Ciberdelincuencia. Expositoras Ilse Mary Dìaz Dìaz Marianella Granados Saavedra Ministerio de Justicia y Gracia República de Costa Rica

Ciberdelincuencia Expositoras Ilse Mary Dìaz Dìaz Marianella Granados Saavedra Ministerio de Justicia y Gracia República de Costa Rica

Definición Por «ciberdelincuencia» se entienden las «actividades delictivas realizadas con ayuda de redes de comunicaciones y sistemas de información electrónicos o contra tales redes y sistemas». Engloba tres tipos de actividades delictivas. El primero comprende formas tradicionales de delincuencia, como el fraude o la falsificación, aunque en el contexto cibernético se refiere específicamente a los delitos cometidos mediante las redes de comunicaciones y los sistemas de información electrónicos (en lo sucesivo, redes electrónicas). El segundo se refiere a la publicación de contenidos ilegales a través de medios de comunicación electrónicos (por ejemplo, imágenes de abuso sexual a menores o incitaciones al odio racial). El tercero incluye delitos específicos de las redes electrónicas, por ejemplo los ataques contra los sistemas informáticos, la denegación de servicio y la piratería.

Clasificación de delitos Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos: Acceso ilícito a sistemas informáticos. Interceptación ilícita de datos informáticos. Interferencia en el funcionamiento de un sistema informático. Abuso de dispositivos que faciliten la comisión de delitos. Algunos ejemplos de este grupo de delitos son: el robo de identidades, la conexión a redes no autorizadas y la utilización de spyware y de keylogger. Delitos informáticos: Falsificación informática mediante la introducción, borrado o supresión de datos informáticos. Fraude informático mediante la introducción, alteración o borrado de datos informáticos, o la interferencia en sistemas informáticos. El borrado fraudulento de datos o la corrupción de ficheros algunos ejemplos de delitos de este tipo.

Clasificación de delitos Delitos relacionados con el contenido: Producción, oferta, difusión, adquisición de contenidos de pornografía infantil, por medio de un sistema informático o posesión de dichos contenidos en un sistema informático o medio de almacenamiento de datos. Delitos relacionados con infracciones de la propiedad intelectual y derechos afines: Un ejemplo de este grupo de delitos es la copia y distribución de programas informáticos, o piratería informática. Con el fin de criminalizar los actos de racismo y xenofobia cometidos mediante sistemas informáticos, en Enero de 2008 se promulgó el Protocolo Adicional al Convenio de Ciberdelincuencia del Consejo de Europa que incluye, entre otros aspectos, las medidas que se deben tomar en casos de: Difusión de material xenófobo o racista. Insultos o amenazas con motivación racista o xenófoba. Negociación, minimización burda, aprobación o justificación del genocidio o de crímenes contra la humanidad.

Factores que la favorecen La velocidad que ofrece el uso de la tecnología Altas ganancias Vulnerabilidades en el software Alta complejidad de la seguridad informática Falta de coordinación entre agentes gubernamentales para tratar este tema

Pharming

Definición Pharming es la explotación de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, accederá en su explorador de Internet a la página Web que el atacante haya especificado para ese nombre de dominio.

Origen de la palabra La palabra pharming deriva del término farm (granja en inglés) y está relacionada con el término "phishing", utilizado para nombrar la técnica de ingeniería social que, mediante suplantación de correos electrónicos o páginas web, intenta obtener información confidencial de los usuarios, desde números de tarjetas de crédito hasta contraseñas. El origen de la palabra se halla en que una vez que el atacante ha conseguido acceso a un servidor DNS y tomado control de este, es como si poseyera una "granja" donde puede hacer uso a placer de los recursos que allí se encuentran

Método de funcionamiento Todos los ordenadores conectados a Internet tienen una dirección IP única, que consiste en 4 octetos (4 grupos de 8 dígitos binarios) de 0 a 255 separados por un punto (ej: 127.0.0.1). Estas direcciones IP son comparables a las direcciones postales de las casas, o al número de los teléfonos. Debido a la dificultad que conlleva para los usuarios tener que recordar esas direcciones IP, surgieron los Nombres de Dominio, que van asociados a las direcciones IP del mismo modo que los nombres de las personas van asociados a sus números de teléfono en una guía telefónica. Los ataques mediante pharming pueden realizarse de dos formas: directamente a los servidores DNS, con lo que todos los usuarios se verían afectados, o bien atacando a ordenadores concretos, mediante la modificación del fichero "hosts" presente en cualquier equipo que funcione bajo Microsoft Windows o sistemas nix. La técnica de pharming se utiliza normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios.

Casos reales de pharming En enero de 2005, el nombre de dominio de Panix (http://www.panix.com/), un ISP de Nueva York, fue redirigido a un sitio web en Australia. Hushmail (http://www.hushmail.com/), un proveedor de Secure e-mail, fue atacado mediante pharming el 24 de abril de 2005. En marzo de 2005, el Senador Estadounidense Patrick Leahy introdujo un artículo de ley Anti-phishing, que proponía una condena de cinco años de prisión y una sanción económica a los individuos que realizasen ataques de phishing o utilizasen información obtenida mediante fraude online como phishing y pharming.

Anti-pharming Anti-Pharming es el término usado para referirse a las técnicas utilizadas para combatir el pharming. Algunos de los métodos tradicionales para combatir el pharming son la utilización de software especializado, la protección DNS y el uso de addons para los exploradores web, como por ejemplo toolbars. El software especializado suele utilizarse en los servidores de grandes compañías para proteger a sus usuarios y empleados de posibles ataques de pharming y phishing, mientras que el uso de addons en los exploradores web permite a los usuarios domésticos protegerse de esta técnica. La protección DNS permite evitar que los propios servidores DNS sean hackeados para realizar ataques pharming. Los filtros antispam normalmente no protegen a los usuarios contra esta técnica.

Phishing

Definición Anzuelo o Estafa electrónica (ingles phishing) es un termino informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).

Definición El estafador, conocido como phisher, se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantanea o incluso utilizando también llamadas telefónicas. Dado el creciente numero de denuncias de incidentes relacionados con el phishing se requieren métodos adicionales de protección. Se han realizado intentos con leyes que castigan la practica, campañas para prevenir a los usuarios y con la aplicacion de medidas tecnicas a los programas.

Daños causados por el phishing Los danos causados por el phishing oscilan entre la perdida del acceso al correo electrónico a perdidas económicas sustanciales. Este tipo de robo de identidad se esta haciendo cada vez mas popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la victima, gastar el crédito de la victima, o incluso impedir a las victimas acceder a sus propias cuentas. Se estima que entre mayo del 2004 y mayo del 2005, aproximadamente 1.2 millones de usuarios de computadoras en los Estados Unidos tuvieron perdidas a causa del phishing, lo que suma a aproximadamente $929 millones de dólares estadounidenses.22 Los negocios en los Estados Unidos perdieron cerca de 2000 millones de dólares al ano mientras sus clientes eran victimas. El Reino Unido también sufrió el alto incremento en la practica del phishing. En marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido a causa de esta practica fue de aproximadamente 12 millones de libras esterlinas

Anti-phishing Social Información y capacitación de usuarios Tecnológico Protección de navegadores y clientes de correo Monitoreo de sitios web Preguntas e imágenes secretas Generadores externos de password Judicial Modificación de legislación Enjuiciamiento y encarcelación de phishers y muleros

Spam

Definición Se llama spam, a los mensajes no solicitados, habitualmente de tipo publicitario, enviados en grandes cantidades La acción de enviar dichos mensajes se denomina spamming. Aunque se puede hacer por distintas vías, la más utilizada entre el público en general es la basada en el correo electrónico. También se llama spam a los virus sueltos en la red y paginas filtradas (casino, sorteos, premios, viajes y pornografía), se activa mediante el ingreso a paginas de comunidades o grupos o al acceder a links en diversas paginas.

Malware

Definición El software malicioso, conocido como malware, es un programa que se instala en un sistema de información causando daños en ése u otros sistemas o utilizándolos para usos diferentes de los previstos por sus propietarios. En los últimos 20 años, el malware ha evolucionado de los ocasionales exploits a una industria delictiva que factura miles de millones de dólares

Daños causados por el malware En los últimos años, se ha producido un auge en el uso del malware para atacar sistemas de información con el objetivo de recopilar información, robar dinero e identidades, o incluso negar el acceso a recursos electrónicos fundamentales. De forma significativa, el malware también tiene la capacidad de perturbar el funcionamiento de grandes sistemas de información, modificando de forma casi imperceptible la integridad de los datos y atacando los sistemas de información que controlan y/o utilizan importantes sistemas de la infraestructura crítica.

Relación con spam y phishing El malware forma parte de un sistema de ciberataque más amplio: se usa como una forma básica de ciberataque y como soporte de otras formas de actividad maliciosa y ciberdelincuencia, como son el spam o el phishing. A la inversa, el spam y el phishing pueden usarse para propagar el malware. El malware produce beneficios: ya no consiste en un simple juego de diversión para crackers inexpertos o en un campo de estudio para los investigadores. En la actualidad, supone un negocio bastante serio y una fuente de ingresos para agentes maliciosos y delincuentes de todo el mundo. El malware, junto con otras herramientas y técnicas informáticas, ofrece un bajo coste y un método reutilizable para desarrollar formas altamente lucrativas de ciberdelincuencia.

En concreto

Nuevos delitos, o mas bien, viejos hábitos con nuevas herramientas? La mayor parte de los delitos se pueden cometer con ayuda de las redes electrónicas. De hecho, diversos tipos de fraude o intentos de fraude son particularmente frecuentes y constituyen una forma de delincuencia cada vez más extendida en las redes electrónicas. Instrumentos como la usurpación de identidad, las estafas por internet (phishing), los envíos masivos de correo basura y los códigos malévolos pueden servir para cometer fraudes a gran escala. El comercio ilícito nacional e internacional a través de Internet constituye otro problema en aumento. Incluye el tráfico de drogas, armas y especies amenazadas.

Porque es difícil combatirla? La dificultad existente para perseguir la criminalidad informática radica en razones como el entendimiento de las tecnologías y las vulnerabilidades inherentes por parte de los cuerpos de seguridad del estado y la administración de justicia, la comprensión y análisis de la evidencia digital y los rastros electrónicos, la información y su valor en los mercados internacionales y la falta de precisión en el perfil de un delincuente tecnológico, como elementos que exigen de la academia, el gobierno, la industria y las instituciones de la justicia un esfuerzo conjunto para avanzar en las construcción de caminos que confronten a los nuevos y organizados criminales.

Cómo combatirla? Fortalecimiento de legislación nacional Establecimiento de alianzas a nivel internacional Coordinación de los cuerpos policiales y las autoridades judiciales Especialización de las autoridades policiales y judiciales en este tipo de delitos Información a los ciudadanos Cooperación sector privado y sector público Estadísticas y datos específicos sobre el tema

La experiencia de Costa Rica

Costa Rica y la ciberdelincuencia Costa Rica ha venido desarrollando hace varios años mecanismos que le permitan enfrentar la ciberdelincuencia. Si bien no se cuenta con una Ley específica en este tema, si existen una serie de normas dispersas en la legislación nacional, que podría hablarse con propiedad que el derecho informático se está desarrollando con gran fuerza.

Costa Rica y la ciberdelincuencia No se cuenta con una Ley específica de protección de datos. Es la Sala Constitucional, quien ha venido a través de la figura del Habeas Data, a establecer un marco protector, basado en los principios que rigen esta figura. A saber: El derecho de información en la recolección de datos El consentimiento del afectado La Calidad de los datos. Prohibición relativa a categorías particulares de datos. El principio de seguridad de los datos Reglas para la cesión de datos Derechos y garantías de las personas El derecho de acceso a la información Excepciones y restricciones al derecho a la autodeterminación informativa del ciudadano

Costa Rica y la ciberdelincuencia En Costa Rica, a principio de los años 90, inició un proceso de reforma Administrativa del Estado, que le permitiera ser eficiente y eficaz. Se busca un Estado en línea, que mediante la utilización de los adelantos tecnológicos, se apliquen sistemas más ágiles en la consecución de los fines públicos. En el año 2000, se dio en Costa Rica la conferencia Latinoamericana de Ministros de Justicia, donde los representantes acordaron fortalecer la legislación interna, para crear un marco homogéneo de protección.

Costa Rica y la ciberdelincuencia Derivado de lo anterior, se promueven en el país, una serie de reformas legislativas, entre ellas, se reforma el código penal, donde se introducen tres preceptos importantes, como son el fraude informático, el delito por violación de comunicación electrónica y el delito por alteración de datos y sabotaje informático. La Ley de Administración financiera, contempla también la figura del delito informático, circunscrito a las acciones en contra de los sistemas informáticos de la Administración financiera y las proveedurías. A estas disposiciones se une la Ley sobre Registro, Secuestro y Examen de documentos privados e intervención de las comunicaciones.

Costa Rica y la ciberdelincuencia De la citada Ley, es oportuno resaltar el artículo 9, que en lo que interesa señala: los tribunales de justicia podrán autorizar la intervención de comunicaciones orales, escritas o de cualquier otro tipo dentro de los procedimientos de una investigación policial o jurisdiccional, cuando involucre el esclarecimiento de los siguientes delitos: secuestro extorsivo, los previstos en la Ley sobre sustancias sicotrópicas, drogas de uso no autorizado y actividades conexas y cualquier otro delito vinculado con el uso de comunicaciones telemáticas, comunicaciones de tipo remoto, correo electrónico o cualesquiera otro tipo, documentos magnéticos, o la utilización de artificios de escucha, transmisión, grabación, reproducción de sonidos o de la imagen, cualquier señal de comunicación telemática y en general, cualquier delito que utilice como instrumento o tenga por objetivo los accesos no autorizados a computadoras o sistemas informáticos

Costa Rica y la ciberdelincuencia La Ley de Justicia Tributaria, contempla figuras sancionatoria por acceso desautorizado ala información, manejo indebido de los programas y para quien facilite su código y clave de acceso. En igual sentido se regula en la Ley General de Aduanas En materia de propiedad intelectual, se han incorporado también una serie de normas que van dirigidas a proteger autoría de este tipo de acciones. Están también a nivel de las instituciones centralizadas y descentralizadas las Normas Técnicas para la gestión de las tecnologías de información y comunicaciones que buscan el estudio de las fortalezas y debilidades para aplicar las medidas preventivas y correctivas. Asimismo se han presentado varios proyectos de ley en materia de delincuencia informática, lo que demuestra una importante concientización sobre el tema.

Muchas gracias!