Anda di halaman 1dari 21

INTRODUCCIÓN

Junto al avance de la tecnología informática y su influencia en casi todas las áreas de la

vida social, ha surgido una serie de comportamientos ilícitos denominados, de manera

genérica, "delitos informáticos".

Para lograr una investigación completa de la temática se establece la conceptualización

respectiva del tema, generalidades asociadas al fenómeno, estadísticas mundiales sobre

delitos informáticos, el efecto de éstos en diferentes áreas, como poder minimizar la

amenaza de los delitos a través de la seguridad, aspectos de legislación informática, y por

último se busca unificar la investigación realizada para poder establecer el papel de

la auditoría informática frente a los delitos informáticos.

Al final del documento se establecen las conclusiones pertinentes al estudio, en las que

se busca destacar situaciones relevantes, comentarios, análisis, etc.

ORÍGENES DELITOS INFORMÁTICOS

Es indudable que así como la computadora se presenta como una herramienta muy

favorable para la sociedad, también se puede constituir en un verdadero instrumento de


actos ilícitos. Éste tipo de actitudes concebidas por el hombre encuentran sus orígenes

desde el mismo surgimiento de la tecnología informática. La facilitación de las labores que

traen consigo las computadoras, propician que en un momento dado, el usuario se

encuentre ante una situación de ocio, la cual canaliza a través de la computadora,

cometiendo sin darse cuenta una serie de ilícitos. La evolución tecnológica ha generado

un importante número de conductas nocivas que, aprovechando el poder de

la información, buscan lucros ilegítimos y causan daños.

El Derecho que por esencia se muestra reticente al cambio, no ha reaccionado

adecuadamente a las nuevas circunstancias

Esta marcha de las aplicaciones de la informática no sólo tiene un lado ventajoso sino que

plantea también problemas de significativa importancia para el funcionamiento y la

seguridad de los sistemas informáticos en los negocios, la administración, la defensa y la

sociedad.

Debido a esta vinculación, el aumento del nivel de los delitos relacionados con los

sistemas informáticos registrados en la última década en los Estados

Unidos, Europa Occidental, Australia y Japón, representa una amenaza para

la economía de un país y también para la sociedad en su conjunto.

De acuerdo con la definición elaborada por un grupo de expertos, invitados por la OCDE a

PARIS en MAY83, el término delitos relacionados con las computadoras se define como

cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el

procesado automático de datos y/o transmisiones de datos. La amplitud de

este concepto es ventajosa, puesto que permite el uso de las mismas hipótesis de trabajo

para toda clase de estudios penales, criminológicos, económicos, preventivos o legales.

DEFINICION DE DELITO INFORMATICO Tomando como referencia el “Convenio de

Ciberdelincuencia del Consejo de Europa”, podemos definir los delitos informáticos como:
“los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de

los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos

sistemas, redes y datos”.

CARACTERISTICAS PRINCIPALES

Son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar

las pruebas.

Son actos que pueden llevarse a cabo de forma rápida y sencilla.

En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo un

equipo informático y sin estar presente físicamente en el lugar de los hechos.

Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aun más la

identificación y persecución de los mismos.

TIPOS DE DELITOS INFORMATICOS

CLASIFICACION SEGÚN EL CONVENIO SOBRE LA CIBERDELINCUENCIA

1. Delitos contra la confidencialidad, la integralidad y la disponibilidad de los datos y

sistemas informáticos. Acceso ilícito a sistemas informáticos. Interceptación ilícita de

datos informáticos. Abuso de dispositivos que faciliten la comisión de delitos. Interferencia

en el funcionamiento de un sistema informático.

2. Delitos Informáticos Falsificación informática mediante la introducción, borrado o

supresión de datos informáticos. Fraude informático mediante la introducción, alteración o

borrado de datos informáticos, o la interferencia en sistemas informáticos.

3. Delitos relacionados con el contenido Producción, oferta, difusión, adquisición de

contenidos de pornografía infantil, por medio de un sistema informático o posesión de


dichos contenidos en un sistema informático o medio de almacenamiento de datos.

4. Delitos relacionados con infracciones de la propiedad intelectual y derechos afines: Un

ejemplo de este grupo de delitos es la copia y distribución de programas informáticos,

o piratería informática.

5. Delitos informáticos más comunes Podemos decir que los delitos más comunes son los

sabotajes a empresas, uso fraudulento de Internet, fugas de información, espionaje

informático, etc.

Otros tipos de delitos informáticos son: Robo de identidades (red, correo, etc.) Virus,

Spyware, keylogger… Borrado fraudulento de datos, disco duro formateado… Dejadez

de funciones. Corrupción de ficheros. Webs pornográficas, pornografía infantil.

Conexiones a redes no autorizadas. Fugas de información.

CLASIFICACION

1. Como METODO: Conductas criminógenas en donde los individuos

utilizan métodos electrónicos para llegar a un resultado ilícito.

2. Como MEDIO: Conductas criminales que se valen de las computadoras como medio

o símbolo en la comisión del ilícito. Variación de los activos y pasivos en la situación

contable de las empresas. Planeamiento y simulación de delitos convencionales

(Secuestro, extorsión, homicidio, hurto, fraude, etc.) Lectura, sustracción o copiado de

información confidencial. Alteración en el funcionamiento de los sistemas, a través de

los virus informáticos.


3. Como FIN: Conductas criminales que van dirigidas contra las computadoras,

accesorios o programas como entidad física. Atentado físico contra la máquina o sus

accesorios. Sabotaje político o terrorismo en que se destruya o surja un

apoderamiento de los centros neurálgicos computarizados. Secuestro de soportes

magnéticos entre los que figure información valiosa con fines de chantaje (pago de

rescate, etc.).

1. Ley especial de Delitos Informáticos del Perú

¿Qué es el delito de Atentado a la Integridad de Datos Informáticos?

Atentado a la integridad de datos informáticos “El que deliberada e ilegítimamente

daña, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos,

será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y

con ochenta a ciento veinte días-multa.” Fuente: Art. 3 de la Ley especial de Delitos

Informáticos, aprobada por Ley 30096 y modificada por Ley 30171.

Análisis del tipo penal Sujeto activo: Puede ser cualquiera.

Sujeto pasivo: Es quien ejerce la titularidad sobre la información contenida en el dato

informático, así como quien ejerce la administración o responsabilidad sobre el

sistema informático que contiene el dato informático.

Bien jurídico tutelado: La integridad y la disponibilidad del dato informático. También

la integridad del sistema informático.

Elementos objetivos del tipo: Dañar, borrar, deteriorar, alterar, suprimir datos

informáticos. Hacer inaccesibles datos informáticos. Introducir datos informáticos.


Elemento subjetivo del tipo: Dolo. No existe el delito en su versión culposa.

Sanción penal: 1. Pena privativa de libertad no menor de 3 ni mayor de 6 años.

2- De 80 a 120 días multa.

Comentario Esta es la segunda figura penal incorporada dentro del capítulo dedicado

a los delitos que se cometen contra datos y sistemas informáticos. En principio el tipo

penal con sus verbos rectores “dañar”, “borrar”, “deteriorar”, “alterar” y “suprimir”,

reprime acciones orientadas a lesionar al bien jurídico “integridad del dato

informático”. Pero con las adiciones del verbo rector “introducir” (en referencia al dato

informático como complemento directo del verbo transitivo) y de la acción consistente

en “hacer inaccesibles datos informáticos” se complementa la lista de bienes jurídicos

tutelados con la “integridad del sistema informático” y con la “disponibilidad del dato

informático”, respectivamente. La conducta que reprime consiste en transformar o

eliminar al dato informático contenido dentro de un sistema informático (verbos

rectores dañar, borrar, deteriorar, alterar y suprimir), sin legitimidad alguna para

hacerlo. A partir de las adiciones ya señaladas, también reprime la introducción de

datos informáticos con la finalidad de que el sistema informático muestre información

distinta a la originaria (no para obstaculizar o alterar el funcionamiento del sistema

informático ya que ello corresponde a otro tipo penal). También penaliza “hacer

inaccesibles datos informáticos”, lo que representa una situación de resultado a la

cual se puede llegar por diversas acciones o medios.

3. 5. Comentario Las adiciones (“insertar datos informáticos” y “hacer inaccesibles los

datos informáticos”) no se encuentran reflejadas en el texto del inciso 1 del Artículo 4

del Convenio sobre Ciberdelincuencia del Consejo de Europa (Convention on


Cybercrime). Como ya se refirió, incorporan bienes jurídicos tutelados que no estaban

considerados en el artículo 4 del acuerdo europeo y obligarán a realizar un esfuerzo

de interpretación jurídica especializado y separado conceptualmente del resto de

verbos rectores, para encuadrar las conductas objeto de investigación con el

respectivo tipo penal, pese a que todo el tipo penal forma una sola estructura. No

obstante ello, la interpretación y la aplicación de la parte que sí coincide con el texto

de la referida convención debe permanecer sin alteraciones, ya que el sentido jurídico

penal de la tipificación no se ha visto alterado por las mencionadas adiciones.

4. 6. Comentario El tipo penal no sanciona: Acciones legítimas: Las que ejecuta el

titular, el administrador o el tenedor de los derechos que corresponden sobre los

datos informáticos que tengan como propósito o resultado la eliminación, la alteración

o la modificación del dato informático en su esencia. Por ejemplo: El borrado de un

archivo creado por uno mismo, o descargado en la memoria de su propio

computador; la modificación de un archivo en cumplimiento de una orden del

empleador; la edición de un archivo de uso público difundido para tal fin. Tampoco

sanciona las acciones de protección que se adoptan sobre la disponibilidad de los

datos informáticos. Por ejemplo: La encriptación y tokenización de los datos

informáticos que tienen por objeto evitar accesos no autorizados.

5. 7. ¿Qué dice el Convenio de Budapest contra el Cibercrimen – CETS 185? Este tipo

penal tiene su antecedente en el Artículo 4 de la Convención de Budapest contra el

Cibercrimen, bajo los términos siguientes: “Ataques a la integridad de los datos.-

1.- Cada Parte adoptará las medidas legislativas y de otro tipo que resulten

necesarias para tipificar como delito en su derecho interno todo acto deliberado e

ilegítimo que dañe, borre, deteriore, altere o suprima datos informáticos.

2.- Las Partes podrán reservarse el derecho a exigir que los actos definidos en el

párrafo 1 comporten daños graves.” El Perú está siguiendo el estándar mínimo


recomendado por el Consejo de Europa, con las adiciones que ya han sido materia

de comentario. Estas adiciones, si bien no siguen la línea teleológica del estándar, no

comprometen su interpretación ni las acciones de cooperación internacional que se

deriven de su invocación y aplicación en la lucha transfronteriza contra el cibercrimen.

El tema de la seguridad de la información ha cobrado visibilidad en distintos ámbitos: en el


trabajo, en el hogar y durante el traslado de un lugar a otro. Se trata, principalmente, de
prevenir los ataques destinados a restringir la disponibilidad (por ejemplo, la denegación
del servicio) y a introducir software malintencionado (malware) que permita a un tercero
manipular datos e información sin autorización (por ejemplo, para robar, divulgar,
modificar o destruir datos).

El gusano informático Stuxnet, que fue descubierto en el año 2010, alteró el


funcionamiento de un proceso industrial, ya que fue diseñado con la finalidad de dañar
equipos físicos y modificar las indicaciones de los operadores a cargo de la supervisión,
para impedir, de este modo, que se identificara cualquier anomalía en los equipos. 1 Si
esta modalidad de ataque a la integridad de los datos (denominado también “ataque
semántico”) se hubiera replicado en otros sistemas, podría haber causado problemas
graves en infraestructuras informáticas de importancia crítica, como las de servicios
públicos, servicios de urgencia, control de tráfico aéreo y cualquier otro sistema que
dependa en gran medida de la TI y resulte indispensable para la sociedad. El gobierno de
la información es un factor esencial para la consolidación de la integridad de los datos.

Un artículo publicado recientemente en ISACA Journal presenta una infraestructura de


gobierno de datos desarrollada por Microsoft para garantizar la privacidad, la
confidencialidad y el cumplimiento normativo. El artículo analiza las funciones que
desempeñan las personas, los procesos y la tecnología; el ciclo de vida de los datos; y los
principios de privacidad y confidencialidad de la información. También incluye enlaces a
trabajos más pormenorizados sobre la informática de confianza (o trustworthy
computing).2

En el presente trabajo se ampliará el análisis de estos temas, enfocándose en la


integridad de los datos, las normas y los procedimientos recomendados a los que esta
debe ajustarse, y la función del gobierno de datos. Este artículo también presenta un
marco para el gobierno de datos sin control exclusivo.

De los tres principales dominios de la seguridad de la información, el de la disponibilidad


es el que se encuentra más estrechamente ligado a la tecnología y es posible su
medición. El tiempo improductivo (downtime) es visible y puede expresarse como valor
absoluto (por ejemplo, en minutos por incidente) o como porcentaje, y no se requiere
demasiado esfuerzo para entender que una disponibilidad de “cinco nueves” (99,999 por
ciento) representa en total unos cinco minutos de tiempo improductivo acumulado en un
año.

Los operadores de los centros de datos saben lo que se necesita para alcanzar este valor.

La confidencialidad es un concepto que se puede explicar fácilmente, pero solo tiene


alguna utilidad cuando los datos y documentos han sido clasificados en categorías —
como “público”, “restringido a”, “embargado hasta” y “reservado”— que reflejan la
necesidad que tiene una empresa de protegerlos.

No es conveniente que los técnicos que se encargan de la infraestructura y servicios de TI


se ocupen de realizar esta clasificación, ya que probablemente no tengan un
conocimiento cabal del negocio y, en caso de emplearse la modalidad de externalización
(outsourcing) o un sistema de computación en la nube (cloud computing), es posible que
además no pertenezcan a la empresa. Por lo tanto, el control y el proceso de clasificación
de datos debe quedar en manos del personal del negocio, mientras que los proveedores
de servicios y soluciones de TI deben ocuparse de proporcionar las herramientas y los
procesos necesarios, como son los controles para la gestión de accesos e identidades
(Identity Access Management o IAM) y la encriptación.

El método más sencillo para medir la confidencialidad tiene una lógica binaria: el carácter
confidencial de la información puede haberse preservado (si la información no se ha
divulgado) o no (si se ha divulgado). Lamentablemente, este método no resulta
demasiado útil, ya que no refleja los efectos de la divulgación de los datos, que abarcan
desde situaciones bochornosas hasta atentados contra la seguridad nacional.

Si analizamos la noción de integridad, la situación se torna más compleja, porque se trata


de un concepto que puede tener distintas interpretaciones. Este es un terreno fértil para
los problemas de comunicación y los malentendidos, con el consiguiente riesgo de que
una actividad no se lleve a cabo satisfactoriamente por las confusiones en torno a las
responsabilidades pertinentes.

¿Qué Debemos Entender por "Integridad"?


La importancia de la integridad de los datos se puede ilustrar con un sencillo ejemplo: Una
persona necesita un tratamiento hospitalario que incluye la administración diaria de un
medicamento en dosis de 10 miligramos (mg). Accidental o intencionalmente, se produce
una modificación en el registro electrónico del tratamiento y las dosis quedan establecidas
en 100 mg, con consecuencias mortales. Para tomar otro ejemplo, podríamos imaginar
una situación propia de una obra de ficción que antecediera al ataque del virus Stuxnet en
2010 y preguntarnos qué ocurriría si alguien interfiriera los sistemas de control de una
central nuclear para que simularan condiciones de funcionamiento normal cuando, en
realidad, se ha provocado una reacción en cadena.3 ¿Podemos afirmar que los
profesionales reconocen las múltiples definiciones de la “integridad de los datos”?
Veamos:

 Para un encargado de seguridad, la “integridad de los datos” puede definirse


como la imposibilidad de que alguien modifique datos sin ser descubierto. Desde
la perspectiva de la seguridad de datos y redes, la integridad de los datos es la
garantía de que nadie pueda acceder a la información ni modificarla sin contar con
la autorización necesaria. Si examinamos el concepto de “integridad”, podríamos
concluir que no solo alude a la integridad de los sistemas (protección mediante
antivirus, ciclos de vida del desarrollo de sistemas estructurados [SDLC], revisión
de códigos fuente por expertos, pruebas exhaustivas, etc.), sino también a la
integridad personal (responsabilidad, confianza, fiabilidad, etc.).
 Para un administrador de bases de datos, la “integridad de los datos” puede
depender de que los datos introducidos en una base de datos sean precisos,
válidos y coherentes. Es muy probable que los administradores de bases de datos
también analicen la integridad de las entidades, la integridad de los dominios y la
integridad referencial —conceptos que podría desconocer un experto en
infraestructuras instruido en normas ISO 27000 o en la serie 800 de publicaciones
especiales (SP 800) del Instituto Nacional de Normas y Tecnología (NIST, National
Institute of Standards and Technology) de los EE. UU.
 Para un arquitecto o modelador de datos, la “integridad de los datos” puede
estar relacionada con el mantenimiento de entidades primarias únicas y no nulas.
La unicidad de las entidades que integran un conjunto de datos se define por la
ausencia de duplicados en el conjunto de datos y por la presencia de una clave
que permite acceder de forma exclusiva a cada una de las entidades del conjunto.
 Para el propietario de los datos (es decir, para el experto en la materia), la
“integridad de los datos” puede ser un parámetro de la calidad, ya que demuestra
que las relaciones entre las entidades están regidas por reglas de negocio
adecuadas, que incluyen mecanismos de validación, como la realización de
pruebas para identificar registros huérfanos.
 Para un proveedor, la “integridad de los datos” es:

La exactitud y coherencia de los datos almacenados, evidenciada por la ausencia


de datos alterados entre dos actualizaciones de un mismo registro de datos. La
integridad de los datos se establece en la etapa de diseño de una base de datos
mediante la aplicación de reglas y procedimientos estándar, y se mantiene a
través del uso de rutinas de validación y verificación de errores.4

 En un diccionario disponible en línea, se define la “integridad de los datos” de


este modo:

Cualidad de la información que se considera exacta, completa, homogénea, sólida


y coherente con la intención de los creadores de esos datos. Esta cualidad se
obtiene cuando se impide eficazmente la inserción, modificación o destrucción no
autorizada, sea accidental o intencional del contenido de una base de datos. La
integridad de los datos es uno de los seis componentes fundamentales de la
seguridad de la información.5

Sin duda, podemos encontrar muchas otras definiciones. Pero todas contienen
superposiciones, aluden a temas de distinta índole y producen cierta confusión semántica,
uno de los principales motivos por los que las bases de datos son los objetos menos
protegidos de la infraestructura de TI.

El planteo del problema no termina aquí. La descentralización de los sistemas de


información y la disponibilidad de entornos de programación eficaces para los usuarios
finales, como las hojas de cálculo, han creado vulnerabilidades potencialmente
descontroladas en la integridad de los datos, ya que esas hojas de cálculo se utilizan
como fundamento de decisiones ejecutivas, sin evaluar, muchas veces, la calidad e
integridad de los datos. ¿Cómo deberíamos abordar este problema? En primer lugar,
podríamos considerar que se trata de un problema que atañe:

 A la seguridad de la información, dado que no se puede garantizar la integridad de


los datos.
 A la calidad del software, dado que la mayoría de las hojas de cálculo no está
sujeta a un proceso de gestión del ciclo de vida.
 A la inteligencia de negocios, dado que la introducción de datos erróneos produce
resultados erróneos, algo que en inglés se conoce como “GIGO” (“Garbage In,
Garbage Out”, lo que significa que si “entra basura, sale basura”).

Quizás podríamos concluir que abarca los tres aspectos; en tal caso, el siguiente paso
consistiría en determinar quién debería abordar el problema (el propietario de los datos, el
usuario final que diseñó la hoja de cálculo, el departamento o proveedor de servicios de TI
o todos juntos).

Disparadores de la Pérdida de Integridad de los Datos


En la sección anterior se analizó, a modo de ejemplo, el uso de hojas de cálculo
diseñadas por los usuarios sin someterlas a pruebas ni incluir documentación (hecho que
se ve agravado por la introducción manual de datos, particularmente cuando no se validan
los valores ingresados), pero existen otros disparadores de problemas que podrían
resultar aún más graves:

 Modificación de los permisos y privilegios de acceso.


 Imposibilidad de rastrear el uso de contraseñas privilegiadas, en especial cuando
es compartido.
 Errores del usuario final que afectan los datos de producción.
 Aplicaciones vulnerables a la introducción de códigos ocultos (como los
“backdoors”).
 Procesos de control de cambios y acreditación deficientes o no desarrollados
plenamente.
 Fallas en la configuración de software y dispositivos de seguridad.
 Aplicación de parches en forma incorrecta o incompleta.
 Conexión de dispositivos no autorizados a la red corporativa.
 Uso de aplicaciones no autorizadas en dispositivos conectados a la red
corporativa.
 Segregación de funciones (SoD) inadecuada o no aplicada.

Por si esto fuera poco, la función de auditoría de TI podría carecer de la masa crítica
necesaria para efectuar auditorías que contemplen todos estos aspectos.

Ataques a la Integridad de los Datos


Los ataques a la integridad de los datos consisten en la modificación intencional de los
datos, sin autorización alguna, en algún momento de su ciclo de vida. En el contexto del
presente artículo, el ciclo de vida de los datos comprende las siguientes etapas:

 Introducción, creación y/o adquisición de datos.


 Procesamiento y/o derivación de datos.
 Almacenamiento, replicación y distribución de datos.
 Archivado y recuperación de datos.
 Realización de copias de respaldo y restablecimiento de datos.
 Borrado, eliminación y destrucción de datos.

El fraude —el más antiguo de los métodos destinados a atacar la integridad de los
datos— tiene múltiples variantes, las cuales no analizaremos en el presente artículo,
excepto para mencionar un caso que, en el año 2008, apareció en la primera plana de los
periódicos de todo el mundo: Un empleado de Societe Generale de Francia incurrió en
delitos de “abuso de confianza, falsificación y uso no autorizado de los sistemas
informáticos del banco”, que produjeron pérdidas estimadas en €4900 millones.6 A juzgar
por la cantidad de publicaciones y conferencias internacionales que abordan el tema del
fraude, es probable que este caso siga estando vigente durante algún tiempo.

Hace años que las organizaciones que operan tanto en el sector público como en el
privado sufren alteraciones en sus sitios web, pero, más allá del eventual perjuicio a la
reputación de una empresa, ninguno de los daños ocasionados puede considerarse
“catastrófico”.

Las bombas lógicas, el software no autorizado que se introduce en un sistema por acción
de las personas encargadas de programarlo/mantenerlo, los troyanos y demás virus
similares también pueden afectar la integridad de los datos a través de la introducción de
modificaciones (por ejemplo, al definir una fórmula incorrecta en una hoja de cálculo) o la
encriptación de datos y posterior exigencia de un “rescate” para revelar la clave de
desencriptación. En los últimos años se han producido numerosos ataques de
características similares a las mencionadas, que afectan principalmente los discos duros
de las computadoras personales. Debería esperarse que tarde o temprano se produzcan
ataques de este tipo destinados a los servidores.

La modificación no autorizada de sistemas operativos (servidores y redes) y/o de software


de aplicaciones (como los “backdoors” o códigos no documentados), tablas de bases de
datos, datos de producción y configuración de infraestructura también se consideran
ataques a la integridad de los datos. Es lógico suponer que los hallazgos de las auditorías
de TI incluyen con regularidad las fallas producidas en procesos clave, particularmente en
la gestión del acceso privilegiado, la gestión de cambios, la segregación de funciones y la
supervisión de registros. Estas fallas posibilitan la introducción de modificaciones no
autorizadas y dificultan su detección (hasta que se produce algún incidente).

Otro método de ataque a la integridad de los datos es la interferencia en los sistemas de


control de supervisión y adquisición de datos (SCADA, Supervisory Control and Data
Acquisition), como los que se utilizan en infraestructuras críticas (suministro de agua,
electricidad, etc.) y procesos industriales. A menudo, la función de TI no interviene en la
instalación, el funcionamiento ni la gestión de estos sistemas. El ataque dirigido a plantas
de enriquecimiento de uranio en Irán durante el año 2010 había sido planeado con la
finalidad de alterar el comportamiento de los sistemas de centrifugación sin que los
tableros de control indicaran ninguna anomalía.7

Cabe destacar que muchos de estos sistemas de control no están conectados a Internet y
que, en el caso de la inyección del software Stuxnet, debió realizarse una intervención
manual,8 hecho que confirma la teoría de que el “hombre” sigue siendo el eslabón más
débil de la cadena de aseguramiento/seguridad de la información.

Alineamiento con Normas y Mejores Prácticas para Gestión de Riesgos y Cumplimiento


Para las empresas que aún no han comenzado a preparar estrategias de defensa, un
buen punto de partida es la adopción de los procedimientos recomendados, como el
de Security Requirements for Data Management (Requerimientos de seguridad para la
gestión de datos), descrito en la sección de Entrega y soporte (DS, Deliver and Support)
11.6 de COBIT (Objetivos de control para la TI y tecnologías afines), junto con los
procedimientos indicados en la correspondiente sección de la guía de aseguramiento IT
Assurance Guide: Using COBIT.9 Estas publicaciones resumen el objetivo de control y los
factores determinantes de valor y de riesgo, e incluyen una lista de pruebas
recomendadas para el diseño del control.

ISACA también publicó una serie de documentos que establecen correspondencias entre
las normas sobre seguridad de la información y COBIT 4.1, y que resultan sumamente
valiosos para profesionales y auditores. Además, se ha publicado recientemente
en COBIT Focus un excelente artículo que establece una correspondencia entre la Norma
de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS, Payment Card
Industry Data Security Standard) v2.0 y COBIT 4.1.10

La Asociación Internacional de Gestión de Datos (Data Management Association


International, DAMA) ofrece un recurso adicional:The DAMA Guide to the Data
Management Body of Knowledge (DMBOK); se recomiendan especialmente los capítulos
tres (“Data Governance”), siete (“Data Security Management”) y doce (“Data Quality
Management”).11

Desde la perspectiva del cumplimiento normativo, existe un marco legislativo cada vez
más amplio que asigna a las organizaciones la responsabilidad de garantizar la integridad
de los datos y del aseguramiento de la información (information assurance o IA). En los
EE. UU. se han aprobado las siguientes leyes, que imponen severas sanciones en caso
de incumplimiento: Data Quality Act (Ley de Calidad de los Datos), Sarbanes-Oxley Act
(Ley Sarbanes- Oxley), Gramm-Leach-Bliley Act (Ley Gramm-Leach-Bliley), Health
Insurance Portability and Accountability Act (Ley de Transferibilidad y Responsabilidad de
los Seguros de Salud) y Fair Credit Reporting Act (Ley de Garantía de Equidad Crediticia).
También existe la Federal Information Security Management Act (Ley Federal de Gestión
de Seguridad de la Información), que establece sanciones económicas en caso de
incumplimiento de las disposiciones vigentes. (El análisis de las leyes vigentes fuera de
los EE. UU. excede el alcance del presente artículo; sin embargo, cabe destacar dos
excelentes ejemplos de legislación comparada, como la directiva de la Unión Europea
[UE] para la protección de los datos [“Directive on Data Protection”] y la 8.ª directiva de la
UE sobre derechos de sociedades [“8th Company Law Directive”] en relación con las
auditorías legales12, 13).

¿Cómo Garantizar una Mayor Integridad de los Datos?


La adopción de mejores prácticas debe complementarse con la formalización de las
responsabilidades correspondientes a los procesos de negocio y TI que soportan y
mejoran la seguridad de los datos.

Delimitación de responsabilidades en la Empresa


En todo programa de aseguramiento de la integridad de los datos deben estar definidas
las responsabilidades de “detección y detención” (“Detect, Deter” o 2D); de “prevención y
preparación” (“Prevent, Prepare” o 2P); y de “respuesta y recuperación” (“Respond,
Recover” o 2R).14 Como propietarias de los datos, las áreas de negocio deben tomar la
iniciativa, mientras que el proveedor de servicios de TI —se trate de personal interno o
contratado mediante la modalidad de externalización de servicios— debe ocuparse de la
implementación.

Las buenas prácticas a adoptar son:

 Tomar posesión de los datos y asumir la responsabilidad de garantizar su


integridad. Solo el personal de la unidad de negocio correspondiente puede
ocuparse de esta tarea. Cuando se aplica la modalidad de externalización de
servicios y operaciones de TI, este requisito resulta obvio, pero cuando esos
servicios y operaciones se suministran a nivel interno, se suele caer en el error de
considerar que los datos pertenecen al área de TI y que esta área es la
responsable de preservar la confidencialidad e integridad de la información.

Para tomar el control de la información, se debe realizar una evaluación de valores


que permita calcular el costo potencial de la pérdida de la integridad de los datos y
contemple las pérdidas económicas directas (por ejemplo, en caso de fraude o
problemas operativos graves), los gastos judiciales y el perjuicio causado a la
reputación de la empresa.
 Controlar los derechos y privilegios de acceso. Los principios de necesidad de
conocer (need to know, NtK) y mínimos privilegios (least privilege, LP) constituyen
prácticas eficaces y no son, en teoría, difíciles de aplicar. El crecimiento de las
redes sociales y la noción de que todos somos productores de información exigen
mayor amplitud y voluntad de intercambio. Las redes sociales se están
transformando en una fuerza que resiste y desafía la aplicación de los principios
de NtK y LP.

Es necesario formalizar, documentar, revisar y auditar regularmente los procesos


de solicitud, modificación y eliminación de derechos de acceso. La acumulación de
privilegios —cuando una persona mantiene privilegios históricos al cambiar de
responsabilidades— supone un grave riesgo para la empresa y podría afectar la
segregación correcta de funciones.

Es común en las organizaciones, no llevar un inventario completo y actualizado


sobre quién accede a qué, ni se posee una lista completa de los privilegios de
usuario. Varios proveedores ofrecen productos capaces de obtener
automáticamente toda la información relacionada con esos privilegios.

Una vez que se han aplicado los principios de NtK y LP a partir de un proceso
exhaustivo de gestión de accesos e identidades, el acceso privilegiado sigue
siendo un tema delicado que es indispensable analizar y controlar, ya que permite
acceder libremente a los datos de producción y códigos fuente. Cuando un usuario
está en condiciones de omitir los procedimientos de control de cambios, existe el
riesgo de que se produzcan daños serios.

Las unidades de negocio que cuenten con administradores y/o programadores de


bases de datos a cargo de la gestión de las aplicaciones deberían, al menos,
mantener un registro que consigne quiénes tienen acceso a qué datos, además de
asegurarse de que se mantengan y revisen los registros de cambios. Cuando el
tipo de tecnología empleada admita el uso compartido de contraseñas
privilegiadas, se debería evaluar la posibilidad de utilizar herramientas que
identifiquen claramente a toda persona que acceda a las instalaciones, registren la
fecha y hora de acceso, y señalen los cambios realizados.
 Segregación de funciones (SoD). Este es un concepto de probada eficacia
práctica, en el que seguramente harán hincapié las auditorías internas cuando se
revisen sistemas y transacciones de carácter confidencial. Este concepto se
enfrenta con la presión permanente para reducir costos y personal en las
organizaciones, que puede suponer un riesgo para el negocio.
Responsabilidades de los equipos de apoyo de TI y usuarios finales
Quien se ocupe de suministrar sistemas informáticos y servicios tecnológicos (una unidad
de negocio, el departamento de TI de la empresa, el proveedor de servicios de
externalización, etc.) deberá demostrar que se están tomando las medidas adecuadas —
como las que se definen en los procedimientos de Manage data (Gestión de datos) de la
sección DS11 de COBIT— para alcanzar un grado de desarrollo apropiado, y que se está
realizando una correcta medición y supervisión de rendimiento y riesgos, con la
consiguiente elaboración de los informes pertinentes.

Los equipos de apoyo de usuarios finales (tanto los que integran el área de TI como los
que operan de forma independiente) suelen ser los responsables de la creación de
cuentas y credenciales de acceso a los sistemas y datos. Estas cuentas y credenciales
deben estar plenamente documentadas y solo deberán ser utilizadas cuando se hayan
concedido formalmente las autorizaciones pertinentes.

Responsabilidades de la Auditoría Interna

Los auditores se ocupan de realizar evaluaciones independientes y objetivas para


determinar en qué medida se han definido y respetado las responsabilidades de las
unidades de negocioy del equipo de TI respecto de la preservación de la integridad de los
datos.

Desequilibrios en las Responsabilidades de Aseguramiento y Preservación de la


Seguridad de la Información
El aseguramiento de la información (IA) consiste en la gestión de riesgos relacionados
con el uso, el procesamiento, el almacenamiento y la transmisión de información o datos,
y con los sistemas y procesos empleados en la realización de esas actividades. El IA se
desarrolló a partir de la implementación de la seguridad de la información, que, a su vez,
surgió como resultado de las prácticas y los procedimientos vinculados a la seguridad
informática.

Los proveedores de servicios (como las organizaciones de TI y las empresas dedicadas a


la externalización de servicios) tienen una clara responsabilidad respecto del control de
las tecnologías y su funcionamiento, y deben aplicar las medidas necesarias para
preservar la confidencialidad, integridad y disponibilidad (confidentiality, integrity,
availability o CIA) de la información en un entorno operativo. En cuanto a la protección de
los datos, los servicios proporcionados abarcan la realización de copias de respaldo y la
implementación de procesos de recuperación ante desastres con objetivos claramente
definidos para la recuperación a un momento dado (identificación de la cantidad de datos
perdidos en un incidente) y documentados en acuerdos de nivel de servicio (service level
agreements, SLA). Por otro lado, los proveedores de servicios no son responsables del
gobierno de datos ni de las diversas actividades relacionadas con este proceso.

Los SLA definen claramente las responsabilidades de los proveedores de servicios de TI,
pero no se ocupan de las que deben asumir los propietarios de los sistemas. Esto
produce cierta confusión respecto de las distintas responsabilidades e impide verificar si
los datos están clasificados correctamente, y si las funciones y responsabilidades de los
usuarios de datos y, en particular, de los usuarios con acceso privilegiado se adecuan a la
función crítica que cada uno desempeña. Por consiguiente, la integridad de los datos
sigue siendo el aspecto más relegado de la seguridad y el aseguramiento de la
información.

Medición de la Integridad de los Datos


Existen muy pocas publicaciones sobre mediciones clave, rendimiento e indicadores clave
de riesgo aplicados a la integridad de los datos en un contexto relacionado con la
seguridad de la información. A continuación se mencionan algunos puntos que pueden
resultar útiles para comenzar:

 Un inventario de los derechos de acceso privilegiado, que indique ¿quién tiene


acceso a qué información? , ¿quién tiene autorización para hacer qué? , ¿y en qué
fecha se revisó y actualizó por última vez un documento?.
 Un inventario de los datos que es posible extraer, transformar y cargar en otro
sistema.
 El número de usuarios que han mantenido derechos y privilegios de acceso
históricos.
 El número de cuentas huérfanas o inactivas.
 El número de sistemas de aplicación que contienen derechos de acceso mediante
codificación rígida o códigos ocultos (“backdoors”).
 El número de veces que fue necesario acceder a los datos de producción para
realizar modificaciones o correcciones.
 El número o porcentaje de accesos y/o cambios no autorizados a los datos de
producción, que se hubieren identificado.
 El número de problemas de seguridad relacionados con los datos (en un año/un
mes).
 El número de sistemas que la solución IAM corporativa principal no cubre.
 Un índice de datos incorrectos o incoherentes.
 El porcentaje del modelo de datos de la empresa (o aplicación crítica) que se ha
cubierto con medidas destinadas a preservar la integridad.
 El número de medidas incluidas en bases de datos y aplicaciones para detectar
discrepancias en los datos
 El número de medidas aplicadas para detectar el acceso no autorizado a los datos
de producción.
 El número de medidas aplicadas para detectar el acceso no autorizado a los SO.
 El número de medidas aplicadas para detectar las modificaciones que no han
estado sujetas a ningún procedimiento de control de cambios.
 El valor anual de las pérdidas económicas ocasionadas por operaciones de fraude
a través de sistemas informáticos.
 La cantidad de ataques destinados a destruir la integridad de los datos en los
sistemas de SCADA.
 La cantidad de comunicados de prensa generados a partir de los problemas que
afectaron la integridad de los datos.

La Importancia del Gobierno de Datos


El gobierno de datos se centra específicamente en los recursos de información que se
procesan y difunden. Los elementos clave del gobierno de datos pueden clasificarse en
seis categorías básicas: accesibilidad, disponibilidad, calidad, coherencia, seguridad y
verificabilidad (mediante auditorías) de los datos. La DAMA ha publicado la guía
DMBOK15, que presenta un marco integral para la gestión y el gobierno de datos,
incluidas las tareas que deben realizarse, y las entradas, las salidas, los procesos y los
controles.

Conclusión
La regla GIGO (que afirma que la introducción de datos erróneos genera resultados
erróneos) tiene la misma vigencia hoy que cuando fue formulada, hace 60 años La
diferencia entre aquella época y la actual radica en el crecimiento exponencial del
volumen de los datos digitales, pero este crecimiento no ha ido acompañado del
desarrollo y la consolidación de las disciplinas vinculadas al gobierno de datos. Las
características básicas de la CIA (los tres pilares de la seguridad de la información:
confidencialidad, integridad y disponibilidad) no han variado, y la disponibilidad sigue
siendo el único componente que se puede medir mediante parámetros claramente
definidos y ampliamente aceptados.

La no aplicación de métricas sobre la integridad de los datos debería considerarse un


obstáculo, porque sin ella una empresa no está en condiciones de reconocer cuánto han
“mejorado” o “empeorado” la confidencialidad o la integridad desde la introducción de los
procedimientos o procesos para administrarlas.

En la medida en que el gobierno de datos no reciba el mismo grado de atención que el


gobierno de TI (y este siga siendo el eslabón más débil de la cadena del gobierno
corporativo), las organizaciones estarán expuestas a graves riesgos que podrían afectar
sus operaciones, su economía, su capacidad de cumplimiento y su reputación.

Ley de Delitos Informáticos en el Perú


En el Perú, por Ley 30096, se ha aprobado la Ley de Delitos Informáticos publicada el
martes 22 de Octubre de 2013. Esta ley regula el ámbito jurìdico informàtico penal y por
su importancia consideramos necesario hacer una breve reseña en este Blog Acadèmico.
Antecedentes
En el mes de abril de 2013 la Conferencia de los Ministros de Justicia de Iberoamérica
(COMJIB/2013) en Viña del Mar, Chile, aprobó el documento "Bases para la elaboración
de un Instrumento Internacional en materia de Cibercriminalidad", que comprende un
proyecto orientado a la adecuación legislativa de sus Estados miembros al Tratado de
Budapest, además de implementar los mecanismos procesales necesarios para
neutralizar la cibercriminalidad que afecta la región.
El 26 de Julio de 2013 el Poder Ejecutivo presenta un Proyecto de Represión de la
Criminalidad con el carácter de urgente, que incorporó el documento sobre
cibecriminalidad, elaborado en COMJIB/2013. La Comisión de Justicia y Derechos
Humanos del Congreso de la República elabora un Texto sustitutorio el 12 de Setiembre
de 2013 que propone la Ley de Delitos Informáticos en base al Dictámen recaído en los
Proyectos anteriores de la materia y el proyecto presentado por el Ejecutivo. El Pleno del
Congreso de la República aprueba este texto sustitutorio y lo exonera de segunda
votación.

La Ley de Delitos Informáticos

Tiene por objeto prevenir y sancionar las conductas ilìcitas que afectan los sistemas y
datos informáticos y otros bienes jurìdicos de relevancia penal, cometidas mediante la
utilizaciòn de tecnologías de la información o de la comunicación con la finalidad de
garantizar la lucha eficaz contra la ciberdelincuencia.
Su objeto se relaciona con el avance de las Tecnologías de la Información y las
Comunicaciones y la lucha eficaz contra las vulneralidades que presenta el mundo
informático, entre las que podemos mencionar las siguientes:
a) La ausencia de una estructura jerarquizada de la red que permita establecer sistemas
de control, lo que dificulta enormemente la verificación de la información que circula por
este medio. b) El creciente número de usuarios y la cada vez mayor facilidad de acceso.
c) La manifiesta capacidad de generar peligros globales.
Delitos contra Datos y Sistemas Informáticos
Las modificaciones e incorporaciones de delitos propuestos. se enmarcan en los
principales ilícitos que se cometen en la actualidad. Tal es así que teniendo como bien
jurídico protegido datos y sistemas informáticos, se regulan los delitos de acceso ilícito,
atentado a la integridad de datos informáticos y atentado contra la integridad de datos
informáticos, de la siguiente forma:

A) Acceso Ilícito

El que accede sin autorización a todo o parte de un sistema informático, siempre que se
realice con vulneraciòn de medidas de seguridad establecidas para impedirlo, será
reprimido con pena privativa de la libertad no menor de un año ni mayor de cuatro años y
con treinta a noventa dìas multa. Serà reprimido con la misma pena para el que accede a
un sistema informàtico excediendo lo autorizado.

B) Atentado contra la integridad de datos informàticos

El que, a través de las tecnologías de la información o de la comunicación, introduce,


borra, deteriora, altera, suprime o hace inaccesibles datos informáticos, será reprimido
con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a
ciento días multa.

C) Atentado contra la integridad de sistemas informáticos

El que, a través de las tecnologias de la información y las comunicaciones, inutiliza total o


parcialmente, un sistema informático, impide el acceso a éste, entorpece o imposibilita su
funcionamiento o la prestaciòn de sus servicios, será reprimido con pena privativa de
libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte dìas multa.

Delitos informáticos contra la intimidad y el secreto de las comunicaciones


En los delitos que tienen como bien jurídico protegido la intimidad y el secreto de
telecomunicaciones se incluye el delito de tráfico ilegal de datos y de interceptación de
datos informáticos. Los cuales son tipificados de la siguiente forma:
i) Tràfico Ilegal de datos

El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural
o juridica, identificada o identificable para comercializar, traficar, vender, promover,
favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar,
patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio, será
reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

ii) Interceptación de datos informáticos

El que, a travès de las tecnologías de la información o de la comunicación, intercepta


datos informáticos en transmisiones no públicas, dirigidas un sistema informático o
efectuadas dentro del mismo, incluidas la emisiones electromagnéticas, provenientes de
un sistema informático, originadas en un sistema informático o efectuadas dentro del
mismo, incluidas la emisiones electromagnéticas proveninetes de un sistema informático
que transporte dichos datos informáticos, será reprimido con pena privativa de libertad no
menor de tes ni mayor de seis años.
La pena privativa de libertad será no menor de cinco años ni mayor de ocho años cunado
el delito recaiga sobre información clasificada como secreta, reservada o confidencial de
conformidad con las normas de la materia.
La pena privativa de libertad será no menor de ocho años ni mayor de diez años cuando
el delito comprometa la defensa, la seguridad o la soberanía nacionales.
Delito Informático contra la Fe Pública
Teniendo como bien jurídico protegido tenemos el delito de suplantación de identidad, que
se tipifica de la siguiente forma:
-Suplantación de Identidad
El que, mediante las tecnologìas de información o de la comunicaciòn suplanta la
identidad de una persona natural o jurídica, siempre que de dicha conducta resulte un
perjuicio material o moral, será reprimido con pena privativa libertad no menor de tres ni
mayor de cinco años.
Delito Informático contra el Patrimonio
Teniendo como bien jurídico protegido el patrimonio, se incluye el delito de fraude
informático, que se tipifica de la siguiente forma:
-Fraude Informático
El que, a travès de las tecnologìas de la información y las comunicaciones, procura para
si o para otro un provecho ilícito en perjuicio de tercero mediente el diseño, introducción,
alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o
manipulación en el funcionamiento de un sistema informático, será reprimido con pena
privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte
días multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta
a ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines
asistenciales o programas de apoyo social.
Otros delitos, modificaciones y normas complementarias
La ley en comentario regula también delitos contra indemnidad y libertad sexuales.
Asimismo, modifica en el Código Penal los delitos de interferencia telefónica, pornografía
infantil y discriminación dándole coherencia y sistematización en relación a los delitos
informáticos.
Por otra parte, modifica artículos del Código Procesal Penal y de la Ley contra el crimen
organizado. Finalmente, cabe destacar que se dispone que: "El Estado peruano promueve
la firma y ratificación de convenios multilaterales que garanticen la cooperación mutua con
otros Estados para la persecusión de los Delitos Informáticos", en clara referencia al
Convenio de Ciberdelincuencia, Budapest, 23. XI. 2001.