La Seguridad Informática, el cibercrimen y la ley

• Los crímenes informáticos pueden ser castigados si se cuenta con sistemas de seguridad apropiados y  las pruebas son recaudadas de manera adecuada .

Sin embargo; esto no es sorprendente, con la penetración del Internet  acciones  como estas se han hecho  frecuentes; las compañías se ven afectadas por diversas amenazas que incluyen los ataques a la red, la intrusión y el envío de virus y gusanos entre otros, los cuales afectan o detienen la operación ocasionando pérdidas económicas.

Estos crímenes conocidos  como delitos informáticos  utilizan Internet para atacar bienes informáticos o valerse de ellos para cometer otro tipo de crimen como hurto, estafa o fraude.  Son penalizables siempre y cuando se denuncien y las pruebas, en este caso la evidencia digital ,  haya sido  debidamente recaudada, administrada y presentada ante el juez. 

Por lo general, estos crímenes no son denunciados a las autoridades, anulando la posibilidad de adelantar una acción penal o recuperar las pérdidas mediante una acción civil.

La ley en Colombia

La legislación colombiana brinda algunas herramientas para poder combatir ese flagelo. "Aunque nuestro Código Penal no hace una referencia suficiente en el tema de delitos informáticos, salvo algunos casos puntuales, por lo general los delitos informáticos se pueden encuadrar en las definiciones de los delitos tradicionales", afirma Carlos S. Alvárez Cabrera, abogado en Derecho Informático y Propiedad  Intelectual.

"En Colombia el acceso abusivo a un sistema informático se castiga con  multa, la violación ilícita de comunicación o correspondencia oficial con  3 a 6 años de cárcel, la utilización ilícita de equipos transmisores o receptores (WiFi) se penaliza con 1 a 3 años, la violación ilícita de comunicaciones con  2 a 4 años en el peor escenario y el delito de sabotaje con uno a seis años y multa de 5 a 20 salarios mínimos", afirma el experto.

De acuerdo con el abogado, las penas en nuestro país son muy bajas comparadas con otros países.  "En la actualidad hay proyectos que buscan incrementar  las penas y  sancionar hechos que hoy no están contemplados en la ley", comenta. Para ilustrar mejor el tema, el abogado explica un caso real que ocurrió en Estados Unidos a la compañía Netline Services Inc. 

"Peter Borghhard, exempleado de Netline Services, Inc., una empresa de Internet que provee varios servicios de banda ancha e email, reclamó un pago de un salario que según él le era adeudado. El pago le fue negado. La empresa fue víctima de dos ataques posteriormente; el primero resultó en el borrado profundo (wiped) de toda la información y la desconfiguración completa de doce máquinas. Adicionalmente, los clientes de Netline estuvieron sin servicio de email por 15 horas. 10 días después, luego de haber asegurado esas máquinas fue víctima de otro ataque dirigido contra otras máquinas, con efectos similares. La empresa registró pérdidas por US$118.000. El atacante fue detectado, la evidencia fue recolectada y presentada en debida forma; el acusado, frente a la fuerza de las pruebas, confesó haber cometido el delito, fue condenado a pagar US$118.030 y condenado a prisión."

"Por otro lado, si esto hubiera pasado en nuestro país, seguramente no habría habido una condena. No por falta de capacidad de las autoridades investigadoras, sino porque las empresas, por un erróneo tabú, prefieren esconder toda la información relativa a los ataques de que son víctimas. Pocas son las que denuncian y refuerzan los procesos contra esta clase de delincuentes. La Dijín y el DAS cuentan con unidades de delitos informáticos que tienen buena tecnología, un nivel de conocimiento en incremento y un muy conveniente apoyo extranjero", afirmó Alvarez Cabrera.

En nuestro país hay libertad de medios de prueba y, aprovechandola, es fundamental  ser concientes de la importancia de la evidencia digital. 

"Un ejemplo sencillo de cómo debe abordarse en nuestro país el tema de la evidencia digital, tomado de la experiencia norteamericana: si en una empresa se detecta que está ocurriendo hack, y solamente desde que la alarma se disparó se empieza la labor de guardar los logs de la actividad en línea en la red que está siendo accedida ilegalmente, esa evidencia será rechazada por el juez al que se presente el caso. Para que la acepte, los logs de actividad debieron guardarse, no como una respuesta posterior al hack, sino como la actividad normal de operaciones de la empresa; solamente así esa evidencia podrá sustentar la demanda presentada contra el hacker.

Para Alvarez Cabrera es importante que las empresas desarrollen buenas prácticas en seguridad que incluyan planes de respuesta a incidentes que definan los procedimientos que se deben usar en caso de ocurrir un incidente para asegurarse de no dañar la evidencia porque "toda inversión que se haga en seguridad se va a la caneca si no resulta en que se pueda levantar un proceso judicial, con pruebas irrefutables, contra quien haya generado el incidente".

Por otro lado,  estas prácticas deben incluir matrices de niveles críticos, áreas afectadas  y responsables.  Este plan debería ser desarrollado por la cabeza oficial de seguridad en las empresas y los directores de cada área crítica de la compañía.

El cibercrimen y las empresas según las encuestas

El porcentaje del presupuesto de IT (Tecnologías de la Información) dedicado a la Seguridad por las empresas en Estados Unidos oscila entre 1 y 5% , de acuerdo con una encuesta "Computer Crime and Security" realizada por el CSI -Computer Security Institute- con la colaboración de la Brigada de Intrusión por Computador del FBI _Federal Bureau Investigation- entre 494 ejecutivos encargados de la seguridad de empresas de diferentes sectores públicos y privados.

Según la encuesta , el 46%  de las  empresas asignan  a aspectos de seguridad entre un 1% y 5%  del presupuesto total de IT; un 16%  indicaron que la seguridad recibía menos del 1% y el 23% que recibía más del 5%.

La encuesta indica que para justificar y evaluar las inversiones en seguridad, la mayoría de las organizaciones realizan algún tipo de evaluación económica con el fin de cuantificar los costos/beneficios teniendo como métrica el  Valor Presente Neto (NPV), el Retorno de la Inversión (ROI) o  la Tasa Interna de Retorno (IRR).  El 55% de las compañías utilizan el ROI, un 28% emplea el IRR y un 25% el NPV.

En cuando a las pérdidas económicas causadas por incidentes de  seguridad computacional el año pasado fue de US $141.496.560.  Las mayores pérdidas fueron causadas por denegación del servicio (US $26.064.050), robo de información propietaria (US $11.460.000),  abuso interno de la red (US $10.601.055) abuso de red inalámbrica (US$10.159.250) y fraude financiero (US $7.670.500).

Aunque la frecuencia de ataques a computadores declinó este año, el porcentaje de personas que respondieron que sus compañías experimentaron entre 6 y 10 incidentes de seguridad se mantuvo en un 20%, mientras que el porcentaje que dijo haber experimentado entre 1 y 5 ataques creció a un 47%.  Solo un 12% estimó que el año pasado enfrentaron más de 10 ataques.

Los ataques a los sistemas han ido decreciendo especialmente los relacionados con sistemas de penetración, abuso interno y robo de propiedad de información.  Sin embargo; este año la encuesta reportó un 15 % de abuso de redes inalámbricas, un 7% desfiguración del sitio en Internet y un 10% reportó un mal empleo de las aplicaciones de sitios públicos.  Por otro lado, todas las organizaciones cubiertas por la encuesta experimentaron este año algún  incidentes en  sus sitios web.  El 89% de los encuestados sufrió este año entre 1 y 5 incidentes en sus sitios web, mientras que sólo un 5% experimento más de 10 incidentes.

Según la encuesta entre los tipos de sistemas de  seguridad  usados para defenderse contra ataques en las redes en sus organizaciones se encuentran el más común es el  uso de antivirus (99%).   El 98% además reportó el uso de firewalls, el 68% de las organizaciones comenzó a usar sistemas de detección de intrusión.  Otros sistemas tienen que ver con el control de acceso, el 71%  usan listas de control de acceso al servidor,  el 56% usa claves para establecer conexión,   uso de tarjetas inteligentes 35%, sistemas biométricos 11%.  Entre las medidas para proteger la información se incluyen la encriptación de datos en transito es usado por un 64% de los encuestados.

El 90% de las  organizaciones que experimentaron alguna intrusión utilizaron parches de seguridad para enfrentar la acción y solamente el 50% compartió información con las autoridades.

Finalmente, la encuesta indagó lo efectos producidos por el Acto Legislativo Sarbanes-Oxley en materia de seguridad. En este punto las empresas de los sectores financieros, servicios públicos y telecomunicaciones consideran que el este ha tenido un impacto alto en la seguridad de la información de sus compañías.  En contraste, las empresas de tecnología y las entidades de gobierno consideran que Sarbanes-Oxley no representó ningún cambio para sus empresas .

_______________
Autor: CHANNEL PLANET
Si desea mayor información Contáctenos