Seis ciberamenazas relacionadas a los delitos que establece la nueva ley sobre delitos informáticos
“La nueva Ley 21.459 sobre Delitos Informáticos, publicada el pasado 20 de junio, establece normas y modifica otros cuerpos legales, con el objeto de adecuarlos al Convenio de Budapest, que es un acuerdo internacional que surgió para combatir el crimen organizado transnacional, específicamente en los delitos informáticos. Este establece una legislación penal y procedimientos comunes entre sus Estados partes”, señala el profesor de UEjecutivos de la FEN U. de Chile, José Antonio Lagos.
¿La novedad? “Moderniza la ley chilena que ya estaba vigente en tres títulos (secciones) y 21 artículos, donde se describen los diferentes delitos informáticos que se pueden cometer, considerando nuevos riesgos y ataques que no estaban contemplados en la normativa anterior”, sostiene Lagos.
La actual ley tipifica ocho delitos informáticos, cuyas sanciones contempla desde multas hasta penas privativas de libertad. Entre ellos, se encuentra el ataque a la integridad de un sistema informático; el acceso ilícito; la interceptación ilícita; el ataque a la integridad de los datos informáticos; la falsificación informática; la receptación de datos informáticos; fraude informático; y abuso de los dispositivos.
Amenazas
Tomando en cuenta el actual escenario de aumento de ataques y vulneración de sistemas, Lagos argumenta que resulta clave entender las amenazas a las cuales se exponen las organizaciones, y cómo estas se relacionan a la normativa recién promulgada, para identificar los riesgos y controles que permitan mitigarlos. Añadió que es fundamental que las organizaciones consideren como tema prioritario actualizar los modelos de prevención de delitos.
En esa línea, asegura que los ataques de malware –troyano, spyware, y, el de mayor crecimiento en los últimos años, el ransomware–, se introducen en las empresas utilizando técnicas de ingeniería social, principalmente phishing, o por medio de las vulnerabilidades existentes en los navegadores o sistemas operativos de las empresas, y “se vinculan con varios delitos mencionados en la nueva ley, afectando la integridad de un sistema informático o el propio acceso ilícito”, subraya.
Explicó que los ataques de ingeniería social funcionan manipulando psicológicamente a los colaboradores de una empresa, para que realicen acciones indebidas. Entre ellos, se encuentra el phishing y spearphishing y el Fraude al CEO o BEC (Business Email Compromise), que puede originar la captura de información (robo de credenciales), o el ingreso de algún tipo de malware. “Este tipo de amenazas podrían tener un impacto directo en un fraude informático o acceso ilícito”, dice.
Otro ataque que puede afectar la integridad de un sistema informático, el acceso ilícito, la integridad de los datos informáticos o un fraude, son las amenazas persistentes avanzadas (APT), que requieren de atacantes sofisticados e implican grandes esfuerzos, por lo que generalmente los ciberdelincuentes se lanzan contra Estados, grandes corporaciones u objetivos muy valiosos, sostiene.
¿En qué consiste? “Cuando un individuo o grupo obtiene acceso no autorizado a una red y permanece oculto durante un período de tiempo prolongado, los atacantes pueden filtrar datos confidenciales, evitando deliberadamente que el personal de seguridad de la organización los detecte”, argumenta.
Una amenaza que se vincula con la violación de la integridad de un sistema informático es la denegación de servicio distribuido (DDoS), cuyo objetivo es abrumar o atosigar los recursos de un sistema de destino y hacer que deje de funcionar, negando el acceso a sus usuarios, es decir su servicio, señala.
La vulneración de la cadena de suministro de software, que es la red en la que se encuentran todos los individuos, organizaciones, recursos, actividades y tecnologías, que están involucrados en la creación y venta de un producto, es otra amenaza relacionada a la nueva tipìficación de delitos.
“Un ataque a a la cadena de suministro de software explota la confianza que las organizaciones tienen en sus proveedores externos, particularmente en actualizaciones y parches. Los tipos de ataques de este tipo podrían incluir el compromiso de las herramientas de creación de software o la infraestructura de desarrollo/prueba, código malicioso implementado en componentes de hardware o firmware o malware preinstalado en dispositivos como cámaras, USB y teléfonos móviles, entre otros”, asegura.
Y, por ultimo, indicó que, vinculado a la interceptación ilícita, son los ataques de Hombre en Medio. “Cuando los usuarios o dispositivos acceden a un sistema remoto a través de Internet, asumen que se están comunicando directamente con el servidor del sistema de destino. En un ataque de Hombre en Medio, los atacantes rompen esta suposición, colocándose entre el usuario y el servidor de destino”, puntualiza.
