El ransomware es un tipo de malware malicioso que cifra los archivos de un sistema y pide un rescate a cambio de quitar la restricción de acceso. Se trata de un troyano que se instala en el equipo y bloquea el acceso a los archivos pidiendo un pago. El bien jurídico protegido es la información almacenada en sistemas informáticos. La legislación peruana tipifica delitos informáticos en el Código Penal y una unidad especial de la policía los investiga.
1. El
Cibercrimen
E S T U D I A N T E : H E N R Y
A N G U L O
D O C E N T E : D R . C A R L O S
P A J U E L O
M A T E R I A : D E R E C H O
I N F O R M Á T I C O
C I C L O : V I « M »
3. • Un ransomware (del inglés ransom, ‘rescate’, y
ware, por software) es un tipo de programa
informático malintencionado que restringe el
acceso a determinadas partes o archivos del
sistema infectado, y pide un rescate a cambio
de quitar esta restricción.
• Algunos tipos de ransomware cifran los
archivos del sistema operativo inutilizando el
dispositivo y coaccionando al usuario a pagar
el rescate.
4. 2. ¿Se trata de un
troyano, worm, bomba
lógica...? ¿Un simple
hacker o actividad de
crackeo?
5. • Se trata de un troyano, ese tipo de virus, que al ser ejecutado
aparenta ser inofensivo e imita a otras aplicaciones, es el
más habitual y representa el 72,75% del malware, de los
ataques maliciosos, según los últimos informes de las
compañías Kaspersky Lab y PandaLab.
• Los análisis del Instituto Nacional de Ciberseguridad (Incibe)
de España recogían que el softwaremalicioso que provocó el
ciberataque a nivel global es un WanaCrypt0r, una variante
de WCry/WannaCry. Tras instalarse en el equipo, ese virus
bloquea el acceso a los ficheros del ordenador afectado
pidiendo un rescate para permitir el acceso, y puede infectar
al resto de ordenadores vulnerables de la red. WanaCrypt0r
cifra archivos del disco duro con extensiones como .doc .dot
.tiff .java .psd .docx .xls .pps .txt o .mpeg, entre otros, y
aumenta la cuantía del rescate a medida que pasa el tiempo.
6. 3. Se trata de un delito de
¿secuestro de
información? ¿Ese delito
existe?
7. • El ransomware causa un secuestro exprés de datos y
pide un rescate para liberar el sistema. Los delitos
informáticos6 se vinculan con la idea de la comisión del
crimen a través del empleo de la computadora, internet,
etc.; sin embargo esta forma de criminalidad no solo se
comete a través de estos medios, pues éstos son solo
instrumentos que facilitan pero no determinan la
comisión de estos delitos. Esta denominación, es poco
usada en las legislaciones penales; no obstante bajo ella
se describe una nueva forma de criminalidad
desarrollada a partir del elevado uso de la tecnología
informática.
8. 4. Bienes jurídicos de
tutela protegidos ¿de
quién y por quién?
¿Existe tutela
supranacional?
9. • El bien jurídico de tutela en los delitos informáticos es la
información (almacenada, tratada y transmitida a través de
sistemas informáticos), como valor económico de la actividad
de empresa”. En nuestra legislación Penal Peruana: Se ha
normado en materia de los delitos informáticos a través de
una norma especial la misma que inserta en el código penal
de 1991, los artículos 207-A, 207-B, 207-C que comprende
los delitos contra el patrimonio, Capítulo X; además de los ya
existentes que se realizan a través de la computadora Existe
un departamento, la DIVINDAT – DIRINCRI, el cual investiga
los delitos denunciados directamente y aquello dispuesto por
el Ministerio Público, para ello realiza sus propias
inspecciones técnicas y análisis forense informático. Ahora
bien, habrá que determinar si estamos ante un bien jurídico
penal individual o si más bien el interés tutelado es de
carácter colectivo.
10. • Si tenemos en consideración
que estamos ante un interés
social vinculado a la actividad
empresarial, toda vez que la
información se convierte en un
valioso instrumento de la
actividad de empresa, el bien
jurídico “información” se
encontraría incardinado dentro
de los llamados delitos socio-
económicos y por ello sus
repercusiones trascenderían a
las propias bases del sistema
socio-económico, esto es,
estamos a través de bien
jurídico colectivo.
11. 5. ¿De haber sido atacado
el Perú, qué herramientas
legales podría usar? ¿Qué
dice nuestra legislación
penal sobre el tema?
12. • La Directiva sobre la SRI
propuesta es “un elemento
central de la estrategia de
conjunto”. De esta forma, se
exigiría a todos los Estados
miembros, facilitadores clave
de Internet y operadores de
infraestructuras críticas
(plataformas de comercio
electrónico, redes sociales y
operadores de servicios de
energía, transportes, banca y
sanidad) “a velar por un
entorno digital seguro y fiable
en toda la UE”.
13. La propuesta de Directiva
prevé un conjunto de
medidas, entre las que
cabe resaltar las siguientes
14. • a) Los Estados miembros deben adoptar una estrategia de
SRI y designar a una autoridad competente en la materia
dotada de los recursos financieros y humanos adecuados
para la prevención, la gestión y la resolución de riesgos e
incidentes de SRI.
• b) Se creará un mecanismo de cooperación entre los
Estados miembros y la Comisión que permitirá difundir alertas
tempranas sobre riesgos e incidentes a través de una
infraestructura segura, así como cooperar y organizar
revisiones por homólogos periódicas.
• c) Los operadores de infraestructuras críticas de algunos
sectores (servicios financieros, transportes, energía y
sanidad), los facilitadores de servicios de la sociedad de la
información (en particular, tiendas de aplicaciones,
plataformas de comercio electrónico, servicios de pagos por
Internet, computación en nube, motores de búsqueda y redes
sociales) y las administraciones públicas deben adoptar
prácticas de gestión de riesgos y comunicar los incidentes
significativos de seguridad que se produzcan en relación con
sus servicios principales