1er FORO DE DISCUSION SOBRE
“FRAUDE EN LA CONTRATACIÓN ELECTRÓNICA INTERNACIONAL” UNIVERSIDAD SANTIAGO DE CALI CALI 2007 “Para una política frente a los delitos informáticos” Prof. Dr. Rodolfo Daniel UICICH 1
La trágica vida del Sr. Pérez Procura un crédito ----- deudor Acceso ilegitimo a bases de datos
Desarrolla un informe --- modificación y destrucción Cracker
Adquiere sus equipos ----- se le destruyen Sabotaje informático
Recibe un mail salvador Su banco lo auxiliará Phishing- pharming
2
Responsabilidad PENAL CIVIL
contractual extracontractual
Evolución de las valoraciones: 1era etapa) Bienes muebles e inmuebles 2da etapa) Siglo XX bienes registrables y no registrables 3era. etapa) Fines siglo XX y Siglo XXI, los bienes intangibles
“LA INFORMACIÓN” 3
CARACTERÍSTICAS DE LOS DELITOS INFORMÁTICOS 9 Falta de tipificación. 9 Transnacionalidad de las conductas. 9 Falta de consenso internacional 9 La virtualidad de ciertas conductas 9 Innovaciones tecnológicas 9 Dificultades de localización 9 Falta de convenciones
4
DEFINICIÓN de DELITOS INFORMATICOS “Es cualquier acto ilegal en relación con el cual, el conocimiento de la tecnología informática sea esencial para su comisión, investigación y persecución.”
Dpto. de Justicia de EEUU.
“Acciones típicas, antijurídicas y culpables que recaen sobre la
información, atentando contra su integridad, confidencialidad o disponibilidad, en cualquiera de las fases que tienen vinculación con su flujo o tratamiento, contenida en sistemas informáticos de cualquier índole sobre los que operan las maniobras dolososas”. Según anteproyecto de Ley de Delitos Informáticos. Secretaria de Comunicaciones. Rep. Argentina. “Conducta típica, antijurídica y culpable que atenta contra la información en toda su dimensión y alcance”
Uicich 5
PERFIL CRIMINOLOGICO HACKERS: acceden CRACKERS: inutilizan los sistemas de protección PHREAKERS: fraude en telefonía GUANTE BLANCO ELEVADO NIVEL DE CONOCIMIENTO VINCULADO CON LA VICTIMA
SUJETOS DEL DELITO INFORMÁTICO ACTIVO:
quien realiza la conducta. El nivel intelectual supera al
común. Empleados. PASIVO: bancos, compañías financieras, organismos del Estado, organismo recaudadores. 6
CONDUCTAS 9 ACCESO ILEGITIMO AL SISTEMA NFORMÁTICO
•Es el punto inicial. •Personas dentro de una organización (autorizadas o no). •Personas fuera de una organización (autorizadas o no). •Es el más frecuente. •En general lo cometen los hackers.
7
9 FRAUDE INFORMÁTICO Son delitos con contenido patrimonial. Manipulando datos tanto de entrada como de salida. Manipulando programas La conducta disvaliosa se conforma con dos elementos : 1) El “ánimo de lucro” 2) El “perjuicio patrimonial” Logrado a través de una transferencia patrimonial no consentida. El ánimo de lucro lo diferencia de otras figuras. No basta el solo perjuicio patrimonial. 8
9 PIRATERÍA PIRATERÍA DEL SOFTWARE: Apropiarse de ideas u obras ajenas, reproducirlas y lucrar con su venta.
TIPOS: 1. 1) Corporativas: cuando empresas instalan en las PCs software sin licencia. 2. 2) Profesional: obtienen copias y venden. 3) Hogareña. 9
9 SABOTAJE INFORMÁTICO Es el control indebido de sistemas informáticos. Daños al hardware (tipos penales tradicionales), a los datos y al software. Elemento Objetivo: Borrado, destrucción o alteración de un sistema informático o datos Elemento Subjetivo: Dolo, intención de dañar al sistema o los datos ART.183 Cód.Penal: Solo prevé el daño a las cosas muebles y no a las inmateriales. 10
9 OTRAS CONDUCTAS DELICTIVAS
-
Falsificación informática.
-
Espionaje informático.
-
Generación y distribución de virus.
-
Interceptación no autorizada. Difusión de pornografía infantil.
11
PHISHING Recibimos un mail con la tipología de alguna institución conocida. Nos induce a entrar a un link falso. Con un ardid logran la obtención de datos personales. Luego los utilizan en nuestro perjuicio.
PHARMING Variante sofisticada del phishing. Se envía un mail vacío, al clickear sobre él, instala un programa que engaña al navegador y lo hace ir a direcciones falsas. 12
TIPOS de DELITOS INFORMÁTICOS ONU 1. Fraudes cometidos mediante manipulación de computadoras: ·
Manipulación de datos de entrada. Consiste en la sustracción de datos.
Este delito no requiere conocimientos técnicos de informática y puede cometerlo cualquier persona que tenga acceso a funciones normales de procesamiento de datos. ·
Manipulación de programas. Se trata de la modificación de los programas
existentes o bien, o bien la inserción de nuevos programas o nuevas rutinas. (“Caballo de Troya”). El delincuente debe tener conocimientos técnicos de informática. ·
Manipulación de datos de salida. Se realiza fijando un objetivo al
funcionamiento del sistema informático. Generalmente afecta a los cajeros automáticos. Fraude efectuado por manipulación informática. Aprovecha las repeticiones automáticas de proceso de computo. (Técnicas del salami).
13
2. Falsificaciones informáticas: • Como objeto: cuando se alteran datos de los documentos almacenados en forma computarizada. • Como instrumento: para falsificar documentos de uso comercial. 3. Daños o modificaciones de programas o datos computarizados. 4. Sabotaje informático. Se ejecutan mediante la introducción de virus, gusanos, bombas lógicas o cronológicas, etc. (Borrado, supresión o modificación de funciones o datos de la computadora). 5. Acceso no autorizado a servicios y sistemas automáticos (piratería, sabotaje o espionaje informático). 6. Reproducción no autorizada de programas informáticos con protección legal.
14
BIEN JURÍDICO PROTEGIDO Siempre es un interés vital. Creado por la sociedad de acuerdo a los valores vigentes en un tiempo dado,
es receptado por el derecho.
La recepción del derecho eleva el interés vital a BIEN JURIDICO. “LA INFORMACIÓN” es el bien jurídico. Es un bien jurídico novedoso y complejo. “AMPLITUD, TITULARIDAD, AUTORÍA, INTEGRIDAD, DISPONIBILIDAD, SEGURIDAD, TRANSMISIÓN, CONFIDENCIALIDAD” Sin perjuicio que con su ataque se afecten otros bienes jurídicos tales como la intimidad o la propiedad. Tiene implicancias en lo económico, la privacidad., la seguridad, el patrimonio y en otros ordenes.
15
EL QUID de la NATURALEZA JURÍDICA de la INFORMACIÓN -En la Argentina la “información no es considerada cosa” por lo tanto no puede ser robada ni destruida. . La tesis de la energía electrónica La información en una computadora es “energía electrónica o magnética” (según sea el soporte). Esta energía contenida en un disquete, CD o disco rígido es apropiable y por ende se rige por las disposiciones de las cosas. - Así podríamos decir que la información podría ser dañada, alterada, robada. Al igual que los pulsos eléctricos o las señales de cable.
16
. La respuesta de la LPDP - Art. 32 ley 25326 – 157 bis del Cód. Penal: “ a sabiendas ilegítimamente o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma a un banco de datos personales.”
ESTAFA. Art. 172 Cod. Penal: -El navegante es victima de un ardid que lo hace caer en un error y es desapoderado de sus bienes. - El desapoderamiento es un delito posterior cometido con la información recibida en concurso real o ideal según el caso que agrava a la estafa.
17
PROBLEMÁTICA DE LA TIPIFICACIÓN - “ nullum crime, nulla poena, sine legge” no hay delito sin pena establecida por la ley penal anterior. -
La ley penal:
descripción precisa de la acción delictiva.
-
No es permitida la analogía.
-
La destrucción de bases de datos, el hurto o fraude informático: impunes.
-
Art. 183 Cod. Penal: pena a quien “dañe una cosa muebles, inmueble o animal.” Los datos informáticos , son incorpóreos, no están incluidos.
-
Art.162 Cod. Penal: Hurto: apoderamiento de una cosa mueble.
-
Argentina carece de legislación especifica sobre delitos informáticos, salvo cierta protección. 18
LA CUESTIÓN de la JURISDICCIÓN INTERNACIONAL
Extraterritorialidad -
¿Cuál es el Tribunal competente?:
·
Competencia del país del acto.
·
Competencia de donde se produjo el daño.
-
El Tribunal competente resolverá de acuerdo a su legislación.
19
-- EEUU: USA vs. IVANOV, Aleksey : Competente el lugar de los efectos. Ciudadano ruso que hackeo el sistema de On Line Information Bureau Inv. (OIB) de Vernon, Connecticut. Envió mensaje a OIB diciendo que poseía claves y las destruiría salvo pago de U$S 10.000- para convertir en seguro al sistema. Acusado de conspiración, fraude informático y actitudes relacionadas, extorsión y posesión no autorizada de dispositivos de acceso.
“VIRUS”
“paraísos informáticos” . Ej. “ I love you” de Filipinas.
20
MODOS DE LEGISLAR
1.
Ley especial: que abarque toda la problemática.
2.
Manteniendo la economía del Cod. Penal actual, modificando los párrafos pertinentes. (Alemania, España, Francia).
21
MARCO LEGAL EN ARGENTINA - CONSTITUCIÓN NACIONAL: • Art. 18: privacidad del domicilio y papeles privados. • Art. 19: privacidad del individuo. • Art. 17: Dcho. de propiedad. • Art. 43: garantía de acceso y rectificación de nuestros datos.
- LEY PENAL TRIBUTARIA 24.769: Art. 12: tipifica la “alteración dolosa de registros”. - LEY 24.073 (AFIP): Art. 29: Obliga a los contribuyentes a mantener por dos años en condiciones de operatividad los soportes magnéticos con datos de la materia imponible. 22
- LEY 24.766 DE CONFIDENCIALIDAD Protege el secreto de informaciones de personas físicas o jurídicas almacenadas en medios informáticos (bases de datos). Reprime la divulgación en contra de los usos comerciales honestos. - LEY 25326: Art.32. Cod. Penal art. 117 bis: “insertar o hacer insertar datos falsos en un archivo de datos
personales y proporcionar a un tercero a sabiendas información falsa contenida en un archivo de datos personales.
Cod. Penal 157 bis: acceder, a un banco de datos personales, a sabiendas o ilegalmente, violando sistemas de seguridad y confidencialidad. . Revelar información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley. 23
- LEY 25.036 de PROTECCIÓN PENAL del SOFTWARE modificatoria de ley 11723 : Protege los derechos de autor de los programas de computación (fuente y objeto), las compilaciones de datos u otros materiales, sea cual fuere su procedimiento de reproducción (art. 1). Protege la expresión de la idea y no la idea en si misma. Art. 172 Cod. Penal: castiga a quienes defraudaren los derechos de propiedad intelectual.
- PROYECTOS DE LEY
24
UN PASEO POR LA JURISPRUDENCIA Caso PINAMONTI, Orlando M.: “ Borrar o destruir software no es delito de daño porque el concepto de “cosa” solo es aplicable al soporte y no al contenido. Caso ARDITA, Julio: Accedió a la NASA a través del servicio de acceso gratuito de Telecom con el que comunicaba fraudulentamente. No se le condenó por acceso ilegitimo. Si por estafa. Caso M. E. s/ Recurso de Casación: Médico pediatra envía dos fotografías pornográficas de menores a un newsgroup alt.sex.pictures.male Acusado de “delito de distribución de imágenes pornográficas”. Primera Instancia :No hubo “distribución”. Para ello el newsgroup debía estar integrado por dos o mas personas. Casación lo revierte “basta la puesta en circulación del material”. El delito operó cuando el material se envió a Internet. 25
Caso GORNSTEIN, Marcelo H.: Causa por violación de sistema de seguridad de paginas web de CSJN. El 26/01/98 – consigna alusiva al aniversario de José Luis Cabezas. Se lo atribuyo a un grupo de Hackers denominados XTEAM. Acusados por el art. 183 Cod. Penal “daño a una cosa mueble o inmueble o animal” Art. 2311 Cod. Civil cosa: “objeto material susceptible de tener valor” sus disposiciones son aplicables a la energía y a las fuerzas naturales. Sea lo característico la copropiedad o el valor patrimonial una pagina web no es un caso. Extender el principio a “cosa” atentaría contra el “principio de legalidad” del art. 18 CN. Sobreseídos todos los imputados. Carrión un sitio web es detectable por que la información esta en la memoria del servidor como archivo HTML constituido de energía detectable materialmente como combinación binaria de unos y ceros. Pero la información que se plasma en un sitio web no esta protegida por la legislación penal. 26
Caso VITA, Leonardo G y GONZALEZ EGGERS, Matías: Tenían una pagina web registrada donde debatían sobre la prohibición legal de la marihuana y sus usos. Posible inducción al uso de estupefacientes. Alzada los imputados no tenían control o dominio sobre el contenido publicado. Su conducta se limito a informar la existencia de la página. El amplio criterio de “libertad de prensa” alcanza a Internet. Se valieron de ese medio para difundir sus ideas sobre el consumo de estupefacientes. .El derecho de expresarse en dirección contraria a la política criminal del Estado debe prevalecer sobre el interés estatal del art. 12 inc. a Ley 23737 “inducción al consumo”. Sobreseídos. 27
LOS PRINCIPIOS BÁSICOS DE LA SEGURIDAD INFORMÁTICA Mínimo privilegio Sostiene que los permisos otorgados a un sujeto deben estar basados en la necesidad de saber. Valores por omisión seguros Establece que, a menos que se otorgue explícitamente a un sujeto acceso a un determinado objeto, éste debe ser denegado. Economía de los mecanismos Requiere que los mecanismos de seguridad deben ser los más sencillos posibles. En otras palabras, la complejidad es enemiga de la seguridad. Mediación completa Establece que todo acceso a objetos pueda ser auditado. 28
Diseño abierto Sostiene
que
la
seguridad
de
un
sistema
no
debe
depender
exclusivamente de secretos en su diseño o implementación. Separación de funciones Dice que el sistema no debe conceder permisos a recursos críticos del sistema basados exclusivamente en una única condición (defensa en capas). Menor mecanismo común Los mecanismos utilizados para acceder a recursos no deben ser compartidos. Aceptación psicológica Asegura que los mecanismos de protección no deben afectar seriamente la factibilidad de uso del sistema. 29
Facultad de Derecho - Universidad de Buenos Aires
Posgrado on-line en Derecho Informรกtico Director Prof. Dr. Daniel Ricardo Altmark 30
Prof. Dr. Rodolfo Daniel Uicich uicich@ciudad.com.ar
31