Protección contra los delitos informáticos en Cuba
En la especialidad de penal existen protecciones privativas y no privativas, aquellas que llevan implícito o no el derecho de última ratio, donde nos encontramos ante la posibilidad de ser sometidos a una sanción de privación de libertad. Dentro de las no privativas se encuentran: la protección penal que trata de aplicar a la materia las normas sobre violación de secreto de empresas, secreto profesional y corrupción administrativa; y la protección civil que se puede dar en el marco de un contrato o en el plano extracontractual que incluye responsabilidad civil, la concurrencia desleal y el enriquecimiento sin causa. La privativa se da mediante un mecanismo sui – géneris de protección, como lo es el derecho de propiedad intelectual ya sea por vía de derecho de autor o por la vía de propiedad industrial.
En Cuba se dió el primer paso en este sentido, con la promulgación de textos legales, aunque no precisamente penales. Entre ellos aparece el Reglamento de Seguridad Informática emitido por el Ministerio del Interior, que entró en vigor desde Noviembre de 1996, el cual estipula que en todos los Órganos y Organismos de la Administración Central del Estado se deberán analizar, confeccionar y aplicar el «Plan de Seguridad Informática y de Contingencia»; y el Reglamento sobre la protección y seguridad técnica de los sistemas informáticos, emitido por el Ministerio de la Industria Sideromecánica y la Electrónica, también en vigor desde Noviembre de 1996. Ejemplo propio de los reglamentos internos tomamos por referencia a los que rigen a todas las sucursales de Copextel S.A.
La función primaria, indispensable en toda entidad radica en la necesaria existencia de un conjunto de aspectos a observar y a cumplimentar que garanticen un adecuado control interno; la actividad informática al igual que cualquier otra función de la entidad, está sometida al control interno correspondiente, de ahí que sea susceptible de ser auditada, o sea a ser sometida a un control objetivo.
En el primer caso el control interno se materializa mediante su adecuada aplicación como parte de la organización, utilizando la computadora como herramienta que participa y la vez auxilia a la entidad en el logro de los objetivos de control interno, lo cual se puede hacer por medio de paquetes. En el segundo caso se puede llevar por el control intrínseco de la informática. Así se logra la protección del activo de la entidad y el logro de las mejoras de las operaciones de organización y ejecución del tipo informáticas, cumpliéndose con ello las políticas establecidas por la administración, y todo ello se considera Control Interno Informático.
Los riesgos que se pueden devengar de la insuficiencia de los controles están estrechamente relacionados con la mayor exposición de información sensitiva, nuevas tecnologías sin controles apropiados, autorizaciones electrónicas, concentración de funciones, integridad de datos, escasez de herramientas de auditorias y con la conocida Seguridad Informática. Esta seguridad aunque es responsabilidad de todas las personas capaces de afectar la seguridad de datos y de los sistemas computarizados, existen funciones muy específicas que se encuentran directamente involucradas con esta parte, ellas son: la gerencia, el responsable del plan de seguridad, los responsables funcionales y autores de las aplicaciones, los administradores de los sistemas y en última instancia los usuarios de los sistemas. Además ha de tenerse en cuenta la manutención adecuada de costo-beneficio.
Toda entidad que emplea sistemas informáticos para el control de su gestión implementa un plan de seguridad informática y un plan de contingencia que garantiza la adecuada función de estos tanto desde el punto de vista físico como lógico. Estos programas permiten asegurar la existencia de una seguridad apropiada, así como un costo efectivo para cada sistema de aplicación que se encuentre en explotación. Este programa incluye los controles a implementar, la adquisición e instalación de tecnología de apoyo a las medidas de seguridad, la administración de la seguridad informática, la evaluación de las vulnerabilidades y debilidades de los sistemas y las soluciones a los problemas de seguridad.
Actualmente la auditoria informática definida sencillamente como el conjunto de técnicas y procedimientos destinados a la evaluación y control de los Sistemas Informáticos entendidos estos en su amplia acepción ; es la encargada del cumplimiento de los controles internos de las entidades que utilicen en nuestro país sistemas de este tipo; despliega por esto la función de revisión en un ciclo: administración de la seguridad de la red, seguridad de las comunicaciones, seguridad de las aplicaciones y seguridad física.
Técnicamente este sistema de protección tecnológica debe estar aparejado al establecimiento de las normas penales pertinentes que se ajusten al nuevo problema en nuestro caso particular como nación, donde ya se han registrado casos delictivos de esta índole. La ley penal como última ratio podrá dar frente a las situaciones que se ventilen ante el incumplimiento de los reglamentos internos de las entidades, sancionando las acciones negativas que se produzcan.
Podemos apreciar que la legislación informática hace referencia a los rasgos característicos de este programa de seguridad informática, tales como: integrabilidad, confidencialidad y disponibilidad de la información. La Seguridad Informática además de ser el bien jurídico tutelado, puede conceptual izarse como la operación de los sistemas de información, rigiéndose por las características que las distingue anteriormente mencionadas, tenemos que la información debe ser fidedigna y completa, nadie que no sea el usuario tiene derecho a cambiarla; que el usuario debe tener la información en el momento que la necesite; y sin su consentimiento nadie debe tener acceso y menos a divulgarla. A estas características principales por las que se distingue, le acompañan otras dos: la consistencia, mediante la cual el sistema debe comportarse siempre igual aun después de un cambio; la de control de usuario teniéndose aquí el control sobre quién entra al sistema y qué hace. Por otro lado, constituye el núcleo del control interno, y su principal objetivo es documentar las directivas o decisiones generales referentes a la seguridad de los sistemas, estableciendo las metas a alcanzar y asignando las responsabilidades.
Actualmente dicha seguridad es atacada por :
-Uso de passwords capturados
-Uso de vulnerabilidades conocidas
-Uso de brechas en protocolos
-Examen de fuentes para descubrir nuevas brechas
-Empleo de ataque ICMP
-Abuso del FTP( File Transfer Protocol) anónimo
-Empleo de programas » Sniffers »
-Spoofing de dirección IP fuente
Tomando en cuenta las amenazas debe hacerse un cálculo de costo de la concurrencia de cada una de ellas por un lado (teniendo en cuenta sus posibilidades de concurrencia) y el costo de las medidas para protegerse contra ellas por el otro.
Hay que tener presente, sin embargo, que no se hayan considerado todas las amenazas posibles a nuestra seguridad. Los riesgos pueden minimizarse pero siguen existiendo potencialmente. Para ello se a creado una Política de Seguridad que consiste en establecer medidas de protección en nuestras instituciones con una adecuada relación costo – beneficio; Mantener una política de monitoreo y control constante y perfeccionando el sistema en cuanto se descubra una debilidad. Esta política la hace un conjunto de técnicos y jefes; y los elaborados deben tener autoridad para ponerla en práctica. Están implicados en la ejecución de esta política en principio todos los usuarios (responsables de administrar su password personal) y los administradores de sistemas.
Los valores que se protegen son :
Hardware – tarjetas, teclados, terminales, impresoras, servidores de terminales.
Software – programas fuente, utilitarios, programas de diagnóstico, sistemas operativos, programas de comunicación.
Datos – durante la ejecución, almacenados, resultados de auditoría, bases de datos, en tránsito sobre medios de comunicación.
Personas – usuarios, empleados que operan en los sistemas
Documentación – manuales de programas, hardware, sistemas, procedimientos locales de administración, reglamento
Útiles – papel, cintas, medios magnéticos de almacenamiento.
Se han considerado e identificado como posibles amenazas:
-Accesos no autorizados – el más común de los riesgos, la utilización de la cuenta de otro usuario para acceder a recursos no autorizados. Tomando como cuenta de usuario a la identificación de una persona en el sistema digitalizado, donde se asientan las partidas del deber y el haber de las personas, y que a su vez constituye el registro regular de transacciones pecuniarias de esos haberes y de los créditos.
-Fuga de información – en todo sitio existe información sensible que debe ser protegida. Ejemplo fichero password de cualquiera de nuestros servidores (equipo suministrador de información a la red. Unidad central de procesamiento donde se almacena gran cantidad de programas durante las 24h del día para después distribuirla a través de la red de computadoras a la que sirve) .
-Negociación de servicio a los usuarios – el usuario no puede recibir un servicio.
Existen varios mecanismos para garantizar la seguridad contra algunas de las amenazas tenidas en cuenta a la hora de elaborar la política de seguridad y que persigue algunos de los objetivos de la misma. Aunque no es menos cierto que no existe una solución que satisfaga todos los objetivos ni nos proteja de todas las amenazas. Solo la combinación de varios mecanismos puede lograr un alto nivel de efectividad aunque nunca llega a ser perfecto. Estos mecanismos nunca deben faltar dentro de una buena política de seguridad que llevará a cabo la entidad.
Entre estos mecanismos se puede encontrar como principal el monitoreo. Aquí se realiza un examen de los «ficheros log » que producen y guardan la mayoría de los sistemas de manera regular, es esta la primera línea de defensa. Por otro lado está la utilización de herramientas de los sistemas operativos para constituir herramientas propias tales como: elecklists de usuarios, permisos, propiedades de files. Además se deben efectuar constantes variaciones en el calendario y el cronograma del monitoreo, ya que cuando la administración del sistema ejecuta diferentes acciones de monitoreo en diversos momentos del día hace más difícil para los intrusos predecir las acciones de la administración y mantenerse encubiertos. Hay que reconocer que monitorear no es suficiente para garantizar que su sistema sea seguro ya que se puede monitorizar todo el tráfico que se mueve a través del conmutador.
Por el medio utilizado para la difusión de este delito donde Internet es el instrumento de difusión, tan difícil es detectar el delito como probarlo. El elemento probatorio como en todos los delitos que se cometen es la base de su juzgar y por ende de su sanción. Esta búsqueda se torna mucho más compleja por el medio que se utiliza para ello y por las características del mismo; ya que no existe forma de determinar fehacientemente cuál era el estado anterior de los datos, puesto que la información en estado digital es adulterable, y la simple auditoría contable o financiera común pierde su eficacia ante este nuevo tipo de figura delictiva. Inclusive a manera de referencia, la sanción puede llegar hasta ser compleja su determinación, partiendo de que por ejemplo en el caso de la responsabilidad civil sería difícil determinar el valor que dicha información tenía, debido a que el valor de la misma es subjetiva, dependiendo por ello de cada uno a quién le pertenezca y del contexto de la misma. La complejidad de su determinación se incrementa si tenemos en cuenta que los medios empleados son sólo conocidos por especialistas, que el autor de la conducta antijurídica tiene, la facilidad del autor de borrar las huellas o rastros de identificación, así como que dicho sujeto tiene a su favor el tiempo que puede mediar entre la acción y el efecto.
La situación se facilitaría algo más si las entidades y organizaciones víctimas los denunciaran, pero sucede que no lo hacen por considerar que tales hechos pueden poner en tela de juicio, en ocasiones, la fiabilidad de los sistemas informáticos. El reparo de las víctimas según una encuesta realizada en los Estados Unidos por la American Bar Association en la década del 80 en denunciar los delitos sufridos no es en realidad un hecho irracional: es decir que existen uno o varios motivos que determinan la reacción de las personas afectadas. Los especialistas norteamericanos han individualizado una serie de factores que podrían influir en el comportamiento de las víctimas, específicamente en las personas jurídicas, estas son:
-El temor de que se pierda la confianza o la estima por la organización y que las pérdidas económicas que ello acarrearía sean probablemente superiores a las derivadas del delito sufrido.
-El temor de las pesquisas de la policía, sobre todo si son profundas, puedan evidenciar, de un modo o de otro, manejos turbios de la dirección de la entidad.
-Los inconvenientes relacionados con el desarrollo del proceso, como por ejemplo: el tiempo resultante de la necesidad de proporcionar a la policía y luego a las autoridades judiciales el material probatorio y asistirles en la realización de experimentos de instrucción.
-La dificultad en probar en forma adecuada los hechos y el temor a verse inculpados por una denuncia falsa.
-El temor de la dirección a que las pesquisas hagan públicas las estrategias de comercialización de la organización y los secretos comerciales y científicos.
-La preocupación de que la descripción detallada del hecho y las revelaciones relativas a la vulnerabilidad del sistema puedan incitar ulteriores ataques.
(…)
Estas motivaciones están presentes en la casi totalidad de los países desarrollados donde el delito informático alcanza elevados índices, no siempre registrados.
En la actualidad nuestro ordenamiento penal deja desprotegido aparentemente a la víctima de los ataques de delincuentes informáticos por no recoger en su articulado normas especificas que tipifiquen cada una de los casos que pudieran darse. Nuestros tribunales por su parte con todas las intenciones de impartir justicia tiene en cuenta estas actividades delictivas atendiendo a la acción del comisor y los resultados que esta provoca, asemejándola a aquella que está recogida en el Código Penal. Siendo así entendida una violación del correo electrónico que ataca la intimidad del usuario como una mera violación de la correspondencia pues el bien jurídico que se daña será en ambos casos la información. En este supuesto la acción del comisor será apropiarse o tener conocimiento del contenido del texto que por cualquiera de ambas vías se envía, sin el autorizo previo de su destinatario, y mucho menos sin una autorización legal que fundamente estos actos en el caso de que el transgresor de esta norma fuera una persona jurídica que actúe mediante acuerdo de los socios o en representación de la misma en buscas de pruebas que demuestren que el destinatario utiliza la red para cometer posteriores delitos que atacan la propiedad de dicha entidad.
Bibliografía:
– Zavaro Babari, León y Maitines García, Cerafino: Auditoria Informática. Consultoría Jurídica Internacional. Cuba
– Balluja García, Walter Ing. :Fire Walls. Grupo de Redes. ISPAJE, La Habana, Cuba 1998.
– Álvarez Calderón. Presidente del Proyecto Cibertribunal Peruano. Instituto Peruano de Comercio Electrónico. El Cibertribunal Peruano. http://vlex.com/pe/canales/derecho%20inform%E1tico/