Delitos informticos

Introduccin
Fraude puede ser definido como engao, accin contraria a la verdad o a la rectitud. La definicin
de Delito puede ser ms compleja.
Muchos estudiosos del Derecho Penal han intentado formular una nocin de delito que sirviese
para todos los tiempos y en todos los pases. Esto no ha sido posible dada la ntima conexin que
existe entre la vida social y la jurdica de cada pueblo y cada siglo, aquella condiciona a sta.
Segn el ilustre penalista CUELLO CALON, los elementos integrantes del delito son:
a. El delito es un acto humano, es una accin (accin u omisin)
b. Dicho acto humano ha de ser antijurdico, debe lesionar o poner en peligro un inters
jurdicamente protegido.
c. Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto
tpico.
d. El acto ha de ser culpable, imputable a dolo (intencin) o a culpa (negligencia), y una
accin es imputable cuando puede ponerse a cargo de una determinada persona
e. La ejecucin u omisin del acto debe estar sancionada por una pena.
Por tanto, un delito es: una accin antijurdica realizada por un ser humano, tipificado, culpable y
sancionado por una pena.
Se podra definir el delito informtico como toda accin (accin u omisin) culpable realizada por un
ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o
que, por el contrario, produzca un beneficio ilcito a su autor aunque no perjudique de forma directa
o indirecta a la vctima, tipificado por La Ley, que se realiza en el entorno informtico y est
sancionado con una pena.
De esta manera, el autor mexicano Julio TELLEZ VALDEZ seala que los delitos informticos son
"actitudes ilcitas en que se tienen a las computadoras como instrumento o fin (concepto atpico) o
las conductas tpicas, antijurdicas y culpables en que se tienen a las computadoras como
instrumento o fin (concepto tpico)". Por su parte, el tratadista penal italiano Carlos SARZANA,
sostiene que los delitos informticos son "cualquier comportamiento criminal en que la
computadora est involucrada como material, objeto o mero smbolo".
Caractersticas de los delitos
Segn el mexicano Julio Tellez Valdez, los delitos informticos presentan las siguientes
caractersticas principales:
a. Son conductas criminales de cuello blanco (white collar crime), en tanto que slo un
determinado nmero de personas con ciertos conocimientos (en este caso tcnicos) puede
llegar a cometerlas.
b. Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto
se halla trabajando.

c.
d.
e.
f.
g.
h.
i.

Son acciones de oportunidad, ya que se aprovecha una ocasin creada o altamente

intensificada en el mundo de funciones y organizaciones del sistema tecnolgico y
econmico.
Provocan serias prdidas econmicas, ya que casi siempre producen "beneficios" de ms
de cinco cifras a aquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundo y sin una
necesaria presencia fsica pueden llegar a consumarse.
Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de
regulacin por parte del Derecho.
Son muy sofisticados y relativamente frecuentes en el mbito militar.
Presentan grandes dificultades para su comprobacin, esto por su mismo carcter tcnico.
Tienden a proliferar cada vez ms, por lo que requieren una urgente regulacin. Por el
momento siguen siendo ilcitos impunes de manera manifiesta ante la ley.

Delitos en perspectiva
Los delitos pueden ser examinado desde dos puntos de vista diferentes:

Los delitos que causan mayor impacto a las organizaciones.

Los delitos ms difciles de detectar.

Aunque depende en gran medida del tipo de organizacin, se puede mencionar que los Fraudes y
sabotajes son los delitos de mayor incidencia en las organizaciones. Adems, aquellos que no
estn claramente definidos y publicados dentro de la organizacin como un delito (piratera, mala
utilizacin de la informacin, omisin deliberada de controles, uso no autorizado de activos y/o
servicios computacionales; y que en algn momento pueden generar un impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los delitos de difcil deteccin, se deben situar a
aquellos producidos por las personas que trabajan internamente en una organizacin y que
conocen perfectamente la configuracin interna de las plataformas; especialmente cuando existe
una cooperacin entre empleados, cooperacin entre empleados y terceros, o incluso el
involucramiento de la administracin misma.
Tipos de los delitos informticos
Clasificacin Segn la Actividad Informtica

Sabotaje informtico
El trmino sabotaje informtico comprende todas aquellas conductas dirigidas a causar daos en el
hardware o en el software de un sistema. Los mtodos utilizados para causar destrozos en los
sistemas informticos son de ndole muy variada y han ido evolucionando hacia tcnicas cada vez
ms sofisticadas y de difcil deteccin. Bsicamente, se puede diferenciar dos grupos de casos: por
un lado, las conductas dirigidas a causar destrozos fsicos y, por el otro, los mtodos dirigidos a
causar daos lgicos.

Conductas dirigidas a causar daos fsicos

El primer grupo comprende todo tipo de conductas destinadas a la destruccin fsica del
hardware y el software de un sistema (por ejemplo: causar incendios o explosiones, introducir
piezas de aluminio dentro de la computadora para producir cortocircuitos, echar caf o agentes

custicos en los equipos, etc. En general, estas conductas pueden ser analizadas, desde el punto
de vista jurdico, en forma similar a los comportamientos anlogos de destruccin fsica de otra
clase de objetos previstos tpicamente en el delito de dao.
Conductas dirigidas a causar daos lgicos
El segundo grupo, ms especficamente relacionado con la tcnica informtica, se refiere a las
conductas que causan destrozos lgicos, o sea, todas aquellas conductas que producen, como
resultado, la destruccin, ocultacin, o alteracin de datos contenidos en un sistema informtico.
Este tipo de dao a un sistema se puede alcanzar de diversas formas. Desde la ms simple que
podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando
con l o el borrado de documentos o datos de un archivo, hasta la utilizacin de los ms complejos
programas lgicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su
posibilidad de destruir gran cantidad de datos en un tiempo mnimo.
Estos programas destructivos, utilizan distintas tcnicas de sabotaje, muchas veces, en forma
combinada. Sin pretender realizar una clasificacin rigurosa de estos mtodos de destruccin
lgica, podemos distinguir:
a. Bombas lgicas (time bombs): En esta modalidad, la actividad destructiva del programa
comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos
meses o en una fecha o a una hora determinada), o por la aparicin de determinada seal
(que puede aparecer o puede no aparecer), como la presencia de un dato, de un cdigo, o
cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado
por el programa como la seal para empezar a actuar.
La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado
program el sistema de tal forma que los ficheros de la empresa se destruiran
automticamente si su nombre era borrado de la lista de empleados de la empresa.
b. Otra modalidad que acta sobre los programas de aplicacin es el llamado cncer de
rutinas (cancer routine). En esta tcnica los programas destructivos tienen la
particularidad de que se reproducen, por s mismos, en otros programas, arbitrariamente
escogidos.
c. Una variante perfeccionada de la anterior modalidad es el virus informtico que es un
programa capaz de multiplicarse por s mismo y contaminar los otros programas que se
hallan en el mismo disco rgido donde fue instalado y en los datos y programas contenidos
en los distintos discos con los que toma contacto a travs de una conexin.

Fraude a travs de computadoras

Estas conductas consisten en la manipulacin ilcita, a travs de la creacin de datos falsos o la
alteracin de datos o procesos contenidos en sistemas informticos, realizada con el objeto de
obtener ganancias indebidas.
Los distintos mtodos para realizar estas conductas se deducen, fcilmente, de la forma de trabajo
de un sistema informtico: en primer lugar, es posible alterar datos, omitir ingresar datos
verdaderos o introducir datos falsos, en un ordenador. Esta forma de realizacin se conoce como
manipulacin del input.

Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia
alemana:
Una empleada de un banco del sur de Alemania transfiri, en febrero de 1983, un milln trescientos
mil marcos alemanes a la cuenta de una amiga - cmplice en la maniobra - mediante el simple
mecanismo de imputar el crdito en una terminal de computadora del banco. La operacin fue
realizada a primera hora de la maana y su falsedad podra haber sido detectada por el sistema de
seguridad del banco al medioda. Sin embargo, la rpida transmisin del crdito a travs de
sistemas informticos conectados en lnea (on line), hizo posible que la amiga de la empleada
retirara, en otra sucursal del banco, un milln doscientos ochenta mil marcos unos minutos
despus de realizada la operacin informtica.
En segundo lugar, es posible interferir en el correcto procesamiento de la informacin, alterando el
programa o secuencia lgica con el que trabaja el ordenador. Esta modalidad puede ser cometida
tanto al modificar los programas originales, como al adicionar al sistema programas especiales que
introduce el autor.
A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin
conocimientos especiales de informtica, esta modalidad es ms especficamente informtica y
requiere conocimientos tcnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana:
El autor, empleado de una importante empresa, ingres al sistema informtico un programa que le
permiti incluir en los archivos de pagos de salarios de la compaa a personas ficticias e
imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor.
Esta maniobra hubiera sido descubierta fcilmente por los mecanismos de seguridad del banco
(listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados peridicamente por la
compaa. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de
pago de salarios para que los empleados ficticios y los pagos realizados, no aparecieran en los
listados de control.
Por ltimo, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulacin del output.
Una caracterstica general de este tipo de fraudes, interesante para el anlisis jurdico, es que, en
la mayora de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo
que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene
la posibilidad de repetir, cuantas veces quiera, la comisin del hecho. Incluso, en los casos de
"manipulacin del programa", la reiteracin puede ser automtica, realizada por el mismo sistema
sin ninguna participacin del autor y cada vez que el programa se active. En el ejemplo
jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor podra irse
de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguira imputando el
pago de sueldos a los empleados ficticios en su cuenta personal.
Una problemtica especial plantea la posibilidad de realizar estas conductas a travs de los
sistemas de teleproceso. Si el sistema informtico est conectado a una red de comunicacin entre
ordenadores, a travs de las lneas telefnicas o de cualquiera de los medios de comunicacin
remota de amplio desarrollo en los ltimos aos, el autor podra realizar estas conductas sin ni
siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y
con una computadora personal. An ms, los sistemas de comunicacin internacional, permiten
que una conducta de este tipo sea realizada en un pas y tenga efectos en otro.

Respecto a los objetos sobre los que recae la accin del fraude informtico, estos son,
generalmente, los datos informticos relativos a activos o valores. En la mayora de los casos estos
datos representan valores intangibles (ej.: depsitos monetarios, crditos, etc.), en otros casos, los
datos que son objeto del fraude, representan objetos corporales (mercadera, dinero en efectivo,
etc.) que obtiene el autor mediante la manipulacin del sistema. En las manipulaciones referidas a
datos que representan objetos corporales, las prdidas para la vctima son, generalmente, menores
ya que estn limitadas por la cantidad de objetos disponibles. En cambio, en la manipulacin de
datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino
que, por el contrario, puede ser creado por el autor.
Copia ilegal de software y espionaje informtico.
Se engloban las conductas dirigidas a obtener datos, en forma ilegtima, de un sistema de
informacin. Es comn el apoderamiento de datos de investigaciones, listas de clientes, balances,
etc. En muchos casos el objeto del apoderamiento es el mismo programa de computacin
(software) que suele tener un importante valor econmico.
Infraccin de los derechos de autor: La interpretacin de los conceptos de copia, distribucin,
cesin y comunicacin pblica de los programas de ordenador utilizando la red provoca diferencias
de criterio a nivel jurisprudencial.
Infraccin del Copyright de bases de datos: No existe una proteccin uniforme de las bases de
datos en los pases que tienen acceso a Internet. El sistema de proteccin ms habitual es el
contractual: el propietario del sistema permite que los usuarios hagan "downloads" de los ficheros
contenidos en el sistema, pero prohbe el replicado de la base de datos o la copia masiva de
informacin.
Uso ilegtimo de sistemas informticos ajenos.
Esta modalidad consiste en la utilizacin sin autorizacin de los ordenadores y los programas de un
sistema informtico ajeno. Este tipo de conductas es comnmente cometida por empleados de los
sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados
y actividades complementarias a su trabajo. En estos supuestos, slo se produce un perjuicio
econmico importante para las empresas en los casos de abuso en el mbito del teleproceso o en
los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene que el uso ilegtimo de passwords y la
entrada en un sistema informtico sin la autorizacin del propietario debe quedar tipificado como un
delito, puesto que el bien jurdico que acostumbra a protegerse con la contrasea es lo
suficientemente importante para que el dao producido sea grave.

Delitos informticos contra la privacidad.

Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano
mediante la acumulacin, archivo y divulgacin indebida de datos contenidos en sistemas
informticos
Esta tipificacin se refiere a quin, sin estar autorizado, se apodere, utilice o modifique, en perjuicio
de tercero, datos reservados de carcter personal o familiar de otro que se hallen registrados en
ficheros o soportes informticos, electrnicos o telemticos, o cualquier otro tipo de archivo o
registro pblico o privado.
Existen circunstancias agravantes de la divulgacin de ficheros, los cuales se dan en funcin de:

1. El carcter de los datos: ideologa, religin, creencias, salud, origen racial y vida sexual.
2. Las circunstancias de la vctima: menor de edad o incapaz.
Tambin se comprende la interceptacin de las comunicaciones, la utilizacin de artificios tcnicos
de escucha, transmisin, grabacin o reproduccin del sonido o de la imagen o de cualquier otra
seal de comunicacin, se piensa que entre lo anterior se encuentra el pinchado de redes
informticas.
Interceptacin de e-mail: En este caso se propone una ampliacin de los preceptos que castigan la
violacin de correspondencia, y la interceptacin de telecomunicaciones, de forma que la lectura de
un mensaje electrnico ajeno revista la misma gravedad.
Pornografa infantil
La distribucin de pornografa infantil por todo el mundo a travs de la Internet est en aumento.
Durante los pasados cinco aos, el nmero de condenas por transmisin o posesin de
pornografa infantil ha aumentado de 100 a 400 al ao en un pas norteamericano. El problema se
agrava al aparecer nuevas tecnologas, como la criptografa, que sirve para esconder pornografa y
dems material "ofensivo" que se transmita o archive.
Seguridad contra los delitos informticos.
Seguridad en Internet
Hoy en da, muchos usuarios no confan en la seguridad del Internet. En 1996, IDC
Research realiz una encuesta en donde el 90% de los usuarios expres gran inters sobre la
seguridad del Internet, pues temen que alguien pueda conseguir el nmero de su tarjeta de crdito
mediante el uso de la Red.
Ellos temen que otros descubran su cdigo de acceso de la cuenta del banco y entonces
transferir fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran
preocupacin en dar informacin confidencial a personas no autorizadas. Las corporaciones
tambin se preocupan en dar informacin a los empleados, quienes no estn autorizados al acceso
de esa informacin o quien trata de curiosear sobre una persona o empleado. Las organizaciones
se preocupan que sus competidores tengan conocimiento sobre informacin patentada que pueda
daarlos.
Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del trmino de
la seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad
significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje,
aplicacin, archivo, sistema o una comunicacin interactiva. "Seguro" los medios son protegidos
desde el acceso, el uso o alteracin no autorizada.
Para guardar objetos seguros, es necesario lo siguiente:

La autenticacin (promesa de identidad), es decir la prevencin de suplantaciones, que se

garantice que quien firma un mensaje es realmente quien dice ser.
La autorizacin (se da permiso a una persona o grupo de personas de poder realizar
ciertas funciones, al resto se le niega el permiso y se les sanciona si las realizan).
La privacidad o confidencialidad, es el ms obvio de los aspecto y se refiere a que la
informacin solo puede ser conocida por individuos autorizados. Existen infinidad de
posibles ataques contra la privacidad, especialmente en la comunicacin de los datos. La
transmisin a travs de un medio presenta mltiples oportunidades para ser interceptada y
copiada: las lneas "pinchadas" la intercepcin o recepcin electromagntica no autorizada

o la simple intrusin directa en los equipos donde la informacin est fsicamente

almacenada.
La integridad de datos, La integridad se refiere a la seguridad de que una informacin no
ha sido alterada, borrada, reordenada, copiada, etc., bien durante el proceso de
transmisin o en su propio equipo de origen. Es un riesgo comn que el atacante al no
poder descifrar un paquete de informacin y, sabiendo que es importante, simplemente lo
intercepte y lo borre.
La disponibilidad de la informacin, se refiere a la seguridad que la informacin pueda ser
recuperada en el momento que se necesite, esto es, evitar su prdida o bloqueo, bien sea
por ataque doloso, mala operacin accidental o situaciones fortuitas o de fuerza mayor.
No rechazo (la proteccin contra alguien que niega que ellos originaron la comunicacin o
datos).
Controles de acceso, esto es quien tiene autorizacin y quien no para acceder a una pieza
de informacin determinada.

Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera
confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La
importancia de lo que se est asegurando y el riesgo potencial involucra en dejar uno de estos
requerimientos o tener que forzar niveles ms altos de seguridad. Estos no son simplemente
requerimientos para el mundo de la red, sino tambin para el mundo fsico.
Medidas de seguridad de la red.
Existen numerosas tcnicas para proteger la integridad de los sistemas. Lo primero que se
debe hacer es disear una poltica de seguridad. En ella, definir quines tienen acceso a las
diferentes partes de la red, poner protecciones con contraseas adecuadas a todas las cuentas, y
preocuparse de hacerlas cambiar peridicamente (Evitar las passwords "por defecto" o demasiado
obvias).
Firewalls.
Existen muchas y muy potentes herramientas de cara a la seguridad de una red
informtica. Una de las maneras drsticas de no tener invasores es la de poner murallas. Los
mecanismos ms usados para la proteccin de la red interna de otras externas son los firewalls o
cortafuegos. Estos tienen muchas aplicaciones, entre las ms usadas est:
Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas
reglas de filtrado que le permiten discriminar el trfico segn nuestras indicaciones.
Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos
establecer sern a nivel de direcciones IP, tanto fuente como destino.
Cortafuegos filtro de paquetes ejemplarizado en un router.
La lista de filtros se aplican secuencialmente, de forma que la primera regla que el paquete
cumpla marcar la accin a realizar (descartarlo o dejarlo pasar). La aplicacin de las listas de
filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o en ambos.
La proteccin centralizada es la ventaja ms importante del filtrado de paquetes. Con un
nico enrutador con filtrado de paquetes situado estratgicamente puede protegerse toda una red.
Firma digital.

El cifrado con clave pblica permite generar firmas digitales que hacen posible certificar la
procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma
se puede evitar que alguien suplante a un usuario y enve mensajes falsos a otro usuario, por la
imposibilidad de falsificar la firma. Adems, garantizan la integridad del mensaje, es decir, que no
ha sido alterado durante la transmisin. La firma se puede aplicar a un mensaje completo o puede
ser algo aadido al mensaje.
Las firmas son especialmente tiles cuando la informacin debe atravesar redes sobre las
que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra forma la
procedencia de los mensajes.
Existen varios mtodos para hacer uso de la firma digital, uno de ellos es el siguiente:
"quien enva el mensaje lo codifica con su clave privada. Para descifrarlo, slo puede hacerse con
la clave pblica correspondiente a dicha persona o institucin. Si efectivamente con dicha clave se
descifra es seal de que quien dice que envi el mensaje, realmente lo hizo".
Firma digital formada encriptando con la clave privada del emisor:
Firma Digital y Autentificacin
E: Encriptar / D: Desencriptar.
KP : Encriptacin utilizando la Clave Privada.
KV : Encriptacin utilizando la Clave Pblica.
M : Mensaje.
Seguridad en WWW.
Poltica de seguridad.
Proveer acceso a los servicios de la red de una empresa y proveer acceso al mundo
exterior a travs de la organizacin, da al personal e institucin muchos beneficios. Sin embargo, a
mayor acceso que se provea, mayor es el peligro de que alguien explote lo que resulta del
incremento de vulnerabilidad.
De hecho, cada vez que se aade un nuevo sistema, acceso de red o aplicacin se
agregan vulnerabilidades potenciales y aumenta la mayor dificultad y complejidad de la proteccin.
Sin embargo, si se est dispuesto a enfrentar realmente los riesgos, es posible cosechar los
beneficios de mayor acceso mientras se minimizan los obstculos. Para lograr esto, se necesitar
un plan complejo, as como los recursos para ejecutarlo. Tambin se debe tener un conocimiento
detallado de los riesgos que pueden ocurrir en todos los lugares posibles, as como las medidas
que pueden ser tomadas para protegerlos.
En algunos aspectos, esto puede parecer una carga abrumadora, y podra muy bien serlo,
especialmente en organizaciones pequeas que no tienen personal experto en todos los temas.
Alguien podra estar tentado para contratar un consultor de seguridad y hacerlo con l; aunque esto
puede ser una buena manera para outsourcing, todava necesita saber lo suficiente y observar la
honestidad del consultor. Despus de todo, se le va a confiar a ellos los bienes ms importantes de
la organizacin.

Para asegurar una red adecuadamente, no solamente se necesita un profundo

entendimiento de las caractersticas tcnicas de los protocolos de red, sistemas operativos y
aplicaciones que son accesadas, sino tambin lo concerniente al planeamiento. El plan es el primer
paso y es la base para asegurar que todas las bases sean cubiertas.
Porqu se necesita una poltica de seguridad?
La imagen que frecuentemente viene a la mente cuando se discute sobre seguridad est la
del gran firewall que permanece al resguardo de la apertura de su red, defendiendo de ataques de
malvolos hackers. Aunque un firewall jugar un papel crucial, es slo una herramienta que debe
ser parte de una estrategia ms comprensiva y que ser necesaria a fin de proteger
responsablemente los datos de la red. Por una parte, sabiendo cmo configurar un firewall para
permitir las comunicaciones que se quiere que ingresen, mientras salvaguarda otros datos, es un
hueso muy duro de roer.
An cuando se tenga las habilidades y experiencia necesaria para configurar el firewall
correctamente, ser difcil conocer la administracin de riesgos que est dispuesto a tomar con los
datos y determinar la cantidad de inconveniencias a resistir para protegerlos. Tambin se debe
considerar cmo asegurar los hosts que estn siendo accesados. Incluso con la proteccin de
firewall, no hay garanta que no se pueda desarrollar alguna vulnerabilidad. Y es muy probable que
haya un dispositivo en peligro. Los modems, por ejemplo, pueden proveer un punto de acceso a su
red que completamente sobrepase su firewall. De hecho, un firewall puede aumentar la
probabilidad que alguien establecer un mdem para el acceso al Internet mediante otro ISP (ISP Internet Service Providers, cualquier empresa o institucin que provea de conexin a Internet), por
las restricciones que el firewall puede imponer sobre ellos (algo para recordar cuando se empieza a
configurar su firewall). Se puede proveer restricciones o "proteccin," que puede resultar ser
innecesario una vez que las consecuencias se entienden claramente como un caso de negocio.
Por otra parte, los riesgos pueden justificar el incremento de restricciones, resultando incmodo.
Pero, a menos que el usuario est prevenido de estos peligros y entienda claramente las
consecuencias para aadir el riesgo, no hay mucho que hacer.
Los temas legales tambin surgen. Qu obligaciones legales tiene para proteger su
informacin?. Si usted est en una compaa de publicidad puede tener algunas responsabilidades
definitivas al respecto.
Asegurar sus datos involucra algo ms que conectarse en un firewall con una interface
competente. Lo que se necesita es un plan comprensivo de defensa. Y se necesita comunicar este
plan en una manera que pueda ser significativo para la gerencia y usuarios finales. Esto requiere
educacin y capacitacin, conjuntamente con la explicacin, claramente detallada, de las
consecuencias de las violaciones. A esto se le llama una "poltica de seguridad" y es el primer paso
para asegurar responsablemente la red. La poltica puede incluir instalar un firewall, pero no
necesariamente se debe disear su poltica de seguridad alrededor de las limitaciones del firewall.
Elaborar la poltica de seguridad no es una tarea trivial. Ello no solamente requiere que el
personal tcnico comprenda todas las vulnerabilidades que estn involucradas, tambin requiere
que ellos se comuniquen efectivamente con la gerencia. La gerencia debe decidir finalmente
cunto de riesgo debe ser tomado con el activo de la compaa, y cunto se debera gastar en
ambos, en dlares e inconvenientes, a fin de minimizar los riesgos. Es responsabilidad del personal
tcnico asegurar que la gerencia comprenda las implicaciones de aadir acceso a la red y a las
aplicaciones sobre la red, de tal manera que la gerencia tenga la suficiente informacin para la
toma de decisiones. Si la poltica de seguridad no viene desde el inicio, ser difcil imponer incluso
medidas de seguridad mnimas. Por ejemplo, si los empleados pueden llegar a alterarse si ellos
imprevistamente tienen que abastecer logins y contraseas donde antes no lo hacan, o estn
prohibidos particulares tipos de acceso a Internet. Es mejor trabajar con estos temas antes de
tiempo y poner la poltica por escrito. Las polticas pueden entonces ser comunicadas a los

empleados por la gerencia. De otra forma, los empleados no lo tomarn en serio, o se tendrn
batallas de polticas constantes dentro de la compaa con respecto a este punto. No solamente
con estas batallas tendrn un impacto negativo sobre la productividad, es menos probable que la
decisin tomada racionalmente pueda ser capaz de prevalecer en la vehemencia de las guerras
polticas.
El desarrollo de una poltica de seguridad comprende la identificacin de los activos
organizativos, evaluacin de amenazas potenciales, la evaluacin del riesgo, implementacin de
las herramientas y tecnologas disponibles para hacer frente a los riesgos, y el desarrollo de una
poltica de uso. Debe crearse un procedimiento de auditoria que revise el uso de la red y servidores
de forma peridica.
Identificacin de los activos organizativos: Consiste en la creacin de una lista de todas las cosas
que precisen proteccin.
Por ejemplo:

Hardware: ordenadores y equipos de telecomunicacin

Software: programas fuente, utilidades, programas de diagnstico, sistemas operativos,
programas de comunicaciones.
Datos: copias de seguridad, registros de auditoria, bases de datos.

Conclusiones

Debido a la naturaleza virtual de los delitos informticos, puede volverse confusa la

tipificacin de stos ya que a nivel general, se poseen pocos conocimientos y experiencias
en el manejo de sta rea. Desde el punto de vista de la Legislatura es difcil la
clasificacin de estos actos, por lo que la creacin de instrumentos legales puede no tener
los resultados esperados, sumado a que la constante innovacin tecnolgica obliga a un
dinamismo en el manejo de las Leyes relacionadas con la informtica.
La falta de cultura informtica es un factor crtico en el impacto de los delitos informticos
en la sociedad en general, cada vez se requieren mayores conocimientos en tecnologas
de la informacin, las cuales permitan tener un marco de referencia aceptable para el
manejo de dichas situaciones.
Nuevas formas de hacer negocios como el comercio electrnico puede que no encuentre el
eco esperado en los individuos y en las empresas hacia los que va dirigido sta tecnologa,
por lo que se deben crear instrumentos legales efectivos que ataquen sta problemtica,
con el nico fin de tener un marco legal que se utilice como soporte para el manejo de ste
tipo de transacciones.
La responsabilidad del auditor informtico no abarca el dar solucin al impacto de los
delitos o en implementar cambios; sino ms bien su responsabilidad recae en la
verificacin de controles, evaluacin de riesgos, as como en el establecimiento de
recomendaciones que ayuden a las organizaciones a minimizar las amenazas que
presentan los delitos informticos.
La ocurrencia de delitos informticos en las organizaciones alrededor del mundo no debe
en ningn momento impedir que stas se beneficien de todo lo que proveen las
tecnologas de informacin (comunicacin remota, nter conectividad, comercio electrnico,
etc.); sino por el contrario dicha situacin debe plantear un reto a los profesionales de la
informtica, de manera que se realicen esfuerzos encaminados a robustecer los aspectos
de seguridad, controles, integridad de la informacin, etc. en las organizaciones.

En Mxico hasta el momento , no tiene un sistema que vigile los sistemas tanto
gubernamentales , empresariales y pblicos , por el cual siempre van a estar a la mano de
aquellas personas que tienen conocimientos de fallas y vulnerabilidades en los sistemas
operativos y por lo mismo no evitaran los accesos a sus sistemas (solo podrn sobrevivir
a los ataques, aquellas compaas que paguen el servicio privado de un auditor o
webmaster en sus servidores podrn descansar en paz y hasta eso por unos cuantos
minutos, ya que no hay poder humano que pueda detener a la inteligencia del hombre y
menos en el mundo del Internet ).

12. Referencias.
Algunos sitios consultados por Internet
http://members.nbci.com/segutot/delitos.htm
http://www.fas.org/irp/congress/1996_hr/s960605l.htm
http://www.npa.go.jp/hightech/antai_repo/ereport.htm