Академический Документы
Профессиональный Документы
Культура Документы
Begoña Albizuri
albizuri@itam.mx
Instituto Tecnológico Autónomo de México
Palabras Clave: fraude informático, hackers, delincuencia informática, ética, deontología, jurisprudencia.
Resumen
El presente artículo analiza la problemática referente al fraude y la delincuencia
informática. Asimismo, colabora en la caracterización del fraude informático y los hackers
("entrometidos"), quienes se dedican a perpetrarlos. En el artículo se argumenta y
justifica la dificultad en la detección y la prueba del delito informático. Finaliza con la
propuesta de la necesidad de un código ético y una deontología profesional propia de los
informáticos, como la forma más adecuada para evitar el fraude y la delincuencia
informática, colaborando en el incremento de la seguridad de los sistemas informáticos.
Key Words: hackers, computer fraud, computer crime, ethics code, jurisprudence.
Abstract
The article analizes problems related to computer fraud and delinquency. In adition it
contributes a characterization of computer fraud and the hackers who perpetuate it. The
article argues and justifies the difficulty in the detection and proof of computer-related
crime. It concludes with the proposal of the need to develop an ethics code and
professional deontology for computer related issues, as the best way to avoid computer
fraud and crime, and thus collaborating in increasing the levels of security of computer
systems.
Artículo
Introducción
Las tecnologías muy dinámicas como la informática, rápidamente son objeto de la
posibilidad de su uso y abuso, aspectos que, naturalmente, rebasan la posibilidad de
regular jurídicamente las consecuencias y las responsabilidades.
Para tipificar las nuevas posibilidades de delinquir a raíz de la aparición de una nueva
tecnología ubicua y multiforme como la informática, se requieren esfuerzos conjuntos de
parte de la justicia y la propia informática. Esto conduce a la formulación de discursos en
los que cada parte utiliza un lenguaje especializado y claramente diferenciado entre sí.
Los juristas disponen de un vocabulario técnico propio que para los informáticos resulta
extraño. Al mismo tiempo los informáticos son conocidos por el carácter tal vez
exageradamente críptico de su vocabulario técnico que, evidentemente, también resulta
desusado para los juristas. La dificultad para aproximar conceptos formulados con
vocabularios distanciados, es uno de los problemas implícitos en el tratamiento de temas
como el delito y el fraude informático.
En el presente trabajo se tratan los temas del delito y el fraude informáticos desde el
punto de vista de un informático, intentando reducir la especificidad del propio lenguaje
http://www.revista.unam.mx/vol.3/num2/art3/#1z 1/13
16/1/2018 RDU
El texto de la IFIP hace énfasis en tres ejemplos, que considera típicos sobre la
vulnerabilidad creciente de una organización social basada en forma casi absoluta en las
tecnologías de la información, la que denomina "sociedad de la información". Los casos
mencionados hacen referencia, por ejemplo, al colapso de la bolsa de Wall Street el 19 de
octubre de 1987. Algunos consideraron que se debió a la ágil respuesta de los inversores
ante los cambios de cotizaciones, gracias a programas informáticos que incorporaban
http://www.revista.unam.mx/vol.3/num2/art3/#1z 2/13
16/1/2018 RDU
Delito y Fraude
Cuando se habla de fraude y delincuencia informática, generalmente se hace referencia a
una manera muy genérica, ya que es muy difícil concretar el "delito informático" como tal.
A menudo se entiende el delito informático como aquella acción dolosa que provoca un
perjuicio a personas o entidades, en la que intervienen dispositivos o programas
informáticos (Castillo y Ramallo, 1989). Considerar una actividad como delictuosa supone
necesariamente que el posible delito ha sido establecido como tal en las leyes de un país
determinado (Vázquez y Barroso, 1993).
Puesto que la legislación sobre delitos informáticos es todavía muy limitada en la mayoría
de los países, es común evitar hablar precisamente de "delito informático" y referirse al
"fraude informático", o más genéricamente a "delincuencia informática".
Independientemente del término que se utilice, entendemos el fraude como aquella
conducta realizada mediante un sistema informático con la que se busca conseguir un
beneficio ilícito.
Algunos autores (Vázquez y Barroso, 1993•). limitan el fraude informático a los actos
fruto de la intencionalidad, realizados con la voluntad de obtener un beneficio propio y, si
es posible, provocar un perjuicio a alguien. Así, se puede hablar también de un tipo de
fraude informático no intencionado, producto de un error humano al utilizar un sistema
informático o por un defecto del hardware o el software. Este tipo de fraude es conocido
como "error informático". En el caso del error informático puede no haber un beneficio
directo para quien causa el funcionamiento erróneo del sistema informático, pero sí un
perjuicio a los otros usuarios o a los propietarios del sistema.
-Exactitud. Se requiere de una alta calidad en la información, para que los procesos de
toma de decisiones que se realizan con ella sean efectivos.
-Acceso. Los permisos para el acceso a la información deben ser adecuados, pero
estrictamente controlados.
Para autores como Morris (1992•), estas exigencias jurídicas, convertidas para él en
derechos, son el marco de referencia para la ineludible generación de un componente
ético en la conducta profesional de los especialistas en sistemas de información. De
hecho, los especialistas son los que disponen de más poder para "maltratar" los sistemas
de información y atentar contra estos nuevos derechos básicos de la era de la
información.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 3/13
16/1/2018 RDU
En este sentido, algunos autores como Del Paso (1990) reconocen que la actividad
informática es muy vulnerable, por lo que defienden explícitamente el papel y la función
de los profesionales de la auditoria informática. Sintetizan en cinco grupos, más o menos
diferenciados, a la delincuencia informática:
-El hacking o "terrorismo lógico", que incluye los casos de vandalismo, terrorismo,
destrucción, etcétera, que provocan perjuicios. Son motivados por venganzas, chantajes,
sabotajes o un mal uso de la curiosidad intelectual, la cual caracterizó a los primeros
hackers o manipuladores no autorizados de sistemas informáticos.
Resulta fácil relacionar las cinco figuras delictuosas de Del Paso con los cuatro derechos
de Morris, pero lo que realmente interesa es constatar que algunas de estas acciones
ilícitas pueden estar ya recogidas en el derecho legislativo, aunque hayan sido incluidas
con independencia de la tipicidad exclusiva del hecho informático. Se trata, en este caso,
de una regulación por analogía que parece insuficiente para cubrir todas las
particularidades informáticas.
El trabajo de Sieber establece como un aspecto importante el hecho de que los sistemas
informáticos ya no sean tratados como objetos físicos, ya que son el soporte de objetos
que no tienen una realidad física, como es la información y su distribución.
Sieber sugiere que el cambio de paradigma que representa el paso de objetos corpóreos a
incorpóreos, justifica la necesidad de leyes específicas propias de la informática. En este
sentido Sieber, como un resultado de su trabajo sobre el derecho comparado, opina que
"el régimen legal para la información no se puede derivar por analogía de las
reglamentaciones de los objetos corpóreos". Sieber se concentra en la especificidad de la
información y las tecnologías que están asociadas, para así renunciar a la posibilidad de
tratar legalmente el factor informático: la utilización por analogía de las leyes ya
existentes sobre el hurto, la protección de la propiedad, el vandalismo, etcétera.
De hecho, los estudios realizados sobre legislación comparada marcan claramente estas
dos tendencias en el tratamiento legal del aspecto informático: leyes específicas o la
aplicación analógica de leyes ya existentes. En realidad, las dos opciones no parecen ser
excluyentes una de la otra y, de hecho, se proporcionan conjuntamente en el
ordenamiento legal de diversos países. A pesar de todo, es fácil estar de acuerdo con
Sieber. Aunque la incorporación de los objetos informáticos y las diferentes características
de la información en las leyes provoca sólo una disputa entre muchos, cabe pensar en la
http://www.revista.unam.mx/vol.3/num2/art3/#1z 4/13
16/1/2018 RDU
Es importante tomar en cuenta que, tal y como ha sucedido varias veces, la potencialidad
de las tecnologías de la información; el carácter revolucionario de su impacto en las
organizaciones sociales; el dinamismo propio de la informática, y la multiplicidad de
formas que pueden tener el fraude y la delincuencia informática, hacen prácticamente
imposible esperar que la jurisprudencia responda completamente a todas las modalidades
de fraude y delitos informáticos. Por eso, como sucede en otras profesiones de gran
incidencia social, se debe contar, por el bien de la sociedad, con un código completo, ético
y deontológico, que gobierne la actuación de los profesionales informáticos y, de hecho,
evite gran parte del peligro de fraude que ofrecen las nuevas tecnologías de la
información.
Cuando se menciona el fraude informático resulta habitual hacer referencia a los trabajos
de Donn B. Parker, jefe consultor del SRI (Stanford Research Institute). Parker estudia el
tema del fraude y la delincuencia informática desde los años setenta, ateniéndose a lo
que él nombra "cuatro dimensiones" del problema, que sintetiza en:
El tratamiento de las dos primeras "dimensiones" del problema es desarrollado por Parker
en su primer libro sobre delitos informáticos (Parker, 1976). El texto de 1983 (Parker)
utiliza una perspectiva histórica para profundizar en el análisis de las dos últimas
"dimensiones". Por ser este trabajo el pionero en la materia, se le ha dado una gran
difusión y además una justificación, porque a menudo tal vez se haga referencia a él aun
sin citar el origen. También explica la existencia de trabajos que pretenden complementar
su estudio, dando nuevas aportaciones sobre el método de detección del fraude o las
evidencias que pueden sugerir su presencia (Agenda Hispamex, 1981).
De esta tipología tan difusa del modus operandi del fraude informático, se puede
remarcar su aspecto coyuntural y la necesidad evidente de actualizarse continuamente,
para considerar las nuevas técnicas que el dinamismo de la tecnología informática
produce en los nuevos sistemas.
Las principales formas de fraude informático que Parker consideraba se realizaban hasta
1983, son:
http://www.revista.unam.mx/vol.3/num2/art3/#1z 5/13
16/1/2018 RDU
-Bombas lógicas (logic bombs). Permiten realizar un tipo distinto de sabotaje, utilizando
rutinas ocultas (la bomba lógica). En cada ejecución de un programa, por ejemplo, al
llegar a un cierto valor, se ejecuta una operación destructiva. Es un procedimiento que,
regulado por una computadora o por un dato clave, se convierte en el más habitual de los
virus informáticos.
-Exploración (scanning). Consiste en hacer una exploración secuencial para encontrar los
números telefónicos o las claves de usuario que permiten el acceso a la computadora o a
los sistemas informáticos reservados.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 6/13
16/1/2018 RDU
-Mirar sobre el hombro (shoulder surfing). Como su nombre lo indica, se trata de mirar
sobre el hombro de un operador autorizado, para seguir el movimiento de sus dedos
sobre el teclado cuando escribe su clave, con el fin de robársela.
Es fácil observar que la cantidad de métodos aumenta con el tiempo, así como el ingenio,
que nunca falta, de los interesados en cometer un fraude y delitos informáticos.
Por eso la referencia a la docena de métodos mencionados por Parker será siempre una
tipología limitada, como, de hecho, lo será cualquier otra tipología, debido al dinamismo
de la informática y los hackers.
Dado que los sistemas telefónicos utilizan computadoras, los phreakers se convirtieron en
manipuladores no autorizados de los sistemas informáticos, pero en los años sesenta y
setenta aparece otro tipo de manipuladores no autorizados: los hackers.
Con relación al sentido positivo típico de la primera actividad de los hackers, el diccionario
de Raymond cita como séptima acepción: "una persona que disfruta con el reto intelectual
de la creatividad para superar o esquivar limitaciones". Esta definición, de nuevo, nos
lleva a una visión romántica y positiva del hacker, que tendría más un afán de
conocimiento y superación de retos, actividades francamente muy atractivas para los
jóvenes que ahora adoptan el ejercicio creciente de los hackers. Así fueron, seguramente,
http://www.revista.unam.mx/vol.3/num2/art3/#1z 7/13
16/1/2018 RDU
las condiciones para algunos de los primeros hackers de los bellos tiempos, en los años
sesenta y setenta.
El cambio de gran importancia que Parker introduce en su segundo libro sobre el delito
informático (Parker, 1983•), es precisamente la constatación de la pérdida de este
romanticismo. Las terribles consecuencias de las actividades de los hackers llevan a
Parker a abandonar una cierta épica romántica, perceptible en su primer libro (Parker,
1976), para dar una descripción menos sensacionalista de los delitos informáticos y sus
perpetradores, y abandonar definitivamente el tono de curiosidad intelectual propiciado
por una tecnología como la informática, mucho más nueva y sorprendente en los años
sesenta y setenta que ahora. El romanticismo desaparece del todo y los hackers pasan a
ser considerados como "gente fuera de la ley que provoca perjuicios a otros".
Como no podía ser menos, diccionarios como el de Raymond, escritos desde la óptica del
"buen hacker" de los años sesenta y setenta, no pueden evadir esta nueva acepción del
hacker, diciendo que es "un entrometedor malicioso que intenta descubrir información
sensible, escudriñando en los sistemas".
Es mucha la literatura que se puede encontrar sobre las actividades de los hackers, pero
cabe mencionar específicamente el trabajo de Clifford Stoll (1985) sobre la utilización de
hackers alemanes por parte de la KGB soviética, para intentar obtener secretos militares
norteamericanos. Este espionaje se consiguió explotando la existencia de una "puerta
falsa" en el sistema operativo del Lawrence Berkeley Laboratories, del cual Stoll era el
encargado provisional de supervisar. El resultado fue que las investigaciones de Stoll,
narradas casi como una novela policíaca y de una manera muy amena, se encontraron
con la desidia y el poco interés de los responsables de las instituciones encargadas de
administrar la seguridad de los sistemas informáticos en Estados Unidos. Algunos libros
(Clough and Mungo, 1992•*), y Hafner and Morkoff, 1991) se ocupan de este caso,
proporcionando datos, tales como los resultados de los juicios que se llevaron a cabo y
que no se contemplan en el relato de Stoll.
En Europa se dio el caso del programa de Christmas, desarrollado, según parece, por un
estudiante de Hannover, que se presentaba como una felicitación navideña informatizada.
El problema fue que mientras se mostraba el programa Christmas en la pantalla del
usuario, aquel buscaba su lista de correspondencia electrónica y enviaba copias a todas
las direcciones registradas en ella. Este es un claro ejemplo del "caballo de Troya", en la
denominación de Parker. Lo que posiblemente fue en un inicio una broma, después de
todo no maliciosa, se convirtió en un problema grave cuando, después de superar la red
informática de la Universidad Clausthal-Zellerfeld de Hannover, llegó a la red del servicio
de investigación europeo EARNET (European Academic Research Network), para saturar
finalmente la red VNET interna de IBM de Europa, el 15 de diciembre de 1987. Algo que
comenzó posiblemente como un juego, acabó como un perjuicio grave en una compañía
privada, que desde entonces se ha visto obligada a implementar sistemas de seguridad
que detecten la presencia de programas indeseables para borrarlos automáticamente.
Este es un ejemplo típico de cómo la inconsciencia de un hacker puede producir un gran
perjuicio.
Hay muchos más casos de actividades de los hackers. Se describen en los libros (Clough
and Mungo, 1992•••),y Hafner and Morkoff, 1991••). Lo más preocupante es el
crecimiento de los casos claramente orientados a la actividad delictuosa. Por poner un
http://www.revista.unam.mx/vol.3/num2/art3/#1z 8/13
16/1/2018 RDU
Los especialistas reconocen diversas variedades de virus, como los "gusanos" (worms),
que no dependen de otros programas y son en sí mismos programas aislados y
autosuficientes, como sucedió, por ejemplo, en el caso del programa que Robert T. Morris
esparció por Internet a finales de 1988. Utilizando el término empleado por Parker,
también se puede hablar de los "caballos de Troya", como el caso del programa del
estudiante de Hannover, que colapsó la red interna de IBM en Europa, o bombas lógicas
como la renombrada "Viernes 13", que se activa precisamente en esa fecha. A ésta los
periodistas la han hecho famosa.
A pesar de que se comenzó con un aura de romanticismo, de superación del reto que
ofrecía una nueva y prometedora tecnología, la realidad es que los hackers de hoy pueden
ser, de hecho dan indicios de que lo son, un grave problema público. Los hackers que no
son conscientes de la gravedad y el peligro de sus actos, consideran sus acciones como
un juego, mientras que los claramente conscientes de sus conocimientos informáticos
para robar información sensible o difundir programas indeseables, forman el ejército de
delincuentes informáticos potenciales que pueden utilizar de mala manera las grandes
posibilidades de una tecnología como la informática.
-La falta de registros visibles que hacen más difícil y complicada la investigación de los
hechos.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 9/13
16/1/2018 RDU
- La posibilidad de alterar los programas y los datos, sin dejar prácticamente el más
mínimo rastro o pista que permita descubrir la alteración efectuada.
-La dispersión territorial de los puntos de entrada a los sistemas informáticos y, por tanto,
el aumento de los puntos de origen de los ataques de los hackers.
- La falta, aún más grave, de seguridad para con los propios operadores y el personal
técnico responsable de los sistemas, que pueden ser, también, perpetradores de fraudes
y delitos informáticos.
Estas son algunas de las características propias de la tecnología informática, que permiten
explicar la dificultad para detectar un fraude o un delito informático. Muchas posibles
soluciones a estos problemas, están condenadas a ser rápidamente superadas por el
dinamismo de la informática, así como por la evolución y el aumento de las capacidades
de intrusión de los hackers.
Para detectar el fraude o el delito informático y, sobre todo, para obtener en forma
indiscutible las pruebas, es útil tener conocimientos técnicos que, como en el caso de la
auditoría informática, resultan difíciles, si no es que imposibles de obtener, a causa de la
variedad y multiplicidad de los sistemas informáticos existentes.
Para un especialista en auditoría informática como Del Paso (1990•), obligado a creer en
la efectividad final del proceso de auditoría en sistemas informáticos, la solución parece
consistir en dejarla en manos de los profesionales de esta vertiente moderna de la
auditoría y el control de sistemas.
-Falta de conocimientos específicos entre los auditores informáticos o entre los miembros
del cuerpo de seguridad, sobre la forma de proceder en la detención del delincuente y la
obtención de pruebas.
- Dificultad para aceptar las pruebas en el ordenamiento jurídico actual, debido, por
ejemplo, a su incorporeidad.
Tal vez parece una huida lateral o una renuncia a resolver el problema, pero la realidad es
que una gran mayoría de los especialistas informáticos que han estudiado con detalle el
tema del fraude y la delincuencia informática, acaban coincidiendo en la imposibilidad de
que el derecho compile y regule todos los aspectos del delito informático. Las
posibilidades tecnológicas son muchas y cambiantes; las modalidades de fraude
aumentan día a día; el número y la capacidad de los hackers aumentan también con la
creciente difusión de la microinformática y los sistemas distribuidos, y las características
de la tecnología informática hacen especialmente difícil la detección y la prueba de los
delitos.
Este es un panorama nada entusiasta, que ha llevado cada vez más a poner el acento en
la responsabilidad social de los profesionales de la informática que construyen los
sistemas. El llamamiento a la responsabilidad se centra en la necesidad de: no dejar
"puertas falsas"; proteger la información sensible; detectar "caballos de Troya" y "bombas
lógicas" que busquen introducirse en los sistemas; poner mucha atención en lo que se
desecha en la papelera; proteger las líneas de comunicación con los sistemas de
"encriptación", etcétera. En definitiva se trata de aumentar significativamente la
seguridad en los sistemas informáticos, para que resistan ante los inevitables intentos de
intrusión de toda clase de hackers.
Bibliografía
Castillo, María Cinta• y Ramallo, Miguel (1989) El Delito Informático, en Congreso sobre
"Derecho Informático", Universidad de Zaragoza, Junio.
[MAS 86] Mason Roger O. (1986) Four Ethical Issues of the Information Age. MIS
Quarterly, 10.
Morris A. B. (1992•) Ethics and Information Systems Practice, IFIP Transactions (A-13).
En: R. Aiken (ed.) Education and society: Information Processing 92, vol. II, Amsterdam:
Elsevier Science Publishers, pp. 363-369.
http://www.revista.unam.mx/vol.3/num2/art3/#1z 11/13
16/1/2018 RDU
Del Paso, Emilio (1990) La auditoria como medio de prevención frente al delito
informático. Revista ALI (Asociación de Licenciados en Informática), Madrid (14).
Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.
Sieber, Ulrich (1990) General Report on Computer Crime, en 13th International Congress
of International Academy of Comparative Law, University of Bayreuth.
Wasik, Martin (1992) Legal Control of IT Misuse: Limited Relevance of the Criminal Law,
IFIP Transactions (A - 13). Education and society: Information Processing 92, vol. II,
Amsterdam: Elsevier Science Publishers, pp. 385-392.
[PAR 76] Parker, Donn B. (1976) Crime by Computer. New York: Charles Scribner's Sons.
Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.
Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.
Sieber, Ulrich (1986) The International Handbook on Computer Crime. New York: John
Wiley & Sons.
Parker, Donn B. (1983••) Fighting Computer Crime. New York: Charles Scribner's Sons.
Clough, Bryan and Mungo•, Paul (1992••) Approaching Zero•••. London••••: Faber &
Faber•*.•••••••••••
Raymond, Eric S. (1991) The New Hacker's Dictionary. Cambridge (MA): The MIT Press.
Stoll, Clifford (1985) The Cuckoo's Egg. New York: Doubleday. Traducido al español
como: El Huevo del Cuco. Barcelona: Planeta, 1990.
. Hafner, Katie and Markoff•, John (1991)•• Cyberpunk: Outlaws and Hackers on the
Computer Frontier. New York: A Touchstone Book, Simon & Schuster
Lundell, Allan (1989) Virus: the secret world of computer invaders that breed and
destroy. Chicago: Contemporary Books, Inc.
Parker, Donn B., Swope, Susan and Baker, Bruce N. (1990) Ethical Conflicts: in
http://www.revista.unam.mx/vol.3/num2/art3/#1z 12/13
16/1/2018 RDU
Johnson, Deborah G. (1985) Computer Ethics. Englewood Cliffs (NJ): Prentice Hall.
Forrester, Tom (1985) The Information Technology Revolution. Oxford: Basil Blackwell
Ltd.
Ermann M., David, William, Mary B. and Gutierrez, Claudio (1990) Computers, ethics, &
society. New York: Oxford University Press.
Parker, Donn B. (1983) Fighting Computer Crime. New York: Charles Scribner's Sons.
Forrester, Tom and Morrison•, Perry (1990) Computer Ethics: Cautionary Tales and
Ethical Dilemmas in Computing. Cambridge: MITPress (MA).
http://www.revista.unam.mx/vol.3/num2/art3/#1z 13/13