1.- Consideraciones Generales
La trascendencia del uso de INTERNET, la interconexión de las computadoras, y la posibilidad de trasmitir datos entre ellas han permitido el nacimiento de nuevas modalidades delictivas que alcanzan niveles insospechados en todo el mundo, con un crecimiento exponencial a expensas del incremento de los internautas y su consiguiente posibilidad de realizar transacciones online.
La trascendencia del uso de INTERNET, la interconexión de las computadoras, y la posibilidad de trasmitir datos entre ellas han permitido el nacimiento de nuevas modalidades delictivas que alcanzan niveles insospechados en todo el mundo, con un crecimiento exponencial a expensas del incremento de los internautas y su consiguiente posibilidad de realizar transacciones online.
Tanto el phishing (1) como el pharming son modalidades de estafa que utilizan el medio informático como instrumento para atentar contra el patrimonio de un tercero.
Si bien estos ataques habitualmente se dirigen contra las entidades financieras, amplían cada vez más su objetivo, por lo que, no podemos descartar que integremos el universo de posibles futuras víctimas.
La actitud de los atacantes es definida, pretenden conseguir ganancias económicas.
Podemos intentar una definición de estafa a partir de considerarla como aquella conducta delictiva por medio de la cual una persona logra mediante un ardid inducir a error a quien resulta víctima de su accionar, la formalización de una disposición patrimonial indebida para si o para un tercero.
La trilogía ARDID-ERROR-DISPOSICIÓN-PATRIMONIAL plantea un problema aun no resuelto si pretendemos equiparar el sistema lógico de una computadora con la mente humana. Entendemos que en este caso no es el caso, ya que es el propio incauto internauta quien proporciona los datos requeridos, permitiendo al autor del ilícito lograr un beneficio económico ilegitimo.
No estamos ante una máquina sino ante un individuo engañado, que es inducido a actuar equivocada o desacertadamente.
Los phishers simulan pertenecer a entidades bancarias de reconocido prestigio y solicitan a los cibernavegantes datos de tarjetas de crédito o claves bancarias, a través de un formulario o un correo electrónico con un enlace que conduzca a una falsa página web con una apariencia similar a la de la web original.
Para realizar un ataque de este tipo hace falta más de un componente. Se necesita el spam, o correo electrónico basura, pero además servidores vulnerables para poder mandarlo, una página web falsa (muy similar a la original de un banco), y un servidor "parasitado" para colocar esta última.
El que envía el mensaje de correo electrónico se hace pasar por la entidad bancaria y conduce al usuario a un sitio web falso, a partir de un link del propio mensaje, donde puede ser víctima del "robo" de sus datos personales: números de tarjetas de crédito o contraseñas.
En principio, el correo basura produce el daño básico de todo spam. Pero luego, a la persona que cae en la "trampa" y entrega sus datos, le genera una situación de fraude, conflicto o daño muy severo (2).
La maniobra puede realizarse valiéndose incluso del fax como herramienta complementaria.
Por su parte, el pharming es una nueva amenaza, más sofisticada y peligrosa, que consiste en manipular las direcciones DNS (3) (Domain Name Server) que utiliza el usuario.
Es una variante del Phishing pero mas avanzada. Consiste en un mail que llega vacío, y al hacer clic sobre él se instala un programa que engaña al navegador y lo hace ir a direcciones falsas.
A través de esta acción, los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recabar datos confidenciales, sobre todo relacionadas con la banca online. El internauta introducirá sus datos confidenciales sin ningún temor, sin saber que los está remitiendo a un delincuente.
Los ataques "pharming" pueden llevarse a cabo directamente contra el servidor DNS, de forma que el cambio de direcciones afecte a todos los usuarios que lo utilicen mientras navegan en Internet, o bien de forma local, es decir, en cada equipo individual.
Tan solo son necesarias dos acciones: modificar un pequeño archivo llamado hosts (4) que puede encontrarse en cualquier máquina que funcione bajo Windows y que utilice Internet Explorer para navegar por Internet, y crear falsas páginas web.
La modificación del archivo hosts puede hacerse directamente por el hacker (accediendo remotamente al sistema), o empleando un código malicioso. Estos suelen ser troyanos como algunos de las familias Bancos, Banker o Banbra.
Además, los ataques pueden llevarse a cabo aprovechando cualquier vulnerabilidad del software instalado en el equipo que permita tener acceso a los archivos del sistema.
Para prevenirlos los expertos recomiendan utilizar los software antimalware que combinan sistemas de detección proactivos (5) y reactivos.
2.- Derecho
Un primer acercamiento a nuestra legislación (6) nos permite observar que si bien regula comercial y penalmente algunas conductas ilícitas relacionadas con la informática, no contempla específicamente a los ciberdelitos y mucho menos al PHISHING y el PHARMING.
Un primer acercamiento a nuestra legislación (6) nos permite observar que si bien regula comercial y penalmente algunas conductas ilícitas relacionadas con la informática, no contempla específicamente a los ciberdelitos y mucho menos al PHISHING y el PHARMING.
Tiene una innegable razón de ser ya que cuando se sancionó el Código Penal argentino no existía la tecnología actual y es por demás lógico que no se previeran este tipo de ataques.
Son escasas las regulaciones que se pueden localizar en el derecho comparado, siendo España y California adelantados en este tema.
La carencia de una legislación acorde a los avances tecnológicos aparece como el mal menor, ante la inexistencia de consenso sobre la urgencia de contar con la misma y el perjuicio que causa a nuestro país el aludido vacío legal.
A diferencia de otros países, en la Argentina equivocadamente la información no es considerada cosa, por lo tanto, no es posible que sea robada, modificada o destruida.
Dada su creciente importancia se ha transformado en un bien jurídico que amerita protección y como precisaremos mas adelante, las conductas delictivas que la afectan bien podrían recibir sanción de acuerdo con la normativa interna vigente.
Asistimos a una época de constantes cambios conceptuales motivados por la desmaterialización habida como consecuencia del incesante avance tecnológico, en el ámbito virtual que es tan real como el mundo físico tradicional.
La información que se encuentra en una computadora adopta la forma de energía (Art. 2311 Cod. Civil) eléctrica o magnética según el soporte que la posea. La energía magnética que está en la superficie de un diskette o de un disco rígido, por ser apropiable, se rige por las disposiciones de las cosas; igual criterio se aplica a la energía eléctrica que se encuentra en la memoria de un ordenador. Por lo tanto, es un bien susceptible de ser dañado, alterado, robado, etc.
Es evidente que podemos llevar adelante este razonamiento a partir de interpretar ampliamente el concepto de cosa. Se admite que posible apropiarse -y por lo tanto destruir- los pulsos telefónicos, la señales de cable y/o cualquier otra energía como es la información.
Consideramos equivocada la posición doctrinaria que plantea no incluir a la información dentro de la categoría de cosa, fundándonos en el propio Codigo Civil, que plantea en la nota del artículo 2311 (7), la consideración de la palabra cosa con una "flexibilidad indefinida de acepciones" por cuanto puntualiza que ". . . comprende en verdad todo lo que existe no solo los objetos que pueden ser la propiedad del hombre sino todo lo que en la naturaleza escapa a esta apropiación exclusiva ".
Es el propio espíritu del codificador el que nos permite la cobertura necesaria para proteger a la información. Los posibles hechos de hacking se encuadran en la categoría de delitos comunes como defraudaciones, estafas o abuso de confianza; la existencia de una computadora no modifica el castigo impuesto por la ley. Se trata evidentemente de actos ilegales cometidos con el auxilio de una computadora.
Es indiscutible que el Código Penal Argentino es un catálogo cerrado de normas, que se ha visto sobrepasado por la realidad, merced a los adelantos científicos y técnicos que justifican la protección de bienes jurídicos que no suelen recibir adecuada cobertura a partir de los tipos tradicionales.
Estas situaciones colocan al intérprete en el dilema de tener que hacer una interpretación extensiva del tipo o declarar la atipicidad pese a ser una situación disvaliosa para el ordenamiento jurídico, con incidencia negativa en los posibles afectados.
Específicamente, en los casos que nos ocupan la adecuada tutela se proporciona a través del tipo penal que marca la estafa, contemplado en el artículo 172 del CP.
El incauto internauta por el ardid empleado, cae en error y es desapoderado de sus datos personales, desapoderamiento que se produce voluntariamente, pero como consecuencia del juego del ardid desplegado por el delincuente para inducirlo a la entrega.
Hay entonces, ardid con la maniobra utilizada, error de la víctima y desapoderamiento de bienes de su patrimonio. El delito posterior que se cometiere usando la información desapoderada concurrirá en concurso ideal o real según el caso agravando al primero.
El pharming plantea adicionalmente la violación del domicilio virtual, a efectos de poder llegar a disponer de información personal del tercero afectado, que bien puede recibir protección a partir del art. 153 del C.P.
El caso "Gluberman" fue la primera oportunidad en la que nuestros tribunales, para el caso, la Cámara Criminal y Correccional Federal de la Capital Federal, enuncia que las máquinas no son las engañadas, sino el afectado es el verdadero titular del sistema.
La sanción de la ley 24766 vino a proteger la información confidencial a través de acciones penales y civiles, en la medida que dato o conocimiento valioso que constituya un secreto comercial o industrial (arts. 156, 157 del CP, y 12 ley 24766). La protección se confiere con independencia del medio en que se encuentre los datos (soportes informáticos, magnéticos, ópticos, o el tradicional papel).
Podemos concluir finalmente reclamando la atención de los legisladores sobre la conveniencia de la formulación de leyes especiales, con figuras específicas o incorporadas al CP en el capítulo más afín con el bien jurídico protegido, tendiente a dar cobertura a los nuevos delitos que derivan del avance tecnológico.
Pero al mismo tiempo destacamos la conveniencia de educar y enseñar la correcta utilización de todas las herramientas informáticas con el claro afán de protección y de evitar la producción de perjuicios no queridos.
Notas al pie:
(1) El nombre viene de una combinación de "fishing", en inglés, pescar, con las dos primeras letras cambiadas por "ph": la "p" de password (contraseña), y la "h" de hacker (pirata informático).
(2) Es cada vez más habitual que se advierta que la información privada y/o personal, sólo debe ser ingresada en las denominadas páginas seguras, identificadas con una dirección que comienza con "https://", al mismo tiempo que en la parte inferior del navegador se muestra la imagen de un "candado cerrado" o de una "llave".
Se aconseja no facilitarla a nadie, aún cuando manifieste solicitarla en nombre del banco. En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con dicho banco a la brevedad posible.
Estas recomendaciones solo significan que las transferencias entre la computadora y el sitio serán encriptadas y protegidas, de ningún modo aseguran que el sitio es real.
Se debe comprobar SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.
Un doble clic sobre el pequeño candado amarillo en el rincón inferior a su derecha debe mostrar la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.
Si aún asi duda, no ingrese ninguna información, y consulte de inmediato con la institución de referencia.
(3) Cuando un usuario teclea una dirección de Internet, para poder acceder a ella debe ser convertida a su dirección IP real en el formato 000.000.000.000. Normalmente, como el navegador no es capaz de realizar esta conversión, necesita de un servidor DNS. Estos se encargan de administrar los nombres que corresponden a cada una de esas secuencias numéricas y, por tanto, de conducir al usuario a la página que desea ver. Si el servidor no relaciona correctamente cada dirección IP con cada nombre de dominio tecleado, el usuario no vería la página deseada, sino otra muy distinta.
(4) El fichero hosts sirve para almacenar una pequeña tabla con las direcciones de servidores y direcciones IP más comúnmente utilizadas por el usuario, de manera que no haga falta acceder al servidor DNS para convertir las direcciones web (URLs) en direcciones IP. Si se sobrescribe el archivo con - por ejemplo - falsas direcciones de páginas de banca online, en el momento que el usuario teclease en su navegador alguna de ellas, accedería a la página creada por el hacker y que tiene el mismo aspecto que la original. Así, el internauta introducirá sus datos confidenciales sin ningún temor, sin saber que los está enviando a un delincuente que podrá realizar con ellos todo tipo de acciones.
(5) Los sistemas de protección proactivos son capaces de adelantarse a las amenazas y bloquearlas, soluciones que no pueden brindar los sistemas reactivos tradicionales como los antivirus.
****
(6) a. La ley 111 de Patentes de Invención regula la protección a la propiedad intelectual.
b. b. La ley Penal 11.723 de "La propiedad Científica, Literaria y Artística" ha modificado los Artículos 71, 72, 72 bis, 73 y 74.
(7) En el año 1968, y como consecuencia de la reforma del Código Civil por la ley 17711 se reforma el art. 2311 que dispone: "Se llaman cosas en éste Código, los objetos materiales susceptibles de tener un valor. Las disposiciones referente a las cosas son aplicables a la energía y a las fuerzas naturales susceptibles de apropiación".
(1) El nombre viene de una combinación de "fishing", en inglés, pescar, con las dos primeras letras cambiadas por "ph": la "p" de password (contraseña), y la "h" de hacker (pirata informático).
(2) Es cada vez más habitual que se advierta que la información privada y/o personal, sólo debe ser ingresada en las denominadas páginas seguras, identificadas con una dirección que comienza con "https://", al mismo tiempo que en la parte inferior del navegador se muestra la imagen de un "candado cerrado" o de una "llave".
Se aconseja no facilitarla a nadie, aún cuando manifieste solicitarla en nombre del banco. En caso de que por cualquier motivo se hubieran facilitado las claves, estas deberán ser cambiadas de forma inmediata, debiéndose poner el usuario en contacto con dicho banco a la brevedad posible.
Estas recomendaciones solo significan que las transferencias entre la computadora y el sitio serán encriptadas y protegidas, de ningún modo aseguran que el sitio es real.
Se debe comprobar SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.
Un doble clic sobre el pequeño candado amarillo en el rincón inferior a su derecha debe mostrar la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.
Si aún asi duda, no ingrese ninguna información, y consulte de inmediato con la institución de referencia.
(3) Cuando un usuario teclea una dirección de Internet, para poder acceder a ella debe ser convertida a su dirección IP real en el formato 000.000.000.000. Normalmente, como el navegador no es capaz de realizar esta conversión, necesita de un servidor DNS. Estos se encargan de administrar los nombres que corresponden a cada una de esas secuencias numéricas y, por tanto, de conducir al usuario a la página que desea ver. Si el servidor no relaciona correctamente cada dirección IP con cada nombre de dominio tecleado, el usuario no vería la página deseada, sino otra muy distinta.
(4) El fichero hosts sirve para almacenar una pequeña tabla con las direcciones de servidores y direcciones IP más comúnmente utilizadas por el usuario, de manera que no haga falta acceder al servidor DNS para convertir las direcciones web (URLs) en direcciones IP. Si se sobrescribe el archivo con - por ejemplo - falsas direcciones de páginas de banca online, en el momento que el usuario teclease en su navegador alguna de ellas, accedería a la página creada por el hacker y que tiene el mismo aspecto que la original. Así, el internauta introducirá sus datos confidenciales sin ningún temor, sin saber que los está enviando a un delincuente que podrá realizar con ellos todo tipo de acciones.
(5) Los sistemas de protección proactivos son capaces de adelantarse a las amenazas y bloquearlas, soluciones que no pueden brindar los sistemas reactivos tradicionales como los antivirus.
****
(6) a. La ley 111 de Patentes de Invención regula la protección a la propiedad intelectual.
b. b. La ley Penal 11.723 de "La propiedad Científica, Literaria y Artística" ha modificado los Artículos 71, 72, 72 bis, 73 y 74.
(7) En el año 1968, y como consecuencia de la reforma del Código Civil por la ley 17711 se reforma el art. 2311 que dispone: "Se llaman cosas en éste Código, los objetos materiales susceptibles de tener un valor. Las disposiciones referente a las cosas son aplicables a la energía y a las fuerzas naturales susceptibles de apropiación".
Ref. Normativas :
Código Civil Art.2311
Código Penal Art.172
Código Penal Art.153
Ley 24.766
Código Penal Art.156 al 157
Ley 24.766 Art.12
Código Civil Art.2311
Código Penal Art.172
Código Penal Art.153
Ley 24.766
Código Penal Art.156 al 157
Ley 24.766 Art.12
Ref. Bibliográficas
-Hechos, actos y artefactos para notificar - Dr. Eduardo Pedro Molinero - Síntesis Forense - Revista del Colegio de Abogados de San Isidro -Nro. 115 julio-agosto 2005.
-El phishing sigue creciendo - Dr. Daniel Monastersky - http://www.laflecha.net/
-Phishing , pescando fraudes en la red - Ing. Ignacio Cortes Delgado - www.belt.es
-Hechos, actos y artefactos para notificar - Dr. Eduardo Pedro Molinero - Síntesis Forense - Revista del Colegio de Abogados de San Isidro -Nro. 115 julio-agosto 2005.
-El phishing sigue creciendo - Dr. Daniel Monastersky - http://www.laflecha.net/
-Phishing , pescando fraudes en la red - Ing. Ignacio Cortes Delgado - www.belt.es
MONASTERSKY, DANIEL - COSTAMAGNA, CLARA M.
Ponencia presentada a la 1º Jornada sobre Ciberdelincuencia en Argentina realizada en el Colegio Público de Abogados de la Capital Federal el día 21 de noviembre de 2005, organizada por la Comisión de Informática.
No hay comentarios:
Publicar un comentario