ROIPRESS / OPINIÓN / EXPERTOS - Algunos de los delitos que pueden presentarse en aplicaciones como Facebook, Instagram o WhatsApp son: intromisión ilegítima del derecho de personalidad, injurias, estafas, ofensas a la memoria de un difunto, entre otras... Sin embargo, el presente artículo piensa hablar sobre los problemas de ciberseguridad y criptografía relacionados con computadoras y a medios de pago virtuales, como bitcoins. Asimismo, a saber cómo defenderse frente a posibles ataques cibernéticos y a la obtención de conocimiento sobre las recomendaciones legales que muestra “The American Bar Association (ABA).” Es importante para los abogados y empresarios adaptarse a las últimas tecnologías y comprender sus obligaciones legales y éticas.
- El phishing puede definirse como el acto ilícito que persigue la suplantación de identidad (en Internet, pero también por otras vías), con la finalidad de hacerse de los datos confidenciales de los usuarios víctimas, a fin de aprovecharse del patrimonio de estos.
Las amenazas a los datos de las computadoras, dispositivos móviles y sistemas de información están en un punto alto, adaptando variedad de formas que van desde estafas por correo electrónico y ataques de ingeniería social hasta “exploits” técnicos sofisticados que provocan intrusiones a largo plazo en las redes de los despachos de abogados. Asimismo, incluyen amenazas: personal malicioso, no capacitado, desatento e incluso aburrido.
 |
| ACCEDE A LAS OFERTAS BLACK FRIDAY DESDE AQUÍ |
Los abogados del siglo XXI tienen el deber ético y de derecho consuetudinario de tomar decisiones razonables para proteger la información de sus clientes. También suelen tener obligaciones contractuales y reglamentarias para proteger la información del cliente y otros tipos de información confidencial. Es crucial que reconozcan estas amenazas y sepan abordarlas a través de programas integrales de ciberseguridad. Entre algunos de los medios para cometer delitos tecnológicos se destacan:
a) Blockchain: Las firmas digitales y su facilidad de verificación proporcionan la base para las criptomonedas. Se trata de dinero electrónico que puede utilizarse como medio de pago en distintos medios comerciales. Igualmente, es importante mencionar que blockchain no tiene un control central sobre las criptomonedas y que es muy descentralizado; por lo tanto, es importante acordar cuál es el verdadero libro mayor o cuál es el verdadero conjunto de transacciones que han sucedido a lo largo de cada criptomoneda. Este libro mayor se conoce como “data” donde cada una está firmada digitalmente por la persona que realizó esa transacción. De igual manera, ese libro de transacciones también es descentralizado, eso significa que: en cualquier momento que hay un cambio, ese mensaje se transmite a todos los que tengan un “bitcoin wallet”.
Esta última consiste en un archivo con una lista de claves criptográficas que sirven para crear direcciones, cada una de las cuales está enlazada a un determinado saldo en bitcoins, y también para confirmar transacciones con criptomonedas de que alguien realizó una transacción. Por lo tanto, ¿cómo saber cuándo ese “blockchain” es legítimo, si todos tienen una copia y puede hipotéticamente modificarse? ¿Cómo defenderse contra personas que lo modifican?
Las criptomonedas lo que hacen es asumir que la cadena con más trabajo computacional es la cadena verdadera. Esta opción es arbitraria porque una no puede ser vetada por la otra; en cambio, lo que dice es que, en caso de disputa, van ir por la que este verificada la mayor cantidad de veces. Ahora: ¿Cómo determinar cuál “blockchain” tiene la mayor cantidad de derecho computacional? Esto consigue por medio del “Proof of work” que garantiza la seguridad (evita el fraude). Se utiliza para que los "mineros" no puedan mentir sobre una transacción realizada. Transmite el historial de transacciones de bitcoin provocando que sea más difícil alterar los datos a lo largo del tiempo y demostrando que la cadena de bloques es legítima. En otras palabras, es cómo se determina la cadena de bloques correcta de todas las copias que están descentralizadas. El cálculo del “Proof of work” consiste en aplicar un “hash” al bloque junto con algún número aleatorio hasta que se encuentre un patrón muy inusual en los primeros “n” de 256 bits. Es una forma de probar todas las transacciones por encima del “bitcoin”.
b) Ransomeware: Es un tipo de “malware” que amenaza con publicar datos de la víctima o bloquear el acceso a ellos a menos que se pague un rescate. Según datos del CERT de Seguridad e Industria (CERTSI) operado de forma coordinada por el Instituto Nacional de Ciberseguridad de España (INCIBE) y el Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC), en 2016 se gestionaron 70 incidentes por ransomware que afectaron a este tipo de organizaciones. Se detectaron 66 páginas web de despachos de abogados que habían sido infectadas con malware inyectado, y 158 habían sido víctimas de una alteración de su apariencia original (defacement).
¿Cómo se ejecuta este fenómeno? Básicamente se hace una lista de todos los ficheros del duro que van a ser encriptados (cifrados). Una vez conoce cuáles ficheros va a dejar inutilizados empieza a cifrarlos a gran velocidad. En algunas variantes de Ransomware, se produce una propagación por su red de computadoras cifrando a su vez la información contenida en el resto de ordenadores de la empresa maximizando el impacto del ataque. Evidentemente, si su medida de protección es un disco duro (o cualquier dispositivo de almacenamiento externo) conectado por USB, dese por vencido: será cifrado también y con ello el futuro de su empresa. Concluida la infección muestra un mensaje de extorsión.
¿Cómo son los pasos que utiliza el ransomware?
1- Ejecutar el archivo infectado (usualmente por email).
2- El malware baja el resto del código malicioso desde el ordenador del atacante, el malware identifica los archivos a atacar.
3- El malware identifica los archivos a cifrar (por lo general documentos de “Office” o correos electrónicos).
4- Inicia el proceso de cifrado de datos (hoy comúnmente utilizando 2048 bits).
5- El malware notifica a la víctima de la situación y pide el rescate.
6- El delincuente espera por el pago para entregar la clave.
7- Posible envío de la clave por parte del delincuente (sin certeza de recuperar la información).
¿Qué se debe hacer cuando nos enfrentamos a este fenómeno? Lo primero es saber de qué ransomeware se trata para poder llegar a una solución. Hay que tener claro que no siempre se puede encontrar la amenaza en concreto. Sin embargo, existen diversas aplicaciones para determinarlos como ID Ransomware o Crypto Sheriff. Segundo, desconectar el equipo de la red, aislándolo y evitando la infección entre ordenadores. Asimismo, nunca pagar por el “chantaje” porque no hay certeza de que se recupere lo robado. ¿Qué solución se puede presentar jurídicamente contra estos delitos? Los Estados tipifican los delitos en el Código Penal (España) o leyes penales especiales (Estados Unidos o Reino Unido). También se encuentran instrumentos internacionales como el Convenio sobre la Ciberdelincuencia, realizado en Budapest en el año 2001. Estos delitos de Ransomware integran la conducta típica del delito de daños y sabotajes que prevé el Código Penal español en el artículo 264 el cual castiga las conductas sobre datos, programas informáticos o documentos electrónicos ajenos; mientras que las referidas al normal funcionamiento de un sistema informático ajeno se sancionan en el nuevo artículo 264 bis del Código Penal. Además, el artículo 264.2 del Código Penal agrava las penas en el caso de comisión de los hechos delictivos en el marco de una organización criminal, cuando se hayan causado daños de especial gravedad, o cuando se hayan visto afectados los intereses generales.
ESTE SPRAY DESINFECTA EN SEGUNDOS Y PERMANECE EN EL AIRE POR HORAS
YA ESTÁ A LA VENTA EN ESPAÑA, CÓMPRALO ONLINE DESDE AQUÍ
c) Falsificación de firmas digitales: En criptografía con el uso de las firmas digitales uno puede comprobar la autenticidad del documento y verificar de una manera más precisa la autenticidad del remitente. Es importante mencionar que el remitente utiliza lo que se conoce como una llave privada para enviar el documento que nadie conoce; sin embargo, las llaves privadas y públicas corresponden a una persona en específico. Por la llave privada se puede tener certeza de que el archivo fue enviado directamente por esa persona. Existe un proceso para lograr confiar en firmas digitales y saber que el que envió el mensaje es el auténtico.
¿Cómo funciona este proceso? Primero, están los datos que desea enviar y debe codificarlos (usando MD5 u otro) mediante la función hash que creará un número. Luego, encripta con la clave privada ese número hash y obtiene como resultado la firma (otro número diferente del número hash). Luego, adjunta a los datos (certificado y firma) creando los datos firmados digitalmente. Después de hacer este proceso, debe verificar que la firma brinde una garantía de que el mensaje vino de la persona que lo envió. Ahora, ¿cómo se verifica? Hay dos piezas de información enviadas (el documento y la firma), así que hay que tomar el hash de la firma y usar la clave pública para obtener como resultado otro hash. Luego, se toma el documento y se ejecuta en MD5 (el mismo que usan los remitentes) y obtiene el hash: asegúrese de que los dos sean iguales (el que usamos como resultado de la clave pública y el que es el resultado de MD5).
Las consecuencias legales de la falsificación de firmas digitales, una vez comprobado que la firma no fue realizada por el remitente oficial, deriva en consecuencias penales encontradas en el delito de falsificación documental, debido a que no existe un delito de falsificación de firmas. En el primer caso, regulado en el artículo 390 del Código penal español, y si es una autoridad pública la que falsifica la firma de ese documento, se aplica una pena de prisión de 3 a 6 años. En caso de que la falsificación se realice por un particular, la pena de prisión es de 6 meses a 3 años. Además, se impondrán otras sanciones como la inhabilitación para cargo público, multas o suspensión de empleo. En casos de falsificar la firma en documento privado, el artículo 395 del Código penal recoge la imposición de una pena de prisión de 6 meses a 2 años. Además de la falsificación de firma, si una persona usa un documento sabiendo que ha sido falsificado, puede incurrir en delito de estafa o fraude. Por tanto, aunque la persona autorice a falsificar una firma, se debe tener mucho cuidado ya que puede ser condenado con pena de cárcel.
d) Phishing: Se trata del fraude online más extendido, a través del cual los ciberdelincuentes roban datos de los usuarios (especialmente los de bancos) para vaciar sus cuentas. El phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono. Pero el término “phishing” se usa principalmente para describir los ataques que llegan por correo electrónico, dentro del cual se encuentran distintos tipos de phishing tales como: estafas por correo electrónico, SMiShing o Spear phishing.
¿Cómo funciona? Por lo general, el “phishing” se lleva a cabo mediante un mail apócrifo (también puede ser vía mensaje de texto al celular) que simula ser del banco del cliente y con el cual se le pide que actualice una serie de datos personales. El argumento suele ser que supuestamente se realizaron una serie de cambios y por lo tanto requieren actualizar la base de datos.
En el mensaje se incluye un link que redirecciona a otra página, el cual también simula la estética del banco, donde solicitan que se ingresen los datos. Al hacerlo, el usuario brinda información confidencial sin sospechar que se trata de una estafa. Para hacerlo aún más creíble, muchas veces el sistema luego vuelve a redireccionar al usuario hacia la página oficial del banco, y de esta forma se intenta esconder el engaño. Quizás no sea inmediato, pero el paso siguiente de los estafadores será vaciar tu cuenta bancaria o hacer compras online con tu dinero.
¿Cómo evitarlo?
1. Aprenda a identificar claramente los correos electrónicos sospechosos de ser phishing. 2. Observar la fuente de información de los correos entrantes.
3. Nunca entrar en la web del banco pulsando en links incluidos de correos electrónicos. 4. Reforzar la seguridad del ordenador.
5. Introducir los datos confidenciales únicamente en webs seguras.
6. Revisar periódicamente las cuentas.
¿Cuáles son las consecuencias legales? El phishing puede definirse como el acto ilícito que persigue la suplantación de identidad (en Internet, pero también por otras vías), con la finalidad de hacerse de los datos confidenciales de los usuarios víctimas, a fin de aprovecharse del patrimonio de estos. En el artículo 248 del Código Penal español leemos que son considerados como reos de estafa quienes “con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro” quienes “fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo” y quienes “utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”. Asimismo y de conformidad con los artículos 250 y 251 del Código Penal, la pena de prisión puede ser hasta de seis años para los mayores delitos, sin contar con los agravantes. Para el establecimiento de la pena se deberán tener en cuenta ciertos elementos: el patrimonio perjudicado, los medios empleados para cometer la estafa, los medios utilizados o la relación del defraudador con el defraudado, entre otros.
Eliminación de archivos: ¿Qué sucede cuando realmente borramos algo de la computadora? Las computadoras a la hora de eliminar un archivo, video, fotografía, entre otros; lo que hace es olvidar dónde estuvo ese documento anteriormente. Resulta que existe un archivo de página en la computadora que es la casa de dirección del primer byte de cada archivo y, cuando se elimina un documento, solo olvida dónde vive, aunque los bits (ceros y unos) que comprimen ese archivo siguen ahí. Sin embargo, fueron sobrescritos por otro documento que estaba establecido en el espacio del documento olvidado. Cuando se tira un documento en el “basurero” eso no es la eliminación del archivo, simplemente oculta el icono y se sabe por qué de esta manera se puede restablecer cosas que se encuentran ahí. Pero ¿qué pasa si se elimina lo que se encuentra en el “basurero”? Tampoco se está eliminando, simplemente el computador olvida dónde estuvo antes en ese espacio y los bits del documento siguen en ese lugar. Por lo tanto, ¿cómo podemos realmente eliminar archivos? Existen tres posibles soluciones para este problema: La destrucción física del disco duro, Usando una herramienta llamada “Deguasser”: que es un imán fuerte que se sostiene sobre el computador por un largo periodo de tiempo causando el cambio de la polaridad de los bits de sur a norte y también ocasionando algunos daños físicos. Utilizar la opción “Secure empty trash” que sobrescribe la información con bits aleatorios (pero no todos con ceros y unos).
También existen algunas estrategias que pueden utilizar los abogados para proteger y/o avisar a los clientes sobre la protección de información, por ejemplo:
• Cifrar disco duro: Es posible cifrar el disco duro de manera que cuando uno enciende la computadora sea necesario introducir una contraseña. Es importante esta contraseña para poder tener acceso completo al disco duro y obtener la información al respecto. Se trata de una contraseña después de encender la computadora y antes del que se encienda el sistema operativo.
Así mismo, hay que tener cuidado porque después de cierta cantidad de fallos se elimina todo lo que se encuentra en el disco duro como una respuesta de protección.
• Evitar redes inalámbricas inseguras: Aunque es poco común, las redes no seguras brindan oportunidades para que los datos se extraigan del aire. Redes no seguras para brindar oportunidades a quienes escuchan utilizando herramientas llamadas rastreadores de paquetes, que escuchan y recopilan datos sobre todos los paquetes de información que se transmiten a través de Internet en las proximidades de la red inalámbrica no segura.
Aunque no esté seguro de la calidad de la red, debe depender de servicios VPN privados o proporcionados por el trabajo. VPN es una red privada virtual y proporciona una forma de conectarse a una red encriptado confiable. Esta red actúa de manera eficiente para brindar servicios de encriptación para su tráfico web, incluso si no está seguro de que su tráfico en sí no esté encriptado.
• Usar administradores de contraseñas: Básicamente son herramientas que generan contraseñas por uno. Lo único es memorizarse la contraseña maestra o la contraseña que se utiliza para desbloquear todo (para desbloquear el administrador de contraseñas). Muchas de estas herramientas tienen el fenómeno “two password authentication”: que es él envió de un mensaje con un código para poder ingresar a la aplicación. Intenta evitar que un hacker pueda ingresar, a menos que se sepa la contraseña y tenga el teléfono de uno a mano.
• Usar contraseñas complejas: En caso de no querer utilizar un administrador de contraseñas, por lo menos utilizar contraseñas complejas. De igual manera utilizar contraseñas de 8 o más caracteres, utilizando signos, números y letras.
• Cambiar contraseñas: Es más fácil decirlo que hacerlo en la mayoría de los casos sin un administrador de contraseñas, pero alternar entre nuevas contraseñas cada 90 días es una buena defensa.
• Crear copias de seguridad: Crear copias de seguridad protege sobre posibles problemas de hardware o en el evento de un ataque de Ransomeware. Por lo tanto, es importante las copias de seguridad y utilizar medios como la nube o resguardándolo en papel dado ciertas circunstancias. Así mismo, resguardar información en lugares que no sea los computadores o medios que no estén conectados a internet como: CD ROMS o llaves maya.
Para concluir, es importante tener conocimiento acerca de dos decisiones éticas de ABA ( The American Bar Association) que se relacionan a abogados, tecnología y lo que hacen los abogados en caso de incumplimiento de datos en su oficina. La opinión 477R (mayo 2017), el cual, hace referencia a las obligaciones de los abogados con respecto a conocimiento tecnológico. Es considerado parte competente de representación de un abogado ser considerado de las implicaciones tecnológicas de lo que hacen en su oficina. También formaliza el requerimiento de oficinas y bufetes de tener un protocolo de cumplimiento. Esta opinión responde a las siguientes preguntas: ¿Qué hacer cuando se recibe información de un cliente? y ¿Cómo se reconcilia con una situación en la que un cliente no quiere utilizar una comunicación segura o no quiere proteger sus datos al trabajar con usted? En la Opinión en mención, el Comité de Ética concluyo que “se puede requerir que un abogado tome precauciones especiales de seguridad para protegerse contra la divulgación inadvertida o no autorizada de información del cliente cuando sea requerido por un acuerdo con el cliente o por ley, o cuando la naturaleza de la información requiera un mayor grado de seguridad ”.
Como se explica en la opinión, los abogados deben tener en cuenta una serie de factores diferentes al determinar el método mejor y más seguro para comunicarse con los clientes. Esta determinación debe hacerse caso por caso y los temas a considerar incluyen: la sensibilidad de la información, la probabilidad de divulgación si no se emplean salvaguardas adicionales, el costo de emplear salvaguardias adicionales, la dificultad de implementar las salvaguardas, y la medida en que las salvaguardias afectan negativamente la capacidad del abogado para representar a los clientes (por ejemplo, al hacer que un dispositivo o una pieza importante de software sea excesivamente difícil de usar). El Comité explicó que "un análisis basado en hechos significa que en algunas circunstancias se justifican medidas de protección particularmente fuertes, como el cifrado".
El Comité también advirtió que, si bien el uso de correo electrónico no cifrado puede ser apropiado para comunicaciones de rutina o de baja sensibilidad, debido a las “amenazas cibernéticas y (el hecho de que) la proliferación de dispositivos de comunicaciones electrónicas ha cambiado el panorama... no siempre es razonable confiar en el uso de correo electrónico no cifrado ". Como sugirió el Comité, hay varias opciones diferentes disponibles para los abogados cuando el correo electrónico no cifrado es insuficiente para proteger las comunicaciones confidenciales: “Un abogado tiene una variedad de opciones para salvaguardar las comunicaciones, incluido, por ejemplo, el uso de métodos seguros de acceso a Internet para comunicar, acceder y almacenar información del cliente (como a través de Wi-Fi seguro, el uso de una red privada virtual u otro portal de Internet seguro)… ”
La otra decisión ética es la opinión formal de ABA 483 que habla sobre la obligación de los abogados después de una violación de datos electrónicos o un ciberataque. En un esfuerzo por evitar una violación de datos, un abogado debe:
1- Mantenerse actualizado sobre los riesgos y beneficios de incorporar tecnología en la prestación de servicios legales.
2- Proteger razonablemente la información del cliente del acceso o divulgación no autorizados.
3- Asegurar el cumplimiento de otros abogados, personal y proveedores externos con las políticas de ciberseguridad.
En el contexto de una violación de datos, la competencia tecnológica significa que un abogado debe:
1- Monitorear una violación de datos después de que haya ocurrido un incidente cibernético.
2- Actuar razonable y rápidamente para detener el incumplimiento y mitigar los daños.
3- Llevar a cabo una investigación posterior a la infracción para asegurarse de que la infracción se haya detenido y evalúe razonablemente los datos perdidos o accedidos.
La Opinión señala que "la competencia de un abogado para preservar la confidencialidad de un cliente no es un estándar de responsabilidad estricta y no requiere que el abogado sea invulnerable o impenetrable".
Si ocurre una violación de datos, un abogado debe notificar a los clientes actuales y anteriores de la violación y mantener a los clientes actualizados sobre la respuesta del abogado y el plan de mitigación. No existe un "puerto seguro" para que los abogados eviten la obligación posterior a la infracción de notificar a los clientes. La Opinión establece que "si se activa una obligación de notificar después de la infracción, un abogado debe hacer la divulgación independientemente del tipo de esfuerzos de seguridad que se implementaron antes de la infracción".
Por último, más allá del cumplimiento de un abogado con la Opinión formal 483, el abogado también debe analizar el cumplimiento de los estatutos estatales y federales.
Resulta que las firmas de abogados son excelentes objetivos para los hackers y la razón se debe a la información tan valiosa que poseen. Lastimosamente la historia dice que no siempre están bien protegidos por bufetes de abogados como podría haber sido por los propios clientes debido a que los abogados han estado tan equipados para tener una conversación sobre tecnología que podría afectar la representación de los clientes. El trabajo de los abogados va a cambiar de manera radical en los próximos años. Aquellos despachos que no cuenten con las nuevas tecnologías o que no se apoyen en servicios tecnológicos, se irán quedando poco a poco fuera de juego. Por eso es que se debe estar alerta y observar las nuevas tendencias, a fin de adaptarnos al cambiante mercado de servicios jurídicos. Desde luego, todo eso obligará a cambiar también el modelo de enseñanza del derecho. El futuro nos alcanzó y es responsabilidad de cada uno saber cómo hacerle frente.
Fuente:
Antonio Sauma Matamoros
Estudiante de Derecho de la Universidad de Navarra (UNAV)
from RoiPress canal de noticias empresariales https://ift.tt/36DKWAi
via IFTTT
