Introduccin
Fraude puede ser definido como engao, accin contraria a la verdad o a la rectitud. La definicin
de Delito puede ser ms compleja.
Muchos estudiosos del Derecho Penal han intentado formular una nocin de delito que sirviese
para todos los tiempos y en todos los pases. Esto no ha sido posible dada la ntima conexin que
existe entre la vida social y la jurdica de cada pueblo y cada siglo, aquella condiciona a sta.
Segn el ilustre penalista CUELLO CALON, los elementos integrantes del delito son:
a. El delito es un acto humano, es una accin (accin u omisin)
b. Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un inters
jurdicamente protegido.
c. Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto
tpico.
d. El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una
accin es imputable cuando puede ponerse a cargo de una determinada persona
e. La ejecucin u omisin del acto debe estar sancionada por una pena.
Por tanto, un delito es: una accin antijurdica realizada por un ser humano, tipificado, culpable y
sancionado por una pena.
Se podra definir el delito informtico como toda accin (accin u omisin) culpable realizada por un
ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o
que, por el contrario, produzca un beneficio ilcito a su autor aunque no perjudique de forma directa
o indirecta a la vctima, tipificado por La Ley, que se realiza en el entorno informtico y est
sancionado con una pena.
De esta manera, el autor mexicano Julio TELLEZ VALDEZ seala que los delitos informticos son
"actitudes ilcitas en que se tienen a las computadoras como instrumento o fin (concepto atpico) o
las conductas tpicas, antijurdicas y culpables en que se tienen a las computadoras como
instrumento o fin (concepto tpico)". Por su parte, el tratadista penal italiano Carlos SARZANA,
sostiene que los delitos informticos son "cualquier comportamiento criminal en que la
computadora est involucrada como material, objeto o mero smbolo".
Caractersticas de los delitos
Segn el mexicano Julio Tellez Valdez, los delitos informticos presentan las siguientes
caractersticas principales:
a. Son conductas criminales de cuello blanco (white collar crime), en tanto que slo un
determinado nmero de personas con ciertos conocimientos (en este caso tcnicos) puede
llegar a cometerlas.
b. Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto
se halla trabajando.
c.
d.
e.
f.
g.
h.
i.
Delitos en perspectiva
Los delitos pueden ser examinado desde dos puntos de vista diferentes:
Aunque depende en gran medida del tipo de organizacin, se puede mencionar que los Fraudes y
sabotajes son los delitos de mayor incidencia en las organizaciones. Adems, aquellos que no
estn claramente definidos y publicados dentro de la organizacin como un delito (piratera, mala
utilizacin de la informacin, omisin deliberada de controles, uso no autorizado de activos y/o
servicios computacionales; y que en algn momento pueden generar un impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los delitos de difcil deteccin, se deben situar a
aquellos producidos por las personas que trabajan internamente en una organizacin y que
conocen perfectamente la configuracin interna de las plataformas; especialmente cuando existe
una cooperacin entre empleados, cooperacin entre empleados y terceros, o incluso el
involucramiento de la administracin misma.
Tipos de los delitos informticos
Clasificacin Segn la Actividad Informtica
Sabotaje informtico
El trmino sabotaje informtico comprende todas aquellas conductas dirigidas a causar daos en el
hardware o en el software de un sistema. Los mtodos utilizados para causar destrozos en los
sistemas informticos son de ndole muy variada y han ido evolucionando hacia tcnicas cada vez
ms sofisticadas y de difcil deteccin. Bsicamente, se puede diferenciar dos grupos de casos: por
un lado, las conductas dirigidas a causar destrozos fsicos y, por el otro, los mtodos dirigidos a
causar daos lgicos.
custicos en los equipos, etc. En general, estas conductas pueden ser analizadas, desde el punto
de vista jurdico, en forma similar a los comportamientos anlogos de destruccin fsica de otra
clase de objetos previstos tpicamente en el delito de dao.
Conductas dirigidas a causar daos lgicos
El segundo grupo, ms especficamente relacionado con la tcnica informtica, se refiere a las
conductas que causan destrozos lgicos, o sea, todas aquellas conductas que producen, como
resultado, la destruccin, ocultacin, o alteracin de datos contenidos en un sistema informtico.
Este tipo de dao a un sistema se puede alcanzar de diversas formas. Desde la ms simple que
podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando
con l o el borrado de documentos o datos de un archivo, hasta la utilizacin de los ms complejos
programas lgicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su
posibilidad de destruir gran cantidad de datos en un tiempo mnimo.
Estos programas destructivos, utilizan distintas tcnicas de sabotaje, muchas veces, en forma
combinada. Sin pretender realizar una clasificacin rigurosa de estos mtodos de destruccin
lgica, podemos distinguir:
a. Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva del programa
comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos
meses o en una fecha o a una hora determinada), o por la aparicin de determinada seal
(que puede aparecer o puede no aparecer), como la presencia de un dato, de un cdigo, o
cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado
por el programa como la seal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado
program el sistema de tal forma que los ficheros de la empresa se destruiran
automticamente si su nombre era borrado de la lista de empleados de la empresa.
b. Otra modalidad que acta sobre los programas de aplicacin es el llamado cncer de
rutinas (cancer routine). En esta tcnica los programas destructivos tienen la
particularidad de que se reproducen, por s mismos, en otros programas, arbitrariamente
escogidos.
c. Una variante perfeccionada de la anterior modalidad es el virus informtico que es un
programa capaz de multiplicarse por s mismo y contaminar los otros programas que se
hallan en el mismo disco rgido donde fue instalado y en los datos y programas contenidos
en los distintos discos con los que toma contacto a travs de una conexin.
Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia
alemana:
Una empleada de un banco del sur de Alemania transfiri, en febrero de 1983, un milln trescientos
mil marcos alemanes a la cuenta de una amiga - cmplice en la maniobra - mediante el simple
mecanismo de imputar el crdito en una terminal de computadora del banco. La operacin fue
realizada a primera hora de la maana y su falsedad podra haber sido detectada por el sistema de
seguridad del banco al medioda. Sin embargo, la rpida transmisin del crdito a travs de
sistemas informticos conectados en lnea (on line), hizo posible que la amiga de la empleada
retirara, en otra sucursal del banco, un milln doscientos ochenta mil marcos unos minutos
despus de realizada la operacin informtica.
En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el
programa o secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida
tanto al modificar los programas originales, como al adicionar al sistema programas especiales que
introduce el autor.
A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin
conocimientos especiales de informtica, esta modalidad es ms especficamente informtica y
requiere conocimientos tcnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana:
El autor, empleado de una importante empresa, ingres al sistema informtico un programa que le
permiti incluir en los archivos de pagos de salarios de la compaa a personas ficticias e
imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de seguridad del banco
(listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados peridicamente por la
compaa. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de
pago de salarios para que los empleados ficticios y los pagos realizados, no aparecieran en los
listados de control.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulacin del output.
Una caracterstica general de este tipo de fraudes, interesante para el anlisis jurdico, es que, en
la mayora de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo
que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene
la posibilidad de repetir, cuantas veces quiera, la comisin del hecho. Incluso, en los casos de
"manipulacin del programa", la reiteracin puede ser automtica, realizada por el mismo sistema
sin ninguna participacin del autor y cada vez que el programa se active. En el ejemplo
jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor podra irse
de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguira imputando el
pago de sueldos a los empleados ficticios en su cuenta personal.
Una problemtica especial plantea la posibilidad de realizar estas conductas a travs de los
sistemas de teleproceso. Si el sistema informtico est conectado a una red de comunicacin entre
ordenadores, a travs de las lneas telefnicas o de cualquiera de los medios de comunicacin
remota de amplio desarrollo en los ltimos aos, el autor podra realizar estas conductas sin ni
siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y
con una computadora personal. An ms, los sistemas de comunicacin internacional, permiten
que una conducta de este tipo sea realizada en un pas y tenga efectos en otro.
Respecto a los objetos sobre los que recae la accin del fraude informtico, estos son,
generalmente, los datos informticos relativos a activos o valores. En la mayora de los casos estos
datos representan valores intangibles (ej.: depsitos monetarios, crditos, etc.), en otros casos, los
datos que son objeto del fraude, representan objetos corporales (mercadera, dinero en efectivo,
etc.) que obtiene el autor mediante la manipulacin del sistema. En las manipulaciones referidas a
datos que representan objetos corporales, las prdidas para la vctima son, generalmente, menores
ya que estn limitadas por la cantidad de objetos disponibles. En cambio, en la manipulacin de
datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino
que, por el contrario, puede ser creado por el autor.
Copia ilegal de software y espionaje informtico.
Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un sistema de
informacin. Es comn el apoderamiento de datos de investigaciones, listas de clientes, balances,
etc. En muchos casos el objeto del apoderamiento es el mismo programa de computacin
(software) que suele tener un importante valor econmico.
Infraccin de los derechos de autor: La interpretacin de los conceptos de copia, distribucin,
cesin y comunicacin pblica de los programas de ordenador utilizando la red provoca diferencias
de criterio a nivel jurisprudencial.
Infraccin del Copyright de bases de datos: No existe una proteccin uniforme de las bases de
datos en los pases que tienen acceso a Internet. El sistema de proteccin ms habitual es el
contractual: el propietario del sistema permite que los usuarios hagan "downloads" de los ficheros
contenidos en el sistema, pero prohbe el replicado de la base de datos o la copia masiva de
informacin.
Uso ilegtimo de sistemas informticos ajenos.
Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un
sistema informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los
sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados
y actividades complementarias a su trabajo. En estos supuestos, slo se produce un perjuicio
econmico importante para las empresas en los casos de abuso en el mbito del teleproceso o en
los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene que el uso ilegtimo de passwords y la
entrada en un sistema informtico sin la autorizacin del propietario debe quedar tipificado como un
delito, puesto que el bien jurdico que acostumbra a protegerse con la contrasea es lo
suficientemente importante para que el dao producido sea grave.
1. El carcter de los datos: ideologa, religin, creencias, salud, origen racial y vida sexual.
2. Las circunstancias de la vctima: menor de edad o incapaz.
Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos
de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra
seal de comunicacin, se piensa que entre lo anterior se encuentra el pinchado de redes
informticas.
Interceptacin de e-mail: En este caso se propone una ampliacin de los preceptos que castigan la
violacin de correspondencia, y la interceptacin de telecomunicaciones, de forma que la lectura de
un mensaje electrnico ajeno revista la misma gravedad.
Pornografa infantil
La distribucin de pornografa infantil por todo el mundo a travs de la Internet est en aumento.
Durante los pasados cinco aos, el nmero de condenas por transmisin o posesin de
pornografa infantil ha aumentado de 100 a 400 al ao en un pas norteamericano. El problema se
agrava al aparecer nuevas tecnologas, como la criptografa, que sirve para esconder pornografa y
dems material "ofensivo" que se transmita o archive.
Seguridad contra los delitos informticos.
Seguridad en Internet
Hoy en da, muchos usuarios no confan en la seguridad del Internet. En 1996, IDC
Research realiz una encuesta en donde el 90% de los usuarios expres gran inters sobre la
seguridad del Internet, pues temen que alguien pueda conseguir el nmero de su tarjeta de crdito
mediante el uso de la Red.
Ellos temen que otros descubran su cdigo de acceso de la cuenta del banco y entonces
transferir fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran
preocupacin en dar informacin confidencial a personas no autorizadas. Las corporaciones
tambin se preocupan en dar informacin a los empleados, quienes no estn autorizados al acceso
de esa informacin o quien trata de curiosear sobre una persona o empleado. Las organizaciones
se preocupan que sus competidores tengan conocimiento sobre informacin patentada que pueda
daarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del trmino de
la seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad
significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje,
aplicacin, archivo, sistema o una comunicacin interactiva. "Seguro" los medios son protegidos
desde el acceso, el uso o alteracin no autorizada.
Para guardar objetos seguros, es necesario lo siguiente:
Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera
confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La
importancia de lo que se est asegurando y el riesgo potencial involucra en dejar uno de estos
requerimientos o tener que forzar niveles ms altos de seguridad. Estos no son simplemente
requerimientos para el mundo de la red, sino tambin para el mundo fsico.
Medidas de seguridad de la red.
Existen numerosas tcnicas para proteger la integridad de los sistemas. Lo primero que se
debe hacer es disear una poltica de seguridad. En ella, definir quines tienen acceso a las
diferentes partes de la red, poner protecciones con contraseas adecuadas a todas las cuentas, y
preocuparse de hacerlas cambiar peridicamente (Evitar las passwords "por defecto" o demasiado
obvias).
Firewalls.
Existen muchas y muy potentes herramientas de cara a la seguridad de una red
informtica. Una de las maneras drsticas de no tener invasores es la de poner murallas. Los
mecanismos ms usados para la proteccin de la red interna de otras externas son los firewalls o
cortafuegos. Estos tienen muchas aplicaciones, entre las ms usadas est:
Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas
reglas de filtrado que le permiten discriminar el trfico segn nuestras indicaciones.
Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos
establecer sern a nivel de direcciones IP, tanto fuente como destino.
Cortafuegos filtro de paquetes ejemplarizado en un router.
La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete
cumpla marcar la accin a realizar (descartarlo o dejarlo pasar). La aplicacin de las listas de
filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o en ambos.
La proteccin centralizada es la ventaja ms importante del filtrado de paquetes. Con un
nico enrutador con filtrado de paquetes situado estratgicamente puede protegerse toda una red.
Firma digital.
El cifrado con clave pblica permite generar firmas digitales que hacen posible certificar la
procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma
se puede evitar que alguien suplante a un usuario y enve mensajes falsos a otro usuario, por la
imposibilidad de falsificar la firma. Adems, garantizan la integridad del mensaje, es decir, que no
ha sido alterado durante la transmisin. La firma se puede aplicar a un mensaje completo o puede
ser algo aadido al mensaje.
Las firmas son especialmente tiles cuando la informacin debe atravesar redes sobre las
que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra forma la
procedencia de los mensajes.
Existen varios mtodos para hacer uso de la firma digital, uno de ellos es el siguiente:
"quien enva el mensaje lo codifica con su clave privada. Para descifrarlo, slo puede hacerse con
la clave pblica correspondiente a dicha persona o institucin. Si efectivamente con dicha clave se
descifra es seal de que quien dice que envi el mensaje, realmente lo hizo".
Firma digital formada encriptando con la clave privada del emisor:
Firma Digital y Autentificacin
E: Encriptar / D: Desencriptar.
KP : Encriptacin utilizando la Clave Privada.
KV : Encriptacin utilizando la Clave Pblica.
M : Mensaje.
Seguridad en WWW.
Poltica de seguridad.
Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo
exterior a travs de la organizacin, da al personal e institucin muchos beneficios. Sin embargo, a
mayor acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del
incremento de vulnerabilidad.
De hecho, cada vez que se aade un nuevo sistema, acceso de red o aplicacin se
agregan vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la proteccin.
Sin embargo, si se est dispuesto a enfrentar realmente los riesgos, es posible cosechar los
beneficios de mayor acceso mientras se minimizan los obstculos. Para lograr esto, se necesitar
un plan complejo, as como los recursos para ejecutarlo. Tambin se debe tener un conocimiento
detallado de los riesgos que pueden ocurrir en todos los lugares posibles, as como las medidas
que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podra muy bien serlo,
especialmente en organizaciones pequeas que no tienen personal experto en todos los temas.
Alguien podra estar tentado para contratar un consultor de seguridad y hacerlo con l; aunque esto
puede ser una buena manera para outsourcing, todava necesita saber lo suficiente y observar la
honestidad del consultor. Despus de todo, se le va a confiar a ellos los bienes ms importantes de
la organizacin.
empleados por la gerencia. De otra forma, los empleados no lo tomarn en serio, o se tendrn
batallas de polticas constantes dentro de la compaa con respecto a este punto. No solamente
con estas batallas tendrn un impacto negativo sobre la productividad, es menos probable que la
decisin tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las guerras
polticas.
El desarrollo de una poltica de seguridad comprende la identificacin de los activos
organizativos, evaluacin de amenazas potenciales, la evaluacin del riesgo, implementacin de
las herramientas y tecnologas disponibles para hacer frente a los riesgos, y el desarrollo de una
poltica de uso. Debe crearse un procedimiento de auditoria que revise el uso de la red y servidores
de forma peridica.
Identificacin de los activos organizativos: Consiste en la creacin de una lista de todas las cosas
que precisen proteccin.
Por ejemplo:
Conclusiones
En Mxico hasta el momento , no tiene un sistema que vigile los sistemas tanto
gubernamentales , empresariales y pblicos , por el cual siempre van a estar a la mano de
aquellas personas que tienen conocimientos de fallas y vulnerabilidades en los sistemas
operativos y por lo mismo no evitaran los accesos a sus sistemas (solo podrn sobrevivir
a los ataques, aquellas compaas que paguen el servicio privado de un auditor o
webmaster en sus servidores podrn descansar en paz y hasta eso por unos cuantos
minutos, ya que no hay poder humano que pueda detener a la inteligencia del hombre y
menos en el mundo del Internet ).
12. Referencias.
Algunos sitios consultados por Internet
http://members.nbci.com/segutot/delitos.htm
http://www.fas.org/irp/congress/1996_hr/s960605l.htm
http://www.npa.go.jp/hightech/antai_repo/ereport.htm