Protección de datos y privacidad en una nueva era de delitos financieros los inminentes peligros

Transcripción

1 Webinario de ACFCS 8 de abril de 2015 Protección de datos y privacidad en una nueva era de delitos financieros los inminentes peligros Presentado por: Dra. Catalina Carpio Peñafiel Contycom Cia. Ltda.

2 Certificación CFCS, Conferencias, Noticias, Entrenamiento, Contactos Globales

3 La Certificación que demuestra Conocimiento, Experiencia y Compromiso en la lucha contra los Delitos Financieros

4

5 Protección de datos y privacidad en una nueva era de delitos financieros los inminentes peligros Dra. Catalina Carpio Peñafiel

6 Introducción.- Las compañías y organizaciones internacionales han experimentado un gigantesco cambio de la mano de los avances tecnológicos y los delincuentes han seguido muy de cerca estas transformaciones y han adoptado un nuevo y enorme arsenal de herramientas tecnológicas y más tradicionales para vulnerar las protecciones a la información. Los delincuentes financieros, sea en versión tradicional o de piratas informáticos, buscarán irrumpir en los sistemas de almacenamiento de datos para robar información y convertirla en ganancias para financiar sus operaciones. Estos datos van desde código de acceso a cuentas bancarias hasta números de tarjetas de crédito y robo de información en instrumentos legales internacionales, como lo demuestran una enorme cantidad de casos recientes. El conocimiento y la pericia en la seguridad de datos se están convirtiendo en una necesidad para toda organización que no quiera ser tapa de los diarios y experimentar un daño reputacional irremediable y también para los profesionales en el campo de los delitos financieros que deben velar por esta información.

7 Introducción.- En este webinario se explorarán muchos temas muy actuales y valiosísimos para todo profesional en el campo de la delincuencia financiera, entre ellos: La utilización ilícita de información personal a través de instrumentos legales para movimientos transfronterizo de dinero sucio. Principios para reconocer y detectar los fraudes cibernéticos financieros Ejemplos de algunos tipos de ataques Elementos básicos de un programa de seguridad de datos y como responder ante una filtración de datos Casos y mejores prácticas

8 CONCEPTOS GENERALES PARA ENTENDER LA PROTECCIÓN DE DATOS Esta clasificación está amparada en la mayoría de las legislaciones democráticas, que tienen una base constitucional de protección de garantías y derechos. CLASIFICACIÓN DE LA INFORMACIÓN: Información pública, de libre acceso, especialmente información de los entes públicos. Información Confidencial ( Ej. Información personal relacionada con los derechos personalísimos) Información reservada (ej. Sigilo bancario, información de seguridad nacional)

9 CONSTITUCION DE LA REPÚBLICA DEL ECUADOR Art. 66, # 19.- El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley.

10 LEY ORGANICA DE TRANSPARENCIA Y ACCESO A LA INFORMACION PÚBLICA Art. 5.- Información Pública.- Se considera información pública, todo documento en cualquier formato, que se encuentre en poder de las instituciones públicas y de las personas jurídicas a las que se refiere esta Ley, contenidos, creados u obtenidos por ellas, que se encuentren bajo su responsabilidad o se hayan producido con recursos del Estado. Art. 6.- Información Confidencial.- Se considera información confidencial aquella información pública personal, que no está sujeta al principio de publicidad y comprende aquella derivada de sus derechos personalísimos y fundamentales, especialmente aquellos señ5alados en los artículos 23 y 24 de la Constitución Política de la República.

11 LEY ORGANICA DE TRANSPARENCIA Y ACCESO A LA INFORMACION PÚBLICA El uso ilegal que se haga de la información personal o su divulgación, dará lugar a las acciones legales pertinentes. No podrá invocarse reserva, cuando se trate de investigaciones que realicen las autoridades, públicas competentes, sobre violaciones a derechos de las personas que se encuentren establecidos en la Constitución Política de la República, en las declaraciones, pactos, convenios, instrumentos internacionales y el ordenamiento jurídico interno. Se excepciona el procedimiento establecido en las indagaciones previas.

12 LEY ORGANICA DE TRANSPARENCIA Y ACCESO A LA INFORMACION PÚBLICA Art De la Información Reservada.- No procede el derecho a acceder a la información pública, exclusivamente en los siguientes casos: a) Los documentos calificados de manera motivada como reservados por el Consejo de Seguridad Nacional, por razones de defensa nacional, de conformidad con el artículo 81, inciso tercero, de la Constitución Política de la República y que son: 1) Los planes y órdenes de defensa nacional, militar, movilización, de operaciones especiales y de bases e instalaciones militares ante posibles amenazas contra el Estado;

13 LEY ORGANICA DE TRANSPARENCIA Y ACCESO A LA INFORMACION PÚBLICA 2) Información en el ámbito de la inteligencia, específicamente los planes, operaciones e informes de inteligencia y contra inteligencia militar, siempre que existiera conmoción nacional; 3) La información sobre la ubicación del material bélico cuando ésta no entrañe peligro para la población; y, 4) Las informaciones expresamente establecidas como reservadas en leyes vigentes.

14 LEY ORGANICA DE TRANSPARENCIA Y ACCESO A LA INFORMACION PÚBLICA Art Protección de la Información Reservada.- La información clasificada previamente como reservada, permanecerá con tal carácter hasta un período de quince años desde su clasificación. La información reservada será desclasificada cuando se extingan las causas que dieron lugar a su clasificación. Se ampliará el período de reserva sobre cierta documentación siempre y cuando permanezcan y se justifiquen las causas que dieron origen a su clasificación.

15 CONSTITUCION DE LA REPÚBLICA DEL ECUADOR Acción de acceso a la información pública Art La acción de acceso a la información pública tendrá por objeto garantizar el acceso a ella cuando ha sido denegada expresa o tácitamente, o cuando la que se ha proporcionado no sea completa o fidedigna. Podrá ser interpuesta incluso si la negativa se sustenta en el carácter secreto, reservado, confidencial o cualquiera otra clasificación de la información. El carácter reservado de la información deberá ser declarado con anterioridad a la petición, por autoridad competente y de acuerdo con la ley.

16 CONSTITUCION DE LA REPÚBLICA DEL ECUADOR Acción de hábeas data Art Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos. Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley. La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados.

17 CUSTODIA DE LA INFORMACION POR PARTE DE LAS ENTIDADES Las entidades que administren bases de datos de terceros y que la información esté dentro de la clasificada como confidencial por ser personal, son únicamente CUSTODIOS DE LA INFORMACIÓN MÁS NO DUEÑOS DE LA MISMA. Necesitan autorización de los titulares para cederla. Hay únicamente 3 formas de entregar este tipo de información personal o también la información confidencial o reservada a terceros diferentes de sus titulares: Que autorice el titular (Ej. Solo para información personal del cliente, proveedor, empleado, corresponsal) Que ordene la ley (Ej. en época electoral, se puede ordenar la entrega de información personal y también de información sujeta a reserva) Que ordene el juez en un proceso judicial, debidamente motivado

18 PROTECCIÓN PENAL: delitos. No todos los estados tienen leyes que tipifique los delitos cibernéticos y eso puede ser un problema. Pocas son las legislaciones que tienen tipologías que configuran delitos contra la seguridad de los activos de los sistemas de información y comunicación. En la legislación ecuatoriana, por ejemplo estos delitos son: Revelación ilegal de base de datos que consiste en revelar información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico, informático, telemático o de telecomunicaciones; materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las personas

19 PROTECCIÓN PENAL Interceptación ilegal de datos. Que consiste en interceptar información sin orden judicial previa, en provecho propio o de un tercero, o cuando se escuche, se desvíe, se grabe o se observe, en cualquier forma un dato informático en su origen, destino o en el interior de un sistema informático, una señal o una transmisión de datos o señales con la finalidad de obtener información registrada o disponible. 2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de resolución de nombres de dominio de un servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una persona a ingresar a una dirección o sitio de internet diferente a la que quiere acceder. 3. La persona que a través de cualquier medio copie, clone o comercialice información contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté soportada en las tarjetas de crédito, débito, pago o similares. 4. La persona que produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito descrito en el inciso anterior.

20 PROTECCIÓN PENAL Ataque a la integridad de sistemas informáticos.- Cuando una persona destruye, daña, borra, deteriora, altera, suspende, traba, causa mal funcionamiento, o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen. Delitos contra la información pública reservada legalmente.- Cuando una persona destruye o inutiliza información clasificada de conformidad con la Ley. Acceso no consentido a un sistema informático, telemático o de telecomunicaciones.- Cuando una persona sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o de telecomunicaciones o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años.

21 ABUSO Y UTILIZACION PARA ACTOS ILÍCITOS. CAUSAS.- Las entidades no tienen controles internos en la custodia de la información. En ocasiones los mismos empleados al terminar la relación laboral se llevan sus bases de datos, las cuales en ocasiones son vendidas a empresas comerciales con altas probabilidades de que sean adquiridas también por el crimen organizado. Los controles de privacidad en los sistemas de las entidades pueden ser vulnerados porque muchas veces son laxos, y los ciber criminales o hackers pueden acceder con facilidad. No existe normativa legal en el país de la entidad que sancione estos ataques. No es prioridad de muchas empresas la seguridad cibernética.

22 Consecuencias.- Una de las tipologías que actualmente se está utilizado para lavar dinero, está relacionada con el robo de información e identidades. Tipología.- Utilización ilícita de información personal a través de instrumentos legales para movimientos transfronterizo de dinero sucio. Instrumentos legales utilizados : por lo general contratos de mutuo (préstamo). Son notariados y apostillados. Señales de alerta: a) supuestos financistas internacionales que roban la identidad a empresarios serios. Toman su identidad y se hacen pasar por ellos. b) Utilizan el fishing, para crear páginas web de sus supuestas empresas y convencer al futuro deudor. También crean correos electrónicos solo para ese propósito.

23 c) Las empresas existen pero su objeto social es incompatible aparentemente con la actividad de prestar dinero. d)les toma cerca de un año cerrar el negocio. e)nunca visitan el país de origen del futuro deudor. Siempre la negociación es fuera de su país. f) Solicitan valores para cubrir gastos de traslado de sus ejecutivos. g) Piden enviar dinero por una empresa remesadora de dinero otransferencias a cuentas de ahorro. Nunca a cuentas empresariales. Inusualidades.- a) Cuando reciben los gastos administrativos desaparecen. b)no contestan correos electrónicos. c) Teléfonos pertenecen a cafeterías.

24 Qué obtienen los delincuentes El contrato de mutuo les permite mover varios millones de dólares a cualquier parte del mundo. El contrato contiene información de la empresa o entidad deudora, por lo que esa información confidencial puede ser utilizada para cualquier otro fin ilícito. La víctima no puede denunciar en su país porque el contrato no se suscribió en su país de origen. La víctima no se atreve a poner denuncia en el otro país. Por lo tanto, no puede dar por terminado el contrato unilateralmente pues no tiene cómo justificarlo ante el notario, pues no hay una denuncia ni un proceso penal. Las autoridades no pueden seguir la pista en el ciber espacio porque el phishing desapareció después de la estafa.

25 GRACIAS. Contycom Cia. Ltda. Quito Ecuador Telf. (593-2) (593-9)

26 Certificación Capacitación Membresía Contactos Para más información y detalles sobre ACFCS puede contactarnos en atencionalcliente@acfcs.org o al 1 (786)