16/1/2018 RDU

El Fraude y la Delincuencia Informática: Un Problema Jurídico y Etico

30 de junio del 2002 Vol.3 No.2

Begoña Albizuri
albizuri@itam.mx
Instituto Tecnológico Autónomo de México

Palabras Clave: fraude informático, hackers, delincuencia informática, ética, deontología, jurisprudencia.

Resumen
El presente artículo analiza la problemática referente al fraude y la delincuencia
informática. Asimismo, colabora en la caracterización del fraude informático y los hackers
("entrometidos"), quienes se dedican a perpetrarlos. En el artículo se argumenta y
justifica la dificultad en la detección y la prueba del delito informático. Finaliza con la
propuesta de la necesidad de un código ético y una deontología profesional propia de los
informáticos, como la forma más adecuada para evitar el fraude y la delincuencia
informática, colaborando en el incremento de la seguridad de los sistemas informáticos.

The Fraud and Computer Crime: a Legal and an Ethical Problem

Key Words: hackers, computer fraud, computer crime, ethics code, jurisprudence.

Abstract
The article analizes problems related to computer fraud and delinquency. In adition it
contributes a characterization of computer fraud and the hackers who perpetuate it. The
article argues and justifies the difficulty in the detection and proof of computer-related
crime. It concludes with the proposal of the need to develop an ethics code and
professional deontology for computer related issues, as the best way to avoid computer
fraud and crime, and thus collaborating in increasing the levels of security of computer
systems.

Artículo
Introducción
Las tecnologías muy dinámicas como la informática, rápidamente son objeto de la
posibilidad de su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de
regular jurídicamente las consecuencias y las responsabilidades.

Para tipificar las nuevas posibilidades de delinquir a raíz de la aparición de una nueva
tecnología ubicua y multiforme como la informática, se requieren esfuerzos conjuntos de
parte de la justicia y la propia informática. Esto conduce a la formulación de discursos en
los que cada parte utiliza un lenguaje especializado y claramente diferenciado entre sí.

Los juristas disponen de un vocabulario técnico propio que para los informáticos resulta
extraño. Al mismo tiempo los informáticos son conocidos por el carácter tal vez
exageradamente críptico de su vocabulario técnico que, evidentemente, también resulta
desusado para los juristas. La dificultad para aproximar conceptos formulados con
vocabularios distanciados, es uno de los problemas implícitos en el tratamiento de temas
como el delito y el fraude informático.

En el presente trabajo se tratan los temas del delito y el fraude informáticos desde el
punto de vista de un informático, intentando reducir la especificidad del propio lenguaje

http://www.revista.unam.mx/vol.3/num2/art3/#1z 1/13
16/1/2018 RDU

técnico para favorecer la comprensión de los lectores con formación jurídica.

Un sistema de información es aquél que compila, almacena, procesa y distribuye

información. De hecho, los sistemas de información no son una novedad reciente. Se
puede decir que han existido siempre y en todo tipo de actividad humana, pero es
precisamente la potencialidad de su implementación basada en la tecnología informática y
en las comunicaciones electrónicas, lo que induce al planteamiento de cuestiones como
las que se abordan en este trabajo.

El número de veces que una tecnología es capaz de mejorar la función y el objetivo

encomendados, se conoce como "factor multiplicador de la tecnología". Los factores
multiplicadores de las tecnologías convencionales, a pesar de su gran potencialidad,
tienen un orden de magnitud limitado: 15 en el caso de la automoción, 150 en la aviación
y 1000 para la revolución industrial. El aspecto diferenciador de la tecnología informática
de los sistemas de información distribuidos, se encuentra en un factor multiplicador muy
grande que alcanza una magnitud del orden de billones, como resultado de la conjunción
sinérgica de la tecnología informática del procesamiento de datos y la tecnología paralela
de las comunicaciones informáticas. Ambas presentan, individualmente, un factor
multiplicador del orden de millones, ya que, respectivamente, multiplican la velocidad
"manual" del proceso y la comunicación de datos por un factor del orden del millón.

Esta potencialidad, que implica el gran factor multiplicador de la tecnología informática, se

ha desarrollado en un periodo de tiempo francamente breve. Hace poco más de sesenta
años que hizo su aparición pública la primera computadora electrónica: la ENIAC,
presentada el 15 de febrero de 1941. El aumento en la potencialidad ha sido
significativamente grande con la miniaturización de los sistemas. Forester and Morrison
(1990) mencionan un ejemplo clásico: "si la automoción hubiese tenido un desarrollo
parecido, ahora se podría adquirir un Rolls Royce por menos de 15 dólares y, además,
este vehículo dispondría de una potencia comparable a la de un trasatlántico como el
'Queen Elizabeth' y sería capaz de recorrer un millón de kilómetros, unas 25 vueltas
alrededor del mundo, con sólo un litro de benzina. Todo un sueño que, de hecho, en el
ambiente informático es tecnológicamente posible".

Estas características particulares han propiciado el hablar de una revolución industrial

llamada "de las tecnologías de la información", que se manifiesta claramente en la
actividad cotidiana del mundo moderno. Textos como el de Forester and Morrison (1990•)
analizan y detallan algunas de las posibilidades y los problemas que presenta esta
revolución de las tecnologías de la información.

Paralelamente a la potencialidad que ofrece una tecnología transformadora como la

informática, surge también un crecimiento en los riesgos y los peligros, que son, en cierta
forma, proporcionales a la gran potencialidad de las tecnologías de la información. Pero
precisamente esta evolución tan rápida de la informática supone la existencia de una
inevitable separación temporal, esto, entre los aspectos informáticos que se deben
regular jurídicamente y el nacimiento de la ley que los regule y, lo que es más importante
y específico, la inevitable temporalidad de la justicia frente a las nuevas tecnologías
esencialmente cambiantes como la informática.

Anteriormente era frecuente entre los informáticos reflexionar sobre la vulnerabilidad de

una sociedad sometida a las posibilidades de las tecnologías de la información. Incluso
instituciones como la IFIP (International Federation for Information Processing) se
preocuparon por el tema: en un congreso que realizó en 1992 se presentó el material de
base para el estudio sobre "riesgos y vulnerabilidad en una sociedad artificial y basada en
la información" [BER 92].

El texto de la IFIP hace énfasis en tres ejemplos, que considera típicos sobre la
vulnerabilidad creciente de una organización social basada en forma casi absoluta en las
tecnologías de la información, la que denomina "sociedad de la información". Los casos
mencionados hacen referencia, por ejemplo, al colapso de la bolsa de Wall Street el 19 de
octubre de 1987. Algunos consideraron que se debió a la ágil respuesta de los inversores
ante los cambios de cotizaciones, gracias a programas informáticos que incorporaban
http://www.revista.unam.mx/vol.3/num2/art3/#1z 2/13
16/1/2018 RDU

modelos esmerados del comportamiento del mercado de valores, ayudados por la

efectividad de los instrumentos de comunicación informatizados que ya dominaban la
bolsa. También es un caso evidente de vulnerabilidad los problemas potenciales en los
hospitales, cada vez más informatizados. Los errores o el mal uso de los sistemas
informáticos médicos o administrativos, pueden traer consecuencias graves como el
peligro de muerte. Berleur [BER 92] menciona también el problema, cada vez mayor, del
intercambio electrónico de datos y "objetos" intangibles, y la consideración del
"documento electrónico".

Delito y Fraude
Cuando se habla de fraude y delincuencia informática, generalmente se hace referencia a
una manera muy genérica, ya que es muy difícil concretar el "delito informático" como tal.
A menudo se entiende el delito informático como aquella acción dolosa que provoca un
perjuicio a personas o entidades, en la que intervienen dispositivos o programas
informáticos (Castillo y Ramallo, 1989). Considerar una actividad como delictuosa supone
necesariamente que el posible delito ha sido establecido como tal en las leyes de un país
determinado (Vázquez y Barroso, 1993).

Puesto que la legislación sobre delitos informáticos es todavía muy limitada en la mayoría
de los países, es común evitar hablar precisamente de "delito informático" y referirse al
"fraude informático", o más genéricamente a "delincuencia informática".
Independientemente del término que se utilice, entendemos el fraude como aquella
conducta realizada mediante un sistema informático con la que se busca conseguir un
beneficio ilícito.

Algunos autores (Vázquez y Barroso, 1993•). limitan el fraude informático a los actos
fruto de la intencionalidad, realizados con la voluntad de obtener un beneficio propio y, si
es posible, provocar un perjuicio a alguien. Así, se puede hablar también de un tipo de
fraude informático no intencionado, producto de un error humano al utilizar un sistema
informático o por un defecto del hardware o el software. Este tipo de fraude es conocido
como "error informático". En el caso del error informático puede no haber un beneficio
directo para quien causa el funcionamiento erróneo del sistema informático, pero sí un
perjuicio a los otros usuarios o a los propietarios del sistema.

Nuevas Necesidades y Nuevos Planteamientos

Las actuales posibilidades que ofrece la sociedad de la información, exigen nuevas
respuestas en los aspectos ético y jurídico. Para Mason (1986)hay 4 puntos éticos
ineludibles, los cuales, según Morris (1992), se convierten en "los cuatro derechos básicos
relevantes en la era de la información":

-Privacidad. Hace referencia a la necesidad de proteger la información de un uso no

autorizado.

-Exactitud. Se requiere de una alta calidad en la información, para que los procesos de
toma de decisiones que se realizan con ella sean efectivos.

-Protección. Se debe proteger el conocimiento que se almacena en las computadoras,

tanto los programas como los datos, es decir, los sistemas.

-Acceso. Los permisos para el acceso a la información deben ser adecuados, pero
estrictamente controlados.

Para autores como Morris (1992•), estas exigencias jurídicas, convertidas para él en
derechos, son el marco de referencia para la ineludible generación de un componente
ético en la conducta profesional de los especialistas en sistemas de información. De
hecho, los especialistas son los que disponen de más poder para "maltratar" los sistemas
de información y atentar contra estos nuevos derechos básicos de la era de la
información.

http://www.revista.unam.mx/vol.3/num2/art3/#1z 3/13
16/1/2018 RDU

En este sentido, algunos autores como Del Paso (1990) reconocen que la actividad
informática es muy vulnerable, por lo que defienden explícitamente el papel y la función
de los profesionales de la auditoria informática. Sintetizan en cinco grupos, más o menos
diferenciados, a la delincuencia informática:

-El fraude informático, entendido como el uso indebido o la manipulación fraudulenta de

los elementos informáticos de cualquier tipo, que produce un beneficio ilícito.

-El hacking o "terrorismo lógico", que incluye los casos de vandalismo, terrorismo,
destrucción, etcétera, que provocan perjuicios. Son motivados por venganzas, chantajes,
sabotajes o un mal uso de la curiosidad intelectual, la cual caracterizó a los primeros
hackers o manipuladores no autorizados de sistemas informáticos.

-Las acciones físicas realizadas contra la integridad de los sistemas informáticos.

-Atentar contra el derecho a la integridad de las personas, gracias a la existencia de

bases de datos informatizadas y las posibilidades que presenta la misma informática para
vulnerar los, a menudo, escasos sistemas de seguridad operativa.

- Atentar contra la propiedad intelectual informática que, de forma exageradamente

simplificada, se llama coloquialmente "piratería del software", olvidándose de la
posibilidad de una equivalente piratería del hardware que, de hecho, corresponde a un
caso típico de espionaje industrial.

Resulta fácil relacionar las cinco figuras delictuosas de Del Paso con los cuatro derechos
de Morris, pero lo que realmente interesa es constatar que algunas de estas acciones
ilícitas pueden estar ya recogidas en el derecho legislativo, aunque hayan sido incluidas
con independencia de la tipicidad exclusiva del hecho informático. Se trata, en este caso,
de una regulación por analogía que parece insuficiente para cubrir todas las
particularidades informáticas.

Internacionalización de los Problemas del Derecho Informático

Las redes de computadoras y su alcance internacional permiten la difusión de programas,
datos y, en definitiva, sistemas que sobrepasan las fronteras de los países. Esta es la
razón por la que resulta de gran utilidad atenerse a los resultados del derecho comparado
en el ámbito internacional, en concreto al que hace referencia a los aspectos informáticos.
En este sentido cabe destacar los trabajos de Sieber, 1986, y Sieber, 1990, por ejemplo,
o estudios puntuales sobre leyes concretas, como el que hace Wasik (1992) sobre "el acto
de abusar de la informática" .

El trabajo de Sieber establece como un aspecto importante el hecho de que los sistemas
informáticos ya no sean tratados como objetos físicos, ya que son el soporte de objetos
que no tienen una realidad física, como es la información y su distribución.

Sieber sugiere que el cambio de paradigma que representa el paso de objetos corpóreos a
incorpóreos, justifica la necesidad de leyes específicas propias de la informática. En este
sentido Sieber, como un resultado de su trabajo sobre el derecho comparado, opina que
"el régimen legal para la información no se puede derivar por analogía de las
reglamentaciones de los objetos corpóreos". Sieber se concentra en la especificidad de la
información y las tecnologías que están asociadas, para así renunciar a la posibilidad de
tratar legalmente el factor informático: la utilización por analogía de las leyes ya
existentes sobre el hurto, la protección de la propiedad, el vandalismo, etcétera.

De hecho, los estudios realizados sobre legislación comparada marcan claramente estas
dos tendencias en el tratamiento legal del aspecto informático: leyes específicas o la
aplicación analógica de leyes ya existentes. En realidad, las dos opciones no parecen ser
excluyentes una de la otra y, de hecho, se proporcionan conjuntamente en el
ordenamiento legal de diversos países. A pesar de todo, es fácil estar de acuerdo con
Sieber. Aunque la incorporación de los objetos informáticos y las diferentes características
de la información en las leyes provoca sólo una disputa entre muchos, cabe pensar en la

http://www.revista.unam.mx/vol.3/num2/art3/#1z 4/13
16/1/2018 RDU

necesidad de leyes específicas para tratar en forma adecuada el fraude y la delincuencia

informática.

Es importante tomar en cuenta que, tal y como ha sucedido varias veces, la potencialidad
de las tecnologías de la información; el carácter revolucionario de su impacto en las
organizaciones sociales; el dinamismo propio de la informática, y la multiplicidad de
formas que pueden tener el fraude y la delincuencia informática, hacen prácticamente
imposible esperar que la jurisprudencia responda completamente a todas las modalidades
de fraude y delitos informáticos. Por eso, como sucede en otras profesiones de gran
incidencia social, se debe contar, por el bien de la sociedad, con un código completo, ético
y deontológico, que gobierne la actuación de los profesionales informáticos y, de hecho,
evite gran parte del peligro de fraude que ofrecen las nuevas tecnologías de la
información.

Tipología del Fraude Informático

Cuando se menciona el fraude informático resulta habitual hacer referencia a los trabajos
de Donn B. Parker, jefe consultor del SRI (Stanford Research Institute). Parker estudia el
tema del fraude y la delincuencia informática desde los años setenta, ateniéndose a lo
que él nombra "cuatro dimensiones" del problema, que sintetiza en:

-El modus operandi;

-La tipología de los autores de los fraudes informáticos;

- Los problemas éticos asociados, y

-Los precedentes legales ya existentes y la legislación todavía pendiente sobre este

asunto.

El tratamiento de las dos primeras "dimensiones" del problema es desarrollado por Parker
en su primer libro sobre delitos informáticos (Parker, 1976). El texto de 1983 (Parker)
utiliza una perspectiva histórica para profundizar en el análisis de las dos últimas
"dimensiones". Por ser este trabajo el pionero en la materia, se le ha dado una gran
difusión y además una justificación, porque a menudo tal vez se haga referencia a él aun
sin citar el origen. También explica la existencia de trabajos que pretenden complementar
su estudio, dando nuevas aportaciones sobre el método de detección del fraude o las
evidencias que pueden sugerir su presencia (Agenda Hispamex, 1981).

De esta tipología tan difusa del modus operandi del fraude informático, se puede
remarcar su aspecto coyuntural y la necesidad evidente de actualizarse continuamente,
para considerar las nuevas técnicas que el dinamismo de la tecnología informática
produce en los nuevos sistemas.

Las principales formas de fraude informático que Parker consideraba se realizaban hasta
1983, son:

-Introducción de datos falsos (data diddling). Consiste en la manipulación fraudulenta de

las transacciones de entrada a un sistema informático, al introducir movimientos falsos o
eliminar la entrada de operaciones reales.

-Caballo de Troya (Trojan horse). En un programa normal se incluyen una serie de

instrucciones no autorizadas, que actúan, en ciertos casos, de forma diferente en aquello
que había sido previsto, evidentemente, en beneficio del autor o para sabotear al usuario.

-Técnica del salami (salami technique). Consiste en pequeñas manipulaciones que,

sumadas, hacen un gran fraude. Es habitual citar en este punto el no demostrado y casi
mítico caso de la desviación fraudulenta de centavos en transacciones bancarias o
nóminas.

http://www.revista.unam.mx/vol.3/num2/art3/#1z 5/13
16/1/2018 RDU

-Uso no autorizado de programas especiales (superzapping). Hace referencia a la

utilización no autorizada de cualquier programa para alterar datos y resultados, u obtener
información. El nombre en inglés de este tipo de fraude deriva de un conocido programa
de servicio de ciertos sistemas de IBM: "superzap".

- Puertas falsas (trap doors). Consiste en hacer "agujeros" y defectos en la seguridad de

los sistemas y las "entradas especiales", que generalmente, con aspecto de
provisionalidad, poseen los programas para hacer más ágil su proceso de prueba y
depuración, y permitir que la instalación de la versión definitiva sea exitosa.

-Bombas lógicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando
rutinas ocultas (la bomba lógica). En cada ejecución de un programa, por ejemplo, al
llegar a un cierto valor, se ejecuta una operación destructiva. Es un procedimiento que,
regulado por una computadora o por un dato clave, se convierte en el más habitual de los
virus informáticos.

- Ataques asíncronos (asynchronous attacs). Se aprovecha la posibilidad que tiene el

sistema operativo de volver a inicializar el sistema en condiciones diferentes a las
autorizadas, como por ejemplo en ciertos puntos de recuperación del sistema. Un ejemplo
de un ataque asíncrono sería un programa que reproduzca la pantalla de entrada en un
sistema. Cuando el usuario proporciona su clave, se almacena esta información en un
archivo de la persona que está realizando el fraude. De esta manera logra el acceso que
le estaba prohibido.

-Recogida de información residual (scavengig). Consiste en aprovechar todo tipo de

desechos, como listados y manuales tirados en la papelera, que no han sido destruidos;
emplear el estado final de la memoria al finalizar la ejecución de un programa, etcétera,
para obtener información reservada y sensible.

- Divulgación no autorizada de datos reservados (data leakage). También incluye la

divulgación no autorizada de información secreta, obteniendo los datos por espionaje o al
adquirirlos de manera fraudulenta de información destinada a otra finalidad, como por
ejemplo del censo electoral, información médica, etcétera.

-Entrada a caballo (piggybacking and impersonation). Conocido también como "ingeniería

social", consiste, por ejemplo, en hacerse pasar por otra persona para conseguir
información reservada.

- Intervención de líneas (wiretapping). Se intervienen las líneas de comunicación

informática para acceder o manipular los datos que por ellas circulan.

-Simulación y modelado de delitos (simulation and modeling). Se utiliza una computadora

para planear y controlar un delito mediante técnicas de simulación, que permiten ver qué
pasaría si realmente se realiza el delito.

Diversos estudios sobre el comportamiento de los manipuladores no autorizados de los

sistemas informáticos (hackers), indican que van incorporando nuevas "técnicas", las
cuales, a veces, son nuevas o simplemente variaciones sobre algunos de los tipos
centrales y canónicos ya expresados por Parker.

Libros especializados en el comportamiento de los hackers (Skoll, 1985; Raymond, 1991;

Hafner y Morkoff, 1991, y Clough y Mungo, 1992) o versiones casi periodísticas de
estudios sobre el fraude informático (Sneyers, 1990), mencionan nuevas modalidades de
fraude y delincuencia informática. Como ejemplo de algunas de éstas, se puede
mencionar:

-Exploración (scanning). Consiste en hacer una exploración secuencial para encontrar los
números telefónicos o las claves de usuario que permiten el acceso a la computadora o a
los sistemas informáticos reservados.

http://www.revista.unam.mx/vol.3/num2/art3/#1z 6/13
16/1/2018 RDU

-Mirar sobre el hombro (shoulder surfing). Como su nombre lo indica, se trata de mirar
sobre el hombro de un operador autorizado, para seguir el movimiento de sus dedos
sobre el teclado cuando escribe su clave, con el fin de robársela.

-Buscar en la basura (dumpster diving). Es una nueva variante de la "recogida de

información residual" establecida por Parker. Se buscan en la basura los documentos que
no fueron destruidos y que contienen información sensible.

-Mistificación (spoofing). Es la nueva denominación que se le da a la anteriormente

llamada "ingeniería social", que permite obtener información con engaños y simulación de
personas.

Es fácil observar que la cantidad de métodos aumenta con el tiempo, así como el ingenio,
que nunca falta, de los interesados en cometer un fraude y delitos informáticos.

Por eso la referencia a la docena de métodos mencionados por Parker será siempre una
tipología limitada, como, de hecho, lo será cualquier otra tipología, debido al dinamismo
de la informática y los hackers.

Hackers. Del Romance al Fraude

Si bien la tipología del modus operandi del fraude y la delincuencia informática de Parker
es bastante difusa, lo son mucho menos las otras "dimensiones" que, según los
especialistas indiscutibles en el tema, acompañan al fenómeno. Una es la que hace
referencia a las características de los autores de los fraudes informáticos: los hackers. De
hecho, el objetivo central del segundo libro de Parker, sobre los delitos informáticos
(Parker, 1983••), se centra en "la esencia del problema: la gente se dedica a delinquir y
no se preocupa de los instrumentos que va a utilizar".

Posiblemente todo comenzó con los phreakers, manipuladores no autorizados de las

líneas telefónicas norteamericanas de los años sesenta. La voluntad por utilizar
fraudulentamente las líneas telefónicas de la compañía telefónica Bell, la principal de
Estados Unidos, para lograr gratuitamente la posibilidad de hacer llamadas de larga
distancia, estimuló la actividad de un grupo de jóvenes, que denominaron a su actividad
phreaking. Los phreakers tomaron su nombre de la conjunción de freak (suceso anormal),
phone (teléfono) y free (gratuito o libre). Se puede ver que ellos mismos recogen en su
nombre el carácter marginal de su actividad, que, inicialmente, podía responder a
objetivos posiblemente románticos de liberación de cierto servilismo de la tecnología.
Clough y Mungo (1992•) dan una descripción detallada de las actividades de los
phreakers.

Dado que los sistemas telefónicos utilizan computadoras, los phreakers se convirtieron en
manipuladores no autorizados de los sistemas informáticos, pero en los años sesenta y
setenta aparece otro tipo de manipuladores no autorizados: los hackers.

El atractivo innegable de hacer programas de todo tipo, provoca el surgimiento de

especialistas informáticos, jóvenes, decididos y, seguramente, con una gran curiosidad
intelectual, a quienes se les da el nombre de hackers. Según el diccionario de Raymond
(1991), hackers originalmente eran aquellas personas que "hacen muebles a golpe de
hacha". Además define al hacker, en la primera acepción, como "una persona que goza
explorando los detalles de los sistemas programables para extender sus capacidades,
oponiéndose a los usuarios que prefieren aprender sólo lo mínimo necesario". Esta es una
visión positiva y romántica del hacker que, desgraciadamente, ha evolucionado en un
sentido negativo, dando como resultado las terribles consecuencias de sus actividades en
la actualidad.

Con relación al sentido positivo típico de la primera actividad de los hackers, el diccionario
de Raymond cita como séptima acepción: "una persona que disfruta con el reto intelectual
de la creatividad para superar o esquivar limitaciones". Esta definición, de nuevo, nos
lleva a una visión romántica y positiva del hacker, que tendría más un afán de
conocimiento y superación de retos, actividades francamente muy atractivas para los
jóvenes que ahora adoptan el ejercicio creciente de los hackers. Así fueron, seguramente,
http://www.revista.unam.mx/vol.3/num2/art3/#1z 7/13
16/1/2018 RDU

las condiciones para algunos de los primeros hackers de los bellos tiempos, en los años
sesenta y setenta.

El cambio de gran importancia que Parker introduce en su segundo libro sobre el delito
informático (Parker, 1983•), es precisamente la constatación de la pérdida de este
romanticismo. Las terribles consecuencias de las actividades de los hackers llevan a
Parker a abandonar una cierta épica romántica, perceptible en su primer libro (Parker,
1976), para dar una descripción menos sensacionalista de los delitos informáticos y sus
perpetradores, y abandonar definitivamente el tono de curiosidad intelectual propiciado
por una tecnología como la informática, mucho más nueva y sorprendente en los años
sesenta y setenta que ahora. El romanticismo desaparece del todo y los hackers pasan a
ser considerados como "gente fuera de la ley que provoca perjuicios a otros".

Como no podía ser menos, diccionarios como el de Raymond, escritos desde la óptica del
"buen hacker" de los años sesenta y setenta, no pueden evadir esta nueva acepción del
hacker, diciendo que es "un entrometedor malicioso que intenta descubrir información
sensible, escudriñando en los sistemas".

Es mucha la literatura que se puede encontrar sobre las actividades de los hackers, pero
cabe mencionar específicamente el trabajo de Clifford Stoll (1985) sobre la utilización de
hackers alemanes por parte de la KGB soviética, para intentar obtener secretos militares
norteamericanos. Este espionaje se consiguió explotando la existencia de una "puerta
falsa" en el sistema operativo del Lawrence Berkeley Laboratories, del cual Stoll era el
encargado provisional de supervisar. El resultado fue que las investigaciones de Stoll,
narradas casi como una novela policíaca y de una manera muy amena, se encontraron
con la desidia y el poco interés de los responsables de las instituciones encargadas de
administrar la seguridad de los sistemas informáticos en Estados Unidos. Algunos libros
(Clough and Mungo, 1992•*), y Hafner and Morkoff, 1991) se ocupan de este caso,
proporcionando datos, tales como los resultados de los juicios que se llevaron a cabo y
que no se contemplan en el relato de Stoll.

Otro caso famoso es el de Robert T. Morris y su programa, que se difundió y duplicó

varias veces, bloqueando Internet en Estados Unidos el 2 de noviembre de 1988. El hecho
curioso en este caso, y tal vez intrigante, es la relación familiar del autor de la fechoría
con Bob Morris, su padre, entonces director de la NCSC (National Computer Security
Center) norteamericana, encargada, precisamente, de la seguridad de los sistemas
informáticos de ese país. Se llegó a comentar que el ataque de Morris hijo a la seguridad
de Internet, podría estar relacionado con las repetidas peticiones de Morris padre de
reforzar la seguridad de la red. Obviamente y como era de esperarse, ambos niegan dicha
relación. Este caso está ampliamente descrito en Hafner and Morkoff, 1991•) y en
(Clough and Mungo, 1992••,

En Europa se dio el caso del programa de Christmas, desarrollado, según parece, por un
estudiante de Hannover, que se presentaba como una felicitación navideña informatizada.
El problema fue que mientras se mostraba el programa Christmas en la pantalla del
usuario, aquel buscaba su lista de correspondencia electrónica y enviaba copias a todas
las direcciones registradas en ella. Este es un claro ejemplo del "caballo de Troya", en la
denominación de Parker. Lo que posiblemente fue en un inicio una broma, después de
todo no maliciosa, se convirtió en un problema grave cuando, después de superar la red
informática de la Universidad Clausthal-Zellerfeld de Hannover, llegó a la red del servicio
de investigación europeo EARNET (European Academic Research Network), para saturar
finalmente la red VNET interna de IBM de Europa, el 15 de diciembre de 1987. Algo que
comenzó posiblemente como un juego, acabó como un perjuicio grave en una compañía
privada, que desde entonces se ha visto obligada a implementar sistemas de seguridad
que detecten la presencia de programas indeseables para borrarlos automáticamente.
Este es un ejemplo típico de cómo la inconsciencia de un hacker puede producir un gran
perjuicio.

Hay muchos más casos de actividades de los hackers. Se describen en los libros (Clough
and Mungo, 1992•••),y Hafner and Morkoff, 1991••). Lo más preocupante es el
crecimiento de los casos claramente orientados a la actividad delictuosa. Por poner un
http://www.revista.unam.mx/vol.3/num2/art3/#1z 8/13
16/1/2018 RDU

ejemplo, recogido en (Clough and Mungo, 1992••••),, se puede mencionar el caso de

"Kyrie", Leslie Lynne Doucette, una canadiense que en 1989 administraba una red de
unos 150 hackers, especializados en obtener información sensible para ser utilizada en la
realización de robos. Les encontraron 118 tarjetas de crédito Visa, 150 de MasterCard, 2
de American Express y 171 tarjetas de servicio telefónico de las compañías ATT e ITT, así
como 39 códigos de autorización de centrales telefónicas y datos PBX. Todo un botín
producto de una actuación claramente delictuosa de los hackers.

Otra actividad de los hackers es la creación y difusión de virus, ya bastante conocida y

divulgada en libros, como por ejemplo Lendell (1989) y (Clough and Mungo, 1992•••••),.
El virus es una rutina o programa añadido a un programa normal, que al ser ejecutado
activa un virus que produce, por ejemplo, alguna acción destructiva en el sistema sobre el
que se está trabajando. Lo más importante y peligroso de un virus, de ahí la similitud
biológica y médica de su nombre, es su capacidad reproductiva para infectar otras
unidades de disco, difundiéndose rápidamente al amparo, por caso, de la creciente
piratería del software existente en el mundo de la microinformática.

Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms),
que no dependen de otros programas y son en sí mismos programas aislados y
autosuficientes, como sucedió, por ejemplo, en el caso del programa que Robert T. Morris
esparció por Internet a finales de 1988. Utilizando el término empleado por Parker,
también se puede hablar de los "caballos de Troya", como el caso del programa del
estudiante de Hannover, que colapsó la red interna de IBM en Europa, o bombas lógicas
como la renombrada "Viernes 13", que se activa precisamente en esa fecha. A ésta los
periodistas la han hecho famosa.

Han surgido empresas y programas especializados en la detección y la lucha contra los

virus tan frecuentes en la microinformática. El texto de Clough y Mungo (1992••••••)
expone con detalle el tema de los virus, y pone una particular atención a lo que llama "la
fábrica búlgara" de virus y la actividad del hacker, conocida como Dark Avenger (el
vengador tenebroso).

A pesar de que se comenzó con un aura de romanticismo, de superación del reto que
ofrecía una nueva y prometedora tecnología, la realidad es que los hackers de hoy pueden
ser, de hecho dan indicios de que lo son, un grave problema público. Los hackers que no
son conscientes de la gravedad y el peligro de sus actos, consideran sus acciones como
un juego, mientras que los claramente conscientes de sus conocimientos informáticos
para robar información sensible o difundir programas indeseables, forman el ejército de
delincuentes informáticos potenciales que pueden utilizar de mala manera las grandes
posibilidades de una tecnología como la informática.

El incremento de las medidas de seguridad en los sistemas informáticos, ha llegado a

convertirse en una nueva responsabilidad para los profesionales conscientes, por
desgracia no siempre muy abundantes en una profesión a menudo condicionada por la
celeridad y los requerimientos económicos en la instalación apresurada de nuevos
sistemas.

Investigación y Prueba del Fraude Informático

Desgraciadamente el fraude y la delincuencia informática, además de presentar una gran
variedad, resultan francamente difíciles de detectar y, aun más, de probar.

Hay características concretas de la tecnología que explican este aspecto típico de la

delincuencia informática. Castillo y Ramallo (1989•) indican una serie de factores, no
todos de igual importancia, como los que se indican a continuación:

- La concentración de la información, típica de la informática, que facilita en cierta forma,

por su localización centralizada, el hurto de datos, a pesar de que se piense que con los
modernos sistemas distribuidos esta característica resultará cada vez menos importante.

-La falta de registros visibles que hacen más difícil y complicada la investigación de los
hechos.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 9/13
16/1/2018 RDU

- La posibilidad de alterar los programas y los datos, sin dejar prácticamente el más
mínimo rastro o pista que permita descubrir la alteración efectuada.

- La facilidad para eliminar las pruebas, simplemente haciendo desaparecer programas y

datos con una sencilla operación del teclado.

-La dispersión territorial de los puntos de entrada a los sistemas informáticos y, por tanto,
el aumento de los puntos de origen de los ataques de los hackers.

-La falta de controles internos y mecanismos de seguridad de la gran mayoría de los

sistemas informáticos, y su falta de protección frente a los ataques de los hackers.

- La falta, aún más grave, de seguridad para con los propios operadores y el personal
técnico responsable de los sistemas, que pueden ser, también, perpetradores de fraudes
y delitos informáticos.

Estas son algunas de las características propias de la tecnología informática, que permiten
explicar la dificultad para detectar un fraude o un delito informático. Muchas posibles
soluciones a estos problemas, están condenadas a ser rápidamente superadas por el
dinamismo de la informática, así como por la evolución y el aumento de las capacidades
de intrusión de los hackers.

Para detectar el fraude o el delito informático y, sobre todo, para obtener en forma
indiscutible las pruebas, es útil tener conocimientos técnicos que, como en el caso de la
auditoría informática, resultan difíciles, si no es que imposibles de obtener, a causa de la
variedad y multiplicidad de los sistemas informáticos existentes.

Para un especialista en auditoría informática como Del Paso (1990•), obligado a creer en
la efectividad final del proceso de auditoría en sistemas informáticos, la solución parece
consistir en dejarla en manos de los profesionales de esta vertiente moderna de la
auditoría y el control de sistemas.

Seguramente no es ésta la única ni la mejor de las soluciones posibles para impedir,

detectar y probar el delito informático. Los problemas que el mismo Del Paso considera
como un presente inevitable, resultan difícilmente superables. Algunos de estos
problemas, son:

-Desaparición de los elementos de prueba, por el propio dinamismo del sistema

informático o como producto de una manipulación interesada.

- Aparente desvinculación temporal del delincuente informático con el delito o el fraude,

preparado con mucha antelación, ya que el hecho delictuoso puede presentarse mucho
tiempo después de haber sido preparadas, por ejemplo, las bombas lógicas activadas
temporalmente.

-Falta de conocimientos específicos entre los auditores informáticos o entre los miembros
del cuerpo de seguridad, sobre la forma de proceder en la detención del delincuente y la
obtención de pruebas.

-Falta de una legislación específica para el reconocimiento y la sanción del fraude y la

delincuencia informáticos.

- Dificultad para aceptar las pruebas en el ordenamiento jurídico actual, debido, por
ejemplo, a su incorporeidad.

- Posibilidad de que el delincuente forme parte del personal de la empresa u organización

investigadora, lo que le permita disponer de información sobre el desarrollo de la
investigación para interferir en la misma.

Como se puede observar, hay todo un conjunto de dificultades añadidas a un problema de

por sí difícil, complejo y con gran variabilidad y dinamismo.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 10/13
16/1/2018 RDU

Ética y Deontología Profesional

Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad es
que una gran mayoría de los especialistas informáticos que han estudiado con detalle el
tema del fraude y la delincuencia informática, acaban coincidiendo en la imposibilidad de
que el derecho compile y regule todos los aspectos del delito informático. Las
posibilidades tecnológicas son muchas y cambiantes; las modalidades de fraude
aumentan día a día; el número y la capacidad de los hackers aumentan también con la
creciente difusión de la microinformática y los sistemas distribuidos, y las características
de la tecnología informática hacen especialmente difícil la detección y la prueba de los
delitos.

Este es un panorama nada entusiasta, que ha llevado cada vez más a poner el acento en
la responsabilidad social de los profesionales de la informática que construyen los
sistemas. El llamamiento a la responsabilidad se centra en la necesidad de: no dejar
"puertas falsas"; proteger la información sensible; detectar "caballos de Troya" y "bombas
lógicas" que busquen introducirse en los sistemas; poner mucha atención en lo que se
desecha en la papelera; proteger las líneas de comunicación con los sistemas de
"encriptación", etcétera. En definitiva se trata de aumentar significativamente la
seguridad en los sistemas informáticos, para que resistan ante los inevitables intentos de
intrusión de toda clase de hackers.

Comienza así un nuevo tema: la necesidad de incidir en la ética y la deontología

profesional de los informáticos que, otra vez, ha recibido un importante empuje con los
trabajos del pionero Parker, desde 1981, que ha seguido desarrollando posteriormente él
mismo con sus colaboradores Swope y Baker (1990), y otros autores como Johnson
(1985), Forrester y Morrison(1990), así como Ermann, William y Gutiérrez (1990), y
muchos más.

El problema, nada banal, es convencer a la comunidad profesional informática sobre la

necesidad de un comportamiento ético, serio y responsable, en su actividad profesional
cotidiana. Ya Parker (1983) resaltó su convencimiento de que de todas las posibles
medidas preventivas ante el fraude y la delincuencia informática, la más eficiente sería
que los profesionales informáticos acepten unos estándares éticos que les permitan
responder ante el reto que el fraude y la delincuencia informática representan por toda la
tecnología informática. La informática sin controles puede llegar a ser una tecnología
perjudicial para la sociedad que la utiliza.

En este sentido, es bueno destacar la buena respuesta institucional de las principales

asociaciones mundiales de profesionales de la informática: la IFIP (International
Federation for Information Processing) y la ACM (Association of Computing Machinery),
que están en proceso de elaborar y perfeccionar códigos éticos, que pueden ser una guía
en la actividad profesional de los desarrolladores de sistemas informáticos.

Bibliografía
Castillo, María Cinta• y Ramallo, Miguel (1989) El Delito Informático, en Congreso sobre
"Derecho Informático", Universidad de Zaragoza, Junio.

Vazquez, Jesús María y Barroso, Porfirio (1993) Deontología de la Informática

(esquemas). Madrid: Instituto de Sociología Aplicada.

[MAS 86] Mason Roger O. (1986) Four Ethical Issues of the Information Age. MIS
Quarterly, 10.

Morris A. B. (1992•) Ethics and Information Systems Practice, IFIP Transactions (A-13).
En: R. Aiken (ed.) Education and society: Information Processing 92, vol. II, Amsterdam:
Elsevier Science Publishers, pp. 363-369.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 11/13
16/1/2018 RDU

Del Paso, Emilio (1990) La auditoria como medio de prevención frente al delito
informático. Revista ALI (Asociación de Licenciados en Informática), Madrid (14).

Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.

Sieber, Ulrich (1990) General Report on Computer Crime, en 13th International Congress
of International Academy of Comparative Law, University of Bayreuth.

Wasik, Martin (1992) Legal Control of IT Misuse: Limited Relevance of the Criminal Law,
IFIP Transactions (A - 13). Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 385-392.

[PAR 76] Parker, Donn B. (1976) Crime by Computer. New York: Charles Scribner's Sons.

(1981) Agenda HISPAMER. Madrid: Corporación Financiera, Edición Simancas.

Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.

Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.

Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.

Sneyers, Alfredo (1990) El fraude y otros delitos informáticos. Madrid: Tecnologías de

Gerencia y Producción, S.A..

Parker, Donn B. (1983••) Fighting Computer Crime. New York: Charles Scribner's Sons.

Clough, Bryan and Mungo•, Paul (1992••) Approaching Zero•••. London••••: Faber &
Faber•*.•••••••••••

Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.

Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.

. Hafner, Katie and Markoff•, John (1991)•• Cyberpunk: Outlaws and Hackers on the
Computer Frontier. New York: A Touchstone Book, Simon & Schuster

Lundell, Allan (1989) Virus: the secret world of computer invaders that breed and
destroy. Chicago: Contemporary Books, Inc.

Parker, Donn B., Swope, Susan and Baker, Bruce N. (1990) Ethical Conflicts: in
http://www.revista.unam.mx/vol.3/num2/art3/#1z 12/13
16/1/2018 RDU

Information and Computer science, technology and business, Q. E. D. Wellesley (MA):

Information Sciences.

Johnson, Deborah G. (1985) Computer Ethics. Englewood Cliffs (NJ): Prentice Hall.

Forrester, Tom (1985) The Information Technology Revolution. Oxford: Basil Blackwell
Ltd.

Ermann M., David, William, Mary B. and Gutierrez, Claudio (1990) Computers, ethics, &
society. New York: Oxford University Press.

Parker, Donn B. (1983) Fighting Computer Crime. New York: Charles Scribner's Sons.

Forrester, Tom and Morrison•, Perry (1990) Computer Ethics: Cautionary Tales and
Ethical Dilemmas in Computing. Cambridge: MITPress (MA).

http://www.revista.unam.mx/vol.3/num2/art3/#1z 13/13