Un reciente estudio de la compañía de seguridad informática Sophos reveló que las redes sociales como Facebook, Twitter y MySpace son el blanco preferido de hackers inescrupulosos para llevar a cabo acciones tales como robo de datos personales, robo de información confidencial, estafas, envío de virus o spam.
La sanción de la Ley 26.388 de Delitos Informáticos en 2008 nos da pie para analizar el fenómeno desde la perspectiva legal. ¿Qué acciones califican como delitos en los términos de la ley?, ¿qué responsabilidades les caben a los hackers?, ¿qué medidas debemos adoptar para prevenir ser víctimas de estos ataques?, ¿qué herramientas tiene a disposición la empresa para evitar las consecuencias de este tipo de accionar?
Violación de comunicaciones electrónicas
La nueva normativa tipifica como delitos la violación, apoderamiento y desvío de comunicación electrónica y la publicación de una comunicación electrónica. Para estas figuras prevé penas de prisión de 15 días a 1 año y, para el caso del delito de publicación de una comunicación electrónica, multas que van de los $1.500 a $100.000.
Está claro que las comunicaciones que realizan los usuarios de Facebook, Twitter, MySpace u otras redes sociales, encuadran perfectamente en el concepto de comunicación electrónica. Es importante tener en cuenta que cuando las comunicaciones están abiertas al público en general quien acceda a ellas no cometerá el delito en cuestión, sin perjuicio que el empleo que posteriormente haga de esa información pueda configurar otro delito.
Es importante tener en cuenta esto a los efectos de determinar qué comunicaciones se quieren hacer públicas y cuáles no, previo a publicar información en alguna de las redes sociales.
Acceso a un sistema informático
Otro de los delitos tipificados en la normativa es de acceso, por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido.
La sanción prevista es la de prisión de 15 días a 6 meses, aumentando a prisión de 1 mes a 1 año cuando el acceso fuese en perjuicio de un sistema o dato informático de un organismo público estatal o de un proveedor de servicios públicos o de servicios financieros.
Muchas veces el acceso a un sistema informático es el paso previo para la comisión de otros delitos o simplemente sirve a los efectos de extraer información valiosa almacenada en el sistema al que se accede. En este sentido, es importante tener en cuenta que la propia interacción en las redes sociales así como la exposición pública de información puede facilitarle a los hackers el acceso a los sistemas del usuario de la red social.
Tanto la implementación de medidas de seguridad tecnológicas como la conciencia y responsabilidad en la administración de la información personal son mecanismos muy útiles para prevenir estos ataques.
Fraude informático
La Ley de Delitos Informáticos también ha introducido la figura de la defraudación mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos, previéndose una pena de prisión de 1 mes a 6 años.
El apoderamiento de datos relacionados con cuentas bancarias o tarjetas de crédito o débito es una de las modalidades más frecuentes de estafa informática. Los medios van desde las técnicas de ingeniería social hasta el phishing, en el que se engaña al usuario de la red social invitándolo a acceder al supuesto sitio web de una organización reconocida, cuando en realidad el usuario está accediendo al sitio web del hacker, quien de ese modo obtiene la información necesaria para cometer posteriormente las estafas.
En este sentido, cobran relevancia las medidas que puedan adoptar los usuarios de redes sociales tanto respecto de las personas con quienes intercambian información (los "amigos" dentro de la red) como respecto de los sitios a los que acceden por invitación de otro usuario o la información que dejan en esos sitios.
Daño informático
La ley sanciona a quien alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños.
Se prevé una pena de prisión de 15 días a 1 año, que aumenta a prisión de 3 meses a 4 años cuando la acción se ejecuta en datos, documentos, programas o sistemas informáticos públicos o en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público.
En esta figura encuadran los virus informáticos, que son programas de computación destinados a causar daños, aunque no encuadraría el spyware, salvo que este cause un daño o esté destinado a causarlo. Es interesante destacar que la ley contempla el caso de quien daña un dato, documento, programa o sistema informático, así como el de quien comercializa, distribuye, hace circular o introduce un virus en un sistema informático aun cuando no se produzca ningún daño en el sistema infectado.
Las redes sociales son propicias para este tipo de accionar, dado que el intercambio de archivos o la descarga de material subido por los usuarios pueden involucrar casos de virus informáticos. Medidas relacionadas con la precaución a la hora de abrir o descargar material así como contar con antivirus y firewalls auténticos y debidamente actualizados ayudan a prevenir este tipo de ataques.
El spam
Si bien el spaming no está contemplado en la Ley de Delitos Informáticos, la jurisprudencia local ha resuelto en alguna oportunidad que el ataque masivo a un sistema informático mediante la introducción de miles de e-mails, que suspende o demora las comunicaciones de correo electrónico, puede calificar en la figura de interrupción o entorpecimiento de comunicaciones, que sí fue modificada por la ley de delitos informáticos a los efectos de incluir a las comunicaciones electrónicas.
También debemos tener en cuenta que, en virtud de la Ley 25.326 de Protección de Datos Personales, el spaming es una actividad ilegal, y así lo ha determinado la jurisprudencia argentina en el caso ‘Tanús c. Cosa’ del año 2006, en el que se señaló el conjunto almacenado de direcciones de e-mails clasificadas conforme a la profesión o actividad de los titulares de las cuentas constituye una base de datos, y quienes ceden o transfieren esos datos a los fines del envío de correo no solicitado violan las previsiones de la ley de hábeas data.
Consejos prácticos
Las redes sociales están experimentando un crecimiento geométrico. Día a día miles de personas se suman a ellas a los efectos de comunicarse, interactuar, conocerse, publicitar, comercializar, etc. Y allí donde hay muchos usuarios exponiendo sus datos públicamente o simplemente omitiendo tomar las precauciones del caso, hay caldo de cultivo para los hackers.
Algunos de los consejos a tomar en cuenta son los siguientes:
- Proteger la información confidencial, los datos personales, las claves.
- No descargar archivos de dudosa procedencia (sea a través de chat, ftp, e-mail, P2P, etc.).
- No ingresar a sitios web sobre los que no se tenga seguridad de su autenticidad.
- No revelar datos vinculados con cuentas bancarias o tarjetas.
- No subir imágenes que permitan identificar fácilmente al usuario, dónde vive, quiénes son sus hijos o familiares.
- Adoptar las medidas tecnológicas adecuadas.
Se trata de medidas prácticas que permitirán disfrutar de las bondades de las redes sociales al mismo tiempo que prevenir ser víctima de hackers inescrupulosos.
FUENTE:
Horacio Bruera
Socio del estudio Carranza Torres & Asociados. Especial para iProfesional.com