Embed Size (px)
Citation preview
Aspectos Legales y Éticos del Fraude: Crímenes Cibernéticos
Lcdo. Hiram R. Morales Lugo, CFE
I.
Delito Cibernético
• Definición básica: cualquier delito cometido en el que se haya utilizado un equipo, una red o un dispositivo de hardware.
• Krone, T., 2005. High Tech Crime Brief. Australian Institute of Criminology. Canberra, Australia. ISSN 1832-3413.
2005.
• Zeviar-Geese, G. 1997-98. The State of the Law on Cyberjurisdiction and Cybercrime on the Internet. California Pacific School of Law. Gonzaga Journal of International Law. Volumen 1. 1997-1998.
• Tratado sobre el crimen cibernético del Consejo Europeo .
Tipos de Crímenes Cibernéticos
• Tipo I
• Se trata, por lo general, de un suceso que ocurre una sola vez desde el punto de vista de la víctima.
• Por ejemplo, la victima descarga, sin saberlo, un caballo de Troya que instala un programa de registro de pulsaciones de teclado en su equipo.
• También puede recibir un correo electrónico que contiene lo que parece ser un vínculo a una entidad conocida, pero que en realidad es un vínculo a un sitio web hostil.
• A menudo, se utilizan programas de software de actividades ilegales como programas de registro de pulsaciones de teclado, virus, rootkits o caballos de Troya.
Fraude
• Inducir a realizar actos u omisiones que afecten derechos o intereses patrimoniales sobre bienes inmuebles o bienes muebles de esa persona, del Estado o de un tercero, en perjuicio de éstos; o
• Realizar actos u omisiones que priven a otra persona o afecten los derechos o intereses patrimoniales sobre bienes inmuebles o bienes muebles para perjuicio de ésta, del Estado o de un tercero.
Tipos de Crímenes Cibernéticos
• En muchas ocasiones, las fallas o vulnerabilidades del software proporcionan un punto de acceso para el atacante.
• Por ejemplo, los criminales que controlan un sitio web pueden aprovechar una vulnerabilidad en un navegador web para colocar un caballo de Troya en el equipo de la víctima.
Tipos de Crímenes Cibernéticos
• Tipo II
• Se trata, por lo general, de una serie de sucesos continuados que implican interacciones repetidas con la víctima.
• Por ejemplo, el atacante se pone en contacto con la víctima en una sala de discusión con la intención de llegar a establecer una relación al cabo de cierto tiempo.
• Finalmente, el criminal se aprovecha de dicha relación para cometer un crimen.
• Otro caso sería el de los miembros de una célula terrorista o de una organización criminal, que pueden utilizar mensajes ocultos para comunicarse en un foro público a fin de planear actividades o acordar ubicaciones en las que efectuar blanqueo de dinero, entre otras posibilidades.
Tipos de Crímenes Cibernéticos
• Generalmente, se sirven de programas que no se incluyen dentro de la clasificación de software de actividades ilegales.
• Así por ejemplo, pueden mantenerse conversaciones por medio de clientes de mensajería instantánea o transferirse archivos a través de un FTP.
Modalidades de Crímenes Cibernéticos
Phishing
Método de aparentar ser un lugar legítimo con el fin de que la víctima entre datos personales que son
capturados por el delincuente
Fraudes en el sector bancario o del comercio electrónico: cheques y transferencias falsas
Varias técnicas de transferencias financieras: sobrepago de bienes, descuento de honorarios, giros
falsos.
Modalidades de Crímenes Cibernéticos
Robo de identidad
Tax Identity Theft
Reintegros. Ingresos no reportados.
Medical Identity Theft
Cerca de 2 millones de víctimas en los Estados Unidos.
Modalidades de Crímenes Cibernéticos
Trojan
Programa de computadora que se puede instalar sigilosamente por un tercero, permitiendo acceso a
otra persona a la computadora.
Spoofing
Ataques que esconden la identidad real del delincuente.
Sectores «atractivos» para los crímenes cibernéticos
• PYMES- por su nivel de seguridad menor al de compañías grandes.
• Data Personal- compañías con información personal son atractivas para hackers por valor de venta de
información.
• Universidades, estudiantes y empleados: e mails, acceso a la bese de datos, etc.
http://www.ic3.gov/media/default.aspx
II.
Delitos
Ley Núm. 146-2012, según emendada: Código Penal 2012
De los delitos contra el derecho a la intimidad
Artículo 167.- Recopilación ilegal de información personal.
Artículo 168.- Grabación ilegal de imágenes.
Artículo 169.- Grabación de comunicaciones por un participante.
Artículo 171.- Violación de comunicaciones personales.
Artículo 172.- Alteración y uso de datos personales en archivos.
Artículo 173.- Revelación de comunicaciones y datos personales.
Artículo 174.- Protección a personas jurídicas.
Ley Núm. 146-2012, según emendada: Código Penal 2012
De las defraudaciones
Artículo 202- Fraude.
Artículo 203- Fraude por medio informático.
Artículo 205- Uso, posesión o traspaso fraudulento de tarjetas con bandas electrónicas.
III.
•Principios de la Evidencia Física y Digital
Cuál es el fin de la actividad probatoria
• El propósito principal de las Reglas es el descubrimiento de la verdad en todos los
procedimientos judiciales.
R. 102
Cuándo se descubre la verdad
• Cuando hay conformidad entre nuestras ideas y los hechos del orden físico o del orden moral que
deseamos conocer.
• Probar es establecer la existencia de esta conformidad.
Qué es probar.
• Es tratar de demostrar la verdad real de un hecho por cualesquiera de los medios establecidos por la ley, convenciendo al funcionario de que ellos son así y no como lo pretende otro sujeto procesal.
Evidencia
Evidencia pertinente es aquélla que tiende a hacer la existencia de un hecho, que tiene
consecuencias para la adjudicación de la acción, más probable o menos probable de lo que sería
sin tal evidencia.
Esto incluye la evidencia que sirva para impugnar o sostener la credibilidad de una
persona testigo o declarante.
R. 401
Qué es la evidencia física.
• Es todo objeto, huella, rastro, señal, instrumento, etc., relacionado con el
hecho.
Qué es la Evidencia Electrónica
• Prueba o evidencia electrónica es cualquier tipo de prueba que esté almacenada en un medio
electrónico.
• Incluye: escritos, dibujos, graficas, tablas, fotografías, grabaciones de sonido, imágenes, data
o compilaciones de información de las cuales se puede obtener otra información.
Ejemplo de Prueba Electrónica
• Mensajes de voz
• Records Electrónicos
• Correos Electrónicos
• Anejos de e - mails
• Expedientes de computadoras
• Mensajes, mensajes o expedientes borrados
• Récords de información o de programas
• Cintas de archivos o de «backup»
• Récords temporeros: temp files, cookies, cache files.
• Cualquier información en una página cibernética
• Récords de acceso a la página cibernética
• Fotos Digitales
RELACIÓN ENTRE PERTINENCIA Y ADMISIBILIDAD
• La evidencia pertinente es admisible excepto cuando se disponga lo contrario por imperativo
constitucional, por disposición de ley o por estas Reglas. La evidencia no pertinente es inadmisible.
R. 402
EVIDENCIA PERTINENTE EXCLUIDA POR FUNDAMENTO DE PERJUICIO, CONFUSIÓN O PÉRDIDA DE TIEMPO
• Evidencia pertinente puede ser excluida cuando su valor probatorio queda sustancialmente superado por cualesquiera de estos factores:
(a) riesgo de causar perjuicio indebido
(b) riesgo de causar confusión
(c) riesgo de causar desorientación del Jurado
(d) dilación indebida de los procedimientos
(e) innecesaria presentación de prueba acumulativa
R. 403
HÁBITO O PRÁCTICA RUTINARIA
(A) Evidencia de hábito de una persona o la práctica rutinaria de una organización: es admisible para probar que la
conducta de esa persona u organización en una ocasión particular fue de conformidad al hábito o práctica rutinaria.
(B) Método de prueba: El hábito o la práctica rutinaria podrá probarse mediante testimonio en forma de una opinión o
mediante un número suficiente de actos específicos de conducta para justificar la determinación de que el hábito
existía o de que la práctica era rutinaria.
R. 406
SECRETOS DEL NEGOCIO • La dueña o el dueño de un secreto comercial o de
negocio tiene el privilegio -que podrá ser invocado por ella o por él o por la persona que es su agente o empleada- de rehusar divulgarlo y de impedir que
otra persona lo divulgue, siempre que ello no tienda a encubrir un fraude o causar una injusticia.
• Si fuere ordenada su divulgación, el Tribunal deberá tomar aquellas medidas necesarias para proteger los intereses de la dueña o del dueño del secreto
comercial, de las partes y de la justicia.
R. 513
AUTENTICACIÓN E IDENTIFICACIÓN
• El requisito de autenticación o identificación como una condición previa a la admisibilidad se satisface
con la presentación de evidencia suficiente para sostener una determinación de que la materia en
cuestión es lo que la persona proponente sostiene. R. 901.
• Quantum de prueba: el Tribunal la admitirá al presentarse evidencia suficiente para sostener la conclusión de que la condición ha sido satisfecha.
R. 109.
Ejemplos de autenticación o identificación
• Testimonio por testigo con conocimiento
• Autenticidad mediante evidencia de la letra
• Identificación de voz
• Conversaciones telefónicas
• Escritos antiguos o compilación de datos
• Escritos en contestación
• Autenticación mediante admisión
• Cadena de custodia
• Proceso o sistema
R. 901
Los Privilegios Evidenciarios • Los privilegios evidenciarios buscan adelantar valores e
intereses sociales que por consideraciones de política pública se estiman superiores a la búsqueda de la verdad.
• Los privilegios contenidos en las Reglas de Evidencia, se interpretan restrictivamente. De ahí que el fundamento de los privilegios sea totalmente independiente de la búsqueda de la verdad. Es decir, se excluye materia privilegiada por razones y consideraciones de política pública, para adelantar valores o intereses sociales ajenos o antagónicos a la búsqueda de la verdad, tan fundamental para la más justa adjudicación de las controversias judiciales
El Pueblo de Puerto Rico v. Fernández Rodríguez,
2011 TSPR 188; Pagán Cartagena v. First Hospital Panamericano, 2013 TSPR 102
Récord electrónico • Un récord electrónico podrá autenticarse mediante
evidencia de la integridad del sistema en el cual o por el cual los datos fueron grabados o
almacenados.
• La integridad del sistema se demuestra a través de evidencia que sustente la determinación que en
todo momento pertinente el sistema de computadoras o dispositivo similar estaba
operando correctamente o en caso contrario, el hecho de que su no operación correcta no afectó la
integridad del récord electrónico.
US v. Meienberg, 263 F. 3d 1177, 1180-81 (7th Cir. 2001)
• Cualquier duda que surja sobre la exactitud de las impresiones de computadora, ya sea porque no se entraron los datos correctamente o porque la operación del sistema no estaba operando correctamente, afectará el peso de la prueba pero no su admisibilidad.
Correo electrónico
• Un correo electrónico podrá autenticarse mediante evidencia de la integridad del
sistema en el cual o por el cual fue creado, enviado o recibido.
AUTENTICACIÓN PRIMA FACIE
• No se requerirá evidencia extrínseca de autenticación como condición previa a la
admisibilidad de:
• Documentos públicos bajo sello oficial
• Documentos públicos firmados por funcionarios
• Copias certificadas de récords y documentos públicos
AUTENTICACIÓN PRIMA FACIE
• Etiquetas comerciales: Inscripciones, marbetes, etiquetas, u otros documentos análogos,
presuntamente fijados en el curso de los negocios y que indican propiedad, control y origen.
• Papeles comerciales y documentos relacionados: Papeles comerciales, las firmas estampadas en
éstos y los documentos relacionados, conforme lo dispone el derecho comercial general.
Récord electrónico
Se presumirá la integridad del récord si:
(1) se establece mediante declaración jurada que fue grabado o almacenado por una parte adversa a la que lo propone, o
(2) se establece mediante declaración jurada que fue grabado o almacenado en el curso usual y ordinario de negocios por una persona que no es parte en los procedimientos y quien no lo ha grabado o almacenado bajo el control de la que lo propone.
REGLA SOBRE EL CONTENIDO DE UN ESCRITO, GRABACIÓN O FOTOGRAFÍA
• Para probar el contenido de un escrito, grabación o fotografía se requiere la presentación del original de
éstos.
R. 1002
DUPLICADOS
• Un duplicado es tan admisible como el original a no ser que surja una genuina
controversia sobre la autenticidad del original o que, bajo las circunstancias del caso, sea
injusto admitir el duplicado en lugar del original.
R. 1003
Blassini Cabassa v. DRNA, 2009 TSPR 127
• La Constitución de Puerto Rico se extiende a todo tipo de registro, sean estos civiles,
administrativos o penales. Significa que cualquier registro, no importa su naturaleza, se presumirá
controvertiblemente irrazonable de llevarse a cabo sin previa orden judicial.
Blassini Cabassa v. DRNA, 2009 TSPR 127
• Inspecciones administrativas: se refiere al registro a través de la presencia física de un funcionario administrativo en la propiedad privada de una persona natural o jurídica que se dedica a una actividad o negocio reglamentado por el Estado.
• En estos casos, la expectativa razonable de intimidad de la persona podría ser intervenida. Está presente un choque entre el derecho a la intimidad y el interés de la agencia en obtener la información necesaria para poder fiscalizar el cumplimiento de las leyes y sus reglamentos administrativos.
• En una situación de esa naturaleza la inspección a realizarse por el Estado está limitada por la protección constitucional contra registros y allanamientos irrazonables, contenida en el Artículo II, Sec. 10 de la Constitución de Puerto Rico
Blassini Cabassa v. DRNA, 2009 TSPR 127
Los tres objetivos históricos que persigue la referida garantía constitucional contra registros irrazonables son:
1. proteger la intimidad y dignidad de los seres humanos,
2. amparar sus documentos y otras pertenencias, e
3. interponer la figura de un juez entre los funcionarios públicos de las Ramas Ejecutiva y Legislativa y la ciudadanía para ofrecer mayor
garantía de razonabilidad a la intervención con el derecho a la intimidad del ciudadano
Blassini Cabassa v. DRNA, 2009 TSPR 127
• El hecho de que el Estado intervenga con un ciudadano no activa per se la referida
protección constitucional.
• Más bien, para que dicha protección se active, es necesario determinar si el
individuo tiene un interés personal sobre el lugar u objeto registrado, de modo que
posea una expectativa razonable de intimidad.
Blassini Cabassa v. DRNA, 2009 TSPR 127
• Para determinar si una persona posee una expectativa razonable de intimidad en el tiempo y lugar en que se efectuó el registro se consideran los siguientes factores:
(1) lugar registrado;
(2) naturaleza y grado de la intrusión;
(3) objetivo o propósito de la intervención;
(4) si la conducta de la persona indicaba alguna expectativa subjetiva de intimidad;
(5) la existencia de barreras físicas que restrinjan la entrada o visibilidad al lugar;
(6) la cantidad de personas que tienen acceso legítimo al lugar
(7) las inhibiciones sociales relacionadas con el lugar registrado;
(8) y el momento en que se realiza el registro.
Blassini Cabassa v. DRNA, 2009 TSPR 127
• A pesar de la norma general estableciendo que cualquier registro realizado sin una orden judicial constituye prima facie un registro ilegal, existen excepciones al requerimiento de previa orden judicial en los registros y allanamientos.
• La LPAU incorporó algunas de las excepciones sobre registros y allanamientos disponiendo lo siguiente: [L]as agencias podrán realizar inspecciones para asegurarse del cumplimiento de las leyes y reglamentos que administran y de las resoluciones, ordenes y autorizaciones que expiden, sin previa orden de registros y allanamientos, en los siguientes casos: (a) en casos de emergencias, o que afecte la seguridad o salud pública; (b) al amparo de la facultades de licenciamiento, concesiones de franquicias, permisos u otros similares; (c) en caso en que la información es obtenible a simple vista o en sitios públicos por mera observación.
Blassini Cabassa v. DRNA 2009 TSPR 127 • El TSPR ha reconocido, como excepción a la regla general, el
registro consentido válidamente.
• Para que el consentimiento prestado sea válido, se requiere que el mismo sea voluntario y que sea prestado por quien tenga autoridad para concederlo.
• En este sentido, si el consentimiento es dado por un tercero se requiere que la persona tenga “una autoridad común u otra relación suficiente con respecto a la propiedad a ser registrada”.
• Por ello, un tercero no puede prestar un consentimiento válido para registrar una propiedad que ésta bajo la posesión exclusiva de otro.
RESUMEN: Admisibilidad de Evidencia Electrónica
• Particularidades de la Evidencia Electrónica: quién, cuándo, cómo y dónde se generó la
evidencia electrónica.
• La manera en que se recopila y guarda la información.
• Quién autentica debe conocer la tecnología.
• Cómo se interviene con los derechos fundamentales en una investigación es un
asunto delicado.
Pueblo v. Vélez Bonilla, 2013 TSPR 121
• Hechos: se trata de una alegación de la defensa ante una situación sobre la no disponibilidad de un video. Aunque no fue grabado por la Policía, una vez incautado estuvo en todo momento bajo el control de un agente de la División de Robos, quien regrabó otro material sobre la última copia viable que existía del mismo.
Pueblo v. Nieves Nieves, 2013 TSPR 19
• Hechos: el TSPR indica que le corresponde resolver si una confesión, realizada luego de las advertencias legales y de haberse cumplido con la protección constitucional a la no autoincriminación, es inadmisible en evidencia por ser producto de un arresto ilegal.
Weber Carrillo v. ELA, 2014 TSPR 46
• Hechos: en el curso de una investigación del NIE dirigida a indagar si alguno de los agentes de sus agentes estaba filtrando información sin autorización, se obtuvo el registro de llamadas de un periodista sin que a éste se le notificara y sin que mediara una orden judicial.
Pueblo v. Báez López, 2013 TSPR 143
• Hechos: ocurrió un accidente de motora; acudió el agente de orden público como parte de su patrullaje preventivo. Al llegar al lugar, encontró acusado un poco aturdido y tirado en el pavimento con la cabeza, manos y piernas ensangrentadas, por lo que llamó al precinto para que enviaran a emergencias médicas.
• Una vez llegaron los paramédicos, le removieron una cartera negra que portaba el acusado de forma transversal en su torso.
• Ésta fue entregada a la agente, quien al palparla sintió un arma de fuego y procedió a abrir la cartera. Así, pudo ver que en el interior había una pistola.
IV.
• Entidades que Investigan Crímenes Cibernéticos
Unidad Investigativa de Crímenes Cibernéticos (U.I.C.C.) del Departamento de Justicia de P.R.
• Esta Unidad tiene la responsabilidad de proveerle a los fiscales y procuradores de asuntos de menores las herramientas necesarias para procesar a los infractores de la ley cuando hacen mal uso de los medios cibernéticos y enfrentar así los nuevos retos que imponen los últimos desarrollos tecnológicos.
• Tiene entre sus deberes la capacitación y adiestramientos de fiscales, procuradores de menores, agentes de investigación y personal relacionado en torno a la investigación y el procesamiento criminal de los delitos cibernéticos
(787) 729-2199 o visitar el portal InternetSeguro.pr.gov
Internet Crime Complaint Center (IC3)
• Esta Organización es un esfuerzo coordinado entre el FBI y el National White Collar Crime Center (NW3C).
• Sirve como centro único para recibir querellas y luego poder referir la información, previo análisis, a entidades federales, estatales o internacionales.
http://www.ic3.gov/complaint/default.aspx
Policía de Puerto Rico División de Apoyo Técnico y Crímenes Cibernéticos
Responsable de detectar y esclarecer la actividad criminal, mediante el uso de informática que incluye fraude electrónico, pornografía infantil,
falsificación y acceso no autorizado.
Brindar asistencia técnica a los agentes investigadores en aquellos casos criminales en donde se requiera apoyo técnico.
Responsable de analizar la evidencia digital, conversaciones electrónicas (chateo), investigar delitos cibernéticos, extracción de data de
computadoras, localización de documentos y recuperación de imágenes en computadoras.
Asistir tecnológicamente en la extracción de información de medios cibernéticos, grabación de mensajes en CD o DVD y cambios de formatos
de archivos electrónicos.
http://www.policia.pr.gov/
Otras Agencias Federales
• FBI – Cybersecurity Division
• Immigration and Customs Enforcement (ICE)
• Secret Service
http://www.fbi.gov/espanol/contactar
http://www.ice.gov/
http://www.secretservice.gov/
V.
• Estadísticas
Internet Crime Complaint Center (IC3) Querellas Recibidas
2000- 2007 1,000,000
2007- 2014
2,000,000
Internet Crime Complaint Center (IC3) Pérdidas
•2013 ----------------------$800 million.
•2010 / 2014 -----------------$2 billones.
Recomendaciones
• Denuncia rápida- deber de denunciar vs. imagen de la organización: un obstáculo al enjuiciamiento por delitos cibernéticos es el hecho de que los delincuentes pueden destruir fácilmente las pruebas cambiándolas, borrándolas o trasladándolas. Si los agentes del orden operan con más lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los datos estén cifrados, una forma cada vez más popular de proteger tanto a los particulares como a las empresas en las redes de computadoras.
• Tenga presente el tema legal: ¿Qué obligaciones legales usted tiene para proteger su información?.
Recomendaciones
• Prevención: Valoración del riesgo:
¿ Quién tiene permiso para usar los recursos?
¿ Quién esta autorizado a conceder acceso y a aprobar los usos?
¿ Quién tiene privilegios de administración del sistema?
¿ Qué hacer con la información confidencial?
¿ Cuáles son los derechos y responsabilidades de los usuarios
Recomendaciones
• Asegura la ubicación:muchas personas piensan que el delito cibernético es el mayor delito informático. Sin embargo, el robo de equipo es igual de peligroso y dañino. Protégete y prevén el crimen asegurando el área en la cual se mantiene los sistemas.
• Conoce a los operadores: Las personas que operan el sistema informático tienen la oportunidad de perpetrar un delito informático. Para evitar esto, seleccione bien a la gente que operará el sistema informático. Haga una comprobación de sus antecedentes para encontrar anteriores actividades de piratería o conexiones con cualquiera que quiera hackear el sistema. Utiliza un programa para rastrear las actividades de las computadoras de los empleados. Comprueba esta información regularmente.
Recomendaciones
• Protege los datos: Periódicamente realizar exploraciones en busca de troyanos, virus, spyware, bombas de lógica y otras formas de invasión de software. Exige a los empleados y otros operadores de computadoras crear contraseñas complicadas que incluyan tanto símbolos como números. Pídeles que usen un mínimo de seis dígitos y cambien las contraseñas periódicamente.
• Incorpore la visión de seguridad en sus códigos de ética y manuales de personal con sanciones claras.
Recomendaciones
• Orientación hacia una política común en materia de delitos cibernéticos a nivel del regulador.
• Sensibilización del público en general: La sensibilización y la educación del público podrían reducir el número de delitos en el entorno electrónico.
Otras fuentes de consulta
• Véase Susan H. Nycum, The Criminal Law Aspects of Computer Abuse: Applicability of the State Penal Laws to Computer Abuse (Menlo Park, California, Stanford Research Institute, 1976) y Ulrich Sieber, Computerkriminalität und Strafrecht (Colonia, Karl Heymanns Verlag, 1977).
• Unión Internacional de Telecomunicaciones, El ciberdelito: Guía para los países en desarrollo (Ginebra, 2009). Disponible en http://www.itu.int/dms_pub/itu d/oth/01/0B/D010B0000073301PDFS.pdf.
• Clay Wilson, “Botnets, Cybercrime, and Cyberterrorism: Vulnerabilities and Policy Issues for Congress”, Congressional Research Service Report RL32114, actualizado el 29 de enero de 2008, disponible en http://www.fas.org/sgp/crs/terror/RL32114.pdf.
Otras fuentes de consulta
• Oficina General de Contabilidad, Cybercrime: Public and Private Entities Face Challenges in Addressing Cyber Threats, informe de la Oficina General de Contabilidad GAO-07-705 (Washington, D.C., junio de 2007), pág. 22; e Ian Walden, Computer Crimes and Digital Investigations (Oxford, Oxford University Press, 2007).
