240 likes | 359 Views
“ El proyecto de ley de Delitos Informáticos desde la perspectiva de las políticas de Seguridad Informática implementadas en la Administración Pública Nacional” Dr. Lisandro M. Teszkiewicz Septiembre 2007. ¿Qué se está haciendo en el Estado para proteger la información?.
E N D
“El proyecto de ley de Delitos Informáticos desde la perspectiva de las políticas de Seguridad Informática implementadas en la Administración Pública Nacional” Dr. Lisandro M. Teszkiewicz Septiembre 2007
¿Qué se está haciendo en el Estado paraproteger la información? Se ha aprobado la DA 669/2004 que obliga a los organismos alcanzados a dictar o adecuar la Política de Seguridad de la Información, crear un Comité de Seguridad y asignar las responsabilidades en la materia. La ONTI ha dictado una Política de Seguridad Modelo, basado en el Estándar ISO/IRAM 17799. Desde 1999 funciona en la ONTI el “ArCERT”, Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina.
¿Qué es ArCERT? Es una unidad de respuesta ante incidentes en redes que centraliza y coordina los esfuerzos para el manejo de los incidentes de seguridad que afecten los recursos informáticos de la Administración Pública Nacional, es decir cualquier ataque o intento de penetración a través de sus redes de información. ArCERT cumple funciones principalmente de naturaleza técnica. ArCERT representa a nuestro país en foros internacionales (FIRST, OEA, MERCOSUR) ArCERT mantiene absoluta confidencialidad sobre los organismos implicados en los incidentes de seguridad y mantiene un WEB site, con links hacia las diversas herramientas defensivas, reportes de incidentes y toda información considerada de utilidad.
PREVENTIVAS Y CORRECTIVAS Actividades de ArCERT Coordinación, análisis y respuesta a incidentes Asistencia para el tratamiento de incidentes Políticas de Seguridad de la Información Desarrollo de productos y servicios a la APN
PREVENTIVAS Y CORRECTIVAS Actividades de ArCERT Difusión de Información • Lista de Seguridad • Lecturas Recomendadas • Sitio Web Público • Participación en Seminarios y Eventos Cursos de Capacitación Destinados a técnicos y usuarios Concientización general
Tipos más comunes de casos tratados • Desfiguración de Páginas Web (Defacements) ) • Phishing • Código Malicioso (Malware/ Worm / Virus) • Botnets • Intrusiones
Relación entre el Derecho e Internet • Regla: Las leyes del llamado “mundo real” se aplican al “mundo virtual”.... • Excepciones: es necesario dictar nuevas leyes o bien adecuar las vigentes respecto a algunas cuestiones... • Delitos Informáticos • Firma Digital • Protección de Datos Personales • Protección Jurídica del Software y las Bases de Datos
Consideraciones Generales Delitos Informáticos • El Código Penal • Catálogo cerrado de normas (numerus clausus) • Garantías Constitucionales • El Principio de legalidad: • Ningún hecho puede ser castigado si su punibilidad no está fijada en la ley antes que la conducta haya sido realizada • Prohibición de la analogía: • Si una conducta no se corresponde exactamente con la prohibición legislativa, el juez no puede aplicar otra regla jurídica aunque esté prevista para una conducta similar.
PREGUNTA: ¿Puede interpretarse quela “información” es una cosa? Delitos contra la Propiedad (I) • Hurto • “Será reprimido con prisión o reclusión de un mes a dos años el que se apoderare ilegítimamente de una cosa mueble, total o parcialmente ajena” (Art. 162 CP)
Jurisprudencia – Conexión clandestina a internet • “... Mediante la conexión clandestina, el imputado se apropió de la señal que posibilita el uso de la Internet, provisto por la empresa "Fibertel" • “... lo que se transmite por cable coaxil no es energía eléctrica. Se trata de señales digitales, obtenidas de satélites, que se redistribuyen por una red de cable coaxil, a particulares abonados” • “...interpretar que este moderno mecanismo de comunicación es una "cosa" o una "energía" o una "fuerza natural" es pura interpretación analógica, lo que no es admisible en derecho penal” • “... La transmisión por cable coaxil es, en síntesis, un servicio del que no resulta desapoderado el sujeto pasivo, aún concediendo que ello le cause perjuicio, como servicio no cobrado (no pierde algo que posee, sino que deja de ganar por la administración de lo que posee)." • “... Debo señalar que puede resultar escandaloso considerar atípica la conducta de quien se apropia indebidamente de la señal que provee el servicio de Internet, más lo cierto es que la legislación no avanza a la velocidad de la tecnología, dejando fuera del alcance del derecho situaciones como la presente."
PREGUNTA: ¿Se puede inducir al errora una máquina? Delitos contra la Propiedad (II) • Estafa • “Será reprimido con prisión o reclusión de un mes a seis años el que defraudare a otro... Valiéndose de cualquier ardid o engaño” (Art. 172 CP) • Requisitos: • Ardid • Error • Disposición patrimonial perjudicial
Jurisprudencia – Videojuegos y tarjetas de crédito “... En el caso están ausentes las notas típicas de la estafa al no existir error que determine a una persona a realizar una disposición patrimonial perjudicial” • Videojuegos • Tarjetas de Crédito POSTURA 1. “... Medió un ardididóneo, tal como fue la obtención del plástico y código personal para luego utilizarlo en la maniobra fraudulenta” POSTURA 2. “... No hay una disposición patrimonial errada sino una simple vulneración de un elemento de seguridad para obtener el dinero... Una máquina no puede ser engañada, pues no toma decisiones, sino que actúa conforme a pautas de programación”
PREGUNTA: ¿Se puede entender incluido a los bienes intangibles (software o datos)? Delitos contra la Propiedad (III) • Daño • “Será reprimido con prisión o reclusión de quince días a un año, el que destruyere, inutilizare, hiciere desaparecer, o de cualquier modo dañare una cosa mueble o inmueble o un animal...” (Art. 183 CP)
Jurisprudencia - Alteración de un programa de computación La violación del sistema de seguridad de una página Web, reemplazándola por otra -en el caso, un grupo de hackers alteró la página de inicio de la Corte Suprema de Justicia agregándole una alusiva al aniversario de la muerte de un periodista- no encuadra dentro de la figura penal del delito de daño prevista en el art. 183 y 184 inc. 5 del Cód. Penal, pues no es dable considerar a la citada página Web o a los datos o sistemas informáticos como "cosa" en los términos del art. 2311 del Cód. Civil, en tanto por su naturaleza no son objetos corpóreos ni pueden ser detectados materialmente. (Juzgado Nacional de la Instancia en lo Criminal y Correccional Federal Nro. 12, 20/03/2002, LA LEY, 2002-C, 23)
Delitos contra la Propiedad (IV) • Usurpación de propiedad intelectual • Falsificación: reproducción idéntica de ejemplares legítimos. (art.72 inc.b). • Copia con fines comerciales. (art. 72 inc.a). • Copia ilícita efectuada por usuario corporativo (art.72 inc.a). • Copia ilícita por usuario individual (art.72 inc.a). • Edición abusiva (art. 72 inc.d). • Distribución ilícita (art.72 inc.a).
Delitos contra la Intimidad (I) • Delitos que afectan el domicilio • “Será reprimido con prisión de seis meses a dos años... El que entrare en morada o casa de negocio ajena, en sus dependencias o en el recinto habitado por otro, contra la voluntad expresa o presunta de quien tenga derecho a excluirlo” (Art. 150 CP) • Delitos que afectan la correspondencia epistolar • “Será reprimido con prisión de quince días a seis meses, el que abriere indebidamente una carta, un pliego cerrado o un despacho telegráfico, telefónico o de otra naturaleza que no le esté dirigido; o se apoderare indebidamente de una carta, de un pliego, de un despacho o de otro papel privado, aunque no esté cerrado; o suprimiere o desviare una correspondencia que no le esté dirigida” (Art. 153 CP)
Delitos contra la Intimidad (II) • La Ley de Protección de Datos Personales: • Art. 117 bis • Insertar o hiciera insertar a sabiendas datos falsos en un archivo de datos personales. • Proporcionar a un tercero a sabiendas información falsa contenida en un archivo de datos personales. • Art. 157 bis • A sabiendas e ilegítimamente, o violando sistemas de confidencialidad y seguridad de datos, acceder, de cualquier forma, a un banco de datos personales; • Revelar a otro información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.
¿Qué modificaría el actual Proyecto de Ley? El Proyecto de Ley El texto aprobado por Diputados, así como las observaciones remitidas tanto a la Cámara de Diputados como al Senado de la Nación, se pueden consultar en: http://www.sgp.gov.ar/contenidos/onti/onti.html
Los Sistemas y Datos Informáticos no poseen una protección especifica. Ni aún los del Estado o de Prestadores de Servicios Públicos • Pena a quien “ilegítimamente (…) accediere por cualquier medio (…) a un sistema o dato informático de acceso restringido.” Agravando la pena cuando sea “en perjuicio del sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos.” • El Inc. 2° Art. 157 Bis CP pena a quien revele “información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar”, pero no la adulteración de esos datos. • Mantiene la prohibición de revelar la información e incluye la pena a quien “Indebidamente insertare o hiciere insertar datos en un archivo de datos personales.” Privacidad de las Personas • La comunicación electrónica goza de la misma protección legal que la correspondencia epistolar y de telecomunicaciones. • El Art. 18 CN garantiza que “…El domicilio es inviolable, como también la correspondencia epistolar y los papeles privados”
Actualmente existe un intenso debate doctrinario y jurisprudencial sobre el encuadre delictivo de los desapoderamientos realizados por medios electrónicos. Hay quienes ven un fraude, quienes dicen que es un hurto y quienes sostienen que no es delito. • Se intenta resolver el debate al establecer pena para “el que defraudare a otro mediante cualquier técnica de manipulación y actuando sin la autorización del legítimo usuario del equipamiento …” • Frente al daño a un sistema informático, se abre el debate de si puede ser considerado una cosa mueble, ya que la legislación actual solo proteje “una cosa mueble o inmueble o un animal ”. Si el juez entiende que un sistema no es una “cosa” entonces la conducta es impune. • La distribución de “virus” y “troyanos” no está penada • Se resuelve el debate al extender la protección a “datos, documentos o sistemas informáticos” • Se incluye también la pena para quien comercialice o distribuya “cualquier programa destinado a causar daños (…) en datos, documentos o sistemas informáticos” • Como en el resto de los daños se agrava cuando sean contra el patrimonio público. Protección de la Propiedad
Actualmente se castiga la interrupción de la comunicación telefónica o telegráfica, que afecte la seguridad pública. • Se extiende la protección a “… toda comunicación establecida por cualquier medio …” Seguridad Pública
Actualmente la legislación protege los “objetos destinados a servir de prueba ante la autoridad competente, registros o documentos ”. Frente a la prueba informática se abre el debate de si puede ser considerada “objeto” o registro o documento. Queda entonces al arbitrio del Juez si esa prueba esta protegida contra la destrucción. • Se zanja el debate estableciendo que la protección abarca “objetos destinados a servir de prueba ante la autoridad competente, registros, documentos, cualquiera fuese el soporte en el que estén contenidos ” • La misma protección se extiende contra la falsificación de documentos electrónicos, o informáticos, cuando se establece que “El término documento comprende toda representación de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo.” Protección de Pruebas
Actualmente se castiga: • la producción o publicación de imágenes pornográficas en que se exhibieran menores de dieciocho años • la organización de espectáculos pornográficos con participación de menores de dieciocho años. • la distribución de “imágenes pornográficas cuyas características externas hiciere manifiesto que en ellas se ha grabado o fotografiado la exhibición de menores de dieciocho años de edad al momento de la creación de la imagen ” • a quien facilitare el acceso a espectáculos pornográficos o suministrare material pornográfico a menores de catorce años. • Con la reforma se clarifican los alcances de la figura ampliando las conductas prohibidas, para que alcancen no solo la producción y publicación de imágenes y la organización de espectáculos sino a toda la cadena generadora de pornografía infantil. Así el nuevo texto alcanza a quien facilitare, divulgare, financiare, ofreciere, comerciare, distribuyere e incluso incorpora la tenencia con fines de comercialización. Protección a la Infancia
¡Muchas Gracias! lisandrot@sgp.gov.ar info@arcert.gov.ar www.sgp.gov.ar www.arcert.gov.ar