Introducción
Las
tecnologías muy dinámicas como la informática,
rápidamente son objeto de la posibilidad de su uso y
abuso, aspectos que, naturalmente, rebasan la posibilidad de
regular jurídicamente las consecuencias y las responsabilidades.
Para
tipificar las nuevas posibilidades de delinquir a raíz
de la aparición de una nueva tecnología ubicua
y multiforme como la informática, se requieren esfuerzos
conjuntos de parte de la justicia y la propia informática.
Esto conduce a la formulación de discursos en los que
cada parte utiliza un lenguaje especializado y claramente
diferenciado entre sí.
Los
juristas disponen de un vocabulario técnico propio
que para los informáticos resulta extraño. Al
mismo tiempo los informáticos son conocidos por el
carácter tal vez exageradamente críptico de
su vocabulario técnico que, evidentemente, también
resulta desusado para los juristas. La dificultad para aproximar
conceptos formulados con vocabularios distanciados, es uno
de los problemas implícitos en el tratamiento de temas
como el delito y el fraude informático.
En
el presente trabajo se tratan los temas del delito y el fraude
informáticos desde el punto de vista de un informático,
intentando reducir la especificidad del propio lenguaje técnico
para favorecer la comprensión de los lectores con formación
jurídica.
Un
sistema de información es aquél que compila,
almacena, procesa y distribuye información. De hecho,
los sistemas de información no son una novedad reciente.
Se puede decir que han existido siempre y en todo tipo de
actividad humana, pero es precisamente la potencialidad de
su implementación basada en la tecnología informática
y en las comunicaciones electrónicas, lo que induce
al planteamiento de cuestiones como las que se abordan en
este trabajo.
El
número de veces que una tecnología es capaz
de mejorar la función y el objetivo encomendados, se
conoce como "factor multiplicador de la tecnología".
Los factores multiplicadores de las tecnologías convencionales,
a pesar de su gran potencialidad, tienen un orden de magnitud
limitado: 15 en el caso de la automoción, 150 en la
aviación y 1000 para la revolución industrial.
El aspecto diferenciador de la tecnología informática
de los sistemas de información distribuidos, se encuentra
en un factor multiplicador muy grande que alcanza una magnitud
del orden de billones, como resultado de la conjunción
sinérgica de la tecnología informática
del procesamiento de datos y la tecnología paralela
de las comunicaciones informáticas. Ambas presentan,
individualmente, un factor multiplicador del orden de millones,
ya que, respectivamente, multiplican la velocidad "manual"
del proceso y la comunicación de datos por un factor
del orden del millón.
Esta
potencialidad, que implica el gran factor multiplicador de
la tecnología informática, se ha desarrollado
en un periodo de tiempo francamente breve. Hace poco más
de sesenta años que hizo su aparición pública
la primera computadora electrónica: la ENIAC, presentada
el 15 de febrero de 1941. El aumento en la potencialidad ha
sido significativamente grande con la miniaturización
de los sistemas. Forester
and Morrison (1990) mencionan
un ejemplo clásico: "si la automoción hubiese
tenido un desarrollo parecido, ahora se podría adquirir
un Rolls Royce por menos de 15 dólares y, además,
este vehículo dispondría de una potencia comparable
a la de un trasatlántico como el 'Queen Elizabeth'
y sería capaz de recorrer un millón de kilómetros,
unas 25 vueltas alrededor del mundo, con sólo un litro
de benzina. Todo un sueño que, de hecho, en el ambiente
informático es tecnológicamente posible".
Estas
características particulares han propiciado el hablar
de una revolución industrial llamada "de las tecnologías
de la información", que se manifiesta claramente en
la actividad cotidiana del mundo moderno. Textos como el de
Forester and Morrison
(1990•) analizan y detallan
algunas de las posibilidades y los problemas que presenta
esta revolución de las tecnologías de la información.
Paralelamente
a la potencialidad que ofrece una tecnología transformadora
como la informática, surge también un crecimiento
en los riesgos y los peligros, que son, en cierta forma, proporcionales
a la gran potencialidad de las tecnologías de la información.
Pero precisamente esta evolución tan rápida
de la informática supone la existencia de una inevitable
separación temporal, esto, entre los aspectos informáticos
que se deben regular jurídicamente y el nacimiento
de la ley que los regule y, lo que es más importante
y específico, la inevitable temporalidad de la justicia
frente a las nuevas tecnologías esencialmente cambiantes
como la informática.
Anteriormente
era frecuente entre los informáticos reflexionar sobre
la vulnerabilidad de una sociedad sometida a las posibilidades
de las tecnologías de la información. Incluso
instituciones como la IFIP (International Federation for Information
Processing) se preocuparon por el tema: en un congreso que
realizó en 1992 se presentó el material de base
para el estudio sobre "riesgos y vulnerabilidad en una sociedad
artificial y basada en la información" [BER 92].
El
texto de la IFIP hace énfasis en tres ejemplos, que
considera típicos sobre la vulnerabilidad creciente
de una organización social basada en forma casi absoluta
en las tecnologías de la información, la que
denomina "sociedad de la información". Los casos mencionados
hacen referencia, por ejemplo, al colapso de la bolsa de Wall
Street el 19 de octubre de 1987. Algunos consideraron que
se debió a la ágil respuesta de los inversores
ante los cambios de cotizaciones, gracias a programas informáticos
que incorporaban modelos esmerados del comportamiento del
mercado de valores, ayudados por la efectividad de los instrumentos
de comunicación informatizados que ya dominaban la
bolsa. También es un caso evidente de vulnerabilidad
los problemas potenciales en los hospitales, cada vez más
informatizados. Los errores o el mal uso de los sistemas informáticos
médicos o administrativos, pueden traer consecuencias
graves como el peligro de muerte. Berleur [BER 92] menciona
también el problema, cada vez mayor, del intercambio
electrónico de datos y "objetos" intangibles, y la
consideración del "documento electrónico".
Delito
y Fraude
Cuando
se habla de fraude y delincuencia informática, generalmente
se hace referencia a una manera muy genérica, ya que
es muy difícil concretar el "delito informático"
como tal. A menudo se entiende el delito informático
como aquella acción dolosa que provoca un perjuicio
a personas o entidades, en la que intervienen dispositivos
o programas informáticos (Castillo
y Ramallo, 1989). Considerar
una actividad como delictuosa supone necesariamente que el
posible delito ha sido establecido como tal en las leyes de
un país determinado (Vázquez
y Barroso, 1993).
Puesto
que la legislación sobre delitos informáticos
es todavía muy limitada en la mayoría de los
países, es común evitar hablar precisamente
de "delito informático" y referirse al "fraude informático",
o más genéricamente a "delincuencia informática".
Independientemente del término que se utilice, entendemos
el fraude como aquella conducta realizada mediante un sistema
informático con la que se busca conseguir un beneficio
ilícito.
Algunos
autores (Vázquez
y Barroso, 1993•).
limitan el fraude informático a los actos fruto de
la intencionalidad, realizados con la voluntad de obtener
un beneficio propio y, si es posible, provocar un perjuicio
a alguien. Así, se puede hablar también de un
tipo de fraude informático no intencionado, producto
de un error humano al utilizar un sistema informático
o por un defecto del hardware o el software. Este tipo de
fraude es conocido como "error informático". En el
caso del error informático puede no haber un beneficio
directo para quien causa el funcionamiento erróneo
del sistema informático, pero sí un perjuicio
a los otros usuarios o a los propietarios del sistema.
Nuevas
Necesidades y Nuevos Planteamientos
Las
actuales posibilidades que ofrece la sociedad de la información,
exigen nuevas respuestas en los aspectos ético y jurídico.
Para Mason (1986)hay
4 puntos éticos ineludibles, los cuales, según
Morris (1992),
se convierten en "los cuatro derechos básicos relevantes
en la era de la información":
-Privacidad.
Hace referencia a la necesidad de proteger la información
de un uso no autorizado.
-Exactitud.
Se requiere de una alta calidad en la información,
para que los procesos de toma de decisiones que se realizan
con ella sean efectivos.
-Protección.
Se debe proteger el conocimiento que se almacena en las computadoras,
tanto los programas como los datos, es decir, los sistemas.
-Acceso.
Los permisos para el acceso a la información deben
ser adecuados, pero estrictamente controlados.
Para
autores como Morris (1992•),
estas exigencias jurídicas, convertidas para él
en derechos, son el marco de referencia para la ineludible
generación de un componente ético en la conducta
profesional de los especialistas en sistemas de información.
De hecho, los especialistas son los que disponen de más
poder para "maltratar" los sistemas de información
y atentar contra estos nuevos derechos básicos de la
era de la información.
En
este sentido, algunos autores como Del
Paso (1990) reconocen que la
actividad informática es muy vulnerable, por lo que
defienden explícitamente el papel y la función
de los profesionales de la auditoria informática. Sintetizan
en cinco grupos, más o menos diferenciados, a la delincuencia
informática:
-El
fraude informático, entendido como el uso indebido
o la manipulación fraudulenta de los elementos informáticos
de cualquier tipo, que produce un beneficio ilícito.
-El
hacking o "terrorismo lógico", que incluye los
casos de vandalismo, terrorismo, destrucción, etcétera,
que provocan perjuicios. Son motivados por venganzas, chantajes,
sabotajes o un mal uso de la curiosidad intelectual, la cual
caracterizó a los primeros hackers o manipuladores
no autorizados de sistemas informáticos.
-Las
acciones físicas realizadas contra la integridad de
los sistemas informáticos.
-Atentar
contra el derecho a la integridad de las personas, gracias
a la existencia de bases de datos informatizadas y las posibilidades
que presenta la misma informática para vulnerar los,
a menudo, escasos sistemas de seguridad operativa.
-
Atentar contra la propiedad intelectual informática
que, de forma exageradamente simplificada, se llama coloquialmente
"piratería del software", olvidándose de la
posibilidad de una equivalente piratería del hardware
que, de hecho, corresponde a un caso típico de espionaje
industrial.
Resulta
fácil relacionar las cinco figuras delictuosas de Del
Paso con los cuatro derechos de Morris, pero lo que realmente
interesa es constatar que algunas de estas acciones ilícitas
pueden estar ya recogidas en el derecho legislativo, aunque
hayan sido incluidas con independencia de la tipicidad exclusiva
del hecho informático. Se trata, en este caso, de una
regulación por analogía que parece insuficiente
para cubrir todas las particularidades informáticas.
Internacionalización
de los Problemas del Derecho Informático
Las
redes de computadoras y su alcance internacional permiten
la difusión de programas, datos y, en definitiva, sistemas
que sobrepasan las fronteras de los países. Esta es
la razón por la que resulta de gran utilidad atenerse
a los resultados del derecho comparado en el ámbito
internacional, en concreto al que hace referencia a los aspectos
informáticos. En este sentido cabe destacar los trabajos
de Sieber, 1986,
y Sieber, 1990,
por ejemplo, o estudios puntuales sobre leyes concretas, como
el que hace Wasik (1992)
sobre "el acto de abusar de la informática" .
El
trabajo de Sieber establece como un aspecto importante el
hecho de que los sistemas informáticos ya no sean tratados
como objetos físicos, ya que son el soporte de objetos
que no tienen una realidad física, como es la información
y su distribución.
Sieber
sugiere que el cambio de paradigma que representa el paso
de objetos corpóreos a incorpóreos, justifica
la necesidad de leyes específicas propias de la informática.
En este sentido Sieber, como un resultado de su trabajo sobre
el derecho comparado, opina que "el régimen legal para
la información no se puede derivar por analogía
de las reglamentaciones de los objetos corpóreos".
Sieber se concentra en la especificidad de la información
y las tecnologías que están asociadas, para
así renunciar a la posibilidad de tratar legalmente
el factor informático: la utilización por analogía
de las leyes ya existentes sobre el hurto, la protección
de la propiedad, el vandalismo, etcétera.
De
hecho, los estudios realizados sobre legislación comparada
marcan claramente estas dos tendencias en el tratamiento legal
del aspecto informático: leyes específicas o
la aplicación analógica de leyes ya existentes.
En realidad, las dos opciones no parecen ser excluyentes una
de la otra y, de hecho, se proporcionan conjuntamente en el
ordenamiento legal de diversos países. A pesar de todo,
es fácil estar de acuerdo con Sieber. Aunque la incorporación
de los objetos informáticos y las diferentes características
de la información en las leyes provoca sólo
una disputa entre muchos, cabe pensar en la necesidad de leyes
específicas para tratar en forma adecuada el fraude
y la delincuencia informática.
Es
importante tomar en cuenta que, tal y como ha sucedido varias
veces, la potencialidad de las tecnologías de la información;
el carácter revolucionario de su impacto en las organizaciones
sociales; el dinamismo propio de la informática, y
la multiplicidad de formas que pueden tener el fraude y la
delincuencia informática, hacen prácticamente
imposible esperar que la jurisprudencia responda completamente
a todas las modalidades de fraude y delitos informáticos.
Por eso, como sucede en otras profesiones de gran incidencia
social, se debe contar, por el bien de la sociedad, con un
código completo, ético y deontológico,
que gobierne la actuación de los profesionales informáticos
y, de hecho, evite gran parte del peligro de fraude que ofrecen
las nuevas tecnologías de la información.
Tipología
del Fraude Informático
Cuando
se menciona el fraude informático resulta habitual
hacer referencia a los trabajos de Donn B. Parker, jefe consultor
del SRI (Stanford Research Institute). Parker estudia el tema
del fraude y la delincuencia informática desde los
años setenta, ateniéndose a lo que él
nombra "cuatro dimensiones" del problema, que sintetiza en:
-El
modus operandi;
-La
tipología de los autores de los fraudes informáticos;
-
Los problemas éticos asociados, y
-Los
precedentes legales ya existentes y la legislación
todavía pendiente sobre este asunto.
El
tratamiento de las dos primeras "dimensiones" del problema
es desarrollado por Parker en su primer libro sobre delitos
informáticos (Parker,
1976). El texto de 1983
(Parker) utiliza una perspectiva
histórica para profundizar en el análisis de
las dos últimas "dimensiones". Por ser este trabajo
el pionero en la materia, se le ha dado una gran difusión
y además una justificación, porque a menudo
tal vez se haga referencia a él aun sin citar el origen.
También explica la existencia de trabajos que pretenden
complementar su estudio, dando nuevas aportaciones sobre el
método de detección del fraude o las evidencias
que pueden sugerir su presencia (Agenda
Hispamex, 1981).
De
esta tipología tan difusa del modus operandi
del fraude informático, se puede remarcar su aspecto
coyuntural y la necesidad evidente de actualizarse continuamente,
para considerar las nuevas técnicas que el dinamismo
de la tecnología informática produce en los
nuevos sistemas.
Las
principales formas de fraude informático que Parker
consideraba se realizaban hasta 1983, son:
-Introducción
de datos falsos (data diddling). Consiste en la manipulación
fraudulenta de las transacciones de entrada a un sistema informático,
al introducir movimientos falsos o eliminar la entrada de
operaciones reales.
-Caballo
de Troya (Trojan horse). En un programa normal se incluyen
una serie de instrucciones no autorizadas, que actúan,
en ciertos casos, de forma diferente en aquello que había
sido previsto, evidentemente, en beneficio del autor o para
sabotear al usuario.
-Técnica
del salami (salami technique). Consiste en pequeñas
manipulaciones que, sumadas, hacen un gran fraude. Es habitual
citar en este punto el no demostrado y casi mítico
caso de la desviación fraudulenta de centavos en transacciones
bancarias o nóminas.
-Uso
no autorizado de programas especiales (superzapping).
Hace referencia a la utilización no autorizada de cualquier
programa para alterar datos y resultados, u obtener información.
El nombre en inglés de este tipo de fraude deriva de
un conocido programa de servicio de ciertos sistemas de IBM:
"superzap".
-
Puertas falsas (trap doors). Consiste en hacer "agujeros"
y defectos en la seguridad de los sistemas y las "entradas
especiales", que generalmente, con aspecto de provisionalidad,
poseen los programas para hacer más ágil su
proceso de prueba y depuración, y permitir que la instalación
de la versión definitiva sea exitosa.
-Bombas
lógicas (logic bombs). Permiten realizar un tipo
distinto de sabotaje, utilizando rutinas ocultas (la bomba
lógica). En cada ejecución de un programa, por
ejemplo, al llegar a un cierto valor, se ejecuta una operación
destructiva. Es un procedimiento que, regulado por una computadora
o por un dato clave, se convierte en el más habitual
de los virus informáticos.
-
Ataques asíncronos (asynchronous attacs).
Se aprovecha la posibilidad que tiene el sistema operativo
de volver a inicializar el sistema en condiciones diferentes
a las autorizadas, como por ejemplo en ciertos puntos de recuperación
del sistema. Un ejemplo de un ataque asíncrono sería
un programa que reproduzca la pantalla de entrada en un sistema.
Cuando el usuario proporciona su clave, se almacena esta información
en un archivo de la persona que está realizando el
fraude. De esta manera logra el acceso que le estaba prohibido.
-Recogida
de información residual (scavengig). Consiste en
aprovechar todo tipo de desechos, como listados y manuales
tirados en la papelera, que no han sido destruidos; emplear
el estado final de la memoria al finalizar la ejecución
de un programa, etcétera, para obtener información
reservada y sensible.
-
Divulgación no autorizada de datos reservados (data
leakage). También incluye la divulgación
no autorizada de información secreta, obteniendo los
datos por espionaje o al adquirirlos de manera fraudulenta
de información destinada a otra finalidad, como por
ejemplo del censo electoral, información médica,
etcétera.
-Entrada
a caballo (piggybacking and impersonation). Conocido también
como "ingeniería social", consiste, por ejemplo, en
hacerse pasar por otra persona para conseguir información
reservada.
-
Intervención de líneas (wiretapping).
Se intervienen las líneas de comunicación informática
para acceder o manipular los datos que por ellas circulan.
-Simulación
y modelado de delitos (simulation and modeling). Se utiliza
una computadora para planear y controlar un delito mediante
técnicas de simulación, que permiten ver qué
pasaría si realmente se realiza el delito.
Diversos
estudios sobre el comportamiento de los manipuladores no autorizados
de los sistemas informáticos (hackers), indican que
van incorporando nuevas "técnicas", las cuales, a veces,
son nuevas o simplemente variaciones sobre algunos de los
tipos centrales y canónicos ya expresados por Parker.
Libros
especializados en el comportamiento de los hackers (Skoll,
1985; Raymond,
1991;
Hafner y Morkoff, 1991,
y Clough y Mungo, 1992)
o versiones casi periodísticas de
estudios sobre el fraude informático (Sneyers,
1990), mencionan nuevas modalidades
de fraude y delincuencia informática. Como ejemplo
de algunas de éstas, se puede mencionar:
-Exploración
(scanning). Consiste en hacer una exploración secuencial
para encontrar los números telefónicos o las
claves de usuario que permiten el acceso a la computadora
o a los sistemas informáticos reservados.
-Mirar
sobre el hombro (shoulder surfing). Como su nombre lo
indica, se trata de mirar sobre el hombro de un operador autorizado,
para seguir el movimiento de sus dedos sobre el teclado cuando
escribe su clave, con el fin de robársela.
-Buscar
en la basura (dumpster diving). Es una nueva variante
de la "recogida de información residual" establecida
por Parker. Se buscan en la basura los documentos que no fueron
destruidos y que contienen información sensible.
-Mistificación
(spoofing). Es la nueva denominación que se le
da a la anteriormente llamada "ingeniería social",
que permite obtener información con engaños
y simulación de personas.
Es
fácil observar que la cantidad de métodos aumenta
con el tiempo, así como el ingenio, que nunca falta,
de los interesados en cometer un fraude y delitos informáticos.
Por
eso la referencia a la docena de métodos mencionados
por Parker será siempre una tipología limitada,
como, de hecho, lo será cualquier otra tipología,
debido al dinamismo de la informática y los hackers.
Hackers.
Del Romance al Fraude
Si
bien la tipología del modus operandi del fraude y la
delincuencia informática de Parker es bastante difusa,
lo son mucho menos las otras "dimensiones" que, según
los especialistas indiscutibles en el tema, acompañan
al fenómeno. Una es la que hace referencia a las características
de los autores de los fraudes informáticos: los hackers.
De hecho, el objetivo central del segundo libro de Parker,
sobre los delitos informáticos (Parker,
1983••), se centra
en "la esencia del problema: la gente se dedica a delinquir
y no se preocupa de los instrumentos que va a utilizar".
Posiblemente
todo comenzó con los phreakers, manipuladores
no autorizados de las líneas telefónicas norteamericanas
de los años sesenta. La voluntad por utilizar fraudulentamente
las líneas telefónicas de la compañía
telefónica Bell, la principal de Estados Unidos, para
lograr gratuitamente la posibilidad de hacer llamadas de larga
distancia, estimuló la actividad de un grupo de jóvenes,
que denominaron a su actividad phreaking. Los phreakers
tomaron su nombre de la conjunción de freak (suceso
anormal), phone (teléfono) y free (gratuito o libre).
Se puede ver que ellos mismos recogen en su nombre el carácter
marginal de su actividad, que, inicialmente, podía
responder a objetivos posiblemente románticos de liberación
de cierto servilismo de la tecnología. Clough
y Mungo (1992•) dan una
descripción detallada de las actividades de los phreakers.
Dado
que los sistemas telefónicos utilizan computadoras,
los phreakers se convirtieron en manipuladores no autorizados
de los sistemas informáticos, pero en los años
sesenta y setenta aparece otro tipo de manipuladores no autorizados:
los hackers.
El
atractivo innegable de hacer programas de todo tipo, provoca
el surgimiento de especialistas informáticos, jóvenes,
decididos y, seguramente, con una gran curiosidad intelectual,
a quienes se les da el nombre de hackers. Según el
diccionario de Raymond
(1991), hackers originalmente
eran aquellas personas que "hacen muebles a golpe de hacha".
Además define al hacker, en la primera acepción,
como "una persona que goza explorando los detalles de los
sistemas programables para extender sus capacidades, oponiéndose
a los usuarios que prefieren aprender sólo lo mínimo
necesario". Esta es una visión positiva y romántica
del hacker que, desgraciadamente, ha evolucionado en un sentido
negativo, dando como resultado las terribles consecuencias
de sus actividades en la actualidad.
Con
relación al sentido positivo típico de la primera
actividad de los hackers, el diccionario de Raymond cita como
séptima acepción: "una persona que disfruta
con el reto intelectual de la creatividad para superar o esquivar
limitaciones". Esta definición, de nuevo, nos lleva
a una visión romántica y positiva del hacker,
que tendría más un afán de conocimiento
y superación de retos, actividades francamente muy
atractivas para los jóvenes que ahora adoptan el ejercicio
creciente de los hackers. Así fueron, seguramente,
las condiciones para algunos de los primeros hackers de los
bellos tiempos, en los años sesenta y setenta.
El
cambio de gran importancia que Parker introduce en su segundo
libro sobre el delito informático (Parker,
1983•), es precisamente
la constatación de la pérdida de este romanticismo.
Las terribles consecuencias de las actividades de los hackers
llevan a Parker a abandonar una cierta épica romántica,
perceptible en su primer libro (Parker,
1976), para dar una descripción
menos sensacionalista de los delitos informáticos y
sus perpetradores, y abandonar definitivamente el tono de
curiosidad intelectual propiciado por una tecnología
como la informática, mucho más nueva y sorprendente
en los años sesenta y setenta que ahora. El romanticismo
desaparece del todo y los hackers pasan a ser considerados
como "gente fuera de la ley que provoca perjuicios a otros".
Como
no podía ser menos, diccionarios como el de Raymond,
escritos desde la óptica del "buen hacker" de los años
sesenta y setenta, no pueden evadir esta nueva acepción
del hacker, diciendo que es "un entrometedor malicioso que
intenta descubrir información sensible, escudriñando
en los sistemas".
Es
mucha la literatura que se puede encontrar sobre las actividades
de los hackers, pero cabe mencionar específicamente
el trabajo de Clifford
Stoll (1985) sobre la utilización
de hackers alemanes por parte de la KGB soviética,
para intentar obtener secretos militares norteamericanos.
Este espionaje se consiguió explotando la existencia
de una "puerta falsa" en el sistema operativo del Lawrence
Berkeley Laboratories, del cual Stoll era el encargado provisional
de supervisar. El resultado fue que las investigaciones de
Stoll, narradas casi como una novela policíaca y de
una manera muy amena, se encontraron con la desidia y el poco
interés de los responsables de las instituciones encargadas
de administrar la seguridad de los sistemas informáticos
en Estados Unidos. Algunos libros (Clough
and Mungo, 1992•*),
y Hafner and Morkoff,
1991) se ocupan de este caso,
proporcionando datos, tales como los resultados de los juicios
que se llevaron a cabo y que no se contemplan en el relato
de Stoll.
Otro
caso famoso es el de Robert T. Morris y su programa, que se
difundió y duplicó varias veces, bloqueando
Internet en Estados Unidos el 2 de noviembre de 1988. El hecho
curioso en este caso, y tal vez intrigante, es la relación
familiar del autor de la fechoría con Bob Morris, su
padre, entonces director de la NCSC (National Computer Security
Center) norteamericana, encargada, precisamente, de la seguridad
de los sistemas informáticos de ese país. Se
llegó a comentar que el ataque de Morris hijo a la
seguridad de Internet, podría estar relacionado con
las repetidas peticiones de Morris padre de reforzar la seguridad
de la red. Obviamente y como era de esperarse, ambos niegan
dicha relación. Este caso está ampliamente descrito
en Hafner and Morkoff,
1991•) y en
(Clough and Mungo, 1992••,
En
Europa se dio el caso del programa de Christmas, desarrollado,
según parece, por un estudiante de Hannover, que se
presentaba como una felicitación navideña informatizada.
El problema fue que mientras se mostraba el programa Christmas
en la pantalla del usuario, aquel buscaba su lista de correspondencia
electrónica y enviaba copias a todas las direcciones
registradas en ella. Este es un claro ejemplo del "caballo
de Troya", en la denominación de Parker. Lo que posiblemente
fue en un inicio una broma, después de todo no maliciosa,
se convirtió en un problema grave cuando, después
de superar la red informática de la Universidad Clausthal-Zellerfeld
de Hannover, llegó a la red del servicio de investigación
europeo EARNET (European Academic Research Network), para
saturar finalmente la red VNET interna de IBM de Europa, el
15 de diciembre de 1987. Algo que comenzó posiblemente
como un juego, acabó como un perjuicio grave en una
compañía privada, que desde entonces se ha visto
obligada a implementar sistemas de seguridad que detecten
la presencia de programas indeseables para borrarlos automáticamente.
Este es un ejemplo típico de cómo la inconsciencia
de un hacker puede producir un gran perjuicio.
Hay
muchos más casos de actividades de los hackers. Se
describen en los libros (Clough
and Mungo, 1992•••),y
Hafner and Morkoff, 1991••).
Lo más preocupante es el crecimiento de los casos claramente
orientados a la actividad delictuosa. Por poner un ejemplo,
recogido en (Clough and
Mungo, 1992••••),,
se puede mencionar el caso de "Kyrie", Leslie Lynne Doucette,
una canadiense que en 1989 administraba una red de unos 150
hackers, especializados en obtener información sensible
para ser utilizada en la realización de robos. Les
encontraron 118 tarjetas de crédito Visa, 150 de MasterCard,
2 de American Express y 171 tarjetas de servicio telefónico
de las compañías ATT e ITT, así como
39 códigos de autorización de centrales telefónicas
y datos PBX. Todo un botín producto de una actuación
claramente delictuosa de los hackers.
Otra
actividad de los hackers es la creación y difusión
de virus, ya bastante conocida y divulgada en libros, como
por ejemplo Lendell (1989)
y (Clough and Mungo, 1992•••••),.
El virus es una rutina o programa añadido a un programa
normal, que al ser ejecutado activa un virus que produce,
por ejemplo, alguna acción destructiva en el sistema
sobre el que se está trabajando. Lo más importante
y peligroso de un virus, de ahí la similitud biológica
y médica de su nombre, es su capacidad reproductiva
para infectar otras unidades de disco, difundiéndose
rápidamente al amparo, por caso, de la creciente piratería
del software existente en el mundo de la microinformática.
Los
especialistas reconocen diversas variedades de virus, como
los "gusanos" (worms), que no dependen de otros programas
y son en sí mismos programas aislados y autosuficientes,
como sucedió, por ejemplo, en el caso del programa
que Robert T. Morris esparció por Internet a finales
de 1988. Utilizando el término empleado por Parker,
también se puede hablar de los "caballos de Troya",
como el caso del programa del estudiante de Hannover, que
colapsó la red interna de IBM en Europa, o bombas lógicas
como la renombrada "Viernes 13", que se activa precisamente
en esa fecha. A ésta los periodistas la han hecho famosa.
Han
surgido empresas y programas especializados en la detección
y la lucha contra los virus tan frecuentes en la microinformática.
El texto de Clough y Mungo
(1992••••••)
expone con detalle el tema de los virus, y pone una particular
atención a lo que llama "la fábrica búlgara"
de virus y la actividad del hacker, conocida como Dark Avenger
(el vengador tenebroso).
A
pesar de que se comenzó con un aura de romanticismo,
de superación del reto que ofrecía una nueva
y prometedora tecnología, la realidad es que los hackers
de hoy pueden ser, de hecho dan indicios de que lo son, un
grave problema público. Los hackers que no son conscientes
de la gravedad y el peligro de sus actos, consideran sus acciones
como un juego, mientras que los claramente conscientes de
sus conocimientos informáticos para robar información
sensible o difundir programas indeseables, forman el ejército
de delincuentes informáticos potenciales que pueden
utilizar de mala manera las grandes posibilidades de una tecnología
como la informática.
El
incremento de las medidas de seguridad en los sistemas informáticos,
ha llegado a convertirse en una nueva responsabilidad para
los profesionales conscientes, por desgracia no siempre muy
abundantes en una profesión a menudo condicionada por
la celeridad y los requerimientos económicos en la
instalación apresurada de nuevos sistemas.
Investigación
y Prueba del Fraude Informático
Desgraciadamente
el fraude y la delincuencia informática, además
de presentar una gran variedad, resultan francamente difíciles
de detectar y, aun más, de probar.
Hay
características concretas de la tecnología que
explican este aspecto típico de la delincuencia informática.
Castillo y Ramallo (1989•)
indican una serie de factores, no todos de igual importancia,
como los que se indican a continuación:
-
La concentración de la información, típica
de la informática, que facilita en cierta forma, por
su localización centralizada, el hurto de datos, a
pesar de que se piense que con los modernos sistemas distribuidos
esta característica resultará cada vez menos
importante.
-La
falta de registros visibles que hacen más difícil
y complicada la investigación de los hechos.
-
La posibilidad de alterar los programas y los datos, sin
dejar prácticamente el más mínimo rastro
o pista que permita descubrir la alteración efectuada.
-
La facilidad para eliminar las pruebas, simplemente haciendo
desaparecer programas y datos con una sencilla operación
del teclado.
-La
dispersión territorial de los puntos de entrada a los
sistemas informáticos y, por tanto, el aumento de los
puntos de origen de los ataques de los hackers.
-La
falta de controles internos y mecanismos de seguridad de la
gran mayoría de los sistemas informáticos, y
su falta de protección frente a los ataques de los
hackers.
-
La falta, aún más grave, de seguridad para
con los propios operadores y el personal técnico responsable
de los sistemas, que pueden ser, también, perpetradores
de fraudes y delitos informáticos.
Estas
son algunas de las características propias de la tecnología
informática, que permiten explicar la dificultad para
detectar un fraude o un delito informático. Muchas
posibles soluciones a estos problemas, están condenadas
a ser rápidamente superadas por el dinamismo de la
informática, así como por la evolución
y el aumento de las capacidades de intrusión de los
hackers.
Para
detectar el fraude o el delito informático y, sobre
todo, para obtener en forma indiscutible las pruebas, es útil
tener conocimientos técnicos que, como en el caso de
la auditoría informática, resultan difíciles,
si no es que imposibles de obtener, a causa de la variedad
y multiplicidad de los sistemas informáticos existentes.
Para
un especialista en auditoría informática como
Del Paso (1990•),
obligado a creer en la efectividad final del proceso de auditoría
en sistemas informáticos, la solución parece
consistir en dejarla en manos de los profesionales de esta
vertiente moderna de la auditoría y el control de sistemas.
Seguramente
no es ésta la única ni la mejor de las soluciones
posibles para impedir, detectar y probar el delito informático.
Los problemas que el mismo Del Paso considera como un presente
inevitable, resultan difícilmente superables. Algunos
de estos problemas, son:
-Desaparición
de los elementos de prueba, por el propio dinamismo del sistema
informático o como producto de una manipulación
interesada.
-
Aparente desvinculación temporal del delincuente informático
con el delito o el fraude, preparado con mucha antelación,
ya que el hecho delictuoso puede presentarse mucho tiempo
después de haber sido preparadas, por ejemplo, las
bombas lógicas activadas temporalmente.
-Falta
de conocimientos específicos entre los auditores informáticos
o entre los miembros del cuerpo de seguridad, sobre la forma
de proceder en la detención del delincuente y la obtención
de pruebas.
-Falta
de una legislación específica para el reconocimiento
y la sanción del fraude y la delincuencia informáticos.
-
Dificultad para aceptar las pruebas en el ordenamiento
jurídico actual, debido, por ejemplo, a su incorporeidad.
-
Posibilidad de que el delincuente forme parte del personal
de la empresa u organización investigadora, lo que
le permita disponer de información sobre el desarrollo
de la investigación para interferir en la misma.
Como
se puede observar, hay todo un conjunto de dificultades añadidas
a un problema de por sí difícil, complejo y
con gran variabilidad y dinamismo.
Ética
y Deontología Profesional
Tal
vez parece una huida lateral o una renuncia a resolver el
problema, pero la realidad es que una gran mayoría
de los especialistas informáticos que han estudiado
con detalle el tema del fraude y la delincuencia informática,
acaban coincidiendo en la imposibilidad de que el derecho
compile y regule todos los aspectos del delito informático.
Las posibilidades tecnológicas son muchas y cambiantes;
las modalidades de fraude aumentan día a día;
el número y la capacidad de los hackers aumentan también
con la creciente difusión de la microinformática
y los sistemas distribuidos, y las características
de la tecnología informática hacen especialmente
difícil la detección y la prueba de los delitos.
Este
es un panorama nada entusiasta, que ha llevado cada vez más
a poner el acento en la responsabilidad social de los profesionales
de la informática que construyen los sistemas. El llamamiento
a la responsabilidad se centra en la necesidad de: no dejar
"puertas falsas"; proteger la información sensible;
detectar "caballos de Troya" y "bombas lógicas" que
busquen introducirse en los sistemas; poner mucha atención
en lo que se desecha en la papelera; proteger las líneas
de comunicación con los sistemas de "encriptación",
etcétera. En definitiva se trata de aumentar significativamente
la seguridad en los sistemas informáticos, para que
resistan ante los inevitables intentos de intrusión
de toda clase de hackers.
Comienza
así un nuevo tema: la necesidad de incidir en la ética
y la deontología profesional de los informáticos
que, otra vez, ha recibido un importante empuje con los trabajos
del pionero Parker, desde 1981, que ha seguido desarrollando
posteriormente él mismo con sus colaboradores Swope
y Baker (1990),
y otros autores como Johnson
(1985), Forrester
y Morrison(1990),
así como Ermann,
William y Gutiérrez (1990),
y muchos más.
El
problema, nada banal, es convencer a la comunidad profesional
informática sobre la necesidad de un comportamiento
ético, serio y responsable, en su actividad profesional
cotidiana. Ya Parker (1983)
resaltó su convencimiento de que de todas las posibles
medidas preventivas ante el fraude y la delincuencia informática,
la más eficiente sería que los profesionales
informáticos acepten unos estándares éticos
que les permitan responder ante el reto que el fraude y la
delincuencia informática representan por toda la tecnología
informática. La informática sin controles puede
llegar a ser una tecnología perjudicial para la sociedad
que la utiliza.
En
este sentido, es bueno destacar la buena respuesta institucional
de las principales asociaciones mundiales de profesionales
de la informática: la IFIP (International Federation
for Information Processing) y la ACM (Association of Computing
Machinery), que están en proceso de elaborar y perfeccionar
códigos éticos, que pueden ser una guía
en la actividad profesional de los desarrolladores de sistemas
informáticos.
|
