Ataques de ransomware en Perú

El ransomware (también conocido como rogueware o scareware) restringe el acceso a su sistema y exige el pago de un rescate para eliminar la restricción.  El ransomware lo crean estafadores con un gran conocimiento en programación informática. Puede entrar en su PC mediante un adjunto de correo electrónico o a través de su navegador si visita una página web infectada con este tipo de malware. También puede acceder a su PC a través de su red.   Los ransomware suelen ponerse en contacto con un servidor central para obtener la información que necesita para activarse y comenzar a cifrar los archivos en la computadora infectada con esa información.

Read more “Ataques de ransomware en Perú”

El Gobierno electrónico en el Perú

El Gobierno Electrónico, según la definicion brindada por la Organización de las Naciones Unidas (ONU), es el uso de las Tecnologías de la Información y la Comunicación (TIC), por parte del Estado, para brindar servicios e información a los ciudadanos, aumentar la eficacia y eficiencia de la gestión pública, e incrementar sustantivamente la transparencia del sector público y la participación ciudadana.
 
La Oficina Nacional de Gobierno Electrónico e Informática (ONGEI)
Es el Órgano Técnico Especializado que depende directamente del Despacho de la Presidencia del Consejo de Ministros (PCM). ONGEI, en su calidad de Ente Rector del Sistema Nacional de Informática, se encarga de liderar los proyectos, la normatividad, y las diversas actividades que en materia de Gobierno Electrónico realiza el Estado. Entre sus actividades permanentes se encuentran las vinculadas a la normatividad informática, la seguridad de la información, el desarrollo de proyectos emblemáticos en Tecnologías de la Información y la Comunicación (TIC), brindar asesoría técnica e informática a las entidades públicas, así como, ofrecer capacitación y difusión en temas de Gobierno Electrónico y la modernización y descentralización del Estado.
BENEFICIOS DEL GOBIERNO ELECTRÓNICO
a) Para el Estado
  • Permite mejorar los procesos de gestión internos.
  • Mejora la comunicación y coordinación intrainstitucional e interinstitucional.
  • Genera espacios de trabajo colaborativo para brindar servicios.
  • En el plano de las políticas públicas, replantea el proceso de diseño, al tomar en cuenta, como nuevo como ponente, a las TIC.
  • Fortalece la innovación y modernización del Estado.
  • Mejora los procesos de formación y de desarrollo de capacidades.
b) Para el ciudadano
  • Permite obtener mejores servicios del Estado, con reducción de tiempo y de costos.
  • Permite fortalecer la transparencia de las entidades públicas.
  • Mejora la participación ciudadana al brindar nuevos espacios de diálogo horizontal, fomenta el control ciudadano (accountability) y, por ende, contribuye a la gobernabilidad.
c) Para las empresas
  • Les permite establecer relaciones comerciales con el Estado con mayor transparencia.
  • Agiliza los procesos de los trámites tradicionales sustituyéndolos por trámites en línea.
MARCO NORMATIVO DEL GOBIERNO ELECTRÓNICO EN EL PERÚ
 
Enlaces recomendados por el autor:
“UNA MIRADA AL GOBIERNO ELECTRÓNICO EN EL PERÚ La oportunidad de acercar el Estado a los ciudadanos a través de las TIC”, Presidencia del Consejo de Ministros Oficina Nacional de Gobierno Electrónico e Informática Lima, 2013. DESCARGAR

El Derecho al olvido en el Perú

El derecho al olvido es un derecho intimamente relacionado con el Habeas Data y la protección de datos personales y puede ser definido como aquel derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal de algún servidor, o base de datos, o repositorio de almacenaje. Cuando hablamos de derecho al olvido también puede definirse como el derecho que tiene el titular de un dato personal a borrar, bloquear o suprimir información personal que se considera obsoleta por el transcurso del tiempo o que de alguna manera afecta el libre desarrollo de alguno de sus derechos fundamentales.
Y… ¿Qué dice Google al respecto?
En su página web sobre Términos de privacidad y condiciones, aclaran literalmente:

El reciente fallo del Tribunal de Justicia de la Unión Europea tiene profundas consecuencias para los motores de búsqueda en Europa. El tribunal ha considerado que determinados usuarios tienen derecho a solicitar a los motores de búsqueda como Google que eliminen los resultados de consultas que incluyan su nombre. Para ello, los resultados mostrados deben considerarse inadecuados, irrelevantes o ya no relevantes, o excesivos.
Desde que esta sentencia se publicó el 13 de mayo de 2014, hemos estado trabajando contra reloj para cumplirla. Se trata de un proceso complicado porque necesitamos evaluar cada solicitud de forma individual y ponderar los derechos de la persona a controlar sus datos personales con el derecho del público a conocer y distribuir información.

¿Existe realmente el Derecho al Olvido en Perú? 
 RD Nº 045-2015-JUS_DGPDP.- Derecho al Olvido Peru Resolucion

Hace algunos días navegando por la web, me dí con la sorpresa de que existían precedentes de esta forma la web hiperderecho.org en una publicación de  Martín Borgioli analiza la resolución de la Dirección General de Protección de Datos Personales ha resuelto el primer caso donde se aplica la doctrina del  derecho al olvido en el Perú. Pues es el primer caso en que en una Resolución de marzo del año 2016, esta entidad administrativa que depende del Ministerio de Justicia le ordenó al buscador Google que ocultara ciertos resultados de búsqueda cuando alguien buscara el nombre de un ciudadano peruano. Decisiones similares han sido muy polémicas en otros países y, de seguro, acá también lo serán.



Dispositivos legales aplicables en la legislación Peruana: En primer término sería aplicable enteramente la Ley Nº 29733, Ley de Protección de Datos Personales (LPDP), sin embargo se han seleccionado algunos de sus articulados resaltantes para el caso en análisis.

El artículo 3 de la LPDP que regula el ámbito de aplicación dispone que:
“La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional ( .. .) “.
De igual forma, el artículo 3 del Reglamento de la LPDP que regula el ámbito de aplicación dispone que: Artículo 3 del Reglamento de la LPDP.-Ámbito de aplicación: “El presente reglamento es de aplicación al tratamiento de los datos personales contenidos en un banco de datos personales o destinados a ser contenidos en bancos de datos personales.
Artículo 5 del Reglamento de la LPDP.-Ámbito de aplicación territorial: Las disposiciones de la Ley y del presente reglamento son de aplicación al tratamiento de datos personales cuando: 1. Sea efectuado en un establecimiento ubicado en territorio peruano correspondiente al titular del banco de datos personales o de quien resulte responsable del tratamiento. 2. Sea efectuado por un encargado del tratamiento, con independencia de su ubicación, a nombre de un titular de banco de datos personales establecido en territorio peruano o de quien sea el responsable del tratamiento. 3. El titular del banco de datos personales o quien resulte responsable del tratamiento no esté establecido en territorio peruano, pero le resulte aplicable la legislación peruana, por disposición contractual o del derecho internacional; y 4. El titular del banco de datos personales o quien resulte responsable no esté establecido en territorio peruano, pero utilice medios situados en dicho territorio, salvo que tales medios se utilicen únicamente con fines de tránsito que no impliquen un tratamiento. Para estos efectos, el responsable deberá proveer los medios que resulten necesarios para el efectivo cumplimiento de las obligaciones que imponen la Ley y el presente reglamento y designará un representante o implementará los mecanismos suficientes para estar en posibilidades de cumplir de manera efectiva, en territorio peruano, con las obligaciones que impone la legislación peruana. Cuando el titular del banco de datos personales o quien resulte el responsable del tratamiento no se encuentre establecido en territorio peruano, pero el encargado del tratamiento lo esté, a este último le serán aplicables las  disposiciones relativas a las medidas de seguridad contenidas en el presente reglamento (. .. )”.
Conforme con lo establecido por el numeral 5 del artículo 28 de la LPDP, “el responsable del tratamiento debe almacenar los datos personales de manera que se posibilite el ejercicio de los derechos de su titular”.
Conforme con lo establecido por el numeral 13.1 del artículo 13 de la LPDP, “el tratamiento de datos personales debe realizarse con pleno respeto de los derechos fundamentales de sus titulares y de los derechos que la LPDP les confiere. Igual regla rige para su utilización por terceros”. Con el tratamiento de datos personales realizado por la reclamada no sólo se ha afectado la privacidad del reclamante, sino también se ha vulnerado el ejercicio de sus derechos de cancelación y oposición reconocidos por el Título 111 de la LPDP.

 

El Phishing en el Perú

 

el phishing en el peru delito informatico
En esta oportunidad hablaremos del phishing, que a consideración mía es el padre de los delitos informáticos, ya que es algo  bastante conocido por todos ( o al menos para mi lo es). Como ya todos estamos al tanto y el avance de los conocimientos en informática así como el crecimiento del desarrollo web mal utilizado se refleja en delitos como este en donde la combinación de desarrollo web y el arte de clonar o diseñar una web se conjugan para la comisión de delitos.
Bueno, entonces ¿qué es el phishing?, esta palabra deriva de su locución en inglés cuya pronunciación es “fishing“, que significa pesca, es justamente lo que realiza el ciber-delincuente  con este tipo de delito informático, pues lanza un anzuelo (pagina web falsa o clonada) a la espera de poder captar alguna persona descuidada que ingrese sus datos en la pagina web clonada o fraudulenta para posteriormente explotar los datos ingresados por ejemplo el de tarjetas de créditos o usuarios y contraseñas que le permitan acceder a algun tipo de información valorada.
El pishing en la mayoría de casos opera de la siguiente forma: se envía un correo electrónico a la victima, argumentando que se necesita su información de acceso para actualizar datos o para hacer efectivo algún tipo de premio, por supuesto todo ello es falso, obviamente el correo tiene un diseño muy profesional, muy similar a los correos que remite regularmente nuestra entidad bancaria o empresa y siempre signando el nombre del Gerente general o de algún representante de la institución.
ejemplo de pishing del banco bcp del peru
EL PHISHING EN EL CÓDIGO PENAL PERUANO
 
Para efectos de hablar de phishing específicamente nuestro código penal peruano no acoge la figura del delito informático como tal, pues no establece una definición genérica del mismo, más bien lo conceptualiza de una forma típica como: Las conductas típicas, antijurídicas y culpables, en que se tienen a las computadoras como instrumento o fin.
  • Artículo 207-A.- Delito Informático – Código Penal Peruano
El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuenta y dos a ciento cuatro jornadas.
Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas.

Entonces el phishing puede ser considerado un delito informático impropio lo que el Dr. Rafael Changaray Segura menciona que “son aquellos delitos que no se encuentran comprendidos dentro de los alcances de los artículos 207-A, 207-B y 207-C. del Código Penal, pero que implica la utilización de medios informáticos para su comisión“.

Para citar este artículo en formato APA: 

LEGUA HERRERA, Pablo Alejandro. (31 de Octubre del 2016). El Phishing en el Perú . Recuperado de //www.pablolegua.com/2016/10/phishing-peru.html

Enlaces recomendados por el autor:
  • DEL CASTILLO VIDAL, Raúl, DIAPOSITIVAS – PREVENCION DELITOS INFORMATICOS Y COMETIDOS A TRAVÉS DE LA TECNOLOGIA (04-08-2011) Descargar

El delito de sabotaje informático en el Perú

El sabotaje informático (en inglés computer sabotage) entendido como delito informático es toda acción deliberada  desde un computador o sistema destinado a debilitar a otro mediante la subversión, la obstrucción, la interrupción o la destrucción de material. En definitiva el término sabotaje informático comprende todas aquellas conductas dirigidas a eliminar o modificar funciones o datos en una computadora sin autorización, para obstaculizar su correcto funcionamiento  es decir causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección.

El Derecho Informático en el Perú

La pregunta es simple ¿Qué es el Derecho Informático en el Perú?, como bien señala el jurista Bramont Arias-Torres : “El fenómeno informático es una realidad incuestionable e irreversible; definitivamente, la informática se ha instalado entre nosotros para no marcharse jamás… ”. Y es que justamente es un fenómeno dinámico y bastante cambiante en estos momentos a pasos cada vez más agigantados.
Cabe precisar que el término Derecho Informático (Rechtsinformatik) propiamente dicho fue utilizado por primera vez por Wilhelm Steinmüller profesor de la  Universidad de Ratisbona de Alemania mas o menos por los años 1970, sin embargo el Derecho Informático recibe otros nombres como Derecho TelemáticoDerecho de las Nuevas TecnologíasDerecho de la Sociedad de la InformaciónIuscibernéticaDerecho Tecnológico, Derecho del Ciberespacio, Derecho de Internet, etcétera. En la actualidad, el término Derecho de las Tecnologías de la Información y Comunicación ha tomado fuerza en América Latina, llegando incluso a privilegiarse sobre el uso de Derecho Informático . En tal sentido podemos concluir que el derecho informático dentro del ordenamiento jurídico peruano corresponde a una rama del derecho que involucra temas relacionados al ordenamiento jurídico y la informática, que se relaciona con otras diversas ramas como son el Derecho Penal,  Civil, Comercial, Mercantil, Registral entre otros. Pero es mayormente en el campo penal donde se aprecia mucho más esta rama ya que la comisión de ilícitos es pan de cada día y así pasamos delitos tan comunes como el sabotaje, robo, usurpación del nombre en la vida real al mundo virtual.

Definición de Derecho Informático

El derecho informático es aquella rama del derecho que se ocupa del estudio todas las relaciones con relevancia jurídica que se den dentro del entorno o informático o a consecuencia del empleo de este tipo de medios. Otras definiciones. Otros autores mencionan que es una ciencia que estudia la utilización de aparatos o elementos físicos electrónicos, como la computadora, en el derecho; es decir, la ayuda que este uso presta al desarrollo y aplicación del derecho. En otras palabras, es ver el aspecto instrumental dado a raíz de la informática en el derecho.

Legislación (Marco legal) del Derecho Informático en el Perú

  1. La Ley de Microfirmas, que busca la despapelización de las empresas y organismos públicos. Presenta la posibilidad de validar documentos microfirmados, mediante un fedatario, quien rubrica electrónicamente los documentos.
  2. Decreto Nº 25868 de 24 noviembre de 1992. En las normas donde figure ITINTEC debe entenderse como INDECOPI
  3. Decreto Legislativo Nº 681 sobre los efectos legales de los documentos digitales obtenidos producto del microfilmado (1.992)
  4. Decreto Legislativo Nº 827 que amplia los alcances del Decreto Legislativo 681 autorizando a las instituciones del Estado para la utilización del sistema de microfilmado en sus documentos La Constitución Política del Perú de 1993
  5. Ley 26301 (Sancionada en mayo de 1.994) trata de regular el Corpus Data de la Constitución. El uso que se da en Aduanas de importaciones, por medio de una clave electrónica, resulta una forma de firma electrónica. El Sistema de Aduanas del Perú esta dentro de una estructura de Electronical Data Interchange (EDI)
  6. Resolución Jefatural Nº 030-96 (publicada el 1 de mayo 1996) que crea el Archivo del Registro Único de Identificación y Estado Civil de las Personas Naturales, recogidos con medios de tipo magnético.
  7. Resolución Jefatural Nº 025-98-IDENTIDAD (“El Peruano” 24 marzo de 1998) relativo a la emisión del DNI Normas Técnicas de micrografía. Resoluciones de la Comisión de Reglamentos Técnicos y Comerciales número 055-1997/INDECOPI-CRT y 0032-1998/INDECOPI-CRT (Diario Oficial “El Peruano” 7 diciembre de 1.997 y 5 de Agosto dd 1.998. (INDECOPI = Instituto Nacional de Defensa de la Competencia y de la Protección a la Propiedad Intelectual) .
  8. Resolución Administrativo del Titular del Pliego del Ministerio Público nº 112-99-SE-TP-CEMP (“El Peruano” 25 junio 1.999). La Comisión Ejecutiva del Ministerio Público aprobó la conformación de un Comité de trabajo encargado de la elaboración de las propuestas para el tratamiento de imágenes y documentos de los archivos principales del Ministerio Público utilizando tecnologías de microfilmación, digitalización y otras.
  9. Ley Nº 27269 Ley de firmas y certificados digitales. (Diario Oficial El Peruano 28.05.2000)
  10. Ley N° 27191 que modificó el Código Civil, permitiendo la utilización de medios electrónicos para la comunicación de la manifestación de voluntad y la utilización de la firma electrónica, sobre todo en el área de contratos. (Diario Oficial El Peruano 24.06.2000)
  11. Ley Nº 27310 que modifica el Artº 11 de la Ley Nº 27.269 sobre certificados de firmas digitales. (26.06.2000).
  12. Ley Nº 27419 que modifica dos artículos del Código Procesal Civil y posibilita el envío a través de correos electrónicos, de determinados actos procesales.(06.02.2001).

Legislación (Marco legal) del Delitos informáticos en el Perú

  1. Ley N° 30096 – Ley de Delitos Informáticos
  2. Ley N° 30171 – Ley que modifica la Ley N° 30096 Ley de Delitos Informáticos
  3. Ley N° 28493 – Ley que regula el uso del correo electrónico comercial no solicitado (SPAM)

 

 

Ejemplos del uso del Derecho Informático.

Algunos ejemplos que pueden encontrarse o enmarcarse dentro de la rama del derecho informático podemos citar:

  • El uso de contratos electrónicos o virtuales a través de internet (los también llamados  términos de uso y empleo de cada sitio web al registrarnos)
  • El comercio electrónico en internet, tiendas virtuales (e-comerce)
  • La comisión de delitos usando medios informáticos (delitos informáticos)
  • La suplantación de identidades en las redes sociales (delitos informáticos)
  • El uso de nombres de dominios y la disputa de los mismos ante instancias internacionales por la prevalencia de la marca registrada  (cuando alguien tiene registrado el nombre de una marca como dominio y surgen controversias al respecto)

Fuentes bibliográficas:

BRAMONT-ARIAS, Luis. Delitos Informáticos. Disponible en: //www.asesor.com.pe/teleley/5Bramont-51.pdf
VILLAVICENCIO, Felipe. Delitos informáticos de la ley 30096 y la modificación de la ley 30071. Disponible en: //www.ordenjuridico.gob.mx/Congreso/pdf/78.pdf
PIÑA, Hiram. El derecho informático y su autonomía como nueva rama del derecho. Disponible en //www.ordenjuridico.gob.mx/Congreso/pdf/78.pdf