El Fraude y la Delincuencia Informtica: Un Problema Jurdico y tico

Begoa Albizuri

Resumen

El presente artculo analiza la problemtica referente al fraude y la delincuencia informtica.

Asimismo, colabora en la caracterizacin del fraude informtico y los hackers ("entrometidos"),
quienes se dedican a perpetrarlos. En el artculo se argumenta y justifica la dificultad en la
deteccin y la prueba del delito informtico. Finaliza con la propuesta de la necesidad de un
cdigo tico y una deontologa profesional propia de los informticos, como la forma ms
adecuada para evitar el fraude y la delincuencia informtica, colaborando en el incremento de la
seguridad de los sistemas informticos.
Abstract

The article analizes problems related to computer fraud and delinquency. In adition it contributes
a characterization of computer fraud and the hackers who perpetuate it. The article argues and
justifies the difficulty in the detection and proof of computer-related crime. It concludes with the
proposal of the need to develop an ethics code and professional deontology for computer related
issues, as the best way to avoid computer fraud and crime, and thus collaborating in increasing the
levels of security of computer systems.
Artculo

Introduccin
Las tecnologas muy dinmicas como la informtica, rpidamente son objeto de la posibilidad de
su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de regular jurdicamente las
consecuencias y las responsabilidades.
Para tipificar las nuevas posibilidades de delinquir a raz de la aparicin de una nueva tecnologa
ubicua y multiforme como la informtica, se requieren esfuerzos conjuntos de parte de la justicia y
la propia informtica. Esto conduce a la formulacin de discursos en los que cada parte utiliza un
lenguaje especializado y claramente diferenciado entre s.
Los juristas disponen de un vocabulario tcnico propio que para los informticos resulta extrao.
Al mismo tiempo los informticos son conocidos por el carcter tal vez exageradamente crptico
de su vocabulario tcnico que, evidentemente, tambin resulta desusado para los juristas. La
dificultad para aproximar conceptos formulados con vocabularios distanciados, es uno de los
problemas implcitos en el tratamiento de temas como el delito y el fraude informtico.

En el presente trabajo se tratan los temas del delito y el fraude informticos desde el punto de
vista de un informtico, intentando reducir la especificidad del propio lenguaje tcnico para
favorecer la comprensin de los lectores con formacin jurdica.
Un sistema de informacin es aqul que compila, almacena, procesa y distribuye informacin. De
hecho, los sistemas de informacin no son una novedad reciente. Se puede decir que han existido
siempre y en todo tipo de actividad humana, pero es precisamente la potencialidad de su
implementacin basada en la tecnologa informtica y en las comunicaciones electrnicas, lo que
induce al planteamiento de cuestiones como las que se abordan en este trabajo.
El nmero de veces que una tecnologa es capaz de mejorar la funcin y el objetivo
encomendados, se conoce como "factor multiplicador de la tecnologa". Los factores
multiplicadores de las tecnologas convencionales, a pesar de su gran potencialidad, tienen un
orden de magnitud limitado: 15 en el caso de la automocin, 150 en la aviacin y 1000 para la
revolucin industrial. El aspecto diferenciador de la tecnologa informtica de los sistemas de
informacin distribuidos, se encuentra en un factor multiplicador muy grande que alcanza una
magnitud del orden de billones, como resultado de la conjuncin sinrgica de la tecnologa
informtica del procesamiento de datos y la tecnologa paralela de las comunicaciones
informticas. Ambas presentan, individualmente, un factor multiplicador del orden de millones, ya
que, respectivamente, multiplican la velocidad "manual" del proceso y la comunicacin de datos
por un factor del orden del milln.
Esta potencialidad, que implica el gran factor multiplicador de la tecnologa informtica, se ha
desarrollado en un periodo de tiempo francamente breve. Hace poco ms de sesenta aos que
hizo su aparicin pblica la primera computadora electrnica: la ENIAC, presentada el 15 de
febrero de 1941. El aumento en la potencialidad ha sido significativamente grande con la
miniaturizacin de los sistemas. Forester and Morrison (1990) mencionan un ejemplo clsico: "si la
automocin hubiese tenido un desarrollo parecido, ahora se podra adquirir un Rolls Royce por
menos de 15 dlares y, adems, este vehculo dispondra de una potencia comparable a la de un
trasatlntico como el 'Queen Elizabeth' y sera capaz de recorrer un milln de kilmetros, unas 25
vueltas alrededor del mundo, con slo un litro de benzina. Todo un sueo que, de hecho, en el
ambiente informtico es tecnolgicamente posible".
Estas caractersticas particulares han propiciado el hablar de una revolucin industrial llamada "de
las tecnologas de la informacin", que se manifiesta claramente en la actividad cotidiana del
mundo moderno. Textos como el de Forester and Morrison (1990) analizan y detallan algunas de
las posibilidades y los problemas que presenta esta revolucin de las tecnologas de la
informacin.
Paralelamente a la potencialidad que ofrece una tecnologa transformadora como la informtica,
surge tambin un crecimiento en los riesgos y los peligros, que son, en cierta forma,
proporcionales a la gran potencialidad de las tecnologas de la informacin. Pero precisamente
esta evolucin tan rpida de la informtica supone la existencia de una inevitable separacin
temporal, esto, entre los aspectos informticos que se deben regular jurdicamente y el

nacimiento de la ley que los regule y, lo que es ms importante y especfico, la inevitable

temporalidad de la justicia frente a las nuevas tecnologas esencialmente cambiantes como la
informtica.
Anteriormente era frecuente entre los informticos reflexionar sobre la vulnerabilidad de una
sociedad sometida a las posibilidades de las tecnologas de la informacin. Incluso instituciones
como la IFIP (International Federation for Information Processing) se preocuparon por el tema: en
un congreso que realiz en 1992 se present el material de base para el estudio sobre "riesgos y
vulnerabilidad en una sociedad artificial y basada en la informacin" [BER 92].
El texto de la IFIP hace nfasis en tres ejemplos, que considera tpicos sobre la vulnerabilidad
creciente de una organizacin social basada en forma casi absoluta en las tecnologas de la
informacin, la que denomina "sociedad de la informacin". Los casos mencionados hacen
referencia, por ejemplo, al colapso de la bolsa de Wall Street el 19 de octubre de 1987. Algunos
consideraron que se debi a la gil respuesta de los inversores ante los cambios de cotizaciones,
gracias a programas informticos que incorporaban modelos esmerados del comportamiento del
mercado de valores, ayudados por la efectividad de los instrumentos de comunicacin
informatizados que ya dominaban la bolsa. Tambin es un caso evidente de vulnerabilidad los
problemas potenciales en los hospitales, cada vez ms informatizados. Los errores o el mal uso de
los sistemas informticos mdicos o administrativos, pueden traer consecuencias graves como el
peligro de muerte. Berleur [BER 92] menciona tambin el problema, cada vez mayor, del
intercambio electrnico de datos y "objetos" intangibles, y la consideracin del "documento
electrnico".

Delito y Fraude
Cuando se habla de fraude y delincuencia informtica, generalmente se hace referencia a una
manera muy genrica, ya que es muy difcil concretar el "delito informtico" como tal. A menudo
se entiende el delito informtico como aquella accin dolosa que provoca un perjuicio a personas
o entidades, en la que intervienen dispositivos o programas informticos (Castillo y Ramallo,
1989). Considerar una actividad como delictuosa supone necesariamente que el posible delito ha
sido establecido como tal en las leyes de un pas determinado (Vzquez y Barroso, 1993).
Puesto que la legislacin sobre delitos informticos es todava muy limitada en la mayora de los
pases, es comn evitar hablar precisamente de "delito informtico" y referirse al "fraude
informtico", o ms genricamente a "delincuencia informtica". Independientemente del
trmino que se utilice, entendemos el fraude como aquella conducta realizada mediante un
sistema informtico con la que se busca conseguir un beneficio ilcito.
Algunos autores (Vzquez y Barroso, 1993). limitan el fraude informtico a los actos fruto de la
intencionalidad, realizados con la voluntad de obtener un beneficio propio y, si es posible,
provocar un perjuicio a alguien. As, se puede hablar tambin de un tipo de fraude informtico no
intencionado, producto de un error humano al utilizar un sistema informtico o por un defecto del
hardware o el software. Este tipo de fraude es conocido como "error informtico". En el caso del

error informtico puede no haber un beneficio directo para quien causa el funcionamiento
errneo del sistema informtico, pero s un perjuicio a los otros usuarios o a los propietarios del
sistema.

Nuevas Necesidades y Nuevos Planteamientos

Las actuales posibilidades que ofrece la sociedad de la informacin, exigen nuevas respuestas en
los aspectos tico y jurdico. Para Mason (1986)hay 4 puntos ticos ineludibles, los cuales, segn
Morris (1992), se convierten en "los cuatro derechos bsicos relevantes en la era de la
informacin":
-Privacidad. Hace referencia a la necesidad de proteger la informacin de un uso no autorizado.
-Exactitud. Se requiere de una alta calidad en la informacin, para que los procesos de toma de
decisiones que se realizan con ella sean efectivos.
-Proteccin. Se debe proteger el conocimiento que se almacena en las computadoras, tanto los
programas como los datos, es decir, los sistemas.
-Acceso. Los permisos para el acceso a la informacin deben ser adecuados, pero estrictamente
controlados.
Para autores como Morris (1992), estas exigencias jurdicas, convertidas para l en derechos, son
el marco de referencia para la ineludible generacin de un componente tico en la conducta
profesional de los especialistas en sistemas de informacin. De hecho, los especialistas son los que
disponen de ms poder para "maltratar" los sistemas de informacin y atentar contra estos
nuevos derechos bsicos de la era de la informacin.
En este sentido, algunos autores como Del Paso (1990) reconocen que la actividad informtica es
muy vulnerable, por lo que defienden explcitamente el papel y la funcin de los profesionales de
la auditoria informtica. Sintetizan en cinco grupos, ms o menos diferenciados, a la delincuencia
informtica:
-El fraude informtico, entendido como el uso indebido o la manipulacin fraudulenta de los
elementos informticos de cualquier tipo, que produce un beneficio ilcito.
-El hacking o "terrorismo lgico", que incluye los casos de vandalismo, terrorismo, destruccin,
etctera, que provocan perjuicios. Son motivados por venganzas, chantajes, sabotajes o un mal
uso de la curiosidad intelectual, la cual caracteriz a los primeros hackers o manipuladores no
autorizados de sistemas informticos.
-Las acciones fsicas realizadas contra la integridad de los sistemas informticos.
-Atentar contra el derecho a la integridad de las personas, gracias a la existencia de bases de datos
informatizadas y las posibilidades que presenta la misma informtica para vulnerar los, a menudo,
escasos sistemas de seguridad operativa.

- Atentar contra la propiedad intelectual informtica que, de forma exageradamente simplificada,

se llama coloquialmente "piratera del software", olvidndose de la posibilidad de una equivalente
piratera del hardware que, de hecho, corresponde a un caso tpico de espionaje industrial.
Resulta fcil relacionar las cinco figuras delictuosas de Del Paso con los cuatro derechos de Morris,
pero lo que realmente interesa es constatar que algunas de estas acciones ilcitas pueden estar ya
recogidas en el derecho legislativo, aunque hayan sido incluidas con independencia de la tipicidad
exclusiva del hecho informtico. Se trata, en este caso, de una regulacin por analoga que parece
insuficiente para cubrir todas las particularidades informticas.

Internacionalizacin de los Problemas del Derecho Informtico

Las redes de computadoras y su alcance internacional permiten la difusin de programas, datos y,
en definitiva, sistemas que sobrepasan las fronteras de los pases. Esta es la razn por la que
resulta de gran utilidad atenerse a los resultados del derecho comparado en el mbito
internacional, en concreto al que hace referencia a los aspectos informticos. En este sentido cabe
destacar los trabajos de Sieber, 1986, ySieber, 1990, por ejemplo, o estudios puntuales sobre leyes
concretas, como el que hace Wasik (1992) sobre "el acto de abusar de la informtica" .
El trabajo de Sieber establece como un aspecto importante el hecho de que los sistemas
informticos ya no sean tratados como objetos fsicos, ya que son el soporte de objetos que no
tienen una realidad fsica, como es la informacin y su distribucin.
Sieber sugiere que el cambio de paradigma que representa el paso de objetos corpreos a
incorpreos, justifica la necesidad de leyes especficas propias de la informtica. En este sentido
Sieber, como un resultado de su trabajo sobre el derecho comparado, opina que "el rgimen legal
para la informacin no se puede derivar por analoga de las reglamentaciones de los objetos
corpreos". Sieber se concentra en la especificidad de la informacin y las tecnologas que estn
asociadas, para as renunciar a la posibilidad de tratar legalmente el factor informtico: la
utilizacin por analoga de las leyes ya existentes sobre el hurto, la proteccin de la propiedad, el
vandalismo, etctera.
De hecho, los estudios realizados sobre legislacin comparada marcan claramente estas dos
tendencias en el tratamiento legal del aspecto informtico: leyes especficas o la aplicacin
analgica de leyes ya existentes. En realidad, las dos opciones no parecen ser excluyentes una de
la otra y, de hecho, se proporcionan conjuntamente en el ordenamiento legal de diversos pases. A
pesar de todo, es fcil estar de acuerdo con Sieber. Aunque la incorporacin de los objetos
informticos y las diferentes caractersticas de la informacin en las leyes provoca slo una disputa
entre muchos, cabe pensar en la necesidad de leyes especficas para tratar en forma adecuada el
fraude y la delincuencia informtica.
Es importante tomar en cuenta que, tal y como ha sucedido varias veces, la potencialidad de las
tecnologas de la informacin; el carcter revolucionario de su impacto en las organizaciones
sociales; el dinamismo propio de la informtica, y la multiplicidad de formas que pueden tener el

fraude y la delincuencia informtica, hacen prcticamente imposible esperar que la jurisprudencia

responda completamente a todas las modalidades de fraude y delitos informticos. Por eso, como
sucede en otras profesiones de gran incidencia social, se debe contar, por el bien de la sociedad,
con un cdigo completo, tico y deontolgico, que gobierne la actuacin de los profesionales
informticos y, de hecho, evite gran parte del peligro de fraude que ofrecen las nuevas tecnologas
de la informacin.

Tipologa del Fraude Informtico

Cuando se menciona el fraude informtico resulta habitual hacer referencia a los trabajos de Donn
B. Parker, jefe consultor del SRI (Stanford Research Institute). Parker estudia el tema del fraude y
la delincuencia informtica desde los aos setenta, atenindose a lo que l nombra "cuatro
dimensiones" del problema, que sintetiza en:
-El modus operandi;
-La tipologa de los autores de los fraudes informticos;
- Los problemas ticos asociados, y
-Los precedentes legales ya existentes y la legislacin todava pendiente sobre este asunto.
El tratamiento de las dos primeras "dimensiones" del problema es desarrollado por Parker en su
primer libro sobre delitos informticos (Parker, 1976). El texto de 1983 (Parker) utiliza una
perspectiva histrica para profundizar en el anlisis de las dos ltimas "dimensiones". Por ser este
trabajo el pionero en la materia, se le ha dado una gran difusin y adems una justificacin,
porque a menudo tal vez se haga referencia a l aun sin citar el origen. Tambin explica la
existencia de trabajos que pretenden complementar su estudio, dando nuevas aportaciones sobre
el mtodo de deteccin del fraude o las evidencias que pueden sugerir su presencia (Agenda
Hispamex, 1981).
De esta tipologa tan difusa del modus operandi del fraude informtico, se puede remarcar su
aspecto coyuntural y la necesidad evidente de actualizarse continuamente, para considerar las
nuevas tcnicas que el dinamismo de la tecnologa informtica produce en los nuevos sistemas.
Las principales formas de fraude informtico que Parker consideraba se realizaban hasta 1983,
son:
-Introduccin de datos falsos (data diddling). Consiste en la manipulacin fraudulenta de las
transacciones de entrada a un sistema informtico, al introducir movimientos falsos o eliminar la
entrada de operaciones reales.
-Caballo de Troya (Trojan horse). En un programa normal se incluyen una serie de instrucciones no
autorizadas, que actan, en ciertos casos, de forma diferente en aquello que haba sido previsto,
evidentemente, en beneficio del autor o para sabotear al usuario.

-Tcnica del salami (salami technique). Consiste en pequeas manipulaciones que, sumadas, hacen
un gran fraude. Es habitual citar en este punto el no demostrado y casi mtico caso de la desviacin
fraudulenta de centavos en transacciones bancarias o nminas.
-Uso no autorizado de programas especiales (superzapping). Hace referencia a la utilizacin no
autorizada de cualquier programa para alterar datos y resultados, u obtener informacin. El
nombre en ingls de este tipo de fraude deriva de un conocido programa de servicio de ciertos
sistemas de IBM: "superzap".
- Puertas falsas (trap doors). Consiste en hacer "agujeros" y defectos en la seguridad de los
sistemas y las "entradas especiales", que generalmente, con aspecto de provisionalidad, poseen
los programas para hacer ms gil su proceso de prueba y depuracin, y permitir que la instalacin
de la versin definitiva sea exitosa.
-Bombas lgicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando rutinas
ocultas (la bomba lgica). En cada ejecucin de un programa, por ejemplo, al llegar a un cierto
valor, se ejecuta una operacin destructiva. Es un procedimiento que, regulado por una
computadora o por un dato clave, se convierte en el ms habitual de los virus informticos.
- Ataques asncronos (asynchronous attacs). Se aprovecha la posibilidad que tiene el sistema
operativo de volver a inicializar el sistema en condiciones diferentes a las autorizadas, como por
ejemplo en ciertos puntos de recuperacin del sistema. Un ejemplo de un ataque asncrono sera
un programa que reproduzca la pantalla de entrada en un sistema. Cuando el usuario proporciona
su clave, se almacena esta informacin en un archivo de la persona que est realizando el fraude.
De esta manera logra el acceso que le estaba prohibido.
-Recogida de informacin residual (scavengig). Consiste en aprovechar todo tipo de desechos,
como listados y manuales tirados en la papelera, que no han sido destruidos; emplear el estado
final de la memoria al finalizar la ejecucin de un programa, etctera, para obtener informacin
reservada y sensible.
- Divulgacin no autorizada de datos reservados (data leakage). Tambin incluye la divulgacin no
autorizada de informacin secreta, obteniendo los datos por espionaje o al adquirirlos de manera
fraudulenta de informacin destinada a otra finalidad, como por ejemplo del censo electoral,
informacin mdica, etctera.
-Entrada a caballo (piggybacking and impersonation). Conocido tambin como "ingeniera social",
consiste, por ejemplo, en hacerse pasar por otra persona para conseguir informacin reservada.
- Intervencin de lneas (wiretapping). Se intervienen las lneas de comunicacin informtica para
acceder o manipular los datos que por ellas circulan.
-Simulacin y modelado de delitos (simulation and modeling). Se utiliza una computadora para
planear y controlar un delito mediante tcnicas de simulacin, que permiten ver qu pasara si
realmente se realiza el delito.

Diversos estudios sobre el comportamiento de los manipuladores no autorizados de los sistemas

informticos (hackers), indican que van incorporando nuevas "tcnicas", las cuales, a veces, son
nuevas o simplemente variaciones sobre algunos de los tipos centrales y cannicos ya expresados
por Parker.
Libros especializados en el comportamiento de los hackers (Skoll, 1985; Raymond, 1991; Hafner y
Morkoff, 1991, y Clough y Mungo, 1992) o versiones casi periodsticas de estudios sobre el fraude
informtico (Sneyers, 1990), mencionan nuevas modalidades de fraude y delincuencia informtica.
Como ejemplo de algunas de stas, se puede mencionar:
-Exploracin (scanning). Consiste en hacer una exploracin secuencial para encontrar los nmeros
telefnicos o las claves de usuario que permiten el acceso a la computadora o a los sistemas
informticos reservados.
-Mirar sobre el hombro (shoulder surfing). Como su nombre lo indica, se trata de mirar sobre el
hombro de un operador autorizado, para seguir el movimiento de sus dedos sobre el teclado
cuando escribe su clave, con el fin de robrsela.
-Buscar en la basura (dumpster diving). Es una nueva variante de la "recogida de informacin
residual" establecida por Parker. Se buscan en la basura los documentos que no fueron destruidos
y que contienen informacin sensible.
-Mistificacin (spoofing). Es la nueva denominacin que se le da a la anteriormente llamada
"ingeniera social", que permite obtener informacin con engaos y simulacin de personas.
Es fcil observar que la cantidad de mtodos aumenta con el tiempo, as como el ingenio, que
nunca falta, de los interesados en cometer un fraude y delitos informticos.
Por eso la referencia a la docena de mtodos mencionados por Parker ser siempre una tipologa
limitada, como, de hecho, lo ser cualquier otra tipologa, debido al dinamismo de la informtica y
los hackers.

Hackers. Del Romance al Fraude

Si bien la tipologa del modus operandi del fraude y la delincuencia informtica de Parker es
bastante difusa, lo son mucho menos las otras "dimensiones" que, segn los especialistas
indiscutibles en el tema, acompaan al fenmeno. Una es la que hace referencia a las
caractersticas de los autores de los fraudes informticos: los hackers. De hecho, el objetivo central
del segundo libro de Parker, sobre los delitos informticos(Parker, 1983), se centra en "la
esencia del problema: la gente se dedica a delinquir y no se preocupa de los instrumentos que va a
utilizar".
Posiblemente todo comenz con los phreakers, manipuladores no autorizados de las lneas
telefnicas norteamericanas de los aos sesenta. La voluntad por utilizar fraudulentamente las
lneas telefnicas de la compaa telefnica Bell, la principal de Estados Unidos, para lograr

gratuitamente la posibilidad de hacer llamadas de larga distancia, estimul la actividad de un

grupo de jvenes, que denominaron a su actividadphreaking. Los phreakers tomaron su nombre
de la conjuncin de freak (suceso anormal), phone (telfono) y free (gratuito o libre). Se puede ver
que ellos mismos recogen en su nombre el carcter marginal de su actividad, que, inicialmente,
poda responder a objetivos posiblemente romnticos de liberacin de cierto servilismo de la
tecnologa. Clough y Mungo (1992) dan una descripcin detallada de las actividades de los
phreakers.
Dado que los sistemas telefnicos utilizan computadoras, los phreakers se convirtieron en
manipuladores no autorizados de los sistemas informticos, pero en los aos sesenta y setenta
aparece otro tipo de manipuladores no autorizados: los hackers.
El atractivo innegable de hacer programas de todo tipo, provoca el surgimiento de especialistas
informticos, jvenes, decididos y, seguramente, con una gran curiosidad intelectual, a quienes se
les da el nombre de hackers. Segn el diccionario de Raymond (1991), hackers originalmente eran
aquellas personas que "hacen muebles a golpe de hacha". Adems define al hacker, en la primera
acepcin, como "una persona que goza explorando los detalles de los sistemas programables para
extender sus capacidades, oponindose a los usuarios que prefieren aprender slo lo mnimo
necesario". Esta es una visin positiva y romntica del hacker que, desgraciadamente, ha
evolucionado en un sentido negativo, dando como resultado las terribles consecuencias de sus
actividades en la actualidad.
Con relacin al sentido positivo tpico de la primera actividad de los hackers, el diccionario de
Raymond cita como sptima acepcin: "una persona que disfruta con el reto intelectual de la
creatividad para superar o esquivar limitaciones". Esta definicin, de nuevo, nos lleva a una visin
romntica y positiva del hacker, que tendra ms un afn de conocimiento y superacin de retos,
actividades francamente muy atractivas para los jvenes que ahora adoptan el ejercicio creciente
de los hackers. As fueron, seguramente, las condiciones para algunos de los primeros hackers de
los bellos tiempos, en los aos sesenta y setenta.
El cambio de gran importancia que Parker introduce en su segundo libro sobre el delito
informtico (Parker, 1983), es precisamente la constatacin de la prdida de este romanticismo.
Las terribles consecuencias de las actividades de los hackers llevan a Parker a abandonar una
cierta pica romntica, perceptible en su primer libro (Parker, 1976), para dar una descripcin
menos sensacionalista de los delitos informticos y sus perpetradores, y abandonar
definitivamente el tono de curiosidad intelectual propiciado por una tecnologa como la
informtica, mucho ms nueva y sorprendente en los aos sesenta y setenta que ahora. El
romanticismo desaparece del todo y los hackers pasan a ser considerados como "gente fuera de la
ley que provoca perjuicios a otros".
Como no poda ser menos, diccionarios como el de Raymond, escritos desde la ptica del "buen
hacker" de los aos sesenta y setenta, no pueden evadir esta nueva acepcin del hacker, diciendo
que es "un entrometedor malicioso que intenta descubrir informacin sensible, escudriando en
los sistemas".

Es mucha la literatura que se puede encontrar sobre las actividades de los hackers, pero cabe
mencionar especficamente el trabajo de Clifford Stoll (1985) sobre la utilizacin de hackers
alemanes por parte de la KGB sovitica, para intentar obtener secretos militares norteamericanos.
Este espionaje se consigui explotando la existencia de una "puerta falsa" en el sistema operativo
del Lawrence Berkeley Laboratories, del cual Stoll era el encargado provisional de supervisar. El
resultado fue que las investigaciones de Stoll, narradas casi como una novela policaca y de una
manera muy amena, se encontraron con la desidia y el poco inters de los responsables de las
instituciones encargadas de administrar la seguridad de los sistemas informticos en Estados
Unidos. Algunos libros (Clough and Mungo, 1992*), yHafner and Morkoff, 1991) se ocupan de este
caso, proporcionando datos, tales como los resultados de los juicios que se llevaron a cabo y que
no se contemplan en el relato de Stoll.
Otro caso famoso es el de Robert T. Morris y su programa, que se difundi y duplic varias veces,
bloqueando Internet en Estados Unidos el 2 de noviembre de 1988. El hecho curioso en este caso,
y tal vez intrigante, es la relacin familiar del autor de la fechora con Bob Morris, su padre,
entonces director de la NCSC (National Computer Security Center) norteamericana, encargada,
precisamente, de la seguridad de los sistemas informticos de ese pas. Se lleg a comentar que el
ataque de Morris hijo a la seguridad de Internet, podra estar relacionado con las repetidas
peticiones de Morris padre de reforzar la seguridad de la red. Obviamente y como era de
esperarse, ambos niegan dicha relacin. Este caso est ampliamente descrito en Hafner and
Morkoff, 1991) y en (Clough and Mungo, 1992),
En Europa se dio el caso del programa de Christmas, desarrollado, segn parece, por un estudiante
de Hannover, que se presentaba como una felicitacin navidea informatizada. El problema fue
que mientras se mostraba el programa Christmas en la pantalla del usuario, aquel buscaba su lista
de correspondencia electrnica y enviaba copias a todas las direcciones registradas en ella. Este es
un claro ejemplo del "caballo de Troya", en la denominacin de Parker. Lo que posiblemente fue
en un inicio una broma, despus de todo no maliciosa, se convirti en un problema grave cuando,
despus de superar la red informtica de la Universidad Clausthal-Zellerfeld de Hannover, lleg a
la red del servicio de investigacin europeo EARNET (European Academic Research Network), para
saturar finalmente la red VNET interna de IBM de Europa, el 15 de diciembre de 1987. Algo que
comenz posiblemente como un juego, acab como un perjuicio grave en una compaa privada,
que desde entonces se ha visto obligada a implementar sistemas de seguridad que detecten la
presencia de programas indeseables para borrarlos automticamente. Este es un ejemplo tpico de
cmo la inconsciencia de un hacker puede producir un gran perjuicio.
Hay muchos ms casos de actividades de los hackers. Se describen en los libros(Clough and
Mungo, 1992),y Hafner and Morkoff, 1991). Lo ms preocupante es el crecimiento de los casos
claramente orientados a la actividad delictuosa. Por poner un ejemplo, recogido en (Clough and
Mungo, 1992), se puede mencionar el caso de "Kyrie", Leslie Lynne Doucette, una canadiense que
en 1989 administraba una red de unos 150 hackers, especializados en obtener informacin
sensible para ser utilizada en la realizacin de robos. Les encontraron 118 tarjetas de crdito Visa,
150 de MasterCard, 2 de American Express y 171 tarjetas de servicio telefnico de las compaas

ATT e ITT, as como 39 cdigos de autorizacin de centrales telefnicas y datos PBX. Todo un botn
producto de una actuacin claramente delictuosa de los hackers.
Otra actividad de los hackers es la creacin y difusin de virus, ya bastante conocida y divulgada en
libros, como por ejemplo Lendell (1989) y (Clough and Mungo, 1992),. El virus es una rutina o
programa aadido a un programa normal, que al ser ejecutado activa un virus que produce, por
ejemplo, alguna accin destructiva en el sistema sobre el que se est trabajando. Lo ms
importante y peligroso de un virus, de ah la similitud biolgica y mdica de su nombre, es su
capacidad reproductiva para infectar otras unidades de disco, difundindose rpidamente al
amparo, por caso, de la creciente piratera del software existente en el mundo de la
microinformtica.
Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms), que no
dependen de otros programas y son en s mismos programas aislados y autosuficientes, como
sucedi, por ejemplo, en el caso del programa que Robert T. Morris esparci por Internet a finales
de 1988. Utilizando el trmino empleado por Parker, tambin se puede hablar de los "caballos de
Troya", como el caso del programa del estudiante de Hannover, que colaps la red interna de IBM
en Europa, o bombas lgicas como la renombrada "Viernes 13", que se activa precisamente en esa
fecha. A sta los periodistas la han hecho famosa.
Han surgido empresas y programas especializados en la deteccin y la lucha contra los virus tan
frecuentes en la microinformtica. El texto de Clough y Mungo (1992)expone con detalle el tema
de los virus, y pone una particular atencin a lo que llama "la fbrica blgara" de virus y la
actividad del hacker, conocida como Dark Avenger (el vengador tenebroso).
A pesar de que se comenz con un aura de romanticismo, de superacin del reto que ofreca una
nueva y prometedora tecnologa, la realidad es que los hackers de hoy pueden ser, de hecho dan
indicios de que lo son, un grave problema pblico. Los hackers que no son conscientes de la
gravedad y el peligro de sus actos, consideran sus acciones como un juego, mientras que los
claramente conscientes de sus conocimientos informticos para robar informacin sensible o
difundir programas indeseables, forman el ejrcito de delincuentes informticos potenciales que
pueden utilizar de mala manera las grandes posibilidades de una tecnologa como la informtica.
El incremento de las medidas de seguridad en los sistemas informticos, ha llegado a convertirse
en una nueva responsabilidad para los profesionales conscientes, por desgracia no siempre muy
abundantes en una profesin a menudo condicionada por la celeridad y los requerimientos
econmicos en la instalacin apresurada de nuevos sistemas.
Investigacin y Prueba del Fraude Informtico
Desgraciadamente el fraude y la delincuencia informtica, adems de presentar una gran
variedad, resultan francamente difciles de detectar y, aun ms, de probar.

Hay caractersticas concretas de la tecnologa que explican este aspecto tpico de la delincuencia
informtica. Castillo y Ramallo (1989) indican una serie de factores, no todos de igual importancia,
como los que se indican a continuacin:

La concentracin de la informacin, tpica de la informtica, que facilita en cierta forma,

por su localizacin centralizada, el hurto de datos, a pesar de que se piense que con los
modernos sistemas distribuidos esta caracterstica resultar cada vez menos importante.
La falta de registros visibles que hacen ms difcil y complicada la investigacin de los
hechos.
La posibilidad de alterar los programas y los datos, sin dejar prcticamente el ms mnimo
rastro o pista que permita descubrir la alteracin efectuada.
La facilidad para eliminar las pruebas, simplemente haciendo desaparecer programas y
datos con una sencilla operacin del teclado.
La dispersin territorial de los puntos de entrada a los sistemas informticos y, por tanto,
el aumento de los puntos de origen de los ataques de los hackers.
La falta de controles internos y mecanismos de seguridad de la gran mayora de los
sistemas informticos, y su falta de proteccin frente a los ataques de los hackers.
La falta, an ms grave, de seguridad para con los propios operadores y el personal
tcnico responsable de los sistemas, que pueden ser, tambin, perpetradores de fraudes y
delitos informticos.

Estas son algunas de las caractersticas propias de la tecnologa informtica, que permiten explicar
la dificultad para detectar un fraude o un delito informtico. Muchas posibles soluciones a estos
problemas, estn condenadas a ser rpidamente superadas por el dinamismo de la informtica, as
como por la evolucin y el aumento de las capacidades de intrusin de los hackers.
Para detectar el fraude o el delito informtico y, sobre todo, para obtener en forma indiscutible las
pruebas, es til tener conocimientos tcnicos que, como en el caso de la auditora informtica,
resultan difciles, si no es que imposibles de obtener, a causa de la variedad y multiplicidad de los
sistemas informticos existentes.
Para un especialista en auditora informtica como Del Paso (1990), obligado a creer en la
efectividad final del proceso de auditora en sistemas informticos, la solucin parece consistir en
dejarla en manos de los profesionales de esta vertiente moderna de la auditora y el control de
sistemas.
Seguramente no es sta la nica ni la mejor de las soluciones posibles para impedir, detectar y
probar el delito informtico. Los problemas que el mismo Del Paso considera como un presente
inevitable, resultan difcilmente superables. Algunos de estos problemas, son:

Desaparicin de los elementos de prueba, por el propio dinamismo del sistema

informtico o como producto de una manipulacin interesada.
Aparente desvinculacin temporal del delincuente informtico con el delito o el fraude,
preparado con mucha antelacin, ya que el hecho delictuoso puede presentarse mucho

tiempo despus de haber sido preparadas, por ejemplo, las bombas lgicas activadas
temporalmente.
Falta de conocimientos especficos entre los auditores informticos o entre los miembros
del cuerpo de seguridad, sobre la forma de proceder en la detencin del delincuente y la
obtencin de pruebas.
Falta de una legislacin especfica para el reconocimiento y la sancin del fraude y la
delincuencia informticos.
Dificultad para aceptar las pruebas en el ordenamiento jurdico actual, debido, por
ejemplo, a su incorporeidad.
Posibilidad de que el delincuente forme parte del personal de la empresa u organizacin
investigadora, lo que le permita disponer de informacin sobre el desarrollo de la
investigacin para interferir en la misma.

Como se puede observar, hay todo un conjunto de dificultades aadidas a un problema de por s
difcil, complejo y con gran variabilidad y dinamismo.
tica y Deontologa Profesional
Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad es que una
gran mayora de los especialistas informticos que han estudiado con detalle el tema del fraude y
la delincuencia informtica, acaban coincidiendo en la imposibilidad de que el derecho compile y
regule todos los aspectos del delito informtico. Las posibilidades tecnolgicas son muchas y
cambiantes; las modalidades de fraude aumentan da a da; el nmero y la capacidad de los
hackers aumentan tambin con la creciente difusin de la microinformtica y los sistemas
distribuidos, y las caractersticas de la tecnologa informtica hacen especialmente difcil la
deteccin y la prueba de los delitos.
Este es un panorama nada entusiasta, que ha llevado cada vez ms a poner el acento en la
responsabilidad social de los profesionales de la informtica que construyen los sistemas. El
llamamiento a la responsabilidad se centra en la necesidad de: no dejar "puertas falsas"; proteger
la informacin sensible; detectar "caballos de Troya" y "bombas lgicas" que busquen introducirse
en los sistemas; poner mucha atencin en lo que se desecha en la papelera; proteger las lneas de
comunicacin con los sistemas de "encriptacin", etctera. En definitiva se trata de aumentar
significativamente la seguridad en los sistemas informticos, para que resistan ante los inevitables
intentos de intrusin de toda clase de hackers.
Comienza as un nuevo tema: la necesidad de incidir en la tica y la deontologa profesional de los
informticos que, otra vez, ha recibido un importante empuje con los trabajos del pionero Parker,
desde 1981, que ha seguido desarrollando posteriormente l mismo con sus colaboradores Swope
y Baker (1990), y otros autores como Johnson (1985), Forrester y Morrison(1990), as como
Ermann, William y Gutirrez (1990), y muchos ms.
El problema, nada banal, es convencer a la comunidad profesional informtica sobre la necesidad
de un comportamiento tico, serio y responsable, en su actividad profesional cotidiana. Ya Parker

(1983) resalt su convencimiento de que de todas las posibles medidas preventivas ante el fraude
y la delincuencia informtica, la ms eficiente sera que los profesionales informticos acepten
unos estndares ticos que les permitan responder ante el reto que el fraude y la delincuencia
informtica representan por toda la tecnologa informtica. La informtica sin controles puede
llegar a ser una tecnologa perjudicial para la sociedad que la utiliza.
En este sentido, es bueno destacar la buena respuesta institucional de las principales asociaciones
mundiales de profesionales de la informtica: la IFIP (International Federation for Information
Processing) y la ACM (Association of Computing Machinery), que estn en proceso de elaborar y
perfeccionar cdigos ticos, que pueden ser una gua en la actividad profesional de los
desarrolladores de sistemas informticos.