se
pondrán a la venta y le permitirán a un usuario común explotar vulnerabilidades de un
sistema informático, obtener acceso y/o realizar acciones lesivas hacia dicho sistema. ! Los
usuarios objetivos de los cibercriminales serán engañados o sus sistemas serán vulnerados
con el fin de instalar ‘malware’ que le permita al atacante cumplir con sus objetivos
criminales.
Redes Sociales
Las redes sociales le permiten a los usuarios instalar aplicaciones que puedan actuar ante la
red social en nombre de estos, lo que es explotado por los cibercriminales para instalar
aplicaciones maliciosas que le permiten a ellos comunicarse con los amigos de la víctima en
nombre de este sin su consentimiento. ! Por otro lado, también se utilizan las redes sociales
en combinación con aplicaciones maliciosas, para propagar malware, ya sea invitando a los
usuarios a instalar programas, bajar archivos o visitas páginas web que van a infectar al
usuario con malware.
Botnet
El término “botnet" se refiere a una red de ordenadores comprometidos. Un “botnet" es
controlado por el llamado “bot master”, que es una maquina atacante que realiza las
siguientes acciones :
1. Identifica las maquinas sobre las que tiene control. 2. Instala un robot en cada una de esas
maquinas, el cual se encuentra dormido hasta que recibe una indicación del “bot master”. 3.
Inicia acciones maliciosas como: envío de comunicaciones masivas no solicitadas, ataques
de denegación de servicios, distribución de programas ilegales, propagación de malware,
entre otros.
El malware que logra el control telemático de las maquinas comprometidas, es altamente
lesivo para la seguridad informática global, ya que cada maquina comprometida se convierte
en un soldado más para cumplir los intereses del atacante, entre los cuales pueden estar
atacar instituciones bancarias, gubernamentales, entre otras.
Tiendas de aplicaciones móviles o de PC
Vivimos en tiempos donde las aplicaciones son el eje central de nuestro mundo digital,
existiendo prácticamente una aplicación para cada necesidad cibernetica de los usuarios.
Los cibercriminales utilizan esto para su ventaja y tratan de colar aplicaciones maliciosas en
las tiendas oficiales de aplicaciones, haciéndolas pasar por aplicaciones legitimas o al menos
con funciones benignas. Un ejemplo, se dio en una tienda de aplicaciones móviles, donde los
usuarios creían que solo instalaban un juego y la aplicación venía con rutinas escondidas
que enviaban mensajes de textos a números “premium”, por lo que las facturas a fin de mes
venían altísimas.
Páginas atacantes.
Los hackers utilizan robots en internet para buscar vulnerabilidades en los sitios web de
internet de forma masiva y indiscriminada, con el fin de almacenar bases de datos con sitios
vulnerables, los cuales serán atacados con acciones automatizadas masivas para poder
ejercer control sobre estos.
Lo anterior resulta fácil debido a que la gran mayoría de páginas de internet son manejadas
por CMS populares (Joomla, Wordpress, Drupal etc), que pueden contener vulnerabilidades
conocidas que pueden ser explotadas por estos. Una vez el hacker obtiene el control sobre el
sitio web, le inserta código malicioso a la página web víctima del ataque con el fin de que
cuando sus visitantes ingresen a la misma puedan ser infectados con el código malicioso
preparado por el cibercriminal. Lo más grave de esta clase de ataque es que las páginas que
son convertidas en atacantes suelen ser páginas legítimas, inofensivas y regularmente con
buena reputación lo cual hace más difícil a los usuarios poder distinguir en internet qué
páginas de internet visitar.
Mercado negro de servicios informáticos maliciosos
Los ciberdelincuentes son muy creativos para encontrar fuentes de ingresos para sus
actividades delictivas y cuentan con todo un ecosistema que les permite generar altos
beneficios en sus actividades. Las redes de ordenadores zombie suelen ser utilizadas para
las siguientes actividades:
1. Envío de comunicaciones masivas no solicitadas: con el fin de saltarse los controles anti-
SPAM de servicios como Gmail, Outlook o Yahoo, al enviarse miles de correos desde
direcciones ip de las computadoras comprometidas. 2. Propagación de programas
informáticos maliciosos: estos usuarios utilizan su conocimiento en propagación de malware
y lo ponen a disposición para el lanzamiento de ataques dirigidos. 3. Denegación de
servicios: Los propietarios de estas redes aprovechan el control sobre cientos, miles o
millones de ordenadores para lanzar ataques contra páginas o servicios web para traérselos
abajo o causar daños informáticos.
Observaciones a la concepción de los delitos informáticos en y el tratamiento de las
evidencias digitales en el Perú
Autores:
Katty A. Peréz Ordóñez
Juan Carlos Herrera Miranda
RESUMEN
El paradigma que sustenta el desarrollo de la legislación informática penal, así como los
instrumentos y herramientas que concurren para valorar los delitos informáticos en el Perú,
registran que junto al empoderamiento y expansión de la Era del conocimiento y las
comunicaciones; en la misma medida de aquel preciado desarrollo, a nivel global y en todas
las esferas de la vida económica, social, cultural y política, se proyecta el nocivo crecimiento
de la cyber-delincuencia, muy a pesar de la dación de novísimas leyes para judicializar
penalmente a quienes atentan contra la seguridad informática.
Sin embargo, se percibe el Problema que la construcción de un Derecho propiamente
Informático, recién se está encaminando y las diferentes formas de valorar los Delitos
informáticos, así como sus evidencias y rastros digitales, son judicializados (interpretados,
razonados y procesados) como delitos comunes, mediante la injerencia de conceptos,
categorías y procedimientos que datan del clásico lenguaje jurídico de los códigos civil y
penal principalmente. Sin embargo, la incorrecta tipificación de aquellos delitos y que no son
sometidos a un riguroso examen con las herramientas científicas que proporciona (por
ejemplo) la informática forense, conlleva graves secuelas delictivas que se enquistan en las
esferas de la impunidad y la inseguridad jurídica informática y penal.
Para enfrentar este problema, analizamos críticamente los artículos pertinentes de la “Ley de
Delitos Informáticos” 30096, modificada por la Ley 30171, dada el (22-X-2013) que consolida
y deroga el Capítulo X de Delitos Informáticos del Código Penal Peruano (D.L. 635). Dicha
Ley, identifica los Delitos contra Datos y Sistemas Informáticos, Delitos Informáticos contra la
Indemnidad y Libertad Sexuales, Delitos Informáticos contra la Intimidad y el Secreto de las
Comunicaciones, Delitos Informáticos contra el Patrimonio y Delitos Informáticos contra la Fe
Pública. Como resultado de nuestro análisis, presentaremos una propuesta de práctica de
investigación científica, para el uso alternativo de técnicas y herramientas informáticas y
criminalísticas, para detectar, proteger, documentar, preservar, analizar, evaluar y valorar
indicios probatorios de valor jurídico penal, con la finalidad de contribuir con la construcción
del Derecho Informático, de mano con el Derecho y la Justicia, entrelazados con las
tecnologías de la comunicación, para el elevamiento del nuevo paradigma que sirva para
“abrir los caminos de la paz, la convivencia civilizada y el progreso humano por medio del
Derecho y la Justicia”
PALABRAS CLAVE: Legislación Penal Informática, Valoracion de Delitos Informáticos,
Seguridad Informática, Evidencias y Rastros Digitales.
ABSTRACT. The paradigm that supports the development of computer criminal law, as well
as instruments and tools which contribute to value cybercrime in Peru, which together
recorded empowerment and expansion of the Age of knowledge and communication; the
same extent of that precious development globally and in all areas of economic, social,
cultural and political life, the harmful growth of cyber-crime projects, in spite of the enactment
of the newest laws to prosecute criminally threaten to computer security. However, the
problem is perceived to building a proper Computer Law, is heading new and different ways of
valuing Computer crimes and digital evidence and its traces are prosecuted (interpreted,
processed and reasoned) as common crimes by the interference of concepts, categories and
procedures dating from the classical legal language of mainly civil and criminal codes.
However, the incorrect classification of crimes and those who are not subjected to rigorous
scientific examination tools provided (for example) computer forensics, carries serious
criminal consequences that fester in the areas of computer impunity and legal uncertainty and
criminal.
To address this problem, we critically analyze the relevant articles of the "Law of Computer
Crimes" 30096, amended by Law 30171, given the (22-X- 2013) which consolidates and
repeals Computer Crime Chapter X of the Peruvian Penal Code (DL 635). The Act identifies
the Crimes Data and Systems, Computer Crimes against Sexual Freedom and Indemnity,
Computer Crimes Against Privacy and Secrecy of Communications, Computer Crimes against
Property and Computer Crimes against Public Faith. As a result of our analysis, we will
present a proposal for scientific research practice, for the use of alternative techniques and
criminology and computer tools to detect, protect, document, preserve, analyze, evaluate and
assess probative evidence of criminal legal value, with order to contribute to the construction
of Information Law, the labor law and justice, intertwined with communication technologies for
the upliftment of the new paradigm that serves to "open the ways of peace, coexistence and
civilized progress human by the law and Justice "
KEY WORDS. Computer Criminal Law, Computer Crime Ranking, Computer Security, Digital
Evidence and trails.
II. SEGURIDAD INFORMÁTICA
Las nuevas figuras jurídicas creadas para coordinar, planear y promover la seguridad
informática en el Perú, surgen como respuesta al inusitado crecimiento de la inseguridad y la
cyber-delincuencia. ISO- IEC17799 (que representa el Estándar Mundial de Seguridad
Informática) recomienda el conocimiento tecnológico y criminalístico del tema, mediante la
acreditación y desarrollo de estrategias de organización de la Seguridad Informática. El
conocimiento tecnológico, recomienda dominar el manejo de redes, ordenadores, servidores,
softwares, aplicaciones, amenazas y riesgos en la arquitectura de los ordenadores y la
normatividad jurídica penal, así como en el aspecto criminalístico del Derecho Informático y
la Informática Forense. El conjunto de estos conocimientos, acredita la gestión de peritajes
judiciales para la seguridad informática, que son producto de la Investigación científica y la
aplicación de herramientas y programas aptos para sostener evidencias digitales, para
resguardar investigar y presentar las mismas como Evidencias de Prueba, valederas jurídica
y electrónicamente.
La seguridad jurídica está basada en una serie de presupuestos desarrollados por la Doctrina
del Derecho y se refiere a las acciones de búsqueda y acopio de información o elementos de
prueba, que puedan armonizarse con las garantías y los derechos fundamentales, y con
criterios de eficacia y eficiencia en la investigación y persecución de la cyberdelincuencia.
Bajo la valoración de los siguientes principios:
Legalidad o tipicidad, que demanda la existencia de una ley previa que autorice la medida
limitativa o de injerencia del derecho.
Judicialidad o control judicial, por el cual, toda injerencia que implique restricción de un
derecho fundamental, requiere de la decisión del juez.
Idoneidad, por cuyo principio, la medida o injerencia dispuesta debe ser cualitativa y
cuantitativamente apta para lograr los fines de obtención o aseguramiento de determinada
fuente de pruebas.
Necesidad, para la adopción de medios de investigación, como única forma de lograr la
obtención de elementos o información útil para los fines de equidad en la justicia.
Proporcionalidad, que corresponde a la armonía que debe existir entre la intensidad de la
afectación del delito y la necesidad de la investigación según la gravedad del caso.
Los principios que regentan la seguridad informática, se fundamentan en los principios
periciales Informático Forenses que se consignan:
- Principio de entidad pericial: Consiste en que los medios e instrumentos informáticos que
constituyen una parte de la criminalística, se integran con una metodología propia, que
permite asegurar la detección, identificación, documentación, preservación y traslado de la
evidencia obtenida, con técnicas e instrumentos propios e inéditos.
- Principio de Protección y Preservación: Que requiere de una cadena de custodia estricta y
con certificación unívoca comprobable.
- Principio de identidad de copias del original: Cuya valoración responde a que son
identificables unívocamente.
- Principio Tecnológico interdisciplinario, según el cual, se requieren conocimientos
específicos por parte de todas las ciencias involucradas en la prueba indiciaria.
- Principio de Compatibilización Legislativa Internacional. Mediante comunicaciones
electrónicas, instrumentos en correo electrónico abierto o cerrado y certificado por medio de
claves criptográficas o firma digital.
- Principio de Vinculación Estricta, por el cual las pruebas indiciarias deben estar
relacionadas con la legislación Internacional, para resguardarse de los delitos de espionaje
industrial, comercial, macro-terrorismo, pornografía infantil, trata de personas, blanqueo de
capitales y genocidio. Sin embargo, el problema de la tipicidad penal de los delitos
informáticos, resulta demasiado complejo, dado que para un procedimiento de identificación-
clasificación, es necesario en primer lugar, la concurrencia de otras disciplinas conexas,
como la criminología, la criminalística, la medicina legal y para la configuración legal de la
Prueba indiciaria, la fotografía, videos y otros rastros periciales que define la informática
forense. Y en segundo lugar, es necesario la aplicación de los métodos internacionales
establecidos para la certificación pericial, (los mismos no están claramente establecidos), por
lo que en muchos casos, los jueces se inclinan por entender los delitos informáticos “como
una forma novedosa de juzgar delitos tradicionales” porque aún es insuficiente el hecho de
interpretar el leguaje técnico en los términos de un abogado y (los mismos no están
claramente establecidos), por lo que en muchos casos, los jueces se inclinan por entender
los delitos informáticos “como una forma novedosa de juzgar delitos tradicionales” porque
aún es insuficiente el hecho de interpretar el leguaje técnico en los términos de un abogado y
viceversa. Por otra parte, las complejidades técnicas, frecuentemente sobrepasan los
conocimientos y la experiencia de los operadores judiciales, incluso algunos elementos de la
evidencia digital pueden parecer intangibles, dada su naturaleza virtual o sus confusas
similitudes con otros elementos de evidencia. Aquí es donde se presenta el problema de la
adecuación de ciertas categorías de los “delitos comunes” del Código Penal a la Ley
Informática, Este fenómeno puede deberse al hecho que hasta la actualidad, en el País no
existe ningún Programa Académico-Profesional, ni carrera Técnica para capacitar en
informática forense y/o peritaje informático, salvo aquellas entidades policiales que califican
personal en crímenes de alta tecnología y son quienes ocupan el lugar de los informático-
forenses, y por lo mismo, son los que están más ligados a la seguridad informática penal.
III: LOS TIPOS PENALES EN LA LEY DE DELITOS INFORMÁTICOS 30096.–
Modificatoria 30171.
El (Art. 2) de la Ley de Delitos Informáticos, sobre el Acceso Ilícito, demanda: “El que accede
sin autorización a todo o parte de un sistema informático, siempre que se realice con
vulneración de las medidas de seguridad establecida para impedirlo, será reprimido con pena
privativa de libertad no menor de uno de mayor de cuatro años y con treinta a noventa días
multa. Será reprimido con la misma pena el que accede a un sistema informático excediendo
lo autorizado”.
Este artículo, en primer término, tiene connotaciones que se derivan del intrusismo, categoría
que hace referencia a la realización de operaciones contrarias al Numeral 10 del Artículo 2 de
la Constitución Política del Estado Peruano, que establece el Derecho a la Inviolabilidad de
las Comunicaciones y Documentos Privados. “Reconociendo de este modo a la persona, la
facultad de exclusión de la injerencia de extraños en sus relaciones privadas. En este sentido
la protección del individuo, abarca todo tipo de intrusiones, sea cual fuere el ámbito en el que
se produzca”
Sin embargo, al referirse a todo tipo de intrusión de las comunicaciones, (que pueden ser
epistolares, telegráficas, telefónicas, radiales, televisivas y de otras formas electrónicas de
transmisión de mensajes o comunicaciones como el correo electrónico, internet, etc.) No
precisa si esos accesos ilícitos o intrusiones pueden constituirse o no en formas de secuestro
o incautación, aperturas, lecturas, interferencias o apropiaciones ilícitas dispuestas por una
autoridad, administradores o cyberdelincuentes, por lo que se debe prever que la afectación
al derecho a la Inviolabilidad de las comunicaciones, puede tener un carácter subsidiario,
porque por comunicación se entiende, cualquier forma de transmisión del contenido del
pensamiento, o de una forma objetiva de éste por cualquier medio.
Además Karin Vigo ( §§ ) sostiene que “La crítica más seria contra la Ley, apunta a que la
norma es inconstitucional... porque restringiría la libertad de prensa y la libertad de expresión.
Se ha tildado a la norma de Ley Mordaza, pues se afirma que busca penar a los medios de
comunicación que publiquen información que haya sido obtenida mediante la interceptación
telefónica o informática. Se ha dicho también, que la tipificación de algunos delitos es tan
vaga que puede permitir a jueces y fiscales, considerar casi cualquier acción como delictiva,
porque otorga el mismo tratamiento al medio por el cual se trasmite la comunicación,
entendiendo por medio al soporte material o energético en el cual se porta o se trasmite la
comunicación”
A propósito del control de las comunicaciones y documentos privados, Gálvez Villegas ( *** )
comenta que: “La ley No 28950 en actual vigencia en nuestro medio, considera que solo es
posible afectar el derecho de inviolabilidad de las comunicaciones y documentos privados,
mediante interceptaciones y controles por parte de la autoridad competente, en casos de
investigaciones de delitos graves tales como: secuestro agravado, trata de personas,
pornografía infantil, robo agravado, extorsión agravada, tráfico ilícito de drogas, tráfico ilícito
de inmigrantes, delitos contra la humanidad, atentados contra la seguridad nacional y traición
a la Patria, peculado, corrupción de funcionarios, terrorismo y delitos tributarios y aduaneros;
la Ley no establece nada al respecto, en cuanto se refiere a la interceptación, incautación y
apertura de correspondencia“
Otro de los problemas que gravitan en torno a la inseguridad informática y a los
impedimentos del tránsito del clásico expediente escrito al expediente virtual, es el problema
del uso de la misma gramática jurídica, adjudicada indistintamente para la judicialización de
delitos comunes y delitos informáticos, estos últimos, deberían de merecer otro adecuado
examen en cuanto se refiere a la Sintaxis Jurídica, la misma que presenta serios problemas
lingüístico-gramaticales al momento de la interpretación, tipificación, razonamiento y
argumentación jurídica, “Pues, la característica fundamental del razonamiento jurídico es la
capacidad de deducción de los enunciados relativos a las acciones humanas a partir de
datos que incluyen normas de comportamiento, mientras que la sintaxis revela la relación de
los signos lingüísticos entre sí, es muy precisa pero no dice nada del mundo, en cambio, la
semántica se ocupa de la relación que tienen los signos con el mundo y esto es mucho más
complicado, pues no existe una relación biunívoca entre palabras y objetos ”
Es el caso concreto del presente análisis, que ha detectado problemas de SINONIMIA
JURIDICA en la referida ley, que presenta una misma idea jurídica expresada a través de dos
o más conceptos (palabras) muchas veces diferentes. Así, el concepto DAÑO del Art.3
“Atentado a la Integridad de Datos Informáticos” demanda: “El que deliberada o ilegalmente
daña, Introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será
reprimido con ...” Estos mismos conceptos (parecidos, sinónimos o semejantes) rezan en los
Arts. 4 y 8 de la referida Ley. (Art. 4)
“Atentado a la Integridad de Sistemas Informáticos” El que deliberada o ilegalmente inutiliza
total o parcialmente un sistema informático, impide el acceso a este, entorpece o imposibilita
su funcionamiento o la prestación de sus servicios será reprimido con ...” (Art.8) “Fraude
Informático” reza: “El que, a través de las tecnologías de la información o de la comunicación,
procura para sí o para otro un provecho ilícito en perjuicio de un tercero, mediante el diseño,
introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier
interferencia o manipulación en el
funcionamiento de un sistema, será reprimido con ...”
De igual o similar forma los Arts. 2, 6, 7, 9 y 10, reiteran: “El que deliberada e ilegítimamente
accede a un sistema, con vulneración de medidas de seguridad ... (Art.2) “El que ingresa o
utiliza indebidamente una base de datos ... (Art.6) “El que mediante las tecnologías suplanta
la identidad de una persona natural o jurídica ... (art 7) “El que deliberada e ilegítimamente
intercepta datos ... (Art.9) “El que fabrica, diseña ... u obtiene para su utilización ... (Art.10)
¿No son sinónimos de INTRUSIÓN el que accede ilegítimamente, el que ingresa
indebidamente o el que ilegítimamente intercepta datos? Ahora bien, el art. 8 repite: “El que
procura un ilícito mediante el diseño, introducción, alteración, borrado, supresión, clonación
de datos, será reprimido... “ El Art 10 vuelve a reproducir los términos “El que fabrica, diseña,
desarrolla, vende ,facilita, distribuye, importa u obtiene ...” Frente a dichas sinonimias,
consideramos que el problema radica en la falta de visión y creatividad lingüística por parte
del legislador, para poder diferenciar, clasificar y sistematizar los contenidos de las diferentes
acepciones significantes, significativas, valorativas y típicas, con propiedades unívocas para
la debida
interpretación y tipificación de los fenómenos y hechos virtuales al interior de los delitos
informáticos, los mismos que al parecer pudieran tener una misma connotación que los
daños y los delitos comunes que configura el clásico Derecho penal. Tras esta disyuntiva,
para los jueces y fiscales ¿Prima la valoración y concepción del daño físicamente probado?.
¿Y los daños virtuales? ¿Serán realmente virtuales o reales? Dicho problema ¿Constituye
acaso, el eterno retorno hacia la irresoluta contradicción entre lo ideal y lo real o entre la real
idealidad y la irrealidad?
También es el caso de las POLISEMIAS y analogías insertas en la Ley de Delitos
Informáticos, que “novedosa” y reiteradamente involucra conceptos que contienen dos o más
sentidos: “Impide el acceso, entorpece, interfiere, intercepta, altera, inutiliza, deteriora” ¿Son
análogas, diferentes o semejantes, en alternancia virtual contra datos, sistemas, servicios o
contra el Patrimonio?
Inexplicablemente, aparecen en esta instancia, varias analogías cuando estos mismos
conceptos, se refieren a ideas parecidas que son usadas para apreciar, interpretar y
documentar de modo clásico los rastros y evidencias virtuales recurriendo a las herramientas
de la “Equivalencia funcional probatoria” equivalencia que subyace en el problema de la no
distinción entre el valor de las “clásicas” pruebas documentadas y el valor de las “modernas”
pruebas digitales, Las mismas que deberían contener conceptos, categorías y
procedimientos jurídicos adecuados, fruto de la recopilación, búsqueda, acceso,
almacenamiento y transferencia de evidencias y pruebas procesadas electrónicamente.
Caso similar sucede con la Integridad de Datos Informáticos del Art.3 y el Fraude Informático
del Art 8 de la Ley, que relaciona los mismos términos: “El que a través de las tecnologías de
la información o de la comunicación daña, introduce, borra, deteriora, altera, suprime o hace
inaccesibles datos Informáticos, y el Fraude Informático del Art 8 ... el que inutiliza, impide el
acceso, entorpece, imposibilita, intercepta, suprime, clona, etc.” A estas alturas, el problema
ya no constituye la complejidad de los crímenes de alta tecnología, ni la ausencia del dominio
de las herramientas tecnológicas y criminalísticas para recurrir a las alternativas periciales de
la Informática forense; simplemente sucede la vulgarización repetitiva de conceptos
entrecruzados en casi todos los artículos. De allí emerge la confrontación entre una prueba
que puede tomar diferentes formas susceptibles de modificación, manipulación o
desistimiento, por considerar aspectos y características similares a las pruebas afines “no
obstante ello, resulta necesario afinar la redacción de algunos artículos (según lo expuesto),
a fin de brindar seguridad jurídica. El objetivo sería lograr que la ley sea efectiva, respecto al
principio de legalidad y criterios de proporcionalidad, evitando los tipos penales de peligro
abstracto, así como las dualidades donde se establecen agravantes por el solo uso de la
Tecnología, lo cual puede terminar minando un importante espacio de innovación como es el
entorno digital”
IV.- TRATAMIENTO DE EVIDENCIAS DIGITALES.
Ahora bien, el Código Penal Peruano (CPP. DL. 635) en el Título V sobre Delitos contra el
Patrimonio, sostiene que “el HURTO supone la existencia de un patrimonio que constituye el
conjunto de bienes (muebles, inmuebles, dinero, valores, etc.) Considera como variantes del
delito contra el Patrimonio, el hurto, el robo, la apropiación ilícita, el fraude, la estafa, la
receptación, la extorsión, la usurpación y los daños”. En este acápite, equipara como bien
mueble a “la energía eléctrica, el gas, el agua y cualquier otra energía o elemento que tenga
valor económico así como el espectro electromagnético”
Espectro electrónico que se tipifica como Bien Jurídico penalmente protegido, cuando prima
el concepto tradicional de ROBO configurado por el uso de la violencia y amenaza con
peligro inminente para la vida y la integridad. Pero, un robo informático ¿Involucra
necesariamente el uso de la violencia contra la integridad personal? Si así fuera el caso, el
Juez, según la jerarquía de las leyes ¿Aplicaría la Ley de Delitos Informáticos o el Código
Penal? Aun cuando la evidencia pericial, acogería la tipificación de bien mueble sustraído del
lugar empleando violencia. Esta interrogante, conlleva en sí misma, una contradicción sobre
la valoración de una evidencia caracterizada por su virtualidad.
En otro acápite, el concepto apropiación ilícita, que el propio Código Penal define como
“recepción de un bien con asentimiento y negativa de devolución”, apoya la conclusión, que
no es recomendable el uso indistinto del lenguaje documentado para los casos virtuales, o
para procesar casos de la misma naturaleza, en todo caso, el examen de las pruebas
electrónicas deberá ser sometido a las características especiales que demandan las
evidencias digitales, y son las siguientes:
“La Evidencia digital se puede reproducir y alterar fácilmente, La Evidencia digital es
anónima. En muchas ocasiones establecer la verdadera procedencia de un mensaje de
datos no firmado digitalmente
(por ejemplo) es muy difícil para alguien sin el debido entrenamiento. La forma de la
evidencia digital es tan importante como su contenido. Es importante revisar el contenido del
documento. La evidencia digital tiene dificultades para ser llevada a la corte.
La recopilación, búsqueda, acceso, almacenamiento y transferencia de evidencia digital son
tareas que exigen consideraciones y cuidados especiales para garantizar la integridad de
ésta y la observancia de la cadena de custodia”.
La admisibilidad y valoración de la evidencia digital, requiere de la confidencialidad,
integridad, autenticidad, originalidad e inalterabilidad.
V.- PROPUESTA DE PRÁCTICA CIENTÍFICA PARA LA GESTIÓN DE
EVIDENCIAS DIGITALES.
Con el uso creciente de las tecnologías de la información y las comunicaciones, las
entidades, instituciones y organizaciones empresariales estatales y privadas, puedan innovar
sus procesos y mejorar sus procedimientos administrativos, frente a los delitos informáticos y
sus competidores, produciendo gran cantidad de información, para mejorar alternativamente
sus métodos de gestión y trabajo.
Esto trae como consecuencia, que personas ajenas a dichas entidades y organizaciones
empresariales, no puedan realizar operaciones y actos dolosos usando la informática, o
causando ataques en contra de los sistemas informáticos (que generan grandes pérdidas
económicas) y debilitan el empoderamiento del paradigma del Derecho y la Justicia. Para
evitar aquellas contingencias, se desarrollan permanentemente, herramientas informáticas
que permiten identificar a los intrusos y las formas de comisión de sus delitos, asegurando la
obtención de medios probatorios, mediante el logro de evidencias digitales que serán
utilizadas en un proceso judicial.
Una de estas herramientas es la Informática Forense, aun no sociabilizada en su totalidad
sobre todo en nuestro país, es por esto que su implementación y utilización en un proceso
judicial, puede ser cuestionado por desconocimiento absoluto o parcial, para evitar este
hecho, la obtención de pruebas indiciarias, debe ser manejada en base a rígidos principios
científicos, procedimientos y normas legales. Pues, su aplicación proporciona la resolución
de actos delictivos informáticos, con apoyo del método científico, aplicado para la
recolección, análisis y validación de todo tipo de pruebas digitales.
Para tipificar estos delitos informáticos, no solamente se hace referencia a la definición del
procedimiento que deberá seguir un investigador al llegar a la escena del delito. Se trata de
brindar a los jueces y fiscales elementos de convicción que deben tomar en consideración,
cuando un perito especializado les presente evidencia de naturaleza digital, de modo que les
permita decidir y resolver un caso, estableciendo un fallo, que depende del nivel de confianza
y certeza que alcancen, al observar si esa prueba ha sido modificada de alguna forma, en
algún momento. El procedimiento forense digital, busca precisamente, evitar esas
modificaciones o distorsiones de los datos contenidos en el medio o dispositivo magnético a
analizar, para que se puedan presentar en cualquier instante, desde el mismo momento en el
que haya ocurrido el presunto hecho punible, como consecuencia del simple transcurso del
tiempo, o el apagado fortuito o intencional del equipo.
Según el FBI, la informática (o computación) forense es la ciencia de adquirir, preservar,
obtener y presentar datos que han sido procesados electrónicamente y guardados en un
medio computacional.
La informática forense, en consecuencia, sirve para enfrentar los desafíos y técnicas de los
intrusos informáticos, así como garante de la verdad alrededor de la evidencia digital. Desde
1984, el Laboratorio del FBI y otras agencias que persiguen el cumplimiento de la ley
empezaron a desarrollar programas para examinar evidencia computacional. Dentro de lo
forense encontramos varias definiciones:
Computación forense (computer forensics): Disciplina de las ciencias forenses, que procura
descubrir e interpretar la información en los medios informáticos para establecer los hechos y
formular las hipótesis relacionadas con el caso; los elementos propios de las tecnologías de
los equipos de computación ofrece un análisis de la información residente en dichos equipos.
Forensia en redes (network forensics): Es un escenario aún más complejo, pues es
necesario comprender la manera como los protocolos, configuraciones e infraestructuras de
comunicaciones se conjugan para dar como resultado un momento específico en el tiempo y
un comportamiento particular, siguiendo los protocolos y formación criminalística, de
establecer los rastros, los movimientos y acciones que un intruso ha desarrollado, este
contexto exige capacidad de correlación de evento, muchas veces disyuntos y aleatorios,
que en equipos particulares, es poco frecuente.
Forensia digital (digital forensics): Forma de aplicar los conceptos, estrategias y
procedimientos de la criminalística tradicional a los medios informáticos especializados,
(¿quién?, ¿cómo?, ¿dónde?, ¿cuándo?, ¿por qué?) de eventos que podrían catalogarse
como incidentes, fraudes o usos ndebidos bien sea en el contexto de la justicia especializada
o como apoyo a las acciones internas de las organizaciones.
Una evidencia digital es una información almacenada en un formato digital que puede llegar
a ser utilizada como medio probatorio en un proceso judicial, para que esta pueda ser viable
será necesario seguir un procedimiento para su recuperación, almacenamiento y análisis, es
importante seguir una cadena de custodia robusta que permita asegurar la inmutabilidad de
la evidencia digital.
Fases de un análisis forense digital. :
Identificación del incidente.- En esta etapa debemos buscar y descubrir las señales de un
ataque a un dispositivo informático actuando en forma metódica y profesional asegurando
que el procedimiento a seguir no de resultados distintos al fin. Para esto lo primero que se
debe realizar es conservar la evidencia intacta y de ser el caso que se ha perdido parte de la
información aun así se puede identificar indicios en dispositivos que hayan estado
conectados al equipo. Para esta finalidad de identificación se utiliza verificaciones integrales
informáticos usando utilidades de software.
Recopilación de la evidencia.- Para esta fase se debe establecer el método que permita
identificar su origen, duración; extremando precauciones, tomando muestras sobre el sistema
vivo o muerto.
Preservación de la evidencia.- Al obtener la recolección de evidencias se debe asegurar
conservando intacta la información siguiendo procedimientos que mantengan su integridad y
cadena de custodia.
Análisis de la evidencia.- En esta fase se aplica técnicas científicas y analíticas.
Documentación del incidente.- Se realizan reportes, informes en un leguaje que permita ser
interpretado por los abogados y jueces, es decir es la elaboración de documentación que
será presentada en un proceso judicial, entregando una información cuidadosa para
mantener un prestigio técnico. Para dar soporte al proceso en estudio, que permita la
tipificación de un delito informático a los jueces y fiscales, así mismo se brinde la obtención
de medios probatorios y convicción de estos; existen herramientas informáticas como las que
proponemos a continuación Herramienta Forense EnCase:
EnCase es una grandísima herramienta utilizada para la informática forense. Es la más
utilizada y líder en el mercado para esta utilidad. Sus características más importantes son:
Copiado Comprimido de Discos Fuentes: Permite crear copias comprimidas de los discos
origen usando un estándar sin pérdida (loss-less). Los archivos comprimidos que
obtendremos como resultados pueden ser buscados, analizados, y verificados de la misma
manera que los archivos originales.
Esta técnica nos ahorra mucho tiempo permitiendo mantener varios casos ya que podemos
trabajar en paralelo y ahorrar espacio en el HDD donde estemos analizando las pruebas.
Búsqueda y Análisis de Múltiples partes de archivos adquiridos: Esto permite al informático
buscar y analizar varias partes de la evidencia. Muchos investigadores utilizan varios discos
duros, discos extraíbles, etc.
Esta utilidad nos permite buscar todos los datos involucrados en un caso en un mismo paso.
Estos datos se clasifican, si está comprimida o no, y podemos colocarla en un HDD y
examinarla en paralelo. En varios casos, la información valiosa puede ser ensamblada en un
hdd, servidor de red... Diferente Capacidad de Almacenamiento: Los datos pueden ser
colocados en diferentes unidades como HDD IDE, SATA, SCSI, ZIP y JAZZ. Los archivos
que pertenecen a la evidencia pueden ser comprimidos o guardados en CD- ROM
manteniendo su integridad forense intacta, pudiendo ser estos mismos archivos utilizados
desde el mismo CD-ROM.
Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo: Esto permite ordenar
los archivos de acuerdo a diferentes campos incluyendo las tres estampillas de tiempo
(cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los
archivos y extensiones.
Análisis Compuesto del Documento: Permite recuperar archivos internos y meta-datos con la
opción de montar directorios como un sistema virtual para la visualización de la estructura de
estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio
unallocated. Búsqueda Automática y Análisis de archivos de tipo ZIP y Attachments de E-
Mail.
Firmas de archivos, Identificación y Análisis: La mayoría de las gráficas y de los archivos de
texto comunes contiene una pequeña cantidad de bytes en el comienzo del sector los cuales
constituyen una firma del archivo. Podemos verificar esta firma para cada archivo con una
lista de firmas conocidas con extensiones de archivos. Si un sospechoso ha escondido un
archivo o lo ha renombrado, detectaremos automáticamente la identidad del archivo.
Análisis Electrónico Del Rastro De Intervención: Herramientas para documentar y reparar
información como Sellos de fecha, de hora, registro de accesos, etc.
Soporte de Múltiples Sistemas de Archivo: Reconstruye los sistemas de archivos forenses en
DOS, Windows (todas las versiones), Macintosh (MFS,HFS,HFS+), Linux (Sun, Open BSD),
CD-ROM y los sistemas de archivos DVD-R.
Vista de archivos y otros datos en el espacio Unallocated: Provee de una interfaz similar al
explorador de Windows y una vista del HDD de origen, también permite ver los archivos
borrados y todos los datos en el espacio Unallocated. También muestra el Slack File con un
color rojo, permitiendo saber cuando fue creado cualquier archivo que sobreescribió ese
espacio. Integración de Reportes: Realiza un análisis y una búsqueda de resultados, en
donde se muestra los comentarios del investigador, imágenes recuperadas, favoritos,
criterios de búsqueda, etc.
Visualizador Integrado de imágenes con Galería: Nos permite una vista completamente
integrada que localiza automáticamente , extrae y despliega muchos archivos como .gif y .jpg
del disco. Seleccionando "Vista de Galería" se despliegan muchos formatos de imágenes,
incluyendo las imágenes que han sido eliminadas.
Herramienta Forense WinHex: Software para informática forense y recuperación de archivos,
Editor Hexadecimal de Archivos, Discos y RAM
Tener todos los bits de su ordenador al alcance de la mano se ha convertido en una realidad.
WinHex es un editor hexadecimal universal, y al mismo tiempo posiblemente la más potente
utilidad de sistema jamás creada. Apropiado para informática forense, recuperación de
archivos, peritaje informático, procesamiento de datos de bajo nivel y seguridad informática.
Sus características incluyen:
- Editor de disco por FAT12/16/32, exFAT, NTFS, Ext2/3/4, Next3®, UDF
- Built-in interpretation of RAID systems and dynamic disks Various data recovery techniques
- Editor de RAM, una manera de editar RAM y la memoria virtual de otros procesos
- Intérprete de Datos que reconoce hasta 20 tipos distintos de datos
- Edición de estructuras de datos mediante plantillas
- Concatenar, partir, unir, analizar y comparar archivos
- Funciones de búsqueda y reemplazo especialmente flexibles
- Clonado de discos, con licencia especialista támbien sobre DOS Con formato:
- Imágenes y backups de discos (comprimibles o divisibles en archivos de 650 MB)
– Programming interface (API) y scripts
– - Encriptación AES de 256 bits, checksums, CRC32, digests (MD5, SHA-1, ...)
– - Borrado irreversible de datos confidenciales/privados
– - Importación de todos los formatos de portapapeles
– - Formatos de conversión: Binario, Hex ASCII, Intel Hex y MotorolaS
– - Juego de caracteres: ANSI ASCII, IBM ASCII, EBCDIC
– - Salto instantáneo entre ventanas
– - Documentación exhaustiva.
– - Otras que podemos mencionas son:
– - Sleuth Kit (Forensics Kit)
– - Py-Flag (Forensics Browser)
– - Autopsy (Forensics Browser for Sleuth Kit)
– - Dumpzilla (Forensics Browser: Firefox, Iceweasel and Seamonkey)
– - dcfldd (DDImagingTool command line tool and also works with AIR)
– - foremost (Data Carver command line tool)
– - Air (Forensics Imaging GUI)
– - md5deep (MD5 Hashing Program)
– - netcat (Command Line)
– - cryptcat (Command Line)
– - NTFS-Tools
– - Hetman software (Recuperador de datos borrados por los criminales)
– - qtparted (GUI Partitioning Tool)
– - regviewer (Windows Registry)
– - Viewer
– - X-Ways WinTrace
– - X-Ways WinHex
– - X-Ways Forensics
– - R-Studio Emergency (Bootable Recovery media Maker)
– - R-Studio Network Edtion
– - R-Studio RS Agent
– - Net resident
– - Faces
– - Encase
– - Snort
– - Helix
– - NetFlow
– - Deep Freeze
– - hiren s boot
– - Canaima 3.1
– - Mini XP
En este capítulo se ha descrito los procedimientos que proporciona a la ciencia forense en
materia de informática para la resolución de casos llevados a procesos judiciales con el
objetivo de brindar y aportar al sistema jurídico herramientas especializadas, de tal manera
que su utilización dependerá de la experiencia del investigador o perito.
VI.- CONCLUSIONES
PRIMERA.- Los tipos penales tradicionales resultan ambiguos e inadecuados para merituar y
valorar las nuevas formas de los delitos informáticos, por cuanto las indicadas pruebas
indiciarias, no cumplen con los requisitos, los principios y el estándar de valoración mundial,
establecidos para la tipificación de los delitos informáticos del presente.
SEGUNDA.- Es necesario sopesar y re-elaborar los elementos tradicionales de la doctrina
general de la prueba, así como el lenguaje jurídico que fue creado para cumplir funciones
específicas en el tratamiento de los delitos comunes, los mismos que hasta la actualidad son
utilizados para tipificar erróneamente los delitos informáticos. De ésta forma se puede
contribuir con el empoderamiento del paradigma del Derecho y la Justicia, para abrir los
caminos de la paz, la convivencia civilizada y el progreso humano.
TERCERA.- La actualización de los conocimientos, habilidades, destrezas y aptitudes,
respecto del tratamiento de la cyber-delincuencia, deberá considerar una nueva lectura de
los delitos por manipulación informática, en términos de interceptación, incautación, apertura
de comunicaciones y datos; fraude por manipulación e introducción de datos falsos; cambios
en los sistemas, soportes, programas y archivos; introducción de instrucciones para no
realizar funciones no autorizadas; adopción de medidas de seguridad contra la falsificación
de datos, delitos de espionaje industrial y comercial y el robo como privación de bienes
electrónicos, la autoproducción de información contenida en redes, soportes y sistemas
informáticos, etc.
CUARTA.- Es urgente la capacitación y formación de peritos informáticos, mediante
diplomados, programas de segunda especialización y maestrías para profesionales del área
de administración, contadores y auditores, abogados, jueces y fiscales, Ing. de sistemas, Ing.
electrónicos, médicos forenses, antropólogos forenses, policía judicial y demás profesionales
especializados en investigación informática penal. Cuyo perfil como Expertos en Evidencias
Digitales les permita laborar como auxiliares de justicia y asesores judiciales de entidades
empresariales, privadas y estatales, así como investigadores y docencia superior.
QUINTA.- La admisibilidad de las pruebas electrónicas ante la justicia y el derecho, debe
estar supeditada a la calidad, recolección y custodia, análisis científico y exhibición de
pruebas. Por lo que, el modelo básico de enseñanza del peritaje informático en el Perú,
deberá seguir los lineamientos de ACPO, tomando en consideración el Procedimiento
Forense Estandarizado en sus cuatro etapas de Recolección, que implica la búsqueda,
reconocimiento y documentación de la evidencia electrónica; Proceso de examen de la
evidencia, para explicar su origen y alcances, contenido y estado de la evidencia en su
integridad; Fase de análisis e inspección, indagando el valor probatorio y su relevancia; y el
Reporte o declaración, mediante copia fidedigna de los datos objeto de investigación.
Así mismo, el soporte teórico deberá incluir conocimientos sobre Derecho penal informático,
metodología de investigación jurídica informática, criminalística y prácticas de laboratorio,
entre otros.
SEXTA.- La informática forense es una herramienta indispensable que toda organización
debe contemplar dentro de su política de seguridad y debe estar enmarcada dentro del
proceso de respuesta a incidentes en los sistemas informáticos.
Un Cambio de Paradigma: de la Criptografía Moderna a la Criptografía Cuántica
Esc. Graciela Cami Soria
ABSTRACT: El incontenible avance de Internet junto a las innovaciones en el área científica
y tecnológica, suponen una amenaza y desafío constante para los sistemas de seguridad de
las comunicaciones electrónicas. Frente a estos avatares, ¿podrá seguir siendo la
Criptografía Moderna la solución para garantizar la confidencialidad de la información que
viaja por la Red?
O esta con los años, ¿quedará perimida merced a la inventiva humana acuciada por la
infinita cantidad de prácticas maliciosas que infectan la Web? La capacidad y el talento del
ser humano han demostrado a través de la historia que prácticamente no se conocen límites.
Por ello, de la mano de la mecánica cuántica y con ella la criptografía cuántica, es muy
probable que en algunas décadas pueda hablarse de sistemas de trasmisión de información
totalmente seguros e inexpugnables.
¿Estaremos entonces ante un cambio de paradigma? El presente trabajo pretende comenzar
a abordar el complejo tema de la física cuántica a fin de hacer una primera aproximación a
las aplicaciones en el campo computacional y en particular en la criptografía cuántica
Palabras clave: Criptografía, Criptografía Cuántica, Ordenador Cuántico,
Telecomunicaciones, Seguridad Informática, Ciberseguridad
1. Introducción
Un tiempo atrás, se daba cuenta de una noticia, que llamó la atención de muchos, entre ellos
la autora. El tres de enero de 2014 se publicaba lo siguiente: “La Agencia de Seguridad
Nacional (NSA) de EEUU, trabaja en la construcción de un ordenador cuántico que puede
descifrar cualquier contraseña, incluso las de más alta seguridad, reveló hoy en exclusiva el
diario The Washington Post, a partir de los documentos del ex técnico de la CIA Edward
Snowden”
Esta tecnología –nos referimos a los ordenadores cuánticos- aún no está disponible para su
uso masivo y para ello, según los investigadores, deberemos esperar varios años más, talvez
décadas... talvez no tanto. La mala noticia es que este tipo de procesadores, pondría colofón
a la Infraestructura de Clave Pública (PKI), dado que esa nueva tecnología permitiría, entre
otras cosas, quebrar las claves empleadas hoy por la criptografía moderna.
En el presente trabajo se pretende abordar tímidamente el complejo tema de la mecánica
cuántica a fin de hacer una primera aproximación a las aplicaciones en el campo
computacional y en particular en el área de la criptografía cuántica.
Dado que este trabajo no está realizado por un físico ni por un técnico en informática, y
teniendo en cuenta la complejidad que supone encarar un tema tan enrevesado como el de
la computación cuántica -otro paradigma de la computación- se imponía conceptualizar
algunos términos como cuántico, quantum, qubits, fotones y otros más, que han sido
explicados a lo largo de este ensayo.
Para la autora, que profesa una actividad vinculada al derecho, no ha sido tarea fácil analizar
y comprender temas como algoritmos y criptografía y con la física cuántica, una vez más esa
dificultad se ha puesto de manifiesto, razón por la cual se han desmenuzando algunos
términos con el fin de intentar llevar un hilo conductor que guíe al lector hacia la cuestión
principal, y es el hecho que existen nuevas técnicas en estudio y es posible construir mejores
herramientas de encriptación.
Es ese sentido, y dado que uno de los mayores problemas de seguridad en los sistemas
informáticos, parece radicar en la forma en como se trasmite la información; como punto de
partida se entendió pertinente dedicar todo un capítulo para explicar cómo opera un sistema
de telecomunicaciones, como
viaja una señal, cuáles son los medios de transmisión de la misma y los diferentes canales
de comunicación. Luego se ha hecho una breve referencia a la criptografía asimétrica y a
continuación se han analizado con más detención cuestiones como los algoritmos, la
factorización de números enteros y su relación con la vulnerabilidad de las claves.
Finalmente se ingresa a la esfera de la física cuántica y en particular la criptografía cuántica
que en definitiva es el eje al que apunta el presente estudio.
2. Sistema de Telecomunicaciones y sus componentes
Un Sistema de Telecomunicación, para ser tal, requiere por lo menos de los siguientes
elementos: un trasmisor y un receptor, un medio de transmisión y un canal de comunicación.
El Transmisor se encarga de convertir los mensajes y transformarlo en lo que conocemos
como: señal.
La Señal está constituida por las ondas y los pulsos eléctricos o luminosos que representan
información. Esa señal es trasmitida por lo que se denomina un medio de transmisión. Hay
muchos tipos de medios de transmisión o canal físico por el cual viaja la señal. Entre ellos
citamos: cables, con o sin aislamiento, cable coaxial, par trenzado, cables submarinos,
cableado estructurado -para edificios- y fibra óptica.
El Receptor realiza las operaciones inversas que efectuó el transmisor, para así obtener una
información igual a la que se introdujo originariamente. Es decir la señal de salida debe
replicar a la señal de entrada. Y por último hay que contar con el Canal de Comunicación, por
ejemplo, en nuestro, caso Internet. La señal viaja entonces a través del conductor y en el
caso de las redes alámbricas el conductor es la electricidad.
Tratándose de redes inalámbricas la señal no circula mediante cables, es decir no requiere
ningún medio de transmisión físico, sino que viaja por el aire o el vacío; esto es, directamente
desde el trasmisor al receptor. Por otra parte, cuando el medio de transmisión empleado es la
fibra óptica, el medio conductor es la luz, en cuyo caso los pulsos ya no son eléctricos como
en las redes alámbricas, sino que son pulsos luminosos.
Cuando se emplea fibra óptica hay que señalar que existe una particularidad, y es que al
lado del transmisor opera un transductor que transforma la señal eléctrica en señal luminosa
y luego cuando llega al receptor se realizar la inversión u operación contraria. La fibra óptica
permite enviar gran cantidad de datos a alta velocidad y cubrir grandes distancias, por lo que
en el ámbito de las telecomunicaciones es un medio de transmisión excelente.
3. Ciberseguridad – El rol de los Algoritmos y las Claves
En Cyberseguridad es medular garantizar la confidencialidad en la transmisión de los datos.
No obstante cuando de informática se trata, y máxime ante una Red abierta como es
Internet, nada es cien por ciento seguro. Hoy día se es más consciente del valor que conlleva
la información, considerada en sí misma como un activo, y los problemas de seguridad
subyacentes en las comunicaciones online. Es por ello que las empresas, los gobiernos y
organizaciones trabajan incansablemente en adoptar políticas de seguridad, en proteger sus
bases de datos y en encriptar la información que suben a la Web. Con la tecnología
actualmente disponible en el mercado, con las claves empleadas y la combinación de
criptografía simétrica y asimétrica, es altamente improbable que las mismas sean vulneradas,
pero no totalmente imposible.
En criptografía, y en especial en la criptografía asimétrica o de clave pública, se utiliza un par
de claves -una pública y otra privada- claves matemáticamente relacionadas entre sí y
ambas pertenecientes a la misma persona. La clave utilizada en este tipo de criptografía
asimétrica es de mayor extensión a la que se emplea en la criptografía simétrica -de una sola
clave- y dado los avances en las tecnologías de factorización, hoy día se recomienda usar
claves de 2048 bits de longitud, como mínimo.
Efectivamente los adelantos científicos de los últimos años, en especial en el campo de la
Física y la Matemática, y las innovaciones tecnológicas, han permitido ampliar la longitud de
las claves empleadas y con ello ha aumentado la dificultad para factorizar números grandes.
Cuando hablamos de factorizar, nos referimos a descomponer un entero muy grande en sus
factores primos. En computación y programación los algoritmos son fundamentales en
cuanto y en tanto los mismos son operaciones matemáticas que se emplean para la
resolución de problemas. El algoritmo asimétrico más usado es el RSA -denominado así por
sus autores: Rivest, Shamir, Adleman- el cual es empleado tanto para cifrar como para firmar
digitalmente.
La fortaleza y seguridad de este algoritmo reposa en el hecho de que se vuelve
extremadamente dificultoso factorizar sus números enteros. Si se pudieran factorizar
números largos, se quebrarían las firmas digitales efectuadas con el algoritmo RSA. La
receta teórica para quebrantar la seguridad y violar las claves ya existe, fue dada en el año
1993 por el algoritmo de Shor, así nombrado por Peter Shor. Teóricamente, según Shor,
podrían factorizarse los números de un algoritmo, pero ello insumiría gran cantidad de
recursos computacionales y se necesitaría una inmensa cantidad de ordenadores
conectados simultáneamente para encontrar, en un tiempo más o menos prudencial, los
factores de un determinado número. Según Salvador Elías Venegas “una computadora
actual tardaría varios millones de años para factorizar un número de mil dígitos, mientras que
un computador cuántico lo haría en horas o minutos”
4. Algunas nociones sobre Mecánica Cuántica
La mecánica cuántica o física cuántica, aquella que estudia los fenómenos físicos que se dan
a escalas microscópicas -no referimos a los átomos, moléculas, electrones, fotones- ha
abierto nuevas perspectivas en el campo de la informática. El término cuántico se refiere a
ciertos “saltos” de la energía que se producen al emitir o absorber radiación; “saltos” que se
conocen como “cuantos”.
El “cuanto” o “quantum” es la cantidad mínima de energía que puede emitirse, propagarse o
ser absorbida. La teórica cuántica entonces, defiende el postulado de que una partícula
subatómica podría ocupar más de un espacio de manera simultánea. Para entender un poco
más de que estamos hablando, imaginemos el juego de la mosqueta.
Rosenblum y Kuttner en su libro “El Enigma Cuántico” lo ejemplifican con “el juego de
cubiletes”.
El juego de la mosqueta básicamente consiste en colocar una mesa, sobre ella poner tres
vasos y debajo de uno de ellos ubicar una pelotita o una bolita. Un hábil individuo va rotando
rápidamente los vasos y “mareando” a los observadores de forma tal que los espectadores
creen saber debajo de qué vaso está escondida la pelota. Previas apuestas de dinero, se
invita al incauto apostador a qué escoja uno de los vasos donde cree encontrará la pelotita.
Por supuesto que la habilidad de los estafadores es tal, que hace que la mayoría de las
veces la gente pierda lo apostado, dado que generalmente la pelota no está debajo del vaso
escogido, porque en realidad el timador la tiene escondida en la palma de su mano y la dejan
ver cuando el quiere y debajo del vaso que el quiere.
Y a esta altura el lector se preguntará qué tiene que ver esto con la física y las matemáticas.
Sucede que los estafadores emplean tres vasos, o sea que hay aproximadamente un treinta
y tres por ciento de posibilidades de acierto. Para que el juego fuera justo deberían
emplearse dos vasos y así habría un cincuenta por ciento de posibilidades de perder y un
cincuenta por ciento de posibilidades de ganar. Esto en matemáticas es un ejemplo de
probabilidad clásica. Aplicado a la física, Rosenblum y Kuttner indican que en el juego con
dos cubiletes (o vasos para nuestro ejemplo) la pelotita -aquéllos autores hablan de un
guisante- tendría la misma probabilidad de estar en uno u otro cubilete.
A su vez, estos autores trasladan este caso a la teoría cuántica y ponen el ejemplo con un
átomo y dos cajas. Según Rosenblum y Kuttner (2012, p.98) “la teoría cuántica dice que (por)
la ondulatoriedad del átomo, y por ende el átomo mismo, está simultáneamente en ambas
cajas” Y continúan: “Dicho así la mente se nubla. Es como decir que un objeto físico está en
dos sitios al mismo tiempo. La expresión mecánicocuántica para esta situación es que el
átomo se encuentra en un estado de superposición” (Rosenblum y Kuttner 2012, p.99).
Aquí se habla de probabilidad cuántica, diferente a la probabilidad clásica. Según Fernando
Lombardo, Doctor en Ciencias Físicas y docente de la Facultad de Ciencias Exactas y
Naturales de la Universidad de Buenos Aires (Argentina): “Un sistema cuántico puede estar
descripto por una superposición de diferentes estados. Por ejemplo una partícula cuántica en
un determinado instante puede tener un cincuenta por ciento de probabilidades de estar acá
y al mismo tiempo un cincuenta por ciento de probabilidades de estar en otro lado. Entonces
es algo que parece muy alejado del sentido común...” (Cagliani, 2013, Las Partículas
Elementales Technology Review, p.22)
Sigue Lombardo: “si uno logra dominar eso, se tienen muchísimas más alternativas de
cálculo justamente por esa superposición de estados, a diferencia de la computación clásica,
donde se tiene una sola posibilidad en cada instancia” (Cagliani, 2013, Las Partículas
Elementales Technology Review, p.24)
5 Los Ordenadores Cuánticos
En la computación clásica se emplea el código binario. Un bit es un dígito del sistema binario,
la unidad mínima de información. Un bit puede ser en términos matemáticos 0 “o” 1 -cerrado
o abierto, apagado o encendido- es decir, con un bit podemos representar solo dos valores.
Para representar más valores necesitamos más bits y así por ejemplo si usamos dos bits
tendríamos cuatro combinaciones posibles: 00, 01, 10 y 11. Con tan sólo esos dos dígitos, el
lenguaje binario permite a las computadoras comunicarse entre sí, ya que con ese par de
dígitos: 0, 1, se realizan infinidad de combinaciones, las que son capaces de representar
mensajes, documentos, secuencia de videos, audio e imágenes.
En un ordenador cuántico en cambio, no se emplean bit sino qubits o cuantumbits. Un qubit
entonces es la medida utilizada para cuantificar la información cuántica. Varios qubits juntos
forman un registro cuántico o registro de qubits, dicho de otra forma un registro cuántico es
un conjunto de cierto número de qubits.
El qubit sería para una computadora cuántica lo que el bit en la computadora digital, es decir
su análogo. Los qubits son estados cuánticos que representan unos “y” ceros. Un qubit
entonces puede tener dos estados posibles 0, 1 o también una superposición de ambos. Y
por ejemplo con 2 qubits podríamos tener simultáneamente los estados 00, 01, 10 y 11, lo
que aumentaría de forma inimaginable la capacidad de los ordenadores, ya que podrían
realizar infinidad de operaciones en forma sincrónica, sin necesidad de agregar más
computadoras.
Según el famoso físico catalán Juan Ignacio Cirac, el computador cuántico revolucionará la
sociedad de la información al permitir comunicaciones más eficientes y seguras. Como
enseñan Rosenblum y Kuttner (2012, p.108) “Un elemento operativo de un ordenador digital
clásico debe estar en uno de dos estados: 0 o 1”...
Y continúan: “Mientras que cada elemento de un ordenador clásico sólo puede efectuar una
computación cada vez, la superposición permite a cada elemento de un ordenador cuántico
efectuar numerosas computaciones simultáneamente. Este vasto paralelismo permitirá a un
ordenador cuántico resolver en minutos ciertos problemas que a un ordenador clásico le
llevarían mil millones de años”
Antes de continuar, refresquemos un poco nuestros conocimientos del Secundario. En física
se nos enseñó que un átomo básicamente está formado por dos partes: el núcleo y la
corteza. Y que en él existen partículas subatómicas denominadas: protones, neutrones y
electrones.
Los electrones son partículas normalmente con carga negativa. Y cuando ellos tienen carga
positiva se les denomina positrones. En cambio, un fotón con suficiente energía puede
descomponerse en dos partes: un electrón y un positrón y tener carga negativa y carga
positiva a la vez.
El fotón entonces, partícula que tiene ambas cargas, viaja a la velocidad de la luz, siendo ese
elemento denominado “fotón” el encargado de transportar todas las formas de radiación
electromagnética conocidas, tales como: los rayos gamma, la luz ultravioleta, la luz visible,
las ondas de radio, entre otras. Los quantum de luz de los que hablamos anteriormente son
los fotones. Para comprender mejor esta idea, imaginemos que la luz viaja “en pedacitos”,
“en fragmentos”, en “saltos”, en “cuantos”. En resumen y para expresarlo más claramente: el
fotón viaja en el vacío y es la partícula mensajera o partícula portadora. En el espacio vacío
los fotones se mueven a la velocidad de la luz, o sea, a casi 300.000.000 m/s (metros por
segundo)
Para ser más gráficos vamos a referirnos a algo que todos conocemos o al menos hemos
oído infinidad de veces: un láser y un láser, por ejemplo, genera miles de millones de fotones.
Trasladado todos estos conceptos a la computación cuántica, tendríamos que la información
viajaría a través de fibras ópticas y la fibra óptica sería la encargada de conducir el fotón.
Esta explicación anterior es tan sólo a los efectos de aclarar cómo operaría el fenómeno de
la computación cuántica, con el único fin de abordar el tema, para intentar entender que
aplicaciones podría tener en el campo de la criptografía.
Aplicaciones de la Mecánica Cuántica y Criptografía Cuántica.
En la actualidad la mecánica cuántica tienen infinidad de funciones, en especial en el campo
de la ciencia y como ya lo hemos expresado, en especial con el empleo del láser. Otra
aplicación bien conocida e inmensamente difundida es el transistor, y ambos -láser y
transistor- podría decirse son la base de la mayoría de nuestros dispositivos electrónicos.
Asimismo en medicina la mecánica cuántica ha hecho importantes aportes, por ejemplo con
las imágenes por resonancia magnética, por nombrar sólo alguna de sus aplicaciones
prácticas. De hecho Rosenblum y Kuttner (2012, p.104) dicen que “un tercio de nuestra
economía tiene que ver con productos basados en la mecánica cuántica”
¿Como llevamos todo esto al ámbito computacional? Hasta ahora el modelo conocido y
aplicado en seguridad informática es el de la criptografía asimétrica, y la fortaleza de esta
criptografía descansa, para algunos en el tamaño de las claves empleadas, y para otros en la
complejidad computacional y el secreto de los algoritmos.
El cambio de paradigma que se vislumbra de la mano de la Criptografía Cuántica, sin
embargo, haría reposar la seguridad informática en las bases mismas de la mecánica
cuántica. Ya en el año 2001, empleando el algoritmo de Shor y un ordenador cuántico de 7
qubits, se logró factorizar el número 15, descomponiéndolo en sus factores 3 y 5.
Es decir, se tienen los conocimientos y ya se están realizando pruebas con esta tecnología;
no obstante, uno de los inconvenientes que presenta la mecánica cuántica y por ende la
criptografía cuántica, radica en la manipulación de los qubits, puesto que su generación es
muy complicada y cualquier perturbación –como pueden ser campos magnéticos o la luz-
podría hacer que los mismos colapsen.
Como enseña Lombardo , refiriéndose a la partícula cuántica, “están rodeadas de
interacciones con otras partículas de átomos que están chocando” Esas interferencias
producen lo que se denomina decoherencia, es decir que, “los sistemas cuánticos pierden
coherencia”, por lo que “de todos esos estados de superposición” posible, muchos de ellos
“se pierden y entonces el estado termina siendo único” con lo cual se desvanece ese
atractivo o “propiedad interesante” de la mecánica cuántica “que es tener todas las
alternativas posibles” (Cagliani, 2013, Las Partículas Elementales Technology Review, p.22)
Por otra parte el científico Juan Ignacio Cirac explica que:
“aún no se domina el mundo microscópico como para construir ordenadores cuánticos pero
se puede utilizar para comunicar mensajes secretos. De alguna forma, cuando alguien envía
un mensaje secreto empleando la física cuántica, si una persona no autorizada lo quiere leer,
lo mira y destruye la información. No hay forma de interceptar esa comunicación. Tendría que
saber cómo mirar, para no destruir el objeto”
Veamos como Cirac en pocas palabras aclara muy bien este fenómeno; refiriéndose al
experimento llevado a cabo en Canarias (España), donde se tele transportó información
entre Tenerife y La Palma. Dice Cirac:
“La utilidad de ese experimento está más orientada hacia la criptografía. Para hacer
criptografía, se necesita enviar fotones de un sitio a otro y los fotones se absorben. Eso no
nos permite llegar a largas distancias. Los equipos que venden algunas compañías funcionan
para cinco o seis kilómetros de distancia. Para enviar información cuántica por cable sin que
esos fotones desaparezcan, son necesarios repetidores cuánticos que envían un poco de
información a una distancia pequeña y ... luego tele transportan otra cantidad y vuelven a
enviar. De esta forma, se puede evitar la absorción de fotones”
Como se expresó en la Introducción, esta tecnología aún no está disponible para su uso
masivo, pero se viene investigando fuertemente en varios países.
7 Conclusiones
Si bien en un futuro próximo los ordenadores cuánticos podrán, en cuestión de minutos,
hacer caer las claves hoy empleadas en criptografía, la propia tecnología seguramente será
la encargada de aportar también las soluciones a ese problema.
Un ordenador cuántico que es capaz de vulnerar claves que hoy se consideran con un grado
de seguridad apropiado, también podría ser la solución al problema de la seguridad en la
transmisión de la información; ya que según los científicos que investigan está área de la
física, la velocidad a la cual viajaría la información haría imposible que la misma fuera
interceptada. No obstante, hasta tanto no se implementen sistemas de encriptación
inexpugnables, continuará la eterna, pero aún vigente, confrontación entre criptógrafos y
criptoanalistas, los primeros luchando por lograr seguridad en las comunicaciones, ideando
nuevas claves, más complejas, más robustas y los segundos procurando encontrar sus
debilidades para quebrantarlas. En la actualidad el modelo conocido y aplicado es el de la
Criptografía Moderna, los algoritmos simétricos más empleados son: DES y Triple DES -o
TDES- y los asimétricos más usados son: RSA, DSA y Gelman, entre otros.
¿Estaremos entonces ante un cambio de paradigma? ¿Será la Criptografía Cuántica el
nuevo paradigma que finalmente aporte seguridad a las transacciones on line, infunda
confianza en los usuarios y posibilite el desarrollo exponencial del comercio electrónico?
Todo es posible. Y como dicen algunos: estamos recién en los albores de Internet.
La influencia de las TIC en los Delitos Informáticos de Suplantación de Páginas
Electrónicas, Phishing y Pharming. Regulación en la Jurisdicción Penal Costarricense.
Vulneración a los derechos del consumidor.
Pablo A. Solano Molina
Tecnologías de la Información y Comunicación (TIC)
La caracterización tanto criminológica como dogmática, del delito informático (ciberdelito) no
ha sido sencilla, pues éstos han experimentado una evolución y transformación constante en
el tiempo y en relación a los avances de la tecnología , de ahí que con la expresión delito
informático solía señalarse a una pluralidad de conductas que requieren de una regulación
precisa respetando el principio de legalidad. Ahora bien, los problemas dogmáticos y político-
criminales de estas formas de delincuencia se han resuelto en un buen número de sistemas
jurídicos, sin ser el costarricense la excepción, con la incorporación de nuevos delitos al
derecho positivo, por lo que antes, era difícil subsumir estas conductas en los delitos
tradicionales contra el patrimonio y otros bienes jurídicos, sin infringir las garantías del
principio de legalidad.
La influencia de las Tecnologías de la Información y la Comunicación (TIC), incluyendo la
Tecnología Telemática (unión de Telecomunicaciones e Informática), han permitido un
desarrollo social y económico de gran importancia, principalmente en la digitalización,
producción, procesamiento, almacenamiento, obtención y distribución de la información .
Pero de igual forma han provocado en los sistemas una profunda modificación y
reelaboración de muchas categorías jurídicas en diversos sectores del ordenamiento jurídico.
La utilización de las TIC, surge en un ámbito donde se reproducen las relaciones clásicas del
individuo y de los grupos en que se integra, pero en un marco distinto, entre cuyas
características está la facilidad de relaciones e intercambios, con eliminación de las barreras
de la distancia y el tiempo, sin embargo la sociedad actual presenta dentro de sus
actividades, la afectación de las nuevas tecnologías, diversas e interrelacionadas, que hacen
necesario la valoración de las cuestiones que se suscitan, de forma global e interactiva como
parte de un sistema socio cultural complejo, y en donde la delincuencia es uno de sus
componentes, y asimismo un fenómeno social al que el derecho penal debe adaptarse.
El acceso a los bienes y servicios facilitados por las TIC han generado importantes beneficios
en el tratamiento de datos, no obstante, tales beneficios constituyen a la vez un motivo de
preocupación, pues la informatización ha resultado otra posibilidad de realizar actos
indebidos. Tal delincuencia, se caracteriza por los medios informáticos y telemáticos, juntos
con las funciones más importantes como el procesamiento, transmisión automatizada de
datos, la confección y utilización de programas y de redes de comunicación para tales fines.
Ergo, las TIC constituyen la aplicación racional y sistemática de la información a los
problemas económicos, sociales y políticos, toda vez que permiten almacenar, recuperar y
diseminar la información; sin embargo la incorporación de éstas, también ha traído consigo
grandes repercusiones sociales de índole patrimonial y socio económico, convirtiéndose
asimismo en un útil y sofisticado instrumento para el desarrollo de las actividades delictivas
vinculadas con el crimen organizado, debiéndose plantear la orientación que se dar a la
utilización de las mismas.
Ingeniería Social
En el campo de la inseguridad y delincuencia informática, la ingeniería social constituye el
obtener información confidencial a través de la manipulación de usuarios legítimos. Es una
técnica que puede usar cualquier persona, no requiere de conocimientos técnicos especiales,
con el fin de tener acceso o privilegios en sistemas de información que les permitan realizar
algún acto que perjudique o exponga al individuo u organismo colectivo, sometiéndolo a
riesgo o abusos.
La característica principal que sustenta la ingeniería social es el que en cualquier sistema "el
usuario es la parte más débil"; los atacantes de la ingeniería social usan la fuerza persuasiva
y se aprovechan de la inocencia del usuario para manipularlos y engañarlos, logrando
obtener la información, o bien para convencerlos de realizar algún tipo de acción que
finalmente compromete su sistema. Las técnicas usadas por los ingenieros sociales son
variadas entre ellas el “hacking” y el “craking”, así como el uso de la Internet, los correos
electrónicos individuales y de forma masiva, el envío de solicitudes de renovación de
permisos de acceso a páginas web o sitios suplantados, llevando así a revelar información
sensible, o a violar las políticas de seguridad típicas. Con este método, los ingenieros
sociales aprovechan la tendencia natural de la gente a reaccionar de manera predecible en
ciertas situaciones, por ejemplo proporcionando detalles financieros, en lugar de tener que
encontrar agujeros de seguridad en los sistemas informáticos. Suplantación o Clonación de
Páginas Electrónicas Una página electrónica, es también conocida como una página de Web,
que al formar parte de una colección de otras páginas Webs da lugar al denominado Sitio
Web el cual se encuentra identificado bajo el nombre de un dominio.
La página web, se define como un documento electrónico el cual contiene información texto o
módulos multimedia que se encuentra alojado en un servidor y puede ser accesible
mediante el uso de navegadores, siendo la principal característica y fundamento los
hipervínculos. Son escritas en un lenguaje de marcado que provea la capacidad de manejar
e insertar hiperenlaces, generalmente HTML (lenguaje que interpretan los navegadores).
Es posible distinguir entre las páginas web estáticas (cuyos contenidos son predeterminados)
y las páginas web dinámicas (que generan contenidos al momento de solicitar información a
un servidor de web a través de lenguajes interpretados como Java Script. En el aspecto
estático hablamos de que el contenido no cambia, siempre mantiene un lenguaje HTML,
mientras que en el aspecto dinámico se presentan lenguajes de programación con lo son el
THP, ASP, TERL, entre otros.
Una vez establecido, que es una página electrónica es importante, definir el concepto de
suplantar y/o de clonar, el primero se puede decir que es falsificar el sentido que una página
real tiene, mientras el segundo (clonar) es la duplicación o reproducción exacta, en nuestro
caso de una página o sitio web. Por los que suplantar una página web, es la duplicación o
reproducción de un documento electrónico real y original, el cual contiene información texto o
módulos multimedia que se encuentra alojado en un servidor Phishing
El término Phishing es utilizado como un término en la delincuencia informática, y es el acto
que se comete mediante el uso de un tipo de ingeniería social que tiene como característica
intentar adquirir información confidencial de forma fraudulenta como puede ser una
contraseña o información detallada sobre tarjetas de crédito u otra información bancaria.
El delincuente, conocido como phisher, se hace pasar por una persona o empresa de
confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico, algún sistema de mensajería instantánea, o mediante el uso de ventanas
emergentes, para que por medio de un vínculo de hipertexto o enlace que lo acompaña, se
acceda a una página suplantada, en apariencia verdadera, y obtener los datos de interés.
Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y
servicios de pago en línea. Los phishers pueden enviar correos electrónicos de forma
indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, no
obstante, estudios recientes muestran que los phishers en un principio son capaces de
establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un correo
electrónico, falseado apropiadamente, a la posible víctima. En términos generales, esta
variante hacia objetivos específicos en el phishing se ha denominado spear phishing
(literalmente pesca con arpón), que tiene una connotación especial y la trataré en el tema de
la vulneración a los derechos del consumidor.
Pharming
Igual como en el caso del Phishing, se está ante un término utilizado en la delincuencia
informática, mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir
información confidencial de forma fraudulenta, logrando instalar un programa malicioso en el
sistema informático.
Se dice que Pharming es la explotación de una vulnerabilidad (error programación o
configuración) en el software de los servidores DNS (Domain Name System), o en el de los
equipos de los propios usuarios (host.com), que permite a un atacante redirigir un nombre de
dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un
determinado nombre de dominio, será redirigido a otro falso o suplantado que el atacante
haya especificado para ese nombre de dominio.
La ejecución del Pharming consiste en interceptar el paso entre el nombre nemotécnico de la
URI y la dirección IP devuelta para mandar al usuario en vez de la web solicitada por él
(principalmente del sistema bancario y entidades financieras) a una web suplantada o
clonada, donde los delincuentes se hacen con la claves y demás datos que éste haya
brindado.
Cada página web tiene asignada una dirección IP, (Internet Protocol), formada por cuatro
números de valor comprendido entre 0 y 255 separados por un punto (156.142.11.17) 31 .
Debido a la dificultad que supondría para los usuarios tener que recordar esas direcciones IP,
surgieron los Nombres de Dominio, que van asociados a las direcciones IP. Se asigna
paralelamente una dirección nemotécnica URI (Uniform Resource Identifier), única para cada
web, en el caso de la Facultad de Derecho de Universidad de Costa Rica, por ejemplo la URI
es www.derecho.ucr.ac.cr. y su dirección IP 163.178.119.5.
La URI es lo que habitualmente introducimos en el navegador, pero la dirección IP es lo que
entiende Internet. La conversión de URI a IP la realizan servidores especializados llamados
de DNS, (Domain Name Service) usando unas gigantescas tablas con todas las direcciones.
Con el fin de ahorrar consultas al DNS, el ordenador del usuario guarda una pequeña tabla
con las direcciones utilizadas frecuentemente. Si se intercepta y se cambia la información en
de esta tabla, se puede dirigir al usuario hacia la web que se quiera, en éste caso a web
suplantadas.
En cualquier caso habrá que introducir un malware "troyano" en el disco duro de la víctima.
El riesgo de este tipo de ataque es muy alto, está demostrado que situar "troyanos" en los
ordenadores de usuarios resulta extremadamente fácil, lo demuestra la abundancia de
adwares y spywares que se registran como media en cualquier disco duro. Una vez
introducido este programa será difícil detectarlo, y se reduce a cambiar el software una sola
vez. El propio "troyano" puede tener instrucciones para restaurar la tabla original y auto
eliminarse, borrando del disco duro el rastro de su presencia, eliminando casi totalmente las
huellas del ataque, siendo la próxima visita a la web seleccionada (web del banco o entidad
financiera) no desviada o re direccionada a la página suplantada, y por ende el usuario no se
dará cuenta de la sustracción de su contraseña y demás datos que haya suministrado .
A partir de lo expuesto, se puede definir que el “Phishing es la captura de datos personales
(contraseñas, cuentas bancarias, otros datos), simulando ser persona o entidad de
confianza, a través de sistemas de comunicación tales como correos electrónicos, mensajes
de texto, telefonía, entre otros, que solicitan información y suplantan sitios web, obteniendo
un beneficio económico propio o para un tercero”, y el “Pharming es la captura de datos
personales (contraseñas, cuentas bancarias, otros datos), a través de ingeniería social
utilizando correos electrónicos, ventanas emergentes o páginas de internet, en el que se
instala un programa informático malicioso, que origina un cambio o modificación de la
configuración ya sea en la PC del usuario o el DNS del IPS, para lograr que cuando el mismo
digite en su navegador una dirección legítima, éste sea conducido a una página web
suplantada o clonada y sea ahí donde introduzca los datos, obteniendo un beneficio
económico propio o para un tercero.” Regulación en la Jurisdicción Penal Costarricense
Antes de la reformas y adición de la Sección VIII al Código Penal, realizadas mediante Ley N.
9048 del 10 de julio de 2012, publicada en el Alcance N. 172 a La Gaceta N. 214 de 06 de
noviembre de 2012, las conductas de suplantación de páginas electrónicas, phishing y
pharming no se encontraban reguladas en nuestra legislación, sin embargo, las dos últimas
se trataron de subsumir en el artículo 217 bis. del código penal, esto por política criminal del
Ministerio Público y según la jurisprudencia de la Sala Penal, sin ser específicos el porqué de
ello y más bien inducidos si se quiere por la terminología confusa del Fraude Informático y
del verbo Influir. Para ello, se valieron de la frase “uso indebido de datos”, ya que, se
consideraba que los datos obtenidos por los delincuentes, eran usados indebidamente y de
forma clandestina al ocasionar un perjuicio económico a la víctima, sin embargo, no se
describía ni se precisaba de forma adecuada éstas conductas, ejemplo de ello lo podemos
ver con la redacción del artículo en mención:
Artículo 217 bis. Fraude informático. Se impondrá pena de prisión de uno a diez años a la
persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para
un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo,
mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o
cualquier otra acción que incida en el proceso de los datos del sistema.(Ley N. 8148 del 24
de octubre de 2001, publicada en La Gaceta del 21 de noviembre de 2001).
Otro aspecto, es que el tipo penal dejaba de lado la acción de influir en el ingreso de los
datos al sistema de cómputo (insiders) 34 , donde porcentualmente se dan la mayoría de
defraudaciones informáticas. Expresamente en la descripción típica se penalizaba al que:
“influya en el procesamiento o resultado de los datos de un sistema de cómputo” dejando por
fuera el ingreso.
Ahora bien, no pretendo hacer un análisis exhaustivo, toda vez que es legislación modificada,
pero sí por lo menos citar sucintamente, por la importancia del proceso informático, que éste
presenta tres etapas, a saber, los Datos de ingreso (Insiders), en el que la manipulación de
datos constituye un fraude informático en sentido amplio, en este caso es viable que el sujeto
activo no tenga especiales conocimientos técnicos informáticos, pero tiene la posibilidad de
ingresar datos para que estos sean procesados, los Datos de procesamiento, referidos a la
utilización y manipulación de la información o datos previamente ingresados en el sistema,
sea alterando los programas o insertando nuevos programas o rutinas, y finalmente los Datos
de salida (Outsiders), mediante el cual se da la falsificación de instrucciones para la
computadora en la fase de adquisición de datos, a modo de ejemplo se puede citar lo que se
realiza en los cajeros automáticos.
El anterior artículo 217 bis., denominado Fraude Informático, fue modificado en noviembre de
2012, variando su nomen iuris a Estafa Informática, siendo esta nomenclatura la más
apropiada, incluyendo ahora sí, el influir en los datos de ingreso, que como se aludió, es ahí
donde ocurre el mayor porcentaje de defraudaciones informáticas, además de incluir un
segundo verbo como lo es “manipular”, que amplía la cobertura de las acciones delictivas.
Actualmente se lee:
Artículo 217 bis. Estafa informática. Se impondrá pena de prisión de tres a seis años a quien
en perjuicio de una persona física o jurídica, manipule o influya en el ingreso en el
procesamiento o el resultado de los datos de un sistema automatizado de información, ya
sea mediante el uso indebido de datos, programación, valiéndose de alguna operación
informática o artificio tecnológico, o bien por cualquier otra acción que incida en el
procesamiento de los datos del sistemas o que dé como resultado información falsa,
incompleta o fraudulenta, con lo cual procure u obtenga un beneficio patrimonial o indebido
para sí o para otro. La pena será de cinco a diez años de prisión, si las conductas cometidas
contra sistemas de información públicos, sistemas de información bancarios y entidades
financieras,...
(Modificado mediante Ley N. 9048 del 10 de julio de 2012, publicada en el Alcance N. 172 a
La Gaceta N. 214 de 06 de noviembre de 2012).
Ahora bien, para nuestra legislación, las reformas y adición de la Sección VIII al Código
Penal, realizadas mediante Ley N. 9048 del 10 de julio de 2012, publicada en el Alcance N.
172 a La Gaceta N. 214 de 06 de noviembre de 2012, ha constituido un novedoso e
importante avance en la regulación y persecución de los denominados delitos informáticos o
ciberdelitos, dejando atrás múltiples críticas que con razón solían darse 35 . Muestra de ese
avance, y siguiendo con el análisis de la legislación actual, es la introducción del nuevo
artículo 233 del Código Penal, denominado “Suplantación de Páginas Electrónicas”.
La Suplantación de Páginas Electrónicas (Web), El Phishing y el Pharming, tienen como
elemento común precisamente el que la persona víctima u ofendida es re direccionada a una
Página Web suplantada y por ende falsa, persiguiendo la obtención de datos, es decir la
captura de la información en la mayoría de casos, por no decir todos, para obtener un
beneficio personal o para un tercero. De de ahí el gran acierto del legislador con el artículo
en mención.
Artículo 233.- Suplantación de páginas electrónicas.
Se impondrá pena de prisión de uno a tres años a quien, en perjuicio de un tercero, suplante
sitios legítimos de la red de Internet.
La pena será de tres a seis años de prisión cuando, como consecuencia de la suplantación
del sitio legítimo de Internet y mediante engaño o haciendo incurrir en error, capture
información confidencial de una persona física o jurídica para beneficio propio o de un
tercero. (Adicionado mediante Ley N. 9048 del 10 de julio de 2012, publicada en el Alcance
N. 172 a La Gaceta N. 214 de 06 de noviembre de 2012).
El primer párrafo del tipo, contiene como verbo típico “suplantar”, cuyo significado de acuerdo
con el diccionario de la Real Academia Española lo define como “falsificar un escrito con
palabras o cláusulas que alteren el sentido que antes tenía.
Ocupar con malas artes el lugar de alguien, defraudándole el derecho, empleo o favor que
disfrutaba”. Falsificar una página electrónica real, es duplicar o reproducir de forma exacta
una serie electrónica, un número o sistema de identificación de un dispositivo o un medio de
acceso a un servicio.
En el segundo párrafo del artículo anteriormente citado, se puede subsumir la conducta
delictiva de Phishing y el Pharming al indicar “...captura de información confidencial...”, pero
no las describe con la precisión esperada, por lo menos para quien escribe. En igual sentido
en el nuevo artículo 232 incisos a/e, del mismo cuerpo normativo, se podría subsumir la
conducta de Pharming, veamos:
Artículo 232.- Instalación o propagación de programas informáticos maliciosos. Será
sancionado con prisión de uno a seis años quien sin autorización, y por cualquier medio,
instale programas informáticos maliciosos en un sistema o red informática o telemática, o en
los contenedores electrónicos, ópticos o magnéticos.
La misma pena se impondrá en los siguientes casos:
a) A quien induzca a error a una persona para que instale un programa informático malicioso
en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o
magnéticos, sin la debida autorización...
e) A quien ofrezca, contrate o brinde servicios de denegación de servicios, envío de
comunicaciones masivas no solicitadas, o propagación de programas informáticos
maliciosos. La pena será de tres a nueve años de prisión cuando el programa informático
malicioso: “...”
(Adicionado mediante Ley N. 9048 del 10 de julio de 2012, publicada en el Alcance N. 172 a
La Gaceta N. 214 de 06 de noviembre de 2012).
En éste último artículo, se puede encuadrar la instalación de un malware, que como lo hemos
visto conlleva a la obtención, o captura de información de interés (claves de acceso a
cuentas bancarias), sea que se haga pensar al usuario (inducir a error) que está actualizando
sus datos y en realidad está facilitando los mismos a un desconocido, o bien, que active
involuntariamente un software que se encargará de afectar la direcciones IP y nombres de
dominio para que en el momento en que realice una operación bancaria lo haga en una
página suplantada o clonada. No obstante, la descripción, no resulta clara y precisa, para las
figuras en estudio, en cuanto no contempla la captura de datos como una forma de comisión,
ni nos refiere a una suplantación de página electrónica, pues sólo penaliza la inserción de
programas maliciosos, no obstante, es un gran avance el aporte que nos da dicho tipo penal.
Del análisis anterior es que concluyo que las conductas analizadas de Suplantación de
Páginas Electrónica, Phishing y Pharming, se subsumen dentro del tipo penal del artículo 233
del Código Penal, siendo que junto a las modificaciones del articulado existente, y la adición
de nuevos tipos referentes a los delitos informáticos, permiten a nuestro país tener una
legislación de amplia cobertura y de avanzada, combatiendo de esta forma la influencia que
han tenido las tecnologías de la información y comunicación en las conductas delictivas de
nuestra sociedad actual.
Vulneración a los derechos del consumidor
Como vimos anteriormente el principal interés del infractor al suplantar páginas electrónicas,
capturar datos e información, desde los ilícitos del phishing y el pharming, se da
principalmente con la finalidad de un beneficio patrimonial y que vincula principalmente a los
usuarios (consumidores) de entidades bancarias, financieras, y per se a éstas, más que sólo
por el simple deseo de un acceso y vulneración.
Dentro del marco de constitucionalidad y legalidad que regula y protege a los consumidores,
se establece una relación de consumo, por lo que es vital el análisis de los derechos
fundamentales de los consumidores, establecidos en la Constitución Política y el desarrollo
de éstos que se realiza principalmente dentro de la Ley de Promoción de la Competencia y
de Defensa Efectiva del Consumidor, número 7472.
En ese sentido, nuestra Constitución Política en su artículo 46, párrafo quinto, establece
claramente los derechos fundamentales del consumidor al indicar:
Artículo 46.- (...) Los consumidores y usuarios tienen derecho a la protección de su salud,
ambiente, seguridad e intereses económicos; a recibir información adecuada y veraz; a la
libertad elección, y a un trato equitativo. El Estado apoyará los organismos que ellos
constituyan para la defensa de sus derechos. La Ley regulará esa materia.
Como lo dice el citado artículo constitucional, es a la ley la que le corresponderá regular esos
derechos, y es justamente lo que hace la Ley 7472, que viene a desarrollar y precisar los
derechos fundamentales del consumidor, en su artículo 32, así como en artículo 34 establece
las obligaciones de los comerciantes o proveedores con los consumidores. De la
concatenación del articulado expuesto se puede establecer:
El comerciante o proveedor debe dar acceso al consumidor a la información, veraz y
oportuna (preventiva, completa y cierta), sobre los diferentes bienes o servicios que vaya
adquirir o utilizar el consumidor, por ejemplo, se debe dar información previa y durante la
utilización de un servicio, debe ser completa y claramente comprensible y correcta, es decir,
nunca falsa, y debe brindarse de manera oportuna a efectos de que el consumidor pueda
tomar sus decisiones de consumo de una manera adecuada y evitando caer en situaciones
dañosas o riesgosas.
El comerciante o proveedor, deberá proteger al consumidor contra los riesgos que puedan
afectar la seguridad de los bienes y servicios que éste adquiera o utilice. En palabras
sencillas, se le debe garantizar seguridad al consumidor por parte del comerciante o
proveedor, disminuyendo los riesgos que le puedan generar daños a éste último. El
comerciante o proveedor debe proteger los intereses económicos legítimos de sus
consumidores.
A nivel contractual, el comerciante o proveedor, debe proteger al consumidor de cláusulas
abusivas en los contratos de adhesión.
El comerciante o proveedor, debe procurar el darle al consumidor un trato equitativo, esto
significa no solo una igualdad de condiciones, sino el derecho del consumidor de ser tratado
de manera justa, respetuosa, brindando, lo que en las prácticas usuales, se denomina un
buen servicio al cliente, evitando el trato irrespetuoso, injusto y emitiendo criterios subjetivos
de la forma de actuar de sus clientes.
Ahora, cuando un comerciante o proveedor incumple estas obligaciones y de forma
correlativa viola los derechos del consumidor, se transgrede directamente la Constitución
Política y la Ley de Promoción de la Competencia y de Defensa Efectiva del Consumidor,
surgiendo como efecto necesario y lógico, una responsabilidad del comerciante o proveedor
hacía el consumidor, de reparar los daños y perjuicios que se le ocasionen. En consecuencia,
si existe una violación a los derechos constitucionales y legales del consumidor, por parte del
comerciante o proveedor, éste debe reparar el efecto dañoso que se le haya causado al
consumidor, bajo el régimen de responsabilidad objetiva
Lo anterior versa por la denominada relación de consumo entre el comerciante o proveedor y
el consumidor, la que existe por la dinámica natural del comercio, una desigualdad entre
ambos, y el consumidor en esta relación natural, es la parte más débil y si se quiere se
encuentra en estado de
indefensión , por lo que nuestra Constitución Política, viene a equilibrar esa relación de
consumo, otorgándole al consumidor una serie de derechos fundamentales que lo protegen
de su desigualdad natural con el comerciante y proveedor. Además, nuestro texto
constitucional le impone al Estado, la
obligación de apoyar los derechos que defiendan al consumidor, conllevando en los procesos
en los que se deba resolver un conflicto producido dentro de una relación de consumo, la
interpretación y la aplicación de las normas, que en caso de duda deben favorecer al más
débil, es decir, al consumidor.
Régimen de responsabilidad en materia del consumidor Una vez examinados los derechos
fundamentales del consumidor, y que su violación por parte de los comerciantes o
proveedores, produce como consecuencia una responsabilidad de éstos últimos sujetos de
reparar cualquier daño o perjuicio que se le haya causado al cliente o consumidor, es
necesario, ubicar el régimen de responsabilidad por aplicarse; precisamente es el contenido
en el artículo 35 de la Ley de Promoción de la Competencia y Defensa Efectiva del
Consumidor, que señala:
Artículo 35.- Régimen de responsabilidad. El productor, el proveedor y el comerciante deben
responder concurrente e independientemente de la existencia de culpa, si el consumidor
resulta perjudicado por razón del bien o el servicio, de informaciones inadecuadas o
insuficientes sobre ellos o de su utilización y riesgos. Sólo se libera quien demuestre que ha
sido ajeno al daño.
Los representantes legales de los establecimientos mercantiles o, en su caso, los
encargados del negocio son responsables por los actos o los hechos propios o por los de sus
dependientes o auxiliares. Los técnicos, los encargados de la elaboración y el control
responden solidariamente, cuando así corresponda, por las violaciones a esta Ley en
perjuicio del consumidor.
Se considera que la Ley de Promoción y Defensa del Consumidor, regula un régimen jurídico
especial, que debe ser aplicado sobre el régimen jurídico general, que se encuentra regulado
en la Ley General de la Administración Pública, por lo que desde esta simple óptica, debe
aplicarse las reglas de las responsabilidad objetiva que regula la citada Ley de Protección del
Consumidor. En ese mismo sentido, el régimen de responsabilidad objetiva contenido en el
artículo 35 aludido, debe ser aplicado cuando exista la relación de consumo (cita
anteriormente); es decir siempre que se brinde un servicio comercial, por lo que debe
aclararse, que mientras exista una relación de consumo, sea por la utilización del Internet
Banking o por brindar el servicio de tarjetas de crédito como medio de pago en negocios
comerciales o como forma de obtener dinero en efectivo en un cajero automático u otros, se
les deben aplicar las mismas reglas de la responsabilidad objetiva. Ergo, el comerciante,
productor o proveedor, responderá por aquellos daños 39 derivados de los bienes transados
y los servicios prestados, aún y cuando en su actuar no se detecte negligencia, imprudencia,
impericia o dolo.
En el caso de la responsabilidad objetiva en las relaciones comerciales de consumo, el
artículo 35 citado, establece claramente que se liberará quien demuestre que ha sido ajeno al
daño, esto debe ser relacionado con el artículo 71 de la Ley de Promoción de la
Competencia y Protección Efectiva del Consumidor, que remite de manera supletoria, a la
Ley General de la Administración Pública, por lo que los eximentes de responsabilidad
objetiva, establecidos en el artículo 190 de esta última ley, son de plena aplicación, y que
serían la fuerza mayor, culpa de la víctima y hecho de un tercero .
Ahora bien, al establecer esa “protección para el usuario”, se puede decir que la conducta del
Banco (proveedor) ha violado los derechos del consumidor, cuando surjan los siguientes dos
motivos:
Primero, se tiene por probado que el usuario solicitó al Banco, la emisión de una cuenta a la
cual se le asignó un número, se extendió una clave. Este hecho significa, que entre el Banco
y el usuario existió una relación de consumo, requisito indispensable para aplicar las reglas
de la responsabilidad objetiva en el marco de los derechos del consumidor.
Segundo, se tiene por acreditado que en la Cuenta Bancaria, cuyo titular es el usuario, se
realizaron transacciones, y éste le afirmó a la institución bancaria que esas transacciones no
fueron realizadas con su autorización.
Si el Banco, desea adversar lo anterior, y por ende no ser responsable por las transacciones
no autorizadas por el usuario, debe demostrar de forma efectiva y sin ninguna duda, que las
mismas fueron realizadas por el usuario, que un tercero con el consentimiento del usuario ha
efectuado las transacciones de la cuenta del mismo utilizando la clave, además que el Banco
facilitó el soporte suficiente, y que se dio un adecuado funcionamiento en los sistemas de
seguridad sin que haya existido una falla en los sistemas de seguridad de dicha entidad.
Ergo, la entidad bancaria de no poder demostrar el eximirse de responsabilidad, en materia
del consumidor, se concluiría que se violaron dos derechos fundamentales como los son,
primero que el comerciante o proveedor (banco), debe proteger al consumidor contra los
riesgos que puedan afectar la seguridad de los bienes y servicios que éste adquiera o utilice,
es decir, garantizar seguridad al consumidor por parte del comerciante o proveedor,
disminuyendo los riesgos que le puedan generar daños a éste último; y segundo el
comerciante o proveedor (banco) debe proteger los intereses económicos legítimos de sus
consumidores. Con la violación de estos dos derechos fundamentales, surge a la vida
jurídica un derecho de indemnización a favor del usuario o consumidor, por lo que el
comerciante o proveedor (sistema bancario o entidad financiera) debe acudir a vía penal y
civil contra los sujetos que hayan podido individualizar como participantes del hecho delictivo,
crimen organizado, y que ocasionaron los daños y perjuicios.