Intro. delitos informaticos y cibercrimen PDF

Preview

Summary

introducción a los delitos informáticos y el cibercrimen como servicio...

Description

Cibercrimen - ciberseguridad Introducción a los delitos informáticos y al cibercrimen

1.1 Introducción a los Delitos Informáticos y al cibercrimen A lo largo de este módulo usted ahondará en conceptos como ciberdelito y el cibercrimen. En especial, conocerá las diferencias y sus alcances de cada término, como así también las tipologías existentes. Esto le permitirá adentrarse en reconocer diferentes clases de delincuentes informáticos en base a las motivaciones que lo llevan a delinquir en el ciberespacio. Por otra parte, podrá encontrar diferencias del concepto con relación a otros, como el caso del ciberactivismo, ciberterrorismo, etc. Ya en la segunda unidad, conocerá al cibercrimen como servicio: la conformación de organizaciones criminales regionales e internacionales, las formas en que se financian y la ruta del dinero. Por último, podrá identificar otras formas de cometer delitos y brindar servicios a través de Internet por parte de los ciberdelincuentes.

1.1.1 Introducción conceptual a la problemática de los delitos informáticos, diferencias, alcances Aquí comienza la primera unidad, en donde nos enfocaremos en las particularidades del fenómeno del cibercrimen, partes que se encuentran involucradas, los diferentes tipos de hechos relacionados a la temática y su diferencia con otras acepciones.

Ciberdelitos y cibercrimen: particularidades, diferencias y alcances La mayoría de las publicaciones relacionadas al concepto de cibercrimen comienzan con la definición de los términos ciberdelitos o cibercrimen. La pregunta es si ambas acepciones hablan en el mismo sentido. Algunos autores identifican al cibercrimen como aquellos hechos delictivos que no solo utilizan las TIC, sino que mantienen correlación con el fin mismo del delito consumado. Ejemplo de ello podría ser el caso de que un paciente que utiliza un marcapaso conectado a Internet sufre un ataque en forma remota por un

1

ciberdelincuente y fallece. En dicha situación, se puede ver no solo la utilización de las TIC para cometer el delito (ataque direccionado remotamente hacia el marcapaso conectado a Internet), sino también el fin último: sin el correspondiente ataque, no hubiese sido posible matar al paciente a través de medios electrónicos. Si analizamos el concepto, la palabra deviene del sistema anglosajón denominada cybercrime o también llamados computer crime, es decir cyber por ciberespacio y crime de crimen. Con lo cual se entiende como todos aquellos delitos cometidos en el ciberespacio, es decir que cubre cualquier comportamiento ilegal dirigido por medio de operaciones electrónicas y que tiene como objetivo, vulnerar la seguridad de los sistemas informáticos y los datos tratados por ellos. Cabe resaltar que no todos los delitos cometidos en el ciberespacio se encuentran tipificados en la categoría legalmente establecida en los ordenamientos locales. En efecto, no existe un ordenamiento que contemple que matar a una persona a través del uso de las TIC se encuentre en el apartado de cibercrimen. Claramente que lo anterior requiere de un análisis más profundo, a fin de determinar si es necesario o no establecer un apartado sobre estos delitos o requiere de adicionar como otro medio comisivo o agravante en cada uno de los tipos ya establecidos y que se consideran delitos tradicionales. Desde el ámbito internacional, la Organización, Cooperación y Desarrollo Económico (OCDE) fijó en el año 1993 un lineamiento con relación al concepto de ciberdelitos, que lo considera: "cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de datos." 1 Por otra parte, encontramos autores como Davara Rodríguez que definen el ciberdelito como: la realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software. (Davara Rodríguez, 1993, p. 358-359)..

1 (RODRIGUEZ, 1993) DAVARA RODRÍGUEZ, MIGUEL ANGEL,Derecho informático,Aranzadi, 1993.

2

En efecto, se considera un cibercrimen toda acción típica, antijurídica y culpable (delito) que sea cometida a través de la utilización de un elemento informático, es decir, la utilización de este medio para cometer el delito. Por ejemplo: en el caso de que una persona utilice un puerto USB (el cual se encuentre infectado con un malware) y lo conecte al servidor de la empresa con el fin de destruir toda la información almacenada allí. Como podemos ver, la conducta de generar un daño, se realizó a través de un dispositivo o medio para cometer un delito; en este caso, el puerto USB fue la herramienta digital que permitió producir el daño en el servidor de la empresa y destruir todo los datos e información sensible de la misma. A modo de conclusión del ejemplo anterior, podemos inferir que el delito cibernético tiene el potencial de afectar las actividades rutinarias de todos con el mero uso de dispositivos electrónicos. Como puede observar, no existe una sola definición y diferencia entre ciberdelito y cibercrimen. En efecto, algunos autores toman los conceptos de manera indistinta: Se entiende por “ciberdelito” o “cibercrimen” cualquier infracción punible, ya sea delito o falta, en el que se involucra un equipo informático o Internet y en el que el ordenador, teléfono, televisión, reproductor de audio o vídeo o dispositivo electrónico, en general, puede ser usado para la comisión del delito o puede ser objeto del mismo delito. (Rayón Ballesteros, y Gómez Hernández, 2014, https://dialnet.unirioja.es/servlet/articulo?codigo=46396 46 . En base a lo anterior, los autores tuvieron en cuenta no solo a una infracción punible (un delito), sino también una falta. Es decir que se contemplan aquellos casos en donde se ve una infracción que no llega a ser un delito pero que afecta a un derecho de una persona y cuyo medio han sido las TIC. Ejemplo de esto se puede ver en el caso del hostigamiento a través de medios electrónicos, donde personas se crean cuentas de perfil en redes sociales con el fin de acosar o molestar y realizan comentarios que producen un daño no solo a la imagen, sino que generan una violencia psicológica que es claramente reprochable. Desde otro lugar, se encuentran autores que consideran al cibercrimen desde una concepción amplia que contempla a toda

3

acción típica, punible (es decir, contraria a la ley) y que sea cometida en el ámbito de la red de redes (Internet). Como se puede percibir, existen un sin número de criterios relativos a este fenómeno. Ahora bien, si tomamos lo que nos dice la Real Academia Española con relación a delito, lo considera como “Culpa, quebrantamiento de la ley” o “Acción u omisión voluntaria o imprudente penada por la ley” (Real Academia Española, 2014, http://dle.rae.es/?id=C82f9Fb). Desde otro lado, se define al “crimen” como: “Delito grave” o “Acción voluntaria de matar o herir gravemente a alguien” (Real Academia Española, 2014, http://dle.rae.es/?id=BGTge4F). Si nos ponemos analizar un poco, podríamos decir que delito, en base a los conceptos anteriores, se tomaría en un sentido general, y crimen de una forma más acotada. Desde esta perspectiva deberíamos decir que los ciberdelitos son aquellas acciones punibles concebidas desde una concepción general, mientras que el cibercrimen implica delitos que tienen un mayor peligro. Pero si nos remontamos a lo mencionado por otros autores, refieren que el cibercrimen son todas aquellas acciones punibles que se cometen en el ciberespacio. En base a lo anterior, es importante referir que el delito cibernético forma parte del cibercrimen, pero en ciertos casos los delitos informáticos no son parte del cibercrimen. Un ejemplo de ello se lo puede ver en el caso de las cámaras de fotografía, las cuales poseen una tarjeta de memoria (Scard) con almacenamiento pero no necesariamente se encuentra conectado al ciberespacio a través de Internet. A modo de resumen, es importante resaltar que en muchos ordenamientos regionales no se encuentran tipificados ciertos tipos penales que, si bien se encuentran dentro del cibercrimen, no están regulados en su derecho de fondo. En conclusión y si se miran las distintas variables, se puede inclinar el concepto por lo mencionado por Rayón Ballesteros y Gómez Hernández (2014).

1.1.2 Evolución histórica Si nos remontamos a comienzos de los años ‘70, es el momento en que habría comenzado a perpetrarse este fenómeno. En ese entonces, John Draper, un cracker de teléfonos, descubre que una forma de manipularlos y hacer llamadas de manera gratuita gracias a que el tono del silbido dado como premio en cajas de cereales de una marca americana permitía realizar la maniobra.

4

Otro caso resonante fue en 1973, donde un empleado de un banco de Nueva York, utilizó su computador para desviar más de 3 millones de dólares. En los años ‘80 surgen el primer condenado en los Estados Unidos por hackeo a sistemas de telecomunicaciones de la empresa AT&T, su nombre es Ian Murphy y en ese entonces se lo penó con horas al servicio comunitario y menos de 3 años con libertad condicional. Posterior a ello, se encuentran otros casos de ciberatacantes que han sido identificados por la ley. Asimismo, otro dato importante fue en 1989 cuando se lanzó el primer ransomware de manera masiva por la red y utilizó como carnada información del HIV (SIDA). De esta manera, solicitaban un rescate de 500 dólares para que la víctima pueda recuperar su información. Otro de los casos resonantes, fue en 1993 cuando Kevin Poulson resultó procesado por haber hackeado las líneas telefónicas en una estación en Los Ángeles, con el objeto de ganar un concurso que había sido lanzado en dicho medio. Posterior a ello, comienzan a distinguirse por épocas en base a las tendencias de ciberdelitos que ocurrían. Una de ellas fue entre el período de 1996 y 2000, llamada Romántica donde hubo un incremento de propagación de virus informáticos que tendían a generar daños a sistemas de información. En efecto, encontramos uno de los más resonantes que fue el llamado virus “I love you” (ver figura 1):

5

Figura 1: Virus I love you

Fuente: Franzkenedy, 2013, https://www.timetoast.com/timelines/ataques-informaticos-anivel-mundial

Pero eso no quedó ahí, ya que en el año 1999 se lanzó el macro gusano Melissa Word (ver figura 2) que buscaba adueñarse de cuentas de correos electrónicos y enviar correos masivos. Luego de analizado el caso, se pudo determinar que el creador de ese código malicioso era David L. Smith y causó una pérdida mayor a 80 millones de dólares, por lo que fue condenado a 5 años de prisión.

6

Figura 2: Virus Melissa

Fuente: Villamor, 2012, http://kathvillamor.blogspot.com/2012/07/melissa-virus.html

Entre 2001 y 2004 se gesta la época conocida como la Edad Media, momento en el que comienzan a utilizarse los llamados botnet, es decir robots que son utilizados para infectar una red de computadoras y, con ello, darles instrucciones de cualquier tipo para que sean ejecutadas. Particularmente estos robots informáticos se comenzaron a emplear para efectuar ataques bancarios, como es el caso de los phishing. En años siguientes, más precisamente entre 2005 y 2006, se gesta lo que se llamó la época Fraude, en el que se incrementaron los ataques bancarios y se perfeccionaron las técnicas de los mismos. El período entre 2007 y 2009 se lo identifica como la época del Ecrime, donde se observa una gran cantidad de organizaciones criminales destinadas a cometer delitos en el ciberespacio, también conocido como crime as a service, es decir: delito como servicio. Desde 2010 a la actualidad nos encontramos en la ciberguerra. En estos tiempos, se observa un marcado interés político y comercial, la

7

información es el nuevo petróleo y los cibercriminales están dispuestos a conseguirla. Ya hemos sido testigos de numerosos casos como el de Cambrigde Analytica, Banco de Chile, empresas como Equifax, entre otras, en las que ciberdelincuentes se han apropiado de información valiosa y la vendieron por millones de dólares.

Tipologías del cibercrimen Aclarado el concepto de este fenómeno y conocidos los hechos que han marcado su historia, es momento de enfocarnos en las tipologías hoy presentes a nivel regional y mundial. Como primera medida, será importante tomar lo referente a los juristas españoles que hablan de ciberdelito y cibercrimen pero establecen una distinción importante cuando afirman que “puede ser usado para la comisión del delito o puede ser objeto del mismo delito” (Rayón Ballesteros, y Gómez Hernández, 2014, https://goo.gl/zqkffD). En base lo que antecede, se puede tomar la siguiente clasificación: Desde el sentido general, se entienden aquellas infracciones cometidas a través de sistemas informáticos y destinadas a la comisión del crimen. En efecto, el sistema o medio electrónico fue utilizado como instrumento del delito. Un claro ejemplo que podemos ver es el fraude informático que utiliza una técnica de phishing para lograr engañar a la víctima y obtener datos sensibles de la misma, que luego le servirán al ciberdelincuente para vender o utilizarlos. Desde el sentido restrictivo, se habla en los casos en que el medio o sistema electrónico fue blanco u objetivo del ataque. Un claro ejemplo puede ser el ransomware Wanna Cry. Seguramente muchos habrán oído hablar de este malware que infectó miles de computadoras y servidores de usuarios y empresas de todo el mundo y bloqueó información sensible de los afectados. Se solicitó un rescate en moneda virtual bitcoin a fin de que se le devuelva todo o parte de los archivos a las víctimas. En este caso el blanco del ataque fueron aquellas computadoras que no contaban con una actualización en sus sistemas operativos y, aprovechándose de ello, los cibercriminales obtuvieron datos sensibles de millones de usuarios. Si bien lo anterior cumple con una clasificación acorde a uso de las TIC, es importante recordar que puede ocurrir que se cometan delitos tipificados como comunes pero que, a la vez, hayan utilizado las tecnologías de información. Podemos traer a colación el ejemplo mencionado anteriormente del homicidio a través del marcapasos: el

8

ciberdelincuente, conociendo que la víctima utiliza un marcapaso y que este se encuentra conectado a Internet, aprovechó dicha situación para atacar al dispositivo, tomar control de este y generarle una descarga que le produzca la muerte a la víctima. Otro de los casos, es que se ataquen los servidores de un hospital y se tome control de los dispositivos que están conectados a respiradores artificiales y realice cualquier acción que pueda ocasionarle la muerte a cualquier paciente. Además, podemos tomar como referencia otro listado de tipologías más descriptivas que hace el Departamento de Justicia de los Estados Unidos (Rees, 2006) de los crímenes cometidos por medios electrónicos y en el ciberespacio. Dentro de esta clasificación se toman aquellas leyes sustantivas que prohíben casos de robo de identidad, piratería informática, acceso o intrusión a sistemas informáticos, pornografía infantil en la red, propiedad intelectual, apuestas en línea. Por otra parte, dentro de la misma normativa existen leyes procesales sobre la ciberdelincuencia que indican cómo será el tratamiento de la evidencia digital, es decir, cómo se deberá conservar y obtener datos electrónicos de terceros o de proveedores de servicios de Internet, qué autoridades autorizarán la interceptación de comunicaciones, como así también definen el proceso para la búsqueda y secuestro de pruebas electrónicas. Por último se puede hacer mención a la clasificación que toma Wall (2001) en el cual hace una subdivisión del cibercrimen en 4 categorías: Invasión del ciberespacio: son aquellas conductas que cruzan fronteras y alcanzan a afectar la propiedad de otras personas. Ejemplo de ello lo podemos ver en la venta de información, donde la adquisición de esos datos pueden provenir de titulares de tarjetas de crédito que se encuentren en otra jurisdicción. Engaños en el ciberespacio y hurtos: son aquellas conductas en donde se ve reflejado el apoderamiento sin autorización de datos, dinero u objetos de propiedad de terceros. En estos casos, los ejemplos que se toman están relacionados comúnmente con la piratería informática.

9

Pornografía en el ciberespacio: son aquellas conductas que lesionan derechos vinculados con la descencia y pornografía. Entre los ejemplos que podamos encontrar son el grooming, distribución, comercialización, producción, tenencia de pornografía infantil, sextortion, sexting, entre otros. Violencia en el ciberespacio: referido aquellas conductas que producen un daño psicológico o a la imagen de una persona, grupo u organismo. Entre las figuras que se encuentran, podemos identificar aquellas relativas a discursos de odio, de hostigamiento y generar una condena social sin previo existir un proceso justo y legal.

1.1.3 Los delincuentes informáticos A lo largo de la historia, la delincuencia y los perfiles han mutado de manera significativa. Antes, al investigar un homicidio o robo, podíamos tener un perfil objetivo del sujeto investigado de manera tradicional. Pero la tecnología ha llevado a un colapso en las barreras del espacio, tiempo y conductas, lo que ha permitido que estos sujetos conozcan otras formas o maneras de cometer delitos a través del ciberespacio gracias a la mayor conectividad que hoy existe. A lo anterior debemos agregar la utilización de técnicas para preservar el anonimato o el cambio constante de identidades online, que llevan a dificultar la identificación de los cibercriminales. En razón de lo anterior, el tema de la ciberdelincuencia es muy importante para los criminólogos, ya que permite facilitar la tarea de la investigación, en especial lo que respecta a la evidencia digital extraída de equipos electrónicos o perfiles sociales de sujetos investigados. Algunos autores entienden que la ciberdelincuencia solo utiliza herramientas nuevas y útiles, pero se mantiene el mismo perfil tradicional. Por otro lado, encontramos aquellos que entienden que representa una nueva forma de crimen radicalmente diferente de los tipos de crímenes que ocurren tradicionalmente. Esta última línea de pensamiento explica aspectos socioestructurales del ciberespacio. En especial apunta al impacto de las interacciones sociales, es decir, de lo lícito e ilícito. En efecto, se presta especial atención a las diferentes maneras en que se dan las conductas, ya sea la manera de transcender, explotar o colapsar.

10

En otro costado, desde una mirada sociológica, se entiende que los encuentros e interacciones entre personas distantes crean nuevas maneras de asociarse e intercambiar y eso lleva, en algunos casos, a poder aprovecharse de personas que se encuentran más vulnerables que otras por cuestiones de desconocimiento del uso de estas nuevas herramientas. En este sentido, Internet permite amplificar claramente el blanco como objetivo, es decir que una sola persona se comunique, interactúe y afecte a miles de personas en el mismo momento. Como se puede ver, el efecto es multiplicador, ya que, con lo mínimo para generar un daño, produce sus consecuencias a millones de usuarios. Ejemplo de ello, lo podemos ver en el caso de que un ciberdelincuente envíe en forma masiva un malware que afecta millones de computadoras (usuarios) con el objetivo de pedir rescate en dinero y lograr satisfacer su propio interés o el de terceros. Por otra, podemos decir que Internet no solo permite un efecto multiplicador, sino que también facilita el uso de técnicas de manipulación de información que llevan a mostrar realidades que no existen para inducir al error a los usuarios y lograr el aprovechamiento. En efecto, se lo observa con el uso de técnicas de ingeniería social: la creación de identidades falsas, adopción de nuevas identidades virtuales y que nada se parecen a su identidad real. Estas técnicas le permiten ejercer poder hacia la víctima. Hoy en día existe...