News

La ciberdelincuencia y la ley: reseña de la legislación británica sobre la delincuencia informática

Introducción

En varias oportunidades en el transcurso de los últimos años, hemos presentado en nuestro weblog (4 noviembre 2005; 12 mayo 2006; 26 enero 2006; 28 julio 2006; 15 septiembre 2006) comentarios acerca de diferentes aspectos de la legislación británica sobre la delincuencia informática y políticas sobre la ciberdelincuencia. Este artículo tiene el propósito de brindar una reseña sobre la legislación británica respecto a la delincuencia informática.

El escenario de los programas maliciosos

Ya han pasado más de 20 años desde la aparición del primer virus informático. Desde entonces, la naturaleza de las amenazas se ha modificado de manera muy significativa, como respuesta a los cambios tecnológicos, a la popularidad de los ordenadores en cada vez más segmentos de la sociedad, y al cada vez mayor número de usuarios. En cualquier campo de las actividades humanas, las nuevas generaciones se basan en las de sus predecesores y aprenden de experiencias pasadas, aplican técnicas que tuvieron éxito y también tratan de abrir nuevas sendas. Esto también se aplica a los que crean códigos maliciosos: las sucesivas generaciones de los creadores de malware han redefinido el escenario de las amenazas.

Hasta hace unos pocos años, los virus y otros programas maliciosos se usaban para llevar a cabo actos aislados de vandalismo informático o actos antisociales a través de instrumentos de alta tecnología. La mayoría de los virus se limitaban a infectar otros discos o programas. Y el “daño” solía definirse en términos de pérdida de datos cuando un virus borraba o (menos frecuente) corrompía los datos guardados en los discos afectados.

Pero todo esto ha cambiado. Hoy la ciberdelincuencia es un tema candente, ya que se diseñan programas maliciosos para obtener dinero de manera ilegal. La evolución de la World Wide Web ha sido uno de los factores fundamentales para que se dé este cambio. Ahora las empresas y las personas dependen en gran manera de Internet, y el número de transacciones financieras en la web sigue incrementándose. Las redes criminales se han dado cuenta de las grandes oportunidades de ganar dinero mediante los códigos maliciosos y muchas de las actuales amenazas están elaboradas a petición del cliente o están desarrolladas de manera expresa para venderse a otros delincuentes.

La delincuencia es una parte inherente de la sociedad moderna y está presente en casi cada aspecto de la vida. Ya no sorprende, por lo tanto, que el uso de la informática conlleve el abuso, puesto que ambos se han desarrollado de manera paralela. Además, el hecho de que cada vez más áreas de nuestra vida dependan de los ordenadores, significa para los delincuentes mayores oportunidades para usar la tecnología.

Como respuesta a los actos delictivos a los que se enfrenta, la sociedad siempre trata de encontrar la forma de prevenirlos y de castigar a sus autores. En primer lugar, esto significa crear una legislación que de manera específica condene ciertas actividades como ilegales.

Este artículo intenta dar una mirada general a la evolución de la legislación británica sobre la delincuencia informática.

La delincuencia informática

Los delitos informáticos pueden clasificarse en dos categorías. Primero, hay delitos tradicionales, en los que el uso de un equipo no es intrínseco al delito mismo, y no constituye más que una herramienta usada para delinquir. Podría ser el caso, por ejemplo, de un chantaje, cuando un mensaje de correo se envía a una víctima en vez de una carta. Segundo, hay delitos informáticos específicos.

Para ilustrar este punto tomaremos el caso del troyano Aids Information. A finales de 1989 una compañía con el nombre de “PC Cyborg” distribuyó este troyano a través de discos floppy. El troyano codificaba los contenidos del disco duro de la víctima después de 90 veces de reiniciado el equipo, y dejaba un archivo README que contenía una cuenta y direcciones de correo postal en Panamá adonde debía enviarse el pago exigido. El Dr Joseph Popp, presunto autor del troyano fue posteriormente extraditado al Reino Unido para enfrentar en un juicio las acusaciones de chantaje y daños a sistemas informáticos (finalmente, debido a su comportamiento en la corte, se le declaró incapacitado para hacer frente al juicio y fue liberado).

Ley sobre el uso indebido de ordenadores

El primer aspecto de la legislación británica diseñado de manera específica para tratar el mal uso de ordenadores fue la Ley sobre el uso indebido de ordenadores de 1990. Esta ley surgió como respuesta a la creciente preocupación sobre que la legislación entonces vigente resultaba inadecuada para tratar con los ciberdelincuentes. Este tema adquirió amplia resonancia por el fracaso en condenar a Stephen Gold y Robert Schifreen, quienes ingresaron ilícitamente en el servicio BT’s Prestel en 1984, acusados bajo la Ley de falsificación y falsedad de 1981. La Corte de apelación los absolvió y este veredicto fue mantenido por la cámara alta del parlamento.

La Ley sobre el uso indebido de ordenadores de 1990, ‘una ley para tomar previsiones que permitan asegurar los materiales informáticos contra accesos ilegítimos o su modificación y para propósitos relacionados’, delineó tres delitos de uso indebido de ordenadores.

  1. Acceso ilegítimo a materiales informáticos
  2. Acceso ilegítimo con intención de cometer o facilitar la perpetración de otros delitos
  3. Modificación ilegítima de materiales informáticos

Las penas máximas de reclusión especificadas por la ley para cada delito eran de seis meses, cinco años y cinco años, respectivamente (Las enmiendas a la ley de uso indebido de ordenadores, introducida en la Ley de policía y justicia de 2006 se tratan líneas abajo).

La primera acusación a un individuo por la propagación de virus informáticos data de 1995. Christopher Pile, conocido como “Black Baron” se declaró culpable de once cargos bajo los artículos 2 y 3 de la Ley de uso indebido de ordenadores y recibió una condena de 18 meses de encarcelamiento. Pile creó los virus Pathogen y Queeg. Ambos programas maliciosos implementaban su motor polimorfo conocido como SMEG (siglas en inglés de generador de codificación metamórfico simulado), que los hacía difíciles de detectar; ambos programas maliciosos estaban diseñados para eliminar porciones significativas del disco duro del ordenador infectado. Pile expuso los virus en paneles de avisos camuflados como juegos y, en uno de los casos, como un programa antivirus. Se estima que el coste de los daños causados por estos virus se elevó a 1 millón de libras esterlinas (The Independent, 16 noviembre 1995).

Otra condena importante bajo esta ley fue la de Simon Vallor. Vallor se declaró culpable de crear y propagar los gusanos de correo masivo Gozar, Redesi y Admirer. Estos hechos se tipificaban como delitos en el artículo 3 de la Ley sobre uso indebido de ordenadores. En enero de 2003 lo condenaron a dos años en prisión. Se estima que estos gusanos infectaron 27.000 ordenadores en 42 países (The Register, 21 enero 2003).

Correo no deseado, programas maliciosos y la legislación

Es un hecho que cada usuario de una cuenta de correo se ve obligado a enfrentarse a mensajes no deseados o spam. Sin embargo, el spam no se limita a la molestia que representa, a la pérdida de ancho de banda o a contenidos inapropiados. El spam también se usa como medio para propagar códigos maliciosos; los mensajes spam a menudo se usan como trampolines para las descargas del tipo “drive-by”, ya que contienen vínculos a sitios web infectados con códigos maliciosos. El spam también constituye el mecanismo primario al que recurren los ladrones de contraseñas y datos confidenciales (phishers) para conducir a sus víctimas a falsos sitios web donde se les sonsaca sus datos confidenciales.

Para procesar y tratar el problema que representa el spam, el departamento de Comercio e industria introdujo los (Reglamentos sobre privacidad y electrónica (EC Directive) 2003). La aplicación de estos reglamentos, la implementación en el Reino Unido de la directiva EU 2002/58/EC (cada estado miembro de la Unión Europea tiene la libertad para implementar esta directiva por sí mismo), está a cargo del Inspector de Informática, una autoridad independiente en el reino Unido creada para promover el acceso a información oficial y para proteger la información personal (Los lineamientos relacionados con estos reglamentos están disponibles en el sitio web Information Commissioner’s Office).

Según estos reglamentos, las compañías deben contar con el permiso de un individuo antes de enviarle mensajes de correo o mensajes de texto (la ley también se aplica a llamadas telefónicas y envío de faxes). Respecto al tema del correo electrónico, la ley establece que ‘un individuo no puede transmitir ni instigar a la transmisión de comunicaciones no deseadas con el propósito de marketing directo mediante medios electrónicos a menos que el destinatario del mensaje electrónico haya notificado con antelación al remitente su consentimiento para que se le envíe estas comunicaciones, o a instancias del remitente.’

Sin embargo, hay importantes limitaciones: en primer lugar, los reglamentos sólo se aplican a los mensajes enviados a la dirección de correo de un individuo, no a su dirección profesional o de negocios. Las penas están también limitadas, cuando se las compara con las penas a delitos enmarcados por la Ley sobre el uso indebido de ordenadores. Se debe dar parte al Inspector de informática sobre las grietas en los reglamentos, ya que es esta instancia quien decide si una organización acusada debe ir a juicio o no. La organización acusada puede recibir multas de hasta 5.000 libras esterlinas en una corte de primera instancia, o de hasta una cantidad indefinida si el caso pasa a un jurado.

También existe una gran limitación. La legislación solo se aplica a los remitentes dentro del Reino Unido. La mayoría de los mensajes spam se originan fuera de las fronteras del Reino Unido (las mayores fuentes actuales de spam son Rusia y los Estados Unidos) (Source: Kaspersky Security Bulletin: Spam Evolution 2008), de manera que el impacto de la legislación británica en los ciberdelincuentes será mínimo o ninguno. Esto resalta un problema clave relacionado con todas las medidas diseñadas para tratar con los ciberdelincuentes: las restricciones geopolíticas en las entidades legislativas y de aplicación de la ley significan que son incapaces de operar fuera de los límites y las jurisdicciones legales, en contraposición a los ciberdelincuentes.

Vino nuevo en botella vieja

Como se dijo en la introducción, la naturaleza de la amenaza que significan los programas maliciosos para las empresas y los individuos ha cambiado de manera drástica desde la aparición de los virus informáticos en 1986. Se ha producido un gigantesco cambio tecnológico, y la tecnología se ha infiltrado en casi cada aspecto de nuestras vidas. La evolución de los mercados virtuales ha llevado a un cambio en la motivación de los autores de malware y al surgimiento de un ‘mercado negro’ en el que los programas maliciosos y la información confidencial se venden y compran con fines de lucro.

A pesar de que las leyes tienen un marco de términos generales para poder abarcar tantos delitos actuales y futuros como sea posible, la legislación tiende a quedarse atrás debido a la rapidez con la que las tecnologías evolucionan. La legislación desarrollada para tratar con los intentos de los ciberdelincuentes de instalar virus o penetrar en sistemas informáticos no es necesariamente apropiada para enfrentarse a los modernos y sofisticados programas maliciosos diseñados para robar información, enviar mensajes spam o colapsar sistemas.

En noviembre de 2004, un juez dictaminó que un adolescente acusado de hacer colapsar un servidor enviando millones de mensajes no había infringido la Ley de uso indebido de ordenadores, ya que la actividad no involucró cambios ilegítimos a un ordenador, tal como se especifica en dicha ley (viruslist.com, 4 noviembre 2005). Aunque la Corte de apelaciones posteriormente anuló ese veredicto (viruslist.com, 12 mayo 2006), este caso favoreció la postura de quienes cuestionan la efectividad de una ley que fue escrita en una era dominada por ahora obsoletas tecnologías, como DOS, discos floppy y paneles de avisos.

El Conde de Northesk, miembro del All-Party Parliamentary Internet Group, planteó un proyecto de ley (Private Members’ Bill) en 2002 para enmendar la Ley sobre uso indebido de ordenadores, con el objetivo particular de clarificar la ley sobre los ataques DoS (negación de servicio). Este intento fracasó, pero reforzó la conciencia de actualizar la legislación vigente.

La Ley sobre policía y justicia de 2006 [PDF 748Кb] (que abarca temas más amplios que la ciberdelincuencia) incluye enmiendas a la Ley sobre uso indebido de ordenadores. La máxima pena de encarcelamiento según el artículo 1 de la Ley original se incrementó de seis meses a dos años. El artículo 3 de la Ley (‘modificaciones ilegítimas a materiales informáticos’) se modificó, y actualmente dice: ‘actos ilegítimos con la intención de afectar, o descuidados que afecten las operaciones de un ordenador, etc.’, y contempla una sentencia máxima de diez años.

La Ley también incluye una sección llamada ‘Hacer, proveer u obtener artículos para utilizar en delitos de uso indebido de ordenadores’, con una sentencia máxima de dos años. Esta sección establece que:

  1. Se considera que una persona es culpable de un delito si elabora, adapta, provee u ofrece proveer cualquier artículo que sea usado para cometer, o participar en la comisión, de un delito estipulado en los artículos 1 o 3.
  2. Se considera que una persona es culpable de un delito si provee u ofrece proveer cualquier artículo que pueda sea usado para cometer, o participar en la comisión, de un delito estipulado en los artículos 1 o 3.
  3. Se considera que una persona es culpable si adquiere cualquier artículo con el propósito de proveerlo para la comisión de un delito, o participar en la comisión, de un delito estipulado en los artículos 1 o 3.
  4. Este artículo incluye cualquier programa o información guardado en formato digital.

Este artículo ha generado muchas críticas. Su intención es claramente la de condenar como ilegal el uso de herramientas piratas. Sin embargo, podría aplicarse también al uso de herramientas legítimas que podrían usarse de manera indebida para fines de piratería, o programas peligrosos (riskware) que podrían usarse para actividades legítimas o ilegítimas. Hay mucha gente, incluyendo algunas del All-Party Parliamentary Internet Group que desean que se enmiende este artículo de la Ley.

Convención europea sobre la ciberdelincuencia

Tal como se mencionó anteriormente, una de las limitaciones más serias de la legislación sobre delincuencia informática es su limitada capacidad para enfrentar el fenómeno global de la ciberdelincuencia. La Convención europea sobre la delincuencia), diseñada para proveer un marco internacional común para tratar con la ciberdelincuencia, fue aprobada por la Comisión de Ministros del Consejo de Europa de noviembre de 2001.

El tratado es de amplio alcance y abarca todos los aspectos de la ciberdelincuencia, incluyendo accesos ilegales, intercepción ilegal de datos, interferencia de datos, interferencia de sistemas, uso indebido de dispositivos, falsificación relacionada con la informática, fraudes relacionados con la informática, delitos relacionados con pornografía infantil y delitos relacionados con violaciones de los derechos de autor y derechos relacionados. El tratado también está diseñado para proveer un marco común para la aplicación de la ley con los ciberdelincuentes y para impulsar el intercambio de información entre los miembros signatarios.

Hasta la fecha, 46 países han firmado este tratado (Convention on Cybercrime CETS No. 185, status as of : 26/3/2009). Sin embargo, sólo 24 países lo han ratificado. También hay algunas ausencias notables entre los signatarios, incluyendo China, varios países latinoamericanos, y Rusia. Todos estos países figuran entre las fuentes más importantes de códigos maliciosos. El reino Unido todavía no ha ratificado este tratado, pero se espera que lo haga en 2009 Hansard [debates parlamentarios], 27 enero 2009).

Seguridad personal en Internet

El debate sobre las medidas necesarias para enfrentar la ciberdelincuencia se puso más candente con la publicación del informe sobre ciencia y tecnología de la Cámara Alta del Parlamento Británico sobre Seguridad personal en Internet [PDF 2,78Мb] en agosto de 2007. Este informe criticaba al gobierno británico por colocar la responsabilidad principal de la seguridad en Internet en manos de los mismos individuos. Una posición, insistían, que ‘agrava la percepción de que Internet es una tierra de nadie’. Describían Internet como ‘un parque de diversiones para los delincuentes’ y sugerían que ‘muchas organizaciones con intereses en Internet podrían hacer más para promover la seguridad personal en Internet’, incluyendo a los fabricantes de hardware y software, ISPs, negocios en línea, bancos, la policía y el gobierno.

La comisión sugirió que todas las partes deberían responsabilizarse por la seguridad en Internet. Debería obligarse a las compañías a notificar sobre cualquier usuario afectado con una fuga de información (por ejemplo, si uno de los servidores de la compañía sufre un ataque pirata). Los ISPs deberían tomar medidas respecto a los equipos atacados que se usan para conectarse a Internet a través del ISP. Los fabricantes de software deberían asumir la responsabilidad por las grietas de seguridad en sus productos, y el gobierno debería desarrollar un sistema de precintos de calidad de seguridad en las aplicaciones y contenidos en línea. Los bancos deberían, sostuvo la comisión, asumir la responsabilidad de las pérdidas sufridas por los fraudes en línea. Asimismo, la comisión urgió al gobierno a cumplir con su compromiso de ratificar la Convención europea sobre ciberdelincuencia.

La respuesta [PDF 89,7Кb]
del gobierno, publicada en octubre de 2007, rechazó muchas de las recomendaciones de la comisión. Como resultado, La Comisión de Ciencia y Tecnología de la cámara alta del parlamento publicó un informe de seguimiento[PDF 713Кb] en julio de 2008. En este informe se reiteraban muchas de las anteriores recomendaciones, pero no observaba la ‘posición un poco más positiva de la manera en que se iban a tomar las recomendaciones de la comisión por parte de los ministros de gobierno y el reconocimiento de que ‘el informe de la comisión “ayudó a impulsar la agenda”’.

Crimen y castigo

Está claro que la existencia de una legislación que trate de manera específica los tipos de actividades delictivas no es, por sí misma, suficiente para atacar el problema de la ciberdelincuencia. También es esencial asegurarse de que la policía entienda el problema y cuente con los recursos para enfrentarlo. Por desgracia, en los años siguientes a la introducción de la ley sobre el uso indebido de ordenadores, pocas autoridades británicas -aparte de la policía metropolitana- tenían el conocimiento y la pericia para enfrentarse a la delincuencia informática. Solo cuando estuvo claro que la ciberdelincuencia era una problemática que no iba a desaparecer se dedicaron recursos para crear una agencia dedicada a tratar de manera específica el problema.

En abril de 2001 el gobierno estableció la Unidad Nacional de Delitos de Alta Tecnología (NHTCU). Establecida para proporcionar una respuesta coordinada a la ciberdelincuencia, trabajó de manera estrecha con especialistas de otras agencias, incluyendo el Escuadrón Nacional contra el Crimen, la Oficina de Impuestos y Aduanas (HMRC), y el Servicio Nacional de Inteligencia Contra el Crimen (NCIS).

La NHTCU tuvo algunos notables logros. Entre ellos están el arresto de ciberpiratas rusos responsables de las amenazas a corredores de apuestas en línea mediante ataques DDoS (The julio, 21 July 2004) en una operación conjunta con las agencias del orden público rusas, y el arresto de los responsables del intento de robo a la sucursal londinense del banco Japanese Sumitomo Mitsui en octubre de 2004 (The Register, 19 marzo 2009).

En abril de 2006, las responsabilidades de la NHTCU pasaron a manos de la Agencia Contra Graves Crímenes Organizados (SOCA). Esto resultó en una creciente preocupación porque habría menos recursos dedicados a combatir la ciberdelincuencia ya que este delito sería sólo una fracción de la lista de tareas de la SOCA (Objetivos de la SOCA).

En abril de 2007, se cambiaron las reglas sobre las denuncias de fraudes bancarios. Tras la introducción de la Ley antifraudes de 2006, los bancos y otras instituciones financieras fueron el primer punto de contacto para informar sobre fraudes con tarjetas de crédito, cheques y operaciones de banca en línea. El objetivo establecido de este cambio fue el de reducir la burocracia, pero algunos expresaron su preocupación de que no todos los fraudes sean denunciados.

Como respuesta a estas preocupaciones, se están realizando cambios que, se espera, tengan un mayor enfoque en la ciberdelincuencia. El primero de tales cambios es la creación de la Unidad central de la Policía Contra la Ciberdelincuencia (PCEU) en 2009. Esta entidad no tiene como fin reemplazar a la SOCA u otras agencias policiales, sino coordinar la respuesta a la ciberdelincuencia y proporcionar ‘una capacidad de investigación nacional para los más graves incidentes de ciberdelincuencia’ (Declaración de misión de la PCeU). El segundo cambio fue la introducción, también planificada para fines de 2009 (Hansard [House of Commons debates], Hansard [Debates parlamentarios], 26 febrero 2009), del Centro Nacional para Denuncias sobre Fraudes (NFRC), con el fin de proporcionar a las pequeñas empresas y al público en general un medio para denunciar, vía teléfono o en línea, fraudes no urgentes.

Por supuesto, aun cuando exista un sólido marco legal y las instituciones del orden público dedicadas diseñadas para enfrentar la ciberdelincuencia, sólo se podrá arrestar y procesar a los delincuentes si existe suficiente evidencia para llevar el caso a juicio. Y esto no es siempre sencillo. Por desgracia, no todos los perjudicados quieren admitir que fueron víctimas de la ciberdelincuencia. Esto es particularmente cierto en el caso de compañías para las que esta admisión podría dañar su reputación.

La ley civil para enfrentar a los ciberdelincuentes

En julio de 2006, hablamos (viruslist.com, 28 julio 2006) sobre un libro verde (“green paper”, un documento de consulta sobre la legislación propuesta), publicado por el Ministerio del interior), Nuevos poderes contra el crimen organizado y financiero [PDF 1Мb]. En este documento el gobierno propuso arreglar una ‘fractura en la ley penal para atrapar a los involucrados en el crimen organizado’ usando las Cortes Civiles, incluyendo el uso de las Órdenes de prevención contra el crimen organizado:

Las Cortes podrían imponer una orden si creen en la probabilidad de que el sujeto:

  • Ha actuado de tal manera que facilitó o ayudó a posibilitar la perpetración de un grave crimen.
  • Que los términos de la orden son necesarios y proporcionados para prevenir daños similares en el futuro.

La omisión en la observancia de los términos de la orden se consideraría un delito.

Las propuestas adoptaron su forma final en la (Ley contra delitos graves de 2007 [PDF 607Кб]), diseñada para proporcionar ‘las mejores herramientas posibles para las agencias policiales a fin de asegurar que se mantengan un paso por delante de quienes cometen delitos graves’ y para ‘fortalecer su habilidad para tomar medidas duras contra los delincuentes y desbaratar sus operaciones.’ (Nota de prensa , del Ministerio del interior, 30 October 2007).

Equilibrio entre seguridad y libertad

Frente a ello, la Ley contra delitos graves sólo puede considerarse como algo bueno, puesto que otorga a la policía poderes para ‘detectar, desbaratar y prevenir delitos graves’ (Nota de prensa , del Ministerio del interior, 30 October 2007). Sin embargo, algunos han expresado su preocupación porque la carga de pruebas requeridas en las cortes civiles es menor a la requerida en una corte criminal, y consecuentemente existe un mayor margen para potenciales errores judiciales.

Este debate adquirió dimensiones notables a principios de este año cuando los recortes de prensa daban cuenta de que la policía tenía el poder de penetrar en los ordenadores de los sospechosos prescindiendo de una orden judicial (The Sunday Times, 4 enero 2009; The Independent, 5 enero 2009).

El Reino Unido no se encuentra solo en este forcejeo que implica el equilibrio entre la libertad personal y la seguridad, tal como lo muestra el debate sobre el troyano conocido como ‘BundesTrojan’ en Alemania (viruslist.com, 27 febrero 2008), pero hasta la fecha no se ha dado a conocer ninguna solución a este dilema.

Perspectivas futuras

Resulta evidente que la ciberdelincuencia no va a desaparecer. Y esto no debería sorprendernos. Mientras que la ciberdelincuencia es un efecto colateral no deseado de la era de Internet, también forma parte de un escenario delictivo más amplio. Si existe un uso para algo, siempre hay alguien que encontrará la manera de abusar del mismo, y esto incluye la tecnología informática y la conectividad que Internet ofrece. No es posible eliminar la delincuencia, de manera que atacar la delincuencia no tiene tanto que ver con ‘ganar la guerra’ como sobre mitigar los riesgos asociados con el uso de Internet.

Para manejar el riesgo, la comunidad internacional necesita dotarse de un marco legal al igual que de agencias del orden público apropiadas y efectivas. Es indudable que las agencias encargadas del orden público en este último decenio han venido adquiriendo mayor pericia para tratar los delitos de alta tecnología, incluyendo operaciones policiales conjuntas a nivel internacional. Esto debe continuar con mayor énfasis si queremos que la lucha contra la ciberdelincuencia sea más efectiva. De manera específica, la extensión de la legislación internacional más allá de las fronteras de los países desarrollados, y el desarrollo de una ‘Interpol cibernética’ para perseguir a los delincuentes en cualquier rincón del mundo contribuiría de sobremanera a la lucha contra la ciberdelincuencia.

El cumplimiento de la ley, empero, sólo es una parte de la solución. Necesitamos, además, asegurarnos de que los individuos y las empresas entiendan los riesgos y cuenten con el conocimiento y las herramientas adecuadas para minimizar su exposición a la ciberdelincuencia. Esto reviste particular importancia para los individuos que a menudo carecen de los conocimientos técnicos y no llegan a comprender en su real magnitud los problemas relacionados con los negocios en línea, la banca por Internet y las redes sociales. Este problema se acentúa con el creciente número de personas que acceden a Internet por primera vez. La sociedad debe encontrar formas imaginativas y variadas para concienciar al público sobre la ciberdelincuencia y sobre los métodos que pueden usar para mitigar los riesgos.

La ‘superautopista de la información’ no es diferente a ninguna otra vía pública. Necesitamos vías bien diseñadas, automóviles seguros, señalización clara y conductores aptos. En otras palabras, necesitamos una combinación de una apropiada legislación, efectivas agencias del orden público, y concienciación del público.

Descargo de responsabilidad

Kaspersky Lab ha elaborado este documento con propósitos puramente informativos y no constituye, ni pretende serlo, una asesoría legal. La información contenida en este documento no pretende constituirse, y su recepción no constituye, un contrato para asesoría legal o el establecimiento de una relación abogado-cliente.

La ciberdelincuencia y la ley: reseña de la legislación británica sobre la delincuencia informática

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada