Telemática + Derecho: Una nueva aproximación a la seguridad corporativa

Con el propósito de ofrecer claves combinadas para fortalecer la seguridad de la información, un destacado panel de juristas, tecnólogos empresarios y expertos en seguridad se reunieron durante el Encuentro de Telemática y Derecho, evento, organizado por el Instituto de Estudios Jurídicos, Telemáticos y de Seguridad, que contó con la participación de Beatriz Di Totto Blanco, co redactora de la Ley de Delitos Informáticos; Jesús Rodríguez, abogado especialista en Derecho Informático y director de Juristelseg; Rafael Núñez, ex – hacker y asesor en seguridad informática; Luis Bustillo Tábata, comisario e investigador de la Dirección de Delitos Informáticos del CICPC; Milthon J. Chávez, auditor informático certificado y asesor internacional, Francisco Pecorella, asesor de inteligencia en seguridad bancaria y Luis Caraballo, director del Instituto Estratégico de Futuros.

Los panelistas coincidieron en la necesidad de fortalecer en Venezuela la cultura de seguridad informática, la cual debe extenderse a todos los niveles, desde el auditor y el administrador de la seguridad de la información, pasando por el abogado, los organismos de cumplimiento, la gerencia y el personal de las empresas, hasta el usuario final.

Mientras que el prospectivista Luis Caraballo recomienda la creación de redes inteligentes de conocimiento, el apoyo a nivel educativo y de capacitación profesional, sumado al surgimiento y mejora de leyes que respondan a las nuevas modalidades delictivas, Jesús Rodriguez, director de la Corporación Juristelseg anunció que ya se está trabajando hacia el 2010 en la propuesta de un nuevo modelo para la seguridad bancaria, basado en trilogías de intervención, lo cual abarca la tecnología de la información, la administración de la seguridad y la capacitación respecto a los riesgos de las tecnologías y los alcances de la responsabilidad.

Rafael Núñez, reconocido ex-hacker venezolano, explicó las modalidades utilizadas por los cibercriminales para vulnerar los sistemas bancarios valiéndose de la débil protección y desprevención de los usuarios, al tiempo que el comisario del CICPC, Luis Bustillo Tábata se refirió a los diversos modus operandi detectados en el país, incluyendo el phishing, el “cambiazo”, el “jaladito”, los falsos cajeros, keyloggers, etc.

Núñez señaló que si bien Venezuela está muy adelantada tanto en materia penal, con un cuerpo legal impresionante, como en la adopción de herramientas tecnológicas de seguridad, sobre todo en el sector bancario, la principal debilidad que aprovechan los criminales informáticos es el usuario final.  “Es muy importante crear conciencia en este sentido, ya que una entidad bancaria puede tener todos los blindajes de seguridad a su alcance – certificados digitales, algoritmos criptográficos, etc. – pero si el usuario no está protegido, los ciber delincuentes se pueden apoderar fácilmente de su computadora para cometer los fraudes”, comentó.

Cuando una persona obtiene una licencia “chimba” de un sistema operativo o un antivirus pirateado,  se conecta a Internet a través de una red abierta (no segura), coloca información personal en Facebook, utiliza la misma clave para diferentes cosas, o sencillamente no tiene herramientas antivirus y cortafuegos instaladas y actualizadas, todo ello se convierte en puertas de entrada para los ciber delincuentes. “Con casi 2 billones de usuarios en la Web a nivel mundial, resulta bastante irresponsable que una persona encienda un computador y no tenga instalado ni siquiera un firewall” opinó Núñez.

Cuestión de responsabilidad

El abogado Jesús Ramón Rodríguez, director de Juristelseg, llamó la atención sobre la responsabilidad que se  genera de la gestión de la seguridad de la información. “Se trata de una responsabilidad social y corporativa, que puede llegar a tener implicaciones de tipo penal, ya que pueden verse afectados derechos fundamentales como el derecho a la privacidad, a la intimidad, e incluso el derecho a la vida”, expresó.

“No es sólo una competencia del tecnólogo opinar acerca de los retos y riesgos implicados en el ejercicio de la administración de la información; también el abogado, en un rol interdisciplinario, está llamado a involucrarse decididamente en las tomas de decisión de la empresa, con relación a esta materia”, señaló.

Rodríguez se refirió a la regulación ISO/IEC 27001:2005 y su importancia legal en  relación con los delitos informáticos, apuntando que la aceptación internacional de esta norma relacionada con la administración de la seguridad de la información, la convierte en el primer estándar de seguridad para el comercio y la industria.

Coincidiendo con el planteamiento multidisciplinario, Milthon J. Chávez, auditor informático certificado, quien ofreció recomendaciones para una auditoría informática exitosa, subrayó que el auditor tiene que ocuparse de velar, no solamente por la seguridad, sino que debe asegurarse que junto con ella se garantice la integridad, confidencialidad y disponibilidad de la información, además del cumplimiento legal. “Cumplimiento de las normas no es garantía de un ambiente seguro. Esto sólo verifica que no se es susceptible a un tipo de riesgos”, dijo.

Una industria organizada

Refiriéndose a la metodología de la auditoría informática, Chávez acotó que el primer paso en la gestión de la seguridad debe ser el análisis del riesgo.  Ser efectivo exige tener conciencia de a qué tipo de amenazas nos estamos enfrentando. En este sentido, advierte que es importante saber que estamos ante una industria organizada y altamente sofisticada. “Nuestra ley de delitos informáticos no está preparada para ese gran delito informático, pseudo corporativo, transnacional, superorganizado, que es el ciber crimen organizado, el cual va en camino de convertirse en el mejor negocio del mundo”, anotó. 

Según cifras conservadoras, en el 2008 el delito informático conocido produjo una rentabilidad de 106 mil millones de dólares, a nivel mundial, según indicó Milthon Chávez, quien ilustró que “en 1995, teníamos unos 10 mil virus, gusanos y programas de malware similares conocidos. Actualmente  hay unos 5 millones. En un solo día los antivirus, deben enfrentarse aproximadamente a 300 mil programas de ataque”. En Venezuela los delitos con mayor incidencia son la clonación de tarjetas y las transferencias ilegítimas por Internet, según indicó el comisario Bustillo.

Ya no se trata únicamente del hacker apasionado de la tecnología que vulnera los sistemas como reto personal; existe toda una mafia alrededor de esta industria, donde los mercenarios compran los programas maliciosos a desarrollares expertos; hay quienes colectan y venden información y quienes la utilizan, revendedores, receptores de mercancía y encargados de limpiar el dinero.

Núñez expuso que una de las estrategias más utilizadas para cometer este tipo de delito es la ingeniería social: tratar de engañar a la mente humana y hacerle caer en trampas. Se incluyen aquí las llamadas estrategias caza-bobos, entre las cuales encontramos el Phishing (obtención de claves y datos confidenciales mediante el envío de mensajes de correo electrónico que aparentan provenir de fuentes fiables) y una variante que utiliza mensajes SMS: el Simishing; o el Vishing, donde la obtención de datos se logra vía telefónica; además del Pharming (que permite redirigir un nombre de dominio a otra máquina distinta), Spoofing (suplantaciones de identidad), entre otras.

Bustillo Tábata aconseja asegurarse de que cuando se entra en la página web de un banco, esta tenga el dominio .com.ve. “Muchas veces los delincuentes crean páginas con dominios de otros países y ningún banco local puede tener un dominio extranjero.  Además, el http de los bancos debe empezar con el nombre la entidad financiera, no con una dirección IP”, aclaró.

Tendencias y escenarios

Entre los avances tecnológicos previstos para los próximos 10 a 15 años, el prospectivista Luis Caraballo mencionó las tecnologías de superconductores, biochips, ingeniería cerámica, órganos artificiales, diferencias genéticas, materiales inteligentes, traducción simultánea, computación paralela, computadores inteligentes y toda una abrumadora lista de tecnologías emergentes. “Ya para el 2020 se estará emulando la capacidad de procesamiento del cerebro humano- dijo.  La potencia de los ordenadores aumenta en cada década a razón de 4.000 veces por unidad de coste”, detalló.

En su opinión, la adopción de cada una de estas innovaciones tecnológicas acarrea nuevas y distintas modalidades de delitos informáticos, que deberán ser atendidos y conocidos.

Compartir información y divulgar el conocimiento, adoptar las mejores prácticas y un esquema integral de la seguridad interna por parte de las organizaciones, sumado a la incorporación de leyes que permitan acompasar el auge delictivo, fueron mencionados como los aspectos clave en la lucha contra los delitos informáticos. “Los aspectos legales no se pueden quedar en una visión del pasado, deben estar a la par de la transformación en materia delictiva”, advirtió.

Caraballo planteó que se trata de un problema que tiene muchas aristas y que debe ser atendido de forma integral. “No es un asunto que tenga que ver solamente con a seguridad interna de la organización. En el análisis de las incidencias delictivas encontramos fundamentalmente dos tipos de motivaciones: financiera y de venganza, por tanto, hay que tener muy en cuenta de la parte sociocultural, y las políticas de recurso humanos en las organizaciones”, dijo.

La efectividad de la regulación legal por una parte, y las medidas de protección que asuman los individuos y organizaciones, son las variables que, a juicio de Caraballo permiten definir diferentes escenarios de futuro. Aseguró que cuando confluyen la alta eficiencia en la protección y una regulación legal altamente efectiva, los delitos informáticos pueden verse disminuidos; de lo contrario, podríamos estar ante un caos informático.

Derechos y Castigos

“En Venezuela venimos realizando un trabajo de hormiguitas desde 1998, cuando aun ni siquiera se había decretado la Ley Especial contra los Delitos Informáticos, que data del 2001. En el 2003 se creó la División de Delitos Informáticos y hoy podemos decir que somos uno de los países que ha tenido mayor efectividad en cuanto a investigación criminal”, opinó el comisario Luis Bustillo Tábata, director de la División de Delitos Informáticos del CICPC.

La legislación venezolana, particularmente la Ley Especial contra los Delitos Informáticos, conjuntamente con un amplio cuerpo de leyes colaterales, contempla una vasta tipología de delitos informáticos y sanciones específicas, que pueden llegar hasta los 16 años de prisión; desde el acceso indebido culposo, la facilitación culposa de daños, sabotaje a sistemas, posesión de equipos para sabotaje, espionaje informático, falsificación de documentos, hurto de información, fraude a través de comercio electrónico, hasta la difusión o exhibición de material pornográfico y la exhibición pornográfica de niños o adolescentes.

La ley ha considerado asimismo, los derechos sobre la propiedad intelectual aplicables a los bienes intelectuales vinculados con las tecnologías de información y comunicación (hardware,  software, firmware, bases de datos y nombres de dominio), los cuales están establecidos en la Ley de Propiedad  Industrial (patentes aplicables a las invenciones, entre las que se considera el hardware) y la Ley de Derecho de Autor (para las obras divulgadas, entre las que se considera el software y las bases de datos).

Beatriz Di Toto, abogada y profesora universitaria especialista en TICs, hizo especial mención al derecho de propiedad sobre las creaciones intelectuales por encargo, es decir cuando se trata de una invención u obra creada  para responder a la intención de otro, a cambio del pago de una contraprestación. La generalidad en tales casos, es que la titularidad corresponda al contratante o empleador y la participación del creador dependerá de su aporte personal y la importancia de la obra en relación con la remuneración pactada inicialmente. Sin embargo, existen casos como el del trabajador libre u ocasional, que crea la obra o invención utilizando los propios recursos o su propio tiempo. En este caso, la legislación venezolana concede el derecho al titular de la patente al trabajador, otorgándole al patrono la opción prioritaria para adquirirla, caso similar al de los contratistas independientes (personas que trabajan en base a honorarios), donde no existe probada relación laboral.

Otro caso especial son los nombres de dominio, direcciones electrónicas expresadas en letras o signos, cuya transcripción en un navegador de Internet permite acceder de manera inequívoca a un sitio específico. Esta es un área donde el derecho está comenzando a desarrollarse, orientándose hacia la preservación del derecho preferente  por parte de quien posea legítimamente signos distintivos vinculados con dicho nombre, (por ejemplo, el nombre propio, nombre artístico o marca).  “Con relación a los nombres de dominio, encontramos dos modos de piratería: la ciberocupación (cuando se solicita un dominio engañosamente, de mala fe o no teniendo derechos o intereses legítimos) y el hostigamiento al buen uso del nombre (cuando se trata de evitar que otra persona obtenga el derecho a un nombre de dominio alegando motivos que son improcedentes)”, señaló Di Toto. El régimen de protección aplicado a los nombres de dominio es la Política Uniforme de Resolución de Controversias en materia de nombres de dominio (UDRP) dictada por la ICANN y en el caso de conflicto de nombres, se prevé retirar de manera expedita el nombre a quien no lo merece y asignarlo a quien tiene el derecho preferente.

Acerca de Juristelseg

Fundado en el año 2006, el Instituto de Estudios Jurídicos, Telemáticos y de Seguridad, Juristelseg, pronto vino a transformarse en un ente corporativo de mayor amplitud en servicios; ofreciendo actualmente, respuesta a las necesidades de seguridad corporativa, conocimiento jurídico tecnológico e intervención técnica en organizaciones públicas y privadas, mediante la capacitación, consultoría, servicios tecnológicos y eventos, para ayudar a las empresas e instituciones a mejorar la gestión de sus activos de información y comunicación. Juristelseg ha desarrollado un enfoque multidisciplinario, único, que vincula de manera integral al derecho, la telemática y la seguridad, para prevenir, atender y responder a situaciones de riesgo y fraude relacionadas con las Tecnologías de Información y Comunicación.