Este documento discute varias leyes estadounidenses y de otros países relacionadas con la seguridad de la información y los delitos cibernéticos. Explica las leyes federales de EE. UU. como el Código Penal 18 y cómo la Ley Patriota las modificó, e incluye breves resúmenes de las leyes de otros países. También cubre consideraciones legales relacionadas con la recopilación de pruebas y litigios civiles.

1. Cuestioneslegales en la seguridad de la información

2. Objetivos: Comprender el derecho penal de Estados Unidos de Norteamérica. Comprender las leyes estatales. Comprender las leyes de otros países Comprender las cuestiones relacionadas con la acción judicial.

3. Introducción Existen muchas cuestiones legales respecto a la seguridad de la información. La cuestión más obvia es que irrumpir dentro de las computadoras va contra la ley. NO importa cómo se defina la actividad, para que los autores del delito sean castigados, los profesionales en la seguridad de la información deben comprender cómo reunir la información necesaria para ayudar a los responsables de hacer cumplir la ley en la captura de los individuos responsables y en el proceso judicial al que serán sometidos.

4. El Derecho penal de EEUU El derecho penal de Estados Unidos de Norteamérica conforma el fundamento ara las investigaciones de delitos por computadora llevadas a cabo por las autoridades federales (FBI y Servicio secreto). El decreto 18US Code 1030 constituye el fundamento para la intervención federal en delitos computacionales.

5. 18US Code 1030 Abarca temas de Abuso y fraude por computadora. La ley define al delito como el acceso intencional a una computadora sin la autorización para hacerlo. Aparentemente esta ley da la impresión de que solamente están cubiertas las computadoras de las instituciones financieras o del gobierno de EEUU. Sin embargo, se utiliza el término “computadorasprotegidas” incluyelascomputadorasutilizadasporinstitucionesfinancieras, de gobierno o cualquiercomputadorautilizada en el comercio o comunicacionesinterestatales o extranjeras. Existeunacantidadmínima de 5000 dólares de daño que debe ocurrir antes que esta ley pueda ser empleada. La definición de daño no incluye alguna afectación a la confidencialidad de los datos, aun cuando se discute que la revelación de información esta protegida por el gobierno.

6. 18US Code 1029 Puede utilizarse para acusar al individuo de un delito federal. La ley considera un delito apoderarse de 15 o más tarjetas de crédito falsificadas. Un ataque a un sistema de cómputo que permite que el intruso obtenga acceso a una gran cantidad de números de tarjetas de crédito para lo cual no tiene acceso autorizado es una violación a esta ley. El ataque será una violación incluso si el ataque no causa 5000 dólares en daños.

7. 18US Code 2319 Define las penalizaciones por delitos de violaciones al derecho de autor cuando un individuo es descubierto reproduciendo o distribuyendo material protegido por derechos de autor, cuando se hayan hecho por lo menos 10 copias de uno o más trabajos y el valor total de ventas al menudeo exceda los 1000 dólares. Si un sistema de computo ha sido comprometido y utilizado como punto de distribución de software protegido por el autor, el individuo que suministre el software para su distribución probablemente se encuentre violando esta ley. La víctima de este crimen no es el propietario del sistema que fue comprometido, sino el titular del derecho de autor.

8. 18US Code 2511 Es la ley contra la intervención de las comunicaciones. Prohíbe la intercepción de llamadas telefónicas y otros tipos de comunicación electrónica, y evita que los agentes de la ley hagan uso de la intervención sin una orden judicial. Un intruso en un sistema de cómputo que coloca un rastreador en el sistema, probablemente este violando esta ley. Existe una excepción para quién suministra el servicio de comunicaciones, puesto que la organización que proporciona el servicio, cualquier empleado de la organización puede supervisar la comunicación en el curso normal de su trabajo por la protección de los derechos o propiedad del prestador de ese servicio.

9. 18US Code 2701 Prohíbe el acceso ilegal a las comunicaciones almacenadas, pero también prohíbe impedir a los ususarios autorizados tener acceso a los sistemas que almacenan comunicaciones electrónicas. Tiene excepción para el propietario del servicio, de modo que el prestador del servicio pueda tener acceso a cualquier archivo del sistema.

10. Ley Patriota Título oficial: “Uniting and StrengtheningAmericabyProvidingAppropriate Tools Required ton Intercep and ObstructTerrorimsAct of 2001”

11. Ley Patriota – Cambios a 18 US Code 1030 Incrementalaspenasmáximasparalasviolaciones del 10 US Code 1030 q 10 años para el primer delito y 20 años para los delito subsiguientes. Modifica la ley para definir daño como “cualquier perjuicio contra la integridad o disponibilidad de los datos, de un programa, de un sistema o de la información”, éstecambiohace mucho másfácilalcanzar el mínimo de 5000 dólares; lo cual era un problemademostrarque los dañosprovocadossumabanese valor mínimo. Se modifica el significado del termino pérdida, lo cual ahora incluye el costo por responder, determinar el daño y restablecer los sistemas a un estado operativo.

12. Ley Patriota – Cambios a 18 US Code 1030 Se agrega un nuevo delito: Se viola la ley, quel individuo que las acciones que emprende afectan un sistema de cómputo utilizado por el gobierno para administrar justicia, defensa nacional o seguridad nacional sin tener el cuenta las pérdidas. Un individuo que desde EEUU ataca computadoras fuera de los EEUU puede ser enjuiciado bajo la ley federal.

13. Comprendalasleyes de otros países Muchos países no tienen leyes contra los delitos computacionales en absoluto. Si una investigación demuestra que el ataque provino de un sistema de cómputo en otro país, el FBI intentará obtener la ayuda de las organizaciones policiacas en ese país. Si el otro país carece de leyes para los delitos computacionales, es poco problable que ayuden en la investigación. Ejemplo: virus ILOVEYOU, rastreado hasta llegar a un individuo que vivía en Filipinas, éste no podía ser enjuiciado porque Filipinas no tenía una ley que considerara un delito escribir y distribuir virus de computadora.

14. Comprendalasleyes de otros paísesAustralia Un acceso no autorizado a los datos en las computadoras es un delito que se castiga con seis meses en la cárcel. El castigo llega hasta dos años si el intento fue para cometer fraude o si la información era de tipo confidencial para el gobierno, financiera o si contenía secretos comerciales. NO se especifican cantidades mínimas de daño.

15. Comprendalasleyes de otros paísesBrasil Identifica dos tipos de delitos: Introducción de datos falsos en sistemas de información, y la; Modificación o alteración no autorizadas de un sistema de información. El castigo va desde los tres meses hasta los doce años de reclusión y puede incluir multas.

16. Comprendalasleyes de otros paísesRepública Popular de China Decreto No. 147 (18-feb-94), identifica dos tipos de delitos: Introducción deliberada de un virus de computadora en un sistema de cómputo. Venta de productos especiales de protección de seguridad para computadoras sin permiso. El castigo es una multa y la posible confiscación del ingreso ilegal. Hong Kong tiene algo diferente según lo establece la ordenanza de Telecomunicaciones: Delito, al acceso no autorizado a una computadora sin autorización, mediante un sistema de telecomunicaciones. Además, si tiene acceso con intenciones deshonestas o delictivas. Se establece prisión de hasta 5 años.

17. Comprendalasleyes de otros paísesReino Unido Delito: acceso no autorizado a material de cómputo. Este acceso debe haber sido intencional y el individuo que realiza el acto debe saber que el acceso no está autorizado. Realizar modificaciones no autorizadas o causar una condición de denegación de servicio. Condena: Seis meses de prisión. Si es por denuncia puede exceder los cinco años y multa.

18. Cuestiones relacionadas con la acción judicial Cuando ocurre un incidente, debería consultar al abogado de la organización antes de hacer contacto con los agentes de la ley. Ya sea que la organización elija entablar una acción judicial o no, existen varias cosas que pueden hacerse mientras que el incidente es investigado y los sistemas regresan a su estado operativo. Conservar la evidencia. Si se realizan respaldos habituales y esos respaldos contienen información de dónde provino el ataque o qué les hicieron. Técnicamente, la información no es evidencia hasta que un oficial policiaco llegue a tomar posesión de ella. Llamar a un consultor externo, para ello tomar las siguientes precauciones:

19. Cuestiones relacionadas con la acción judicial Hacer al menos dos copias imagen de los discos duros. Limitar el acceso a una de las copias a guardarla de modo que puede ser identificado cualquier intento de manipularla. Hacer sumas de control, seguras de la información en los discos, de modo que pueda identificarse cambios en la información. La información en el sistema de cómputo víctima no es el único sitio para obtener información acerca del ataque, los archivos de bitácora del equipo de red o de sistemas de seguimiento también pueden proporcionar información.

20. Cuestiones relacionadas con la acción judicial Una vez que se hace contacto con los agentes de la ley y éstos llegan a investigar a la organización, las reglas cambian. Cuando los agentes tomán posesión de las copias de respaldo o información del sistema, controlarán el acceso a la misma y protegerán como evidencia de acuerdo a sus procedimientos. Los agentes o requieren una orden judicial si la información es proporcionada de buen grado. Sin embargo, si los agentes de la ley quieren obtener información de su sitio, a su organización le convendría exigir un citatorio, pues éste podría protegerlo de alguna responsabilidad legal. Este le es necesario si usted es un ISP y los agentes requieren ver las bitácoras de alguna actividad que haya pasado por su red.

21. Cuestiones Civiles Las computadoras y las redes de computadoras son proporcionadas por una organización para que los empleados las usen para hacer negocios. Esto significa que la organización es propietaria de los sistemas y de la red, y que la organización puede tener acceso a cualquier información contenida en los sistemas en cualquier momento. Por lo tanto, los empleados no deberían esperar a tener privacidad. Los empleados deberían ser informados de que tal acción puede ocurrir, y esto les debería ser comunicado en una política.

22. Cuestiones Civiles La política de la organización define la operación apropiada de los sistemas y el comportamiento de los empleados. Para aliviar algunas cuestiones legales, se debería proporcionar a todos los empleados copias de las políticas de la organización y solicitarles que firmen de recibido y una confirmación de que comprenden las políticas.

23. Cuestiones Civiles Si una organización (A) no toma medidas de seguridad apropiadas y uno de sus sistemas es penetrado con éxito, éste podría ser utilizado para atacar a otra organización (B). La organización A puede ser hecha responsable por la organización B. La cuestión será determinar si A tuvo cuidado razonable y aplicó medidas apropiadas para evitar que esto ocurriera. El cuidado y las medidas son determinados por los estándares existentes (ISO17799).