La Gaceta Jurídica

Ataques a la seguridad informática y telecomunicaciones en el contexto internacional(1)

Foto: infonogales.blogspot.com

Foto: infonogales.blogspot.com

La Gaceta Jurídica / Ronald RollanoVeramendi

00:00 / 14 de septiembre de 2012

Las “nuevas”tecnologías de la información y la comunicación (tic), son tecnologías que llegaron hace tiempo y que se encuentran completamente instaladas entre nosotros. Convivimos con ellas, nos educamos con ellas, nos informamos con ellas, nos servimos de ellas. Son parte de nuestra vida cotidiana, tanto es así que vivimos en una sociedad de la información.

Este acelerado desarrollo de la ciencia y la tecnología de nuestros tiempos y su aplicación en los diversos ámbitos de la vida diaria plantean un reto para el derecho internacional, que presentó y sigue presentando desafíos tanto en asumirla como en regularla, especialmente por el ámbito de conocimiento transversal que involucra.

El mal uso de las nuevas tecnologías de la información y de la Comunicación ha venido a presentar delitos informáticos y en las telecomunicaciones es más notorio con el uso de dispositivos móviles de comunicación, con dichos medios se produce la emergencia de que estas contravenciones son transnacionales y no tienen fronteras.

Nuestra vida diaria está vinculada irremediablemente a las actividades que involucran el uso (mal uso) de ordenadores que están conectados a redes, acentuada por el desarrollo de las telecomunicaciones y el uso de dispositivos móviles de gran capacidad de procesamiento y almacenamiento.

El mal uso de las tic representa para la comunidad internacional amenazas constantes para la seguridad de la información y telecomunicaciones que destruyen el orden y la paz de los estados miembros; estos pueden ser desde delitos informáticos, terrorismo informático hasta la guerra informática o de cuarta generación.

La información

La información es el conjunto de datos supervisados y ordenados que sirven para construir un mensaje basado en un cierto fenómeno o ente. La información permite resolver problemas y tomar decisiones, ya que su aprovechamiento racional es la base del conocimiento (2).

La información viene a representar para muchos países el bien jurídico y económico más valioso, en él se encuentran datos que van desde la identificación de sus habitantes hasta secretos industriales de relevancia económica, social, militar, etc.

Delito informático

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho.

Se han formulado conceptos respondiendo a realidades nacionales concretas, “no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su misma denominación alude a una situación muy especial, ya que para hablar de ‘delitos’ en el sentido de acciones típicas, es decir, tipificadas o contempladas en textos jurídicos penales, se requiere que la expresión ‘delitos informáticos’ esté consignada en los códigos penales, lo cual en nuestro país, al igual que en otros muchos no han sido objeto de tipificación aún” (3).

Concluimos, sin dar una definición exacta, que delito informático o cibernético es el término genérico para aquellas operaciones ilícitas realizadas por medio de internet o que tienen como objetivo destruir y dañar ordenadores, medios electrónicos y redes de Internet.

Tipos de delitos informáticos

No se llegó a un acuerdo en el contexto internacional para una tipificación de los delitos informáticos, Téllez Valdez clasifica a estos delitos de acuerdo a dos criterios:

Como instrumento o medio. En esta categoría se encuentran las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo:

a. Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.).

b. Variación de los activos y pasivos en la situación contable de las empresas.

c. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude, etc.).

d. Lectura, sustracción o copiado de información confidencial.

e. Modificación de datos tanto en la entrada como en la salida.

f. Aprovechamiento indebido o violación de un código para penetrar a un sistema introduciendo instrucciones inapropiadas.

g. Variación en cuanto al destino de pequeñas cantidades de dinero hacia una cuenta bancaria apócrifa.

h. Uso no autorizado de programas de cómputo.

i. Introducción de instrucciones que provocan “interrupciones” en la lógica interna de los programas.

j. Alteración en el funcionamiento de los sistemas, a través de los virus informáticos.

k. Obtención de información residual impresa en papel luego de la ejecución de trabajos.

l. Acceso a áreas informatizadas en forma no autorizada.

m. Intervención en las líneas de comunicación de datos o teleproceso.

Como fin u objetivo. En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, por ejemplo:

a. Programación de instrucciones que producen un bloqueo total al sistema.

b. Destrucción de programas por cualquier método.

c. Daño a la memoria.

d. Atentado físico contra la máquina o sus accesorios.

e. Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de loscentros neurálgicos computarizados.

f. Secuestro de soportes magnéticos entre los que figure información valiosa con fines dechantaje (pago de rescate, etc.).

Delito informático en la legislación nacional

En los últimos años se ha perfilado en el ámbito internacional un cierto consenso en las valoraciones político-jurídicas de los problemas derivados del mal uso que se hace de las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifique los derechos penales nacionales e internacionales.

La Organización de las Naciones Unidas (onu) señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y los delitos informáticos se constituyen en una forma de crimen transnacional.

En este sentido habrá que recurrir a aquellos tratados internacionales de los que nuestro país es parte, en virtud del artículo 256, I de la Constitución Política del Estado (cpe) Plurinacional. Ataques a la seguridad informática y telecomunicaciones en el ámbito internacional

En la actualidad los ataques cibernéticos se están convirtiendo en una realidad que afecta a millones de personas, empresas y países que se ven afectados en muchos casos gravemente; la seguridad en las redes de datos es un tema de vital importancia para los internautas que pasamos muchas horas semanales navegando por la Red.

Sin embargo, no debemos olvidar que también se trata de un sector estratégico para la defensa de los gobiernos y naciones, cada vez más propensos a sufrir ciberataques procedentes de cualquier parte del mundo, lo cual está llevando a algunos, como Estados Unidos (eeuu), a gastar enormes cantidades de dinero en sistemas virtuales de análisis, prevención y defensa por culpa de este tipo de ataques.

Los ataques cibernéticos se están acercando cada vez con más frecuencia al mundo de la tecnología, como herramienta indispensable de monitorización de las cada vez más numerosas amenazas asimétricas que afectan y afectarán a los estados modernos en las próximas décadas, siendo buena prueba de ello el gusano “stuxnet”, que no buscaba datos o beneficios económicos, sino que se enfocaba en ganar control sobre infraestructura crucial.

Tipo de ataques

Los principales tipos de ataques cibernéticos que representan un peligro para toda la comunidad internacional son:

Malware. Es la abreviatura de “malicious software” (software malicioso), término que engloba a todo tipo de programa o código de computadora cuya función es dañar un sistema o causar mal funcionamiento. Dentro de este grupo podemos encontrar términos como: virus troyanos (trojans), gusanos (worms), dialers, spyware, adware, hijackers, keyloggers, FakeAVs, rootkits, bootkits y rogues.

Spam

Es todo e-mail no deseado (o no solicitado) que recibimos en nuestras cuentas de correo. Se dice que las empresas pierden millones de pesos debido a la utilización de recursos que merman la productividad de los trabajadores, esto se refiere al tiempo que se dedica en bajar estos correos, leerlos y eliminarlos. Así como al aumento del tráfico en la red y los costos por espacio en servidores, entre otros factores.

Phishing

Consiste en el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario. Para ello suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.

Stuxnet

Es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por Virus Blok Ada, una empresa de seguridad radicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales, en concreto sistemas Scada de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.

La guerra multidimensional o de cuarta generación

Uno de los virus informáticos que más preocupa a las autoridades mundiales no se diseñó para robar dinero, identidades o contraseñas. Su objetivo es dañar físicamente instalaciones nucleares, como ocurrió en Irán, e iniciar una nueva era de ataques bélicos entre naciones, detonando una ciberguerra oculta.Stuxnet, nombre del malware, abrió una nueva carrera armamentista que, según un reportaje del programa 60 Minutos de la CBS, arrancó un debate sobre los riesgos que enfrentan las naciones.

“Los países ya están usando técnicas de guerra cibernética para atacarse entre ellos y necesitan estar alerta en todo momento para proteger los sistemas informáticos”; es la percepción de políticos y jefes de espionaje del reino unido según una entrevista proporcionada por el director del Centro de Comunicaciones del Gobierno británico al programa antes citado.

El ataque de Stuxnet desconcertó a los analistas estratégicos al evidenciarse como la primera ‘ciberarma’ de combate empleada en una situación real. Su código pudo ser examinado por expertos y los dejó asombrados, era un software dirigido específicamente para propagarse en software industrial de plantas de enriquecimiento de uranio en Irán.

Los autores del virus Stunext nunca se encontraron, pero las sospechas llegaron a caer sobre los gobiernos de eeuu e Israel.

El gusano afectó a ordenadores de todo el planeta, pero el 60 por ciento de las infecciones estaban en sistemas de Irán, un país por cierto que también cuenta con uno de los mayores equipos de ciberguerra.

Aparte de esto, países como Corea del Norte, China y Rusia se han visto implicados en diversas acciones denunciadas por otros países como ‘ciberataques’ con el objetivo de sabotear sistemas, robar información o bloquear sitios gubernamentales.

Medidas para evitar los delitos informáticos y la ciberguerra

Desde hace algún tiempo, la Unión Europea (ue) viene realizando una serie de acciones destinadas a la protección, normar, endurecer penas y buscar el apoyo internacional.

En el 2004 la ue formó una comisión que realiza un estudio sobre las actividades ilegales en línea que implican ataques a las tic de los estados miembros, cuyos resultados son la base de futuras acciones y cumbres internacionales para el tratamiento de este tipo de ataques. La comisión presentó un comunicado ante la cumbre celebrada el 15 de noviembre de 2006 cuyas partes más sobresalientes indican las medidas adoptadas:

La Comisión Europea propone un plan de acción articulado en torno a cinco ejes:

Preparación y prevención

La Comisión insta a los Estados miembros a definir, con la ayuda de la Enisa, un nivel mínimo de capacidades y servicios para los equipos de respuesta a incidentes de seguridad de la información (cert). Además, la Comisión pondrá en marcha una asociación público-privada europea de resistencia (ep3r (en) sobre objetivos de mejora de la seguridad y la resistencia.

También se establecerá un foro europeo para facilitar el intercambio de información entre los Estados miembros.

Detección y respuesta

Se desarrollará y pondrá en marcha un sistema europeo de intercambio de información y alerta (Eisas) que llegue a los ciudadanos y las pymes.

Mitigación y recuperación

La Comisión insta a los Estados miembros a elaborar planes nacionales de contingencia, a organizar ejercicios de simulación de incidentes a gran escala de seguridad de las redes y a estrechar la cooperación entre los equipos cert nacionales o gubernamentales. La Comisión apoya financieramente la realización de ejercicios paneuropeos que también podrán constituir la plataforma operativa para la participación paneuropea en ejercicios internacionales.

Cooperación internacional

Se prevé la cooperación internacional en lo que respecta principalmente a la resistencia y estabilidad de internet para la definición de prioridades, principios y directrices, en primer lugar a escala europea y después a nivel mundial.

Establecimiento de criterios relativos a infraestructura criticas europeas en el sector de las TIC

Se seguirán elaborando criterios para caracterizar las infraestructuras críticas europeas del sector de las tic (4). El 2010 La Agencia Europea para la Seguridad de las Redes y la Información (Enisa) se ha aliado con el Departamento de Seguridad Interna de eeuu para evaluar la respuesta de eeuu y de la ue ante potenciales ciberataques.

En el marco de la alianza y bajo el paraguas de una operación bautizada como ‘Cyber Atlantic 2011’ se están llevando a cabo simulaciones en distintos escenarios, contando con la participación de las agencias de seguridad de 20 estados miembros de la ue.

Por otra parte, los Estados miembros de la Organización de Estados Americanos (oea) están comprometidos en el marco de este proyecto de Estrategia Interamericana Integral de Seguridad Cibernética a fomentar una cultura de seguridad cibernética que disuada el uso indebido de internet y los sistemas de información asociados e impulse el desarrollo de redes de información que sean de confianza y fiables.

La Estrategia Interamericana Integral de Seguridad Cibernética se basa en los esfuerzos y conocimientos especializados del Comité Interamericano contra el Terrorismo (Cicte), la Comisión Interamericana de Telecomunicaciones (Citel) y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (Remja).

La Estrategia reconoce la necesidad de que todos los participantes en las redes y sistemas de información sean conscientes de sus funciones y responsabilidades respecto a la seguridad a fin de crear una cultura de seguridad cibernética.

Existen conclusiones de la Conferencia sobre Seguridad Cibernética (Buenos Aires, Argentina, del 28 al 29 de julio de 2003), que demostró la gravedad de las amenazas a la seguridad cibernética para la seguridad de los sistemas de información esenciales, las infraestructuras esenciales y las economías en todo el mundo, y que una acción eficaz para abordar este problema debe contar con la cooperación intersectorial y la coordinación entre una amplia gama de entidades gubernamentales y no gubernamentales.

Las conclusiones indican las siguientes acciones:

1. Coordinación y cooperación permanentes entre las Secretarías del Cicte, la Citel y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la Remja.

2. Fortalecimiento de la coordinación entre las autoridades y entidades nacionales, incluidos los csirt nacionales, que trabajan en cuestiones relacionadas con la seguridad cibernética.

3. Establecimiento de un sitio web conjunto en el que pueda introducirse la información pertinente sobre seguridad cibernética generada por el Cicte, la Citel y el Grupo de Expertos Gubernamentales en Materia de Delito Cibernético de la Remja, a fin de permitir un fecundo intercambio de ideas y facilitar el intercambio de información.

4. Los Estados miembros deberán llevar a cabo, junto con el Cicte, la Citel y el Grupo de Expertos Gubernamentales de la Remja en materia de delito cibernético, un programa interamericano de concienciación del público acerca de la seguridad y la ética cibernéticas en el que se destaquen las ventajas y responsabilidades del uso de redes de información; las mejores prácticas de seguridad y protección; las posibles consecuencias negativas del uso indebido de las redes; cómo reportar un incidente cibernético y a quién; e información técnica y práctica relacionada con la seguridad cibernética (5).

Conclusiones

Legislar la instigación a los ataques cometidos a través de la computadora. Adherirnos, por nuestra parte, a los postulados sobre los delitos informáticos, con el fin de unificar la legislación internacional que regule la problemática de la cibernética y su utilización tan generalizada en el mundo.

El derecho internacional tiene un nuevo reto pensando en una nueva legislación informática en el ámbito público en cuanto a la transmisión de datos que pueden ser objeto de ataques capaces de provocar una ciberguerra.

La comunidad internacional ya mostró su preocupación por su ciberseguridad con distintas iniciativas, la mayoría encaminadas a mejorar las protecciones de sus infraestructuras críticas, tomando políticas de cooperación internacional.

La ue al igual que la oea comienza a adoptar medidas tendientes a mantener la paz entre los estados miembros, normando y formando organismos de regulación y concienciación sobre la seguridad informática y las telecomunicaciones.

Bibliografía

J. Long, 2005, Web Hacking: Attacksand Defense, 2002, Addison Wesley.

J. Mirkovic, S. Dietrich, D. Dittrich, P. Reiher, 2004, Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall. Téllez Valdez, Julio, 1996, Derecho informatico, México, Mc Graw Hill.

Anexo IV, documento OEA/Ser.K/XXXIV.5/REMJA-V/doc.7/04 rev. 4.

Declaración sobre Seguridad en las Américas.

Declaración de Montevideo, OEA.

http://www.ensayo\Empezo La Guerra Cibernetica - Taringa!.mht

http://www.mundointernet.es/IMG/pdf/ponencia95.pdf

http://es.scribd.com/doc/19397003/Tipos-de-Ataques-informaticos

http://Seguridad Informatica - Legislación y Delitos Informáticos - España.mht

http://Stuxnet, misil virtual en plena ciberguerra _ Excélsior.mht

Notas

1. Ensayo publicado en el libro: La Seguridad y Defensa en el Derecho Internacional, IDEI-Kipus, 2012.

2. TÉLLEZ VALDEZ, Julio. Derecho Informático. 2ª. Edición. Mc Graw Hill. México. 1996 Pág. 103.

3. Ibídem.

4. http://europa.eu/legislation_summaries/information_society/internet/si0010_es.htm

5. Informe de la Conferencia sobre Seguridad Cibernética, documento OEA/Ser.L/X.5/CICTE/CS/doc.2/03.

*    Es ingeniero de sistemas, tiene un diplomado en Educación Superior y postítulo en Capacitación para Organizaciones y es desarrollador de sistemas informáticos para la Dirección General Administrativa y Financiera del Órgano Judicial.

Tomado de: Revista IDEI Nº 45, agosto de 2012.

Espere…

Ediciones anteriores

Lun Mar Mie Jue Vie Sab Dom
1 2 3 4 5
6 7 8 9 10 11 12
20 21 22 23 24 25 26
27 28

Suplementos

Colinas de Santa Rita, Alto Auquisamaña (Zona Sur) - La Paz, Bolivia