Inicio > Servicios de Biblioteca > Publicaciones > Biblioteca - SIID


[Principal] [Relatoría de Eventos]

FORO DE CONSULTA SOBRE DERECHO E INFORMÁTICA

TEMA:
ELEMENTOS PARA FINCAR RESPONSABILIDADES A LOS
ADMINISTRADORES DE SISTEMAS DE REDES.

AUTOR:
Luis Manuel Ramírez Perches
Guadalajara, Jal. Septiembre de 1996

INTRODUCCIÓN

 Esta ponencia está dirigida a los participantes del foro de consulta nacional en materia de Derecho e Informática, convocado por la Cámara de Diputados Federal, y el Instituto Nacional de Estadística Geografía e Informática.

 Antes que nada, debo mencionar que no me fue posible contar con muchas fuentes de información sobre el tema desarrollado, por premura de tiempo, y puesto que en este país es difícil conseguir literatura ilustrativa de este tema.

 El desarrollo del estudio, está basado en los conocimientos personales y limitados del autor, artículos de revistas electrónicas, archivos de texto ilustrativos, encontrados en una base de programas para Hackers en el Internet, así como en artículos escritos por el Doctor Julio Téllez Valdés, un artículo escrito por dos autores argentinos García y Palazzi, y diversos comentarios de gente conocedora de informática.

 Uno de los temas más apasionados de la Informática Jurídica, como la llaman algunos, o del Derecho Informático, como lo llama acertadamente el Doctor Julio Téllez Valdés, es el de los delitos Informáticos. En esta materia, nuestra legislación no cuenta con la debida regulación en materia de Derecho Informático, en comparación a legislación extranjera, y el gran desarrollo de los ilícitos informáticos, o cometidos con herramientas informáticas.

 Es necesario que se comience a legislar en esta materia, para frenar el gran crecimiento de este tipo de delitos. Es por esto que es una labor sumamente acertada la de esta Legislatura Federal de convocar este foro de consulta nacional, para poder legislar en esta materia.

 En concreto esta ponencia pretende exponer diversos elementos, con los que posiblemente en un futuro sea viable el poder fincar responsabilidad sobre administradores de redes, o empresas dedicadas a prestar el servicio llamado Internet. Esta responsabilidad es sobre actos negligentes de estos administradores, en no actuar con la debida diligencia, realizar ellos mismos los ilícitos, etc.

Así como la posible fincación de responsabilidad sobre los dueños de las redes de cómputo, al no contratar a las personas calificadas debidamente para desempeñarse como Administradores de redes de cómputo, al no proporcionar a sus administradores una debida y oportuna capacitación, el no proporcionarles los medios necesarios para adquirir los programas necesarios para el debido mantenimiento de la red de cómputo y los archivos en ella contenidos.

PLANTEAMIENTO Y DESARROLLO DEL PROBLEMA.

1. Situación actual:

La situación actual en la que nos encontramos inmersos, es la de un crecimiento masivo de los medios de informática, a nivel mundial. En México se han elevado las ventas de los equipos de cómputo de manera asombrosa, a pesar de la crisis, pues la informática cobra día a día mayor importancia. En estos momentos la persona que no ve por enseñarse a utilizar una computadora, está quedando muy rezagado en comparación de los que si ven operar un ordenador. La situación actual de México reclama gente más preparada, más estudios, y no se puede excluir el conocimiento de la informática.

En México, como en otros países del mundo, existen personas que se esmeran día a día, a aprender más en materia de cómputo. Esto es bueno, pues cada vez hay más avances debido a la preparación y capacidades que están desarrollando muchas personas. Sin embargo, otras personas se han dedicado a buscar los modos de burlar los sistemas de acceso de los ordenadores, y redes computacionales, y desgraciadamente cada vez pueden lograr hacer más daño.

Ante esta situación, nuestro país no cuenta con legislación que sancione los ilícitos cometidos por este tipo de personas.

Es bien sabido que las personas que más pudieran hacer por evitar estos ilícitos son los Ingenieros en Sistemas Computacionales, con certificación de estudios necesarios para desempeñarse como administradores de redes de cómputo, sin embargo, en la actualidad, es muy común que en nuestro país, los administradores de redes computacionales, LAN o WAN (LOCAL AREA NETWORK o WORLD AREA NETWORK respectivamente) no sean ni Ingenieros en Sistemas Computacionales, ni mucho menos que cuenten con los estudios certificados de conocimientos debidos, para la operación de la red a su cargo. Sorprende saber, que no es por falta de profesionistas, pues aún quedan muchos Ingenieros en Sistemas Computacionales, en nuestro país, desempleados.

Las empresas o instituciones optan por contratar a jóvenes que tan sólo son aficionados en materia de cómputo, y los "cuasi capacitan", en vez de contratar a verdaderos ingenieros en sistemas computacionales.

Esta situación nos da como resultado, el hecho, de que por falta de conocimiento de los administradores de redes computacionales, continuamente algunos usuarios se creen cuentas con derechos excesivos sobre algún área de la red, pudiendo realizar hechos que posiblemente en un futuro lleguen a considerarse delito, como lo son el apoderamiento de archivos ajenos, su manipulación, su utilización, su reproducción no autorizada por el autor o el titular del derecho, o finalmente su destrucción, lo que en mi opinión pudiera equiparar al tipo penal de Daño en propiedad ajena.

No sólo lo anterior, sino que también debido a la falta de conocimiento sobre como mantener en óptimas condiciones una red computacional, no se toman los cuidados debidos, para evitar la introducción de virus informáticos en la red.

Otro problema es la carente regulación de lo que conocemos como correo electrónico, el cual debe ser equiparado, a mi punto de vista, al nivel de la correspondencia normal, protegida por el artículo 16 Constitucional.

A. Hackers:

Tenemos el problema de los llamados hackers, que son genios en materia de computación, que cuentan con programas, y con la habilidad suficiente, para penetrar a computadoras y redes de cómputo con sistemas de seguridad "supuestamente" muy buenos como lo son las computadoras del pentágono, la CIA y el FBI; pueden checar las transacciones que realizan diversas personas con sus tarjetas de crédito, los montos, así como sus claves; pueden desviar llamadas a través de diversos satélites para no ser detectados, pueden penetrar a la red Internet, sin que se les cobre, pues hacen de algún modo inrastreable su ubicación o su penetración; pueden crear números falsos de tarjetas de crédito; realizar fraudes, etc.

i. ¿Cómo Operan?

Los hackers hacen uso de diversos programas, para penetrar en las redes computacionales, usurpando cuentas de usuarios, creando nuevas cuentas, o utilizando cuentas predeterminadas por el sistema de red. Estos programas con los que cuentan los hackers, pueden obtenerse sin mayor esfuerzo, en la autopista de información, mejor conocida como Internet.

Hay diversas opiniones respecto de la rastreabilidad o inrastreabilidad de estos criminales.

ii. ¿Es posible rastrearlos?

En cuanto su inrastreabilidad, el Lan Times, el 8 de febrero de 1993, señalaba "tips" para el rastreo de Hackers, como los siguientes:

(1) En lo interno: Mientras se intenta interrumpir en una red a través de una linea privada de intercambio (Private branch exchange), los hackers se delatarán pues al utilizar los llamados "war dialers" (programas de PC diseñados para romper códigos de contraseñas así como para buscar números de la serie 800) dejan detrás una infinidad de números de contraseñas equivocadas de usuarios.

(2) En lo externo: En el camino de salida de un sistema, los hackers se delatarán por utilizar extensiones fantasmas, códigos de acceso raramente utilizados, etc.

(3) Codicia: Cuando los hackers son realmente buenos, no dejarán huellas exceptuando la codicia. Estos hackers son revelados por la utilización de patrones que se desvían de los hábitos normales de negociación.

(4) Cambios de sistemas: El daño más potencial existe cuando la programación de los sistemas es cambiada para facilitar la actividad de los hackers (hacking).

Cualquiera tomando contraseñas para la línea privada de intercambio del puerto de mantenimiento de la computadora, o uso no autorizado debe ser rastreado, y detenido inmediatamente. Aquí es dónde los administradores de redes LAN y de redes de telecomunicaciones deben trabajar como un equipo.

Dos autores Argentinos, Fabián García y Pablo Palazzi, mencionan que ciertas legislaciones extranjeras ya tienden a proscribir o "sancionar penalmente el acceso ilícito a los sistemas informáticos*1*". Mencionan como ejemplos artículos como el 33.03 del Código Penal del Estado de ________________________

*1*! GARCÍA Fabián y Pablo Palazzi, Consideraciones para una reforma penal en materia de

Texas que tipifica como delito el acceso a un ordenador sin la autorización de su dueño.

Simon Gardner, en un artículo de la revista europea electrónica FUTURE NET, del mes de Enero de 1995, establece las siguientes reglas de los Hackers:

(1) Si realmente lo quieren, lo obtendrán.

(2) Siempre hay más de una manera de entrar.

(3) Demasiada seguridad puede ser tan mala como no tener la suficiente.

iii. Medidas de seguridad.

Gardner menciona que una manera de hacer más difícil el acceso a los hackers, es el hecho de que los administradores de redes, borren o quiten las contraseñas predeterminadas de las redes a su encargo, desafortunadamente, señala que es muy poca la gente que toma esta precaución.

Señala también Simon Gadner, que desgraciadamente los hackers descubren prácticamente de manera inmediata la manera de burlar los nuevos sistemas de seguridad como los de los de encriptamiento de archivos, etc.

El hecho de que los administradores de las redes de cómputo sean Ingenieros en sistemas Computacionales, y que cuenten con los conocimientos certificados para la adecuada operación del_________________________________

seguridad y virus informáticos, Ponencia presentada en España en 1995.

Sistema en red, así como el conocimiento de sus puntos débiles, les permitiría hacer un poco más complicado el acceso a este tipo de criminales.

b. Virus informáticos:

El Doctor Julio Téllez Valdés, los define como:

Programas que pueden infectar a otros, modificándolos para incluirles una copia de sí mismos o cambiar parte del código. *2*

Los virus informáticos pueden ocultarse en forma de archivos ejecutables, de procesamiento por lotes, comprimidos, etc.

Los virus informáticos, llegan a tener un mayor alcance que sabotajes, fraudes, piratería de información, etc., pues los virus informáticos, suelen contar con una capacidad de reproducción impresionante.

i. ¿Cómo operan?

Un ordenador infectado, al "leer información" de un disco flexible, a su vez, está imprimiendo el virus en dicho disco, que, al ser accesado posteriormente en otro ordenador, infectará éste, y así _______________________________________.

*2* TELLEZ Valdés, Julio, Delincuencia automatizada: los virus informáticos y el terrorismo por computadora, Tomado del libro Estudios Jurídicos en memoria de Jorge Barrera Graf, Ed. Porrúa, México D.F., 1993, p. 338.

Sucesivamente, afectando a una población inmensa de computadoras.

En 1995 afirmaron los autores Fabián García y Pablo Palazzi que en esos momentos la población de virus había crecido a más de 6000, todos distintos, con lo cual señalan una limitante muy importante a los sistemas de antivirus, pues se puede hablar también de que hay creación de virus en determinados territorios, es decir son locales. Si bien algunos de estos virus sólo hacen aparecer mensajes en la pantalla de un ordenador, muchos otros, afectan los sectores de arranque de los discos de almacenamiento, y también los logran dañar físicamente, lo cual redunda en una pérdida de información enorme, así como los daños físicos que sufren partes del ordenador, lo que llamamos comúnmente como "hardware".

García y Palazzi consideran que la peligrosidad de los virus informáticos radica en el acceso sin autorización a un sistema que no está adecuadamente preparado para recibir dicho agente de disturbio. **3**

ii. Medidas de seguridad.

Todo Ingeniero de Sistemas Computacionales, debe de ver por tener las versiones más actualizadas de los antivirus que puedan ser conseguidos en la república, o a través de Internet. No sólo esto, sino que se debe contar con un sistema bien organizado para evitar la introducción de discos, que no estén previamente checados por el antivirus, en la red. De preferencia debe de contarse con un ____________________________

**3** GARCIA Fabián y Pablo Palazzi, Consideraciones para una reforma penal en materia seguridad y virus informáticos, Ponencia presentada en España en 1995.

centro de copiado de archivos de disco a red y de red a disco, previamente checando que el disco flexible no esté contaminado. Se deben bloquear los accesos de las unidades de disco de las computadoras a las que tengan acceso el grueso de los usuarios.

ANALISIS DEL PROBLEMA.

Cómo ya se menciono con anterioridad, la falta de preparación de las personas a cargo de las redes computacionales, las hace muy vulnerables a la introducción de personas ajenas a éstas, como lo son los hackers, como lo es la introducción de virus informáticos debido a negligencia, etc.

Bien, tenido esto en cuenta, resulta que la responsabilidad de los administradores de una red de cómputo puede ser de dos tipos, en mi opinión:

1. Culpable: Es imputable al Administrador de la red de cómputo, si siendo éste un Ingeniero en Sistemas Computacionales, y contando con los cursos de certificación para operar dicho sistema de red, obra sin la diligencia debida, si solapa la intromisión de hackers, sin no ve por mantenerse preparado para manejar el sistema de red, o si no tiende a mantener la red en óptimas condiciones, es decir libre de virus. Si obra dolosamente o si perpetra el mismo ilícito.

2. No Culpable: No es imputable al Administrador de la red de cómputo, si este no es Ingeniero en Sistemas Computacionales, o si no cuenta con la debida capacitación para operar un sistema de red. Esto puede ser debido a la negligencia de los Administradores de la Empresa para contratar a la gente idónea para realizar el trabajo de Administradores de Red, como lo serían los Ingenieros en Sistemas Computacionales, si no les proporcionan los medios de capacitación para operar el sistema de red, o si no les proporcionan los medios para conseguir los programas mínimos indispensables para mantener adecuadamente la red, como lo serían los antivirus, versiones nuevas de la red, etc.

En este caso de la responsabilidad no imputable al Administrador de redes de cómputo, el responsable será la empresa, o el propietario de la red.

Serán responsables de los daños que se causen por la indebida destrucción, apoderamiento, modificación, o utilización de archivos que pertenezcan a los usuarios de modo personal.

Sólo serán excluidos de la responsabilidad los Administradores de redes de cómputo, y las empresas o dueñas de la red, si se demuestra que era imposible la prevención del ilícito cometido, a pesar de la debida preparación de los Administradores de la red, así como de que se contaba con los programas actualizados para detección de virus, etc.

PROPUESTA

Se propone concretamente el que al legislar en materia de Derecho Informático, se sienten las bases para hacer posible el fincamiento de responsabilidad penal de los administradores de Redes de Cómputo, así como de los dueños de la red operada.

Se propone crear el tipo penal de Responsabilidad de los Administradores de Redes de Cómputo, bajo las bases siguientes:

A.- Que contando con los conocimientos debidos, para prevenir la comisión de un ilícito por un tercero, no actúen.

B.- Que actúen de manera negligente ante el descubrimiento del irrumpiendo de un Hacker, o ante la existencia de cuentas con derechos excesivos sobre determinados directorios de la red.

C.- Que perpetren ellos mismos el ilícito consistente en: apoderamiento, modificación, utilización o destrucción no autorizada por el autor o el titular del derecho sobre el archivo.

Se propone crear el tipo penal de la responsabilidad de el Propietario de la red de cómputo, bajo las bases siguientes:

A.- Que no contrate a personas debidamente capacitadas para desempeñarse como administradores de la red computacional.

B.- El no haber prevenido la comisión de ilícitos, a través de proporcionar oportunamente cursos de capacitación a su (s) Administrador (es) de red.

C.- El no proporcionar los recursos necesarios para adquirir los programas necesarios para la adecuada conservación de el sistema de red, así como de los archivos en ella contenidos.

BIBLIOGRAFÍA.

GARCÍA Fabián y Pablo Palazzi, Consideraciones para una reforma penal en materia de seguridad y virus informáticos, Ponencia presentada en España en 1995.

TELLEZ Valdés, Julio Delincuencia automatizada: los virus informáticos y el terrorismo por computadora, Tomado del libro Estudios Jurídicos en memoria de Jorge Barrera Graf. Ed. Porrúa, México, D.F., 1993, 446 pp.

TELLEZ Valdés, Julio, Derecho Informático, Ed.Mc. Graw Hill, México D.F.2ª de., 1996, 283 pp.

GARDNER Simon, THE net guide to Internet security, FUTURE NET ELECTRONIC MAGAZINE, Ejemplar de Enero de 1995.

Tips for tracking hackers & Hacking: not just a ‘phone problem’, Lan Times, 8 de Febrero de 1993.

Diversos archivos de texto o en formato de Word* 4 encontrados de modo compreso en una dirección de internet llamada CYBER TOAST FILES.

_________________________________________
* Word es una marca registrada de Microsoft Corporation.

 

Secretaría General

Secretaría de Servicios Parlamentarios

Dirección General de Bibliotecas

Aviso Legal © Febrero  2005
Servicios de Biblioteca