¿Es posible capturar a distancia los contenidos de una computadora o dispositivo electrónico?

Claro que sí, de hecho es algo que ocurre a diario. Aunque todo depende de la forma en la que se obtengan esos contenidos. Si se realiza sin consentimiento del titular de esa información estamos hablando de delincuentes informáticos, lo que no debe confundirse con “hackers”.

¿Y entonces qué es un “hacker”?

Un “hacker” es en realidad un apasionado de la seguridad de la información que investiga cada avance, código y dispositivo tecnológico y conoce a la perfección el arte de acceder a datos y sistemas informáticos, penetrando -en especial- las barreras de seguridad. Por ejemplo a muchos hackers se los contrata como profesionales en seguridad informática para que analicen la vulnerabilidad de los sistemas de una empresa u organismo. Eso es algo completamente legal, y muy necesario para la salud de la información por cierto. Ocurre que el término quedó muy asociado social y periodísticamente al de delincuente, y esto no es así. No todos los hackers son delincuentes, del mismo modo que no todos los cerrajeros son ladrones.

¿Qué pasa con los antivirus?

La seguridad informática es una sensación. La gente cree que con un antivirus está protegida pero después tiene un comportamiento ilógico en la web, difundiendo datos que no proporcionaría nunca en el mundo físico, infectando su computadora al descargarse programas o juegos “desbloqueados” de sitios de dudosa reputación o haciendo click en cualquier enlace que tengan enfrente. Venimos además de una vieja concepción del “virus”. Antes era muy frecuente escuchar que a alguien le entró un virus y le borró todo el disco rígido, ¿no es cierto?. Hoy esto ya casi no sucede pero no es porque estemos más seguros.

¿Y a qué se debe entonces?

Es porque hoy ya no es negocio destruir datos sino que ahora todo pasa por infiltrar y controlar remotamente las máquinas sin que el usuario lo sepa. Hace no muchos años el virus era un peligro real y muy temido que nos generaba adrenalina y preocupación, en cambio ahora el peligro es más imperceptible, incoloro, inodoro, insaboro e insípido. La gente se relaja en materia de seguridad porque sigue creyendo que está a salvo ya que “no se le borró la información”, o sea, porque no se infectó con un virus.

¿Y cuál es el término a utilizar?

Por ello hoy ya no se habla de virus sino de malware, que es un nombre genérico que se refiere a todo software malicioso o  malintencionado creado con el objetivo de infiltrarse o dañar una computadora o sistema sin el consentimiento de su titular. Dentro del concepto de malware podemos incluir a los virus, troyanos, gusanos, spywares, etcétera. Se estima que sólo el 2% de todo el malware que circula en la web son virus. La mayoría son troyanos que pueden lograr que desde cualquier lugar del mundo se controle la actividad de una computadora, dispositivo móvil o tableta.

¿De qué otra forma puede robarse contenido?

Una forma muy común es estando en el lugar físico donde se encuentra el dispositivo electrónico. Por ejemplo, a una computadora se le puede incorporar un keylogger físico, que es un dispositivo externo que se coloca en el hardware y es capaz de capturar todas las pulsaciones de teclado o impresiones de pantalla y dejarlas almacenadas en una memoria interna. Más fácil aun es colocar un pendrive y copiar los datos. También lamentablemente es bastante común que copien a los datos si se lleva la computadora a un servicio técnico poco fiable. Pueden hacerlo en un suspiro, sobre todo si se trata de una persona famosa. La tentación de acceder a esa información es demasiado grande.

¿Y a distancia es fácil?

Depende. Si el dispositivo tiene vulnerabilidades, está conectado a Internet por banda ancha y no se desenchufa nunca el router, es mucho más fácil para el atacante. Tiene que haber una conexión con el mundo exterior. Casi la totalidad de las máquinas, sobre todo las que tienen Windows, tienen vulnerabilidades. El usuario debe aprender mucho en materia de seguridad de la información.

¿Qué cosas debería aprender por ejemplo?

Al navegar por Internet deberían tomarse recaudos similares a los que se tienen para conducir un vehículo. O sea, de manera segura y responsable. Un conductor con licencia conoce las normas de tránsito, sus responsabilidades y los aspectos más generales de la mecánica. En materia informática por lo general, se recomienda tener en el mundo virtual un comportamiento similar al que se tiene en el mundo físico, usar mucho el sentido común, no abrir archivos o links dudosos o de personas que no se conoce, visitar sitios con buena reputación, no ingresar datos personales en cualquier lado, tener buenas claves, utilizar software original, antivirus, firewall y aceptar los avisos de actualizaciones de software, pues los usuarios tienden a rechazarlos ya que suelen ser molestos. Eso incrementa el riesgo porque los delincuentes estudian cada versión nueva de cada programa para buscar sus vulnerabilidades y, cuando las encuentran, generan un código llamado “exploit” que permite explotar dicha vulnerabilidad y acceder a las máquinas en cuestión. Estos hallazgos se comparten en todos los foros y así simplifican la tarea de infiltrar aquellas máquinas que tengan ese software desactualizado o infectado.

¿Y qué pueden hacer una vez que infiltran las máquinas?

Si tienen acceso remoto pueden hacer lo que quieran, casi siempre sin que el usuario se entere. Pueden acceder a los archivos, borrarlos, copiarlos, modificarlos. Todo.

¿Cuál es la finalidad?

Un ejemplo claro es cuando escuchamos que tiraron abajo un sitio web, sobre todo los gubernamentales, de partidos políticos o de compañías multinacionales. Esto se logra a través de algo llamado botnet, que son redes zombie de computadoras infectadas con troyanos. Como cada sitio tiene un ancho de banda determinado, para tirarlo abajo es suficiente saber cuál es la capacidad máxima de usuarios o de paquetes de datos simultáneos que toleraría esa conexión. Entonces hago que esas miles de computadoras zombies ingresen simultáneamente y logren superar ese límite para denegar el servicio a Internet. Esto se conoce como DDoS o ataque distribuido de denegación de servicio. Un usuario puede creer que su computadora está limpia y por ahí en realidad está atacando a un sitio en ese mismo momento sin que él lo sepa.

¿Para qué les sirve hacer eso?

Esto es un negocio impresionante pues se alquilan o venden estas botnet ya que hay gente poderosa que paga mucho dinero por sabotear sitios opositores o con intereses distintos. Por ejemplo, un partido político que quiera sabotear el sitio web de un rival, o cuando Anonymous ataca sitios que atentan contra la libertad de expresión o de la independencia de Internet. Según varias fuentes, el negocio de las botnet genera más dinero que el propio narcotráfico.

Pero si quiero infiltrar tan solo una computadora en particular, ¿es posible? ¿y cómo?

Claro que es posible y sucede con mucha frecuencia. Generalmente existe previamente un interés especial contra el individuo que será infiltrado o atacado, como ser por espionaje, curiosidad, celos, rencor, resentimiento… Ocurre mucho con parejas, ex parejas o en el ámbito laboral, gubernamental o corporativo. Muchas veces se utiliza una técnica denominada “ingeniería social” que consiste en averiguar los usos, gustos y costumbres de la o las personas en cuestión. Si se trata de un político o un intelectual, se les mando un mail con una invitación tentadora: un congreso en Brasil en el cual se lo invita a ser disertante en el tema que más le gusta. El correo dice “cliquee aquí para ver el Programa” y lo más probable es que hasta un usuario precavido cliquee, creyendo que sólo entra a leer algo y en ese mismo momento se infecta su computadora.

¿Esto está sancionado en el Derecho argentino?

Así es. En caso de encontrar al culpable, éste puede ser sancionado desde la justicia penal, civil y hasta contravencional. En materia civil se lo demandará a reparar económicamente los daños y perjuicios ocasionados por su accionar.

¿Y penalmente?

Penalmente también puede ser castigado, porque en 2008 se incorporaron al Código Penal los llamados “delitos informáticos” a través de la Ley 26.388. Entre otras cuestiones se equiparó la correspondencia electrónica a la de papel y se sancionó tanto el acceso ilegítimo informático como la modificación o borrado de datos. Aunque las penas son ínfimas y hasta ridículas, de 1 mes a 3 o 4 años en el peor de los casos, por lo que difícilmente haya prisión efectiva, a diferencia de lo que pasó con el hacker de las fotos de Scarlett Johansson en Estados Unidos, que recibió 10 años de prisión. Por último, el hostigamiento o el bullying son considerados meras contravenciones para la Ciudad de Buenos Aires, con multas o simbólicos trabajos de utilidad pública.

¿Existe “savoir faire” en Argentina para perseguir estos delitos?

Sí, absolutamente. Hay gente muy capacitada que “sabe hacer” muy bien su trabajo. Existen funcionarios, jueces, fiscales, peritos informáticos y abogados especialistas y dedicados exclusivamente a estos temas. Incluso la Policía Federal Argentina cuenta con una División Delitos en Tecnología y Análisis Criminal y la Policía Metropolitana de la Ciudad de Buenos Aires posee una entrenada División Especial de Investigaciones Telemáticas. Pero se necesita aun más capacitación, financiamiento, reestructuraciones institucionales y vocación política.

¿Esto garantiza el éxito de las investigaciones?

No. Porque a pesar de contar con gente capaz, en la generalidad de los casos la gente no denuncia estos casos por desconocimiento y, una vez denunciado, suelen generarse muchas dificultades en la investigación posterior.

¿Por qué pasa eso?

Por un lado, si los delincuentes son verdaderos profesionales de la seguridad informática, difícilmente dejen huellas rastreables. En cambio, si son más amateurs es otra cosa pues a la enorme mayoría de los delitos informáticos los comete alguien no del todo profesional que deja rastros interesantes. Pero contar con estas huellas no es suficiente pues a veces intervienen personas de áreas no especializadas que suelen cometer muchos errores en la recolección de la evidencia que terminan viciando la prueba informática y generando una nulidad en toda la causa.

Fuente: Infobae e Informática Legal

Cada persona realiza a diario innumerables actividades y transacciones en las cuales proporciona, directa o indirectamente, datos personales. Anotarse en promociones o sorteos, comprar en el supermercado, registrarse en los controles de vigilancia de edificios, inscribirse en cualquier actividad recreativa, realizar trámites en organismos públicos o empresas, pagar con tarjetas de crédito o débito, viajar en medios de transporte, navegar por Internet, descargar archivos, acceder a los e-mails, interactuar en redes sociales o foros son algunos de los ejemplos.

Sin embargo, estas actividades se realizan a un ritmo tan acelerado que la gente no tiene tiempo de prestarle real atención al hecho que terceros desconocidos tengan datos sobre su personalidad, gustos, comportamiento, economía, familia, salud, preferencias, hábitos sociales, políticos y de consumo, entre otros.

En el marco de este oscuro sistema se elaboran gigantescas bases de datos no controladas que permiten la elaboración de perfiles demasiado precisos sobre las personas y son extraordinarias herramientas para el marketing y el espionaje.

Para poder defenderse de estos abusos en el año 2000 se sancionó la Ley 25.326 de Protección de Datos Personales que beneficia con nuevos derechos a los titulares de los datos y exige pautas para la recolección y el tratamiento de los mismos, sobre todo en relación a los denominados datos sensibles que son aquellos relativos al origen racial y étnico, a las opiniones políticas, convicciones religiosas, filosóficas o morales, la afiliación sindical, la salud y la vida sexual.

De esta forma las personas, empresas y organismos que recolectan datos están obligadas a inscribir las bases en un registro especial a cargo de la Dirección Nacional de Protección de Datos Personales (DNPDP) (órgano de control de la ley), a adoptar medidas que garanticen la seguridad y confidencialidad de los mismos, a solicitarle el consentimiento previo al titular e informarle sobre lo que pretenden hacer con sus datos para que –en última instancia– éste pueda decidir sobre la conveniencia o no de proporcionárselos.

Asimismo, los datos deberán recolectarse en forma lícita y leal y no ser utilizados para finalidades distintas de aquéllas para las que se recogieron, permitiéndole al titular poder acceder a los mismos cuando éste lo requiera y/o justifique para rectificar, cancelar o suprimir los que sean erróneos, desactualizados, falsos o excesivos.

La correcta aplicación de este régimen legal se encuentra bajo la tutela de la mencionada DNPDP quien está facultada para sancionar a los infractores con apercibimientos, multas de hasta 100 mil pesos, e incluso con suspensiones o clausuras de las bases de datos.

Es indudable que la informática evoluciona y revoluciona a la sociedad de manera arrolladora, llevándose por delante décadas de legendarias tradiciones y costumbres y poniendo al Derecho en jaque al desactualizar a diario longevas normas jurídicas.

Es por ello que los ciudadanos deberán necesariamente conocer estas armas legales ya que, conjuntamente con el accionar del órgano de control, son los únicos que podrán darle pelea a esta disputa despareja.