[Principal]
[Relatoría
de Eventos]
FORO DE CONSULTA SOBRE
DERECHO E INFORMÁTICA
TEMA:
ELEMENTOS PARA FINCAR RESPONSABILIDADES A LOS
ADMINISTRADORES DE SISTEMAS DE REDES.
AUTOR:
Luis Manuel Ramírez Perches
Guadalajara, Jal. Septiembre de 1996
INTRODUCCIÓN
Esta ponencia está dirigida a los
participantes del foro de consulta nacional en materia de Derecho e
Informática, convocado por la Cámara de Diputados Federal, y el Instituto
Nacional de Estadística Geografía e Informática.
Antes que nada, debo mencionar que
no me fue posible contar con muchas fuentes de información sobre el
tema desarrollado, por premura de tiempo, y puesto que en este país
es difícil conseguir literatura ilustrativa de este tema.
El desarrollo del estudio, está basado
en los conocimientos personales y limitados del autor, artículos de
revistas electrónicas, archivos de texto ilustrativos, encontrados en
una base de programas para Hackers en el Internet, así como en artículos
escritos por el Doctor Julio Téllez Valdés, un artículo escrito por
dos autores argentinos García y Palazzi, y diversos comentarios de gente
conocedora de informática.
Uno de los temas más apasionados
de la Informática Jurídica, como la llaman algunos, o del Derecho Informático,
como lo llama acertadamente el Doctor Julio Téllez Valdés, es el de
los delitos Informáticos. En esta materia, nuestra legislación no cuenta
con la debida regulación en materia de Derecho Informático, en comparación
a legislación extranjera, y el gran desarrollo de los ilícitos informáticos,
o cometidos con herramientas informáticas.
Es necesario que se comience a legislar
en esta materia, para frenar el gran crecimiento de este tipo de delitos.
Es por esto que es una labor sumamente acertada la de esta Legislatura
Federal de convocar este foro de consulta nacional, para poder legislar
en esta materia.
En concreto esta ponencia pretende
exponer diversos elementos, con los que posiblemente en un futuro sea
viable el poder fincar responsabilidad sobre administradores de redes,
o empresas dedicadas a prestar el servicio llamado Internet. Esta responsabilidad
es sobre actos negligentes de estos administradores, en no actuar con
la debida diligencia, realizar ellos mismos los ilícitos, etc.
Así como la posible fincación
de responsabilidad sobre los dueños de las redes de cómputo, al no contratar
a las personas calificadas debidamente para desempeñarse como Administradores
de redes de cómputo, al no proporcionar a sus administradores una debida
y oportuna capacitación, el no proporcionarles los medios necesarios
para adquirir los programas necesarios para el debido mantenimiento
de la red de cómputo y los archivos en ella contenidos.
PLANTEAMIENTO Y DESARROLLO
DEL PROBLEMA.
1. Situación actual:
La situación actual en
la que nos encontramos inmersos, es la de un crecimiento masivo de los
medios de informática, a nivel mundial. En México se han elevado las
ventas de los equipos de cómputo de manera asombrosa, a pesar de la
crisis, pues la informática cobra día a día mayor importancia. En estos
momentos la persona que no ve por enseñarse a utilizar una computadora,
está quedando muy rezagado en comparación de los que si ven operar un
ordenador. La situación actual de México reclama gente más preparada,
más estudios, y no se puede excluir el conocimiento de la informática.
En México, como en otros
países del mundo, existen personas que se esmeran día a día, a aprender
más en materia de cómputo. Esto es bueno, pues cada vez hay más avances
debido a la preparación y capacidades que están desarrollando muchas
personas. Sin embargo, otras personas se han dedicado a buscar los modos
de burlar los sistemas de acceso de los ordenadores, y redes computacionales,
y desgraciadamente cada vez pueden lograr hacer más daño.
Ante esta situación, nuestro
país no cuenta con legislación que sancione los ilícitos cometidos por
este tipo de personas.
Es bien sabido que las
personas que más pudieran hacer por evitar estos ilícitos son los Ingenieros
en Sistemas Computacionales, con certificación de estudios necesarios
para desempeñarse como administradores de redes de cómputo, sin embargo,
en la actualidad, es muy común que en nuestro país, los administradores
de redes computacionales, LAN o WAN (LOCAL AREA NETWORK o WORLD AREA
NETWORK respectivamente) no sean ni Ingenieros en Sistemas Computacionales,
ni mucho menos que cuenten con los estudios certificados de conocimientos
debidos, para la operación de la red a su cargo. Sorprende saber, que
no es por falta de profesionistas, pues aún quedan muchos Ingenieros
en Sistemas Computacionales, en nuestro país, desempleados.
Las empresas o instituciones
optan por contratar a jóvenes que tan sólo son aficionados en materia
de cómputo, y los "cuasi capacitan", en vez de contratar a
verdaderos ingenieros en sistemas computacionales.
Esta situación nos da como
resultado, el hecho, de que por falta de conocimiento de los administradores
de redes computacionales, continuamente algunos usuarios se creen cuentas
con derechos excesivos sobre algún área de la red, pudiendo realizar
hechos que posiblemente en un futuro lleguen a considerarse delito,
como lo son el apoderamiento de archivos ajenos, su manipulación, su
utilización, su reproducción no autorizada por el autor o el titular
del derecho, o finalmente su destrucción, lo que en mi opinión pudiera
equiparar al tipo penal de Daño en propiedad ajena.
No sólo lo anterior, sino
que también debido a la falta de conocimiento sobre como mantener en
óptimas condiciones una red computacional, no se toman los cuidados
debidos, para evitar la introducción de virus informáticos en la red.
Otro problema es la carente
regulación de lo que conocemos como correo electrónico, el cual debe
ser equiparado, a mi punto de vista, al nivel de la correspondencia
normal, protegida por el artículo 16 Constitucional.
A. Hackers:
Tenemos el problema de
los llamados hackers, que son genios en materia de computación, que
cuentan con programas, y con la habilidad suficiente, para penetrar
a computadoras y redes de cómputo con sistemas de seguridad "supuestamente"
muy buenos como lo son las computadoras del pentágono, la CIA y el FBI;
pueden checar las transacciones que realizan diversas personas con sus
tarjetas de crédito, los montos, así como sus claves; pueden desviar
llamadas a través de diversos satélites para no ser detectados, pueden
penetrar a la red Internet, sin que se les cobre, pues hacen de algún
modo inrastreable su ubicación o su penetración; pueden crear números
falsos de tarjetas de crédito; realizar fraudes, etc.
i. ¿Cómo Operan?
Los hackers hacen uso de
diversos programas, para penetrar en las redes computacionales, usurpando
cuentas de usuarios, creando nuevas cuentas, o utilizando cuentas predeterminadas
por el sistema de red. Estos programas con los que cuentan los hackers,
pueden obtenerse sin mayor esfuerzo, en la autopista de información,
mejor conocida como Internet.
Hay diversas opiniones
respecto de la rastreabilidad o inrastreabilidad de estos criminales.
ii. ¿Es posible rastrearlos?
En cuanto su inrastreabilidad,
el Lan Times, el 8 de febrero de 1993, señalaba "tips" para
el rastreo de Hackers, como los siguientes:
(1) En lo interno: Mientras
se intenta interrumpir en una red a través de una linea privada de intercambio
(Private branch exchange), los hackers se delatarán pues al utilizar
los llamados "war dialers" (programas de PC diseñados para
romper códigos de contraseñas así como para buscar números de la serie
800) dejan detrás una infinidad de números de contraseñas equivocadas
de usuarios.
(2) En lo externo: En el
camino de salida de un sistema, los hackers se delatarán por utilizar
extensiones fantasmas, códigos de acceso raramente utilizados, etc.
(3) Codicia: Cuando los
hackers son realmente buenos, no dejarán huellas exceptuando la codicia.
Estos hackers son revelados por la utilización de patrones que se desvían
de los hábitos normales de negociación.
(4) Cambios de sistemas:
El daño más potencial existe cuando la programación de los sistemas
es cambiada para facilitar la actividad de los hackers (hacking).
Cualquiera tomando contraseñas
para la línea privada de intercambio del puerto de mantenimiento de
la computadora, o uso no autorizado debe ser rastreado, y detenido inmediatamente.
Aquí es dónde los administradores de redes LAN y de redes de telecomunicaciones
deben trabajar como un equipo.
Dos autores Argentinos,
Fabián García y Pablo Palazzi, mencionan que ciertas legislaciones extranjeras
ya tienden a proscribir o "sancionar penalmente el acceso ilícito
a los sistemas informáticos*1*". Mencionan como ejemplos artículos
como el 33.03 del Código Penal del Estado de ________________________
*1*! GARCÍA Fabián y Pablo
Palazzi, Consideraciones para una reforma penal en materia de
Texas que tipifica como
delito el acceso a un ordenador sin la autorización de su dueño.
Simon Gardner, en un artículo
de la revista europea electrónica FUTURE NET, del mes de Enero de 1995,
establece las siguientes reglas de los Hackers:
(1) Si realmente lo quieren,
lo obtendrán.
(2) Siempre hay más de
una manera de entrar.
(3) Demasiada seguridad
puede ser tan mala como no tener la suficiente.
iii. Medidas de seguridad.
Gardner menciona que una
manera de hacer más difícil el acceso a los hackers, es el hecho de
que los administradores de redes, borren o quiten las contraseñas predeterminadas
de las redes a su encargo, desafortunadamente, señala que es muy poca
la gente que toma esta precaución.
Señala también Simon Gadner,
que desgraciadamente los hackers descubren prácticamente de manera inmediata
la manera de burlar los nuevos sistemas de seguridad como los de los
de encriptamiento de archivos, etc.
El hecho de que los administradores
de las redes de cómputo sean Ingenieros en sistemas Computacionales,
y que cuenten con los conocimientos certificados para la adecuada operación
del_________________________________
seguridad y virus informáticos,
Ponencia presentada en España
en 1995.
Sistema en red, así como
el conocimiento de sus puntos débiles, les permitiría hacer un poco
más complicado el acceso a este tipo de criminales.
b. Virus informáticos:
El Doctor Julio Téllez
Valdés, los define como:
Programas que pueden infectar
a otros, modificándolos para incluirles una copia de sí mismos o cambiar
parte del código. *2*
Los virus informáticos pueden ocultarse
en forma de archivos ejecutables, de procesamiento por lotes, comprimidos,
etc.
Los virus informáticos,
llegan a tener un mayor alcance que sabotajes, fraudes, piratería de
información, etc., pues los virus informáticos, suelen contar con una
capacidad de reproducción impresionante.
i. ¿Cómo operan?
Un ordenador infectado,
al "leer información" de un disco flexible, a su vez, está
imprimiendo el virus en dicho disco, que, al ser accesado posteriormente
en otro ordenador, infectará éste, y así _______________________________________.
*2* TELLEZ Valdés, Julio,
Delincuencia automatizada: los virus informáticos y el terrorismo
por computadora, Tomado del libro Estudios Jurídicos en memoria
de Jorge Barrera Graf, Ed. Porrúa, México D.F., 1993, p. 338.
Sucesivamente, afectando
a una población inmensa de computadoras.
En 1995 afirmaron los autores
Fabián García y Pablo Palazzi que en esos momentos la población de virus
había crecido a más de 6000, todos distintos, con lo cual señalan una
limitante muy importante a los sistemas de antivirus, pues se puede
hablar también de que hay creación de virus en determinados territorios,
es decir son locales. Si bien algunos de estos virus sólo hacen aparecer
mensajes en la pantalla de un ordenador, muchos otros, afectan los sectores
de arranque de los discos de almacenamiento, y también los logran dañar
físicamente, lo cual redunda en una pérdida de información enorme, así
como los daños físicos que sufren partes del ordenador, lo que llamamos
comúnmente como "hardware".
García y Palazzi consideran
que la peligrosidad de los virus informáticos radica en el acceso sin
autorización a un sistema que no está adecuadamente preparado para recibir
dicho agente de disturbio. **3**
ii. Medidas de seguridad.
Todo Ingeniero de Sistemas
Computacionales, debe de ver por tener las versiones más actualizadas
de los antivirus que puedan ser conseguidos en la república, o a través
de Internet. No sólo esto, sino que se debe contar con un sistema bien
organizado para evitar la introducción de discos, que no estén previamente
checados por el antivirus, en la red. De preferencia debe de contarse
con un ____________________________
**3** GARCIA Fabián y Pablo
Palazzi, Consideraciones para una reforma penal en materia seguridad
y virus informáticos, Ponencia presentada en España en 1995.
centro de copiado de archivos
de disco a red y de red a disco, previamente checando que el disco flexible
no esté contaminado. Se deben bloquear los accesos de las unidades de
disco de las computadoras a las que tengan acceso el grueso de los usuarios.
ANALISIS DEL PROBLEMA.
Cómo ya se menciono con
anterioridad, la falta de preparación de las personas a cargo de las
redes computacionales, las hace muy vulnerables a la introducción de
personas ajenas a éstas, como lo son los hackers, como lo es la introducción
de virus informáticos debido a negligencia, etc.
Bien, tenido esto en cuenta,
resulta que la responsabilidad de los administradores de una red de
cómputo puede ser de dos tipos, en mi opinión:
1. Culpable: Es imputable
al Administrador de la red de cómputo, si siendo éste un Ingeniero en
Sistemas Computacionales, y contando con los cursos de certificación
para operar dicho sistema de red, obra sin la diligencia debida, si
solapa la intromisión de hackers, sin no ve por mantenerse preparado
para manejar el sistema de red, o si no tiende a mantener la red en
óptimas condiciones, es decir libre de virus. Si obra dolosamente o
si perpetra el mismo ilícito.
2. No Culpable: No es imputable
al Administrador de la red de cómputo, si este no es Ingeniero en Sistemas
Computacionales, o si no cuenta con la debida capacitación para operar
un sistema de red. Esto puede ser debido a la negligencia de los Administradores
de la Empresa para contratar a la gente idónea para realizar el trabajo
de Administradores de Red, como lo serían los Ingenieros en Sistemas
Computacionales, si no les proporcionan los medios de capacitación para
operar el sistema de red, o si no les proporcionan los medios para conseguir
los programas mínimos indispensables para mantener adecuadamente la
red, como lo serían los antivirus, versiones nuevas de la red, etc.
En este caso de la responsabilidad
no imputable al Administrador de redes de cómputo, el responsable será
la empresa, o el propietario de la red.
Serán responsables de los
daños que se causen por la indebida destrucción, apoderamiento, modificación,
o utilización de archivos que pertenezcan a los usuarios de modo personal.
Sólo serán excluidos de
la responsabilidad los Administradores de redes de cómputo, y las empresas
o dueñas de la red, si se demuestra que era imposible la prevención
del ilícito cometido, a pesar de la debida preparación de los Administradores
de la red, así como de que se contaba con los programas actualizados
para detección de virus, etc.
PROPUESTA
Se propone concretamente
el que al legislar en materia de Derecho Informático, se sienten las
bases para hacer posible el fincamiento de responsabilidad penal de
los administradores de Redes de Cómputo, así como de los dueños de la
red operada.
Se propone crear el tipo
penal de Responsabilidad de los Administradores de Redes de Cómputo,
bajo las bases siguientes:
A.- Que contando con los
conocimientos debidos, para prevenir la comisión de un ilícito por un
tercero, no actúen.
B.- Que actúen de manera
negligente ante el descubrimiento del irrumpiendo de un Hacker, o ante
la existencia de cuentas con derechos excesivos sobre determinados directorios
de la red.
C.- Que perpetren ellos
mismos el ilícito consistente en: apoderamiento, modificación, utilización
o destrucción no autorizada por el autor o el titular del derecho sobre
el archivo.
Se propone crear el tipo
penal de la responsabilidad de el Propietario de la red de cómputo,
bajo las bases siguientes:
A.- Que no contrate a personas
debidamente capacitadas para desempeñarse como administradores de la
red computacional.
B.- El no haber prevenido
la comisión de ilícitos, a través de proporcionar oportunamente cursos
de capacitación a su (s) Administrador (es) de red.
C.- El no proporcionar
los recursos necesarios para adquirir los programas necesarios para
la adecuada conservación de el sistema de red, así como de los archivos
en ella contenidos.
BIBLIOGRAFÍA.
GARCÍA Fabián y Pablo Palazzi,
Consideraciones para una reforma penal en materia de seguridad y
virus informáticos, Ponencia presentada en España en 1995.
TELLEZ Valdés, Julio Delincuencia
automatizada: los virus informáticos y el terrorismo por computadora,
Tomado del libro Estudios Jurídicos en memoria de Jorge Barrera
Graf. Ed. Porrúa, México, D.F., 1993, 446 pp.
TELLEZ Valdés, Julio, Derecho
Informático, Ed.Mc. Graw Hill, México D.F.2ª de., 1996, 283 pp.
GARDNER Simon, THE net
guide to Internet security, FUTURE NET ELECTRONIC MAGAZINE, Ejemplar
de Enero de 1995.
Tips for tracking hackers
& Hacking: not just a phone problem, Lan
Times, 8 de Febrero de 1993.
Diversos archivos de texto
o en formato de Word* 4 encontrados de modo compreso en una dirección
de internet llamada CYBER TOAST FILES.
_________________________________________
* Word es una marca registrada de Microsoft Corporation.