Accesos Ilícito a Sistemas Informáticos
Enrique Á.
Problem Management / Data & Analytics / Business Analyst / Security Information / Help Desk Maestría en Seguridad Informática
Con el avance tecnológico en materia de comunicaciones y dispositivos electrónicos que acceden a miles de bases de datos e información en tiempo real y modo off line, es sin duda un tema que a todos nos atañe, particularmente a las organizaciones, administradores y custodios de la información y BD’s.
Hoy en día es muy común que seamos víctimas de delitos informáticos ya sea como usuario final o como organización. De una u otra manera estamos expuestos ante estos delitos y muchos de ellos o gran parte de ellos no son denunciados ante las autoridades correspondientes.
Debemos tener una clara idea de lo “qué es y no es un delito”. Estos los podemos clasificar de dos vertientes. En la primera son Delitos informáticos de naturaleza y la segunda aunque no sean delitos informáticos, se consideran como tales por el solo hecho de hace uso de una computadora o dispositivo electrónico (Tablet, smartphone, etc.)
Los delitos más comunes en materia de tecnologías de información encontramos:
- Fraudes y falsificación.
- Robo de Identidad y contraseñas.
- Acceso no autorizados.
- Interceptación de comunicaciones y correo electrónico.
- Sabotaje, espionaje, terrorismos y narcotráfico.
- Pornografía infantil y trata de blancas.
En muchos países, en especialmente los desarrollados cuentan con leyes en materia de Delitos Informáticos de manera específica. En el caso de México se cuenta con leyes en materia de, sin embargo aún le falta madurez y esto por el desconocimiento tanto por la ausencia de especialistas en el área legal e informáticos y de telecom.
El acceso y la consulta a la información se rigen por las facultades jurídicas que están establecidas en la constitución y código de procedimientos penales y reglamentos.
Es importante conocer los derechos y libertades que goza cada individuo y distinguir entre lo que está permitido y lo que es ilegal. En base a esto se establecen tres facultades jurídicas básicas:
- Libertad de Buscar Información.
- Libertad de difundir la información.
- Libertad de recibir información contrapartida de la libertad de difundir.
¿Cuántas veces has sido víctima de pérdida, destrucción o modificación de la información, por acceso no autorizado o por un descuido?
¿Has identificado a tus empleados accediendo a información de manera indebida, modificando, alterando, copiando, robando o compartiendo con terceros?
¿Conoces del valor monetario de tu activo y el de tu información?
¿Sabes cuáles artículos aplican en caso de acceso ilícito a sistemas y equipos de informática?
A continuación, listo aquellos artículos relacionados al “Acceso ilícito a sistemas y equipos de informática” del Código Penal Federal.
“Capitulo II
Acceso ilícito a sistemas y equipos de informática
Artículo 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.
Artículo 211 bis 2.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
A quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.
Artículo 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa.
A quien estando autorizado para acceder a sistemas, equipos o medios de almacenamiento informáticos en materia de seguridad pública, indebidamente obtenga, copie o utilice información que contengan, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, hasta una mitad más de la pena impuesta, destitución e inhabilitación por un plazo igual al de la pena resultante para desempeñarse en otro empleo, puesto, cargo o comisión pública.
Artículo 211 bis 4.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Artículo 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.”
El acceso puede ser de manera directa o remota. Es importante activar el registros de las bitácoras de acceso o logs a los sistemas, ya que con esto podemos identificar de manera más eficaz quién ha ingresado a los mismos y en caso de un análisis forense este se podrá recuperar la evidencia en frio o en caliente y así proceder ante las autoridades correspondientes o a las agencias ministeriales.
El acceso a los sistemas no es algo que se deje a la ligera, ya que pueden derivar a otros delitos no mencionados en este articulo, como puede ser revelación de secretos, espionaje, etc.
Bibliografía consultada.
Aspectos Legales de la Tecnología, García Juan, Universidad Valle de Bravo
Código Penal Federal DOF 12-03-2015