Mex: aprobación del pleno de los diputados para tipificar delitos cibernéticos.

Aprueba el Pleno tipificar los delitos cibernéticos; es un nuevo concepto delincuencial.

En: Cámara de Diputados - Honorable Congreso de la Unión.

Con el propósito de establecer un tipo penal que regule los delitos cibernéticos como la interferencia, diseño y transmisión de programas tendientes a bloquear, conocer o extraer información con el ánimo de causar perjuicio a otras personas, realizadas por hackers y crackers, el pleno de la Cámara de Diputados aprobó con 355 votos a favor, 1 abstención y 6 en contra, el dictamen que adiciona un párrafo tercero al artículo 211 bis 1, y los artículos 211 bis 8 y 211 bis 9 del Código Penal Federal.

El documento especifica que se sancionará al que transmita programas conocidos como virus, con la finalidad de sustraer datos o información contenida en sistemas o equipos de informática, del Estado e instituciones que integran el sistema financiero, estén o no protegidos por algún mecanismo de seguridad.

Señala que a las personas jurídicas que participen en la comisión de estos ilícitos se les impondrá sanción de quinientos a mil días multa y la suspensión temporal de sus actividades hasta por seis meses llegando a ordenarse, en su caso, su liquidación, cuando dichas infracciones sean cometidas en su beneficio por cualquier persona que actúe a título particular o como parte del órgano directivo de la persona jurídica.

Asimismo resalta que se les aplicará multa de seis meses a dos años de prisión y de cien a trescientos días multa. Indica que es el Poder Legislativo quien tiene la obligación de hacer las reformas que contribuyan al buen funcionamiento del canal de comunicación y proporcionar seguridad y confiabilidad a los usuarios.

Precisa que el manejo y el uso de información en la red tiene demasiadas áreas por explotar, por lo que los vacíos existentes en la aplicación y formulación de leyes convierten a esta herramienta informática en una espacio propicio para el diseño de ejecución de delitos cibernéticos.

Secure software development

Introducción.

• Contrato de licencia Vs. contrato de desarrollo.

• Licencia: contrato de adhesión, ¿responsabilidad del licenciante?, usos restringidos.

• Desarrollo: negociación entre las partes: ¿titularidad? ¿licencia?

1. Perspectiva de los derechos de autor.

• Artículo 29, Ley 23/82: obra por encargo.

– Por cuenta y riesgo del contratante.

– Remuneración del autor: honorarios, no regalías.

– Derechos morales del autor.

– Derechos patrimoniales cedidos en virtud de la ley.

– Registro, para fines de publicidad y oponibilidad frente a terceros.

• Titularidad: contractualmente, y de hecho, debe ser claro que el contratante corre con gastos y riesgo.

• Garantías: punto clave en negociación: ¿obligación del contratista es de medio o de resultado? ¿Cuánto tiempo de soporte post venta?

• Entrega del código fuente.

2. Aspectos de seguridad.

“An external attacker’s first measure of success is to gain the credentials of internal, legitimate users.”

“Today, the path of least resistance to this goal is not the network gear, not crypto-mathematics, nor bribery; it is application software.”

-- Germanow et all

• Ataques dirigidos contra errores de programación en las aplicaciones son causa del 90% de los incidentes de seguridad.

• Al software defectuoso se debe el 75% de todas las vulnerabilidades.

• Intel aplicó 2.4 millones de parches a sus redes.

• Un scan de 470 máquinas demostró que se necesitaban 8,000 parches.

• Una organización con 100,000 IPs podría recibir 2.3 millones de vulnerability probes por día.

• El Aberdeen Group estimó que el costo total de administración de vulnerabilidades en empresas americanas en 2002 fue de US$3.5 billones.

• Qué es una vulnerabilidad?

• CERT/CC:

• Usualmente provocada por un defecto de software.

• Viola política de seguridad.

• Defectos similares son clasificados como la misma vulnerabilidad.

• Suele provocar comportamientos inesperados.

• Gracias a ellas existen los troyanos (attachments maliciosos), virus y worms y las herramientas de intrusión (scanners, rootkits).

• Ejemplos de defectos:

– Errores de autenticación de usuarios.

– Errores al cifrar o proteger datos sensibles.

• Buffer overflow (escritura de datos por encima de los límites de memoria localizada para una estructura de datos): causado con o sin intención.

• Herramientas de análisis de código:

• RATS .

• Flawfinder.

• ITS4.

• ESC/Java.

• Project Fluid.

• ¿Cuál será la plataforma? ¿Por cuánto tiempo aún será soportada por el fabricante?

• Personnel background check.

• Principios de diseño de herramientas:

• Economía: tan simple y pequeño como sea posible.

• Decisiones sobre acceso basadas en permisos, no en exclusión.

• Cada acceso a cada objeto debe tener chequeo de autorizaciones.

• El diseño no debe ser secreto.

• Separación de privilegios: doble llave de acceso (no una sola).

• Principios de diseño de herramientas:

• Cada miembro del equipo debe tener la menor cantidad posible de privilegios para completar la labor.

• Aceptación subjetiva: interfaz amigable para que los usuarios, rutinariamente, apliquen correctamente los mecanismos de seguridad

Noopur Davis

Carnegie Mellon University/2004

Conclusiones

• Titularidad del programa? Código fuente?

• Realizar tests e inspecciones, usar herramientas de análisis de código, aplicar los principios de diseño y administrar el riesgo.

• Contratante debe exigir, según sus necesidades, niveles de seguridad apropiados; requisito: estudio de riesgo previo.

• ¿Obligaciones de resultado?

En defensa del derecho informático

En alguna oportunidad anterior envié, a un periódico especializado en temas legales, un artículo en el que desarrollaba un asunto relativo a la Convención Europea sobre Cibercrimen. Para mi tristeza, no fue publicado; la razón, entendible pero debatible, consistió en que lo había redactado en un lenguaje muy técnico que lo hacía, valga la redundancia, inentendible. Por esa razón, y con el ánimo de defender una de las áreas de estudio del derecho que más me apasionan, he decidido escribir estas líneas.

El derecho, disciplina del lenguaje, maneja uno propio que le es desconocido a quienes no son sus operarios; y, dentro de él, existen tantos sublenguajes, si se me permite el término, como áreas de estudio, que son, a su vez, conocidos solamente por quienes deben lidiar con ellas. Cito dos apartes ejemplificantes, tomados de anteriores ediciones de esa misma publicación:

- “El ajuste a la tabla de retención en la fuente del 2003 para pagos gravables originados en la relación laboral, consagrado en el artículo 1 del Decreto 3256 del 2002, se hizo de acuerdo con la ley. Por esta razón, el Consejo de Estado revocó la suspensión provisional de los 19 primeros intervalos de la tabla, que decretó el 17 de septiembre del 2003…”.

- “En aplicación de la doctrina de los patrimonios autónomos, la fiducia puede ser demandada por conducto del fiduciario, sin que por ello actúe en nombre propio ni represente a un tercero, determinó la Sala Civil…”.

Es lógico que existan áreas del derecho cuyos términos técnicos son de fácil comprensión, incluso para quienes no son expertos en ellas; cualquier abogado entiende, o al menos intuye el significado de, términos como indagatoria, fiducia, retención en la fuente o suspensión provisional del acto. Desde los primeros semestres de la carrera debemos todos enfrentarnos a ellos y pasar noches en vela intentando usarlos en la construcción de escritos que guarden un mínimo de sentido.

El derecho informático, lastimosamente, está en posición de desventaja frente a sus hermanas mayores: en las universidades, generalmente, no se le considera un área de estudio y difícilmente se incluyen, en los programas de las materias, módulos que permitan a los estudiantes gozar de las delicias del high tech law. En la práctica profesional la situación es más alarmante aún: los abogados siempre remiten a los ingenieros, con una cierta y simpática expresión de “no es conmigo” los asuntos técnicos sobre los que deben pronunciarse, porque tienen efectos legales o por cualquier otra razón.

Haciendo una comparación simple, para un abogado de derecho informático el término IP Spoofing puede ser tanto como, para un penalista, el término encubrimiento; la expresión ataque de ciento ochenta grados, tanto como modus operandi; el término sniffing, tanto como interceptación ilegal de comunicaciones. Y no nos será posible, a quienes debemos lidiar con estos términos frecuentemente, lograr que otros se familiaricen con ellos, puesto que… ¡son muy técnicos!

Así que, puesto que son muy técnicos y, consecuentemente, no son entendibles, no son publicables. Y, obviamente, como no son estudiados en las universidades, ni son publicados ¡no serán nunca entendibles! Pareciera ser un callejón sin salida; y, adicionalmente, creo necesario despertar el interés en muchos de mis colegas por esta área del derecho, buscando contrapartes que aporten en su consolidación académica y profesional.

Si hoy hubiera tantos abogados penalistas como los hay de derecho informático, la Fiscalía General de la Nación debería reducir su planta de personal considerablemente… por simple exceso de mano de obra: los funcionarios irían a sus oficinas a conversar, leer, chatear, y, ocasionalmente, atender alguna diligencia de un avezado abogado. Si la situación fuera a la inversa, es decir, si hoy hubiera tantos abogados de derecho informático como penalistas, nuestro slang sería el familiar y serían ellos quienes tendrían dificultades a la hora de publicar sus artículos…

Y podríamos, orgullosamente, discutir en los cafés del centro de Bogotá sobre temas como el hack de que fue objeto el Banco XYZ, o el robo de identidad de que fue objeto el presidente de tal compañía, o las consecuencias en el nivel de seguridad contractual, que implica la nueva vulnerabilidad descubierta en el algoritmo MD5. Pero, por ahora, debo esforzarme porque estas líneas sí sean publicadas, esperando no haber sido demasiado técnico.

Council of Europe Convention on Cybercrime

En los países latinoamericanos encontramos una falta generalizada de leyes en materia de delitos informáticos; a esta carencia regional se suman las fallas conceptuales, no poco frecuentes, en temas tecnológicos, que hacen casi inviable la aplicación de los tipos penales correspondientes. Y, para completar el cuadro crítico, en los pocos países en los que hay unidades de policía especializadas en estos delitos los funcionarios no cuentan ni con la tecnología ni con la capacitación requeridos.

Como consecuencia de esta situación de atraso, cuando una conducta dañosa es cometida mediante el uso de tecnologías de la información y la comunicación, usualmente no se sigue de ella ni siquiera una investigación judicial preliminar. Consecuentemente, en esta materia es fundamental la existencia de una legislación uniforme y de convenios internacionales de cooperación judicial e investigativa; sobre este particular, la posición Europea, que compartimos, indica que debe darse la mayor atención a los siguientes aspectos:

- Es necesario proteger a la sociedad frente a la amenaza de los delitos cometidos por vías informáticas.

- Debe buscarse la promulgación de leyes uniformes en todos los países.

- Los procesos y procedimientos forenses digitales deben estandarizarse, al igual que las características de las herramientas usadas por los investigadores, de manera que la evidencia recaudada en un país sea válida en cualquiera otro.

- La naturaleza volátil de estos delitos hace necesaria la adopción de mecanismos de cooperación nacional e internacional expeditos y funcionales.

- Es necesario garantizar a la sociedad la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos y de la información archivada y/o administrada en ellos.

- Debe existir un balance entre los poderes investigativos del Estado y los derechos humanos.

- Es necesario crear, capacitar y dotar de tecnología a organismos especializados estatales de seguridad.

- Es necesaria la participación activa de nuestros países en actividades de investigación y desarrollo, de manera que ellos mismos estén en capacidad de detectar vulnerabilidades (en los programas de software, por ejemplo), generar las soluciones correspondientes, además de sus propias herramientas, técnicas y estrategias de investigación.

Por lo anterior, es necesario proponer la adopción de regulaciones uniformes en lo penal, a nivel latinoamericano, que abarquen tanto los aspectos sustantivos como los procesales. De esta forma, al abordar los aspectos sustantivos serán definidas como delitos, en nuestros países, las actividades en línea que sean consideradas dañinas; y, al referirse a los temas procesales, se dará cabida a la investigación y al castigo efectivos de delitos tradicionales en cuya comisión haya utilización de sistemas de información y comunicaciones; estas regulaciones uniformes deberían referirse, entre otros, a la interceptación de comunicaciones en tiempo real (como interceptar la conversación que dos personas sostienen en una sala de chat), la retención de datos sobre tráfico en las redes, la anonimización (es decir, el ocultar intencionalmente la propia identidad para buscar la impunidad), la cooperación judicial e investigativa, la jurisdicción y el valor probatorio de la evidencia digital.

Ahora bien, conseguir que todos los países de Latinoamérica lleguen a un consenso, en la redacción de sus normas penales internas sobre delitos informáticos, y en la creación de sus unidades policiales especializadas en estos temas, es una tarea imposible. Al respecto, encontramos las siguientes dificultades concretas:

- El desinterés de los países por uniformizar su ley y la imposibilidad de exigir, por cualquier vía, que lo hagan efectivamente (frecuentemente el desinterés llega a impedir la simple promulgación de normas nacionales en esta materia).

- La posibilidad de deserción parcial de algunos países, queriendo decir con esto que es posible que, en temas puntuales, algunos países definan sus leyes en forma diferente a la estandarizada, fundamentando su disidencia en intereses locales (que bien pueden no corresponder con el interés de sus propios pueblos).

- La inclusión de aspectos técnicos erróneos en las leyes, que les harían perder toda su efectividad.

- La no definición legal uniforme de los aspectos relacionados con el valor probatorio de la evidencia digital, que haría imposible la aceptación de la evidencia recaudada en un país, por parte de un juez extranjero.

Y, puesto que no existe una instancia que obligue a los países a uniformizar sus leyes, proponemos que todos ellos suscriban y ratifiquen la Convención Europea sobre Cibercrimen. Esta es la primera y única herramienta de derecho internacional que aborda directa y específicamente el problema del delito informático y se convierte en la mejor arma para lograr la penalización real del hacking, de los robos de identidad y de los fraudes en línea, entre otros.

Esta propuesta es consecuente con la invitación que los Ministros de Justicia de la Organización de Estados Americanos presentaran a los Miembros en abril de 2004 “a evaluar las posibilidades de implementar los principios de la Convención del Consejo de Europa sobre Cibercrimen de 2001 y a considerar la posibilidad de ser Parte en esa Convención”.

La incorporación global a la Convención será la posición que a este respecto asumirán los 46 países miembros del Consejo de Europa, dentro del marco del World Summit on Information Society. Esta Convención ha sido, a la fecha, ratificada por nueve Estados y suscrita por 32; se espera que muchos más, incluyendo obviamente no europeos, se conviertan en Parte en ella.