Embed Size (px)
DESCRIPTION
Citation preview
DELITOS INFORMÁTICOS
Impartido por: Agustín Ríos Aguilar
D.R., ©, Agustín Ríos Aguilar, 2006
• INTRODUCCIÓN
• DELITOS INFORMÁTICOS
• LEGISLACIÓN NACIONAL
• AUTORIDADES COMPETENTES / JURISDICCIÓN
• CÓMO SE DEBE ATACAR UN DELITO INFORMÁTICO (CYBERCRIME)
• COOPERACIÓN ENTRE LAS PARTES.- ACCIONES CORRECTIVAS Y PREVENTIVAS
TEMARIO
DELITOS INFORMÁTICOS
D.R., ©, Agustín Ríos, 2007.
¿Lagunas legales, incapacidad o incomprensión?
I. Introducción.
¿Qué hemos escuchado de un tiempo para acá?
HOSTIGAMIENTO O ACOSO POR INTERNET
Fecha última actualización: 3 de Marzo de 2004
Condenada una persona por apropiación de una cuenta de correo ajena
Se trata de la primera condena por un delito de esta tipología, y se le han impuesto dos años de prisión (que no deberán ser cumplidos) y al pago de una indemnización de 26.886,20 euros.
La condenada es una joven que se apropió de una cuenta de correo electrónico de hotmail de una excompañera de estudios, y es a ella a la que deberá abonar la indemnización señalada.
Además de acceder a la cuenta de correo, reenvió mensajes de la misma con información de caracter privado, en los que la propietaria de la cuenta "criticaba tanto a su jefe como a al Centro donde cursó determinados estudios profesionales, y fueron enviados por la acusada a dicho jefe y a dicho Centro de estudios, por lo que ambos tuvieron conocimiento de dichos mensajes".
Finalmente se ha llegado a un acuerdo entre las partes y la condena se ha saldado con delito de revelación de secretos y falta de daños informáticos.
NOTICIAS
NOTICIAS
Reporta Condusef 5 fraudes cibernéticos por 800 mil pesos en SLP
SAN LUIS POTOSI. ABRIL 8, 2006 (NOTIMEX).- La delegación estatal de la Comisión Nacional para Defensa de los Usuarios de Servicios Financieros (Condusef), informó que en cinco fraudes cibernéticos a igual número de cuentahabientes en la entidad se contabilizaron 800 mil pesos.
El delegado estatal de Condusef, Gustavo Morales Rivera dijo además que ese dinero difícilmente se podrá recuperar por falta de una legislación en la materia.Explicó que esos fraudes fueron reportados por los mismos afectados, luego de detectar cargos inexplicables en sus cuentas y aunque acudieron a la dependencia a mostrar las pruebas de descargo, aún no hay una decisión al respecto."Es difícil que las instituciones bancarias les reintegren su dinero por la falta de una legislación en este rubro, pero no hay nada decidido todavía, porque se encuentran en el proceso de presentación de pruebas", añadió.
Reconoció que las medidas de seguridad, candados, claves secretas y la complejidad para las transferencias de dinero por Internet, han sido insuficientes para que los "jackers" que operan en todo el mundo, procedan en contra de los cuentahabientes de las instituciones de crédito.Explicó que el "modus operandi" de los delincuentes es a través de la triangulación de servicios, porque de acuerdo a lo documentado hicieron transacciones para pasar sus recursos a cuenta de cheques y posteriormente proceder al retiro de las cantidades.
"Los afectados mostraron pruebas a su favor porque hubo pagos realizados desde ciudades que jamás visitaron o con movimientos que nunca han tramitado", admitió.
Morales Rivera recordó que las instituciones bancarias han sido muy insistentes con sus clientes para pedirles que no divulguen sus claves secretas, con el fin evitarse problemas de este tipo.
Añadió que aunque son pocos casos los que se registran, no dejan de ser preocupantes, por lo difícil que es esclarecer la forma que actuaron los delincuentes y por la serie de operaciones como retiros de dinero de las tarjetas de crédito a cuenta de cheques o las transferencias a otras.
Nuevo flagelo: fraudes cibernéticos6/Abr/2006
Banca mexicana, de las menos seguras
Nuevas formas de fraude, complicidad de empleados y sistemas inadecuados generan agujeros en la seguridad bancaria del país. La banca mexicana refiere, sin embargo, que los sistemas cibernéticos que controlan las transacciones son ciento por ciento seguros.
No obstante, en este nuevo tipo de delito la responsabilidad es, desde luego, de las instituciones financieras y sus sistemas, pero también es compartida con los clientes, afirma Miguel Ángel Carlos Jaime, del Comité de Seguridad de la Asociación de Bancos de México (ABM).
El sector no tiene datos precisos sobre el daño que hacen los ladrones cibernéticos, aunque un directivo de la Policía Federal Preventiva indica que durante 2005 la cifra de robos cibernéticos alcanzó más de 50 millones de dólares y en los primeros tres meses de 2006 el monto llega a más de 25 millones de dólares.
Beware of tax refund 'phishing' scams
Scores of fake sites tempt Web users with schemes posing as IRS
ATLANTA, Georgia (CNN) -- It's just the news that hardworking taxpayers want to see in their inbox: an update on their refund from the Internal Revenue Service.
No sólo es un problema local!!!
¿Pero que creen?Esto ya existía y está documentado desde
1976, cuando aparece el término “crime by
computer”
No hay definición de carácter universal propia de delito
Informático
"Cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción
criminogena, o como mero símbolo"Carlos Sarzana
"Aquel que se da con la ayuda de la informática o de técnicas anexas"
Nidia Callegari
"En un sentido amplio es cualquier conducta criminógena o criminal que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin y que, en un sentido estricto, el delito
Informático, es cualquier acto ilícito penal en el que las computadoras, sus técnicas y funciones desempeñan un papel ya sea como método,
medio o fin"
en forma típica y atípica, entendiendo por la primera a "las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras
como instrumento o fin" y por las segundas "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin"
María de la Luz Lima Malvido
Julio Téllez
“Un delito informático es un acto que viola la ley y fue llevado a cabo con el uso
de computadoras”.
Wikipedia
“Cybercrime is a term used broadly to describe criminal activity in which
computers or networks are a tool, a target, or a place of criminal activity. These
categories are not exclusive and many activities can be characterized as falling in
one or more categories”.
Fuente: passivemode.net/updates/2007/1/30/ikipedia-and-its-use-as-court-source
Wikipedia and its Use as Court Source Tue, Jan 30, 2007 John Jolly in NEWS
Wikipedia is a free online encyclopedia to which users resort every day in this technology era. It is easy, convenient, and fast! But, has Wikipedia reached enough credibility to be
used in court proceedings around the world? Well, it seems it has. Wikipedia is being used by the European Court of Human Rights, World Intellectual Property Office- WIPO, the Swiss Federal Council, High Court of England and Wales and the United States (U.S.) Federal Courts, just to name a few.
Wikipedia has been used as court source since 2003 and its court use increases every year. For instance, Wikipedia was used in 2006 in high profile U.S. Federal cases like SCO v. IBM; Apple v. DOES; in the England case of Kay v. the Commissioner of Police of the Metropolis; in the Ždanoka v. Latvia case before the European Court of Human Rights; and in Media General Communications, Inc. v. Rarenames, WebReg case decided by the WIPO Administrative Panel, among others.
The free online encyclopedia is used to search for both simple and high tech terms. This business model was created in 2001 and its content is written by people from different countries and is offered in more than 10 languages. Some critics of the use of Wikipedia as court source say the ability to change and edit content in this site makes it unreliable and dangerous for court use. Yet, despite criticisms users, including court and law clerks believe to have an efficient and reliable source of information. Considering this information, is Wikipedia a valid source of information to be used in court proceedings?
Below are a list of documents used in legal proceedings citing Wikipedia as a source:
2006: ! Citation of Wikipedia in an order of the Swiss Federal Council. excerpt of
the judgment ! Citation of Wikipedia in a judgment of the Swiss Radio and Television
Surveillance Authority UBI copy. ! First known citation of Wikipedia in a European Court of Human Rights
judgment: the article on Demographics of Latvia was cited in the second footnote of Judge Zupan!i!’s dissenting opinion in the court’s judgment in
Página 1 de 6| p a s s i v e m o d e | - home
19/02/2007http://passivemode.net/display/ShowJournalEntry?moduleId=530716&entryId=89079...
¿Mitos o realidades?
2. Me dijo mi abogado que no se puede hacer nada
1. México, no tiene leyes sobre “Internet”FALSO DE TODA
FALSEDAD!!!
II. Delitos Informáticos
• El perfil de los criminales o delincuentes ha cambiado:
Consideraciones
Del ladrón habitual en el mundo físicoAl hacker
Al incógnito
Delincuente informático: individuo
anónimo que opera en un mundo virtualcriminal
Ciberdelincuente
http://www.youtube.com/watch?v=eijZhkH9wCI&search=Internet
Consideraciones
Del rifle o pistola A la computadora A los sistemas
Ahora todo lo que se necesita es una
computadora y una conexión a
Internet Conexión a Internet
Network
Tipos de Cyberdelitos
Delitos computarizadosComputer crimes
Delitos InformáticosInternet Crimes
Delitos que son cometidos a través de
una computadora.- aquellos ilícitos que ya estaban
tipificados que ahora son perpetrados por la ayuda de computadoras y/o la Interneti.e. Extorsión, Fraude, Homicidio
Conductas ilícitas producto del fenómeno de
Internet.- actos ilegales cometidos debido a la aparición
de la Interneti.e. Cybersquatting, Cracking,
Spoofing
Delitos computarizados
2.- “Los delitos informáticos, son en su mayoría delitos clásicos ya previstos en las leyes penales, que se exteriorizan con el auxilio de la informática”; “meras variaciones de delitos ya existentes”.
1.- ¿Estamos de acuerdo en la terminología de los delitos informáticos?
Compilación actual
Delitos contra las personas o
negocios {Fraude
Robo de identidadApuestas
“Spamming”
Venta de producto controlado
Pornografía infantil
Acoso
Amenazas
Discriminación
Aun y cuando el Art. 231 del CPDF, define lo que es el fraude, el FBI define al “fraude cometido a
través de Internet” (Internet Fraud), como cualquier plan o conducta fraudulenta, a través de la cual, una o más
aplicaciones de la Internet, tal como web sites, chat rooms, e-mails, etc., juegan un papel primordial ofreciendo bienes o servicios inexistentes a los
consumidores”.
Una persona, ubicada en cualquier parte del mundo, manda correos electrónicos que parecen provenir de sitios web auténticos o seguros, como el de un Banco.
1.
Dado que los mensajes y los sitios Web que envían estos usuarios parecen oficiales, logran engañar a muchas personas haciéndoles creer que son legítimos. La gente confiada normalmente responde a estas solicitudes de correo electrónico con sus números de tarjeta de crédito, contraseñas, información de cuentas u otros datos personales.
2.
Una vez que el usuario está en uno de los sitios Web piratas o falsos, introduce información personal sin saber que se transmitirá directamente al delincuente, que la utilizará para realizar compras, solicitar una nueva tarjeta de crédito o robar su identidad.
3.
Robo del dinero
4.
----Mensaje original-----De: XXXXXXXXXXX [mailto:[email protected]] Enviado el: Domingo, 19 de Marzo de 2006 01:50 p.m.Para: XXXXXXXXXXXXXAsunto: CONSULTA
Escribo este correo para solicitar apoyo y consejo. Resulta que el miércoles 15 de febrero de este año, me suscribí al servicio de internet con el servidor de XXXXXX ( por ser este el único que tiene cobertura en mi zona). Sin embargo hubo que acondicionar el espacio y la computadora de modo que fue hasta el lunes 20 que pude acceder al citado servicio, hasta aquí no hay problema. El problema se presentó el pasado viernes 24 de febrero, al recibir una llamada de Servicio al consumidor de XXXX para indicarme que tengo un adeudo por mas de $11,000.00 (once mil pesos) con XXXX (menos queda al rededor de $7,700.00); por que según ellos, el mismo lunes 20 y el miércoles 22, use el internet durante aproximadamente 6 horas a través de uno o mas servidores situados en el extranjero, a los cuales yo autorice el acceso (cosa que es totalmente falsa) al navegar por paginas de entretenimiento para adultos. Ahora sé que son operadores mal intencionados que mediante un troyano automaticamente conectan a mi computadora a servidores remotos de tarifación especial. De la misma red he bajado el Check Dealer, el Spiboot SyD y el Ad-ware SE Personal, mismos que tengo instalados ahora. Por otro lado, fui a la delegación de la FROFECO en Toluca, y solicite hablar con uno de sus abogados, el cual me dijo que al respecto hay muchas lagunas legales y que lo que ellos hacen es que el consumidor llegue a un arreglo con la empresa XXXXXX (como intermediaria de los prestadores del servicio) para pagar el adeudo a plazos.Yo vivo al día y requiero del teléfono y el correo electrónico por mi trabajo (el pagar ese supuesto adeudo implicaría entregar mas de dos meses de mis ingresos íntegros) Por favor, necesito orientación, qué puedo hacer pues estoy muy enojado y preocupado.
¿A donde puedo recurrir para evitar hacer el pago abusivo o que cancelen de mi línea telefónica? ¿Procede una demanda por fraude o estafa? De ser así
¿Donde la puedo levantar?
Espero su pronta respuesta, Muchas gracias.
El usuario fue víctima del Phishing, que es una forma de estafa, fraude, engaño en la red. Los creadores de tal fraude de alguna forma consiguieron su dirección de correo electrónico y saben en que banco tiene (tenía) su dinero depositado, construyeron un sitio web usando el logo del banco, y usando el estilo de diseño del sitio oficial del banco, con la intención de emular que es un sitio del banco y así hacer caer al usuario/cliente en su trampa.
FraudePirateríaProtección
personal de datos
Secreto Industrial
Delitos
PhishingTérmino utilizado en informática, con el cual se denomina el uso de un tipo de
ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta, como puede ser una contraseña o información detallada sobra
tarjetas de crédito u otra información bancaria.
De: [email protected] el: Martes, 03 de Octubre de 2006 06:16 a.m.Para: [email protected]: Aviso Importante
ESTIMADO CLIENTE DE BANAMEX
Banamex le informa que los servidores Banamex han sido migrados y se encuentran totalmente operativos.
Esta actualización ha sido realizada con el objetivo de ofrecerle a nuestros clientes la ultima tecnología en seguridad y privacidad del mercado. La Migración de nuestra plataforma bancaria se efectuó el día Martes 03 de Octubre del 2006 a las 7:00 AM. Y se encuentra funcionando desde las 7:30 AM. del dia actual. Sin embargo, requerimos su intervención para la etapa final de la migración, simplemente fírmese en su banca en linea para activar las nuevas características de seguridad, recuerde que activar estas nuevas características no tienen costo alguno para usted y le proveen de beneficios como:
* La encriptación de datos mas fiable del mundo* Seguro por fraude electrónico por hasta 40,000 pesos.* La oportunidad de recibir un dispositivo NetKey totalmente gratis.
Puede entrar a su cuenta haciendo click sobre la imagen correspondiente a su tipo de cuenta. Con esta acción su cuenta quedará actualizada de forma permanente.
Banamex pone a tu disposición, sin costo adicional, nuevos servidores que cuentan con la última tecnología en protección y encriptacion de datos.
Una vez mas Banamex líder en el ramo.
Le recordamos que últimamente se envian e-mails de falsa procedencia con fines fraudulentos y lucrativos. Por favor nunca ponga los datos de su tarjeta bancaria en un mail y siempre compruebe que la procedencia del mail es de @banamex.com
Todos los Derechos Reservados 1998-2006 Grupo Financiero Banamex S.A.Para cualquier duda o aclaración comuníquese con nosotros
al Tel. (5255) 1 226 3990 o 01 800 110 3990
¿LAGUNA LEGAL?
¿NO SE PUEDE HACER NADA?
Delitos computarizados{
Fraude
Terrorismo
Pornografía
PI
Homicidio
Robo
Extorsión
Ejemplos
OJO, porque Angela Bennet, acaba de cometer el delito de
falsedad en declaraciones...
Compilación actual
Delitos contra la propiedad física{
HackingCraking
Malware
Virus Writing
Worm / GusanosBomba Lógica / Bomba de correo
electrónica
Trojan Horse
Password sniffer
Ataques de denegación de servicios
Manipulación de datos
Web spoofing
Web Site Defacements
TOP 10 FRAUDESen Internet
(On-line scams){
ISP´s
Promociones
Tarjeta de Crédito en sitios para adultos
PirámidesOportunidades
de negocioPlanes de inversión
TOP TEN
ViajesPago por llamada
Salud
w w w. f t c . g o v / o p a /2000/10/topten.htm
Caso emulex corporation: renuncia del CEO; el precio de la acción se desplomó cerca del 50% en 15 minutos, causando daños por 110 millones de dólares
Ejemplos / Cybersquatting
Caso México
Protección Legal Integral del
Nombre de dominio
NIC
IMPI
INDA ✔✖
✔
✔✔
www.WIPO.org
ANTECEDENTES
• Reformas de fecha 17 de mayo del 2000 publicadas en el Diario Oficial de la Federación, se crearon en la especie, los artículos 211 bis 1 al 211 bis 7 al Código Penal Federal (2), que en lo medular, tipifican comportamientos -de los llamados hackers o crackers- que atentan contra los sistemas de cómputo que pueden o no, ser parte del sector financiero mexicano. En simple español, en este cuerpo normativo federal se sancionan el que un sujeto tenga acceso ilegal a dichos sistemas y los altere, dañe, modifique o provoque pérdida de información contenida en tales sistemas (3).
TITULO NOVENO
Revelación de secretos y acceso ilícito a sistemas y equipos de informática
Artículo 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa. Artículo 211 bis 2.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa. Artículo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa. Artículo 211 bis 4.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Artículo 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa. Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero. Artículo 211 bis 6.- Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código.
Artículo 211 bis 1.- Al que sin autorización modifique, destruya
o provoque pérdida de información contenida en
sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le
impondrán de seis meses a dos años de prisión y de cien a
trescientos días multa.
Al que sin autorización conozca o copie información contenida en
sistemas o equipos de informática protegidos
por algún mecanismo de seguridad, se le impondrán de
tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.
Capítulo II Acceso ilícito a sistemas y equipos de informática
TITULO VIGESIMO PRIMERO DELITOS CONTRA LA SEGURIDAD EN LOS MEDIOS INFORMÁTICOS Y MAGNÉTICOS
CAPITULO I Acceso sin Autorización
ARTICULO 223.- El Acceso sin Autorización consiste en interceptar, interferir, recibir, usar o ingresar por cualquier medio sin la autorización debida o excediendo la que se tenga a un sistema
de red de computadoras, un soporte lógico de programas de software o base de datos.
Al responsable de Acceso sin Autorización se le sancionará con penas de 1 a 5 años de prisión y de 100 a 400 días multa.
Cuando el Acceso sin Autorización tengan por objeto causar daño u obtener beneficio, se
sancionará al responsable con penas de 2 a 7 años de prisión y de 150 a 500 días de multa.
También se aplicarán las sanciones a que se refiere el párrafo anterior cuando el responsable tenga el carácter de técnico, especialista o encargado del manejo, administración o mantenimiento
de los bienes informáticos accesados sin autorización o excediendo la que se tenga.
CAPITULO II Daño Informático
ARTICULO 224.- El Daño Informático consiste en la indebida destrucción o deterioro parcial o total de programas, archivos, bases de datos o cualquier otro elemento intangible contenido en
sistemas o redes de computadoras, soportes lógicos o cualquier medio magnético.
Al responsable de Daño Informático se le sancionará de 1 a 5 años de prisión y de 100 a 400 días de multa.
Se le aplicarán de 2 a 7 años de prisión y de 150 a 500 días multa, cuando el responsable
tenga el carácter de técnico especialista o encargado del manejo, administración o mantenimiento de los bienes informáticos dañados.
ARTICULO 225.- Cuando el Acceso sin Autorización o el Daño Informático se cometan
culposamente se sancionarán con penas de 1 mes a 3 años de prisión y de 50 a 250 días multa.
ARTICULO 226.- La Falsificación Informática consiste en la indebida modificación, alteración o imitación de los originales de cualquier dato, archivo o elemento intangible contenido en sistema de
redes de computadoras, base de datos, soporte lógico o programas.
Al responsable del delito de Falsificación Informática se le aplicarán de 1 a 5 años de prisión y de 100 a 400 días multa.
Las mismas sanciones se aplicarán al que utilice o aproveche en cualquier forma bienes
informáticos falsificados con conocimiento de esta circunstancia.
El Acceso sin Autorización consiste en interceptar, interferir, recibir, usar o
ingresar por cualquier medio sin la autorización debida o excediendo la
que se tenga a un sistema de red de computadoras, un soporte lógico de programas de software o
base de datos.
El Daño Informático consiste en la indebida destrucción o deterioro
parcial o total de programas, archivos, bases de datos o cualquier otro elemento
intangible contenido en sistemas o redes de computadoras, soportes lógicos o cualquier medio
magnético.
TITULO TERCERO
DELITOS CONTRA LA INVIOLABILIDAD DEL SECRETO
CAPITULO UNICO REVELACION DEL SECRETO
ARTICULO 175.- Tipo y punibilidad.- Al que sin consentimiento de quien tenga derecho a otorgarlo revele un secreto, de carácter científico,
industrial o
comercial, o lo obtenga a través de medios electrónicos o computacionales o se le haya confiado, y obtenga provecho propio o ajeno se le impondrá prisión de uno a tres años y hasta cincuenta días
multa; si de la revelación del secreto resulta algún perjuicio para alguien, la pena aumentará hasta una mitad más. Al receptor que se beneficie con la
revelación del secreto se le impondrá de uno a tres años de prisión y hasta cien días
multa.
ARTICULO 261 TER.- Pornografía de personas menores de dieciocho años de edad o personas que no tengan la capacidad para comprender el significado del hecho.- Al que procure, facilite, induzca, propicie u obligue o permita a menores de dieciocho
años de edad o persona que no tenga la capacidad para comprender el significado del hecho, a realizar actos de desnudo corporal con fines lascivos o sexuales, o de
exhibirlos de cualquier forma, actos reales o simulados, filmarlos, grabarlos, video
grabarlos o fotografiarlos o exhibirlos a través de anuncios impresos, transmisión de archivos de datos en red pública o privada de telecomunicaciones, sistemas de computo, medios electrónicos o sucedáneos, independientemente de que se logre la finalidad, con o sin ánimo de obtener un lucro, se le aplicará de cinco a doce años de prisión y de mil a dos mil días multa. Así mismo estará sujeto a tratamiento
psiquiátrico especializado.
TÍTULO DÉCIMO DELITOS CONTRA EL PATRIMONIO
CAPÍTULO V DELITO INFORMÁTICO
ARTÍCULO 217. Comete delito informático, la persona que dolosamente y sin
derecho:
I. Use o entre a una base de datos, sistema de computadores o red de computadoras o a cualquier parte de la misma, con el propósito de diseñar,
ejecutar o alterar un esquema o artificio, con el fin de defraudar, obtener dinero, bienes o información; o
I. Intercepte, interfiera, reciba, use, altere, dañe o destruya un soporte lógico o
programa de computadora o los datos contenidos en la misma, en la base, sistema o red.
Al responsable de delito informático se le impondrá una pena de seis meses a
dos años de prisión y de noventa a trescientos días multa.
CONVENCIÓN SOBRE DELITOS INFORMÁTICOS
Status al 26 de Febrero de 2006Han firmado 30 países y lo han ratificado sólo 12
País Firma Ratificación
Albania 23/11/2001 20/06/2002
Bulgaria 23/11/2001 07/04/2005
Croacia 23/11/2001 17/10/2002
Chipre 23/11/2001 19/01/2005
Dinamarca 22/04/2003 21/06/2005
Estonia 23/11/2001 12/05/2003
Francia 23/11/2001 10/01/2006
Hungría 23/11/2001 4/12/2003
Lituania 23/06/2003 18/03/2004
Rumania 23/11/2005 12/05/2004
Slovenia 24/07/2002 08/09/2004
Yugoslavia 23/11/2001 15/09/2004
ver efemérides de ese día
CONVENCIÓN SOBRE EL DELITOS INFORMÁTICOS
Resumen ejecutivo
Fecha de entrada en vigor
1 de Julio de 2004
Resumen
The Convention is the first international treaty on crimes committed via the Internet and other computer networks, dealing particularly with infringements of copyright, computer-related fraud, child pornography and violations of network security. It also contains a series of powers and procedures such as the search of computer networks and interception.
Its main objective, set out in the preamble, is to pursue a common criminal policy aimed at the protection of society against cybercrime, especially by adopting appropriate legislation and fostering international co-operation.
The Convention is the product of four years of work by Council of Europe experts, but also by the United States, Canada, Japan and other countries which are not members of the Organisation. It has been supplemented by an Additional Protocol making any publication of racist and xenophobic propaganda via computer networks a criminal offence.
−
TIPOS DE DELITOS INFORMÁTICOS
Delitos Informáticos
Violaciones a la Pl
− Fraude
− Pornografía Infantil
− Violaciones a la seguridad de redes
Pero... qué pasa en la realidad¿Creen de verdad que esto no les ocurrirá?
Vean el siguiente caso que es verídico...
-----Mensaje original-----De: pepe perez [mailto:[email protected]]
Enviado el: Sábado, 11 de Octubre de 2003 05:13 p.m.Para: XXXXXXX MX
Asunto:
hijo de tu chingada madre te vas a morir por andar con las mujeres de otros cuidate porque te ando siguiendo
Do you Yahoo!?The New Yahoo! Shopping - with improved product
search
1.
-----Mensaje original-----De: pepe perez [mailto:[email protected]]
Enviado el: Lunes, 13 de Octubre de 2003 06:15 p.m.Para: Moguel Oscar MX
Asunto:
Pinche PUTO!!!
ojala te mueras
ya te dije cuidate en vallejo hay muchos accidentes
2.
-----Mensaje original-----De: pepe perez [mailto:[email protected]]
Enviado el: Viernes, 17 de Octubre de 2003 06:10 p.m.Para: Moguel Oscar MX
Asunto:
putooooooooooooo
Internet GRATIS es Yahoo! Conexión.Usuario: yahoo; contraseña: yahooDesde Buenos Aires: 4004-1010
Más ciudades: clic aquí.
3.
From: XXXXXXXXXXXXXXX]Sent: Lunes, 20 de Octubre de 2003 11:20 a.m.Subject: FW: Otro correo
Sr. RÌos,
Nuevamente llegÛ otro correo para XXXXX le anexo el encabezado y el texto del mismo.
Por favor si requiere de alguna informaciÛn, estoy a sus Ûrdenes para darle seguimiento a este asunto.
Saludos
Microsoft Mail Internet Headers Version 2.0Received: from web20421.mail.yahoo.com ([66.163.169.97]) by SONMEXEXC01.sonopress.local with Microsoft SMTPSVC(5.0.2195.5329); Mon, 20 Oct 2003 12:03:10 -0500M e s s a g e - I D : <[email protected]>Received: from [200.67.238.100] by web20409.mail.yahoo.com via HTTP; Mon, 20 Oct 2003 10:04:47 PDTDate: Mon, 20 Oct 2003 10:04:47 -0700 (PDT)From: pepe perez <[email protected]>To:XXXXXXXXXXXMIME-Version: 1.0C o n t e n t - T y p e : m u l t i p a r t / a l t e r n a t i v e ; boundary="0-2130366236-1066669487=:79838"Return-Path: [email protected]: 20 Oct 2003 17:03:10.0893 (UTC) FILETIME=[0A9D1DD0:01C3972C]--0-2130366236-1066669487=:79838Content-Type: text/plain; charset=us-ascii--0-2130366236-1066669487=:79838Content-Type: text/html; charset=us-ascii
XXXXXXXXXXXXXXXX XXXXXXXXXX
-----Mensaje original-----De: pepe perez
[mailto:[email protected]]Enviado el: Lunes, 20 de Octubre de
2003 12:05 p.m.Para: XXXXXXMAIL
Asunto:
hola pendejito
no estas en la ciudad verdad?
Do you Yahoo!?The New Yahoo! Shopping - with
improved product search
4.
-----Mensaje original-----
De: pepe perez [mailto:[email protected]]
Enviado el: Miércoles, 22 de Octubre de 2003 01:51 p.m.
Para: XXXXXMAIL; [email protected]:
Ya regresaste hijo de puta???
Hay que tener cuidado en la calle
Do you Yahoo!?The New Yahoo! Shopping - with improved product
search
From: XXXXXXXXXXXX]Sent: Miércoles, 22 de Octubre de 2003 01:26 p.m.To: [email protected]: XXXXXXXXX; [email protected]: FW: otro correoHola Agustín,
Te anexo el detalle de otro correo que llego el día de hoy, cabe mencionar que ahora le esta mandando copia al skyams de XXXXXXXXX, por favor avisame que otra información requieren. Por otro lado, te encargo que lo de la orden legal para Telmex se prepare lo más pronto posible, si puedo ayudar en algo avisame de inmediato.
Quedo a tus órdenes. Saludos
-----Original Message-----From: XXXXXXXX Sent: Miércoles, 22 de Octubre de 2003 02:06 p.m.To: XXXXXXXXXXXXSubject: RV:
Microsoft Mail Internet Headers Version 2.0Received: from web20405.mail.yahoo.com ([66.163.169.93]) by SONMEXEXC01.XXXXXXX.local with Microsoft SMTPSVC(5.0.2195.5329); Wed, 22 Oct 2003 13:49:59 -0500Message-ID: <[email protected]>Received: from [200.67.238.82] by web20405.mail.yahoo.com via HTTP; Wed, 22 Oct 2003 11:51:26 PDT
Date: Wed, 22 Oct 2003 11:51:26 -0700 (PDT)From: pepe perez <[email protected]>To: XXXXXXXXXXXX, [email protected]
MIME-Version: 1.0Content-Type: multipart/alternative; boundary="0-2093336477-1066848686=:34452"Return-Path: [email protected]: 22 Oct 2003 18:50:00.0182 (UTC) FILETIME=[4BAC8160:01C398CD]--0-2093336477-1066848686=:34452Content-Type: text/plain; charset=us-asci--0-2093336477-1066848686=:34452Content-Type: text/html; charset=us-ascii
5.
From: Morales Arlene MX [[email protected]]Sent: Martes, 28 de Octubre de 2003 10:18 a.m.To: [email protected]: [email protected]; Moguel Oscar MXSubject: FW: Otro correo
Hola AgustÌn,
Te anexo otro correo que le llego el dÌa S·bado.
Saludos
-----Original Message-----From: [email protected] [mailto:[email protected]]Do you Yahoo!?Exclusive Video Premiere - Britney Spears
Sent: Lunes, 27 de Octubre de 2003 06:07 p.m.
FWD from XXXXXXX: [email protected]|Ojala te mueras desgraciado|
---------------------------------
6.
-----Mensaje original-----De: Joao Elguera [mailto:[email protected]]
Enviado el: Lunes, 10 de Noviembre de 2003 09:07 a.m.Para: XXXXXXXXMX; [email protected]
Asunto: puto
Yahoo! Mail - 6MB, anti-spam e antivírus gratuito. Crie sua conta agora!
7.
-----Mensaje original-----
De: Frederick Von Oosterom [mailto:[email protected]]
Enviado el: Jueves, 13 de Noviembre de 2003 02:45 p.m.Para: XXXXXXX MX; [email protected]
Asunto: putito de mierda
8.
¿Esto es un delito informático o un
cybercrime?
¿En dónde se cometió el Delito?
Jurisdicción
Otro de los subtemas que van implícitos en el cybercimen, es el de la jurisdicción.
Jurisdicción significa, decir el derecho; por lo tanto, ¿cuál es el derecho aplicable cuando se comete un delito de esta naturaleza?
Cyberespacio: fue definido en 1984: Terreno no físico creado por las computadoras. “el ciberespacio no es un lugar. Son muchos lugares distintos” y ahí se comenten delitos, por lo tanto, qué derecho le aplico.
- Lex loci comissi delicti - / - Locus regit actum -
Jurisdicción
En materia de jurisdicción y atendiendo al carácter global de estas conductas, se deben tomar en cuenta, entre otros, los siguientes temas, que no se abordan en los comunicados de prensa o discursos de diversos actores que hablan sobre la cybercriminalidad:
● Usos horarios (”Time zones”)
● Jurisdicciones de los diversos países que intervienen en forma pasiva en la comisión de esta conducta● Diferentes sistemas legales que rigen donde se cometió el crimen● Diferentes capacidades / habilidades técnicas en un país y otro
● La edad de los delincuentes
¿Cómo compruebo que se cometió el delito?
Prueba
Otro de los temas más discutidos y más complejos de analizar, es el tema de la prueba.
Un abogado, a lo que se enfrenta es a lo siguiente:
1.- Decidir por qué tipo penal va a denunciar, porque a veces, no es tanfácil, porque puede haber un concurso de conductas o no se encuadra la conducta.
2.- Entender el tipo penal por el que se decidió denunciar
3.- Probar que se cometió el ilícito. No se reconoce como medio de prueba con valor probatorio pleno, sino como mero indicio.
4.- Que el MP entienda.
AH!!! y encontrar al delincuente
Prueba
Una de las figuras que han emergido con la aparición de estos delitos es el análisis forense.
Una de las personas que a raíz de la comisión de estos ilícitos ha crecido en importancia, son los peritos en informática y de otra actividad, como por ejemplo los peritos en materia de propiedad intelectual.
¿A qué me refiero?
Vean esto...
¿Cuál fue el desenlace?
From:XXXXXXX MX [XXXXXXXXXX.com.mx]Sent: Martes, 27 de Enero de 2004 11:39 a.m.
To: Agustin Rios - riapSubject: RV: Te debo algo
-----Mensaje original-----
De: Ricardo XXXXX [mailto:[email protected]]Enviado el: Sábado, 24 de Enero de 2004 10:05 p.m.
Para:XXXXXXXAsunto: Te debo algo
Hola Oscar,
No me conoces ni te conozco, sin embargo necesito ofrecerte mis mas sinceras disculpas. No te voy a dar explicaciones, solo te voy a decir que estuve en algo parecido a lo que sucede con los drogadictos o los alcoholicos y estoy haciendo muchos esfuerzos por
recuperarme. Parte de mi recuperacion es aceptar mis errores y afrontar las consecuencias de mis actos.
Edith se merece lo mejor del mundo, si te interesa deveras vas a tener que esforzarte mucho y darle su lugar siempre, te deseo lo mejor.
No hay trucos en esto, cuando quieras te repito lo que acabo de escribir en persona.
XXX. Ricardo XXXX
Consultor XXXXXS.A. de C.V.
¿De quién es el problema?
Legisladores
Sociedad
Autoridades ejecutoras
Empresas Individuos
Ministerios Públicos
Jueces
Policía Judicial
Diputados Senadores
• Tienen que volver un delito grave, cuando para la comisión del delito tradicional, se involucre el uso de medios electrónicos, sean computadoras, dispositivos de almacenamiento de datos, etc., y darle pleno valor probatorio a los medios electrónicos.
• Aprobar un presupuesto real para la atención, persecución de delitos de esta naturaleza.
• Incrementar la penalidad para el delito consagrado en el art. 211bis, a 5 años de prisión.
• Adoptar el Tratado sobre Cybercriminalidad y volver esto un delito de orden federal.
Legisladores
Autoridades ejecutoras
•Capacitación a todos los niveles.
•Crear una Fiscalía especial, incorporando un órgano investigador similar al de la Policía Cibernética.
•Cooperación Internacional 365*24*7
• Tener una cultura de Seguridad de la Información.
• Aprender a usar el Internet de una forma segura y si no, ser responsable de las consecuencias de nuestros actos.
• Capacitarnos constantemente, lo cual implica una inversión, que sin duda tiene un ROI elevado.
• Denunciar. Si no denuncias, cállate.
Sociedad
• Desde el punto de vista de la Dirección de la empresa, a continuación valdría la pena revisar lo siguiente:
• ¿Existe una política escrita sobre “Seguridad de la Información” en la empresa?
• ¿Existe un proceso de análisis de dicha política? Recuerden que deber ser un documento que debe ser actualizado por la naturaleza de la seguridad de la que hablamos.
• ¿Son los temas de “Seguridad de la Información” una parte de la inducción que se da a las nuevas personas que integrarán la empresa?
Recomendaciones
¿De quién es el problema?
Legisladores
Sociedad
Autoridades ejecutoras
Empresas Individuos
Ministerios Públicos
Jueces
Policía Judicial
Diputados Senadores
De todos !!!
Recomendaciones prácticas
• ¿Hay alguna persona encargada del tema de la Seguridad de la Información dentro de la empresa?
• ¿Cuál es la periodicidad que se ha aprobado para la capacitación sobre temas de “Seguridad de la Información”? Esto no puede ser de un curso.
• ¿Existe un manual o proceso sobre Seguridad de la Información, debidamente por la Dirección?
• ¿Existe un manual o proceso para el manejo de incidentes? Finalmente, es algo que nos puede ocurrir; ya vimos algunas de las varias formas en que se envuelven los ataques. Hay que estar prevenido.
Recomendaciones• Desde el punto de vista de la Empresa u Organización, a continuación
valdría la pena revisar lo siguiente:
• ¿Son revisadas, a conciencia, las nuevas personas que van a entrar a trabajar? Referencias, Educación, Antecedentes penales, etc. Esto debe hacerse antes, ya que después podrá ser tarde y costoso.
• ¿El personal firma contratos de confidencialidad? ¿Además, qué otras medidas se adoptan para preservar la confidencialidad de la información?
• ¿Han identificado al personal clave dentro de la organización?
• ¿Se advierte al personal o miembro del equipo de las consecuencias que conlleva la violación de políticas de seguridad?
• ¿Qué rutinas se adoptan cuando una persona de va por la razón que sea?
Recomendaciones• Desde el punto de vista de los Empleados o personal, a continuación valdría
la pena revisar lo siguiente:
1. Responsabilidades de la Dirección 2. Empresa u Organización 3. Personal (empleados) 4. Personal (otros) 5. Clasificación de la Información 6. Software 7. Hardware 8. Documentación 9. Computer media 10. Identificación y autorización 11. Sistemas de seguridad12. Comunicaciones 13. Acceso a sistemas 14. Respaldo 15. Protección física 16. Manual de atención de Incidencias 17. Plan para el manejo de continencias
{http://www.interpol.int/Public/TechnologyCrime/CrimePrev/
companyChecklist.asp
¿Qué puedo hacer si soy víctima o cómo potencial
víctima?
✘
¿ QUÉ PUEDO HACER SI SOY VÍCTIMA DE UN DELITO INFORMÁTICO ?
¿ DENUNCIAR ?
¿ CALLAR ?
¿ CRITICAR ?
Ó
✔
✔
http://www.ndweb.org/
acudir a Nuestra Señora de la Red(Madre de los Cibernautas)
Conclusiones
FirmaElectrónica
FunciónPública
Protección alConsumidor
NOM Conservación
Mensaje de Datos
Soc. Inf.Crediticia
SAT
FacturaElectrónica
IESBANXICO
CircularDigitalización
CNBV
Delítos Informáticos
¿?
Falta lo que yo llamaría el “judicialización electrónica”, es
decir, que los Tribunales y autoridades competentes para
aplicar el derecho le entren al tema y estemos a la altura. Ah! y que
denunciemos.
Faltan estadísticas
Virus
FraudesPornografía
1 Virus 65%2 Robo de Laptop 47%3 Acceso no autorizado a redes 42%4 Acceso no autorizado a información 32%5 Denegación de servicios 25%6 Penetración de sistemas 15%7 Abuso de redes inalámbricas 14%8 Robo de Información 9%9 Fraude financiero 9%10 Fraude de Telecomunicaciones 8%11 Mal uso de aplicaciones públicas 6%12 Alteración de web sites 6%13 Sabotaje 3%
Tipos de Ataques en los últimos 12 meses
Virus
Robo Laptop
ANAR
ANAI
DoS
Penetración
ARI
Robo Inf
Fraude Fin
Fraude Telecom
MUAW
WSD
Sabotaje
Tipos de Ataque
Fuente: CSI / FBI 2006 Computer Crime and Security Survey
Virus 15.6
ANAI 10-6
Laptop 6.6
Robo Inf 6
DoS 2.9
Fraude Fin 2.5
Fraude Telec 1.2
ARI 469
MUAW 269
Sabotaje 260
35
26
17
14
4
2
1
1
0
0
0
SPAM
Beagle
scan445
Blaster
Phatboot
Open proxy
Escaneos
Slammer
Mydoom
Nachi
Phishing
Incidencias reportadas
Fuente: CERT UNAM
2635x2005
En respuesta a la solicitud de información con folio 0413100013606, promovida por usted ante esta Unidad de Enlace, me permito, en cumplimiento a lo establecido por el artículo 44 de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, informarle lo siguiente:
"Delitos informáticos o cometidos por medios electrónicos registrados por la Policía Cibernética en el 2005 y lo que va del 2006 (primer trimestre) se tienen atendidos 2,076 Denuncias Ciudadanas.
Con respecto a cuántos delitos de phishing, se ha detectado en el 2005 y lo que va del 2006 (primer trimestre), se cuenta con el registro de 92 páginas desactivadas: tienen registrados 92 casos.".
0
1,125
2,250
3,375
4,500
3,464
4,500
478
774
No. de Clientes
Importe
No. de ClientesImporte
No. de ClientesImporte
Fuente: Grupo de Banca y Comercio Electrónico de la ABM
Áreas de oportunidad
JURISDICCIÓN
+IDENTIDAD
1.- “el uso de la Tecnología no necesariamente es una forma de nueva conducta, sino un medio para ejercitar las ya conocidas”
2.- “en esa red de información, abunda lo contrario: la desinformación”.
Algunas consideraciones
3.- “La información es el tesoro más valioso que la especie humana tiene”.
CONCLUSIONES
1.- Existen leyes pero no son suficientes
2.- Mayores estadísticas: No se controla lo que no se mide
3.- Capacitación de todos: la mejor herramienta es la prevención
4.- Cambio de modelo
Muchas gracias.
