6 enero, 2011
Hace algunas semanas atrás, Sophos, una de las compañías líderes en protección de la información en empresas, instituciones educativas y gobiernos, ha publicado los datos de su último estudio sobre la opinión de los usuarios en cuanto a una de las cuestiones bisagras de los tiempos tecnológicos que corren: la guerra cibernética.
El eje de la encuesta giró en torno a si era o no aceptable por parte de aquellos el hacking (espionaje cibernético) o los ataques de malware como práctica posible de los países y si las redes informáticas de empresas privadas de estos pueden ser objetivos legítimos.El 63% creyó aceptable para sus países espiar otros por medio del hacking o de la instalación de malware. De esto se desprendió que un 40% lo acepta en tiempos de guerra y un 23% en tiempos de paz, mientras que un 37% lo considera inaceptable.
Asimismo, 1 de cada 14 encuestados vio de buena manera (en periodos de paz) lanzar ataques de Denegación de Servicio contra las comunicaciones de las demás naciones o contra sitios financieros. No obstante, un 49% lo acepta en tiempos de guerra mientras que un 44% lo considera inaceptable.
Otro de los datos es que el 32% cree que los países deberían acceder a lanzar ataques de malware y hackear empresas extranjeras para espiar posibles ventajas de índole financiera. Un 23% lo aceptó en tiempos de guerra y un 9% en tiempos paz, mientras que un 68% lo consideró ilegítimo.
Ante este panorama que, sin duda, resulta más que alarmante, es bueno tener en cuenta que existen regulaciones que proporcionan a los empresarios herramientas legales con las que pueden enfrentar estas amenazas, especialmente en cuanto al hacking, dotando a la organización de un marco normativo eficaz tanto en la faz preventiva como correctiva.
La figura del acceso ilegítimo a un sistema o dato informático (hacking) fue incorporada al Código Penal por la Ley 26.388 de Delitos Informáticos en 2008, en los siguientes términos: “Será reprimido con prisión de quince días a seis meses, si no resultare un delito más severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido”.
La acción consiste en la obtención, sin contar con autorización o excediendo los límites de esta con la que se cuenta, de acceso a una red, servidor, sistema, dato o archivo informático, aprovechando deficiencias de los sistemas de seguridad en los procedimientos del sistema o por cualquier medio, por ejemplo, simulando ser un usuario legítimo o violando los mecanismos de seguridad.
Es importante destacar que el delito se configura no sólo cuando no se tiene autorización para acceder a un sistema o dato informático sino también cuando se excede la que se tiene, de manera que la figura abarca, por ejemplo, los casos muy comunes en el ámbito empresario en los que un directivo o empleado autorizado para acceder sólo a determinados sistemas, sectores, datos o archivos, viola la directiva del empleador y accede a sistemas, o partes de estos, datos o archivos respecto de los cuales carece de autorización.
En el ámbito empresarial suelen presentarse casos de ex empleados que acceden a los sistemas informáticos de la empresa utilizando alguna clave que han conservado, lo cual es ilícito dado que una vez finalizada la relación laboral el ex empleado carece de autorización para ingresar a los sistemas de la empresa. En este sentido, contar con una Política de Seguridad y un Reglamento de Uso de Herramientas Informáticas que delimite claramente las funciones, responsabilidades, permisos y prohibiciones en cuanto al uso de los sistemas, archivos digitales y datos son medidas legales preventivas que toda empresa debiera adoptar.
En cualquier hipótesis cobra relevancia el hecho de que para que el acceso a un sistema informático califique como delictivo será necesario que la empresa haya adoptado las correspondientes medidas de seguridad, tales como passwords personales, claves de acceso, firewalls, auditoría de los sistemas, cambio periódico de las claves de acceso, entre otras. La faz preventiva adquiere un peso específico propio, atento que es un requisito exigido por la ley, so pena que la conducta no califique como delito.
La norma exige un obrar a sabiendas, lo cual implica saber claramente lo que se hace, excluyéndose los casos de acceso accidental. No se exige, en cambio, daño concreto alguno (vgr., borrado de datos, daño a los archivos o al sistema o copia de obras intelectuales).
La figura consagrada es subsidiaria, en el sentido de que sólo será de aplicación en los casos en que la acción no resulte en otro delito cuya pena sea mayor. La pena prevista es de prisión de quince días a seis meses.
El hacking suele ser la puerta de entrada para el robo de datos, información o secretos comerciales de las empresas, de sus clientes, proveedores o personal. Afortunadamente existen herramientas legales para hacer frente a estas amenazas. Pero, es muy importante que las empresas se concienticen que existen y que les permiten prevenir los diferentes daños; caso que estos se hayan producido adoptar correctivos para reducirlos.
Por Horacio Bruera – Investigación y Desarrollo
