Abuso y fraudes quedan impunes. A pesar de los avances, todavía no existe una verdadera protección contra ataques maliciosos
Hace dos años, en México se acusó a un empleado de una maquiladora, de enviar por correo electrónico información secreta a la competencia. La firma confiscó la computadora del afectado y la llevó ante un juez, casi 40 días después del supuesto fraude.
La compañía tenía dos factores principales en su contra: no cancelaron inmediatamente la cuenta de correo electrónico del empleado y había transcurrido mucho tiempo entre que se cometió la acción y se presentaron las pruebas, así que no se pudo demostrar que la evidencia no se había modificado.
Además, al evaluar las políticas de seguridad de la empresa se encontró que no había privacidad en el uso de los equipos y, lo peor, la gente compartía los passwords.
Al juez se le entregó un expediente de 60 páginas, de las cuales 10 eran la descripción del incidente y le resto un curso de tecnologías de la información, así como de seguridad informática. La intención es que las personas que trataran el caso, a nivel federal, se empaparan un poco sobre el tema.
El empleado resultó inocente y ganó bajo la premisa de despido injustificado, gracias a que su abogado estaba asesorado por un perito en delitos digitales.
«En materia legal, para casos de delitos informáticos, estamos en pañales», dijo Jorge Garibay, director de servicios profesionales de Xertix y miembro de ISACA, Information Systems Audit and Control Association.
Aun cuando la Asociación Mexicana de la Industria de Tecnologías de Información (AMITI) realizó un avance en tema de comercio electrónico, no hay una ley específica para la seguridad informática.
Al respecto, el director con 13 años de experiencia en el ramo enfatizó sobre la necesidad de normas para tomar decisiones más correctas y alentó a todos los actores involucrados, como gobierno, empresas, organizaciones e instituciones financieras y educativas, a proponer iniciativas ante el Congreso.
En México, a pesar de que la Policía Cibernética combate al narcotráfico, pornografía infantil, lavado de dinero y tráfico de influencias, no lo hace con delitos informáticos como el abuso computacional, fraudes, así como la distribución de software malicioso como virus, spyware.
«Con leyes sobre seguridad informática, no se terminará con los ataques, pero sí un hacker pensará dos veces en hacerlo», advirtió Garibay.
Zona desmilitarizada
Otro de los puntos a combatir es precisamente dentro de las empresas, pues según Xertix, más del 40 por ciento de las compañías que hacen operaciones vía internet no cuentan con un esquema de seguridad informática.
Al respecto, se recomienda educación, concientización y capacitación del personal; nombrar a un responsable de la seguridad informática; crear un manual o estándares del buen uso de la información y clasificar los datos como públicos o privados.
«Las firmas, en particular las pymes, deben verlo no como un gasto, sino como una inversión. Hay muchas empresas o instituciones que les ayudan a crear modelos a la medida para hacer un frente común», explicó Garibay.
Por otro lado, a pesar de que no exista un mecanismo homologado, es necesario presentar pruebas con la ayuda de herramientas como el cómputo forense, para así dar a conocer con mayor fuerza el tema en el Congreso.
En el mundo
En Estados Unidos, Francia y Japón hay leyes para operaciones financieras, así como el manejo y tratamiento de información en medios magnéticos.En Canadá existe una sección del código criminal que culpa a cualquiera, sin autorización, que modifique datos o cause la acción.Los países del G8 firmaron un acuerdo el año pasado para establecer principios internacionales para el manejo de la evidencia computacional.Algunos son que la evidencia digital no puede ser modificada, cualquier persona que accese a ella debe estar certificado y cualquier movimiento de la misma debe ser documentada.
Fuente: Reforma, Sacnicte Bastida
