c) Falsificación de firmas digitales: En criptografía con el uso de las firmas digitales uno puede comprobar la autenticidad del documento y verificar de una manera más precisa la autenticidad del remitente. Es importante mencionar que el remitente utiliza lo que se conoce como una llave privada para enviar el documento que nadie conoce; sin embargo, las llaves privadas y públicas corresponden a una persona en específico. Por la llave privada se puede tener certeza de que el archivo fue enviado directamente por esa persona. Existe un proceso para lograr confiar en firmas digitales y saber que el que envió el mensaje es el auténtico.
¿Cómo funciona este proceso? Primero, están los datos que desea enviar y debe codificarlos (usando MD5 u otro) mediante la función hash que creará un número. Luego, encripta con la clave privada ese número hash y obtiene como resultado la firma (otro número diferente del número hash). Luego, adjunta a los datos (certificado y firma) creando los datos firmados digitalmente. Después de hacer este proceso, debe verificar que la firma brinde una garantía de que el mensaje vino de la persona que lo envió. Ahora, ¿cómo se verifica? Hay dos piezas de información enviadas (el documento y la firma), así que hay que tomar el hash de la firma y usar la clave pública para obtener como resultado otro hash. Luego, se toma el documento y se ejecuta en MD5 (el mismo que usan los remitentes) y obtiene el hash: asegúrese de que los dos sean iguales (el que usamos como resultado de la clave pública y el que es el resultado de MD5).
Las consecuencias legales de la falsificación de firmas digitales, una vez comprobado que la firma no fue realizada por el remitente oficial, deriva en consecuencias penales encontradas en el delito de falsificación documental, debido a que no existe un delito de falsificación de firmas. En el primer caso, regulado en el artículo 390 del Código penal español, y si es una autoridad pública la que falsifica la firma de ese documento, se aplica una pena de prisión de 3 a 6 años. En caso de que la falsificación se realice por un particular, la pena de prisión es de 6 meses a 3 años. Además, se impondrán otras sanciones como la inhabilitación para cargo público, multas o suspensión de empleo. En casos de falsificar la firma en documento privado, el artículo 395 del Código penal recoge la imposición de una pena de prisión de 6 meses a 2 años. Además de la falsificación de firma, si una persona usa un documento sabiendo que ha sido falsificado, puede incurrir en delito de estafa o fraude. Por tanto, aunque la persona autorice a falsificar una firma, se debe tener mucho cuidado ya que puede ser condenado con pena de cárcel.
d) Phishing: Se trata del fraude online más extendido, a través del cual los ciberdelincuentes roban datos de los usuarios (especialmente los de bancos) para vaciar sus cuentas. El phishing se puede realizar a través de un mensaje de texto, redes sociales o por teléfono. Pero el término “phishing” se usa principalmente para describir los ataques que llegan por correo electrónico, dentro del cual se encuentran distintos tipos de phishing tales como: estafas por correo electrónico, SMiShing o Spear phishing.
¿Cómo funciona? Por lo general, el “phishing” se lleva a cabo mediante un mail apócrifo (también puede ser vía mensaje de texto al celular) que simula ser del banco del cliente y con el cual se le pide que actualice una serie de datos personales. El argumento suele ser que supuestamente se realizaron una serie de cambios y por lo tanto requieren actualizar la base de datos.
En el mensaje se incluye un link que redirecciona a otra página, el cual también simula la estética del banco, donde solicitan que se ingresen los datos. Al hacerlo, el usuario brinda información confidencial sin sospechar que se trata de una estafa. Para hacerlo aún más creíble, muchas veces el sistema luego vuelve a redireccionar al usuario hacia la página oficial del banco, y de esta forma se intenta esconder el engaño. Quizás no sea inmediato, pero el paso siguiente de los estafadores será vaciar tu cuenta bancaria o hacer compras online con tu dinero.
¿Cómo evitarlo?
1. Aprenda a identificar claramente los correos electrónicos sospechosos de ser phishing. 2. Observar la fuente de información de los correos entrantes.
3. Nunca entrar en la web del banco pulsando en links incluidos de correos electrónicos. 4. Reforzar la seguridad del ordenador.
5. Introducir los datos confidenciales únicamente en webs seguras.
6. Revisar periódicamente las cuentas.
¿Cuáles son las consecuencias legales? El phishing puede definirse como el acto ilícito que persigue la suplantación de identidad (en Internet, pero también por otras vías), con la finalidad de hacerse de los datos confidenciales de los usuarios víctimas, a fin de aprovecharse del patrimonio de estos. En el artículo 248 del Código Penal español leemos que son considerados como reos de estafa quienes “con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro” quienes “fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo” y quienes “utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero”. Asimismo y de conformidad con los artículos 250 y 251 del Código Penal, la pena de prisión puede ser hasta de seis años para los mayores delitos, sin contar con los agravantes. Para el establecimiento de la pena se deberán tener en cuenta ciertos elementos: el patrimonio perjudicado, los medios empleados para cometer la estafa, los medios utilizados o la relación del defraudador con el defraudado, entre otros.
Eliminación de archivos: ¿Qué sucede cuando realmente borramos algo de la computadora? Las computadoras a la hora de eliminar un archivo, video, fotografía, entre otros; lo que hace es olvidar dónde estuvo ese documento anteriormente. Resulta que existe un archivo de página en la computadora que es la casa de dirección del primer byte de cada archivo y, cuando se elimina un documento, solo olvida dónde vive, aunque los bits (ceros y unos) que comprimen ese archivo siguen ahí. Sin embargo, fueron sobrescritos por otro documento que estaba establecido en el espacio del documento olvidado. Cuando se tira un documento en el “basurero” eso no es la eliminación del archivo, simplemente oculta el icono y se sabe por qué de esta manera se puede restablecer cosas que se encuentran ahí. Pero ¿qué pasa si se elimina lo que se encuentra en el “basurero”? Tampoco se está eliminando, simplemente el computador olvida dónde estuvo antes en ese espacio y los bits del documento siguen en ese lugar. Por lo tanto, ¿cómo podemos realmente eliminar archivos? Existen tres posibles soluciones para este problema: La destrucción física del disco duro, Usando una herramienta llamada “Deguasser”: que es un imán fuerte que se sostiene sobre el computador por un largo periodo de tiempo causando el cambio de la polaridad de los bits de sur a norte y también ocasionando algunos daños físicos. Utilizar la opción “Secure empty trash” que sobrescribe la información con bits aleatorios (pero no todos con ceros y unos).
También existen algunas estrategias que pueden utilizar los abogados para proteger y/o avisar a los clientes sobre la protección de información, por ejemplo:
• Cifrar disco duro: Es posible cifrar el disco duro de manera que cuando uno enciende la computadora sea necesario introducir una contraseña. Es importante esta contraseña para poder tener acceso completo al disco duro y obtener la información al respecto. Se trata de una contraseña después de encender la computadora y antes del que se encienda el sistema operativo.
Así mismo, hay que tener cuidado porque después de cierta cantidad de fallos se elimina todo lo que se encuentra en el disco duro como una respuesta de protección.
• Evitar redes inalámbricas inseguras: Aunque es poco común, las redes no seguras brindan oportunidades para que los datos se extraigan del aire. Redes no seguras para brindar oportunidades a quienes escuchan utilizando herramientas llamadas rastreadores de paquetes, que escuchan y recopilan datos sobre todos los paquetes de información que se transmiten a través de Internet en las proximidades de la red inalámbrica no segura.
Aunque no esté seguro de la calidad de la red, debe depender de servicios VPN privados o proporcionados por el trabajo. VPN es una red privada virtual y proporciona una forma de conectarse a una red encriptado confiable. Esta red actúa de manera eficiente para brindar servicios de encriptación para su tráfico web, incluso si no está seguro de que su tráfico en sí no esté encriptado.
• Usar administradores de contraseñas: Básicamente son herramientas que generan contraseñas por uno. Lo único es memorizarse la contraseña maestra o la contraseña que se utiliza para desbloquear todo (para desbloquear el administrador de contraseñas). Muchas de estas herramientas tienen el fenómeno “two password authentication”: que es él envió de un mensaje con un código para poder ingresar a la aplicación. Intenta evitar que un hacker pueda ingresar, a menos que se sepa la contraseña y tenga el teléfono de uno a mano.
• Usar contraseñas complejas: En caso de no querer utilizar un administrador de contraseñas, por lo menos utilizar contraseñas complejas. De igual manera utilizar contraseñas de 8 o más caracteres, utilizando signos, números y letras.
• Cambiar contraseñas: Es más fácil decirlo que hacerlo en la mayoría de los casos sin un administrador de contraseñas, pero alternar entre nuevas contraseñas cada 90 días es una buena defensa.
• Crear copias de seguridad: Crear copias de seguridad protege sobre posibles problemas de hardware o en el evento de un ataque de Ransomeware. Por lo tanto, es importante las copias de seguridad y utilizar medios como la nube o resguardándolo en papel dado ciertas circunstancias. Así mismo, resguardar información en lugares que no sea los computadores o medios que no estén conectados a internet como: CD ROMS o llaves maya.
Para concluir, es importante tener conocimiento acerca de dos decisiones éticas de ABA ( The American Bar Association) que se relacionan a abogados, tecnología y lo que hacen los abogados en caso de incumplimiento de datos en su oficina. La opinión 477R (mayo 2017), el cual, hace referencia a las obligaciones de los abogados con respecto a conocimiento tecnológico. Es considerado parte competente de representación de un abogado ser considerado de las implicaciones tecnológicas de lo que hacen en su oficina. También formaliza el requerimiento de oficinas y bufetes de tener un protocolo de cumplimiento. Esta opinión responde a las siguientes preguntas: ¿Qué hacer cuando se recibe información de un cliente? y ¿Cómo se reconcilia con una situación en la que un cliente no quiere utilizar una comunicación segura o no quiere proteger sus datos al trabajar con usted? En la Opinión en mención, el Comité de Ética concluyo que “se puede requerir que un abogado tome precauciones especiales de seguridad para protegerse contra la divulgación inadvertida o no autorizada de información del cliente cuando sea requerido por un acuerdo con el cliente o por ley, o cuando la naturaleza de la información requiera un mayor grado de seguridad ”.
Como se explica en la opinión, los abogados deben tener en cuenta una serie de factores diferentes al determinar el método mejor y más seguro para comunicarse con los clientes. Esta determinación debe hacerse caso por caso y los temas a considerar incluyen: la sensibilidad de la información, la probabilidad de divulgación si no se emplean salvaguardas adicionales, el costo de emplear salvaguardias adicionales, la dificultad de implementar las salvaguardas, y la medida en que las salvaguardias afectan negativamente la capacidad del abogado para representar a los clientes (por ejemplo, al hacer que un dispositivo o una pieza importante de software sea excesivamente difícil de usar). El Comité explicó que "un análisis basado en hechos significa que en algunas circunstancias se justifican medidas de protección particularmente fuertes, como el cifrado".
El Comité también advirtió que, si bien el uso de correo electrónico no cifrado puede ser apropiado para comunicaciones de rutina o de baja sensibilidad, debido a las “amenazas cibernéticas y (el hecho de que) la proliferación de dispositivos de comunicaciones electrónicas ha cambiado el panorama... no siempre es razonable confiar en el uso de correo electrónico no cifrado ". Como sugirió el Comité, hay varias opciones diferentes disponibles para los abogados cuando el correo electrónico no cifrado es insuficiente para proteger las comunicaciones confidenciales: “Un abogado tiene una variedad de opciones para salvaguardar las comunicaciones, incluido, por ejemplo, el uso de métodos seguros de acceso a Internet para comunicar, acceder y almacenar información del cliente (como a través de Wi-Fi seguro, el uso de una red privada virtual u otro portal de Internet seguro)… ”
La otra decisión ética es la opinión formal de ABA 483 que habla sobre la obligación de los abogados después de una violación de datos electrónicos o un ciberataque. En un esfuerzo por evitar una violación de datos, un abogado debe:
1- Mantenerse actualizado sobre los riesgos y beneficios de incorporar tecnología en la prestación de servicios legales.
2- Proteger razonablemente la información del cliente del acceso o divulgación no autorizados.
3- Asegurar el cumplimiento de otros abogados, personal y proveedores externos con las políticas de ciberseguridad.
En el contexto de una violación de datos, la competencia tecnológica significa que un abogado debe:
1- Monitorear una violación de datos después de que haya ocurrido un incidente cibernético.
2- Actuar razonable y rápidamente para detener el incumplimiento y mitigar los daños.
3- Llevar a cabo una investigación posterior a la infracción para asegurarse de que la infracción se haya detenido y evalúe razonablemente los datos perdidos o accedidos.
La Opinión señala que "la competencia de un abogado para preservar la confidencialidad de un cliente no es un estándar de responsabilidad estricta y no requiere que el abogado sea invulnerable o impenetrable".
Si ocurre una violación de datos, un abogado debe notificar a los clientes actuales y anteriores de la violación y mantener a los clientes actualizados sobre la respuesta del abogado y el plan de mitigación. No existe un "puerto seguro" para que los abogados eviten la obligación posterior a la infracción de notificar a los clientes. La Opinión establece que "si se activa una obligación de notificar después de la infracción, un abogado debe hacer la divulgación independientemente del tipo de esfuerzos de seguridad que se implementaron antes de la infracción".
Por último, más allá del cumplimiento de un abogado con la Opinión formal 483, el abogado también debe analizar el cumplimiento de los estatutos estatales y federales.
Resulta que las firmas de abogados son excelentes objetivos para los hackers y la razón se debe a la información tan valiosa que poseen. Lastimosamente la historia dice que no siempre están bien protegidos por bufetes de abogados como podría haber sido por los propios clientes debido a que los abogados han estado tan equipados para tener una conversación sobre tecnología que podría afectar la representación de los clientes. El trabajo de los abogados va a cambiar de manera radical en los próximos años. Aquellos despachos que no cuenten con las nuevas tecnologías o que no se apoyen en servicios tecnológicos, se irán quedando poco a poco fuera de juego. Por eso es que se debe estar alerta y observar las nuevas tendencias, a fin de adaptarnos al cambiante mercado de servicios jurídicos. Desde luego, todo eso obligará a cambiar también el modelo de enseñanza del derecho. El futuro nos alcanzó y es responsabilidad de cada uno saber cómo hacerle frente.
Fuente:
Antonio Sauma Matamoros
Estudiante de Derecho de la Universidad de Navarra (UNAV)
