Artículos
8 de julio de 2015

Amenazas a la seguridad informática y delitos informáticos

Por: Andrés Felipe Contreras P.

La Seguridad de la Información, obedece a una dicotomía de conceptos. Por un lado, el termino  seguridad, puede ser abocado desde diferentes nociones; una social y cultural, en la que la determinada organización se ocupa de atender determinadas necesidades económicas y sanitarias de los miembros de dicha organización y otra más específica,  en la que se le observa como un mecanismo en el que se asegura algún buen funcionamiento, precaviendo que este falle, se frustre o se violente[1].  Por su parte, el termino Información, obedece al conjunto de datos sobre una materia determinada[2]. Así las cosas, se determina que la finalidad última de la Seguridad de la Información, es la de reducir los riesgos inherentes en la manipulación y gestión de la información, implementando medidas de protección adecuadas de acuerdo con su importancia y criticidad.

Con esta nueva faceta, las organizaciones e industrias, se han dedicado a implementar herramientas informáticas que permitan proporcionar mayor viabilidad y plusvalía a sus negocios, dando lugar, de forma correlativa, a la creación de empresas dedicadas, de forma exclusiva, a la protección de éstas  herramientas informáticas y de los datos que de ellas se derivan, garantizando así, la efectiva prestación de los servicios ofrecidos en economías basadas en  Tecnologías de la Información (TI).

Check Point Software Technologies Ltd[3], empresa especializada en el análisis de datos y soluciones de seguridad en TI, revelo, en su reporte de 2015 (consultar informe), cueles son y cómo se presentan las principales amenazas a la seguridad Informática. En este informe, la compañía introduce a sus usuarios en la órbita de la Seguridad TI, mediante algunos conceptos simples, pero de gran entidad práctica, entre los que se encuentran:

Vulnerabilidades: defectos de software o de funcionamiento de los sistemas, que los hackers buscan explotar. Existen en casi todas las aplicaciones.

Malware: código del software malicioso. Tiene como objetivo, infiltrarse en los sistemas para crear perturbaciones en los mismos, con el fin de robar información de la computadora  o simplemente dañar los datos, obviamente, sin el consentimiento de su propietario[4].

Software defectuoso: contiene bugs [5]que pueden ser dañinos y peligrosos para el sistema, pero, a diferencia del malware, no se producen de forma intencionada.

Virus Informático: este concepto suele ser aplicado de forma incorrecta y generalizada para todos los tipos de malware, siendo tan solo, una sub-clasificación de estos. Los virus, suelen remplazar archivos ejecutables de la computadora por otros infectados, y tienen como propósito secundario, propagarse a través de todo el software. Dentro de esta categoría, podemos encontrar otras variantes como son, los Gusanos o  IWorms (que se caracterizan por duplicarse a sí mismos) y los Troyanos (que brindan al hacker un acceso remoto al equipo infectado).

Scareware: clase de software utilizado generalmente para estafar a los consumidores. Utilizado para engañar a los usuarios con la intención de causar ansiedad o pánico, y derivar en fines que pueden, o no, ser económicos.

Spywere: software de recopilación de información. Utilizado principalmente para controlar toda la actividad que tiene el usuario en internet para de esta forma, publicitar automáticamente, anuncios relacionados. A diferencia de un virus, no se auto reproduce ni se replica, por lo que sería considerado más como un parásito.

Adware: programa que abre publicidad web de forma automatizada, durante su instalación o durante su uso, para generar lucro a sus autores[6].

Crimeware: software especializado, diseñado para la ejecución de delitos (habitualmente financieros) en plataformas online.

En Colombia, el interés por tutelar y respaldar la información y los datos, se ha visto materializada con la creación de un conjunto normativo dentro del que se encuentran  leyes  como la  1341 de 2009, 1266 de 2008;  los decretos 4829 de 2010, 2952 de 2010 y sentencias como la C-1011 de 2008. En el ámbito penal, la norma que resume estos propósitos es la ley 1273 de 2009, Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.

El legislador, consiente de la actual revolución tecnológica y del fenómeno de la información como factor determinante en la sociedad, da a la protección de la información y de los datos, la categoría de bien jurídico tutelado por el derecho penal, lo cual implica que la afectación negativa a dicho bien, deberá ser penada y castigada por el Estado.

El delito informático, es planteado en nuestra legislación desde dos perspectivas. En la primera, se ubica la informática como medio para la consumación del delito; la segunda, toma como objeto de afectación la informática (sistemas, datos, equipos, etc)[7].   Dentro de la primera categoría se puede tomar como ejemplo el artículo 291I del Código Penal, denominado: Hurto por medios informáticos y semejantes y dentro de la segunda, los artículo 269A y 269B del Código Penal, denominados Acceso abusivo a un sistema informático y Obstaculización ilegítima de sistema informático o red de telecomunicación, respectivamente. Otro artículo que ejemplifica lo anterior, es el 269E del mismo Código, que se refiere al uso de software malicioso, tipificado de la siguiente manera:

El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.       

El actuar del delincuente, en este caso, consiste en el ingreso doloso a un sistema informático ajeno, con el objetivo de introducir una malware y destruir, alterar e inutilizar la información, en él contenida[8].

En otros países como Alemania (Segunda Ley Contra la Criminalidad Económica de 1986), Francia (Ley 88-19 de 1988), Brasil (Leyes 12.737 de 2012 y 11.829 de 2008), México (Reforma 75 del Código Penal Federal de 1999) y Perú (Leyes 27.309 de 2000 y 28.251 de 2004), entre otros, se han ocupado igualmente por garantizar, con intervención efectiva del Estado, el uso de medios digitales en todas y cada una de las esferas posibles, en las que las TI, sirvan a la humanidad.

En conclusión, es importante hacerse con una mentalidad no solo represiva y contingente, en lo que tiene que ver con el uso malicioso de la informática; también es relevante, adecuar una mentalidad preventiva en el uso de sistemas informáticos, que abarque la gestión, no solo de organizaciones autónomas y privadas como lo es la Check Point Software Technologies Ltd, sino, además, de organizaciones gubernamentales, especializadas en ciencia, tecnología y desarrollo.

(CONTINUARA.)

———————————————————————–
[1]
 http://lema.rae.es/drae/srv/search?id=wwcs1Hw7LDXX28FVsWTl
[2] A partir de este punto, nos referiremos estrictamente a lo que se refiere a información soportada en formato virtual o digital. http://www.wordreference.com/definicion/informaci%C3%B3n
[3] http://www.checkpoint.com/
[4] Los programas más conocidos que incluyen malware son Alexa, MyWebSearch, FlashGet, Cydoors, Gator, GoHit, Webhancer, Lop, Hotbar, eZula, KaZaa, Aureate / Radiate, RealPlayer, Zango, C2Media, CID. Visto en. http://listas.20minutos.es/lista/los-tipos-de-malware-310619/
[5] Errores de software.
[6] https://usa.kaspersky.com/internet-security-center/threats/adware
[7] Rincon, Javier y Naranjo Victoria. Delito Informático de la Telecomunicaciones y de los Derechos de Autor. Grupo editorial Ibañez. Bogotá. 2012.
[8] Ibídem. p. 137.