GUÍA DEL HACKING (mayormente) INOFENSIVO
Vol. 3 Núm 4
Información sobre la Ley de Delitos Informáticos #1
Por Peter Thiruselvam <pselvam@ix.netcom.com> y Carolyn Meinel
_____________________________________________________________
Cansado de leer todas esas notas de "Puedes-I-A-La-Cárcel" en estas Guías? Quién dice que esas cosas sean ilegales? Bueno, ahora puedes conseguir la primera de una serie de Guías que te explicarán con precisión a lo que nos referimos exactamente con lo que te decimos en ellas, como por ejemplo quién y por qué te detendrá si cometes un delito de cualquier clase.
Esta Guía abarca los dos estatutos más importantes sobre leyes federales de delitos informáticos (en USA): 18 USC, Capítulo 47, Sección 1029, y Sección 1030, conocida como el "Pronunciamiento sobre el Abuso y el Fraude Informático de 1986."
Hoy en día estas no son las *únicas* leyes sobre el delito informático. Lo que pasa es que estas dos son las leyes más importantes usadas en los Juzgados Federales de USA para poner a los delicuentes informáticos entre rejas.
DELITOS INFORMÁTICOS: CON QUÉ FRECUENCIA? CADA CUÁNTO TIEMPO SE TIENE NOTICIAS DE ELLOS?
El Departamento Nacional de Delitos Informáticos del FBI estima que entre el 85 y el 97 por ciento de las intrusiones en ordenadores no son detectadas. En un reciente informe del Departamento de Defensa, las estadísticas eran alarmantes. Se registraron un total de 8932 sistemas atacados. A 7860 de ellos los hackers accedieron con éxito. Se detectaron 390 de esas 7860 intrusiones, y sólo 19 de ellas fueron denunciadas. (Richard Power, Computer Security Institute, 1995.)
La razón de por qué sólo 19 de esos ataques fueron denunciados fue que "principalmente, porque las organizaciones que asustan a sus empleados, clientes y accionistas harán que se pierda la fe en esa compañía si se admite que sus ordenadores han sido atacados." Además, muy pocos de los delitos informáticos que se denuncian se resuelven alguna vez.
ENTONCES, SON LOS HACKERS LOS GRANDES CULPABLES DE LOS DESASTRES INFORMÁTICOS?
De acuerdo con el CSI (Computer Security Institute, Instituto de Seguridad Informática), estos son los tipos de delitos/pérdidas informáticos:
- Errores humanos: 55%
- Problemas de seguridad físicos: 20% (p. ej. desastres naturales, o caídas de tensión)
- Ataques internos con objetivo de beneficiarse de esos delitos informáticos: 10%
- Empleados descontentos buscando venganza: 9%
- Virus: 4%
- Ataques externos: 1-3%
Y si tenemos en cuenta que muchos de los ataques externos provienen
de delincuentes informáticos profesionales (muchos de los cuales son empleados de la competencia de las víctimas), los hackers son responsables de casi ningún daño producido a todos estos ordenadores.
De hecho, y según la media, la experiencia nos dice que los hackers hacen más cosas buenas que daño.
Sí, estamos diciendo que el hacker "recreacional" que disfruta únicamente con curiosear por los ordenadores de otras personas no es el tío del que debemos tener miedo. Más posiblemente el causante del daño sea un tío vestido con traje y que trabaje en la empresa de la víctima.
VISIÓN GENERAL DE LAS LEYES FEDERALES EN USA
En general, un delito informático quebranta las leyes federales cuando entra en alguna de las siguientes categorías:
· Implica el compromiso o el robo de información de defensa nacional, asuntos exteriores, energía atómica , u otra información restringida.
· Implica a un ordenador perteneciente a departamentos o agencias del gobierno de los Estados Unidos.
· Implica a un banco o cualquier otra clase de institución financiera.
· Implica comunicaciones interestatales o con el extranjero.
· Implica a gente u ordenadores en otros países o estados.
En estos casos, el FBI ordinariamente tiene jurisdicción sobre los casos que impliquen o sean referentes a la seguridad nacional, terrorismo, desfalcos a bancos y crimen organizado. El Servicio Secreto americano tiene jurisdic-ción en cualquier momento que el Ministerio de Hacienda sea atacado, o si los ataques no están bajo la jurisdicción del FBI (por ej. en casos de robo de passwords o código de acceso). En cieros casos federales, puede que sean secciones como el Departamento de Aduanas, el Departamento de Comercio, o alguna organización militar, como la Oficina de Investigaciones de las Fuerzas Aéreas, las que posean la jurisdicción.
En los Estados Unidos, existen leyes federales que protejen contra el ataque de ordenadores, uso ilegítimo de passwords, invasiones electrónicas en la privacidad, y otras transgresiones. El Pronunciamiento sobre Abuso y Fraude Informático de 1986 es la principal pieza legislativa que gobierna la mayoría de los delitos informáticos, aunque muchas otras leyes pueden ser usadas para perseguir diferentes tipos de delitos informáticos. El pronunciamiento fue modificado con Título 18 USA Código 1030. También complementó a la Ley de Privacidad de las Comunicaciones Electrónicas de 1986, que dejó fuera de la ley el interceptar comunicaciones digitales y había sido recién aprobada. Las Modificaciones de la Ley de Abusos Informáticos de 1994 amplió la Ley de 1986 al acto de transmitir virus y otra clase de código dañino.
En adición a las leyes federales, la mayoría de los estados han adoptado sus propias leyes de delitos informáticos. Algunos países fuera de los Estados Unidos han aprobado también legislación referente a delitos informáticos.
LOS ASUNTOS PRINCIPALES: LAS DOS LEYES FEDERALES MÁS IMPORTANTES CONTRA ESTOS DELITOS
Como se mencionó arriba, las dos leyes federales más importantes (en USA) contra los delitos informáticos son 18 ASC: Capítulo 47, Secciones 1029 y 1030.
SECCIÓN 1029
La Sección 1029 prohíbe el fraude y cualquier actividad relacionada que pueda realizarse mediante el acceso o uso de/a dsipositivos falsificados como PINs, tarjetas de crédito, números de cuentas, y algunos tipos más de identificadores electrónicos. Las nueve áreas de actividad criminal que se cubren en la Sección 1029 están listadas abajo. Todas *requieren* que el delito implique comercio interestatal o con el extranjero.
1. Producción, uso o tráfico de dispositivos de acceso falsificados. (El delito debe ser cometido conscientemente y con voluntad de estafar.)
Pena: Multa de $50,000 o dos veces el valor del crimen cometido y/o hasta 15 años de cárcel, $100,000 y/o hasta 20 años de cárcel si se reincide.
2. Uso u obtención sin autorización a dispositivos de acceso para obtener algo de valor totalizando $1000 o más durante un periodo de un año. (El delito debe ser cometido conscientemente y con voluntad de estafar.)
Pena: Multa de $10,000 o dos veces el valor del crimen cometido y/o hasta 10 años de cárcel, $100,000 y/o hasta 20 años de cárcel si se reincide.
3. Posesión de 15 o más dispositivos de acceso no autorizados o falsificados. (El delito debe ser cometido conscientemente y con voluntad de estafar.)
Pena: Multa de $10,000 o dos veces el valor del crimen cometido y/o hasta 10 años de cárcel, $100,000 y/o hasta 20 años de cárcel si se reincide.
4. Fabricación, tráfico o posesión de equipo de fabricación de dispositivos de acceso ilegales. (El delito debe ser cometido conscientemente y con voluntad de estafar.)
Pena: Multa de $50,000 o dos veces el valor del crimen cometido y/o hasta 15 años de cárcel, $1,000,000 y/o 20 años de cárcel si se reincide.
5. Realización de transacciones con dispositivos de acceso pertenecientes a otra persona con objetivo de obtener dinero o algo de valor totalizando $1000 o más durante un periodo de un año. (El delito debe ser cometido conscientemente y con voluntad de estafar.)
Pena: Multa de $10,000 o dos veces el valor del crimen cometido y/o hasta 10 años de cárcel, $100,000 y/o hasta 20 años si se reincide.
6. Solicitar a una persona con objetivo de ofrecerle algún dispositivo de acceso o venderle información que pueda ser usada para conseguir acceso a algún sistema. (El delito debe ser cometido conscientemente y con intención de estafar, y sin la autorización del propietario del sistema de acceso.)
Pena: Multa de $50,000 o dos veces el valor del crimen y/o hasta 15 años de cárcel, $100,000 y/o hasta 20 años si se reincide.
7. Uso, producción, tráfico o posesión de instrumentos de telecomunicación que hayan sido alterados o modificados para obtener un uso no autorizado de un servicio de telecomunicaciones. (El delito debe ser cometido conscien-temente y con ánimo de estafar.)
Esto incluiría el uso de "Red Boxes", "Blue Boxes" (sí, todavía funcionan en algunas redes telefónicas) y teléfonos celulares reprogramados cuando el usuario legítimo del teléfono que se haya reprogramado no esté de acuerdo con esa acción.
Pena: Multa de $50,000 o el doble del valor del crimen cometido y/o hasta 15 años de cárcel, $100,000 y/o hasta 20 años de cárcel si se reincide.
8. Uso, fabricación, tráfico o posesión de receptores-escaneadores o hardware o software usado para alterar o modificar instrumentos de telecomunicaciones para obtener acceso no autorizado a servicios de telecomunicaciones.
Esto también incluye los scanners que mucha gente usa para interceptar llamadas de de teléfonos celulares. Tuvimos un gran escándalo cuando los medios de comunicación tuvieron noticia de una llamada de un celular interceptada (la llamada correspondía al Portavoz de los Representantes de la Casa Blanca, Newt Gingrinch.)
Pena: Multa de $50,000 o dos veces el valor del crimen y/o hasta 15 años de cárcel, $100,000 y/o hasta 20 años si se reincide.
9. Hacer creer a una persona que somos un miembro de su compañía de tarjeta de crédito o su agente para obtener dinero o realización de transacciones hechas con un dispositivo de acceso. Y viceversa: tratar de hacer creer a la compañía de crédito que somos la persona legítima. (El delito debe ser cometido conscientemente y con objetivo de estafar, y sin el permiso de la persona propietaria de la cuenta o del agente de la compañía de crédito.)
Pena: Multa de $10,000 o dos veces el valor del crimen y/o hasta 10 años de cárcel, $100,000 y/o hasta 20 años si se reincide.
SECCIÓN 1030
18 USC, Capítulo 47, Sección 1030, decretado como parte de la Ley sobre Abuso y Fraude Informático de 1986, prohíbe el acceso no autorizado o fraudulento a ordenadores gubernamentales, y establece diversas condenas para esa clase de accesos. Esta ley es una de las pocas piezas de legislación federal únicamente referidas a ordenadores. Bajo la Ley de Abuso y Fraude Informático, el Servicio Secreto americano y el FBI tienen jurisprudencia para investigar los delitos definidos en este decreto.
Las seis áreas de actividad criminal cubiertas por la Sección 1030 son:
1. Adquisición de información restringida relacionada con defensa nacional, asuntos exteriores, o sobre energía nuclear con el objetivo o posibilidad de que sean usados para dañar a los Estados Unidos o para aventajar a cualquier otra nación extranjera. (El delito debe ser cometido consciente-mente accediendo a un ordenador sin autorización o exceder el acceso autorizado.)
2. Obtención de información en un registro financiero de una institución fiscal o de un propietario de tarjeta de crédito, o información de un cliente en un archivo de una agencia de información de clientes. (El delito debe ser cometido conscientemente intencionadamente accediendo a un ordenador sin autorización o excediendo el acceso autorizado.)
Nota importante: recientemente, en la lista de "hazañas-de-hackers" un colega cuyo nombre no repetiremos dijo haber "hackeado TRW" (N. del T.: no sé que coño puede ser TRW, será alguna agencia de bases de datos de personas, o algo así) . Esperamos que el tío este estuviese mintiendo y simplemente pagara su cuota para comprar el informe.
Pena: Multa y/o hasta 1 año de cárcel, hasta 10 años si se reincide.
3. Atacar un ordenador que sólo corresponda usar a algún departamento o agencia del gobierno de los EEUU, o, si no sólo puede ser usada por esta agencia, atacar un ordenador usado por el gobierno en el que la intrusión producida afecte el uso que el gobierno hace de él. (El delito debe ser cometido intencionadamente accediendo a un ordenador sin autorización.)
Esto puede ser aplicado a synfloods y killer-pings así como también a otra clase de ataques que afecten el servicio ofrecido por los ordenadores-víctimas, así como también se incluye acceder a un ordenador saltandose las barreras de seguridad y juguetear con él. Por favor trata de ir con cuidadín con los ordenadores que tengan de nombre de dominio .mil o .gov!
Pena: Multa y/o hasta 1 año de cárcel, hasta 10 años si se reincide.
4. Promover un fraude accediendo a un ordenador de interés federal y obtener algo de valor, a menos que el fraude y la cosa obtenida consistan solamente en el uso de dicho ordenador. (El delito debe ser cometido conscientemente, con intención de cometer dicho fraude, y sin autorización o axcediéndose de la autorización obtenida) [La visión que tiene el gobierno de "ordenador de interés federal" está definida abajo]
Ten cuidado! Incluso si te bajas copias de programas únicamente para estudiarlos, está ley significa que si el propietario del programa dice "Sí, diría que su valor es de un millón de dólares", estás en graves problemas.
Pena: Multa y/o hasta 5 años de cárcel, hasta 10 años si se reincide.
5. A través del uso de un ordenador utilizado en comercio interestatal, transmitir intencionadamente programas, información , código o comandos a otro sistema informático. Existen dos situaciones diferentes:
a. En esta situación (I) la persona que realiza la transmisión está intentando dañar el otro ordenador o provocar que no se permita a otras personas acceder a él; y (II) la transmisión se produce sin la autorización de los propietarios u operadores de los ordenadores, y causa $1000 o más de pérdidas, o modifica o perjudica, o potencialmente modifica o altera un examen o tratamiento médico.
La manera más común en que alguien se mete en problemas con esta parte del decreto es cuado intenta cubrir sus huellas tras haber traspasado las barreras de seguridad y accedido al sistema. Al editar, o, todavía peor, borrar varios archivos, el intruso puede accidentalmente borrar algo importante. O algún comando que él o ella teclee puede hacer que se cuelgue el sistema o algo así. Sí, y luego intenta probar que fue un accidente. Simplemente pregunta a algún administrador de sistema sobre qué pasa si das comandos con prioridad de root sin autorización, y verás lo que te dice. Incluso cuando conoces un ordenador como la palma de tu mano, es muy fácil meterse en problemas.
Un simple ataque de "mail-bomb", "killer-ping", flood-ping, syn flood o ese gran número de exploits existentes para Windows NT en los que simple-mente mandando un sólo comando a muchos puertos a la vez causa que un cuelgue, puede quebrantar esta ley. Así que incluso si eres un hacker-newbie, algunos de los más simples de estos exploits pueden hacer que aterrices en la mierda de boca!
Pena con intento de dañar: Multa y/o hasta 5 años de cárcel, hasta 10 años si se reincide.
b. En esta situación, (I) la persona que realiza la transmisión no intenta hacer ningún daño pero actúa imprudentemente despreciando el riesgo que existe de que la transmisión causará daño a los propietarios u operadores de los ordenadores, y provoca $1000 o más de pérdidas, o modifica o altera, o potencialmente modifica o altera un examen o tratamiento médico.
Esto significa que incluso si puedes probar que dañaste el ordenador por accidente, puede que vayas a prisión.
Pena por actuación temeraria: Multa y/o hasta 1 año de cárcel.
6. Promover el fraude traficando con passwords o información similar que haga que se pueda acceder a un ordenador sin la debida autorización, todo esto si ese tráfico afecta al comercio estatal o internacional o si el ordenador afectado es utilizado por o para el Gobierno. (El delito debe ser cometido conscientemente y con voluntad de estafar.)
Una manera fácil de quebrantar viene del deseo de alardear. Cuando un hacker encuentra un camino para meterse en el ordenador de otra persona, puede ser realmente tentador darle el password de acceso a alguien más. Demasiado pronto docenas de newbies inexpertos comienzan a jugar despreocupadamente con los ordenadores víctima. También suelen fanfa-rronear. Antes de que te des cuenta, te encontrarás en problemas.
Pena: Multa y/o hasta 1 año de cárcel, hasta 10 años si se reincide.
Para la Sección 1030, un ordenador de interés federal tiene las siguientes características:
1. Un ordenador que es exclusivamente para el uso de una institución finan-ciera [definido abajo] o del Gobierno de los EEUU o, si su uso no está restringido a lo anterior, uno usado por una institución financiera o el gobierno de los EEUU en el que el ataque afecte negativamente al servicio que está desarrolando en esas instituciones.
2. Un ordenador de los dos o más que hayan sido usados para cometer el ataque, no estando todos ellos en el mismo estado.
Esta sección define institución financiera como lo siguiente:
1. Una institución con depósitos asegurados por la Corporación Federal de Seguros de Depósitos (FDIC).
2. La Reserva Federal o un miembro de la Reserva Federal, incluyendo cualquier banco perteneciente a la Reserva Federal.
3. Una caja de créditos con cuentas aseguradas por la Administración Nacional de Cajas de Credito (NCUA).
4. Un miembro del sistema de préstamos federal o cualquiera de sus sucur-sales.
5. Cualquier institución perteneciente al sistema de Crédito Agrario bajo el Decreto del Crédito Agrario de 1971.
6. Un sistema-corredor de bolsa registrado en la Comisión de Seguridades y Cambios (SEC) según las reglas de la sección 15 del decreto del SEC de 1934.
7. La Corporación de Protección y Seguridad del Comprador (SIPC).
8. Una sucursal o agencia de un banco extranjero (según se define en el decreto de Banca Internacional de 1978).
9. Una organización que opera según la sección 25 o 25(a) del Decreto de la Reserva Federal.
QUIÉN SE ENCARGA DE ATRAPAR AL INTRUSO QUE OBTIENE ACCESO POR LA FUERZA SALTÁNDOSE LA SECCIÓN 1030?
(FBI= Federal Bureau of Investigation , Oficina de Investigación Federal; y USSS= US Secret Service, Servicio Secreto de los EEUU)
Sección de la Ley Tipo de Información Jurisdicción
1030 (a)(1) Seguridad Nacional FBI y USSS
Defensa Nacional X
1030(a)(2) Asuntos exteriores X
Energía nuclear restringida X
1030(a)(2) Financias o Consumo
Registro financieros de X
bancos, otras instituciones
financieras
Registros financieros de
propietarios de tarjetas de
crédito X
Información sobre consumidores
en archivos de una agencia de
base de datos de consumidores X
Instituciones financieras (no bancos) X
1030(a)(3) Ordenadores del Gobierno
Defensa Nacional X
Asuntos exteriores X
Datos restringidos X
Casa-Blanca X
Otros ordenadores del gobierno X
1030(a)(4) Ordenadores de interés federal
Intento de fraude X
1030(a)(5)(A) Transmisión de programas, comandos :
Intento de dañar X
1030(a)(5)(B) Transmisión de programas, comandos:
accidentalmente, imprudencia X
1030(a)(6) Tráfico de passwords:
interestatal o de comercio internacional X
ordenadores del gobierno X
Nota para 1030(a)(2):El FBI tiene jurisdicción sobre fraudes a bancos, que incluyen las categorías (1) a (5) en la lista de instituciones financieras definida arriba. El Servicio Secreto y el FBI se reparten la jurisdicción en asuntos sobre instituciones financieras que no sean bancos , definidas en las categorías (6) y (7) en la lista de instituciones s financieras de arriba.
Nota para 1030(a)(3): Ordenadores gubenamentales: El FBI es la primera agencia de investigación para violaciones de esta sección cuando implican defensa nacional, información perteneciente a asuntos exteriores y otra clase de datos restringidos. El acceso no autorizado a otra información en ordenadores gubernamentales entra en la jurisdicción del Servicio Secreto.
MORALEJA: CONFUCIO DICE: "EL CRACKER QUE SEA ATRAPADO COMETIENDO ESTOS DELITOS, PASARÁ UN BUEN TIEMPO A LA SOMBRA".
Información extraída de: Computer Crime: A Crimefighter´s Handbook (Icove, Seger & VonStorch, Inc.)
_____________________________________________________________
Quieres compartir información sobre hacking? Corregir errores? Manda tus mensajes a hacker@techbroker.com. Para mandarme email confidencial : cmeinel@techbroker.com . Si quieres que tu mensaje sea confidencial (no publicado en la lista) dímelo expresamente!
Por favor, dirige tus flames a: dev/null@techbroker.com Feliz Hacking!
Copyright 1997 Carolyn P. Meinel. Puedes distribuir estas Guías del Hacking (mayormente) Inofensivo mientras dejes esta nota al final.
_____________________________________________________________
Carolyn Meinel
M/B Research -- The Technology Brokers
TRADUCIDO POR:
IPghost
IPghost 1997 "The Power Of The Net-Phantom"The truth is out there...