Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Begoa Albizuri
albizuri@itam.mx
Instituto Tecnolgico Autnomo de Mxico
Palabras Clave: fraude informtico, hackers, delincuencia informtica, tica, deontologa, jurisprudencia.
Resumen
Key Words: hackers, computer fraud, computer crime, ethics code, jurisprudence.
Abstract
The article analizes problems related to computer fraud and delinquency. In adition it
contributes a characterization of computer fraud and the hackers who perpetuate it.
The article argues and justifies the difficulty in the detection and proof of computer-
related crime. It concludes with the proposal of the need to develop an ethics code and
professional deontology for computer related issues, as the best way to avoid
computer fraud and crime, and thus collaborating in increasing the levels of security of
computer systems.
Artculo
Introduccin
Las tecnologas muy dinmicas como la informtica, rpidamente son objeto de la
posibilidad de su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de
regular jurdicamente las consecuencias y las responsabilidades.
Para tipificar las nuevas posibilidades de delinquir a raz de la aparicin de una nueva
tecnologa ubicua y multiforme como la informtica, se requieren esfuerzos conjuntos
de parte de la justicia y la propia informtica. Esto conduce a la formulacin de
discursos en los que cada parte utiliza un lenguaje especializado y claramente
diferenciado entre s.
Los juristas disponen de un vocabulario tcnico propio que para los informticos resulta
extrao. Al mismo tiempo los informticos son conocidos por el carcter tal vez
exageradamente crptico de su vocabulario tcnico que, evidentemente, tambin resulta
http://www.revista.unam.mx/vol.3/num2/art3/# 1/14
20/10/2014 RDU
desusado para los juristas. La dificultad para aproximar conceptos formulados con
vocabularios distanciados, es uno de los problemas implcitos en el tratamiento de
temas como el delito y el fraude informtico.
En el presente trabajo se tratan los temas del delito y el fraude informticos desde el
punto de vista de un informtico, intentando reducir la especificidad del propio lenguaje
tcnico para favorecer la comprensin de los lectores con formacin jurdica.
El texto de la IFIP hace nfasis en tres ejemplos, que considera tpicos sobre la
vulnerabilidad creciente de una organizacin social basada en forma casi absoluta en
las tecnologas de la informacin, la que denomina "sociedad de la informacin". Los
casos mencionados hacen referencia, por ejemplo, al colapso de la bolsa de Wall Street
el 19 de octubre de 1987. Algunos consideraron que se debi a la gil respuesta de los
inversores ante los cambios de cotizaciones, gracias a programas informticos que
incorporaban modelos esmerados del comportamiento del mercado de valores,
ayudados por la efectividad de los instrumentos de comunicacin informatizados que ya
dominaban la bolsa. Tambin es un caso evidente de vulnerabilidad los problemas
potenciales en los hospitales, cada vez ms informatizados. Los errores o el mal uso de
los sistemas informticos mdicos o administrativos, pueden traer consecuencias
graves como el peligro de muerte. Berleur [BER 92] menciona tambin el problema,
cada vez mayor, del intercambio electrnico de datos y "objetos" intangibles, y la
consideracin del "documento electrnico".
Delito y Fraude
Cuando se habla de fraude y delincuencia informtica, generalmente se hace referencia
a una manera muy genrica, ya que es muy difcil concretar el "delito informtico"
como tal. A menudo se entiende el delito informtico como aquella accin dolosa que
provoca un perjuicio a personas o entidades, en la que intervienen dispositivos o
programas informticos (Castillo y Ramallo, 1989). Considerar una actividad como
delictuosa supone necesariamente que el posible delito ha sido establecido como tal en
las leyes de un pas determinado (Vzquez y Barroso, 1993).
Algunos autores (Vzquez y Barroso, 1993). limitan el fraude informtico a los actos
fruto de la intencionalidad, realizados con la voluntad de obtener un beneficio propio y,
si es posible, provocar un perjuicio a alguien. As, se puede hablar tambin de un tipo
de fraude informtico no intencionado, producto de un error humano al utilizar un
sistema informtico o por un defecto del hardware o el software. Este tipo de fraude es
conocido como "error informtico". En el caso del error informtico puede no haber un
beneficio directo para quien causa el funcionamiento errneo del sistema informtico,
pero s un perjuicio a los otros usuarios o a los propietarios del sistema.
-Exactitud. Se requiere de una alta calidad en la informacin, para que los procesos de
toma de decisiones que se realizan con ella sean efectivos.
http://www.revista.unam.mx/vol.3/num2/art3/# 3/14
20/10/2014 RDU
-Acceso. Los permisos para el acceso a la informacin deben ser adecuados, pero
estrictamente controlados.
Para autores como Morris (1992), estas exigencias jurdicas, convertidas para l en
derechos, son el marco de referencia para la ineludible generacin de un componente
tico en la conducta profesional de los especialistas en sistemas de informacin. De
hecho, los especialistas son los que disponen de ms poder para "maltratar" los
sistemas de informacin y atentar contra estos nuevos derechos bsicos de la era de la
informacin.
En este sentido, algunos autores como Del Paso (1990) reconocen que la actividad
informtica es muy vulnerable, por lo que defienden explcitamente el papel y la
funcin de los profesionales de la auditoria informtica. Sintetizan en cinco grupos, ms
o menos diferenciados, a la delincuencia informtica:
-El hacking o "terrorismo lgico", que incluye los casos de vandalismo, terrorismo,
destruccin, etctera, que provocan perjuicios. Son motivados por venganzas,
chantajes, sabotajes o un mal uso de la curiosidad intelectual, la cual caracteriz a los
primeros hackers o manipuladores no autorizados de sistemas informticos.
Resulta fcil relacionar las cinco figuras delictuosas de Del Paso con los cuatro
derechos de Morris, pero lo que realmente interesa es constatar que algunas de estas
acciones ilcitas pueden estar ya recogidas en el derecho legislativo, aunque hayan sido
incluidas con independencia de la tipicidad exclusiva del hecho informtico. Se trata, en
este caso, de una regulacin por analoga que parece insuficiente para cubrir todas las
particularidades informticas.
http://www.revista.unam.mx/vol.3/num2/art3/# 4/14
20/10/2014 RDU
De esta tipologa tan difusa del modus operandi del fraude informtico, se puede
http://www.revista.unam.mx/vol.3/num2/art3/# 5/14
20/10/2014 RDU
-Bombas lgicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando
rutinas ocultas (la bomba lgica). En cada ejecucin de un programa, por ejemplo, al
llegar a un cierto valor, se ejecuta una operacin destructiva. Es un procedimiento que,
regulado por una computadora o por un dato clave, se convierte en el ms habitual de
los virus informticos.
-Mirar sobre el hombro (shoulder surfing). Como su nombre lo indica, se trata de mirar
sobre el hombro de un operador autorizado, para seguir el movimiento de sus dedos
sobre el teclado cuando escribe su clave, con el fin de robrsela.
Por eso la referencia a la docena de mtodos mencionados por Parker ser siempre
una tipologa limitada, como, de hecho, lo ser cualquier otra tipologa, debido al
dinamismo de la informtica y los hackers.
Dado que los sistemas telefnicos utilizan computadoras, los phreakers se convirtieron
en manipuladores no autorizados de los sistemas informticos, pero en los aos
sesenta y setenta aparece otro tipo de manipuladores no autorizados: los hackers.
El cambio de gran importancia que Parker introduce en su segundo libro sobre el delito
informtico (Parker, 1983), es precisamente la constatacin de la prdida de este
romanticismo. Las terribles consecuencias de las actividades de los hackers llevan a
Parker a abandonar una cierta pica romntica, perceptible en su primer libro (Parker,
1976), para dar una descripcin menos sensacionalista de los delitos informticos y sus
perpetradores, y abandonar definitivamente el tono de curiosidad intelectual propiciado
por una tecnologa como la informtica, mucho ms nueva y sorprendente en los aos
sesenta y setenta que ahora. El romanticismo desaparece del todo y los hackers pasan
a ser considerados como "gente fuera de la ley que provoca perjuicios a otros".
Como no poda ser menos, diccionarios como el de Raymond, escritos desde la ptica
del "buen hacker" de los aos sesenta y setenta, no pueden evadir esta nueva acepcin
del hacker, diciendo que es "un entrometedor malicioso que intenta descubrir
informacin sensible, escudriando en los sistemas".
Es mucha la literatura que se puede encontrar sobre las actividades de los hackers,
pero cabe mencionar especficamente el trabajo de Clifford Stoll (1985) sobre la
utilizacin de hackers alemanes por parte de la KGB sovitica, para intentar obtener
secretos militares norteamericanos. Este espionaje se consigui explotando la
existencia de una "puerta falsa" en el sistema operativo del Lawrence Berkeley
Laboratories, del cual Stoll era el encargado provisional de supervisar. El resultado fue
que las investigaciones de Stoll, narradas casi como una novela policaca y de una
manera muy amena, se encontraron con la desidia y el poco inters de los
responsables de las instituciones encargadas de administrar la seguridad de los
sistemas informticos en Estados Unidos. Algunos libros (Clough and Mungo, 1992*), y
http://www.revista.unam.mx/vol.3/num2/art3/# 8/14
20/10/2014 RDU
Hafner and Morkoff, 1991) se ocupan de este caso, proporcionando datos, tales como
los resultados de los juicios que se llevaron a cabo y que no se contemplan en el relato
de Stoll.
En Europa se dio el caso del programa de Christmas, desarrollado, segn parece, por
un estudiante de Hannover, que se presentaba como una felicitacin navidea
informatizada. El problema fue que mientras se mostraba el programa Christmas en la
pantalla del usuario, aquel buscaba su lista de correspondencia electrnica y enviaba
copias a todas las direcciones registradas en ella. Este es un claro ejemplo del "caballo
de Troya", en la denominacin de Parker. Lo que posiblemente fue en un inicio una
broma, despus de todo no maliciosa, se convirti en un problema grave cuando,
despus de superar la red informtica de la Universidad Clausthal-Zellerfeld de
Hannover, lleg a la red del servicio de investigacin europeo EARNET (European
Academic Research Network), para saturar finalmente la red VNET interna de IBM de
Europa, el 15 de diciembre de 1987. Algo que comenz posiblemente como un juego,
acab como un perjuicio grave en una compaa privada, que desde entonces se ha
visto obligada a implementar sistemas de seguridad que detecten la presencia de
programas indeseables para borrarlos automticamente. Este es un ejemplo tpico de
cmo la inconsciencia de un hacker puede producir un gran perjuicio.
Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms),
que no dependen de otros programas y son en s mismos programas aislados y
autosuficientes, como sucedi, por ejemplo, en el caso del programa que Robert T.
Morris esparci por Internet a finales de 1988. Utilizando el trmino empleado por
Parker, tambin se puede hablar de los "caballos de Troya", como el caso del programa
http://www.revista.unam.mx/vol.3/num2/art3/# 9/14
20/10/2014 RDU
del estudiante de Hannover, que colaps la red interna de IBM en Europa, o bombas
lgicas como la renombrada "Viernes 13", que se activa precisamente en esa fecha. A
sta los periodistas la han hecho famosa.
A pesar de que se comenz con un aura de romanticismo, de superacin del reto que
ofreca una nueva y prometedora tecnologa, la realidad es que los hackers de hoy
pueden ser, de hecho dan indicios de que lo son, un grave problema pblico. Los
hackers que no son conscientes de la gravedad y el peligro de sus actos, consideran
sus acciones como un juego, mientras que los claramente conscientes de sus
conocimientos informticos para robar informacin sensible o difundir programas
indeseables, forman el ejrcito de delincuentes informticos potenciales que pueden
utilizar de mala manera las grandes posibilidades de una tecnologa como la
informtica.
-La falta de registros visibles que hacen ms difcil y complicada la investigacin de los
hechos.
-La dispersin territorial de los puntos de entrada a los sistemas informticos y, por
tanto, el aumento de los puntos de origen de los ataques de los hackers.
Para detectar el fraude o el delito informtico y, sobre todo, para obtener en forma
indiscutible las pruebas, es til tener conocimientos tcnicos que, como en el caso de la
auditora informtica, resultan difciles, si no es que imposibles de obtener, a causa de
la variedad y multiplicidad de los sistemas informticos existentes.
Para un especialista en auditora informtica como Del Paso (1990), obligado a creer
en la efectividad final del proceso de auditora en sistemas informticos, la solucin
parece consistir en dejarla en manos de los profesionales de esta vertiente moderna de
la auditora y el control de sistemas.
- Dificultad para aceptar las pruebas en el ordenamiento jurdico actual, debido, por
ejemplo, a su incorporeidad.
Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad
es que una gran mayora de los especialistas informticos que han estudiado con
detalle el tema del fraude y la delincuencia informtica, acaban coincidiendo en la
imposibilidad de que el derecho compile y regule todos los aspectos del delito
informtico. Las posibilidades tecnolgicas son muchas y cambiantes; las modalidades
de fraude aumentan da a da; el nmero y la capacidad de los hackers aumentan
tambin con la creciente difusin de la microinformtica y los sistemas distribuidos, y
las caractersticas de la tecnologa informtica hacen especialmente difcil la deteccin
y la prueba de los delitos.
http://www.revista.unam.mx/vol.3/num2/art3/# 11/14
20/10/2014 RDU
Este es un panorama nada entusiasta, que ha llevado cada vez ms a poner el acento
en la responsabilidad social de los profesionales de la informtica que construyen los
sistemas. El llamamiento a la responsabilidad se centra en la necesidad de: no dejar
"puertas falsas"; proteger la informacin sensible; detectar "caballos de Troya" y
"bombas lgicas" que busquen introducirse en los sistemas; poner mucha atencin en lo
que se desecha en la papelera; proteger las lneas de comunicacin con los sistemas de
"encriptacin", etctera. En definitiva se trata de aumentar significativamente la
seguridad en los sistemas informticos, para que resistan ante los inevitables intentos
de intrusin de toda clase de hackers.
Bibliografa
Castillo, Mara Cinta y Ramallo, Miguel (1989) El Delito Informtico, en Congreso sobre
"Derecho Informtico", Universidad de Zaragoza, Junio.
[MAS 86] Mason Roger O. (1986) Four Ethical Issues of the Information Age. MIS
Quarterly, 10.
Morris A. B. (1992) Ethics and Information Systems Practice, IFIP Transactions (A-13).
En: R. Aiken (ed.) Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 363-369.
Del Paso, Emilio (1990) La auditoria como medio de prevencin frente al delito
informtico. Revista ALI (Asociacin de Licenciados en Informtica), Madrid (14).
Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.
http://www.revista.unam.mx/vol.3/num2/art3/# 12/14
20/10/2014 RDU
Wasik, Martin (1992) Legal Control of IT Misuse: Limited Relevance of the Criminal Law,
IFIP Transactions (A - 13). Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 385-392.
[PAR 76] Parker, Donn B. (1976) Crime by Computer. New York: Charles Scribner's
Sons.
Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al espaol
como: El Huevo del Cuco. Barcelona: Planeta, 1990.
Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.
Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.
Parker, Donn B. (1983) Fighting Computer Crime. New York: Charles Scribner's Sons.
Clough, Bryan and Mungo, Paul (1992) Approaching Zero. London: Faber &
Faber*.
Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.
Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al espaol
como: El Huevo del Cuco. Barcelona: Planeta, 1990.
. Hafner, Katie and Markoff, John (1991) Cyberpunk: Outlaws and Hackers on the
Computer Frontier. New York: A Touchstone Book, Simon & Schuster
Lundell, Allan (1989) Virus: the secret world of computer invaders that breed and
destroy. Chicago: Contemporary Books, Inc.
Parker, Donn B., Swope, Susan and Baker, Bruce N. (1990) Ethical Conflicts: in
Information and Computer science, technology and business, Q. E. D. Wellesley (MA):
Information Sciences.
http://www.revista.unam.mx/vol.3/num2/art3/# 13/14
20/10/2014 RDU
Johnson, Deborah G. (1985) Computer Ethics. Englewood Cliffs (NJ): Prentice Hall.
Forrester, Tom (1985) The Information Technology Revolution. Oxford: Basil Blackwell
Ltd.
Ermann M., David, William, Mary B. and Gutierrez, Claudio (1990) Computers, ethics, &
society. New York: Oxford University Press.
Parker, Donn B. (1983) Fighting Computer Crime. New York: Charles Scribner's Sons.
Forrester, Tom and Morrison, Perry (1990) Computer Ethics: Cautionary Tales and
Ethical Dilemmas in Computing. Cambridge: MITPress (MA).
http://www.revista.unam.mx/vol.3/num2/art3/# 14/14