Los ejemplos y la perspectiva de este artículo pueden no representar una visión global del tema . ( Agosto de 2011 ) |
El delito cibernético , o delito informático , se refiere a cualquier delito que involucra una computadora y una red . [1] La computadora puede haber sido utilizada en la comisión de un delito, o puede ser el objetivo. El delito en la red se refiere, más precisamente, a la explotación criminal de Internet . [2] Los problemas que rodean este tipo de delito han adquirido un alto perfil, en particular los relacionados con la piratería informática , la violación de derechos de autor , el robo de identidad , la pornografía infantil y el acoso sexual infantil . También existen problemas de privacidad cuando se pierde o intercepta información confidencial , de manera legal o no.
A nivel global, tanto los gobiernos como los actores no estatales siguen cobrando importancia, con la capacidad de participar en actividades como el espionaje y otros ataques transfronterizos a los que a veces se denomina “ guerra cibernética” . El sistema jurídico internacional está intentando exigir responsabilidades a los actores por sus acciones, y la Corte Penal Internacional es uno de los pocos que se ocupa de esta amenaza. [3]
Una contramedida cibernética se define como una acción, proceso, tecnología, dispositivo o sistema que sirve para prevenir o mitigar los efectos de un ataque cibernético contra una víctima, computadora, servidor, red o dispositivo asociado. [4] Recientemente se ha producido un aumento en el número de ataques cibernéticos internacionales. En 2013 hubo un aumento del 91% en las campañas de ataques dirigidos y un aumento del 62% en las violaciones de seguridad. [5]
Existen diversas contramedidas que pueden implementarse eficazmente para combatir el delito cibernético y aumentar la seguridad.
El código malicioso es una categoría amplia que abarca una serie de amenazas a la ciberseguridad. En esencia, es cualquier “hardware, software o firmware que se incluye o inserta intencionalmente en un sistema con un propósito dañino”. [6] Comúnmente conocido como malware, incluye virus informáticos , gusanos , caballos de Troya , keyloggers , BOTs , rootkits y cualquier vulnerabilidad de seguridad de software . [7]
El código malicioso también incluye spyware , que son programas engañosos, instalados sin autorización, "que monitorean las actividades de un consumidor sin su consentimiento". [8] El spyware se puede utilizar para enviar a los usuarios anuncios emergentes no deseados , para usurpar el control del navegador de Internet de un usuario o para monitorear los hábitos en línea de un usuario. Sin embargo, el spyware generalmente se instala junto con algo que el usuario realmente desea instalar. El usuario consiente la instalación, pero no consiente las tácticas de monitoreo del spyware. El consentimiento para el spyware normalmente se encuentra en el acuerdo de licencia del usuario final . [8]
Un ataque de red se considera cualquier acción realizada para interrumpir, denegar, degradar o destruir información que reside en una computadora y redes de computadoras. [9] Un ataque puede tomar cuatro formas: fabricación, interceptación, interrupción y modificación. Una fabricación es la "creación de algún engaño para engañar a algún usuario desprevenido"; una interceptación es el "proceso de entrometerse en alguna transmisión y redirigirla para algún uso no autorizado"; una interrupción es la "ruptura en un canal de comunicación, que inhibe la transmisión de datos"; y una modificación es "la alteración de los datos contenidos en las transmisiones". [6] Los ataques pueden clasificarse como activos o pasivos. Los ataques activos implican la modificación de la transmisión o intentos de obtener acceso no autorizado a un sistema, mientras que los ataques pasivos implican el monitoreo de las transmisiones. Cualquiera de las dos formas se puede utilizar para obtener información sobre un usuario, que luego puede usarse para robar la identidad de ese usuario. Las formas más comunes de ataques de red incluyen la denegación de servicio (Dos) y la denegación de servicio distribuida (DDoS) , el ataque Man-in-the-middle , el rastreo de paquetes , la inundación TCP SYN , la inundación ICMP , la suplantación de IP e incluso la desfiguración web simple. [10]
Los abusos de red son actividades que violan la política de uso aceptable de una red y generalmente se consideran actividades fraudulentas que se cometen con la ayuda de una computadora. El SPAM es una de las formas más comunes de abuso de red, donde un individuo envía correos electrónicos a una lista de usuarios, generalmente con anuncios no solicitados o ataques de phishing, intentando usar la ingeniería social para adquirir información confidencial, como cualquier información útil para el robo de identidad , nombres de usuario, contraseñas, etc., haciéndose pasar por una persona confiable.
La ingeniería social es el acto de manipular a las personas para que realicen acciones o divulguen información confidencial, en lugar de hacerlo mediante la irrupción o el uso de técnicas de piratería informática. [11] Este método de engaño es comúnmente utilizado por personas que intentan entrar en los sistemas informáticos, haciéndose pasar por una parte autorizada o de confianza y capturando información de acceso del objetivo ingenuo. [12] El phishing por correo electrónico es un ejemplo común de la aplicación de la ingeniería social, pero no se limita a este único tipo de ataque.
Existe una variedad de contramedidas técnicas diferentes que se pueden implementar para frustrar a los cibercriminales y fortalecer los sistemas contra ataques. Los firewalls , basados en red o en host, se consideran la primera línea de defensa para proteger una red informática al establecer listas de control de acceso (ACL) que determinan qué servicios y tráfico pueden pasar a través del punto de control. [13]
Los antivirus se pueden utilizar para prevenir la propagación de códigos maliciosos. La mayoría de los virus informáticos tienen características similares que permiten la detección basada en firmas. También se utilizan métodos heurísticos como el análisis y la emulación de archivos para identificar y eliminar programas maliciosos. Las definiciones de virus se deben actualizar periódicamente, además de aplicar revisiones del sistema operativo , paquetes de servicio y parches para mantener seguros los equipos de una red. [14]
Las técnicas de criptografía se pueden emplear para cifrar información utilizando un algoritmo comúnmente llamado cifrado para enmascarar información en almacenamiento o tránsito. La tunelización, por ejemplo, tomará un protocolo de carga útil como el Protocolo de Internet (IP) y lo encapsulará en un protocolo de entrega cifrado a través de una Red Privada Virtual (VPN) , Capa de Sockets Seguros (SSL) , Seguridad de la Capa de Transporte (TLS) , Protocolo de Tunelización de Capa 2 (L2TP) , Protocolo de Tunelización Punto a Punto (PPTP) o Seguridad del Protocolo de Internet (IPSec) para garantizar la seguridad de los datos durante la transmisión. El cifrado también se puede emplear a nivel de archivo utilizando protocolos de cifrado como el Estándar de Cifrado de Datos (DES), Triple DES o el Estándar de Cifrado Avanzado (AES) para garantizar la seguridad de la información en el almacenamiento. [15]
Además, las pruebas de vulnerabilidad de red realizadas por técnicos o programas automatizados se pueden utilizar para realizar pruebas a gran escala o dirigidas específicamente a dispositivos, sistemas y contraseñas utilizados en una red para evaluar su grado de seguridad. [16] Además, las herramientas de monitoreo de red se pueden utilizar para detectar intrusiones o tráfico sospechoso tanto en redes grandes como pequeñas. [17]
Se pueden utilizar elementos de disuasión físicos, como cerraduras, tarjetas de acceso o dispositivos biométricos , para impedir que los delincuentes obtengan acceso físico a una máquina de una red. La protección con contraseñas sólidas, tanto para el acceso a un sistema informático como para el BIOS de la computadora, también son contramedidas eficaces contra los ciberdelincuentes que tienen acceso físico a una máquina. [18]
Otro elemento disuasorio es utilizar un host bastión de arranque que ejecute un navegador web en un entorno operativo limpio y seguro. El host está libre de cualquier malware conocido, donde los datos nunca se almacenan en el dispositivo y los medios no se pueden sobrescribir. Se garantiza que el núcleo y los programas estarán limpios en cada arranque. Se han utilizado algunas soluciones para crear navegadores de hardware seguros para proteger a los usuarios mientras acceden a la banca en línea.
El proyecto CT-SNAIR (Counter-Terror Social Network Analysis and Intent Recognition) utiliza el lenguaje de descripción de acciones terroristas (TADL) para modelar y simular redes y ataques terroristas . También modela vínculos identificados en patrones de comunicación compilados a partir de datos multimedia , y los patrones de actividad de los terroristas se compilan a partir de bases de datos de amenazas terroristas pasadas . [19] A diferencia de otros métodos propuestos, CT-SNAIR interactúa constantemente con el usuario, que utiliza el sistema tanto para investigar como para refinar hipótesis. [19]
Se compilan y procesan datos multimedia, como voz, texto y datos de sesión de red. A través de esta compilación y procesamiento, se extraen nombres, entidades, relaciones y eventos individuales de los datos multimedia. Esta información se utiliza luego para realizar un análisis de red social en la red criminal, a través del cual el usuario puede detectar y rastrear amenazas en la red. El análisis de red social influye directamente y es influenciado por el proceso de reconocimiento de intenciones, en el que el usuario puede reconocer y detectar amenazas. En el proceso CT-SNAIR, se compilan datos y transacciones de ataques anteriores o escenarios forenses para formar una lista secuencial de transacciones para un escenario de terrorismo determinado.
El proceso CT-SNAIR también incluye la generación de datos a partir de escenarios hipotéticos . Dado que son imaginados y generados por computadora, los escenarios hipotéticos no tienen ningún dato de transacción que represente escenarios de terrorismo. [19] Diferentes tipos de transacciones se combinan para representar los tipos de relaciones entre individuos.
El producto final, o red social de destino, es un gráfico multiplex ponderado en el que los tipos de aristas (enlaces) se definen por los tipos de transacciones dentro de la red social. [20] Los pesos dentro de estos gráficos están determinados por el algoritmo de extracción de contenido, en el que cada tipo de enlace se considera como un gráfico separado y "se introduce en los algoritmos de la red social en parte o como un todo". [20] Los vínculos entre dos individuos pueden determinarse por la existencia (o falta de) de las dos personas mencionadas dentro de la misma oración en los datos multimedia compilados o en relación con el mismo grupo o evento. [21]
El componente final del proceso CT-SNAIR es el Reconocimiento de Intenciones (IR). El objetivo de este componente es indicar a un analista las amenazas que puede contener un flujo de transacciones. [22] El Reconocimiento de Intenciones se divide en tres subcategorías: detección de “escenarios objetivo conocidos o hipotéticos”, priorización de estos escenarios objetivo e interpretación “de la detección resultante”. [22]
El nivel óptimo de ciberseguridad depende en gran medida de los incentivos que tienen los proveedores y los que tienen los perpetradores. Los proveedores toman sus decisiones basándose en la rentabilidad económica y el costo de una mayor seguridad, mientras que las decisiones de los perpetradores se basan en la ganancia económica y el costo del cibercrimen. El dilema del prisionero potencial , los bienes públicos y las externalidades negativas se convierten en fuentes de fallas del mercado de ciberseguridad cuando los retornos privados de la seguridad son menores que los retornos sociales. Por lo tanto, cuanto mayor sea la relación entre el beneficio público y el privado, más fuerte será la justificación para promulgar nuevas políticas públicas para realinear los incentivos de los actores para luchar contra el cibercrimen con una mayor inversión en ciberseguridad. [23]
En los Estados Unidos, una serie de estatutos jurídicos definen y detallan las condiciones para el procesamiento de un delito cibernético y se utilizan no solo como contramedida legal, sino también como control de conducta para prevenir la comisión de un delito cibernético. Muchas de las disposiciones descritas en estas leyes se superponen con las de cada una de ellas.
La Ley de Fraude y Abuso Informático, aprobada en 1986, es una de las leyes más amplias que se utilizan en Estados Unidos para combatir el cibercrimen. Ha sido modificada varias veces, la más reciente por la Ley Patriota de 2002 y la Ley de Restitución y Control del Robo de Identidad de 2008. En ella se incluye la definición de “ordenador protegido” que se utiliza en todo el sistema jurídico estadounidense para definir con más detalle el espionaje informático, la intrusión en un ordenador y la toma de información gubernamental, financiera o comercial, la intrusión en un ordenador gubernamental, la comisión de fraude con un ordenador protegido, el daño a un ordenador protegido, el tráfico de contraseñas, la amenaza de dañar un ordenador protegido, la conspiración para cometer un cibercrimen y las sanciones por infracción. [24] La actualización de 2002 de la Ley de Fraude y Abuso Informático amplía la ley para incluir la protección de “la información de cualquier ordenador protegido si la conducta implica una comunicación interestatal o extranjera”. [8]
La Ley de Derechos de Autor del Milenio Digital aprobada en 1998 es una ley de derechos de autor de los Estados Unidos que penaliza la producción y difusión de tecnología, dispositivos o servicios destinados a eludir la gestión de derechos digitales (DRM) y la elusión del control de acceso. [25]
La Ley de Privacidad de las Comunicaciones Electrónicas de 1986 amplía las restricciones gubernamentales a las escuchas telefónicas. Esta ley se considera generalmente desde la perspectiva de lo que las autoridades pueden hacer para interceptar las comunicaciones, pero también se refiere a cómo una organización puede redactar sus políticas de uso aceptable y monitorear las comunicaciones. [26]
La Ley de Comunicaciones Almacenadas, aprobada en 1986, se centra en proteger la confidencialidad, integridad y disponibilidad de las comunicaciones electrónicas que se encuentran actualmente en algún tipo de almacenamiento electrónico. Esta ley se redactó con el propósito de proteger la privacidad de los correos electrónicos y otras comunicaciones electrónicas. [27]
La ley sobre el robo de identidad y el robo de identidad agravado es una subsección de la ley sobre el fraude de identificación y autenticación. Define las condiciones en las que una persona ha violado las leyes sobre el robo de identidad. [28]
El robo de identidad fue declarado ilegal por la Ley federal de disuasión del robo y usurpación de identidad de 1998 (ITADA, por sus siglas en inglés). Los delincuentes transfieren o utilizan a sabiendas, sin autorización legal, “un medio de identificación de otra persona con la intención de cometer, o ayudar a instigar, cualquier actividad ilegal que constituya una violación de la ley federal o que constituya un delito grave según cualquier ley estatal o local aplicable”. [29] Las sanciones de la ITADA incluyen hasta 15 años de prisión y una multa máxima de $250,000 y reflejan directamente la cantidad de daño causado por las acciones del delincuente y su grado de planificación e intención. [8]
La Ley Gramm-Leach-Bliley (GLBA) exige que las instituciones financieras y las agencias de crédito aumenten la seguridad de los sistemas que contienen información personal de sus clientes. Establece que todas las instituciones financieras “diseñarán, implementarán y mantendrán salvaguardas para proteger la información de los clientes”. [30]
La Ley de Prevención de Software Espía en Internet (I-SPY) prohíbe la implementación y el uso de software espía y adware . La I-SPY también incluye una sentencia por “acceder intencionalmente a una computadora con la intención de instalar software no deseado”. [31]
El artículo 1029 del título 18 del Código de los Estados Unidos describe 10 delitos diferentes que un infractor podría cometer en relación con el fraude de dispositivos. Estos delitos incluyen:
[32]
La Ley CAN-SPAM de 2003 establece las primeras normas nacionales de los Estados Unidos para el envío de correo electrónico comercial y exige que la Comisión Federal de Comercio (FTC) haga cumplir sus disposiciones. [33] [34]
El estatuto de fraude electrónico descrito en el título 18 del Código de los Estados Unidos, artículo 1343, se aplica a los delitos cometidos a través de diferentes tipos de medios electrónicos, como el teléfono y las comunicaciones en red. [35]
El estatuto de interferencia de las comunicaciones que figura en el título 18 del Código de los Estados Unidos, artículo 1362, define una serie de actos en virtud de los cuales una persona puede ser acusada de un delito relacionado con las telecomunicaciones, entre ellos:
[36]
Las contramedidas conductuales también pueden ser una herramienta eficaz para combatir el cibercrimen. Las campañas de concienciación pública pueden educar al público sobre las diversas amenazas del cibercrimen y los numerosos métodos que se utilizan para combatirlo. También en este caso, las empresas pueden hacer uso de políticas de TI para ayudar a educar y capacitar a los trabajadores sobre la importancia y las prácticas utilizadas para garantizar la seguridad electrónica, como el uso de contraseñas seguras, la importancia de aplicar parches regularmente para detectar vulnerabilidades de seguridad, las señales de ataques de phishing y códigos maliciosos, etc. [37]
California, Virginia y Ohio han implementado servicios para víctimas de robo de identidad, aunque no se les ha dado mucha publicidad. California tiene un registro para víctimas de robo de identidad confirmado. Una vez registradas, las personas pueden solicitar a los agentes de la ley que llamen a un número que funciona las 24 horas, todo el año, para "verificar que están diciendo la verdad sobre su inocencia". [38] En Virginia y Ohio, a las víctimas de robo de identidad se les emite un pasaporte especial para demostrar su inocencia. Sin embargo, estos pasaportes corren el mismo riesgo que cualquier otra forma de identificación, ya que pueden llegar a duplicarse. [38]
Las agencias financieras como los bancos y las agencias de crédito están empezando a exigir la verificación de datos que los ladrones de identidad no pueden obtener fácilmente. Estos datos incluyen las direcciones anteriores de los usuarios y la información del impuesto sobre la renta. [38] En un futuro próximo, también incluirá los datos localizados mediante el uso de la biometría . La biometría es el uso de "métodos automatizados para reconocer de forma única a los humanos basándose en ... rasgos físicos o de comportamiento intrínsecos". [38] Estos métodos incluyen escaneos de iris , identificación de voz y autenticación de huellas dactilares . La First Financial Credit Union ya ha implementado la biometría en forma de autenticación de huellas dactilares en sus cajeros automáticos para combatir el robo de identidad. Con un propósito similar, Gran Bretaña ha anunciado planes para incorporar chips de computadora con datos biométricos en sus pasaportes. [38] Sin embargo, el mayor problema con la implementación de la biometría es la posibilidad de invasión de la privacidad.
{{cite book}}
: CS1 maint: varios nombres: lista de autores ( enlace )