Академический Документы
Профессиональный Документы
Культура Документы
Begoa Albizuri
Resumen
The article analizes problems related to computer fraud and delinquency. In adition it contributes
a characterization of computer fraud and the hackers who perpetuate it. The article argues and
justifies the difficulty in the detection and proof of computer-related crime. It concludes with the
proposal of the need to develop an ethics code and professional deontology for computer related
issues, as the best way to avoid computer fraud and crime, and thus collaborating in increasing the
levels of security of computer systems.
Artculo
Introduccin
Las tecnologas muy dinmicas como la informtica, rpidamente son objeto de la posibilidad de
su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de regular jurdicamente las
consecuencias y las responsabilidades.
Para tipificar las nuevas posibilidades de delinquir a raz de la aparicin de una nueva tecnologa
ubicua y multiforme como la informtica, se requieren esfuerzos conjuntos de parte de la justicia y
la propia informtica. Esto conduce a la formulacin de discursos en los que cada parte utiliza un
lenguaje especializado y claramente diferenciado entre s.
Los juristas disponen de un vocabulario tcnico propio que para los informticos resulta extrao.
Al mismo tiempo los informticos son conocidos por el carcter tal vez exageradamente crptico
de su vocabulario tcnico que, evidentemente, tambin resulta desusado para los juristas. La
dificultad para aproximar conceptos formulados con vocabularios distanciados, es uno de los
problemas implcitos en el tratamiento de temas como el delito y el fraude informtico.
En el presente trabajo se tratan los temas del delito y el fraude informticos desde el punto de
vista de un informtico, intentando reducir la especificidad del propio lenguaje tcnico para
favorecer la comprensin de los lectores con formacin jurdica.
Un sistema de informacin es aqul que compila, almacena, procesa y distribuye informacin. De
hecho, los sistemas de informacin no son una novedad reciente. Se puede decir que han existido
siempre y en todo tipo de actividad humana, pero es precisamente la potencialidad de su
implementacin basada en la tecnologa informtica y en las comunicaciones electrnicas, lo que
induce al planteamiento de cuestiones como las que se abordan en este trabajo.
El nmero de veces que una tecnologa es capaz de mejorar la funcin y el objetivo
encomendados, se conoce como "factor multiplicador de la tecnologa". Los factores
multiplicadores de las tecnologas convencionales, a pesar de su gran potencialidad, tienen un
orden de magnitud limitado: 15 en el caso de la automocin, 150 en la aviacin y 1000 para la
revolucin industrial. El aspecto diferenciador de la tecnologa informtica de los sistemas de
informacin distribuidos, se encuentra en un factor multiplicador muy grande que alcanza una
magnitud del orden de billones, como resultado de la conjuncin sinrgica de la tecnologa
informtica del procesamiento de datos y la tecnologa paralela de las comunicaciones
informticas. Ambas presentan, individualmente, un factor multiplicador del orden de millones, ya
que, respectivamente, multiplican la velocidad "manual" del proceso y la comunicacin de datos
por un factor del orden del milln.
Esta potencialidad, que implica el gran factor multiplicador de la tecnologa informtica, se ha
desarrollado en un periodo de tiempo francamente breve. Hace poco ms de sesenta aos que
hizo su aparicin pblica la primera computadora electrnica: la ENIAC, presentada el 15 de
febrero de 1941. El aumento en la potencialidad ha sido significativamente grande con la
miniaturizacin de los sistemas. Forester and Morrison (1990) mencionan un ejemplo clsico: "si la
automocin hubiese tenido un desarrollo parecido, ahora se podra adquirir un Rolls Royce por
menos de 15 dlares y, adems, este vehculo dispondra de una potencia comparable a la de un
trasatlntico como el 'Queen Elizabeth' y sera capaz de recorrer un milln de kilmetros, unas 25
vueltas alrededor del mundo, con slo un litro de benzina. Todo un sueo que, de hecho, en el
ambiente informtico es tecnolgicamente posible".
Estas caractersticas particulares han propiciado el hablar de una revolucin industrial llamada "de
las tecnologas de la informacin", que se manifiesta claramente en la actividad cotidiana del
mundo moderno. Textos como el de Forester and Morrison (1990) analizan y detallan algunas de
las posibilidades y los problemas que presenta esta revolucin de las tecnologas de la
informacin.
Paralelamente a la potencialidad que ofrece una tecnologa transformadora como la informtica,
surge tambin un crecimiento en los riesgos y los peligros, que son, en cierta forma,
proporcionales a la gran potencialidad de las tecnologas de la informacin. Pero precisamente
esta evolucin tan rpida de la informtica supone la existencia de una inevitable separacin
temporal, esto, entre los aspectos informticos que se deben regular jurdicamente y el
Delito y Fraude
Cuando se habla de fraude y delincuencia informtica, generalmente se hace referencia a una
manera muy genrica, ya que es muy difcil concretar el "delito informtico" como tal. A menudo
se entiende el delito informtico como aquella accin dolosa que provoca un perjuicio a personas
o entidades, en la que intervienen dispositivos o programas informticos (Castillo y Ramallo,
1989). Considerar una actividad como delictuosa supone necesariamente que el posible delito ha
sido establecido como tal en las leyes de un pas determinado (Vzquez y Barroso, 1993).
Puesto que la legislacin sobre delitos informticos es todava muy limitada en la mayora de los
pases, es comn evitar hablar precisamente de "delito informtico" y referirse al "fraude
informtico", o ms genricamente a "delincuencia informtica". Independientemente del
trmino que se utilice, entendemos el fraude como aquella conducta realizada mediante un
sistema informtico con la que se busca conseguir un beneficio ilcito.
Algunos autores (Vzquez y Barroso, 1993). limitan el fraude informtico a los actos fruto de la
intencionalidad, realizados con la voluntad de obtener un beneficio propio y, si es posible,
provocar un perjuicio a alguien. As, se puede hablar tambin de un tipo de fraude informtico no
intencionado, producto de un error humano al utilizar un sistema informtico o por un defecto del
hardware o el software. Este tipo de fraude es conocido como "error informtico". En el caso del
error informtico puede no haber un beneficio directo para quien causa el funcionamiento
errneo del sistema informtico, pero s un perjuicio a los otros usuarios o a los propietarios del
sistema.
-Tcnica del salami (salami technique). Consiste en pequeas manipulaciones que, sumadas, hacen
un gran fraude. Es habitual citar en este punto el no demostrado y casi mtico caso de la desviacin
fraudulenta de centavos en transacciones bancarias o nminas.
-Uso no autorizado de programas especiales (superzapping). Hace referencia a la utilizacin no
autorizada de cualquier programa para alterar datos y resultados, u obtener informacin. El
nombre en ingls de este tipo de fraude deriva de un conocido programa de servicio de ciertos
sistemas de IBM: "superzap".
- Puertas falsas (trap doors). Consiste en hacer "agujeros" y defectos en la seguridad de los
sistemas y las "entradas especiales", que generalmente, con aspecto de provisionalidad, poseen
los programas para hacer ms gil su proceso de prueba y depuracin, y permitir que la instalacin
de la versin definitiva sea exitosa.
-Bombas lgicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando rutinas
ocultas (la bomba lgica). En cada ejecucin de un programa, por ejemplo, al llegar a un cierto
valor, se ejecuta una operacin destructiva. Es un procedimiento que, regulado por una
computadora o por un dato clave, se convierte en el ms habitual de los virus informticos.
- Ataques asncronos (asynchronous attacs). Se aprovecha la posibilidad que tiene el sistema
operativo de volver a inicializar el sistema en condiciones diferentes a las autorizadas, como por
ejemplo en ciertos puntos de recuperacin del sistema. Un ejemplo de un ataque asncrono sera
un programa que reproduzca la pantalla de entrada en un sistema. Cuando el usuario proporciona
su clave, se almacena esta informacin en un archivo de la persona que est realizando el fraude.
De esta manera logra el acceso que le estaba prohibido.
-Recogida de informacin residual (scavengig). Consiste en aprovechar todo tipo de desechos,
como listados y manuales tirados en la papelera, que no han sido destruidos; emplear el estado
final de la memoria al finalizar la ejecucin de un programa, etctera, para obtener informacin
reservada y sensible.
- Divulgacin no autorizada de datos reservados (data leakage). Tambin incluye la divulgacin no
autorizada de informacin secreta, obteniendo los datos por espionaje o al adquirirlos de manera
fraudulenta de informacin destinada a otra finalidad, como por ejemplo del censo electoral,
informacin mdica, etctera.
-Entrada a caballo (piggybacking and impersonation). Conocido tambin como "ingeniera social",
consiste, por ejemplo, en hacerse pasar por otra persona para conseguir informacin reservada.
- Intervencin de lneas (wiretapping). Se intervienen las lneas de comunicacin informtica para
acceder o manipular los datos que por ellas circulan.
-Simulacin y modelado de delitos (simulation and modeling). Se utiliza una computadora para
planear y controlar un delito mediante tcnicas de simulacin, que permiten ver qu pasara si
realmente se realiza el delito.
Es mucha la literatura que se puede encontrar sobre las actividades de los hackers, pero cabe
mencionar especficamente el trabajo de Clifford Stoll (1985) sobre la utilizacin de hackers
alemanes por parte de la KGB sovitica, para intentar obtener secretos militares norteamericanos.
Este espionaje se consigui explotando la existencia de una "puerta falsa" en el sistema operativo
del Lawrence Berkeley Laboratories, del cual Stoll era el encargado provisional de supervisar. El
resultado fue que las investigaciones de Stoll, narradas casi como una novela policaca y de una
manera muy amena, se encontraron con la desidia y el poco inters de los responsables de las
instituciones encargadas de administrar la seguridad de los sistemas informticos en Estados
Unidos. Algunos libros (Clough and Mungo, 1992*), yHafner and Morkoff, 1991) se ocupan de este
caso, proporcionando datos, tales como los resultados de los juicios que se llevaron a cabo y que
no se contemplan en el relato de Stoll.
Otro caso famoso es el de Robert T. Morris y su programa, que se difundi y duplic varias veces,
bloqueando Internet en Estados Unidos el 2 de noviembre de 1988. El hecho curioso en este caso,
y tal vez intrigante, es la relacin familiar del autor de la fechora con Bob Morris, su padre,
entonces director de la NCSC (National Computer Security Center) norteamericana, encargada,
precisamente, de la seguridad de los sistemas informticos de ese pas. Se lleg a comentar que el
ataque de Morris hijo a la seguridad de Internet, podra estar relacionado con las repetidas
peticiones de Morris padre de reforzar la seguridad de la red. Obviamente y como era de
esperarse, ambos niegan dicha relacin. Este caso est ampliamente descrito en Hafner and
Morkoff, 1991) y en (Clough and Mungo, 1992),
En Europa se dio el caso del programa de Christmas, desarrollado, segn parece, por un estudiante
de Hannover, que se presentaba como una felicitacin navidea informatizada. El problema fue
que mientras se mostraba el programa Christmas en la pantalla del usuario, aquel buscaba su lista
de correspondencia electrnica y enviaba copias a todas las direcciones registradas en ella. Este es
un claro ejemplo del "caballo de Troya", en la denominacin de Parker. Lo que posiblemente fue
en un inicio una broma, despus de todo no maliciosa, se convirti en un problema grave cuando,
despus de superar la red informtica de la Universidad Clausthal-Zellerfeld de Hannover, lleg a
la red del servicio de investigacin europeo EARNET (European Academic Research Network), para
saturar finalmente la red VNET interna de IBM de Europa, el 15 de diciembre de 1987. Algo que
comenz posiblemente como un juego, acab como un perjuicio grave en una compaa privada,
que desde entonces se ha visto obligada a implementar sistemas de seguridad que detecten la
presencia de programas indeseables para borrarlos automticamente. Este es un ejemplo tpico de
cmo la inconsciencia de un hacker puede producir un gran perjuicio.
Hay muchos ms casos de actividades de los hackers. Se describen en los libros(Clough and
Mungo, 1992),y Hafner and Morkoff, 1991). Lo ms preocupante es el crecimiento de los casos
claramente orientados a la actividad delictuosa. Por poner un ejemplo, recogido en (Clough and
Mungo, 1992), se puede mencionar el caso de "Kyrie", Leslie Lynne Doucette, una canadiense que
en 1989 administraba una red de unos 150 hackers, especializados en obtener informacin
sensible para ser utilizada en la realizacin de robos. Les encontraron 118 tarjetas de crdito Visa,
150 de MasterCard, 2 de American Express y 171 tarjetas de servicio telefnico de las compaas
ATT e ITT, as como 39 cdigos de autorizacin de centrales telefnicas y datos PBX. Todo un botn
producto de una actuacin claramente delictuosa de los hackers.
Otra actividad de los hackers es la creacin y difusin de virus, ya bastante conocida y divulgada en
libros, como por ejemplo Lendell (1989) y (Clough and Mungo, 1992),. El virus es una rutina o
programa aadido a un programa normal, que al ser ejecutado activa un virus que produce, por
ejemplo, alguna accin destructiva en el sistema sobre el que se est trabajando. Lo ms
importante y peligroso de un virus, de ah la similitud biolgica y mdica de su nombre, es su
capacidad reproductiva para infectar otras unidades de disco, difundindose rpidamente al
amparo, por caso, de la creciente piratera del software existente en el mundo de la
microinformtica.
Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms), que no
dependen de otros programas y son en s mismos programas aislados y autosuficientes, como
sucedi, por ejemplo, en el caso del programa que Robert T. Morris esparci por Internet a finales
de 1988. Utilizando el trmino empleado por Parker, tambin se puede hablar de los "caballos de
Troya", como el caso del programa del estudiante de Hannover, que colaps la red interna de IBM
en Europa, o bombas lgicas como la renombrada "Viernes 13", que se activa precisamente en esa
fecha. A sta los periodistas la han hecho famosa.
Han surgido empresas y programas especializados en la deteccin y la lucha contra los virus tan
frecuentes en la microinformtica. El texto de Clough y Mungo (1992)expone con detalle el tema
de los virus, y pone una particular atencin a lo que llama "la fbrica blgara" de virus y la
actividad del hacker, conocida como Dark Avenger (el vengador tenebroso).
A pesar de que se comenz con un aura de romanticismo, de superacin del reto que ofreca una
nueva y prometedora tecnologa, la realidad es que los hackers de hoy pueden ser, de hecho dan
indicios de que lo son, un grave problema pblico. Los hackers que no son conscientes de la
gravedad y el peligro de sus actos, consideran sus acciones como un juego, mientras que los
claramente conscientes de sus conocimientos informticos para robar informacin sensible o
difundir programas indeseables, forman el ejrcito de delincuentes informticos potenciales que
pueden utilizar de mala manera las grandes posibilidades de una tecnologa como la informtica.
El incremento de las medidas de seguridad en los sistemas informticos, ha llegado a convertirse
en una nueva responsabilidad para los profesionales conscientes, por desgracia no siempre muy
abundantes en una profesin a menudo condicionada por la celeridad y los requerimientos
econmicos en la instalacin apresurada de nuevos sistemas.
Investigacin y Prueba del Fraude Informtico
Desgraciadamente el fraude y la delincuencia informtica, adems de presentar una gran
variedad, resultan francamente difciles de detectar y, aun ms, de probar.
Hay caractersticas concretas de la tecnologa que explican este aspecto tpico de la delincuencia
informtica. Castillo y Ramallo (1989) indican una serie de factores, no todos de igual importancia,
como los que se indican a continuacin:
Estas son algunas de las caractersticas propias de la tecnologa informtica, que permiten explicar
la dificultad para detectar un fraude o un delito informtico. Muchas posibles soluciones a estos
problemas, estn condenadas a ser rpidamente superadas por el dinamismo de la informtica, as
como por la evolucin y el aumento de las capacidades de intrusin de los hackers.
Para detectar el fraude o el delito informtico y, sobre todo, para obtener en forma indiscutible las
pruebas, es til tener conocimientos tcnicos que, como en el caso de la auditora informtica,
resultan difciles, si no es que imposibles de obtener, a causa de la variedad y multiplicidad de los
sistemas informticos existentes.
Para un especialista en auditora informtica como Del Paso (1990), obligado a creer en la
efectividad final del proceso de auditora en sistemas informticos, la solucin parece consistir en
dejarla en manos de los profesionales de esta vertiente moderna de la auditora y el control de
sistemas.
Seguramente no es sta la nica ni la mejor de las soluciones posibles para impedir, detectar y
probar el delito informtico. Los problemas que el mismo Del Paso considera como un presente
inevitable, resultan difcilmente superables. Algunos de estos problemas, son:
tiempo despus de haber sido preparadas, por ejemplo, las bombas lgicas activadas
temporalmente.
Falta de conocimientos especficos entre los auditores informticos o entre los miembros
del cuerpo de seguridad, sobre la forma de proceder en la detencin del delincuente y la
obtencin de pruebas.
Falta de una legislacin especfica para el reconocimiento y la sancin del fraude y la
delincuencia informticos.
Dificultad para aceptar las pruebas en el ordenamiento jurdico actual, debido, por
ejemplo, a su incorporeidad.
Posibilidad de que el delincuente forme parte del personal de la empresa u organizacin
investigadora, lo que le permita disponer de informacin sobre el desarrollo de la
investigacin para interferir en la misma.
Como se puede observar, hay todo un conjunto de dificultades aadidas a un problema de por s
difcil, complejo y con gran variabilidad y dinamismo.
tica y Deontologa Profesional
Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad es que una
gran mayora de los especialistas informticos que han estudiado con detalle el tema del fraude y
la delincuencia informtica, acaban coincidiendo en la imposibilidad de que el derecho compile y
regule todos los aspectos del delito informtico. Las posibilidades tecnolgicas son muchas y
cambiantes; las modalidades de fraude aumentan da a da; el nmero y la capacidad de los
hackers aumentan tambin con la creciente difusin de la microinformtica y los sistemas
distribuidos, y las caractersticas de la tecnologa informtica hacen especialmente difcil la
deteccin y la prueba de los delitos.
Este es un panorama nada entusiasta, que ha llevado cada vez ms a poner el acento en la
responsabilidad social de los profesionales de la informtica que construyen los sistemas. El
llamamiento a la responsabilidad se centra en la necesidad de: no dejar "puertas falsas"; proteger
la informacin sensible; detectar "caballos de Troya" y "bombas lgicas" que busquen introducirse
en los sistemas; poner mucha atencin en lo que se desecha en la papelera; proteger las lneas de
comunicacin con los sistemas de "encriptacin", etctera. En definitiva se trata de aumentar
significativamente la seguridad en los sistemas informticos, para que resistan ante los inevitables
intentos de intrusin de toda clase de hackers.
Comienza as un nuevo tema: la necesidad de incidir en la tica y la deontologa profesional de los
informticos que, otra vez, ha recibido un importante empuje con los trabajos del pionero Parker,
desde 1981, que ha seguido desarrollando posteriormente l mismo con sus colaboradores Swope
y Baker (1990), y otros autores como Johnson (1985), Forrester y Morrison(1990), as como
Ermann, William y Gutirrez (1990), y muchos ms.
El problema, nada banal, es convencer a la comunidad profesional informtica sobre la necesidad
de un comportamiento tico, serio y responsable, en su actividad profesional cotidiana. Ya Parker
(1983) resalt su convencimiento de que de todas las posibles medidas preventivas ante el fraude
y la delincuencia informtica, la ms eficiente sera que los profesionales informticos acepten
unos estndares ticos que les permitan responder ante el reto que el fraude y la delincuencia
informtica representan por toda la tecnologa informtica. La informtica sin controles puede
llegar a ser una tecnologa perjudicial para la sociedad que la utiliza.
En este sentido, es bueno destacar la buena respuesta institucional de las principales asociaciones
mundiales de profesionales de la informtica: la IFIP (International Federation for Information
Processing) y la ACM (Association of Computing Machinery), que estn en proceso de elaborar y
perfeccionar cdigos ticos, que pueden ser una gua en la actividad profesional de los
desarrolladores de sistemas informticos.