Lic. Adalid Medrano


Abogado especialista en Delitos Informáticos y Ciberseguridad

¡Intentar espiar el WhatsApp de su pareja le puede salir caro!

Las relaciones de pareja deben ser construidas de la mano de la mutua confianza, cuando eso desaparece también pueden iniciar acciones abusivas como la violencia de género por medios electrónicos. Lamentablemente, es común que sea popular el interés en querer saber cuál es el contenido de las conversaciones que tienen otras personas. Este interés se intensifica cuando existen sospechas de traición o infidelidades en relaciones humanas.

Por lo anterior, es que en internet abundan los timos que buscan que las personas realicen acciones que, sin saberlo, serán usadas en su contra.

¿Es posible espiar a su pareja en Whatsapp?

Evidentemente siempre existirán vulnerabilidades, en sentido amplio, que pueden ser aprovechadas por los delincuentes para tener acceso a conversaciones de otros. Sin embargo, la mayoría de  las promesas que se hacen en internet, son timos de los cuales deben cuidarse las personas.

Recientemente, se han compartido noticias de medios de comunicación que detallan cómo violar las comunicaciones de un tercero, a través del acceso al dispositivo, el aprovechamiento de aplicaciones de respaldo y la función de WhatsApp web.  Lo cual es una acción delictiva desde la promoción de la ejecución de este tipo de actividades hasta el acceso ilícito por sí mismo (Más detalle en el apartado de consecuencias legales).

Por otro lado, es muy común que en sitios web y medios sociales se promuevan soluciones para espiar a la pareja o contactos, por lo que buscarán convencer al usuario de visitar un sitio web, con el fin de captar datos personales, la suscripción a SMS premium, la instalación de un programa informático malicioso, generar ingresos mediante publicidad (la cual también puede ser maliciosa) o todas las anteriores.  Un caso documentado es el siguiente:

“El enlace llevaba a una página llamada “Cómo hackear WhatsApp 2016”, que tiene un diseño bastante similar al de la web oficial de la aplicación….las funciones prometidas son completamente falsas. Cuando se introducen todos los datos, el sistema indica que el WhatsApp ha sido hackeado correctamente, y se remite al usuario a un enlace de descarga para obtener las conversaciones. Es en este momento cuando se lanzan los complementos maliciosos, las suscripciones a servicios SMS Premium y los anuncios a través de los que los atacantes obtienen rendimiento.” Leer más

En el caso donde el delincuente invita a la víctima a instalar un programa informático, la víctima sin darse cuenta, le dará un privilegio al ciberdelincuente que podrá utilizar con diferentes fines.

El delincuente podría no solo espiarlo, sino que también podría tener acceso a las credenciales bancarias, cometer una estafa informática en su contra, entre todo tipo de delitos informáticos que pueden realizarse a través de la instalación de “malware”.

El timo del contrato de “hackeo”

Existen páginas en la internet oscura, que ofrecen servicios de “hackeo” a sus contactos, pero suelen ser estafas, donde las personas pagan al ciberdelincuente por sus servicios a través de criptomoneda, la cual permite el anonimato, por lo que una vez recibido el pago, no vuelven a saber más del delincuente.

En estos casos, la persona buscando ser victimario, se convierte en víctima.

Consecuencias legales (Costa Rica)

El Código Penal costarricense es bastante robusto en lo que a delitos informáticos se refiere, por lo que las siguientes acciones son delitos en nuestro país:

1. Contratar o prometer un beneficio patrimonial a una persona para que viole las comunicaciones de otro. ( Código Penal de Costa Rica, artículo 196, párrafo tercero, violación de correspondencia o comunicaciones,  pena de 1 a 3 años).

2. “Respaldar” o acceder a comunicaciones sin autorización del titular. Como la detallada en las notas informativas, por lo que aunque no se tenga acceso a la comunicación, se está cometiendo la acción delictiva. ( Código Penal de Costa Rica, artículo 196, párrafo primero, violación de correspondencia o comunicaciones,  pena de 1 a 3 años).

3. Instalar un programa informático malicioso o engañar a una persona para que lo realice. ( Código Penal de Costa Rica, artículo 232, Instalación o propagación de programas informáticos maliciosos, pena de 1 a 6 años).

4. Ofrecer, contratar o brindar servicios de:

a) Denegación de servicios (DoS o DDoS)
b) Envío de comunicaciones masivas no solicitadas (Spam)
c) Propagación de programas informáticos maliciosos.

( Código Penal de Costa Rica, artículo 232, Instalación o propagación de programas informáticos maliciosos, pena de 1 a 6 años).

¿Qué hacer si es víctima de un delito informático?

Si es víctima de un delito informático, puede interponer la denuncia en el Organismo de Investigación Judicial (Cómo poner una denuncia ) y es importante que tome en cuenta lo siguiente:

  1. No borre conversaciones o documentos, por más dolorosos que sean, porque un simple pantallazo podría no ser de mucha utilidad.
  2. Documente todo cuanto sea posible, sin alterar prueba . Y si una comunicación, página web o documento electrónico pueden desaparecer, solicite de forma urgente una certificación notarial.
  3. Busque asesoría legal lo más pronto posible . (Aunque no es necesario para denunciar penalmente, puede ser esencial.)
  4. No denuncie ante los medios sociales (como Facebook, Twitter,  Youtube u similares) antes de poner la denuncia ante el OIJ o conseguir la certificación notarial, ya que corre el peligro que el contenido sea borrado antes de ser debidamente documentado.
  5. Desconecte de internet equipos que estén siendo objetos de un ataque.

Artículos citados del Código Penal.

Artículo 196.- Violación de correspondencia o comunicaciones.

Será reprimido con pena de prisión de uno a tres años a quien, con peligro o daño para la intimidad o privacidad de otro, y sin su autorización, se apodere, acceda, modifique, altere, suprima, intervenga, intercepte, abra, entregue, venda, remita o desvíe de su destino documentación o comunicaciones dirigidas a otra persona.

La misma sanción indicada en el párrafo anterior se impondrá a quien, con peligro o daño para la intimidad de otro, utilice o difunda el contenido de comunicaciones o documentos privados que carezcan de interés público.

La misma pena se impondrá a quien promueva, incite, instigue, prometa o pague un beneficio patrimonial a un tercero para que ejecute las conductas descritas en los dos párrafos anteriores.

La pena será de dos a cuatro años de prisión si las conductas descritas en el primer párrafo de este articulo son realizadas por: a) Las personas encargadas de la recolección, entrega o salvaguarda de los documentos o comunicaciones.

b) Las personas encargadas de administrar o dar soporte al sistema o red informática o telemática, o bien, que en razón de sus funciones tengan acceso a dicho sistema o red, o a los contenedores electrónicos, ópticos o magnéticos.

(Así reformado por el artículo 1° de la ley N° 9135 del 24 de abril de 2013)

Artículo 232.- Instalación o propagación de programas informáticos maliciosos

Será sancionado con prisión de uno a seis años quien sin autorización, y por cualquier medio, instale programas informáticos maliciosos en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos.

La misma pena se impondrá en los siguientes casos:

a) A quien induzca a error a una persona para que instale un programa informático malicioso en un sistema o red informática o telemática, o en los contenedores electrónicos, ópticos o magnéticos, sin la debida autorización. b) A quien, sin autorización, instale programas o aplicaciones informáticas dañinas en sitios de Internet legítimos, con el fin de convertirlos en medios idóneos para propagar programas informáticos maliciosos, conocidos como sitios de Internet atacantes. c) A quien, para propagar programas informáticos maliciosos, invite a otras personas a descargar archivos o a visitar sitios de Internet que permitan la instalación de programas informáticos maliciosos.
d) A quien distribuya programas informáticos diseñados para la creación de programas informáticos maliciosos.
e) A quien ofrezca, contrate o brinde servicios de denegación de servicios, envío de comunicaciones masivas no solicitadas, o propagación de programas informáticos maliciosos.

La pena será de tres a nueve años de prisión cuando el programa informático malicioso:

i) Afecte a una entidad bancaria, financiera, cooperativa de ahorro y crédito, asociación solidarista o ente estatal.
ii) Afecte el funcionamiento de servicios públicos.
iii) Obtenga el control a distancia de un sistema o de una red informática para formar parte de una red de ordenadores zombi.
iv) Esté diseñado para realizar acciones dirigidas a procurar un beneficio patrimonial para sí o para un tercero.
v) Afecte sistemas informáticos de la salud y la afectación de estos pueda poner en peligro la salud o vida de las personas.
vi) Tenga la capacidad de reproducirse sin la necesidad de intervención adicional por parte del usuario legítimo del sistema informático.


(Así adicionado por el artículo 3° de la Ley N° 9048 del 10 de julio de 2012, “Reforma de la Sección VIII, Delitos Informáticos y Conexos, del Título VII del Código Penal”)

II Simposio Internacional sobre Ciberseguridad y Ciberdelincuencia

El próximo miércoles 8 de noviembre iniciará el “II Simposio internacional sobre Ciberseguridad y Ciberdelincuencia” que estamos organizando desde la Comisión de Derecho Informático del Colegio de Abogados y Abogadas. Se celebrará los días 8, 9 y 10 de noviembre, de 4:30 pm a 9:30 pm.

Contaremos con expositores internacionales, de la altura de Manuel de Campos, juez argentino especializado en investigaciones tecnológicas y el Presidente de la Federación Iberoamericana de Asociaciones Derecho e Informática (FIADI), el señor Augusto Ho.

Estos 3 días discutiremos sobre Protección de Datos Personales en Costa Rica, Ciberseguridad, Delitos Informáticos y Protección de la Niñez en línea.

El evento es abierto al público general, gratuito, pero de cupo limitado: Puede hacer su registro digital ingresando a la siguiente dirección https://goo.gl/forms/jvLxfPvCkOMhw3eb2 o escaneando el código QR adjunt.

Los asistentes podrán solicitar un cupo para todo el evento, o sólo para los días de su interés. El certificado se entrega a quienes asistan los tres días del evento.


Programa:

II SIMPOSIO INTERNACIONAL SOBRE CIBERSEGURIDAD Y CIBERDELINCUENCIA.

8, 9 y 10 DE NOVIEMBRE DEL 2017

8 de Noviembre

PROTECCIÓN DE DATOS PERSONALES

Charlas iniciales.

5:00 PM. Palabras de apertura: Miembro de Junta Directiva

5:10 PM Augusto HO, Presidente FIADI

5:30 PM Adalid Medrano, Comisión de Derecho Informático

Mesa redonda. Retos en la Protección de datos personales en Costa Rica.

5:45 PM Protección de datos personales en CR.  Juan Ignacio Zamora. Comisión Derecho Informático.

6:15 Reforma al reglamento de ley 8968 cambios. Mauricio Garro . Ex-director Prodhab

6:45 Derecho al Olvido . Alejandro Herrera. Comisión Derecho Informático

Moderador:  Catalina Blanco. Comisión D.I

7:15 Preguntas del Público

7:25 Refrigerio

Mesa Redonda.-  Riesgos y oportunidades del BIG DATA

Moderador: Augusto Ho. Presidente de FIADI.

7:40 PM. Experiencia de Facebook con el Big Data. Iñigo Fernández, Facebook.

8:10  PM.   Análisis jurídico del Big Data. Rafael Montenegro. Comisión Derecho Informático

8:50 PM.  Experiencia de Google con el Big Data.  Gabriel Recalde, Google.

9:30 PM. Preguntas del público.

9 DE NOVIEMBRE.

CIBERSEGURIDAD Y LA PROTECCIÓN DE LA NIÑEZ EN LÍNEA.

4:30 PM. Palabras de apertura: Julio Córdoba.

4:40 PM  #NoCaigas 7 días, María Jesús Prada.

Mesa Redonda.-  Protección de Menores en la Red.

Moderador: Alejandro Herrera (Comisión Derecho Informático)

5:20  PM. Programa Empodérate (UNICEF). Magistrada Doris Arias Madrigal .

5:50  PM. Child Grooming en Costa Rica. Adalid Medrano

6:30 PM.  Pornografía Infantil por William Serrano Babij

7:10  PM. Preguntas del público.

7:25 Café

Mesa redonda: Ciberseguridad.

7:40 Ciberseguridad para Abogados . Oscar Noé Ávila . Presidente ISOC Cybersecurity SIG .

8:10 Retos de la Ciberseguridad en Costa Rica. Randall Barnett. Comisión de Ciberseguridad de CPIC.
8:40  Ética en el campo de la Ciberseguridad.

9:10 PM Preguntas del público.

10 DE NOVIEMBRE.

Investigación de Delitos Informáticos

4:30 Palabras de Apertura. Rafael Montenegro Comisión D.I

4:40 PM  Análisis de los delitos informáticos: caso Panamá. Augusto Ho. Presidente de FIADI.

5:20 PM Suplantación de Identidad. Julio Córdoba. . Comisión D.I

5:50 PM  Estafa Informática Oscar Serrano. Comisión DI.

6:20 Preguntas del público.

6:30 PM Café

Mesa redonda: Investigación de Delitos Informáticos.

6:50 PM Investigación de Delitos Informáticos en Costa Rica. Erick Lewis

7:20 PM Convenio Europeo sobre Ciberdelincuencia en Costa Rica. Adalid Medrano.

7:50 PM  La investigación tecnológica y la evidencia digital: aspectos

procesales. La gestión de las evidencias electrónicas Manuel de Campos.

8:50 PM Preguntas moderador y otros expositores.

9:20  PM. Preguntas del público.

9: 30 PM Ágape.

Foro: Regulación de plataformas tecnológicas en Costa Rica.

Los costarricenses cada vez utilizamos más plataformas tecnológicas para satisfacer necesidades de consumo de contenido, alojamiento, entretenimiento, transporte, entre otros, pero en algunos casos la falta de regulación nos genera inseguridad jurídica tanto a los proveedores de servicio como a los consumidores.

La tecnología sigue avanzando y el derecho debe dar respuestas.

Por lo que desde la Comisión de Derecho Informático del  Colegio de Abogados y Abogadas de Costa Rica tenemos el honor de invitarlo, el próximo viernes 13 de octubre,  al “Foro: Regulación de plataformas tecnológicas en Costa Rica“.

Este día nos reuniremos diferentes especialistas a conversar sobre cuál es el marco jurídico aplicable para diferentes plataformas tecnológicas, así como retos y propuestas de regulación.

El evento es abierto al público general, gratuito, de cupo limitado: Puede hacer su registro digital ingresando a la siguiente dirección http://goo.gl/forms/2j75PByOzTjB077C2 o escaneando el código QR adjunto.

Día: Viernes 13 de Octubre

Hora: de 5 a 9 pm

Dónde: Auditorio Pablo Casafont, Colegio de Abogados y Abogadas de Costa Rica.


Programa:

5:00 PM . Registro

5:30 PM. Palabras de apertura: Francisco Salas. (Presidente de la Comisión de Derecho Informático)

5:45 PM. Legalidad del Bitcoin en Costa Rica por Julio Córdoba (Miembro de la Comisión de Derecho Informático)

6:15 PM. Internet y los aspectos legales de los Servicios OTT en Costa Rica. (Caso Netflix) Rafael Montenegro . (Miembro de la Comisión de Derecho Informático)

6:45 PM. Refrigerio

7:00 PM. Regulación y gestión del big data. Alejandro Herrera. (Miembro de la Comisión de Derecho Informático)

7:30 Propuesta de regulación de Airbnb en Costa Rica. Gustavo Araya (Abogado, CEO Wyndham y Hard Rock Café)

8:00 PM. Propuestas de Regulación de Uber en Costa Rica.  Adalid Medrano (Miembro de la Comisión de Derecho Informático).

8:30 PM Preguntas del público.

I Ciclo de Conferencias de Derecho Informático: Hacia la sociedad del futuro. (videos)

La Comisión de Abogados Recién Incorporados del Colegio de Abogados y abogadas de Costa Rica, me honró con la invitación para participar como expositor en el Ciclo de Conferencias sobre Derecho informático, donde tuve el honor de exponer junto a otros especialistas en la materia.

El tema de mi ponencia, cuyo video adjunté al inicio del artículo, fue : Reformas urgentes sobre delitos Informáticos en Costa Rica.

Les comparto las excelentes charlas de los excelentes colegas y expositores con quienes tuve el privilegio de compartir.

Cinco retos del derecho penal y la tecnología por Julio Córdoba

Delitos contra el honor y redes sociales, por William Serrano Babij.

Protección de datos personales y derecho al olvido por Francisco Salas.

Derecho Informático

Actualizado: Jueves 7 de setiembre del año 2017.

¡Iberia no está regalando tiquetes! ¡Ha sido engañado!

Si usted es de las personas que está compartiendo con sus amigos que se ha ganado dos tiquetes de IBERIA, lamento decirle que ha sido engañado.

El engaño viene de un dominio sharpienow.us, el cual podría poner en peligro la integridad de los sistemas de los usuarios que ingresen a ella, por lo que es recomendable no ingresar.

En pruebas realizadas, el sitio nos envió a sitios que engañan al usuario para que instale un programa informático malicioso, a través de un sistema de referencias que le genera ingresos al ciberdelincuente (a través del programa de propellerads.com).


Recomendaciones

  • No ingrese a sitios web de dudosa reputación. Si es demasiado bueno para ser cierto, mejor ni pierda su tiempo ingresando para leer, que el mero ingreso a un sitio atacante lo puede poner en peligro.
  • No comparta en redes sociales, ni por ningún otro medio, concursos o enlaces de dudosa reputación porque pone en peligro a sus amigos, que confiando en su criterio ingresarán a los sitios y podrían ser también víctimas de los ciberdelincuentes.
  • Mantenga su sistema operativo, navegador y antivirus actualizado.

Los delincuentes siempre encontrarán novedosas formas de engañarnos. ¡Seamos precavidos!

Conversatorio: ¿cómo hacer uso seguro y responsable de las redes sociales?

Hace unos días el Grupo ICE me contactó con el fin de dar una charla a funcionarios sobre el uso responsable y seguro de las redes sociales.

Hoy me dan una buena noticia al  informarme que la actividad es abierta al público general, por lo que están invitados  mañana a las 9 AM, para acompañarnos en el Auditorio de su Museo Histórico y Tecnológico.

Uso seguro y responsable de Redes Sociales

Cuando utilizamos medios electrónicos tenemos que tomar claro que todo lo que hagamos puede tener responsabilidades legales y que internet no es un espacio donde no aplica la ley.

En la charla abordaré los siguientes temas:

  • Cuáles son las responsabilidades legales que tenemos al usar medios tecnológicos, desde redes sociales a programas de mensajería, desde el ámbito familiar, laboral y penal.
  • Consejos básicos a seguir para proteger su identidad digital y sus datos personales en medios electrónicos.
  • Delitos Informáticos comunes en las redes sociales costarricenses.

¡Los espero!

¿Cómo proteger a nuestros hijos de los pedófilos?

Como sociedad, tenemos que proteger a los menores de los ataques de los pedófilos que están utilizando las nuevas tecnologías para engañar a niños y buscar aprovecharse de ellos.

En el mundo físico, uno de los mayores consejos es mantener un control estricto sobre quiénes se encuentran cerca de los menores y nunca dejar que se encuentren con desconocidos, sin embargo, en el mundo virtual los padres suelen dejar a los menores utilizar dispositivos electrónicos con acceso a internet, sin ninguna supervisión.

Un menor con acceso a redes sociales, puede encontrarse con pedófilos que suplantando la identidad de menores – o utilizando identidades falsas- se ganan su confianza y con base en la seducción pueden lograr que realice las acciones que pida el delincuente. Más personas de las que imaginamos aceptan desconocidos como amigos en redes sociales. 

A este tipo de acciones se le conoce como “child grooming“, que es un fenómeno delictivo mundial, donde precisamente los pedófilos buscan ganarse la confianza de menores para obtener fotografías de ellos desnudos (pornografía infantil) o encuentros en el mundo físico para abusar de ellos o violarlos.

Es por esto que muchas países a nivel mundial han incorporado como delito a esta conducta de peligro, por lo que para poner la denuncia no es necesario que se genere un daño al menor, sino que basta con que el pedófilo mantenga comunicaciones de contenido sexual o erótico con un menor, como es el caso de nuestro país:

 “Articulo 167 bis.- Seducción o encuentros con menores por medios electrónicos. Será reprimido con prisión de uno a tres años a quien, por cualquier medio, establezca comunicaciones de contenido sexual o erótico, ya sea que incluyan o no imágenes, videos, textos o audios, con una persona menor de quince años o incapaz.

La misma pena se impondrá a quien suplantando la identidad de un tercero o mediante el uso de una identidad falsa, por cualquier medio, procure establecer comunicaciones de contenido sexual o erótico, ya sea que se incluyan o no imágenes, videos, textos o audios, con una persona menor de edad o incapaz.

La pena será de dos a cuatro años, en las conductas descritas en los dos párrafos anteriores, cuando el actor procure un encuentro personal en algún lugar físico con una persona menor de edad incapaz.” Código Penal de Costa Rica.

Padres deben acompañar a los menores en el uso de las Nuevas Tecnologías.

Cuando los padres le dan un dispositivo electrónico a un menor, en ese momento deben establecer las reglas de uso del mismo, donde el padre le aclara a su hijo que le dará un acompañamiento y supervisión en el uso de estos dispositivos.

El padre no solo tiene el derecho de realizarlo, sino tiene la obligación de hacerlo, porque de lo contrario ¿cómo podría protegerlo de los diferentes peligros que se encuentran en el uso de las TIC? Desde el Child Grooming, Ciberbullying, consumo de contenidos inadecuados, hasta el espionaje a ellos a través de los mismos dispositivos.

Los padres deben utilizar las herramientas de Control Parental para los dispositivos móviles que utilizan sus hijos (iOS12,  Android ), con el fin de evitar que ingresen a sitios con contenidos que no son aptos para ellos y para tener control sobre qué aplicaciones pueden utilizar.

Hay que prestar especial atención a: 

  • Juegos que permitan a los menores conversar con desconocidos, dentro de la aplicación, porque al ser lugares con gran concentración de menores, abundan pedófilos.
  • Aplicaciones de comunicaciones efímeras: En esta categoría la principal es Snapchat, que debido a la rapidez con la que se borran las comunicaciones, es difícil para un adulto poder supervisar lo que ahí acontece. Instagram también ha replicado este tipo de comunicaciones.
  • Con quiénes hablan nuestros hijos y a quiénes aceptan como amigos en redes sociales. Un grave indicador de vulnerabilidad es que tengan un gran número de “amigos” en una red social. Ver resultados de investigación #NoCaigas.
  • Movimientos bruscos y sospechosos al acercarse un adulto, mientras están con el teléfono inteligente.

El problema no es la tecnología, sino el cómo se utiliza y sin duda los menores no son conscientes de los peligros.

¡El mejor arma contra los pedófilos es la prevención! ¡No nos descuidemos!

Qué es el Convenio sobre Ciberdelincuencia y qué beneficios trae para nuestro país

El 19 de mayo, la Asamblea Legislativa aprobó en segundo debate la Adhesión al Convenio sobre la Ciberdelincuencia, Exp Nº 18.484, lo que es un importantísimo paso que da nuestro país en la lucha contra la delincuencia que se da por vías informáticas.

Nuestro país fue invitado a formar parte hace más de una década y a pesar de no tener mayores detractores, fue todo un desafío para quienes estuvimos dando esta lucha, el explicar la importancia de dar este paso.  El principal obstáculo fue el desconocimiento sobre  la materia, porque lo que seguirá siendo importante el explicar qué es y qué no es el Convenio.

¿Qué es el Convenio sobre Ciberdelincuencia?

El Convenio sobre Ciberdelincuencia, mejor conocido como Convenio de Budapest (y el № 185 del Consejo de Europa), fue firmado el 23 de noviembre del 2001 y tiene como objetivo proteger a la sociedad contra el cibercrimen y hasta la fecha cuenta con 55 países miembros.

Es un instrumento internacional que tiene como fin armonizar el derecho sustantivo y dar herramientas esenciales en la investigación de los delitos que se cometen por vías informáticas.

Es el primer Convenio Internacional sobre Delitos Informáticos y es visto como el estándar mundial sobre la materia y tiene los siguientes objetivos:

  • Mejorar los instrumentos de cooperación internacional.
  • Armonizar el derecho sustantivo, no limitarlo.
  • Creación de instrumentos procesales comunes.
  • La instauración de una red permanente de contactos: 24/7

Los países miembros se comprometen a tipificar como delitos, dentro de sus respectivas legislaciones, distintas acciones criminales cometidas por medios informáticos: Acceso ilicito, Interceptación ilicita, interferencia en los datos, Interferencia en el sistema, Abuso de los dispositivos, Falsificación informática, Fraude Informático, delitos sobre pornografía infantil y delitos sobre Infracciones de la propiedad intelectual.

Nuestro país tiene una legislación bastante avanzada sobre delitos informáticos, que inclusive va más allá de lo requerido por el Convenio, por lo que en el derecho sustantivo es poco lo que debe hacer para cumplir.

¿En qué beneficia a Costa Rica la adhesión al Convenio sobre Ciberdelincuencia?

Evento en la Asamblea Legislativa en el año 2016, discutiendo sobre la importancia del Convenio Europeo sobre Ciberdelincuencia.

La investigación de los delitos que se cometen por vías informáticas suele ser compleja, debido a la rapidez en la comisión, la facilidad con la que se puede borrar la evidencia digital y la constante mejora en las técnicas que utilizan los ciberdelincuentes.

El cibercrimen es un flagelo transfronterizo que requiere, en la mayoría de los casos, de la cooperación internacional para su investigación y persecución, por lo que de poco le sirve a un país tener una fuerte legislación sobre la materia, si no tiene las herramientas para poder investigarlos.

En nuestro país, a pesar de tener una fuerte legislación sobre delitos informáticos, nuestras autoridades han enfrentado grandes obstáculos para poder obtener cooperación de empresas que se encuentran en otros países (Google, Facebook, Apple, entre otros).

Los principales servicios electrónicos que utilizan los costarricenses se encuentran en servidores controlados por empresas estadounidenses o europeas, por lo que las autoridades en una sencilla investigación para determinar la dirección ip de un  usuario de una red social, que cometió un delito, puede chocar con pared si la empresa que da el servicio no colabora con las autoridades.  Lo cual es bastante frecuente y aumenta mucho la impunidad. 

Con el Convenio de Budapest nuestras autoridades contarán con mejores herramientas para conseguir información esencial para la investigación de un delito cometido por medios informáticos, lo cual ayudará a disminuir la impunidad.

Es importante destacar que, al formar parte de este importante Convenio, no solo se obtiene acceso a un instrumento moderno para la investigación de delitos electrónicos, sino que también se podrá compartir conocimiento con más de 55 países que están también teniendo las mismas luchas.  Una vez que nuestro país sea parte, se convertirá en un país prioritario para la ayuda por parte del Consejo de Europa en temas sobre ciberdelincuencia y beneficiarse de fondos como los del proyecto GLACY+ (Global Action on Cybercrime).

El país debe tener un norte claro y aprovechar las ayudas del Consejo De Europa y la Organización de Estados Americanos (OEA), para convertirse en un líder en la región en la lucha contra la cibercriminalidad e impulsar a otros países de la región a ratificar el Convenio,  porque como país tenemos que tener claro que si ayudamos a eliminar los paraísos de la ciberdelincuencia, nos beneficiamos todos.

Actualización : La aprobación de la Adhesión al Convenio Sobre Ciberdelincuencia se publica el 3 de Julio del año 2017, en La Gaceta, en el alcance digital N° 161 .

[Descargar] Aprobación a la Adhesión al Convenio sobre Ciberdelincuencia.[PDF]

Sitio web de MICITT ha sido vulnerado por Ciberdelincuentes.

Hoy estaba buscando información y a través de Google llegué al sitio web del Ministerio de Ciencia y Tecnología y cuando ingresé me re-dirigió a un sitio que indicaba que mi computadora estaba infectada y que ahora ocupaba un “escaneo completo” de mi computadora, para lo que probablemente requería la instalación de un falso antivirus (Rogue Software).

Capturé la pantalla, pero no pudo volver a reproducir la misma redirección, por lo que procedí al análisis del código de la página y ahí encontré que el sitio contenía enlaces ocultos a sitios externos.

Haciendo uso de herramientas en línea de búsqueda de malware en sitios webs, me doy cuenta que Norton ya tiene el sitio marcado como potencialmente peligroso.

Como se puede ver, el análisis de las herramientas indican que el sitio web de MICITT utiliza Joomla, que es un Sistema de Gestión de contenido, pero la versión que utilizan está desactualizada, por lo que una vulnerabilidad de esa versión es la que probablemente los delincuentes estén utilizando.

Es importante aclarar que este no es un ataque dirigido al MICITT, sino que los ciberdelincuentes utilizan robots que buscan en internet por sitios con vulnerabilidades, y las infecciones se hacen de forma automática, haciendo que sitios legítimos como este, se conviertan en sitios atacantes.

De momento, solo Norton ha reportado al Micitt como sitio peligroso, por lo que, mientras el sitio no sea limpiado, es mejor evitar ingresar al mismo, para no infectar su computadora de un programa informático malicioso.

Para el momento de la publicación de este artículo el CSIRT ya ha sido debidamente notificado.

[Noticia en desarrollo]

  • 20:39 El CSIRT contestó la comunicación e inician la limpieza del sitio.
  • 21:00 El sitio no se encuentra disponible, por mientras se realiza la limpieza del sitio. Lo que es lo recomendable por el riesgo de infecciones.
  • 22:00 Lectores reportaron que el sitio web mientras estuvo disponible, presentaba instrucciones distintas al ingresar desde un celular, invitándolos a descargar una aplicación.
  • 13/5/2017  9:00 sitio web libre de toda infección.


MINAE

    • El sitio web del MINAE también fue vulnerado por delincuentes, con fines de hactivismo, como se puede apreciar en el pantallazo.

13/5/2017 9:00 sitio web de MINAE, todavía muestra una página de hacktivismo. en la página index1.php del dominio.

¡Actualice el sistema operativo de su computadora ya! (Ransomware WannaCry)

No importa si usted utiliza Windows, Mac, Android o iOs, es importante tener el sistema operativo actualizado, para evitar ser víctima de los ciberdelincuentes, quienes aprovechan errores no corregidos por los desarrolladores de programas informáticos para realizar ataques.

En este momento, se está dando un ataque masivo y mundial de ransomware, el cual ha afectado a Telefónica, a hospitales del Reino Unido y otras organizaciones a nivel mundial.  El ransomware es un programa informático malicioso que encripta la información contenida en un ordenador y solicita un rescate para poder tener acceso a esta.

En este caso, todo parece indicar que es un ataque generalizado y no un ataque dirigido específicamente a estas instituciones, por lo que cualquier persona e instituciones a nivel mundial pueden ser afectadas. 

De acuerdo al Centro Criptológico nacional  de España (CN-CERT),  “Se ha alertado de un ataque masivo de ransomware que afecta a sistemas Windows, bloqueando el acceso a los archivos (tanto en sus discos duros como en las unidades de red a las que estén conectadas).  Los sistemas afectados que disponen de actualización de seguridad son:

Como puede verse,  si usted usa Windows debe actualizarlo inmediatamente a la última versión y tener mucho cuidado con la apertura de correos electrónicos con adjuntos, que es la principal fuente de infección de este ransomware WannaCry, que al igual que otros similares, necesita una vía de acceso, pero una vez ha infectado el sistema, se propaga solo por el resto de equipos a través de la Red, lo que lo hace particularmente peligroso.

En Costa Rica no estamos aislados de estas amenazas, por lo que sería importante que el CSIRT nacional emitiera una alerta para todas las instituciones del Estado para que actualicen sus sistemas. De la misma forma, los departamentos de TI, de las diferentes empresas, organizaciones e instituciones deberían hacer lo mismo.

El CN-CERT español da las siguientes recomendaciones:

  • Actualizar los sistemas a su última versión o parchear según informa el fabricante
  • Para los sistemas sin soporte o parche se recomienda aislar de la red o apagar según sea el caso.
  • Aislar la comunicación a los puertos 137 y 138 UDP y puertos 139 y 445 TCP en las redes de las organizaciones.
  • Descubrir qué sistemas, dentro de su red, pueden ser susceptibles de ser atacados a través de la vulnerabilidad de Windows, en cuyo caso, puedan ser aislados, actualizados y/o apagados.