CONCLUSIONES

* Debido a la naturaleza virtual de los delitos informáticos, puede volverse confusa la tipificación de éstos ya que a nivel general, se poseen pocos conocimientos y experiencias en el manejo de ésta área. Desde el punto de vista de la Legislatura es difícil la clasificación de éstos actos, por lo que la creación de instrumentos legales puede no tener los resultados esperados, sumado a que la constante innovación tecnológica obliga a un dinamismo en el manejo de las Leyes relacionadas con la informática.
* La falta de cultura informática es un factor crítico en el impacto de los delitos informáticos en la sociedad en general, cada vez se requieren mayores conocimientos en tecnologías de la información, las cuales permitan tener un marco de referencia aceptable para el manejo de dichas situaciones.
* Nuevas formas de hacer negocios como el comercio electrónico puede que no encuentre el eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología, por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática, con el único fin de tener un marco legal que se utilice como soporte para el manejo de éste tipo de transacciones.
* La responsabilidad del auditor informático no abarca el dar solución al impacto de los delitos o en implementar cambios; sino más bien su responsabilidad recae en la verificación de controles, evaluación de riesgos, así como en el establecimiento de recomendaciones que ayuden a las organizaciones a minimizar las amenazas que presentan los delitos informáticos. -
* La ocurrencia de delitos informáticos en las organizaciones alrededor del mundo no debe en ningún momento impedir que éstas se beneficien de todo lo que proveen las tecnologías de información (comunicación remota, Interconectividad, comercio electrónico, etc.); sino por el contrario dicha situación debe plantear un reto a los profesionales de la informática, de manera que se realicen esfuerzos encaminados a robustecer los aspectos de seguridad, controles, integridad de la información, etc. en las organizaciones.

LEGISLACIÓN - CONTEXTO NACIONAL

En el contexto nacional se pueden encontrar legislaturas que castiguen algunos de los tipos de delitos informáticos, para lo cual se deben citar:
* El código procesal penal.
* La Ley de Fomento y Protección de la Propiedad Intelectual.

» Código Procesal Penal.

Dentro de esta ley se contemplan algunos artículos que guardan relación con los delitos informáticos, específicamente con los siguientes:
La difusión, exhibición, explotación de pornografía infantil por medios informáticos (Art. 172 y 173).
Estafa agravada, realizar manipulación que interfiera el resultado de un procesamiento o transmisión de datos (Art. 216 Num.5).
Delitos relativos a la propiedad intelectual (Art. 226 y 227).

Además en dicho código se establece que la realización de estos delitos puede significar para los delincuentes penas de prisión que van desde los 6 meses hasta los 8 años (dependiendo del tipo de delito). Referido a esto es necesario menciona que en nuestro país desgraciadamente no se cuenta con la capacidad instalada para controlar este tipo de acciones delictivas; por lo que la ley aunque escrita esta lejos de ser cumplida.

» La Ley de Fomento y Protección de la Propiedad Intelectual.

Al revisar el contenido de la dicha ley y relacionarlo con la informática, haciendo mayor énfasis en la protección contra los delitos informáticos, se pueden establecer dos áreas de alcance:
La protección de la propiedad intelectual.
La sustracción de información clasificada.

FRAUDE A TRAVÉS DE COMPUTADORES

Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.

Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input.

Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana:

Una empleada de un banco del sur de Alemania transfirió, en febrero de 1983, un millón trescientos mil marcos alemanes a la cuenta de una amiga -cómplice en la maniobra- mediante el simple mecanismo de imputar el crédito en una terminal de computadora del banco. La operación fue realizada a primera hora de la mañana y su falsedad podría haber sido detectada por el sistema de seguridad del banco al mediodía. Sin embargo, la rápida transmisión del crédito a través de sistemas informáticos conectados en línea (on line), hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un millón doscientos ochenta mil marcos unos minutos después de realizada la operación informática.

En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor.

A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales.

LA SUSTRACCIÓN DE INFORMACIÓN CLASIFICADA

Se considera secreto industrial o comercial, toda información que guarde un apersona con carácter confidencial, que le signifique obtener o mantener una ventaja competitiva o económica frente a terceros, en la realización de activida des económicas y respecto de la cual haya adoptado los medios o sistemas razonables para preservar su confidencialidad y el acceso restringido a la misma.

Ahora bien, para la protección de la información secreta, la ley establece que toda persona que con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios tenga acceso a un secreto a un secreto industrial o comercial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de utilizarlo para fines comerciales propios o de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado, en caso contrario será responsable de los daños y perjuicios ocasionados. También será responsable el que por medio ilícito obtenga información que contemple un secreto industrial o comercial.

» Efectos de la inexistencia de legislatura informática.

La inexistencia de una ley informática imposibilita que la persecución y castigo de los autores de delitos informáticos sea efectiva. Aunado a esto las autoridades (PNC, Fiscalía, Corte de Cuentas, Órgano Judicial) no poseen el nivel de experticia requerido en estas áreas ni la capacidad instalada para desarrollar actividades de investigación, persecución y recopilación de pruebas digitales y electrónicas. Por lo que todo tipo de acción contra los delincuentes informáticos quedaría prácticamente en las manos de la organización que descubre un delito y el tipo de penalización sería más administrativa que de otro tipo (si el delito proviene de fuentes internas).

» Esfuerzos en legislación informática.

En nuestro país debido a factores como el auge del comercio electrónico a nivel mundial, la aprobación de la firma digital en E.U., etc. se esta trabajando en la estructuración de una ley que le brinde un marco legal a las prácticas del comercio electrónico (las transacciones por Internet) en nuestro país. Dicho esfuerzo esta siendo realizado de manera conjunta por el Ministerio de Economía y la Secretaria Técnica de la Presidencia, y se espera que participen en dicha estructuración diferentes asociaciones y gremiales (Cámara de Comercio, DIELCO, ASI, etc.) para que sea realmente funcional y efectiva.

CONDUCTAS DIRIGIDAS A CAUSAR DAÑOS LÓGICOS

El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático.

Este tipo de daño a un sistema se puede alcanzar de diversas formas. Desde la más simple que podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo.

Estos programas destructivos, utilizan distintas técnicas de sabotaje, muchas veces, en forma combinada. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir:

Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar.

La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los ficheros de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa.

Otra modalidad que actúa sobre los programas de aplicación es el llamado «cáncer de rutinas» («cancer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos.

Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y programas contenidos en los distintos discos con los que toma contacto a través de una conexión.

CONCEPTUALIZACIÓN Y GENERALIDADES

Conceptualización:

Fraude puede ser definido como engaño, acción contraria a la verdad o a la rectitud. La definición de Delito puede ser más compleja.

Muchos estudiosos del Derecho Penal han intentado formular una noción de delito que sirviese para todos los tiempos y en todos los países. Esto no ha sido posible dada la íntima conexión que existe entre la vida social y la jurídica de cada pueblo y cada siglo, aquella condiciona a ésta.

Según el ilustre penalista CUELLO CALON, los elementos integrantes del delito son:

1. El delito es un acto humano, es una acción (acción u omisión)
2. Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido.
3. Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico.
4. El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona
5. La ejecución u omisión del acto debe estar sancionada por una pena.

Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena.

Se podría definir el delito informático como toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena.

De esta manera, el autor mexicano Julio TELLEZ VALDEZ señala que los delitos informáticos son "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto típico)". Por su parte, el tratadista penal italiano Carlos SARZANA, sostiene que los delitos informáticos son "cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo".

Sistemas y empresas con mayor riesgo.

Evidentemente el artículo que resulta más atractivo robar es el dinero o algo de valor. Por lo tanto, los sistemas que pueden estar más expuestos a fraude son los que tratan pagos, como los de nómina, ventas, o compras. En ellos es donde es más fácil convertir transacciones fraudulentas en dinero y sacarlo de la empresa.

Por razones similares, las empresas constructoras, bancos y compañías de seguros, están más expuestas a fraudes que las demás.

Los sistemas mecanizados son susceptibles de pérdidas o fraudes debido a que:

• Tratan grandes volúmenes de datos e interviene poco personal, lo que impide verificar todas las partidas.
• Se sobrecargan los registros magnéticos, perdiéndose la evidencia auditable o la secuencia de acontecimientos.
• A veces los registros magnéticos son transitorios y a menos que se realicen pruebas dentro de un período de tiempo corto, podrían perderse los detalles de lo que sucedió, quedando sólo los efectos.
• Los sistemas son impersonales, aparecen en un formato ilegible y están controlados parcialmente por personas cuya principal preocupación son los aspectos técnicos del equipo y del sistema y que no comprenden, o no les afecta, el significado de los datos que manipulan.
• En el diseño de un sistema importante es difícil asegurar que se han previsto todas las situaciones posibles y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir. Los sistemas tienden a ser algo rígidos y no siempre se diseñan o modifican al ritmo con que se producen los acontecimientos; esto puede llegar a ser otra fuente de "agujeros".
• Sólo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el centro de cálculo puede llegar a ser un centro de información. Al mismo tiempo, el centro de cálculo procesará muchos aspectos similares de las transacciones.
• En el centro de cálculo hay un personal muy inteligente, que trabaja por iniciativa propia la mayoría del tiempo y podría resultar difícil implantar unos niveles normales de control y supervisión.
• El error y el fraude son difíciles de equiparar. A menudo, los errores no son iguales al fraude. Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la investigación puede abandonarse antes de llegar a esa conclusión. Se tiende a empezar buscando errores de programación y del sistema. Si falla esta operación, se buscan fallos técnicos y operativos. Sólo cuando todas estas averiguaciones han dado resultados negativos, acaba pensándose en que la causa podría ser un fraude.

Delitos en perspectiva

Los delitos pueden ser examinado desde dos puntos de vista diferentes:

• Los delitos que causan mayor impacto a las organizaciones.
• Los delitos más difíciles de detectar.

Aunque depende en gran medida del tipo de organización, se puede mencionar que los Fraudes y sabotajes son los delitos de mayor incidencia en las organizaciones. Además, aquellos que no están claramente definidos y publicados dentro de la organización como un delito (piratería, mala utilización de la información, omisión deliberada de controles, uso no autorizado de activos y/o servicios computacionales; y que en algún momento pueden generar un impacto a largo plazo).

Pero si se examina la otra perspectiva, referente a los delitos de difícil detección, se deben situar a aquellos producidos por las personas que trabajan internamente en una organización y que conocen perfectamente la configuración interna de las plataformas; especialmente cuando existe una cooperación entre empleados, cooperación entre empleados y terceros, o incluso el involucramiento de la administración misma.

OBJETIVOS

General:

Realizar una investigación profunda acerca del fenómeno de los Delitos Informáticos, analizando el impacto de éstos en la función de Auditoria Informática en cualquier tipo de organización.

Específicos:

Conceptualizar la naturaleza de los Delitos Informáticos

Estudiar las características de este tipo de Delitos

Tipificar los Delitos de acuerdo a sus características principales

Investigar el impacto de éstos actos en la vida social y tecnológica de la sociedad

Analizar las consideraciones oportunas en el tratamiento de los Delitos Informáticos

Mencionar las empresas que operan con mayor riesgo de ser víctimas de ésta clase de actos

Analizar la Legislatura que enmarca a ésta clase de Delitos, desde un contexto Nacional e Internacional.

Definir el rol del auditor ante los Delitos Informáticos

Presentar los indicadores estadísticos referentes a éstos actos delictivos