martes, 1 de julio de 2008

LA NUEVA LEY 26.388, DE DELITOS INFORMATICOS. Escribe el Dr. Heriberto Simón Hocsman (papá de Jessica), para el Proyecto PAPá de CTS.

El Congreso de la Nación después de un largo trabajo ha respondido a los innumerables reclamos de la sociedad respecto al vacío en que se encontraba nuestra legislación Penal en materia de delitos Informáticos, dictando la Ley 23.688 que fue publicada el Miércoles 25 de Junio del corriente año 2008 en el Boletín Oficial Nro: 31.433.-

Así lo expresé en muchísimas oportunidades y en especial en cuatro artículos que se publicaron en Infobae Profesional en Internet: “Vacío Legal en normas de Seguridad Informática” 30/03/06."Reclaman leyes expresas que tipifiquen los delitos informáticos", publicado el 17/05/06. "Preocupa Ignorancia de Abogados sobre Delitos informáticos" publicado el 8/05/06 y “Reclaman la tipificación de los delitos informáticos”, publicado el 18/05/06.

La situación en Argentina era insostenible, nos encontrábamos totalmente desprotegidos y en la manos de los ciberdelicuentes.
Es muy importante destacar que nuestro sistema Penal se basa fundamentalmente en que las conductas criminales “Delitos” deben ser expresadas en la ley y que esta tiene que estar vigente y ser conocida por todos (Publicación en el Boletín Oficial) en fecha anterior a la comisión de dicha conducta.-
Esto quiere decir que nadie puede ser acusado por un delito que no surge como tal por una ley de fecha anterior a la comisión de esa conducta.-
Por otra parte nuestro Derecho Penal no permite la aplicación de criterios analógicos, ni deductivos ni inductivos en la interpretación de la ley por parte de los Jueces.
Esto quiere decir que la descripción de la conducta criminal a la que llamamos Tipo Penal debe ser expreso y claro por ejemplo “el que matare a otro……..-
Nuestro Código Penal se desarrolla con Tipos Penales cerrados sin que exista la posibilidad de encontrar tipos abiertos, esto garantiza la seguridad del acusado de que la conducta que se le imputa debe coincidir exactamente con el tipo penal que es la descripción de la conducta criminal.-

Para que no quede ninguna duda, nuestro Código Penal antes de esta ley de Delitos informáticos en su Art. 153 del C.P. se refería a violación de correspondencia pero no decía nada de comunicación electrónica como dice ahora: “o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida”.

Con la ausencia de esa expresión en la redacción de la ley, todos los delincuentes que cometían ese delito no podían ser sancionados y esto era lo que hacía imprescindible la sanción de una nueva ley que completara nuestra legislación Penal.-

Esto es lo que se intento realizar con la Ley 23.688 que a mi criterio es una respuesta insuficiente a las necesidades actuales, pero es un principio de solución que seguramente se verá completada en un futuro cercano por otras leyes.-

Es importante para analizar este tema recordar los principios de aplicación de las leyes, del Derecho Penal y del Derecho Civil.-

En materia de aplicación de las leyes nuestro Código Civil Art. 3, no permite en principio la retroactividad de la aplicación de las leyes y el Código Penal en su Art. 2 dispone que siempre se debe aplicar la ley mas benigna esto significa que si al tiempo de realizarse la conducta criminal existiere una ley y luego se modificara por una mas benigna siempre se aplicara la ley mas benigna.-
Todas estas disposiciones se derivan de la Constitución Nacional en su art. 18 que dice: “ningún habitante de la Nación puede ser penado sin juicio previo fundado en ley anterior al hecho del proceso……………..”-

En mi trabajo denominado “MÉTODOS PARA PROTEGER OPERACIONES COMERCIALES EN INTERNET” publicado 06-10-2006, sostenía que hay varios sistemas que se desarrollaron para combatir los problemas de inseguridad en las redes abiertas y que previenen infracciones informáticas así los clasificaba en distintas áreas a saber:.
Sistemas de análisis de vulnerabilidades (penetration test).
Sistemas de protección a la privacidad de la información (Pretty good privacy).
Sistemas de protección a la integridad de la información (Criptografía).
Ingeniería social (información a los contratantes de los sistemas de protección implementados).

Estos métodos se originaron a partir de ciertos hechos técnicos informáticos que han logrado la reacción de la ciencia jurídica, estableciendo reglas claras sobre los derechos y deberes de las partes. El primer impulso fue dado con la sanción de la ley 25.506 sobre firma digital, que regula todo lo atinente a la criptografía.
Amenazas al sistema y su protección
Las redes abiertas generan un ambiente propicio para estimular los ataques y amenazas de terceros. Una amenaza podría definirse como “una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso ilegítimo)”[2].
La Ley de delitos Informáticos dá una nueva interpretación obligatoria a ciertos términos:
Artículo 77 del Código Penal: El término “documento” comprende toda representación de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento, archivo o transmisión.Los términos “firma” y “suscripción” comprenden la firma digital, la creación de una firma digital o firmar digitalmente.Los términos “instrumento privado” y “certificado” comprenden el documento digital firmado digitalmente.
Las amenazas a los sistemas de información afectan a cada uno de los elementos esenciales de la seguridad, configurándose cuatro categorías de ataques:
· a) Interrupción: esa amenaza ataca a la disponibilidad, destruyendo un recurso o volviéndolo indisponible. Ejemplos de esto son la destrucción del disco duro, coarta la comunicación o afectar el acceso a cierta información.
Art. 153 del Cod.Penal: “o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida”.
· Art. 183 del Cod. Penal En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños.
· Artículo 184 Cod. Penal: La pena será de tres (3) meses a cuatro (4) años de prisión, si mediare cualquiera de las circunstancias siguientes:………
· 5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u otros bienes de uso público; o en tumbas, signos conmemorativos, monumentos, estatuas, cuadros u otros objetos de arte colocados en edificios o lugares públicos; o en datos, documentos, programas o sistemas informáticos públicos;
· 6. Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público.
·
· b) Intercepción: este ataque afecta la confidencialidad., ya que se produce mediante el acceso al sistema por una entidad no autorizada. Puede darse tanto por una interceptación ilícita de datos, como la copia ilícita de un programa, o mediante la interceptación de una identidad.
Art. 153 del C.P. se refería a violación de correspondencia pero no decía nada de comunicación electrónica como dice ahora: “o se apoderare indebidamente de una comunicación electrónica, una carta, un pliego, un despacho u otro papel privado, aunque no esté cerrado; o indebidamente suprimiere o desviare de su destino una correspondencia o una comunicación electrónica que no le esté dirigida”.
· Artículo 197: Será reprimido con prisión de seis (6) meses a dos (2) años, el que interrumpiere o entorpeciere la comunicación telegráfica, telefónica o de otra naturaleza o resistiere violentamente el restablecimiento de la comunicación interrumpida.

· c) Modificación: esta amenaza incide en la integridad de la información, ya que se accede a la información y se la manipula. Verbigracia, el cambio de valores o del contenido de una base de datos o de un mensaje.

· Artículo 183 del Código Penal, el siguiente:En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños.
· Artículo 184: La pena será de tres (3) meses a cuatro (4) años de prisión, si mediare cualquiera de las circunstancias siguientes:
· 5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u otros bienes de uso público; o en tumbas, signos conmemorativos, monumentos, estatuas, cuadros u otros objetos de arte colocados en edificios o lugares públicos; o en datos, documentos, programas o sistemas informáticos públicos;6. Ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público.
·
· d) Fabricación: en este tipo de ataque se afecta la autenticidad de los datos, mediante la introducción de objetos falsificados en el sistema.
· Esto se encuentra protegido por los arts. 183, 184 antes mencionados y 292 y subsiguientes y concordantes.-

Por ende, los sistemas de seguridad desarrollados buscan proteger a los sistemas informáticos de las amenazas básicas que deben enfrentar. Desde otra visión, “las amenazas pueden clasificarse en cuatro categorías básicas:
Pérdida de integridad de los datos.
Pérdida de la privacidad de los datos.
Pérdida de servicio.
Pérdida de control". [3]
La pérdida de integridad de los datos se vincula con el acceso de terceros al sistema con la intención de crear, modificar o eliminar información contenida en el software de la computadora. La pérdida de la privacidad de los datos se vincula con el acceso al sistema de personas no autorizadas. La pérdida de servicio se relaciona con la interrupción del servicio por las acciones de los hackers. La pérdida de control ya implica un acceso de personas no autorizadas que utilizan los servicios sin ningún tipo de control.
Estas amenazas pueden tener distintos objetivos y utilizar distintos métodos. Si clasificamos a estos métodos por el objetivo que persiguen, se pueden diferenciar amenazas que sólo buscan dañar el sistema y otras que buscan la obtención de información confidencial.
En ciertas circunstancias, la única intención del hacker es producir un daño en el sistema. Uno de los modos de producir este daño es mediante la implementación de un procedimiento denominado “denial of sevice”, que impide el acceso a los usuarios autorizados, atacando las aplicaciones o los sistema operativos, bloqueando las condiciones de operación. En otras ocasiones, el objetivo del hacker es obtener información confidencial de las partes mediante el monitoreo de las comunicaciones. Así, es posible obtener información confidencial y claves de las partes. También se puede obtener información confidencial mediante el robo del software o hardware.

Estas amenazas pueden producirse mediante la utilización de diferentes armas [4]:
· a) Virus: son fragmentos de código que se multiplican para ingresar en un programa o que lo modifican.
· b) Gusanos: son programas independientes que pasan de una computadora a otra.
· c) Troyanos: son fragmentos de código que se ocultan en los programas y desempeñan funciones no deseadas.
· d) Bombas lógicas: tipo de troyano que suelta un virus o un gusano.
· e) Bombas de EMP: destrucción de los componentes electrónicos de todas las computadoras mediante la detonación nuclear y no nuclear.
· f) Jamming: entorpecimiento de la comunicación del enemigo mediante la emisión de ruidos electrónicos.
· g) Chipping: reemplazo de los chips estándar por troyanos.
· h) Falsificación: e-mails y paquetes de TCP/IP falsificadas que violan las firewalls y otras medidas de seguridad.
· i) Nano máquinas: pequeños robots que atacan el hardware del enemigo.
· j) Puertas traseras: mecanismos que permiten a los atacantes ingresar en un sistema sin que los detecten los ámbitos de seguridad.
· k) Ingeniería social: adopción de una falsa identidad para obtener información por teléfono, fax o e-mail.

Las armas mencionadas arriba son utilizadas en lo que se denomina “guerra de la información”. El blanco de estos ataques pueden ser: personas físicas, personas jurídicas, organismos gubernamentales y hasta estructuras globales. Estos ataques han llevado al desarrollo de métodos para protegerse y defenderse de dichos ataques[5] :
· a) Contraseñas: los sistemas informáticos de empresas deben contener contraseñas complejas, difíciles de violar, y realizar auditorías y cambios frecuentemente.
· b) Red: si se detectan vulnerabilidades en el sistema se debe realizar una nueva configuración de la misma, complementado con auditorías periódicas.
· c) Parches: se debe tomar precauciones como suscribirse a las listas de correo electrónico que informan sobre seguridad e informarse sobre las nuevas fallas que presenta el sistema.
· d) Auditoría: los sistemas y archivos de registro deben ser verificados regularmente.
Los medios más frecuentes de protecciónHay varios sistemas que se han desarrollado para combatir los problemas de inseguridad que se generan en las redes abiertas y que ayudan a prevenir la comisión de infracciones informáticas. James Whitcom Riley [6] desarrolla los cuatro medios principales utilizados:

FirewallEste sistema fue creado para prevenir el acceso no autorizado desde o hacia una red privada, y es considerado el primer mecanismo de defensa en la protección de información privada, aunque para lograr un mayor grado de seguridad sea necesario recurrir a la encriptación. Su uso más frecuente es prevenir que usuarios de Internet que no se encuentran autorizados puedan acceder a redes privada de Intranet. De esta manera, todos los mensajes que salen o entran de la red Intranet deben pasar por el firewall (o "pared de fuego"), que examina el mensaje y bloque aquellos que no cumplen con su estándar de seguridad. El sistema firewall puede ser instalado en el hardware, en el software o en ambos.
Las principales técnicas de firewall utilizadas son:
· 1) Packet filter: examina cada "paquete de información" que entra o sale de la red y los acepta o rechaza basandose en las reglas de usuario establecidas. Si bien este sistema resulta bastante efectivo y transaparente para los usuarios, presenta dificultades en su configuración.
· 2) Application Gateway: proporciona mecanismos de seguridad a ciertas aplicaciones específicas, como FTP o Telnet. Si bien es un sistema eficiente, puede degradar el funcionamiento del sistema.
· 3) Circuit-level gateway: proporciona mecanismos de seguridad para el establecimiento de conexiones TCP o UDP. Una vez que la conexión se encuentra terminada, los "paquetes de información" pueden ir de un servidor al otro sin corroboraciones posteriores.
· 4) Proxy-server: intercepta todos los mensajes que entran y salen de la red, ocultando las direcciones originales. En muchas ocasiones dos o más de estas técnicas son utilizadas. Se debe resaltar que para lograr una mayor seguridad es preferible utilizar otros medios.
PGPEste es un programa que permite dotar de privacidad al correo electrónico, mediante el mecanismo de encriptar el mensaje posibilitando que sólo el destinatario pueda leerlo. También se puede utilizar este sistema para firma digitalmente sin encriptar el mensaje, como en el caso que no se desea ocultar la información pero quiere que los demás sepan de quien proviene el mensaje. Si se crea una firma digital, es imposible modificar el mensaje o la firma sin que el hecho se pueda detectar. Si bien el sistema PGP parece encriptado, no lo está en realidad, y cualquier persona podría recuperar el texto original. En cambio en sistemas que utilizan la encriptación, como la firma digital, sólo el que posee la clave privada puede recuperar el texto original.

IPSECEste es un protocolo desarrollado por la IETF para asegurar el intercambio seguro de "paquetes de información" en la faja IP. Se ha desarrollado principalmente para implementar el VPN (Virtual Private Networks). El IPSEC utiliza dos métodos de encriptación: Transport y Tunnel. El método Transport encripta solamente la porción de información del paquete, pero no el "header". Por otro lado, el método Tunnel encripta ambos, la información y el "header". Del otro lado, el dispositivo IPSEC desencripta el "paquete de información" enviado. Para que el sistema funcione, ambos dispositivos, el de envío y el de recepción, deben compartir la misma clave pública. Esto se acompaña por un protocolo conocido como ISAKMP/Oakley (Internet Security Association and Key Management Protocol/Oakley) que permite que el receptor obtenga la clave pública y autentique al que lo envía utilizando un certificado digital.

PKIEl sistema del Public Key Infrastructure (Infraestructura de Clave Pública) se compone de Autoridades de Certificación, que emiten certificados digitales, y otras autoridades de registro que verifican y autentican la identidad de las partes que realizan sus transacciones por Internet. Este es el sistema de seguridad más seguro de los desarrollados hasta el momento.Heriberto S. Hocsman es director de Hocsman Abogados http://www.hocsman.com/ y autor del libro "Negocios en Internet".

Notas:
[1] Hance Oliver. Leyes y negocios en Internet. Editorial Mc Graw-Hill.
[2] Clasificación y tipos de ataques contra sistemas de información.http://www.delitosinformaticos.com/
[3] Amor, Daniel. La (R)evolucion E-Business. Editorial Prentice Hall
[4] Utilizando las definiciones de Daniel Amor en “La (R)evolucion E-Business”. Editorial Prentice Hall
[5] Siguiendo la clasificación de Daniel Amor en “La (R)evolucion E-Business”. Editorial Prentice Hall
[6] James Whitcom Riley. http://www.howthtech.com/

Dr. Heriberto Simón Hocsman

Muchas Gracias!!!
CMT

5 comentarios:

Yanina Waisgold dijo...

Me parece muy interestante la nota que escribió, siempre fueron un problemas los hackers y me parece muy bueno lo que se logro.
Agrego un link que sigue un poco hasta el día de hoy en que estado esta todo.
http://www.clarin.com/diario/2008/07/01/sociedad/s-01705538.htm

Guido Luterman dijo...

Me parecio muy buena y muy interesante la nota que escribio Heriberto ya que no estaba al tanto de esta nueva ley.

Dejo algunos links para informarse un poco mas sobre esta nueva ley:

http://www.diariojudicial.com.ar/nota.asp?IDNoticia=35699

http://www.lalicuadoratdf.com.ar/index.php?s=!notas$$notas/veo$W0821hxz0o0cqlno05zrgfl

http://www.infobaeprofesional.com/notas/67825-Cuales-son-los-alcances-de-la-ley-de-delitos-informaticos.html&cookie

http://www.lanacion.com.ar/nota.asp?nota_id=1028105

Jessica dijo...

gracias papa por escribir este articulo para el blog.
Ademas me gustaria dejar dos link un trata sobre reformas en las leyes europeas sobre delitos informaticos y otro en el cual se comenta que en California se ha aprobado una ley contra los delitos informaticos.

links:
http://www.noticias.com/articulo/06-03-2003/redaccion/reformas-leyes-europeas-delitos-informaticos-39bj.html

http://www.noticias.com/articulo/29-09-2000/redaccion/california-aprueba-ley-delitos-informaticos-2393.html

Tamara dijo...

Hay que agradecer al papà de jessi por hacer un muy interesante atriculo sobre la seguridad en INTERNET y las leyes de como combatir aquellas amenazas.

Encontre una nota muy interesante e informativa sobre el tema, que describe los diferentes tipos de amenazas.

http://www.noticias.com/noticia/seguridad-internet-es-cuestion-comportamiento-354.html

Gracias!

juan dijo...

me parecio muy bueno el articulo.
ahora, esto ayuda a combatir a los hackers? para siempre...
porque me parece barbaro todas "ideas" de la nueva ley, pero yo creo que con los avances de la tecnologia, ellos van a buscarle la vuelta para robar info
saludos