Patrocinio

Soluciones jurídicas para problemas en criptografía y ciberseguridad

Los abogados del siglo XXI tienen el deber ético y de derecho consuetudinario de tomar decisiones razonables para proteger la información de sus clientes

Por: Antonio Sauma, Estudiante de Leyes, Universidad de Navarra

Algunos de los delitos que pueden presentarse en aplicaciones como Facebook, Instagram o WhatsApp son: intromisión ilegítima del derecho de personalidad, injurias, estafas, ofensas a la memoria de un difunto, entre otras. Sin embargo, en este artículo trato problemas de ciberseguridad y criptografía relacionados con computadoras y medios de pago virtuales, como Bitcoins. Es importante para los abogados y empresarios adaptarse a las últimas tecnologías y comprender sus obligaciones legales y éticas.

Las amenazas a datos de computadoras, dispositivos móviles y sistemas de información están en su punto más alto, adaptando variedad de formas que van desde estafas por correo electrónico y ataques de ingeniería social hasta “exploits” técnicos sofisticados que provocan intrusiones a largo plazo en las redes de los despachos de abogados. Asimismo, incluyen amenazas: personal malicioso, no capacitado, desatento e incluso aburrido.

Los abogados del siglo XXI tienen el deber ético y de derecho consuetudinario de tomar decisiones razonables para proteger la información de sus clientes. También suelen tener obligaciones contractuales y reglamentarias para proteger la información del cliente y otros tipos de información confidencial. Es crucial que reconozcan estas amenazas y sepan abordarlas a través de programas integrales de ciberseguridad. Veremos algunos de los medios para cometer delitos tecnológicos…

Los Ataque del 51%

En 2018 se registraron varios casos de ataques de distinta naturaleza que utilizaron malware con el fin de obtener criptomonedas mediante la minería ilegal. Ejemplos de esto son el caso de Kodi y la manipulación por parte de cibercriminales para distribuir malware de criptominería y el ataque de cadena de suministro al Exchange gate.io. Sin embargo, un problema aún mayor son los Ataque del 51%: Un problema a la que cualquier criptomoneda puede ser víctima debido a las cadenas de bloques que utilizan protocolos “proof of work” para la verificación de sus transacciones. Un protocolo de “Blockchain” es un conjunto de reglas que determinan cómo las computadoras conectadas a una red verifican nuevas transacciones y las añaden a la base de datos.

En el proceso de verificación o “minería”,  diferentes nodos de la red consumen mucha potencia de procesamiento para demostrar que son lo suficientemente confiables como para agregar información sobre nuevas transacciones a la base de datos. En este sentido, “un minero” que obtiene el control mayoritario del poder de minería de una red puede engañar a otros usuarios enviando pagos y luego crear otra opción de la Blockchain (llamada fork), en el cual, el pago nunca existió. Por lo tanto, un atacante que controle el mayor porcentaje de potencia de procesamiento puede hacer que el fork sea la versión más autorizada de la cadena y gastar la misma criptomoneda nuevamente.

Según Gavin Andresen (desarrollador del proyecto Bitcoin), defender la red ante un ataque del 51% sería relativamente sencillo obligando al atacante a contar con una potencia de hash y BTC antiguos de alta prioridad muy elevada. El tiempo en el que el ataque perduraría sería relativamente bajo y el atacante se quedaría rápidamente sin BTC de alta prioridad viéndose obligado a incluir transacciones de otros o bien sufrir el rechazo de su cadena.

Ante esta situación de hecho es aplicable el artículo 264 del Código Penal español que establece: “El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años”.

Asimismo es de aplicación el artículo 264 bis que establece que: “Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno: a) realizando alguna de las conductas a que se refiere el artículo anterior; b) introduciendo o transmitiendo datos; o c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.  Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

Por último, es de aplicación el artículo 197 bis del Código Penal que forma parte del título dedicado a los delitos contra la intimidad, el derecho a la propia imagen y la inviolabilidad del domicilio y que establece lo siguiente: “1- El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años. 2- El que mediante la utilización de artificios o instrumentos técnicos, y sin estar debidamente autorizado, intercepte transmisiones no públicas de datos informáticos que se produzcan desde, hacia o dentro de un sistema de información, incluidas las emisiones electromagnéticas de los mismos, será castigado con una pena de prisión de tres meses a dos años o multa de tres a doce meses.”

Problemas de seguridad para contratos inteligentes

La tecnología Blockchain también se utiliza para contratos inteligentes. Un contrato inteligente es un programa de computadora que se ejecuta en una red Blockchain y se puede usar para cambiar moneda, propiedad o cualquier cosa de valor. Según el Instituto Tecnológico de Massachusetts – MIT, otro uso que se puede utilizar para los contratos inteligentes es crear un mecanismo de votación a través del cual todos los inversores en fondos de capital riesgo pueden decidir cómo asignar los fondos.

Un contrato inteligente activo puede tener consecuencias críticas, ya que al apoyarse en la Blockchain no puede repararse con un parche. En este sentido, los contratos inteligentes se pueden actualizar, pero no se pueden reescribir. Por ejemplo, puede crear un nuevo contrato que interactúe con otros contratos, o puede crear un interruptor de interrupción centralizado en la red para detener la actividad después de que se detecta un ataque, aunque puede llegar a ser tarde.

La única forma de recuperar el dinero es ir al punto de la cadena de bloques previo al ataque y crear un forkpara una nueva cadena de bloques y lograr que toda la red acepte usar esa Blockchain en lugar de la otra.

Es un tipo de “malware” que amenaza con publicar datos de la víctima o bloquear el acceso a ellos a menos que se pague un rescate. Según datos del CERT de Seguridad e Industria (CERTSI) operado de forma coordinada por el Instituto Nacional de Ciberseguridad de España (INCIBE) y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), en 2016 se gestionaron 70 incidentes por ransomware que afectaron a este tipo de organizaciones. Se detectaron 66 páginas web de despachos de abogados que habían sido infectadas con malware inyectado, y 158 habían sido víctimas de una alteración de su apariencia original.

¿Cómo se ejecuta este fenómeno? Básicamente se hace una lista de todos los ficheros del duro que van a ser encriptados (cifrados). Una vez conoce cuáles ficheros va a dejar inutilizados empieza a cifrarlos a gran velocidad. En algunas variantes de Ransomware, se produce una propagación por su red de computadoras cifrando a su vez la información contenida en el resto de ordenadores de la empresa maximizando el impacto del ataque. Evidentemente, si su medida de protección es un disco duro (o cualquier dispositivo de almacenamiento externo) conectado por USB, dese por vencido: será cifrado también y con ello el futuro de su empresa. Concluida la infección muestra un mensaje de extorsión.

¿Cómo son los pasos que utiliza el ransomware?

  • Ejecutar el archivo infectado (usualmente por email).
  • El malware baja el resto del código malicioso desde el ordenador del atacante, el malware identifica los archivos a atacar.
  • El malware identifica los archivos a cifrar (por lo general documentos de “Office” o correos electrónicos).
  • Inicia el proceso de cifrado de datos (hoy comúnmente utilizando 2048 bits).
  • El malware notifica a la víctima de la situación y pide el rescate.
  • El delincuente espera por el pago para entregar la clave.
  • Posible envío de la clave por parte del delincuente (sin certeza de recuperar la información).

¿Qué se debe hacer cuando nos enfrentamos al ransomware?

Lo primero es saber de qué tipo de ransomeware es para poder llegar a una solución. No siempre se puede encontrar la amenaza en concreto, pero existen diversas aplicaciones para determinarlos como ID Ransomware o Crypto Sheriff. Segundo, desconectar el equipo de la red, aislándolo y evitando la infección entre ordenadores. Asimismo, nunca pagar por el “chantaje” porque no hay certeza de que se recupere lo robado.

¿Qué solución se puede presentar jurídicamente contra estos delitos?

Patrocinio

Los Estados tipifican los delitos en el Código Penal (España) o leyes penales especiales (Estados Unidos o Reino Unido). También se encuentran instrumentos internacionales como el Convenio sobre la Ciberdelincuencia, realizado en Budapest en el año 2001.

Estos delitos de Ransomware integran la conducta típica del delito de daños y sabotajes y como en los ataques del 51%, también se prevé el artículo 264 del Código Penal español el cual castiga las conductas sobre datos, programas informáticos o documentos electrónicos ajenos; mientras que las referidas al normal funcionamiento de un sistema informático ajeno se sancionan en el nuevo artículo 264 bis del Código Penal. Además, el artículo 264.2 del  Código Penal agrava las penas en el caso de comisión de los hechos delictivos en el marco de una organización criminal, cuando se hayan causado daños de especial gravedad, o cuando se hayan visto afectados los intereses generales.

Falsificación de firmas digitales

En criptografía con el uso de las firmas digitales uno puede comprobar la autenticidad del documento y verificar de una manera más precisa la autenticidad del remitente. Es importante mencionar que el remitente utiliza lo que se conoce como una llave privada para enviar el documento que nadie conoce; sin embargo, las llaves privadas y públicas corresponden a una persona en específico. Por la llave privada se puede tener certeza de que el archivo fue enviado directamente por esa persona. Existe un proceso para lograr confiar en firmas digitales y saber que el que envió el mensaje es el auténtico.

¿Cómo funciona este proceso? Primero, están los datos que desea enviar y debe codificarlos (usando MD5 u otro) mediante la función hash que creará un número. Luego, encripta con la clave privada ese número hash y obtiene como resultado la firma (otro número diferente del número hash). Luego, adjunta a los datos (certificado y firma) creando los datos firmados digitalmente. Después de hacer este proceso, debe verificar que la firma brinde una garantía de que el mensaje vino de la persona que lo envió. Ahora, ¿cómo se verifica? Hay dos piezas de información enviadas (el documento y la firma), así que hay que tomar el hash de la firma y usar la clave pública para obtener como resultado otro hash. Luego, se toma el documento y se ejecuta en MD5 (el mismo que usan los remitentes) y obtiene el hash: asegúrese de que los dos sean iguales (el que usamos como resultado de la clave pública y el que es el resultado de MD5).

Las consecuencias legales de la falsificación de firmas digitales, una vez comprobado que la firma no fue realizada por el remitente oficial, deriva en consecuencias penales encontradas en el delito de falsificación documental, debido a que no existe un delito de falsificación de firmas. En el primer caso, regulado en el artículo 390 del Código penal español, y si es una autoridad pública la que falsifica la firma de ese documento, se aplica una pena de prisión de 3 a 6 años. En caso de que la falsificación se realice por un particular, la pena de prisión es de 6 meses a 3 años. Además, se impondrán otras sanciones como la inhabilitación para cargo público, multas o suspensión de empleo.

En casos de falsificar la firma en documento privado, el artículo 395 del Código penal recoge la imposición de una pena de prisión de 6 meses a 2 años. Además de la falsificación de firma, si una persona usa un documento sabiendo que ha sido falsificado, puede incurrir en delito de estafa o fraude. Por tanto, aunque la persona autorice a falsificar una firma, se debe tener mucho cuidado ya que puede ser condenado con pena de cárcel.

Qué es el Phishing

El phishing es el fraude online más extendido, a través del cual los ciberdelincuentes roban datos de los usuarios (especialmente los de bancos) para vaciar sus cuentas. El phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono. Pero el término “phishing” se usa principalmente para describir los ataques que llegan por correo electrónico, dentro del cual se encuentran distintos tipos de phishing tales como: estafas por correo electrónico, SMiShing o Spear phishing. 

Por lo general, el “phishing” se lleva a cabo mediante un mail apócrifo (también puede ser vía mensaje de texto al celular) que simula ser del banco del cliente y con el cual se le pide que actualice una serie de datos personales. El argumento suele ser que supuestamente se realizaron una serie de cambios y por lo tanto requieren actualizar la base de datos.

En el mensaje se incluye un link que redirecciona a otra página, el cual también simula la estética del banco, donde solicitan que se ingresen los datos. Al hacerlo, el usuario brinda información confidencial sin sospechar que se trata de una estafa. Para hacerlo aún más creíble, muchas veces el sistema luego vuelve a redireccionar al usuario hacia la página oficial del banco, y de esta forma se intenta esconder el engaño. Quizás no sea inmediato, pero el paso siguiente de los estafadores será vaciar tu cuenta bancaria o hacer compras online con tu dinero. 

Cómo evitar el phishing

1. Aprenda a identificar claramente los correos electrónicos sospechosos de ser phishing.

2. Observar la fuente de información de los correos entrantes.

3. Nunca entrar en la web del banco pulsando en links incluidos de correos electrónicos.

4. Reforzar la seguridad del ordenador.

5. Introducir los datos confidenciales únicamente en webs seguras.

6. Revisar periódicamente las cuentas.

¿Cuáles son las consecuencias legales del phishing?

El phishing puede definirse como el acto ilícito que persigue la suplantación de identidad (en Internet, pero también por otras vías), con la finalidad de hacerse de los datos confidenciales de los usuarios víctimas, a fin de aprovecharse del patrimonio de estos. En el artículo 248 del Código Penal español leemos que son considerados como reos de estafa quienes “con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro” quienes “fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo” y quienes “utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”.

Asimismo y de conformidad con los artículos 250 y 251 del Código Penal, la pena de prisión puede ser hasta de seis años para los mayores delitos, sin contar con los agravantes. Para el establecimiento de la pena se deberán tener en cuenta ciertos elementos: el patrimonio perjudicado, los medios empleados para cometer la estafa, los medios utilizados o la relación del defraudador con el defraudado, entre otros.

Resulta que las firmas de abogados son excelentes objetivos para los hackers debido a la información tan valiosa que poseen. El trabajo de los abogados va a cambiar de manera radical en los próximos años. Aquellos despachos que no cuenten con las nuevas tecnologías o que no se apoyen en servicios tecnológicos, se irán quedando poco a poco fuera de juego. Por eso es que se debe estar alerta y observar las nuevas tendencias, a fin de adaptarnos al cambiante mercado de servicios jurídicos. Desde luego, todo eso obligará a cambiar también el modelo de enseñanza del derecho. El futuro nos alcanzó y es responsabilidad de cada uno saber cómo hacerle frente.

Conocimientos adquiridos del programa “Computer Science for Lawyers” de la Universidad de Harvard vía EDX.

¿Qué le pareció esta nota?

Califíquenos de 1 a 5 estrellas

Si le pareció interesante esta nota,

¡síganos en redes sociales!

¿Cómo podríamos mejorar esta información?

Comentarios

Las colaboraciones enviadas a aDiarioCR.com son responsabilidad exclusiva de sus autores. aDiarioCR.com no se responsabiliza por su contenido.

 

Acerca del autor Colaboración

Las colaboraciones enviadas a aDiarioCR.com son responsabilidad exclusiva de sus autores. aDiarioCR.com no se responsabiliza por su contenido.

Artículos recomendados