Ley de Delitos Informáticos y la polémica con su reglamento
En febrero del 2012 Indotel dió a conocer la resolución 086-11, que aprueba el “Reglamento para la obtención y preservación de datos e informaciones por parte de los proveedores de servicios, en aplicación de las disposiciones de la Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología”. A su vez, esto fue en cumplimiento de la resolución 56-09 que ordenaba el inicio del proceso de consulta pública para elaborar el reglamento.
La resolución 086-11 en realidad fue aprobada el 1 de septiembre del 2011, y tenía un plazo de seis meses para entrar en vigencia a partir de su publicación en un periódico de circulación nacional. Coincidencia o no, el anuncio del reglamento se hizo en momentos en que había un escándalo por hackeos de correos electrónicos a figuras el gobierno.
Al conocerse el reglamento se armó una polémica al entender muchas personas que Indotel había actuado a la carrera para favorecer a los afectados por los hackeos, y otros porque sintieron que la recolección de datos se prestaba a violaciones a la privacidad de los usuarios. Como vemos, Indotel tenía desde el 2009 trabajando en el reglamento haciendo consultas públicas, por lo que se descarta que fuera algo apresurado. Sobre el tema de la privacidad se comentó mucho en los medios de comunicación y hay varias opiniones al respecto a favor y en contra.
En esos días una periodista me hizo algunas preguntas sobre el reglamento, la ley 53-07 y sobre los delitos informáticos en Rep. Dominicana. Por considerarlo útil, comparto las respuestas con mis lectores.
1. Usted sabe que Internet no tiene fronteras, por tanto, los crímenes cibernéticos tampoco. Deseo saber cómo se puede identificar a los delincuentes que operan desde otros países para afectar a República Dominicana y si las leyes dominicanas guardan coherencia con otros países respecto a las penas, pues lo que aquí puede considerarse una infracción , en otras naciones puede que no lo sea, además de las vulnerabilidades de ciertas legislaciones en materia informática.
El origen de los ataques se puede rastrear si se conoce la dirección IP desde donde provienen. Las direcciones IP son como los números de teléfono de Internet, y están asignados por bloques a regiones, países y a proveedores de servicio. Un delincuente experto puede disfrazar o simular el origen de los ataques e incluso puede utilizar redes, máquinas y usuarios de diversos países, lo que dificulta y a veces hace imposible el rastreo.
En cuanto a legislaciones internacionales, cuando se trabajó en la redacción de la Ley 53-07 se tomó en cuenta la resolución de la OEA AG/RES 2004 (XXXIV -0/04) del 8 de junio del 2004, que trata de lo siguiente:
AG/RES 2004 (XXXIV -0/04) Adopción de una Estrategia Interamericana Integral para Combatir las Amenazas a la Seguridad Cibernética: Un enfoque multidimensional y multidisciplinario para la creación de una cultura de Seguridad Cibernética.
La citada resolución reconoce la urgencia de aumentar la seguridad de redes y sistemas de información comúnmente denominados Internet a fin de abordar las vulnerabilidades y proteger a los usuarios, la seguridad nacional y las infraestructuras esenciales frente a las graves y perjudiciales amenazas que representan aquellos que podrían llevar a cabo ataques en el espacio cibernético con fines maliciosos o delictivos, e igualmente urge a los Estados Miembros a establecer o identificar grupos nacionales “de vigilancia y alerta” también conocidos como “Equipos de Respuesta a Incidentes de Seguridad en Computadoras (ERISC)”.
También se tomó en cuenta el Convenio sobre la Ciberdelincuencia del Consejo de Europa, del 23 de noviembre del 2001. Este convenio fue motivado por la necesidad de aplicar, con carácter prioritario, una política penal común encaminada a proteger a la sociedad frente a la ciberdelincuencia, entre otras formas, mediante la adopción de la legislación adecuada y el fomento de la cooperación internacional. Si analizan este convenio, verán que la Ley 53-07 toma muchas de sus recomendaciones.
Sobre las penas a los delitos, cada país legisla según su criterio, por lo que no necesariamente tienen que ser las mismas. En el caso dominicano me parecen que hay algunas demasiado fuertes en relación a la infracción, pero durante el proceso de redacción y posterior discusión en vistas públicas de la ley, este criterio fue el que se mantuvo.
2. Qué avances hay respecto a la protección bancaria en República Dominicana?
Lo primero es que lograr la aprobación y entrada en vigencia de la Ley 53-07 de por sí es un avance significativo, pues los delitos electrónicos contra los bancos no tenían una legislación específica y se trataban con los medios legales que pudieran encontrarse en la justicia ordinaria.
En cuanto a la protección de los usuarios, se han implementado diversas medidas de seguridad, tanto en la parte de políticas y procesos como en lo relacionado a seguridad tecnológica. Así vemos en los diferentes bancos que para acceder a Internet Banking y realizar transacciones se requieren además de nombre de usuario y contraseña que es lo mínimo: tarjetas de clave o token (generador automático de claves).
Los sistemas bancarios también tienen diversas alarmas o alertas para cuando un cliente realiza una transacción no común según su patrón de consumo o transferencia de dinero, lo que permite detectar fraudes y otros tipos de delitos. El cliente es alertado por una llamada del Banco o por un minimensaje advirtiéndole del consumo. Vemos también que ya se ha iniciado el uso de tarjetas de crédito con chip en sustitución de banda magnética, que son mucho más seguras y difíciles de clonar. También en el futuro se puede aplicar un proceso similar al que usa Facebook para registrar los dispositivos (PC, tablet, móvil) que normalmente usan los clientes para acceder a Internet Banking. Recuerdo que en el año 2000 cuando se iniciaba el WAP Banking vía celulares, un banco dispuso que el cliente debía registrar su móvil para poder acceder a su cuenta.
3. En la ley 53-07 no se contemplan medidas para los crímenes en la banca móvil cuando ahora existe un auge de plataformas móviles. Cómo los usuarios pueden protegerse de estos delitos?
Es que al final ya sea banca por Internet o por el móvil ocurren los mismos delitos. Las precauciones son las mismas, cuidar sus claves de acceso o cualquier otra información sensible que permita acceder a un sistema bancario. La principal diferencia sería que es más fácil perder el móvil o que se lo roben, por lo que no es conveniente tener claves almacenadas en este tipo de dispositivo.
4. Son importantes los sistemas operativos para protegerse de los delincuentes cibernéticos? Cuáles son los más efectivos?
Siempre hay debates entre partidarios de uno u otro sistema operativo de cuál es más seguro, pero aunque haya preferencias, la mayoría de las veces el usuario no tiene otra opción que usar lo que tenga disponible. En este sentido cualquier sistema operativo configurado apropiadamente y con las herramientas adecuadas ofrece protección al usuario común. Pero aún así, el eslabón más débil es el mismo usuario, que cae fácilmente en cadenas de spam, trampas de phishing, visita sitios inapropiados y descarga contenidos de alto riesgo.
5. Qué tanto incide la ingeniería social en los delitos informáticos? Se recurre a ella con más frecuencia que otros métodos?
La ingeniería social es una de las técnicas más antiguas de obtener información confidencial. Fue utilizada por Kevin Mitnick, en su momento considerado el hacker más famoso del mundo, que en los años 80 y 90 del siglo pasado pudo acceder a sistemas informáticos de grandes corporaciones con simples llamadas telefónicas a sus empleados.
Por su sencillez, ya que no requiere necesariamente grandes habilidades tecnológicas sino más bien un alto nivel de persuasión, la ingeniera social es un método muy usado por los delincuentes.
6. Respecto a los delitos que tienen que ver con las transacciones bancarias, qué tanto tiene que ver la ingeniería social? No se recurre a ella para este tipo de crimen?
Me parece que en la actualidad es el método más usado en los delitos electrónicos bancarios, como lo podemos ver por la gran cantidad de variantes del fraude nigeriano y otras tretas, donde vía correo electrónico se intenta que la desprevenida víctima haga una transferencia bancaria o revele sus claves de acceso. Aunque parezca increíble, muchas personas en nuestro país han caído estos tipos de engaño.
7. Qué medidas debe tomar el ciudadano para protegerse de los virus y otras herramientas, además de la seguridad básica de contraseñas?
Hay mucha información en Internet que se puede consultar sobre cómo cuidarse de los diversos tipos de ataques informáticos, ya sea virus, spyware, malware, phishing, fraudes, etc. Lo básico es tener un antivirus que se actualice constantemente, si quiere tener un poco más de protección puede instalar un firewall. Encima de eso hay que usar el sentido común y no abrir cualquier email con origen desconocido ni instalar o correr programas que desconozca, tampoco hacerle caso a mensajes que le piden verificar sus datos personales o que le prometan una ganancia millonaria.
8. Con el nuevo reglamento, cómo se garantiza que no exista una violación a la intimidad por parte de los proveedores de servicios?
Las garantías las dan las mismas leyes, no creo que exista la intención en los proveedores de estar violando la privacidad de sus usuarios. Hay que destacar sin embargo que a la legislación dominicana relacionada con las tecnologías de información y comunicación todavía le falta aprobar la ley de privacidad de datos personales. Actualmente nuestra información personal está disponible para cualquiera que tenga la base de datos de la Junta Central Electoral o que acceda a uno de los servicios de buró de crédito. Mientras tanto hay que confiar en la justicia dominicana y en los proveedores de servicios de Internet para que actúen conforme a las leyes existentes. En la Ley 53-07 dice que los proveedores están obligados a conservar los datos de tráfico o navegación por un mínimo de 90 días, el reglamento lo que ha hecho es extender este plazo.
He visto comentarios de personas preocupadas por este reglamento, pero si revisan la legislación internacional verán que es lo mismo que se recomienda para todos los países. Al igual que en el caso de registros de llamadas telefónicas, los proveedores sólo ofrecen datos de navegación a los organismos de investigación del estado si existe una orden judicial.
Descarga la resolución 086-11.
Descarga la resolución 056-09.
Descarga la Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología.