INSTITUTO POLITÉCNICO NACIONAL UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS ADMINISTRAT IVAS
“ PERFILES PERFILES PSICOLÓGICOS DE DELINCUENTES DELINCUENTES INFORMÁTI INFORMÁTICOS COS””
T
E
S
I
N
A
QUE PARA OBTENE R EL TÍTULO DE: I N G E N I E R O
P
R
E
S A R A
M A N U E L E
D
G
S
I N É S
VICTOR
A
E N
I N F O R M Á T I C A
E
N
PERAL TA
A L E J A N D R O R
A
G O N Z Á L E Z
MANUEL
R
T
E
Z
A
Á
:
L Ó P E Z PERA LTA
R E Y E S S
N
N
B R A V O C
H
E
Z
NO. IMPRESIÓN N 7.82
ÍNDICE RESUMEN....................... ........................ ......................... ........................ ......................... ........ I
INTRODUCCIÓN ..................................................................................................................... III
CAPÍTULO I. MARCO METODOLÓGICO
1.1 PLANTEAMIENTO PLANTEAMIENTO DEL PROBLEMA ..................... ......................... ........................ ............ 1 1.2 OBJETIVOS....................... ......................... ........................ ......................... ....................... 1 1.3 TÉCNICAS E INSTRUMENTOS INSTRUMENTOS DE MEDICIÓN...................... MEDICIÓN...................... ......................... ................... 2 1.4 UNIVERSO Y MUESTRA........................ ......................... ........................ ......................... .. 2 1.5 JUSTIFICACIÓN ........................ ........................ ......................... ........................ ................ 2 CAPÍTULO II. EL DELITO
2.1 CONCEPTO DEL DELITO ...................... ......................... ........................ ......................... .. 4 2.2 ELEMENTOS DEL DELITO DELITO..................... ......................... ........................ ......................... .. 4 2.2.1 ELEMENTOS POSITIVOS POSITIVOS........................ ........................ ......................... ............. 4 2.2.1.1 CONDUCTA ........................ ........................ ......................... ...................... 5 2.2.1.2 TIPICIDAD.................................. TIPICIDAD.................................. ......................... ........................ ............... 5 2.2.1.3 ANTIJURICIDAD ANTIJURICIDAD ................................. ......................... ......................... ..... 5 2.2.1.4 IMPUTABILIDAD IMPUTABILIDAD ..................................... ......................... ........................ .. 6 2.2.1.5 CULPABILIDAD CULPABILIDAD....................... ........................ ......................... .................. 6 2.2.1.6 PUNIBILIDAD..................... ........................ ......................... ....................... 6 2.2.2 ELEMENTOS NEGATIVOS ......................... ........................ ......................... .......... 6 2.2.2.1 AUSENCIA DE CONDUCTA..................................... ......................... ......... 6 2.2.2.2 ATIPICIDAD ...................... ......................... ........................ ........................ 7 2.2.2.3 CAUSAS DE JUSTIFICACIÓN JUSTIFICACIÓN ......................... ......................... ................. 7 2.2.2.4 CAUSAS DE INIMPUTABILIDAD INIMPUTABILIDAD...................... ......................... ................. 7 2.2.2.5 INCULPABILIDAD ...................... ........................ ......................... ............... 7 2.2.2.6 EXCUSAS ABSOLUTORIAS ....................... ........................ ....................... 8 2.3 CLASIFICACIÓN CLASIFICACIÓN DEL DELITO .......................................... ........................ ......................... 8 2.4 CONCEPTO DE DELITO DELITO INFORMÁTICO INFORMÁTICO ....................... ......................... ........................ . 10 2.5 TIPOS DE DELITOS DELITOS INFORMÁTICOS INFORMÁTICOS....................... ......................... ........................ ...... 10 2.6 DIFERENCIA ENTRE UN DELITO COMÚN Y EL DELITO INFORMÁTICO ....................... 12
ÍNDICE RESUMEN....................... ........................ ......................... ........................ ......................... ........ I
INTRODUCCIÓN ..................................................................................................................... III
CAPÍTULO I. MARCO METODOLÓGICO
1.1 PLANTEAMIENTO PLANTEAMIENTO DEL PROBLEMA ..................... ......................... ........................ ............ 1 1.2 OBJETIVOS....................... ......................... ........................ ......................... ....................... 1 1.3 TÉCNICAS E INSTRUMENTOS INSTRUMENTOS DE MEDICIÓN...................... MEDICIÓN...................... ......................... ................... 2 1.4 UNIVERSO Y MUESTRA........................ ......................... ........................ ......................... .. 2 1.5 JUSTIFICACIÓN ........................ ........................ ......................... ........................ ................ 2 CAPÍTULO II. EL DELITO
2.1 CONCEPTO DEL DELITO ...................... ......................... ........................ ......................... .. 4 2.2 ELEMENTOS DEL DELITO DELITO..................... ......................... ........................ ......................... .. 4 2.2.1 ELEMENTOS POSITIVOS POSITIVOS........................ ........................ ......................... ............. 4 2.2.1.1 CONDUCTA ........................ ........................ ......................... ...................... 5 2.2.1.2 TIPICIDAD.................................. TIPICIDAD.................................. ......................... ........................ ............... 5 2.2.1.3 ANTIJURICIDAD ANTIJURICIDAD ................................. ......................... ......................... ..... 5 2.2.1.4 IMPUTABILIDAD IMPUTABILIDAD ..................................... ......................... ........................ .. 6 2.2.1.5 CULPABILIDAD CULPABILIDAD....................... ........................ ......................... .................. 6 2.2.1.6 PUNIBILIDAD..................... ........................ ......................... ....................... 6 2.2.2 ELEMENTOS NEGATIVOS ......................... ........................ ......................... .......... 6 2.2.2.1 AUSENCIA DE CONDUCTA..................................... ......................... ......... 6 2.2.2.2 ATIPICIDAD ...................... ......................... ........................ ........................ 7 2.2.2.3 CAUSAS DE JUSTIFICACIÓN JUSTIFICACIÓN ......................... ......................... ................. 7 2.2.2.4 CAUSAS DE INIMPUTABILIDAD INIMPUTABILIDAD...................... ......................... ................. 7 2.2.2.5 INCULPABILIDAD ...................... ........................ ......................... ............... 7 2.2.2.6 EXCUSAS ABSOLUTORIAS ....................... ........................ ....................... 8 2.3 CLASIFICACIÓN CLASIFICACIÓN DEL DELITO .......................................... ........................ ......................... 8 2.4 CONCEPTO DE DELITO DELITO INFORMÁTICO INFORMÁTICO ....................... ......................... ........................ . 10 2.5 TIPOS DE DELITOS DELITOS INFORMÁTICOS INFORMÁTICOS....................... ......................... ........................ ...... 10 2.6 DIFERENCIA ENTRE UN DELITO COMÚN Y EL DELITO INFORMÁTICO ....................... 12
CAPÍTULO III. PSICOLOGÍA
3.1 CONCEPTO DE PSICOLOGÍA PSICOLOGÍA .......................... ......................... ........................ .............. 13 3.2 ¿QUÉ ES UN PERFIL PSICOLÓGICO?...................... ......................... ........................ ..... 14 3.3 HERRAMIENTAS HERRAMIENTAS PARA DETERMINAR DETERMINAR PERFILES PERFILES PSICOLÓGICOS PSICOLÓGICOS ......................... ..... 16 16 3.3.1 HERRAMIENTAS PARA DEFINIR DEFINIR PERSONALIDAD PERSONALIDAD..................... ....................... 16 3.3.1.1 MMPI....................... ........................ ......................... ........................ ........ 16 3.3.1.2 TEST DE CLEAVER...................... ........................ ......................... .......... 18 3.3.1.3 TEST TEST 16PF............................... ........................ ......................... ............... 18 3.3.1.3.1 FORMAS DEL 16PF .................................. ........................ ......... 19 3.3.1.4 TEST DE LUSCHER ..................................... ......................... .................. 20 3.3.2 HERRAMIENTAS HERRAMIENTAS PARA DEFINIR DEFINIR NIVEL INTEL I NTELECTUAL ECTUAL....................... .............. 21 3.3.2.1 TEST DE WECHSLER .................................. ......................... .................. 21 3.3.2.2 TEST DE TERMAN MERRILL ............................ ......................... ............. 26 3.3.3 HERRAMIENTAS HERRAMIENTAS PROYECTIVAS PROYECTIVAS...................... ........................ ......................... . 26 26 3.3.3.1 HTP-HOUSE/TREE/PERS HTP-HOUSE/TREE/PERSON ON ............................ .... ........................ ......................... ............. 27 3.3.3.2 TEST DE LA FIGURA HUMANA HUMANA DE KAREN MACHOVER...................... . 28 3.3.4 HERRAMIENTAS PARA DETERMINAR DETERMINAR APTITUD APTITUD ........................ ....................... 30 3.3.4.1 TEST KUDER VOCACIONAL..................... ......................... ..................... 30 CAPÍTULO IV IMPACTO DE LA DELINCUENCIA INFORMÁTICA SOBRE LAS ORGANIZACIONES
4.1 DELINCUENCIA DELINCUENCIA INFORMÁTICA EN LAS ORGANI O RGANIZACIONES ZACIONES...................... ................... 32 4.1.1 CIFRAS DEL IMPACTO DE LA DELINCUENCIA INFORMÁTICA A NIVEL INTERNACIONAL INTERNACIONAL ................................... ........................ ......................... ..................... 32 4.1.2 CIFRAS DEL IMPACTO DE LA DELINCUENCIA INFORMÁTICA A NIVEL NACIONAL......................... ........................ ......................... ........................ .................. 36 4.2 ANÁLISIS DE ATAQUES E IMPACTO EN LA ORGANIZACIÒN................................ ORGANIZACIÒN................................ ....... 38 CAPÍTULO V MEDIDAS CONTRA LA DELINCUENCIA INFORMÁTICA
5.1 LEGISLACIÓN INFORMÁTICA INFORMÁTICA ..................................... ......................... ........................ ... 44 5.1.1 NACIONAL ......................... ........................ ......................... ......................... ........ 44 5.1.2 INTERNA I NTERNACIONAL CIONAL........................ ......................... ........................ ........................ 50 5.1.3 SECTOR SECTOR FINANCIERO FINANCIERO ....................... ......................... ........................ ............... 54 5.2 MEJORES PRÁCTICAS APLICABLES EN LA PREVENCIÓN DE LA DELINCUENCIA DELINCUENCIA INFORMÁTICA .................................... ......................... ........................ ....... 65 5.3 TECNOLOGÍA TECNOLOGÍA ........................................ ........................ ......................... ........................ . 72 5.3.1 PREVENCIÓN ........................ ......................... ........................ ......................... .... 72 5.3.2 DETECCIÓN DETECCIÓN ................................... ........................ ......................... .................... 74
5.3.3 INVESTIGACIÓN.................................................................................................. 74 CAPÍTULO VI. PROPUESTA DE SOLUCIÓN
6.1 CARACTERÍSTICAS......................................................................................................... 77 6.2 PERSONALIDADES .................................... ..................................................................... 78 6.3 PRESENTACIÒN DE LOS PERFILES PSICOLÓGICOS................................................... 79 6.4 DESARROLLO DE LA HERRAMIENTA ............................................................................ 85 6.4.1 ANÁLISIS ....................................... ...................................................................... 86 6.4.2 DISEÑO................................................................................................................ 88 CAPÍTULO VII. CASO PRÁCTICO: APLICACIÓN DE LA PROPUESTA
7.1 GENERALIDADES DE LA EMPRESA............................................................................... 94 7.2 APLICACIÓN DE LA HERRAMIENTA............................................................................... 94 7.3 RESULTADOS OBTENIDOS ............................... ............................................................. 95 7.4 VENTAJAS ....................................................................................................................... 99 7.5 DESVENTAJAS ................................................................................................................ 99 CONCLUSIONES ................................................................................................................. 101
BIBLIOGRAFÍA .................................................................................................................... 102
GLOSARIO........................................................................................................................... 105
ANEXOS .............................................................................................................................. 108
RESUMEN El robo o manipulación de la información representa una pérdida económica muy importante para las empresas y organizaciones que se convierten en víctimas de la delincuencia. La seguridad informática se ha enfocado en proponer métodos y tecnologías para la prevención de ataques a los sistemas de seguridad y en la implementación de mejores prácticas, sin embargo, se sabe que en la mayoría de los casos los ataques se generan de forma interna, lo que indica que el personal tiene una participación activa en la comisión del delito. La informática ha desviado su atención de uno de los elementos más importantes para la prevención del delito, que es el recurso humano, considerado como el eslabón más débil de cualquier sistema de información ya que es difícil de controlar; mientras que la psicología se ha interesado única y exclusivamente en la determinación de la personalidad y no en medidas para reducir la delincuencia dentro de las organizaciones. Por eso, la propuesta presentada se basa tanto en la psicología como en la informática para mitigar esta problemática determinando los perfiles psicológicos que identifican las características, personalidades y comportamientos más destacados de los delincuentes informáticos, siendo una guía para las organizaciones en la prevención de la delincuencia llevada a cabo por colaboradores internos a la misma. La posible determinación de una tendencia delictiva en las personas, ayuda a las empresas a identificar el riesgo de contratar a un posible candidato a ocupar un puesto dentro de la organización y a su vez evaluar el impacto de conservar a un colaborador que presente esta tendencia delictiva; así las empresas pueden tomar decisiones y llevar a cabo medidas para prevenir que estos colaboradores puedan llevar a cabo algún delito. Esta determinación de perfiles psicológicos es vital para mitigar el riesgo de que las empresas sean víctimas de la delincuencia informática, sin embargo se necesita de un análisis más profundo por parte de un psicólogo que pueda determinar si una persona es capaz de cometer un delito a pesar de ser tendiente o no a ser delincuente y ofrecer a las empresas los elementos necesarios para la toma de decisiones. Por otra parte, se sugiere la aplicación de una herramienta automatizada basada en la aplicación de dos test, cuyos resultados permiten evaluar a los candidatos a ocupar un puesto en las empresas o a colaboradores que se encuentren al interior de las mismas para determinar si son tendientes o no a cometer delitos informáticos.
I
El primer test que se aplica es psicológico el cual tiene como objetivo evaluar a la persona y dar a conocer si presenta tendencia delictiva así como identificar el tipo de delincuente al que se le relaciona. Finalmente, se aplica un test técnico cuyo resultado muestra si la persona que es evaluada cuenta con los conocimientos necesarios para llevar a cabo un delito de carácter informático.
II
INTRODUCCIÓN La determinación de Perfiles Psicológicos colabora en la identificación de personas con tendencia a delinquir. Es gracias a la fusión de la Psicología y la Informática que con ayuda de un profundo estudio y análisis es posible la identificación del perfil psicológico. Siendo un método preventivo para que las Empresas o Instituciones puedan identificar de un grupo de posibles colaboradores, a aquellos candidatos que presenten una tendencia a delinquir y así poder evitar probables delitos que tengan un impacto económico en las Organizaciones afectadas. De manera general, se sabe que en las Empresas el Área de Reclutamiento y Selección de Personal se basan en exámenes psicométricos para elegir a los candidatos a ocupar un puesto dentro de la Organización, sin embargo, se piensa que al aplicar otras herramientas que ayuden a la identificación de posibles Delincuentes Informáticos se mitiga el riesgo de que éstos sean perpetuados. El presente trabajo de Tesina da a conocer los Perfiles Psicológicos de Delincuentes Informáticos por medio de una herramienta automatizada basada en exámenes psicológicos y técnicos, siendo un punto de partida para determinar las condiciones de carácter emocional, social o económico que influyen en una persona para llevar a cabo un delito informático. Para lograr el objetivo de la tesina, se abarcan los siguientes capítulos: CAPÍTULO I. MARCO METODOLÓGICO, en este capítulo se expone la problemática y la importancia de atacar la misma, al considerarse un tema de interés para cualquier Empresa. Como puntos importantes dentro de éste capítulo se encuentran los objetivos generales y específicos; el universo y la muestra en la cual se delimita el campo de acción y los resultados que se esperan obtener. Por otra parte en el CAPÍTULO II. EL DELITO, se abarca el concepto de delito, las diferencias entre un delito común y un delito informático, dado que actualmente se consideran como un mismo concepto y se sabe que no es así; además de sus elementos clasificados desde el punto de vista positivo y negativo. Para tratar el tema de la Psicología, se desarrolla el CAPÍTULO III. PSICOLOGÍA, en el cual se delimitan los conceptos que son empleados durante el desarrollo de la tesina, ya que se pretende evitar confusión con los términos y conceptos que no son de dominio público.
III
Además se hace mención de algunas herramientas que son empleadas en la actualidad para determinar perfiles psicológicos y que son de gran ayuda en la identificación de perfiles psicológicos de delincuentes informáticos. Aunado a lo anterior, se desarrolla el CAPÍTULO IV. DELINCUENCIA INFORMÁTICA, en el cual se da a conocer el impacto que tiene la delincuencia informática sobre las organizaciones a nivel nacional e internacional, así como los delitos que se cometen con mayor frecuencia. Por otra parte; en el CAPÍTULO V. MEDIDAS CONTRA LA DELINCUENCIA INFORMÁTICA, se menciona la legislación de carácter nacional, internacional y del sector financiero que está relacionada con el tema, así como las mejoras prácticas con el fin de prevenir la delincuencia informática. Y la tecnología que se conoce para prevenir, detectar e investigar este tipo de delitos de carácter informático. En el CAPÍTULO VI. PROPUESTA DE SOLUCIÓN, se dan a conocer las características y personalidades generales de los delincuentes informáticos, así como la presentación de los perfiles psicológicos de los delincuentes informáticos más comunes. Por otra parte se sugiere una herramienta para la identificación de estos perfiles. Finalmente en el CAPÍTULO VII. CASO PRÁCTICO: APLICACIÓN DE LA PROPUESTA, se proporciona información de la empresa “Trayecta Sistemas, S.A. de C.V.” en la cual se aplica la propuesta por medio de la herramienta sugerida; se dan a conocer los resultados obtenidos, las ventajas y desventajas de la misma determinando así la aportación de la propuesta.
IV
CAPÍTULO I. MARCO METODOLÓGICO En este capítulo se presenta el marco metodológico de la investigación en el cual se plantea la problemática, los objetivos generales y específicos a alcanzar, de igual forma se determinan las técnicas e instrumentos de medición que son empleados para recabar la información necesaria durante el proceso de investigación y finalmente la justificación en la cual se exponen los motivos profesionales por los cuales se aborda este tema.
0
1.1 PLANTEAMIENTO DEL PROBLEMA
En el mundo cada vez son más frecuentes los delitos informáticos y se debe a que el desarrollo de la tecnología permite que existan muchas herramientas y maneras para poder realizar un robo informático. México no es la excepción, ya que diariamente se cometen demasiados delitos relacionados con la informática y que son una causa directa de que las empresas u organizaciones tengan pérdidas millonarias. En el mundo existen muchos problemas económicos y esto repercute en cierta medida tanto en la población como en las empresas. Es por eso que las empresas compiten diariamente por ser las mejores y por ganar la mayor cantidad de clientes. Los salarios que ofrecen las empresas no son suficientes para la mayor parte de la población. Derivado de la competencia entre las empresas existe una guerra de información la cual propicia que se realicen delitos informáticos. Este tipo de delitos en su mayoría son llevados a cabo por empleados de la misma empresa a los que se les ofrece dinero para obtener la información deseada. A parte del robo de información también es muy común que los trabajadores roben hardware o software que es propiedad de la empresa, y esto es con el objetivo de poder tener algún lucro u obtener información confidencial. Cuando la empresa desea contratar nuevo personal, a los aspirantes se les realiza exámenes tanto de conocimientos como psicométricos. Pero el problema es que en esos exámenes psicométricos no puede observarse si el aspirante es un delincuente informático o es alguien en quien no se puede confiar debido a que es una persona tendiente a robar. Entonces muchas personas que son tendientes a ser delincuentes informáticos son aceptadas en la empresa pero en un tiempo no muy lejano realizarán algún robo de información, hardware, software, etc. Y la empresa, además de que tendrá pérdidas por el robo de información, se quedará sin un empleado, causando así problemas en el flujo de trabajo diario. 1.1 OBJETIVOS
OBJETIVO GENERAL Determinar los perfiles psicológicos asociados a potenciales delincuentes informáticos con el fin de que las empresas los puedan detectar previo a su contratación o incluso que puedan evaluar a su personal y conocer los posibles riesgos de conservarlos y tomar una decisión. OBJETIVOS ESPECÍFICOS
1
•
Conocer y estudiar los términos, herramientas y métodos que se emplean en la psicología para determinar el perfil psicológico de un delincuente común y determinar los perfiles psicológicos de delincuentes informáticos.
•
Proponer una herramienta automatizada basada en dos exámenes, psicológico y técnico para identificar los perfiles psicológicos de candidatos a ocupar un puesto en alguna Empresa u Organización y determinar si son tendientes a cometer algún delito de carácter informático.
1.2
TÉCNICAS E INSTRUMENTOS DE MEDICIÓN
Durante el desarrollo de nuestro proyecto de investigación se utilizan ambos tipos de técnicas de investigación, tanto documentales como de campo. Sustituyendo a las primeras con fichas bibliográficas y hemerográficas para realizar citas de autores y sus respectivos artículos, que sirven de base para enriquecer nuestro marco teórico, por otro lado se aplican técnicas de campo cuando se realiza la entrevista con un profesional en psicología, se han realizado algunos cuestionarios para establecer nuestras hipótesis y nuestros sondeos. Finalmente, se hace uso de la observación para detectar los mecanismos de seguridad físicos que tienen algunas empresas. 1.3 UNIVERSO Y MUESTRA
Se toman cinco individuos del área de TI de la empresa Trayecta S.A. de C.V. para realizar ambas pruebas, tanto psicológicas como técnicas. Los cinco individuos son candidatos a ocupar un puesto en dicha empresa. 1.4 JUSTIFICACIÓN
Dado el crecimiento mundial en delitos informáticos reportados por el CERT, las organizaciones gubernamentales y financieras realizan esfuerzos para prevenir esta nueva forma de crimen. La difusión en el uso de computadoras en las oficinas y el hogar han contribuido a que los usuarios sean un blanco fácil de fraudes en línea. Tan solo para el año 2003 el CERT reporto un total de 137,529 incidentes. Recientes estudios realizados por el FBI han demostrado que los robos de información e infraestructura se comenten en un 80% por personas que tienen una participación activa dentro de las organizaciones. Las estadísticas arrojan una pérdida financiera estimada por más de 265 millones de dólares a nivel mundial de acuerdo con el estudio de Seguridad y Delitos Informáticos realizados por el FBI división San Francisco.
2
Una de las probables circunstancias por las que se da este incremento es por que en este tipo de robos muchas de las veces se requiere de conocimientos específicos en cierta área de Tecnologías de Información, de alguna u otra forma se habla de un nuevo tipo de criminales, con amplios conocimientos y para el cual ejecutarlos representa un riesgo mínimo, siendo hasta ahora difícil detectar a los posibles delincuentes. Como pasantes de la carrera de ingeniería en informática, se considera que este estudio cobra una amplia relevancia debido a que hasta ahora el tema de criminología cibernética apenas comienza a cobrar importancia, siendo un tema que ofrece diversas posibilidades de crear nuevo conocimiento. Como futuros profesionales, se determina la importancia que cobra la seguridad de los datos, tanto seguridad física como seguridad lógica. Sin embargo, es prudente proponer un enfoque nuevo en el cual se utiliza nuestro mapa curricular para determinar cómo las empresas pueden detectar posibles delincuentes informáticos previos a su contratación, nuestro papel como informáticos cobrara suma importancia debido a que se establece un panorama previo de las herramientas y métodos utilizados en la mayoría de las ocasiones por los delincuentes informáticos. Así mismo se propone una herramienta automatizada que apoye en la determinación del perfil.
3
CAPÍTULO II. EL DELITO En este capítulo se define el concepto de delito y se mencionan sus elementos primordiales; así como su clasificación en base a diversos factores. Por otra parte se define el concepto de delito informático; se describen los tipos de delitos informáticos y finalmente se realiza el contraste de un delito común y uno informático definiendo así sus diferencias y características propias.
3
2.1 CONCEPTO DEL DELITO
La palabra DELITO proviene de la palabra en latín DELICTUM, que a su vez se deriva del verbo, de la misma lengua latina, DELINQUERE la cual tiene como significado “dejar o abandonar el buen camino”, aunque también se podría interpretar como “alejarse del sendero señalado por la ley”. Hay muchos autores que han dado su propia definición de lo que para ellos es el delito, tal es el caso de José Arturo González Quintanilla 1 quien lo define como “un comportamiento típico, antijurídico y culpable”. Ahora bien, con el fin de generalizar el concepto de delito, la definición que se manejará es la que maneja el criminólogo argentino Luis Jiménez de Asúa 2, quien define el delito como: “el acto típicamente antijurídico, sometido a veces a condiciones objetivas de penalidad, imputables a un hombre y sometido a una sanción penal”. Se eligió esta definición dado que en ella se manejan los elementos que conforman el delito, tales como conducta, tipicidad, anti-juricidad, imputabilidad, culpabilidad y punibilidad, en ambos casos las definiciones son manejadas, total o parcialmente, en la mayoría de las definiciones que se muestran en la parte superior; ¿pero cuáles son y qué significan estos elementos del delito?, se explicarán en el siguiente punto. 2.2 ELEMENTOS DEL DELITO
De acuerdo al libro “Derecho Positivo Mexicano 3”, el delito “cuenta con diversos elementos, tanto positivos como negativos”, los cuales se representan en la Tabla 1.1 ELEMENTOS POSITIVOS
ELEMENTOS NEGATIVOS
CONDUCTA
AUSENCIA DE CONDUCTA
TIPICIDAD
ATIPICIDAD
ANTIJURICIDAD
CAUSAS DE JUSTIFICACI N
IMPUTABILIDAD
CAUSAS DE INIMPUTABILIDAD
CULPABILIDAD
INCULPABILIDAD
PUNIBILIDAD
EXCUSAS ABSOLUTORIAS Tabla 1.1 Elementos del Delito
2.2.1 ELEMENTOS POSITIVOS
1
González Quintanilla, José Arturo, Derecho Penal Mexicano, http://biblioteca.universia.net Jiménez de Asúa, Luis, Derecho Penal Mexicano, http://biblioteca.universia.net 3 Derecho Positivo Mexicano, Legislación o el ordenamiento legislado, http://biblioteca.universia.net 2
4
Los elementos positivos del delito son aquellos que determinan la existencia del delito, es decir para que un acto sea clasificado como delito es necesario que cumpla con todos esos elementos, de lo contrario no puede considerarse como tal. 2.2.1.1 CONDUCTA
La conducta “es el primer elemento del delito, la cual se define como el comportamiento humano voluntario, positivo o negativo, con un fin determinado; este acto puede ser concretado por la actividad o inactividad de alguien. El comportamiento es libre, porque es decisión única del sujeto y está encaminado a un propósito, o también llamado actividad finalista, porque esta basado en obtener un beneficio” 4. En otras palabras se puede decir que la conducta es la base sobre la cual descansa toda estructura delictiva. Si no hay conducta, no hay delito. La conducta tiene tres elementos: 1) Un acto; positivo o negativo. Acción u Omisión 2) Un resultado. Finalidad 3) Una relación de causalidad. Un acto causa un resultado. 2.2.1.2 TIPICIDAD
La tipicidad es la adecuación de la conducta al tipo penal, en otras palabras se puede decir que la tipicidad es “toda conducta que conlleva una acción u omisión que se ajusta a los presupuestos detalladamente establecidos como delito dentro de un cuerpo legal. Esto quiere decir que, para que una conducta sea típica, debe estar específica y detalladamente definida como delito de algún código” 5. 2.2.1.3 ANTIJURICIDAD
Para que la conducta de un ser humano sea delictiva, debe contradecir las normas penales, es decir, ha de ser antijurídica. “La antijuricidad es lo contrario a Derecho, por lo tanto, no basta que la conducta sea encontrada dentro de un tipo penal, sino que también se necesita que dicha conducta sea antijurídica, considerando como tal, a toda aquella definida por la ley” 6.
4
Elementos del derecho, Facultad de Derecho, www.derecho.unam.mx Malo Camacho, Gustavo,DERECHO PENAL MEXICANO, www.tribunalmmm.gob.mx/biblioteca/almadelia/Cap2.htm , 6 Betancourt López, Eduardo, TEORIA DEL DELITO, www.tribunalmmm.gob.mx/biblioteca/almadelia/Cap2.htm 5
5
En un sentido más formal, se puede decir que la antijuricidad es la relación de contradicción entre la conducta y todo ordenamiento jurídico, esto significa que un delito es una conducta que va en contra de las leyes escritas en algún código. 2.2.1.4 IMPUTABILIDAD
La imputabilidad es la capacidad de “querer y entender la ilicitud de la conducta, en el campo del Derecho Penal, es decir, el querer es estar en condiciones de aceptar o realizar algo voluntariamente, y entender es tener la capacidad mental y la edad biológica para tomar esa decisión” 5. 2.2.1.5 CULPABILIDAD
El concepto de culpabilidad como tercer aspecto del delito y de acuerdo a la definición anterior, nos señala cuatro importantes elementos que la conforman y son: •
Una ley
•
Una acción
•
Un contraste entre la acción y la ley
•
El conocimiento de esta situación.
La culpabilidad es “un elemento básico del delito y es el nexo intelectual y emocional que une al sujeto con el acto delictivo, también se describe como un juicio de reproche al sujeto por haber cometido la conducta antijurídica, y no haber actuado conforme o motivado por el ordenamiento jurídico”6. 2.2.1.6 PUNIBILIDAD
La punibilidad es un elemento secundario del delito, que “consiste en el merecimiento de una pena, en función o por razón de la comisión de un delito; dichas penas se encuentran señaladas en nuestro Código Penal” 7. 2.2.2 ELEMENTOS NEGATIVOS
Por el otro lado, los elementos negativos son utilizados para poder contrarrestar el delito, lo que significa que estos elementos pueden utilizarse como defensa en contra de una acusación de algún delito. 2.2.2.1 AUSENCIA DE CONDUCTA
Como se había mencionado durante la definición de la conducta: Si no hay conducta, no hay delito. Esto es importante dado que “ante la ausencia de conducta no hay delito” 7. 7
González de la Vega, Francisco , DERECHO PENAL MEXICANO, pag 473
6
Existen tres casos en los cuales hay una ausencia de conducta: 1) Fuerza Irresistible.- Era imposible evitar cometer la conducta. 2) Movimientos Reflejos.- La conducta es realizada por simples reflejos, sin intención de cometer algún daño. 3) Estados de inconsciencia.- El sujeto no era consiente de sus actos, no controlaba sus acciones. 2.2.2.2 ATIPICIDAD
Este elemento sucede cuando la conducta no se adecua a ninguno de los tipos descritos en la ley, es decir que la conducta no encaja con ninguna definición de delito, y cuando esto sucede no se puede declarar la acción como un delito. 2.2.2.3 CAUSAS DE JUSTIFICACIÓN
La causa de justificación se da “cuando un hecho no es presumiblemente delictuoso, con lo que falta a la antijuricidad, es decir: no hay delito, por la existencia de una causa de justificación, esto es, el individuo ha actuado en determinada forma sin el ánimo de infringir las normas penales” 8. Las causas de justificación son las siguientes: •
Legitima Defensa
•
Estado de necesidad justificante
Consentimiento
•
•
•
Ejercicio de derecho Cumplimiento de una obligación
2.2.2.4 CAUSAS DE INIMPUTABILIDAD
Es la ausencia de capacidad para querer o entender la realización del delito. Si no resulta imputable es porque no reúne las condiciones psíquicas previstas en la norma. Algunas causas de inimputabilidad son: a) Minoría de Edad b) Alteración en la percepción. c) Alteraciones psíquicas. 2.2.2.5 INCULPABILIDAD
8
Betancourt López, Eduardo, TEORIA DEL DELITO, www.tribunalmmm.gob.mx/biblioteca/almadelia/Cap2.htm
7
“Es la falta de reprochabilidad ante un derecho penal, por falta de voluntad o el consentimiento del hecho” 8. Algunas causas de inculpabilidad son: a) Error de prohibición: Es un error respecto de la licitud de la conducta, ya sea porque: •
El sujeto desconoce la existencia del tipo penal en la legislación
•
Porque el sujeto crea que actuaba conforme a una causa de justificación en el caso concreto.
b) Estado de necesidad disculpante (bienes jurídicos iguales) c) Miedo Grave. 2.2.2.6 EXCUSAS ABSOLUTORIAS
Las excusas absolutorias son “aquellas circunstancias específicamente señaladas en la ley y por las cuales no se sanciona al agente. En otras palabras, son causas personales legalmente previstas que no eliminan el carácter delictivo de la acción, pero que si te excluyen de la pena por el delito” 9. 2.3 CLASIFICACIÓN DEL DELITO
Existe la clasificación en función de su gravedad, en donde se encuentra “la clasificación bipartita que contiene a los delitos y las faltas” 10. Los primeros lesionan el contrato social y son sancionados por la autoridad judicial. Las faltas contravienen los reglamentos de carácter administrativo, son sancionables por la autoridad administrativa. También en esta misma existe “la clasificación tripartita la cual contiene a los delitos, faltas y crímenes”9.Considerados estos últimos como aquellos delitos gravísimos que atentan contra la esencia misma de la humanidad. La clasificación en orden a la conducta del agente, se divide en dos formas de conducta a través de las cuales el sujeto activo puede cometer el ilícito, a saber: 1.- Acción: Por requerir de un momento corporal del agente al cometer el ilícito. 2.- Omisión: El sujeto exterioriza su voluntad mediante una actividad al no efectuar la acción debida u ordenada en la ley.
9
González de la Vega, Francisco,DERECHO PENAL MEXICANO www.tribunalmmm.gob.mx/biblioteca/almadelia/Cap2.htm 10 Lopez Betancourt, Eduardo, Delitos en particular Tomo IV, pag. 12
8
Eduardo López Betancourt menciona lo siguiente “los delitos de omisión a su vez se subdividen en delitos de omisión simple y comisión por omisión. Son de omisión simple o de pura conducta, porque la sola inactividad del sujeto origina la comisión del delito independientemente de la existencia de un resultado. Los de comisión son aquellos en los que el agente con su inactividad, acarrea necesariamente la producción de un resultado” 11. Por el resultado, es una clasificación que se establece del efecto que producen los actos ilícitos, se dividen en formales y materiales. 1.- Formales: Aquellos que no producen ninguna modificación en el mundo exterior, esto es, para configurarse no requieren de alguna materialización. 2.- Materiales: Contrariamente a los formales, requieren de un cambio material externo originado por la conducta del agente. Por el daño que causan, es una clasificación que dice que los ilícitos pueden ser de lesión y de peligro. 1.- De lesión: Son aquellos en que el agente causa una disminución al bien jurídicamente tutelado por la norma. 2.- De peligro: La acción u omisión delictiva no causa un daño directo en el bien jurídicamente tutelado, pero si lo coloca en el peligro, es decir, en la posibilidad de que ocurra un resultado en la realización del mismo. Por su duración es una clasificación que Eduardo López Betancourt divide en “instantáneos, permanentes y continuados” 11. 1.- Instantáneos: Se comenten mediante la realización de una acción única, o bien, de una compuesta por diversos actos que entrelazados producen el resultado, atendiéndose esencialmente a la unidad de la acción. 2.- Permanentes: En estos la conducta del agente se prolonga a través del tiempo. Hay continuidad en la ejecución, persistencia del propósito. 3.- Continuados: Cuando siendo acciones dañosas diversas, producen una sola lesión jurídica; varios actos y una sola lesión.
11
Malo Camacho, Gustavo , DERECHO PENAL MEXICANO, www.tribunalmmm.gob.mx/biblioteca/almadelia/Cap2.htm
9
Por el elemento interno, en esta clasificación existen dos categorías de delitos los delitos culposos y los dolosos. 1.-Culposos: Cuando el agente no tiene la intención de delinquir, pero actúa con la imprudencia, negligencia, descuido y torpeza. 2.- Dolosos: Cuando existe la plena y absoluta intención del agente para cometer su delito. En relación con el número de actos integrantes de la acción típica, esta clasificación se refiere al número de actos necesarios para su consumación. Eduardo López Betancourt la divide en dos partes “un subsistentes y plursisubsistentes” 12. 1.- Un subsistentes: El agente lleva a cabo su propósito con la ejecución de un solo movimiento, se realiza un acto para su tipificación, que no puede fraccionarse en varios. 2.- Plurisubsistentes: Necesariamente se requiere la concurrencia de dos o mas acciones en su realización, se pueden dividir en varios sucesos, que al fusionarse producen la unidad delictiva, por ser el fin mismo del agente. Por su forma de persecución, en esta clasificación los delitos pueden ser de oficio, cuando el ministerio publico tiene la obligación de perseguirlos, aún en contra de la voluntad del ofendido y sin que opere el perdón; y de querella, a petición de parte ofendida, caso en el cual si es procedente el perdón. 2.4 CONCEPTO DE DELITO INFORMÁTICO
El delito informático se explica como la acción voluntaria de un individuo capaz de obtener, almacenar, modificar, distribuir, intercambiar, utilizar y transmitir la información a través de ordenadores, ya sea por medio de dispositivos externos (impresoras, discos flexibles, discos compactos, entre otros), software e incluso firmware (un registro almacenado en la memoria de sólo lectura del ordenador) quebrantando la ley. 2.5 TIPOS DE DELITOS INFORMÁTICOS
Diversas organizaciones a nivel mundial, tanto gubernamentales como privadas han propuesto diferentes clasificaciones a los delitos informáticos. A pesar de la diversidad de opiniones, en general todas coinciden al enunciar como delitos informáticos el robo y suplantación de identidad,
12
El delito, www.tribunalmmm.gob.mx/biblioteca/almadelia/Cap2.htm
10
la intrusión a sistemas de cómputo, el fraude en línea, piratería, robo de datos, interferencia de telecomunicaciones, entre otros. De acuerdo al “Convenio sobre la Ciberdelincuencia ” firmado en Budapest el 23 de Noviembre de 2001 por el Consejo de Ministros de la Unión Europea, Estados Unidos, Japón, Sudáfrica y Canadá. Los delitos informáticos pueden ser clasificados en cuatro grupos. El primer grupo corresponde a los delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos. Dentro del primer grupo se encuentra el acceso ilícito a sistemas de información, interceptación ilícita, interferencia de datos, interferencia en el sistema y abuso de dispositivos. Se define como acceso autorizado el resultado de una autenticación correcta, de tal forma que al referirse al delito de acceso ilícito se habla de una omisión a dicha autenticación, cualquier forma de infringir las medidas seguridad de los sistemas de información, tanto físicamente como lógicamente, con la intención de obtener datos informáticos e inclusive con otra intención delictiva. Al cometer un delito de interceptación ilícita una entidad externa o interna a la organización, de forma no autorizada accede a la información, interrumpiendo los canales de transmisión de datos. Así mismo se refiere al hecho de que una persona externa al proceso de envío y recepción de datos impida la conclusión de un servicio o proceso digital con el fin de que la información sea inutilizable. La interferencia de datos se da cuando de manera no autorizada, personal interno o externo a la organización, dañe, modifique, altere o elimine información. Mientras que la interferencia en el sistema es la obstaculización de la operación de cualquier sistema o subsistema de información mediante la transmisión, introducción, borrado o alteración de datos informáticos. El abuso de dispositivos se refiere a la producción o venta de cualquier medio o dispositivo, incluyendo software, diseñado o adaptado para infringir sistemas de seguridad, para la obtención de información de manera no autorizada. El segundo grupo corresponde a delitos informáticos. Dentro del segundo grupo se encuentra la falsificación informática que es la alteración de información, con la finalidad de que la persona que consulta dicha información la tome en cuanta como si se tratase de datos auténticos, independientemente de que los datos sean legibles o ilegibles. Así mismo dentro de este grupo se encuentra el fraude informático. Cualquier fraude como tal, constituye la acción de engañar a alguien, pero en este caso dicho engaño se lleva acabo utilizando algún tipo de servicio digital. El tercer grupo pertenece a los delitos relacionados con el contenido, como lo son los delitos relacionados con la pornografía infantil, que es la producción, edición y difusión de pornografía 11
infantil por medio de un sistema informático. Incluyéndose la adquisición o posesión de la misma en cualquier dispositivo de almacenamiento. Finalmente los delitos relacionados con infracciones de la propiedad intelectual y derechos afines. Este delito se refiere a la creación y distribución de copias de programas informáticos sin la autorización explícita del autor, con fines de lucro. Así como la utilización de logotipos, ideas, prototipos, etc. Que estén protegidos por los derechos de propiedad intelectual de cada país. 2.6 DIFERENCIA ENTRE UN DELITO COMÚN Y EL DELITO INFORMÁTICO
Dada la gran evolución de las Tecnologías de la Información, se ha vuelto indispensable la utilización de recursos informáticos. Esta evolución ha originado también la evolución de delitos comunes a delitos informáticos. Sin embargo, aún existe una amplia brecha que diferencia uno del otro. Al hablar de la realización del delito, por si mismo se pueden encontrar las principales diferencias. En el caso del delito informático, en la mayoría de las ocasiones el infractor no necesita estar en el lugar físico del crimen, es más pudiera estar inclusive en otro país. Esto ha ocasionado que las organizaciones gubernamentales de todo el mundo trabajen conjuntamente para perseguir este tipo de delitos. Otra diferencia es la velocidad con la que se cometen, pudiera tomar solo algunos minutos perpetuar este tipo de delitos. A diferencia del delito común las herramientas son diferentes, dado que el delincuente informático utiliza computadoras, en la mayoría de las ocasiones es difícil encontrar pruebas. La principal característica que los hace diferentes es que los delitos informáticos requieren alto grado de especialización, se trata de conductas criminales de cuello blanco “white collar crime”. Así mismo se señala son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada por el ámbito tecnológico, refiriéndose principalmente a las vulnerabilidades de cualquier sistema de información.
12
CAPÍTULO III. PSICOLOGÍA En este capítulo se expone una definición formal de la psicología y los diversos tipos asociados a la misma. Por otra parte se habla del perfil psicológico y las principales herramientas utilizadas por los psicólogos para determinarlo, ya que se requiere del estudio de otros factores como la personalidad, el nivel intelectual y las aptitudes de las personas para poder definirlo. Finalmente se presentan los elementos bajo los cuales se basa el estudio técnico de la pruebas, siendo los parámetros sobre los cuales se da validez a dicha prueba.
12
3.1 CONCEPTO DE PSICOLOGÍA La Psicología es la ciencia que estudia la conducta y los procesos mentales. Trata de describir y explicar todos los aspectos del pensamiento, de los sentimientos, de las percepciones y de las acciones humanas. Por ser una ciencia, la Psicología se basa en el método científico para encontrar respuestas. Etimológicamente, “Psicología proviene del griego psique: alma y logos: tratado. Literalmente significaría ciencia del alma;” 13 sin embargo, contemporáneamente se le conceptualiza a la Psicología como una parte de las Ciencias Humanas o Sociales que estudia: • El comportamiento de los organismos individuales en interacción con su ambiente. • Los procesos mentales de los individuos. • Los procesos de comunicación desde lo individual a lo micro social. Existe la psicología clínica en la cual los psicólogos clínicos mexicanos trabajan principalmente en los hospitales, en clínicas y en consultorios particulares. Brindan asesoría psicológica y psicoterapia para la detección, diagnóstico y tratamiento de las enfermedades mentales y conductas anormales que pueden ir de leves a graves. Miguel Ángel Álvarez en su libro Introducción al curso de Psicología menciona que en la psicología educativa “los especialistas están ligados al desarrollo de la enseñanza y a la investigación científica en universidades, proporcionan orientación educativa y vocacional, educación especial, planeación y asesoría escolar, docencia e investigación educativa, desde preescolar hasta en educación para los adultos” 14. La psicología Laboral, también conocida como psicología del trabajo y de las organizaciones u organizacional, “tiene por objeto el estudio y la optimización del comportamiento del ser humano en las organizaciones, fundamentalmente profesionales” 15. En la psicología comunitaria los especialistas trabajan con los pobladores de una comunidad urbana o rural para el estudio de sus recursos humanos y materiales, facilitando que satisfagan necesidades vitales como salud, educación, vivienda, salubridad, alimentación, trabajo, deporte, recreación y otros.
13
Torres Álvarez, Miguel Angel, Introducción al curso de Psicologia, pag. 31 Psicología, http://es.wikipedia.org/wiki/Psicologia#cite_note-2
14
13
3.2 ¿QUÉ ES UN PERFIL PSICOLÓGICO? Como antecedentes previos se sabe que durante todo el siglo XX los psicólogos se preocuparon por extender las concepciones ya existentes de psicología, especialmente en medicina, sobre los tipos de contextura física y sus relaciones con disposiciones de tipo comporta mental. A partir de este conocimiento se diseñaron varios modelos de factores de la personalidad y pruebas para determinar el conjunto de rasgos que caracterizaban a una persona. Hoy en día, la personalidad se entiende como un conjunto organizado de rasgos, es decir comportamientos relativamente permanentes y estables en el tiempo, que caracterizan a un individuo. Los perfiles psicológicos son también conocidos como perfiles de personalidad .El estudio de la personalidad responde a las preguntas acerca de que tan diferentes son dos personas, que motiva a las personas a actuar de cierta forma e inclusive cual ha sido el desarrollo de cierto individuo en la niñez. Por lo que personalidad puede definirse como “las conductas internas que subyacen al comportamiento individual y a la experiencia de la persona”. 15 El estudio de la personalidad continúa siendo un tema importante y se configura alrededor de tres modelos vigentes: el clínico, el correlacional y el experimental. El modelo clínico da prioridad al estudio a profundidad de los individuos. El modelo correlacional busca explorar diferencias individuales mediante estudios de tipo encuesta en grandes muestras de población. El modelo experimental busca establecer relaciones causa-efecto a partir de la manipulación de variables. Si bien existen diferentes posiciones respecto al nivel de tecnicidad de cada modelo, en la actualidad cada uno de ellos agrupa un conjunto de teorías de gran utilidad para el trabajo aplicado del psicólogo. Para entender a que se refiere un perfil psicológico es necesario mencionar que estos son utilizados principalmente por psicólogos profesionales en: 1) El área de recursos humanos para la selección de personal. 2) Áreas de criminología en la resolución de casos donde se han cometido delitos. 3) Hospitales con el fin de proveer una ayuda clínica. Desde una perspectiva del área de recursos humanos los perfiles psicológicos son utilizados para deducir el comportamiento de la persona entrevistada. Un perfil psicológico define las cualidades, comportamientos y talentos que tienen ciertas personas.
15
Cloninger, Susan , Teorías de la personalidad, pág. 57 14
En el competitivo mundo laboral de hoy, las empresas deben asegurarse de que el nuevo personal que contraten sea el más idóneo. Para hacerlo los requisitos de ingreso que ponen han ido en aumento, y uno de ellos es el famoso examen psicológico, o, como también se le llama, el "perfil psicológico" del postulante a un empleo. El perfil psicológico puede definirse como el conjunto de características y rasgos que deben tener los nuevos empleados que se contraten para desempeñar bien un cargo. Este perfil psicológico se construye tomando en consideración varios factores, comenzando en primer lugar por la descripción de cargo. Cada empresa define las características que deben tener las personas para ocuparan cierto cargo. Y estas características no solamente son técnicas, como el nivel de estudios o la especialización, sino más sutiles, como el tipo de personalidad y el carácter, el nivel intelectual, etc. Por otro lado, considerado desde una perspectiva de criminalística el perfil psicológico es mejor conocido por la práctica que por su nombre mismo, debido a que la determinación del perfil involucra la investigación del comportamiento del delincuente y los motivos que lo llevaron a realizarlo, siendo el perfil psicológico una de las herramientas más importantes para la investigación en un intento por orientar la investigación. El análisis de los hábitos y rituales del criminal permite a los investigadores localizar las similitudes con los crímenes anteriores, para realizar esto los investigadores utilizan tanto enfoques inductivos como deductivos. En el enfoque deductivo se asume que cuando una persona realiza un delito, dicha persona tendrá razones similares, sino es que razones iguales para cometer dicho delito. Sin embargo, estas asunciones han sido fuertemente cuestionadas. El enfoque deductivo representa un proceso que evita la generalización y los promedios, este método implica un estudio exhaustivo de los sospechosos. Desde un punto de vista puramente psicológico, el perfil se define como un informe en forma de diagrama de varias puntuaciones de una persona en escalas presumiblemente comparables donde se han utilizado técnicas proyectivas. O una serie de puntuaciones que pueden ser puestos en forma de diagramas. Un test psicológico constituye esencialmente una medida objetiva tipificada de una muestra de conducta. Un test es una técnica sistemática que compara la conducta de dos o más personas. Se denomina Técnicas proyectivas a un conjunto de pruebas, claramente diferenciadas, que se caracterizan por ser una metodología propia que consiste básicamente en presentarle a un sujeto de una forma determinada, un material ambiguo, aunque fijo y estandarizado; el sujeto a partir de ese material, debe organizar libremente su respuesta. 15
La organización de las respuesta dependerá no tanto de las características intrínsecas del estimulo como de las condiciones internas del sujeto. 16 Con base en la definición anterior, se puede enunciar que el perfil psicológico se determina en base al patrón de puntuaciones de una persona en varias partes de un tests de personalidad. 3.3 HERRAMIENTAS PARA DEFINIR PERFILES PSICOLÓGICOS En la actualidad existen varias herramientas que son utilizadas como ayuda para identificar diversos tipos de perfiles psicológicos y así saber si es conveniente o no integrar al candidato al grupo de trabajo. Es tan amplio el tema de psicología, que para poder identificar los perfiles psicológicos se necesitan aplicar muchos instrumentos, tales como test, cuestionarios o encuestas, y a su vez cada uno sirve para determinar solo un aspecto del aspirante. Por ello existen distintos tipos de test o herramientas para definir la personalidad, inteligencia o coeficiente intelectual de una persona, y a continuación se describirán algunos de ellos. 3.3.1 HERRAMIENTAS PARA DEFINIR PERSONALIDAD Como se ha mencionado la determinación de perfiles psicológicos exige evaluar diversos aspectos como la personalidad del individuo, existen múltiples herramientas para la determinación de la personalidad del individuo, el estudio de la personalidad actualmente es un reto para la psicología moderna, puesto que la aplicación de las herramientas no garantiza al 100% que la personalidad del individuo sea la que se determina con las herramientas. A continuación se presentan las herramientas más utilizadas por los psicólogos para determinar la personalidad. 3.3.1.1 MMPI Este test consiste en 550 afirmaciones que el sujeto debe clasificar como Verdaderas o Falsas, si es que son aplicables o no a sí mismo. Los resultados obtenidos corresponden a su puntaje en cuatro escalas de validez, que tienen como propósito detectar actitudes desviadas al responder al test y que permiten evaluar lo confiables que son las respuestas de la persona evaluada. (Véase sección de Anexos sección 3.3.1.1-A página I.) Y diez Escalas Clínicas, para sirven para evaluar las diversas características de la persona evaluada. (Véase sección de Anexos sección 3.3.1.1-B página I.)
16
Gloria Aguirre Llagostera, Gloria, Los Test Proyectivos, Pág. 24 16
Este test se puede aplicar en forma individual o colectiva y tiene cuatro formas de aplicación: •
Cuadernillo de tapas blandas o duras
Consiste en un cuadernillo que contiene impresas en la primera página las instrucciones y en las siguientes las 550 afirmaciones que forman el test. Se le entrega además a la persona a evaluar una hoja de respuestas donde debe marcar si la afirmación es Verdadera o Falsa al ser aplicada a él. Tarjetas
•
En esta forma cada una de las 550 afirmaciones está escrita en una tarjeta, las que encuentran ordenadas en una caja, que incluye las instrucciones en su tapa. Además esta caja contiene tres tarjetas más grandes con las etiquetas FALSO, VERDADERO Y NO SE. Esta forma se usa preferentemente en sujetos con capacidad mental y educación limitada, sujetos algo confusos y/o con dificultades visuales •
Versión grabada en cinta magnética
En esta forma las afirmaciones están grabadas en una cinta y después de cada una de ellas se produce una pausa en la que se graba la respuesta del sujeto ya sea por sí mismo o por el examinador. Esta forma se usa preferentemente con sujetos analfabetos o con otras incapacidades que no les permite responder al test en las formas antes mencionadas. •
Formas Abreviadas
Debido a la extensión del tiempo que necesita el sujeto para responder al test, se han desarrollado algunas formas abreviadas de él, las que sin embargo, como cualquier forma abreviada de cualquier test, implican una pérdida de información. La forma abreviada que más es aceptada consiste en aplicar sólo aquellos enunciados que forman parte de las Escalas de validez y de las Escalas clínicas básicas. Para este caso, en la forma colectiva se instruye al sujeto para que responda las primeras 366 afirmaciones y 33 aseveraciones adicionales que están dispersos en el cuadernillo. Obviamente un procedimiento de este tipo implica dificultades para el sujeto que puede confundirse y para el examinador, ya que si agrupa juntos los enunciados que el sujeto debe responder, debe cambiar algunas plantillas de corrección 17
Se aplica a sujetos de 16 años en adelante sin tope de edad en el límite superior, siempre que se mantengan las habilidades de lectura y un mínimo de 6 años de educación. 3.3.1.2 TEST DE CLEAVER (COMPORTAMIENTO / LIDERAZGO) 17 El test de Cleaver proporciona una descripción completa de la personalidad del individuo, haciendo énfasis en sus aptitudes para realizar diferentes labores sociales, su capacidad para desenvolverse con otras personas y relacionarse con ellas. Realiza un pronóstico de la forma en que este individuo reacciona ante determinadas circunstancias y también de sus reacciones y actitudes típicas bajo situaciones de presión. Se sugiere que tipo de actividad realizaría con más eficiencia y qué cosas motivan al individuo, orientando sus necesidades y preferencias. Para realizar esta valoración se basa en cuatro escalas que se calculan partiendo de la auto descripción de la persona: D – Empuje I – Influencia S – Constancia C – Apego Finalmente, se describen las tendencias de la actitud de este individuo en situaciones bajo presión y se enumeran sus preferencias y necesidades. En general esta descripción completa que brinda este test sobre una persona permite evaluar su capacidad para desempeñar determinada labor social y proporciona a sus superiores una visión general de lo que puede esperarse de ella y de las condiciones que deben rodear a este individuo para que pueda obtener los mejores resultados en su trabajo. 3.3.1.3 Test 16PF18 El desarrollo del 16PF se inicia con la reducción mediante la eliminación de sinónimos realizada por Cattell. Comenzando con 4504 rasgos reales de personalidad encontrados en el lenguaje inglés (Allport & Odbert, 1936), logró disminuir la cantidad a 171 términos que abarcaban todo lo cubierto por la lista original. Prosiguió su labor con la ayuda de un grupo de estudiantes 17
Universidad de las Americas Puebla,Test de Cleaver, http://catarina.udlap.mx/u_dl_a/tales/documentos/mps/mendoza_c_a/capitulo2.pdf, 18 Evaluación Psicológica en el 2000 – A. Cordero 18
universitarios que se dio a la tarea de evaluar a sus compañeros basándose en estos 171 términos. Los resultados fueron intercorrelacionados y sometidos a un análisis factorial, logrando una reducción a 36 dimensiones. Al realizar más investigaciones analizando factorial mente estas 36 dimensiones, Cattell logra reducir la personalidad a 16 dimensiones o factores básicos. Estas 16 dimensiones básicas de la personalidad fueron empíricamente estudiadas, tanto con grupos normales como con grupos clínicos, por espacio de diez años. Basándose en estas dimensiones, Cattell desarrolla la primera versión del 16PF en el año 1949. La prueba medía la personalidad humana por medio de 16 factores que eran funcionalmente independientes y poseían un significado psicológico específico al derivarse directamente de una teoría general de personalidad, la Teoría de Sistemas Basados en la Estructura de Cattell. La normalización de la prueba se condujo de una manera reflexiva; se tomaron en consideración varios aspectos de importancia. Existen normas separadas para hombres, normas separadas para mujeres y normas combinadas (apropiadas tanto para hombres como para mujeres) para cada uno de los siguientes tres grupos de estadounidenses: 1) adultos; 2) estudiantes universitarios; 3) estudiantes de cuarto año de escuela superior. Este colectivo provee para la disponibilidad de nueve normas diferentes. 3.3.1.3.1 FORMAS DEL 16PF Existen cinco formas del 16PF: A, B, C, D & E. Todas miden los mismos factores, son evaluadas de la misma manera y sirven para obtener la misma información. La diferencia entre las formas estriba en que están diseñadas para ajustarse a las diversas circunstancias de la persona y del examinador al momento de administrar la prueba. Específicamente varían en el tiempo requerido para administrar la prueba y en el nivel de lectura en que se encuentre la persona a quien se le administrará la prueba. La Forma A es la versión estándar para adultos, y la Forma B es una forma alterna de la Forma A. Ambas contienen 187 elementos, ofreciendo una cantidad de 10 a 13 elementos para la medida de cada factor. El tiempo de administración que requieren es de 45 a 60 minutos. Estas formas están diseñadas para personas con un nivel de lectura equivalente a un séptimo u octavo grado de escuela intermedia. La Forma A es la que se utiliza con mayor frecuencia. Las Formas C y D son similares a las Formas A y B, pero contienen una menor cantidad total de elementos; ofreciendo siete elementos para la exploración de cada factor. El tiempo de 19
administración que requieren es de 25 a 35 minutos, lo cual es muy conveniente si la disponibilidad del tiempo es limitada. Esto también disminuye la probabilidad de que la persona se vea afectada por el cansancio o le resulte tedioso el proceso de administración. El nivel de complejidad es menor que el de las Formas A y B, ya que están diseñadas para personas con un nivel de lectura equivalente a un sexto grado de escuela elemental. Otro atractivo de las Formas C y D es que contienen una escala de Distorsión Motivacional para detectar si la persona está concientemente tratando de proyectar una imagen más positiva y aceptada socialmente. La Forma E está diseñada para personas con problemas de lectura, específicamente con un nivel equivalente a un tercer o cuarto grado de escuela elemental. Esta prueba es de particular importancia si se está tratando a personas sometidas a una serie de desventajas educativas, que han repercutido en habilidades limitadas. 3.3.1.4 TEST DE LUSCHER O TEST DE LOS COLORES 19 El Test de los Colores es un test que toma como base teórica los principios de la Psicología Funcional que son las Teorías que dentro del campo de la Psicología encuadran el tema de la elección cromática, como una temática que también brinda información sobre la Personalidad humana. Nos permite evaluar y diagnosticar el equilibrio emocional así como también el equilibrio psicosomático de un individuo en un momento determinado. Es decir, que cualquier alteración psicológica y orgánica puede ser detectada en esta Técnica. El mérito de esta técnica es que le permite al entrevistador entrenado, aun sin analizar en profundidad en primera instancia los significados de la posición de cada color. La versión abreviada del Test de los Colores consta de 8 colores, esta versión ha sido la más difundida a nivel mundial y es la que se utiliza tanto para el ámbito clínico como el laboral. son estos: · Azul (1) · verde (2) · amarillo (3) · rojo (4) · violeta (5) · marrón (6) · gris (0) · negro (7) El Test consiste básicamente en elegir las tarjetas de colores, de acuerdo a cuales se elijan primero tendrán un significado particular para cada elección. COLORES PRIMARIOS: 19
Test de Los Colores,
www.psicologiaenlinea.com.mx/test/colores.htm , 20
Este grupo está conformado por: el color azul (1), el verde (2), el amarillo (4), el rojo (3). El lugar de estos colores más allá del orden es decir no varía la esencia de ser un color primario si el azul esta en primer lugar o en cuarto, lo mismo con el resto de los colores. Psicológicamente el grupo de colores primarios está asociado a necesidades humanas vitales y básicas. En el caso del azul la necesidad de equilibrio psicosomático, de bienestar satisfacción del sujeto tanto en sí mismo, como en sus necesidades de afecto y reconocimiento del otro, también llamadas necesidades de afiliación. Para el color verde la necesidad de autoafirmarse, de crecimiento, ligada a la autoestima, y a la posibilidad de ser autónomo y tener una individualidad que realice al sujeto, pero que a la vez le permita diferenciarse del resto. En el color rojo, se observa la necesidad de actividad, de obrar, de la acción exitosa, la satisfacción instintiva, en tanto el rojo está asociado a las emociones primarias, a la sexualidad, y a la agresividad. Es la fuerza que guía al hombre a ir más allá de sus límites, la reproducción de su especie, pero también de la competitividad y la agresión. Finalmente el amarillo se relaciona con la necesidad de trascendencia es decir la necesidad de autorrealización, lo que involucra la motivación del sujeto para crecer, aspirar a un mayor desarrollo en las distintas áreas de su personalidad, esto se relaciona con lo que en Psicología se le llama a la presencia de la capacidad de prospección (fantasear sobre el futuro) en el sujeto y su lugar como indicador de salud. 3.3.2 HERRAMIENTAS PARA DEFINIR NIVEL INTELECTUAL Además de querer saber la psicología de los aspirantes es importante conocer que tan inteligente es, dado que en ocasiones una persona puede ser inteligente, pero no tener una mala psicología. Las herramientas utilizadas para determinar la inteligencia de una persona se explican a continuación. 3.3.2.1 TEST DE WECHSLER20 Esta prueba tiene por objetivo medir la inteligencia del adulto, dentro de un enfoque global de ésta.
20
Tiberius Molina, Mª José, Correlación entre la escala Wechsler y Stanford-Binet, www.molwick.com/es/testci-estudio/1e35-wechsler-stanford-binet.html , 21
El WAIS (Wechsler Adults Intelligence Scale) es un test construido para evaluar la inteligencia global, entendida como concepto de CI (Coeficiente Intelectual), de individuos entre 16 y 64 años, de cualquier raza, nivel intelectual, educación, orígenes socioeconómicos y culturales y nivel de lectura. Es individual y consta de 2 escalas: verbal y de ejecución. La Inteligencia, tomada desde un punto de vista global, está compuesta por habilidades cualitativamente diferentes, pero no independientes. Pero ésta suma de habilidades no sólo se expresa en función de su calidad, sino también de factores no intelectuales como puede ser la motivación. La inteligencia implica cierto grado de competencia global. El test consta de 11 pruebas, que se presentan a continuación en el orden de aplicación: Escala Verbal. •
Subtest de información.
•
Subtest de comprensión general.
•
Subtest de aritmética.
•
Subtest de semejanzas.
•
Subtest de retención de dígitos.
•
Subtest de vocabulario.
Escala de Ejecución •
Subtest de completación de figuras.
•
Subtest de diseño de cubos.
•
Subtest de ordenamiento de figuras.
•
Subtest de ensamble de objetos.
•
Subtest de símbolos de dígitos.
Para poder analizar los resultados del test de escala verbal y el test de escala de ejecución, que a su vez se dividen en los subtes presentados anteriormente, se deben tomar en cuenta los siguientes puntos: I.
DISCRIMINACION. Los subtests de la prueba Wechsler han sido distribuidos de la siguiente forma, dividiéndose en 3 grupos de reactivos: •
El 1° son todos aquellos reactivos que todos los examinados pueden contestar, ya sea que tengan o no instrucción escolar,
El 2°,son aquellos reactivos que se han diseñado para ser contestados por
•
candidatos que cumplan con enseñanza escolar media, y El 3°, son los reactivos diseñados para ser contestados por candidatos con
•
instrucción especializada.
22
Los análisis estadísticos indican que efectivamente los reactivos de esta prueba, miden la inteligencia global del sujeto, basándose en el conjunto de habilidades cualitativamente diferentes pero no independientes. II.
DIFICULTAD. Existe dificultad en esta prueba, ya que se trata de una prueba de ejecución máxima, en la que los reactivos tienen respuestas correctas y se obtiene un puntaje determinado por ellas.
III.
ALTERNATIVAS APROPIADAS. Las escalas de Wechsler son compuestas, verbales y de ejecución, formadas por test precisos, denominados "subtests". Por un lado, son escalas heterogéneas intertest, ya que miden distintas funciones y por ende, distintos factores en cada uno de ellos; por otro lado son escalas homogéneas intratest, porque cada subtest mide un solo factor en toda su amplitud.
IV.
ENSAMBLAJE DE LA PRUEBA •
Respuesta de velocidad y poder: prueba de símbolos(para velocidad); pruebas de aritmética de solución de problema(para poder)
•
Prueba de ejecución máxima, ya que es una prueba de rendimiento
•
Prueba que tiene una parte de papel y lápiz, como la prueba de símbolos; una parte de ejecución, como la formación de figuras por medio de cubos y la de ensamblaje de objetos, y una verbal.
V.
ESTANDARIZACIÓN. APLICACIÓN
•
Se aplican los 11 subtests en el orden en que se presentaron en la Elaboración de Reactivos. El tiempo que tome la aplicación, depende de la práctica del examinador y la personalidad y capacidad del examinado;. La aplicación se puede hacer en 1 o 2 sesiones y puede abarcar desde una hasta varias horas, en caso de un sujeto muy superior o en el de uno deficiente mental profundo, respectivamente. •
LIMITES DE TIEMPO Los subtest que presenta límites de tiempo son: 23
Escala
Subtest
Sección
Verbal
Aritmética
Problemas 15-120
Verbal
Símbolos
-----
90.
-----
60 (sencillos).120 (complejos).
Ejecución Diseño de cubos
Ejecución Ensamblaje de objetos ----
Límite de Tiempo (seg.)
120-180.
CALIFICACIONES
•
El Wais cuenta con: •
Un Protocolo para registrar las respuestas, para lo cual se recomienda anotar:
Tiempo de respuesta.
Respuestas "ad verbatim".
•
•
Comentarios, gesticulaciones, entre otros.
Algunos subtest en los cuales existen reactivos con respuestas estandarizadas, que indican una clave para la clasificación por puntaje (2,1 o 0 puntos), de la respuesta, dada por el individuo.
•
Un manual que permite un procedimiento correcto para la clasificación objetiva de las respuestas dadas por el examinado. Este manual de calificaciones proporciona respuestas aceptables y variables permitidas. Lo que permite una calificación objetiva de las respuestas dadas.
VIII.
ANÁLISIS TÉCNICO DE LA PRUEBA. 1. VALIDEZ. •
Concurrente: se establece con otra prueba, con la cual se obtuvo correlación 0.82, considerada alta. Esto indica que ambas pruebas están midiendo lo mismo en un alto grado.
•
Predictiva: también ha sido demostrada sobre bases empíricas, ya que puede establecer la conducta futura de un individuo.
2. CONFIABILIDAD. Se han realizado correlaciones test - re-test, con resultados satisfactorios en puntajes desde 0.60 a 0.80 (coeficiente de confiabilidad). En CI total tiene confiabilidad aproximada de 0.90 3. NORMAS.
24
Existen instrucciones para obtener puntajes bruto y standard, CI y coeficiente de eficiencia. •
Puntaje Bruto: se suma el puntaje de cada pregunta, de cada subtest.
•
Puntaje Estándar : se toma como referencia el puntaje bruto y se usa la escala de conversión desde puntaje bruto a standard. Se ubica el puntaje bruto de cada prueba para adjuntarlo al standard. Se suman los puntajes standard de los 6 subtest de la Escala Verbal, así como los de la Escala de Ejecución.
•
CI : El WAIS entrega 3 CI por examinado: verbal. manual y total. Se debe calcular la edad del sujeto (anotar fecha de nacimiento y de aplicación del test), y con ella se ubica en el índice, la tabla de conversión de puntaje standard a CI, correspondiente al grupo de edad a la que pertenezca el individuo. Se ubica el CI correspondiente al CI Verbal y al Manual.
Con el resultado de esta operación, se busca dentro de la clasificación de la inteligencia de Wechsler:
CI
Clasificación
130 o más
Muy Superior
120-129
Superior
110-119
Normal Brillante
90-109
Normal
80-89
Subnormal
70-79
Limítrofe (Borderline o Fronterizo )
50-69
Deficiente Mental Superficial
49-30
Deficiente Mental Medio
29 o menos Deficiente Mental Profundo
25
3.3.2.2 TEST DE TERMAN MERRILL 21 Es una herramienta que tiene como objetivo primordial evaluar la capacidad intelectual de las personas con un grado escolar suficiente, a través del cual pueden comprender problemas expuestos en forma escrita. La prueba de Terman Merril permite detectar la brillantez intelectual de la persona en las que se evalúa los siguientes elementos: •
Información cultural
•
Juicio lógico
•
Razonamiento verbal
•
Habilidad numérica
•
Atención-Concentración
•
Clasificación y Discriminación Selectiva.
Este test está dirigido a especialistas en las áreas organizacionales, técnicas y administrativas interesados en: Reclutar y Seleccionar Personal idóneo para su empresa.
•
Motivar, Capacitar y Desarrollar el potencial de su personal.
•
Desarrollar efectivos Planes de Carrera, Orientación y Consejería.
•
•
Integrar o Reorganizar sus Equipos de Trabajo.
•
Identificar candidatos potenciales para efectos de Promoción.
3.3.3 HERRAMIENTAS PROYECTIVAS Las técnicas proyectivas son instrumentos utilizados por los psicólogos para revelar aspectos inconscientes de la conducta del sujeto al que se le es aplicado. La psicóloga clínica Teresa Pons Amenos señala que “Los distintos test proyectivos ofrecen estímulos de estructuración ambigua o de formas muy definidas pero poco usuales. Este rasgo se mantiene como elemento común, aunque el entrevistado necesite apelar a distintas conductas, ya sean verbales, gráficas o lúdicas. Cada proyección proyectiva, valga la redundancia, es una creación que expresa el modo personal de establecer contacto con la realidad interna y externa, dentro de una situación vincular 21
www.imageninstitucional.com/WAISYTERMAN.htm , 26
específica, configurada por la lámina o por la consigna con la que está ligado en cada momento el proceso.” 22 El examinado proyecta sus necesidades y tensiones, su mundo emocional, sus concepciones privadas del mundo físico y social, y sus esfuerzos por organizar su pensamiento, su conducta y relacionarse con esos mundos. A continuación se presentan las principales herramientas proyectivas utilizadas durante la determinación de perfiles psicológicos. 3.3.3.1 HTP – HOUSE/TREE/PERSON (CASA/ÁRBOL/PERSONA) 23 El test de la Casa/Árbol/Persona (HTP por sus siglas en ingles) es un test proyectivo basado en la técnica gráfica del dibujo, a través del cual se realiza una evaluación global de la personalidad del individuo, su estado de ánimo, emocional, etc. La realización de dibujos es una forma de lenguaje simbólico que ayuda a expresar de manera bastante inconsciente los rasgos más íntimos de la personalidad. Con los dibujos se recrea cuál es la manera en que se ve el individuo así mismo, así como la forma que verdaderamente le gustaría ser. Cada dibujo constituye un autorretrato proyectivo a diferente nivel: con el dibujo de la persona se crea una autoimagen muy cercana a la conciencia, incluyendo los mecanismos de defensa que utiliza el individuo en la vida cotidiana. En el dibujo de la casa se proyecta la situación familiar en la que vive el individuo mientras que el dibujo del árbol representa el concepto más profundo de nuestro Yo. Es un test muy valioso por el hecho de poder aplicarse a personas de todas las edades, desde niños a adultos. Características y pasos en su administración 1. El orden en que se presentan los gráficos dentro del test . Se debe solicitar en primer lugar el Test de la casa, luego el del árbol, y finalmente el de la persona. 2. El mismo tipo de papel . Papel tamaño carta estándar, aunque hay algunos países que no tienen este tipo de formato, en ese caso puede utilizarse el tamaño A4. 3. Mismo tipo de lápiz. El tipo de lápiz a utilizar es el lápiz negro nº 2 HB (tipo faber) que es de mina semidura. 4. Uso de la goma de borrar. Está permitido el uso de la goma de borrar en todos los test proyectivos gráficos. 22 23
http://www.grafologiauniversitaria.com/tecnicas_proyectivas.htm , http:/ /www.psicoactiva.com/servicios/s_htp.asp,
27
5. Cantidad de hojas. La cantidad de hojas es la necesaria para cada test, el común de las técnicas requiere una hoja por test Se presenta un ejemplo en el Dibujo 3.1
24
Dibujo 3.1- Ejemplo de test HTP
3.3.3.2 TEST DE LA FIGURA HUMANA DE KAREN M MACHOVER
25
El cuerpo obliga a eliminar para elegir. Con esto, el cuerpo se convierte en condición, estructura y elección de la persona. Es el motivo por el cual se puede juzgar al hombre, por su cuerpo: por el significado que tiene para él: por su actitud ante el mismo. Por medio del cuerpo se manifiesta lo que se es y lo que se quiere en lo más profundo del ser. El cuerpo nunca miente. Schilder consideró la imagen del cuerpo humano como una estructura antropológica, es decir, psicológica total. De ahí que la conciencia que una persona tiene de su personalidad no será más que la conciencia que tiene de su esquema corporal, proyectado en definitiva en el dibujo. La persona que se lleva dentro, lo que es en realidad, lanza sus vivencias al exterior, a pesar del control consciente. El dibujo de la figura humana no sólo expresará ciertos pensamientos, ciertos sentimientos, ciertas aptitudes prácticas, sino que proyectará una imagen total de sí mismo, sus reacciones emocionales, sus actitudes afectivas.
24
www.psicoactiva.com/servicios/s_htp.asp , La figura humana, http://www.psicologiaenlinea/test/kmachover.htm ,
25
28
Un esquema corporal es siempre la expresión de un yo y de una personalidad rodeada de un medio ambiente e inmersa y afectada por el mundo. Una expresión no puede divorciarse de lo que expresa. La imagen del cuerpo es el reflejo de todo lo que el sujeto ha vivido en sus relaciones con lo que le rodea. Al proyectar en el dibujo la imagen corporal se refleja la tendencia vital total, determinada por una combinación de factores culturales, de entrenamiento personal y psicodinámicos. Todo dibujo tiene una historia organizada y dinámica de la que surgió, y los pensamientos y sentimientos inconscientes, en el sentido psicoanalítico de la palabra no estarán ausentes en la construcción de esa historia. Es, por tanto, la imagen corporal una síntesis en cualquier momento, de nuestras experiencias emocionales, vividas a través de nuestro cuerpo. De ahí que el dibujo llevará la marca de la vida emocional. Y aunque el esquema corporal es algo variable, dinámico y en continuo desarrollo, siempre la persona humana se encuentra atada y ligada por su imagen corporal, y, en consecuencia, su evidente tendencia a una estabilidad relativa de la misma. Karen Machover llega en 1949, con esta técnica a investigar la personalidad sin distinción de edad, educación, estado mental o medio cultural. Machover consigue explorar la influencia de la cultura en el desarrollo de la imagen corporal normal y patológica, juntamente con los rasgos, actitudes y conflictos. Baste citar las palabras de su autora para captar la importancia y condicionamientos del test: “El análisis de los dibujos, al igual que otras técnicas proyectivas, requiere que el psicólogo clínico posea conocimientos acerca de los dinamismos de la personalidad. Es una técnica, un instrumento que requiere un artesano que lo maneje; no es la puerta secreta de la personalidad. Requiere el talento suficiente para calar en lo esencial y dirigir la atención al meollo y motivaciones de la personalidad. La experiencia y la práctica clínicas contribuyen a afirmar, y aquilatar su administración”. Concluyendo, se afirma que el dibujo de la figura humana (dibujo 3.1) puede ser una proyección de: La imagen corporal, o del concepto de sí mismo.
•
•
Las cualidades que pertenecen al propio sujeto, proyectadas con frecuencia simbólicamente.
Las actitudes hacia otra persona en el medio ambiente
•
La imagen del yo ideal.
•
Los patrones de hábitos
•
29
Efectos de circunstancias exteriores.
•
Tono emocional- expresión del estado de ánimo.
•
Las actitudes hacia la vida y la sociedad en general.
•
Tensiones emocionales –conflictos.
•
Experiencia o modo organizativo.
•
Los impulsos
•
Ansiedades
•
3.3.4 HERRAMIENTAS PARA DETERMINAR APTITUD Algunas herramientas se utilizan, más que para definir perfiles, para apoyar a la persona que lo realiza a saber que aptitudes tiene. Aunque este tipo de herramientas se pueden aplicar a personas de todas las edades, principalmente son dedicadas a niño. Puede resultar útil implementar este test para saber si el aspirante es apto para el puesto, aunque no ayuda a determinar perfiles PSICOLÓGICOS. 3.3.4.1 KUDER VOCACIONAL 26 El objetivo del Cuestionario General de Intereses, o de Kurder, es evaluar intereses de modo general, tanto en estudiantes de nivel primario, en los últimos años, y secundario como en adultos que reingresan al mercado laboral. Está compuesto por 168 tríadas que exploran distintas actividades, en cada tríada, el sujeto debe indicar cuál es la que más y la que menos le agrada, y una escala de verificación, que permite detectar cuándo se ha respondido con desidia, con falta de sinceridad o sin haber comprendido las consignas. A partir de su evaluación se obtiene un informe que incluye un ranking de preferencias basado en las diez escalas de Kuder y una ponderación de la actitud de respuesta al cuestionario. Los intereses evaluados por la técnica son los siguientes: externo, mecánico, cálculo, científico, persuasivo, artístico, literario, musical, social y metódico. Dado que la exploración del campo de intereses es muy útil para ayudar a los adolescentes a tomar decisiones relativas a sus futuras ocupaciones, este cuestionario es utilizado en la orientación y planificación vocacional y ocupacional.
26
Kuder, Frederic, Cuestionario General de Intereses, www.uylibros.com.uy/verlibro.asp , 30
En particular, en la orientación del nivel primario al secundario y para ayudar a delinear los objetivos generales al estudiante que va a ingresar a la universidad o que proyecta emplearse próximamente. La duración de la aplicación de esta evaluación está entre los 45 y los 60 minutos, y se puede aplicar de manera individual, colectiva o incluso de manera automática, a uno mismo.
31
CAPÍTULO IV. IMPACTO DE LA DELINCUENCIA INFORMÁTICA SOBRE LAS ORGANIZACIONES En este capítulo se dan a conocer los índices y estadísticas sobre la delincuencia informática, identificando a los tipos de empresas que se ven afectados por esta problemática y los tipos de delitos que se presentan con mayor frecuencia.
31
4.1 DELINCUENCIA INFORMÁTICA EN LAS ORGANIZACIONES
Las tecnologías de información y comunicaciones comunicaciones han cambiado las sociedades tal y como se se conocían, dada la aplicación de tecnologías de información con la finalidad de obtener productividad y por su participación en la evolución de los procesos laborales, cada vez es más común el uso de las mismas. Las TI (Tecnologías de Información) son elementos que juegan un papel muy importante para cualquier tipo de organización, justificando esta importancia en la necesidad de información en tiempo real que las organizaciones actuales demandan. Sin embargo, este rápido crecimiento también ha traído una nueva forma de delincuencia, conocida como delincuencia informática. La mejor forma de llegar a una conceptualización apropiada de este término es la utilización de tecnologías digitales en la comisión del delito; que en la mayoría de las ocasiones se trata de tecnologías propias de computación o de comunicaciones. A nivel internacional internacional tanto organizaciones organizaciones gubernamentales gubernamentales como privadas privadas especialmente especialmente las bancarias han suscitado una relevante relevant e preocupación por la prevención de la misma, debido a que este tipo de actos han cobrado pérdidas millonarias, sin contar la pérdida de confianza en las instituciones de proporcionar seguridad. 4.1.1
CIFRAS
DEL
IMPACTO
DE
LA
DELINCUENCIA
INFORMÁTICA
A
NIVEL
INTERNACIONAL
Tal ha sido la complejidad de los tipos de delitos informáticos que las organizaciones internacionales han creado diversos organismos para la monitorización y prevención de la delincuencia informática. Como es el caso del IC3 (Internet Complaint Center) cuya función es emitir un reporte de las victimas involucradas con algún tipo delito informático. Así como el CERT que es una asociación entre el Departamento de Seguridad Nacional y los sectores público y privado, creado para coordinar las respuestas a las amenazas a la seguridad de Internet. El objetivo de estas asociaciones es determinar el nivel de seguridad de las empresas, así como determinar el impacto de los delitos informáticos en los Estados Unidos de América. Los datos obtenidos en estos estudios han sido reveladores, justificando la enorme preocupación a nivel internacional por mitigar estos actos. Entre lo más destacable del reporte emitido por el IC3 correspondiente al año 2008 se puede incluir lo siguiente:
32
Grafica 4.1 Perdida de dólares anuales (en millones) 27 Como se puede observar en la gráfica 4.1 las pérdidas monetarias anuales alcanzaron su máximo valor histórico para el año 2008, lo que significa que las pérdidas han ido en aumento excediendo el valor registrado en el año 2007, llegando a una pérdida de más de 264 millones de dólares, esta gráfica muestra claramente el aumento de este fenómeno, cada año la cifra es mayor. En el mismo reporte emitido por esta institución se menciona que en promedio los hombres pierden más dinero que las mujeres. En el reporte del IC3 se exponen cifras de las quejas recibidas durante el año referente a los delitos cometidos. A continuación se presentan los porcentajes totales de las quejas recibidas durante el año 2008. Queja
%Quejas
Mercancia General (No entrega)
32,90%
Subastas
25,50%
Robo a T arjetas de Credito
9,00%
Estafas de presuntos amigos por la red
7,90%
Fraude por computadora
6,20%
Fraude de cheque falso
5,40%
Ofertas de dinero nigeriano
2,80%
Robo de identidad
2,50%
Fraude a Instituciones Financieras
2,20%
Amenazas
1,90%
Tabla 4.1 Top 10 IC3 2008 (Porcentajes totales de las quejas recibidas)
28
Durante el 2008 el delito más cometido fue el incumplimiento de entrega de mercancía registrando el 32.9 % del total de quejas recibidas, así como subastas por Internet con un 25.5 25.5 %, el robo por
27 28
2008 Internet Internet Crime Report, http://www.ic3.gov/media/annualreport/2008_ic3report.pdf http://www.ic3.gov/media/annualreport/2008_ic3report.pdf ,, 2008 Internet Internet Crime Report, http://www.ic3.gov/media/annualreport/2008_ic3report.pdf, 33
medio de transferencias bancarias por medio de tarjetas de crédito o debito ocupo el 9% del total de las quejas recibidas, mientras que los delitos como fraude por computadora, fraude de cheque falso, robo de identidad y fraude a Instituciones Financieras registran un porcentaje menor debido a los esfuerzos de las organizaciones durante el año por evitar estos tipos de delitos. Es de suma importancia presentar las estadísticas del impacto monetario generado por la delincuencia informática, pero es igual de importante proporcionar información sobre la demografía de los autores del delito. En el mismo informe del 2008 2008 emitido por el IC3 se menciona que en la mayoría de los casos los autores fueron varones (75%) y residían en estados como: California, Florida, Nueva York, Washington, etc. Al hablar de una estadística a nivel internacional de los países donde se alojan los perpetradores de estos actos se tiene lo siguiente:
TOP TEN CIUDADES (PERPETRADORES) (PERPETRADORES) 1. 2. 3. 4. 5.
Estados Unidos Reino Unido Nigeria Canada China
66,1% 10,5% 7,5% 3,1% 1,6%
6. 7. 7. 8. 9. 10.
Sudáfrica Ghana España Italia Rumania
0,7% 0,6% 0,6% 0,5% 0,5%
Figura 4.1 Las diez principales ciudades donde se han detectado delincuentes informáticos
29
Como se muestra en la Figura 4.1 los autores de delitos informáticos también han sido identificados como residentes en el Reino Unido, Nigeria, Italia y Rumania. En realidad las fronteras internacionales son irrelevantes para los delincuentes informáticos. Los cuales
29
2008 Internet Internet Crime Report, http://www.ic3.gov/media/annualreport/2008_ic3report.pdf http://www.ic3.gov/media/annualreport/2008_ic3report.pdf ,, 34
aprovechan cuestiones jurisdiccionales y penales para impedir investigaciones asociadas a múltiples victimas dentro de múltiples estados o condados. Adicionalmente el reporte incluye estadísticas de quejas realizadas vía el sitio Web del IC3, en promedio los afectados han sido en su mayoría hombres de entre 40 y 49 años de edad. Uno de los aspectos más relevantes de este reporte anual, es que México figura dentro de los primeros 10 países con mayor número de quejas por delitos cometidos.
TOP TEN CIUDADES (AFECTADOS) 1. 2. 3. 4. 5.
Estados Unidos Canada Reino Unido Australia India
92,93% 1,77% 0,95% 0,57% 0,36%
6. 7. 8. 9. 10.
Francia Sudáfrica México Dinamarca Filipinas
0,15% 0,15% 0,14% 0,13% 0,13%
Figura 4.2 Diez principales ciudades afectadas por la delincuencia informática 30 Mientras que la mayoría de las quejas provienen de los Estados Unidos, el IC3 ha recibido quejas de otros países incluyendo México. Uno de los elementos que dificulta la investigación y el castigo de estos delitos, es el hecho de que el delincuente y la victima podrían estar localizados en cualquier parte del mundo. Esta es una 30
2008 Internet Crime Report, http://www.ic3.gov/media/annualreport/2008_ic3report.pdf , 35
característica única de la delincuencia informática que la distingue de cualquier tipo de crimen tradicional. Dentro de un ámbito jurisdiccional regularmente se requiere la cooperación de múltiples agencias para resolver este tipo de casos. En el reporte del IC3 del 2008 se emiten estadísticas de los métodos de contacto más utilizados por los delincuentes informáticos.
Gráfica 4.2 Métodos de contacto más utilizados por los delincuentes informáticos 31 Como se observa en la Gráfica 4.2 el método más utilizado de contacto de victimas es por medio del correo electrónico, la necesidad de evitar el spam así como las cadenas resulta una necesidad de tipo urgente, con el fin de evitar y bloquear los medios que utilizan los delincuentes informáticos. Como se puede observar las cifras son reveladoras, lo que es aún más de sorprender es el hecho de que la mayoría de los delitos informáticos no son registrados o denunciados debido a que los grandes corporativos se niegan a admitir que sus sistemas de seguridad han sido evadidos y que son vulnerables a ataques, significa que al hablar de las cifras que ofrece el IC3 en sus reportes anuales se podría estar hablando únicamente de la punta del iceberg de este fenómeno que reporta grandes pérdidas monetarias año con año. 4.1.2 CIFRAS DEL IMPACTO DE LA DELINCUENCIA INFORMÁTICA A NIVEL NACIONAL
En el caso de México, no hay un organismo que alcance estas magnitudes. Sin embargo una de las iniciativas por parte de nuestro país fue la creación del UNAM-CERT el cual se encarga de proveer servicios de respuesta a incidentes de seguridad en cómputo a sitios que han sido víctimas 31
2008 Internet Crime Report, http://www.ic3.gov/media/annualreport/2008_ic3report.pdf , 36
de algún “ataque”, así como de publicar información respecto a vulnerabilidades de seguridad, alertas de la misma índole y realizar investigaciones de la amplía área de cómputo y así ayudar a mejorar la seguridad de los sitios. Las estadísticas más confiables acerca de delincuencia informática las poseen organizaciones como los Bancos y la Policía Federal Preventiva, dado que son las instituciones que están directamente involucradas con estos actos, en el caso del banco dadas las pérdidas monetarias mientras que la PFP es la que se encarga de la investigación de estos delitos, a través de la Policía Cibernética creada en Diciembre del 2002. En un reporte titulado “The Legal Framework on Cybercrime and Law Enforcement in Mexico” (El marco jurídico sobre el delito cibernético y la Aplicación de la ley en México) escrito por el autor Cristo Velasco se muestran estadísticas de la Dirección General de la Policía Cibernética en la cual se habla de un total de 1,229 quejas recibidas asociadas a algún tipo de delito informático, se menciona también que las pérdidas monetarias en México para el año 2006 hacienden a más de 2 millones de pesos mexicanos. Fraude de Comercio Electrónico Amenazas Fraude de Banca en linea Delito Cibernético Crimenes contra menores Phising Hacking Fraude en línea Calumnia Patrullando en línea Sitios Web Ilegales Spam Extorsión Seguimiento de correo Robo de equipo Prostitución Terrorismo cibernético Acoso sexual Total
583 120 94 85 78 58 54 49 42 25 16 15 5 1 1 1 1 1 1,229
Tabla 4.2 Quejas recibidas en la Unidad de Denuncias de Delito Cibernético de la PFP
32
En un estudio realizado por la Academia de Derecho Informático, A.C; se han revelado cifras alarmantes, 843 sitios mexicanos han sido hackeados, lo que significa que en promedio cada día más de 1.5 sitios mexicanos son penetrados y modificados por delincuentes informáticos.
32
The Legal Framework on Cybercrime and Law Enforcement in Mexico, http://www.ciberdelincuencia.org/attachments/CristosMXContribution.pdf , 37
Domin ios Mexicanos Hackeados 750
800
721
700 600 500
515
400
397
300 89
200 100 0 .co m.mx
.g ob .mx
.o rg .mx
.ed u.mx
.net.mx
Gráfica 4.3 Dominios Mexicanos hackeados 33 4.2 ANÁLISIS DE ATAQUES E IMPACTO EN LA ORGANIZACIÓN
Como se sabe las grandes compañías gastan millones de dólares en sistemas de seguridad para la protección de sus datos. En el campo de la informática es común escuchar el término “ataque” el cual se puede conceptualizar como “todas aquellas acciones que suponen una violación de la seguridad a cualquier sistema, en contra de su confidencialidad, integridad o disponibilidad” 34. Históricamente la evolución de los ataques a sistemas de información ha cambiado de forma radical. Al principio los ataques involucraban pocos conocimientos técnicos, los principales ataques provenían del personal interno de las empresas, los insiders (operadores, programadores, administradores) utilizaban sus contraseñas y permisos de acceso para realizar modificaciones a los archivos o registros. Poco a poco el siguiente tipo de ataque consistía en que los outsiders (personas externas a la organización) ingresaban a la red simplemente averiguando una contraseña válida. A través de los años y dada la evolución de la tecnología se han desarrollado formas cada vez más sofisticadas de ataque para explotar “agujeros” en el diseño, configuración y operación de sistemas. La identificación de amenazas requiere conocer los tipos de ataques, el tipo de acceso, la forma operacional y los objetivos del atacante. La Figura 4.3 detalla el tipo de atacante, las herramientas utilizadas, en qué fase se realiza el ataque, los tipos de procesos atacados, los resultados esperados y/u obtenidos y los objetivos perseguidos por los intrusos.
33 34
http://www.delitosinformaticos.com.mx/smh.htm , Sitios Mexicanos Hackeados, http://ataquesinformaticos.blogspot.com/ , Ataques Informáticos,
38
Figura 4.3 Análisis de ataques 35 “Los objetivos de los ataques son agrupados dentro de tres categorías 1) Data Corruption donde la información ha sido corrompida y ahora contiene errores 2) Denial of Service “DoS” servicios que deberían estar disponibles no lo están 3) Leakage en el cual los datos llegan a destinos que no deberían llegar” 36. En 1992 el DISA (Defense Information System Agency) realizo un estudio durante el cual se llevaron a cabo 38,000 ataques a distintos sitios de organizaciones gubernamentales (muchas de ellas militares). El resultado de los ataques desde 1992 a 1995 se resume en el siguiente cuadro.
35
HOWARD, John D, An Analysis of security on the Internet, Pág. 70 http://www.segu-info.com.ar/ataques/ataques.htm , Amenazas Lógicas
36
39
Figura 4.4 Resultados obtenidos por el DISA 37
Es importante señalar que diversos autores exponen diferentes clasificaciones a los tipos de ataques, los cuales pueden ser perpetuados sobre cualquier tipo de red, sistema operativo, usando diferentes protocolos, etc. A continuación se presentan los tipos de ataques utilizados principalmente por Hackers. INGENIERIA SOCIAL La ingeniería social es la manipulación de personas con la finalidad de que realicen acciones que normalmente no ejecutarían o que revelen información necesaria para superar las barreras de seguridad 38. A pesar que la ingeniería social no es una categoría que se involucre directamente con el uso de computadoras o herramientas de hacking, ha sido uno de los tipos de ataques más empleados por los delincuentes informáticos, los que aprovechándose de la confianza de la victima los utilizan para lograr sus objetivos. Este tipo de delito informático es al que más se enfrentan las organizaciones, dado que el atacante utiliza el elemento más vulnerable del sistema que es el factor humano.
37
http://www.disa.mil, Ataques a organizaciones gubernamentales, http://www.segu-info.com.ar/ataques/ataques.htm , Amenazas Lógicas
38
40
Por ejemplo, suele llamarse a un usuario haciéndose pasar por administrador del sistema y requerirle la contraseña con alguna excusa convincente. O bien, podría enviarse un mail (falsificando la dirección origen a nombre del administrador) pidiendo al usuario que modifique su contraseña a una palabra que el atacante suministra. INGENIERIA SOCIAL INVERSA La ingeniería social inversa consiste en la generación, por parte de los intrusos, de una situación inversa a la originada en Ingeniería Social. En este caso el intruso publicita de alguna manera que es capaz de brindar ayuda a los usuarios, y estos lo llaman ante algún imprevisto. El intruso aprovechara esta oportunidad para pedir información necesaria para solucionar el problema del usuario y el suyo propio (la forma de acceso al sistema). TRASHING (CARTONEO) Aunque sea difícil de creer, se han dado casos en los cuales, generalmente un usuario anota su usuario y contraseña en un papelito y luego cuando lo recuerda lo arroja a la basura. Este evento por más inocente que parezca es el que han aprovechado algunos de los delincuentes para hacerse de una llave para entrar al sistema. El trashing puede ser de tipo físico o lógico, como analizar buffers de impresoras y memoria, bloques de discos, etc. ATAQUES DE MONITORIZACIÓN Este tipo de ataque se realiza para observar a la víctima y su sistema, con el objetivo de establecer sus vulnerabilidades y posibles formas de acceso futuro. 39 ATAQUES DE AUTENTICACIÓN Este tipo de ataque tiene como objetivo engañar al sistema de la víctima para ingresar al mismo. Generalmente este engaño se realiza tomando las sesiones ya establecidas por la víctima u obteniendo su nombre de usuario y contraseña. DENIAL OF SERVICE (DoS) Los protocolos existentes actualmente fueron diseñados para ser empleados en una comunidad abierta y con una relación de confianza mutua. La realidad indica que es más fácil desorganizar el 39
http://www.segu-info.com.ar/ataques/tipos.htm , Tipos de ataque 41
funcionamiento de un sistema que acceder al mismo; así los ataques de Negación de Servicio tienen como objetivo saturar los recursos de la víctima de forma tal que se inhabilita los servicios brindados por la misma. ATAQUES DE MODIFICACIÓN – DAÑO Esta categoría se refiere a la modificación desautorizada de los datos o el software instalado en el sistema víctima (incluyendo borrado de archivos). Son particularmente serios cuando el que lo realiza ha obtenido derechos de Administrador o Supervisor, con la capacidad de disparar cualquier comando y por ende alterar o borrar cualquier información que puede incluso terminar en la baja total del sistema. La mayoría de los ataques mencionados se basan en fallos de diseño inherentes a Internet (y sus protocolos) y a los sistemas operativos utilizados, por lo que no son "solucionables" en un plazo breve de tiempo. La solución inmediata en cada caso es mantenerse informado sobre todos los tipos de ataques existentes y las actualizaciones que permanentemente lanzan las empresas desarrolladoras de software, principalmente de sistemas operativos. En un informe publicado por la firma de software de seguridad Webroot Software 40, titulado “El estado de la seguridad en Internet”, se da a conocer que el 43% de las empresas analizadas se han visto obligadas a interrumpir sus operaciones debido a los programas de (malware)
41
.
El objetivo del estudio es alertar a las pymes y grandes empresas del crecimiento en número y sofisticación de los programas maliciosos, con el fin de que se tomen medidas para enfrentarse a este problema. Por su organización, rápido crecimiento y alta peligrosidad, la delincuencia informática se ha convertido en la tercera prioridad para el FBI, sólo superada por la lucha antiterrorista y el contraespionaje. El informe muestra que más del 40% de las empresas encuestadas han sufrido algún tipo de daño en su negocio a causa de programas-espías. El dato más preocupante es que el 26% de las empresas confirmaron haber expuesto información confidencial a causa de estos programas espías.
40
http://www.sbtechnologyinstitute.org , Estado de la seguridad en internet http://www.noticias.com/noticia/43-empresas-se-ven-obligadas-interrumpir-su-actividad-culpa-malware2cg.html , 41
42
A pesar de la gran preocupación a nivel mundial y los esfuerzos realizados por los gobiernos alrededor del mundo. El último informe del Small Business Technology Institute 42 ha develado que el 20% de las empresas ni siquiera tienen una protección anti-virus adecuada, lo que es peor aún, es que en el mismo informe se señala que dos tercios no cuentan con ningún plan de protección de la información, muchas solo adoptan medidas de seguridad después de sufrir pérdidas de datos. En una conferencia realizada el 24 de junio de 2008 por la empresa Security Advisor titulada “Criminología Virtual”, se expuso que el 70% de las empresas sufren pérdidas de datos y que dichas pérdidas se encuentran asociadas a personas que trabajan para la misma empresa 43, señalándose que el 55% usan dispositivos portátiles para llevar datos confidenciales fuera del trabajo 44. A su vez se destaca en el mismo informe que el 92% del personal utiliza el correo electrónico de la empresa para enviar correos comerciales que no tienen relación con el giro de la empresa. Para el 33% de los negocios, una violación grave de los datos podría sacarlos del mercado
45
.
En un reporte publicado por CNN Expansión se da a conocer los sectores más afectados por el problema de la delincuencia informática son 46: •
Gobierno: 60%
•
Finanzas: 33%
•
Cadenas minoristas: 8%
Como se observa la perdida de datos es un problema cotidiano serio, en realidad todas las empresas son afectadas sin importar el sector. En algunas ocasiones las empresas desconocen la seriedad y los alcances de este problema.
42 43
http://blog.segu-info.com.ar/2007_04_01_archive.html , Noticias sobre seguridad http://www.gfihispana.com/es/whitepapers/threat-posed-by-portable-storage-devices.pdf ,2006 CSI/FBI
Encuesta sobre crimen y seguridad de computadoras 44
http://www.mcafee.com/us/enterprise/products/promos/data_loss_protection/default.html , Informe del
Datagate para McAfee/Datamonitor 45
http://latu21.latu.org.uy/es/images/stories/unidades_latu/cdc/primernaday.pdf , Ponemon Institute “Estudio del costo de la violación de datos 46 www.Cnnexpansion.com , Sectores más afectados por el problema de la delincuencia informática 43
CAPÍTULO V. MEDIDAS CONTRA LA DELINCUENCIA INFORMÁTICA En este capítulo se menciona la legislación relacionada al tema de carácter nacional, internacional y del sector financiero relacionada al tema; así como las mejores prácticas que pueden ayudar a la prevención, detección e investigación de los delitos de carácter informático.
43
5.1 LEGISLACIÓN INFORMÁTICA
Una de las características de los delitos informáticos es que pueden ser perpetuados desde casi cualquier lugar del mundo, siendo la legislación existente en cada país uno de los aspectos más importantes para evitar su existencia. Cada país ha tomado medidas contra dicho tipo de delitos, estando plasmada en cada una de sus leyes o tratados. Los países en general han marcado las directrices para evitar el aumento de los delitos informáticos. Sin embargo, al igual que la tecnología crece, las formas y los tipos de delitos por Internet o utilizando sistemas de computo van en aumento. Lamentablemente no todas las leyes se encuentran consolidadas en todos los países, lo que en la mayoría de las ocasiones dificulta la resolución y el castigo de este tipo de delincuentes, que buscan países en los que no está tipificado dicho delito, lo cual les permite evitar el castigo. La falta de una ley a nivel mundial para el castigo de los delincuentes cibernéticos ha generado polémicas alrededor del mundo, lo que sí es un hecho es que se tienen leyes existentes para la disminución de los delitos informáticos, que le son presentadas a continuación. 5.1.1 NACIONAL
47
A. Tratado de Libre Comercio de América del Norte (TLC) Este instrumento internacional firmado por el Gobierno de México, de los Estados Unidos y Canadá en 1993, contiene un apartado sobre propiedad intelectual, a saber la 6a. parte capítulo XVII, en el que se contemplan los derechos de autor, patentes, otros derechos de propiedad intelectual y procedimientos de ejecución. En términos generales, puede decirse que en ese apartado se establecen como parte de las obligaciones de los Estados signatarios en el área que se comenta que deberán protegerse los programas de cómputo como obras literarias y las bases de datos como compilaciones, además de que deberán conceder derechos de renta para los programas de cómputo. De esta forma, debe mencionarse que los tres países también contemplaron la defensa de los derechos de propiedad intelectual (artículo 1714) a fin de que su derecho interno contenga procedimientos de defensa de los derechos de propiedad intelectual que permitan la adopción de
47
http://www.criminalistica.com.mx/index.php/articulos-de-interes/548-delitos-informcos , Delitos informáticos
44
medidas eficaces contra cualquier acto que infrinja los derechos de propiedad intelectual comprendidos en el capítulo específico del tratado. En este orden y con objeto de que sirva para demostrar un antecedente para la propuesta que se incluye en el presente trabajo, debe destacarse el contenido del párrafo 1 del artículo 1717 titulado Procedimientos y Sanciones Penales en el que de forma expresa se contempla la figura de piratería de derechos de autor a escala comercial. Por lo que se refiere a los anexos del TLC, anexo 1718.14, titulado defensa de la propiedad intelectual, se estableció que México haría su mayor esfuerzo por cumplir tan pronto como fuera posible con las obligaciones del artículo 1718 relativo a la defensa de los derechos de propiedad intelectual en la frontera, haciéndolo en un plazo que no excedería a tres años a partir de la fecha de la firma del TLC. Asimismo, debe mencionarse que en el artículo 1711, relativo a los secretos industriales y de negocios sobre la provisión de medios legales para impedir que estos secretos, sean revelados, adquiridos o usados sin el consentimiento de la persona que legalmente tenga bajo su control la información. Llama la atención que en su párrafo 2 habla sobre las condiciones requeridas para otorgar la protección de los secretos industriales y de negocios y una de ellas es que estos consten en medios electrónicos o magnéticos. B. Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio, incluso el comercio de mercancías falsificadas. El Gobierno de México es parte de este acuerdo que se celebró en el marco de la Ronda Uruguay del Acuerdo General de Aranceles Aduaneros y Comercio (GATT), manteniendo su vigencia hasta nuestros días. Debería destacarse el hecho de que en este acuerdo, en el artículo 10, relativo a los programas de computadora y compilaciones de datos, se establece que este tipo de programas, ya sean fuente u objeto, serán protegidos como obras literarias de conformidad con el Convenio de Berna de 1971 para la Protección de Obras Literarias y Artísticas, y que las compilaciones de datos posibles de ser legibles serán protegidos como creaciones de carácter intelectual. Además, en la parte III sobre observancia de los derechos de propiedad intelectual, en la sección I de obligaciones generales, específicamente en el artículo 41, se incluye que los miembros del 45
acuerdo velarán porque en su respectiva legislación nacional se establezcan procedimientos de observancia de los derechos de propiedad intelectual. Asimismo, en la sección u, denominada procedimientos penales, en particular el artículo 61, se establece que para los casos de falsificación dolosa de marcas de fábrica o de comercio o de piratería lesiva del derecho de autor a escala comercial, se establecerán procedimientos y sanciones penales además de que, "los recursos disponibles comprenderán la pena de prisión y/o la imposición de sanciones pecuniarias suficientemente disuasorias". Finalmente, en la parte VII, denominada disposiciones institucionales, disposiciones finales, en el artículo 69 relativo a la cooperación internacional, se establece el intercambio de información y la cooperación entre las autoridades de aduanas en lo que se refiere al comercio de mercancías de marca de fábrica o de comercio falsificadas y mercancías piratas que lesionan el derecho de autor. Como se observa, el tratamiento que los dos instrumentos internacionales que se han comentado otorgan a las conductas ilícitas relacionadas con las computadoras es en el marco del derecho de autor. En este entendido, cabe destacar que el mismo tratamiento que le han conferido esos acuerdos internacionales a las conductas antijurídicas antes mencionadas, es otorgado por la Ley Federal del Derecho de Autor que a continuación se analiza. C. Ley Federal del derecho de Autor y Código Penal para el Distrito Federal en Materia de Fuero Común y para toda la República en materia de Fuero Federal. Los programas de computación, las bases de datos y las infracciones derivadas de su uso ilícito se encuentran reguladas en la Ley Federal del Derecho de Autor del 24 de diciembre de 1996, que entró en vigor el 24 de marzo de 1997. En este orden, como se mencionó anteriormente, esta Ley regula todo lo relativo a la protección de los programas de computación, a las bases de datos y a los derechos autorales relacionados con ambos. Se define lo que es un programa de computación, su protección, sus derechos patrimoniales, de arrendamiento, casos en los que el usuario podrá realizar copias del programa que autorice el autor del mismo, las facultades de autorizar o prohibir la reproducción, la autorización del acceso a la información de carácter privado relativa a las personas contenida en las bases de datos, la publicación, reproducción, divulgación, comunicación pública y transmisión de dicha información, 46
establece las infracciones y sanciones que en materia de derecho de autor deben ser aplicadas cuando ocurren ilícitos relacionados con los citados programas y las bases de datos, etcétera. En este sentido, es importante considerar que en los artículos 102 y 231 de la presente Ley. El primero de ellos, regula la protección de los programas de computación y señala además que los programas de cómputo que tengan por objeto causar efectos nocivos a otros programas o equipos, lógicamente no serán protegidos. El segundo en su fracción V sanciona el comercio de programas de dispositivos o sistemas cuya finalidad sea desactivar dispositivos electrónicos de protección de un programa de cómputo. Por su parte, esta ley en su artículo 215 hace una remisión al Título Vigésimo Sexto, Artículo 424, fracción IV del Código Penal para el Distrito Federal en Materia de Fuero Común y para toda la República en Materia de Fuero Federal del que se infiere la sanción al uso de programas de virus. Por otra parte, el artículo 104 de dicha ley se refiere a la facultad del titular de los derechos de autor sobre un programa de computación o sobre una base de datos, de conservar aún después de la venta de ejemplares de los mismos el derecho de autorizar o prohibir el arrendamiento de dichos programas. Por su parte, el artículo 231, fracción II y VII contemplan dentro de las infracciones de comercio el "producir, fabricar, almacenar, distribuir, transportar o comercializar copias ilícitas de obras protegidas por esta Ley" y "Usar, reproducir o explotar una reserva de derechos protegida o un programa de cómputo sin el consentimiento del titular". Además, la regulación de esta conducta se encuentra reforzada por la remisión que hace la Ley de Derecho de Autor en su artículo 215 al Título Vigésimo Sexto del Código Penal citado, donde se sanciona con multa de 300 a 3 mil días o pena de prisión de seis meses hasta seis años al que incurra en este tipo de delitos. Sin embargo, la regulación existente no ha llegado a contemplar el delito informático como tal, sino que se ha concretado a la protección de los derechos autorales y de propiedad industrial, principalmente. Tal y como se ha mencionado. México no está exento
de formar parte de los países que se
enfrentan a la proliferación de estas conductas ilícitas. Recientemente, la prensa publicó una nota en la que informaba sobre las pérdidas anuales que sufren las compañías fabricantes de programas informáticos, las que se remontaban a un valor de mil millones de dólares por concepto de piratería de estos programas. 47
Muchas personas sentirán que el país está ajeno a estas pérdidas por cuanto estas compañías no son mexicanas, sin embargo, si se analizan los sujetos que cometen estos delitos, según la nota de prensa, sorprende el saber que empresas mexicanas como TAESA y Muebles Dico enfrentan juicios administrativos por el uso de programas piratas. Esto, a la larga podría traer implicaciones muy desventajosas para México, entre los que se citan: la pérdida de prestigio a nivel internacional por el actuar ilícito de empresas cuyo radio de acción no está reducido al ámbito nacional y la pérdida de credibilidad por parte de las compañías proveedoras de programas informáticos, lo que se traduciría en un mercado poco atractivo para ellas que pondrían al país en una situación marginada del desarrollo tecnológico. En otro orden, el Artículo 109 de la Ley citada, se refiere a la protección de las bases de datos personales, lo que reviste gran importancia debido a la manipulación indiscriminada que individuos inescrupulosos pueden hacer con esta información. Así, al acceso no autorizado a una base de datos de carácter personal de un Hospital de enfermos de SIDA puede ser utilizado contra estas personas quienes a causa de su enfermedad, se encuentran marginados socialmente, en la mayoría de los casos. Asimismo, se considera que la protección a este tipo de bases de datos es necesaria en virtud de que la información contenida en ellas, puede contener datos de carácter sensible, como son los de las creencias religiosas o la filiación política. Adicionalmente pueden ser susceptibles de chantaje, los clientes de determinadas instituciones de créditos que posean grandes sumas de dinero, en fin, la regulación de la protección de la intimidad personal es un aspecto de suma importancia que se encuentra regulado en este artículo. Esta Ley, además establece en el Título X, en su capítulo único, artículo 208, que el Instituto Nacional del Derecho de Autor es la autoridad administrativa en materia de derechos de autor y derechos conexos, quien tiene entre otras funciones, proteger y fomentar el derecho de autor además de que está facultado para realizar investigaciones respecto de presuntas infracciones administrativas e imponer las sanciones correspondientes. Por otra parte, debe mencionarse que en abril de 1997 se presentó una reforma a la fracción III del artículo 231 de la Ley Federal del Derecho de Autor así como a la fracción III del artículo 424 del Código Penal para el Distrito Federal en Materia de Fuero Común y para toda la República en Materia de Fuero Federal.
48
De esta forma, las modificaciones a la ley autoral permitieron incluir en su enunciado la expresión "fonogramas, videogramas o libros", además del verbo "reproducir", quedando: Del artículo 231 del código penal se cita lo siguiente: Art.231. Fracción III. Producir, reproducir, almacenar, distribuir, transportar o comercializar copias de obras, fonogramas, videogramas o libros protegidos por los derechos de autor o por los derechos conexos, sin la autorización de los respectivos titulares en los términos de esta Ley".. Con las reformas al Código Penal se especifica que: De acuerdo al artículo 424 fracción III se cita lo siguiente: Art.424. Fracción III. A quien produzca, reproduzca, importe, almacene, transporte, distribuya, venda o arriende, copias de obras, fonogramas, videogramas o libros protegidas por la Ley Fed al del Derecho de Autor en forma dolosa, a escala comercial y sin la autorización que en los términos de la citada Ley deba otorgar el titular de los derechos de autor o de los derechos conexos". Sobre el particular, debe mencionarse que durante la modificación a la Ley en diciembre de 1996 se contempló parcialmente lo que se había acordado en el TLC y que por tal razón fue necesaria una segunda modificación, en abril del año en curso para incluir la acción de "reproducción". De igual forma el artículo 424 que había sufrido una modificación en diciembre de 1996, fue reformado en su fracción tercera en abril pasado para incluir la reproducción y su comisión en una forma dolosa. D. CÓDIGO PENAL Y PROCEDIMIENTOS PENALES DE SINALOA. Ante la importancia que tiene que el Congreso Local del Estado de Sinaloa haya legislado sobre la materia de delitos, es pertinente transcribir íntegramente el texto que aparece en el Código Penal Estatal. Título Décimo "Delitos contra el patrimonio" Delito Informático Artículo 217. Comete delito informático, la persona que dolosamente y sin derecho: 49
I.
Use o entre a una base de datos, sistemas de computadores o red de computadoras o a cualquier parte de la misma, con el propósito de diseñar, ejecutar o alterar un esquema o artificio con el fin de defraudar, obtener dinero, bienes o información; o
II. Intercepte, interfiera, reciba, use, altere, dañe o destruya un soporte lógico o programa de computadora o los datos contenidos en la misma, en la base, sistema o red. Al responsable de delito informático se le impondrá una pena de seis meses a dos años de prisión y de noventa a trescientos días multa. En el caso particular que nos ocupa cabe señalar que en Sinaloa se ha contemplado al delito informático como uno de los delitos contra el patrimonio, siendo este el bien jurídico tutelado. Se ha ubicado al delito informático bajo esta clasificación dada la naturaleza de los derechos que se transgreden con la comisión de estos ilícitos, pero a su vez, cabe destacar que los delitos informáticos van más allá de una simple violación a los derechos patrimoniales de las víctimas, ya que debido a las diferentes formas de comisión de éstos, no solamente se lesionan esos derechos, sino otros como el derecho a la intimidad. 5.1.2 INTERNACIONAL
48
Pocos son los países que disponen de una legislación adecuada para enfrentarse con el problema sobre el particular, sin embargo con objeto de que se tomen en cuenta las medidas adoptadas por ciertos países, a continuación se presentan los siguientes casos particulares: Alemania En Alemania para hacer frente a la delincuencia relacionada con la informática y con efectos a partir del 1 de agosto de 1986, se adoptó la Segunda Ley contra la Criminalidad Económica del 15 de mayo de 1986 en la que se contemplan los siguientes delitos: Espionaje de datos (202 a); Estafa informática (263 a); Falsificación de datos probatorios (269) junto a modificaciones complementarias del resto de falsedades documentales como el engaño en el tráfico jurídico mediante la elaboración de datos, falsedad ideológica, uso de documentos falsos (270, 271, 273); 48
http://www.eumed.net/rev/cccss/04/rbar2.htm , Los delitos informáticos Tratamiento Internacional
50
Alteración de datos (303 a) es ilícito cancelar, inutilizar o alterar datos inclusive la tentativa es punible; Sabotaje informático (303 b), destrucción de elaboración de datos de especial significado por medio de destrucción, deterioro, inutilización, eliminación o alteración de un sistema de datos. También es punible la tentativa; utilización abusiva de cheques o tarjetas de crédito (266 b). Por lo que se refiere a la estafa informática, la formulación de un nuevo tipo penal tuvo como dificultad principal el hallar un equivalente análogo al triple requisito de acción engañosa, causación del error y disposición patrimonial, en el engaño del computador, así como en garantizar las posibilidades de control de la nueva expresión legal, quedando en la redacción que el perjuicio patrimonial que se comete consiste en influir en el resultado de una elaboración de datos por medio de una realización incorrecta del programa, a través de la utilización de datos incorrectos o incompletos, mediante la utilización no autorizada de datos, o a través de una intervención ilícita. Sobre el particular, cabe mencionar que esta solución en forma parcialmente abreviada fue también adoptada en los Países Escandinavos y en Austria. En opinión de estudiosos de la materia, el legislador alemán ha introducido un número relativamente alto de nuevos preceptos penales, pero no ha llegado tan lejos como los Estados Unidos. De esta forma, dicen que no sólo ha renunciado a tipificar la mera penetración no autorizada en sistemas ajenos de computadoras, sino que tampoco ha castigado el uso no autorizado de equipos de procesos de datos, aunque tenga lugar de forma cualificada. En el caso de Alemania, se ha señalado que a la hora de introducir nuevos preceptos penales para la represión de la llamada criminalidad informática el gobierno tuvo que reflexionar acerca de dónde radicaban las verdaderas dificultades para la aplicación del Derecho penal tradicional a comportamientos dañosos en los que desempeña un papel esencial la introducción del proceso electrónico de datos, así como acerca de qué bienes jurídicos merecedores de protección penal resultaban así lesionados. Fue entonces cuando se comprobó que, por una parte, en la medida en que las instalaciones de tratamiento electrónico de datos son utilizadas para la comisión de hechos delictivos, en especial en el ámbito económico, pueden conferir a éstos una nueva dimensión, pero que en realidad tan sólo constituyen un nuevo modus operandi, que no ofrece problemas para la aplicación a determinados tipos.
51
Por otra parte, sin embargo, la protección fragmentaria de determinados bienes jurídicos ha puesto de relieve que éstos no pueden ser protegidos suficientemente por el Derecho vigente contra nuevas formas de agresión que pasan por la utilización abusiva de instalaciones informáticas. En otro orden de ideas, las diversas formas de aparición de la criminalidad informática propician además, la aparición de nuevas lesiones de bienes jurídicos merecedoras de pena, en especial en la medida en que el objeto de la acción puedan ser datos almacenados o transmitidos o se trate del daño a sistema informáticos. El tipo de daños protege cosas corporales contra menoscabos de su sustancia o función de alteraciones de su forma de aparición. Austria Ley de reforma del Código Penal de 22 de diciembre de 1987. Esta ley contempla los siguientes delitos: Destrucción de datos (126). En este artículo se regulan no sólo los datos personales sino también los no personales y los programas. Estafa informática (148). En este artículo se sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración de datos automática a través de la confección del programa, por la introducción, cancelación o alteración de datos por actuar sobre el curso del procesamiento de datos. Además contempla sanciones para quienes cometen este hecho utilizando su profesión. Francia Ley número 88-19 de 5 de enero de 1988 sobre el fraude informático. Acceso fraudulento a un sistema de elaboración de datos (462-2). En este artículo se sanciona tanto el acceso al sistema como al que se mantenga en él y aumenta la sanción correspondiente si de ese acceso resulta la supresión o modificación de los datos contenidos en el sistema o resulta la alteración del funcionario del sistema. Sabotaje informático (462-3). En este artículo se sanciona a quien impida o falsee el funcionamiento de un sistema de tratamiento automático de datos. Destrucción de datos (462-4). En este artículo se sanciona a quien intencionadamente y con menosprecio de los derechos de los demás introduzca datos en un sistema de tratamiento
52
automático de datos o suprima o modifique los datos que éste contiene o los modos de tratamiento o de transmisión. Falsificación de documentos digitales (462-5). En este artículo se sanciona a quien de cualquier modo falsifique documentos digitales con intención de causar un perjuicio a otro. Uso de documentos digitales falsos (462-6). En este artículo se sanciona a quien conscientemente haga uso de documentos falsos haciendo referencia al artículo 462-5. Estados Unidos Es importante mencionar la adopción en los Estados Unidos en 1994 del Acta Federal de Abuso Computacional (18 U.S.C. Sec. 1030) que modificó el Acta de Fraude y Abuso Computacional de 1986. Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y qué no es un virus, un gusano, un Caballo de Troya, etcétera y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, a sistemas informáticos, a las redes, información, datos o programas. (18 U.S.C. Sec. 1030 [a][5][A]). La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus. El Acta de 1994 diferencia el tratamiento a aquellos que de manera temeraria lanzan ataques de virus de aquellos que lo realizan con la intención de hacer estragos. El acta define dos niveles para el tratamiento de quienes crean virus estableciendo para aquellos que intencionalmente causan un daño por la transmisión de un virus, el castigo de hasta 10 años en prisión federal más una multa y para aquellos que lo transmiten sólo de manera imprudencial la sanción fluctúa entre una multa y un año en prisión. Nos llama la atención que el Acta de 1994 aclara que el creador de un virus no escudarse en el hecho que no conocía que con su actuar iba a causar daño a alguien o que él solo quería enviar un mensaje. En opinión de los legisladores estadounidenses, la nueva ley constituye un acercamiento más responsable al creciente problema de los virus informáticos, específicamente no definiendo a los virus sino describiendo el acto para dar cabida en un futuro a la nueva era de ataques tecnológicos a los sistemas informáticos en cualquier forma en que se realicen. Diferenciando los niveles de delitos, la nueva ley da lugar a que se contemple qué se debe entender como acto delictivo. 53
En el Estado de California, en 1992 se adoptó la Ley de Privacidad en la que se contemplan los delitos informáticos pero en menor grado que los delitos relacionados con la intimidad que constituyen el objetivo principal de esta Ley. Se considera importante destacar las enmiendas realizadas a la Sección 502 del Código Penal relativas a los delitos informáticos en la que, entre otros, se amplían los sujetos susceptibles de verse afectados por estos delitos, la creación de sanciones pecuniarias de $10,000 por cada persona afectada y hasta $50,000 el acceso imprudencial a una base de datos, etcétera. El objetivo de los legisladores al realizar estas enmiendas, según se infiere, era la de aumentar la protección a los individuos, negocios, y agencias gubernamentales de la interferencia, daño y acceso no autorizado a las bases de datos y sistemas computarizados creados legalmente. Asimismo, los legisladores consideraron que la proliferación de la tecnología de computadoras ha traído consigo la proliferación de delitos informáticos y otras formas no autorizadas de acceso a las computadoras, a los sistemas y las bases de datos y que la protección legal de todos sus tipos y formas es vital para la protección de la intimidad de los individuos así como para el bienestar de las instituciones financieras, de negocios, agencias, gubernamentales y otras relacionadas con el estado de California que legalmente utilizan esas computadoras, sistemas y bases de datos. Es importante mencionar que en uno de los apartados de esta ley, se contempla la regulación de los virus (computer contaminant) conceptualizándose aunque no los limita a un grupo de instrucciones informáticas comúnmente llamados virus o gusanos sino que contempla a otras instrucciones designadas a contaminar otros grupos de programas o bases de datos, modificar, destruir, copiar o transmitir datos o alterar la operación normal de las computadoras, los sistemas o las redes informáticas. 5.1.3 SECTOR FINANCIERO
Uno de los sectores más afectados por la delincuencia informática es el sector financiero; la preocupación de las Instituciones Bancarias por actos cometidos contra sus activos ha provocado una unificación de criterios y políticas para contrarrestarla. Tal es el caso de la Ley SOX, una ley creada con el propósito de garantizar transparencia en las operaciones de todas las Instituciones Financieras que cotizan en la Bolsa de Nueva York. LEY SOX
54
La ley estadounidense “Sarbanes-Oxley Act” tiene como objetivo generar un marco de transparencia para las actividades y reportes financieros de las empresas que cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Además, aborda los defectos y lagunas del sistema de información financiera empresarial, que permitió por ejemplo, los escándalos fiscales de Enron, Global Crossing y WorldCOM. Afecta directamente a toda empresa pública de los Estados Unidos y sus subsidiarias en todo el mundo, así como empresas extranjeras que coticen en cualquier Bolsa de Valores en los Estados Unidos. SOX contempla una revisión más rigurosa de los datos que una empresa declara en sus estados financiero–contables que utiliza para sus controles internos, y no solamente abarca fraudes por falsedad en dichas declaraciones, sino también por inferencia, y todos los casos de fraude en los que se desvirtúen de manera importante los estados financieros, como la malversación de activos, corrupción, entre otros. Las multas por proveer información falsa o incorrecta son muy severas, y pueden llegar al extremo de encarcelar a los ejecutivos de la empresa, o que ésta sea retirada de la Bolsa de Valores en que cotiza. Además exige contar con un canal de denuncias de irregularidades por parte de los empleados, accionistas proveedores, etc. para que las mismas sean tratadas por el comité de Auditoría. La ley fue elaborada por el senador demócrata Paul Sarbanes y el diputado republicano Michael Oxley y no sólo es un ejercicio en el cumplimiento de nuevos reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas organizaciones, muchas otras toman la decisión de adoptarla dado que constituye una práctica sana de negocios, mejorando notablemente la reputación de quien la cumpla. Entre las secciones de la ley SOX, la 302,404 y 409 tienen que ver con el combate contra los delitos informáticos en las empresas. A continuación se describen estas secciones: La Sección 302 Responsabilidad de la Compañía por los Informes Financieros, “establece los lineamientos bajo los cuales los CEOs (típicamente el Director General o Presidente) y CFOs
55
(típicamente el Director de Finanzas o de Administración) deberán realizar la certificación anual del control interno implementado en las compañías” 49. En este sentido, los CEOs y CFOs deberán: •
Hacerse responsables por la certificación de controles y procedimientos.
•
Diseñar o supervisar el diseño de la certificación de controles, a fin de asegurar de que están en conocimiento de la información contenida en la misma.
•
Evaluar la eficiencia de los controles, procedimientos y cambios importantes realizados en el control interno para la emisión de los estados financieros.
•
Presentar sus conclusiones con relación a la efectividad del control interno.
•
Informar al Comité de Auditoría y a los auditores externos cualquier deficiencia en el control interno, debilidad material y actos de fraude que involucren a la Gerencia o a otros empleados que realicen actividades relacionadas con el control interno.
•
Indicar en el archivo de documentación cualquier cambio significativo realizado sobre el control interno.
Sección 404 Evaluación de la Gerencia de los Controles Internos, “establece obligaciones por parte de la Gerencia de la compañía, en emitir un informe anual sobre la evaluación del control interno de cada uno de los procesos de negocio y cómo se asegura la adecuada emisión de los reportes financieros de la corporación” . El informe a ser emitido, debe contener los siguientes componentes:
•
Una declaración de que la Gerencia de la compañía es responsable por el diseño, aplicación y mantenimiento de un control interno adecuado sobre la emisión de reportes financieros.
•
Una declaración que explique el marco de control interno adoptado por la compañía para la evaluación de la efectividad del control interno sobre la emisión de reportes financieros.
•
Una evaluación y juicio sobre el diseño y efectividad del control interno de la compañía sobre la emisión de reportes financieros.
•
Una declaración de cualquier debilidad material detectada durante la evaluación del control interno de la compañía sobre la emisión de los reportes financieros.
•
Un informe de los auditores externos de la compañía opinando con relación a la evaluación realizada por la Gerencia de la compañía sobre el control interno para la emisión de los reportes financieros.
49
Lex Sox ,http: // docs.google.com/ gview?a=v&q=cache:PPmciuSBN_ cJ:www.economiaynegocios.uahurtado.cl/peee/pdf/Ley%2520Sarbanes%2520Oxley%2520Federico%2520itur bide.pdf+Ley+Sarbanes-Oxley+Act-Federico+Iturbide&hl=es ,
56
Además requiere que los auditores externos de las compañías certifiquen la evaluación del control interno realizado por la Gerencia sobre la emisión de los reportes financieros. Es decir, las organizaciones no sólo deben asegurar el adecuado funcionamiento del control interno, incluyendo los controles de Tecnología de Información (IT), sino que también deberán proveer a sus auditores externos la documentación necesaria que respalde la evaluación y la decisión final de la alta Gerencia sobre el control interno. La Sección 409 Tiempo real de revelaciones del emisor, “establece a las compañías identificar y revelar puntualmente los cambios en su situación u operaciones financieras, con el fin de proteger a sus inversionistas y el interés público” 50
Basilea II Basilea II es el segundo de los Acuerdos de Basilea. Dichos acuerdos consisten en recomendaciones sobre la legislación y regulación bancaria y son emitidos por el Comité de supervisión bancaria de Basilea. “El propósito de Basilea II, publicado inicialmente en junio de 2004, es la creación de un estándar internacional que sirva de referencia a los reguladores bancarios, con objeto de establecer los requerimientos de capital necesarios, para asegurar la protección de las entidades frente a los riesgos financieros y operativos” 50. La principal limitación del acuerdo de Basilea I es que es insensible a las variaciones de riesgo y que ignora una dimensión esencial: la de la calidad crediticia y, por lo tanto, la diversa probabilidad de incumplimiento de los distintos prestatarios. Es decir, consideraba que todos los créditos tenían la misma probabilidad de incumplir. Para superarla, el Comité de Basilea propuso en 2004 un nuevo conjunto de recomendaciones. Éstas se apoyan en los siguientes tres pilares. Pilar I: el cálculo de los requisitos mínimos de capital Constituye el núcleo del acuerdo e incluye una serie de novedades con respecto al anterior. Tiene en cuenta la calidad crediticia de los prestatarios y añade requisitos de capital por el riesgo operacional. La norma de Basilea I, que exige:
50
Basilea II, http://es.wikipedia.org/wiki/Basilea_II ,
57
Fondos propios > 8% de activos de riesgo, considerando: (riesgo de crédito + riesgo de negociación + riesgo de tipo de cambio). Mientras que ahora considera: (riesgo de crédito + riesgo de negociación + riesgo de tipo de cambio + riesgo operacional). Pilar II: el proceso de supervisión de la gestión de los fondos propios Los organismos supervisores nacionales están capacitados para incrementar el nivel de prudencia exigido a los bancos bajo su jurisdicción. Además, deben validar tanto los métodos estadísticos empleados para calcular los parámetros exigidos en el primer pilar como la suficiencia de los niveles de fondos propios para hacer frente a una crisis económica, pudiendo obligar a las entidades a incrementarlos en función de los resultados. “Para poder validar los métodos estadísticos, los bancos estarán obligados a almacenar datos de información crediticia durante periodos largos, de 5 a 7 años, a garantizar su adecuada auditoría y a superar pruebas de stress testing” 51. Además se exige que la alta dirección del banco se involucre activamente en el control de riesgos y en la planificación futura de las necesidades de capital. Esta autoevaluación de las necesidades de capital debe ser discutida entre la alta dirección y el supervisor bancario. Como el banco es libre para elegir la metodología para su autoevaluación, se pueden considerar otros riesgos que no se contemplan en el cálculo regulatorio, tales como el riesgo de diversificación, liquidez, de pensiones, etc. Pilar III: La disciplina de mercado El acuerdo establece normas de transparencia y define la publicación periódica de información acerca de su exposición a los diferentes riesgos y la suficiencia de sus fondos propios. El objetivo es: 1) La generalización de las buenas prácticas bancarias y su homogeneización internacional. 2) La reconciliación de los puntos de vista financiero, contable y de la gestión del riesgo sobre la base de la información acumulada por las entidades.
51
Basilea II, http://es.wikipedia.org/wiki/Basilea_II ,
58
3) La transparencia financiera a través de la homogeneización de los informes de riesgo publicados por los bancos. El requisito inicial es que se publique al menos anualmente, aunque es previsible que la frecuencia sea mayor y a sus contenidos mínimos se irá añadiendo la información que el mercado exija en cada momento. CNVB “La Comisión Nacional Bancaria y de Valores supervisa y regula a las Entidades Financieras existentes en el país, para verificar que trabajen de manera equilibrada con el desempeño del Sistema Financiero y con los intereses de los usuarios” 52. A continuación, presentamos un listado de las Entidades Financieras: Sociedades controladoras de grupos financieros.
•
Instituciones de crédito.
•
•
Casa de bolsa.
Especialistas bursátiles.
•
Bolsa de valores.
•
•
Sociedades de Inversión.
Sociedades operadoras de sociedades de inversión.
•
Sociedades distribuidoras de acciones de sociedades de inversión.
•
Almacenes generales de depósito.
•
•
Uniones de crédito.
Arrendadoras financieras.
•
Empresas de factoraje financiero.
•
Sociedades de ahorro y préstamos.
•
Casas de cambio.
•
Sociedades financieras de objeto limitado.
•
Instituciones para el depósito de valores.
•
Contrapartes centrales.
•
Instituciones calificadoras de valores.
•
Sociedades de información crediticia.
•
Personas que operen con el carácter de entidad de ahorro y crédito popular.
•
52
http://www.cnbv.gob.mx/default.asp?com_id=0 59
Instituciones y fideicomisos públicos que realicen actividades financieras.
•
Organismos de integración.
•
A continuación se describen dos circulares que tratan sobre la confidencialidad de la información que deben de tener las instituciones bancarias en México. Circular del 9 de Abril del 2003. Disposiciones aplicables a las operaciones con valores que realicen los directivos y empleados de entidades financieras. Tipo de circular: bancaria. DISPOSICIONES APLICABLES A LAS OPERACIONES CON VALORES QUE REALICEN LOS DIRECTIVOS Y EMPLEADOS DE ENTIDADES FINANCIERAS
Capítulo Primero Disposiciones Generales Artículo 1.- Los directivos y empleados de entidades financieras cuyo régimen les permita celebrar operaciones con valores inscritos en el Registro Nacional de Valores, deberán ajustarse en las operaciones que realicen con valores, a las presentes disposiciones y a los lineamientos, políticas y procedimientos de control que al efecto establezcan las referidas entidades en las que laboren o presten sus servicios. Artículo 4.- Las Entidades Financieras al elaborar el manual a que se refiere el artículo 3 anterior, deberán incluir, cuando menos, lo siguiente: I.
Guías que permitan a los consejeros, Directivos y Empleados, en la celebración de operaciones con valores, ajustarse a las disposiciones legales y administrativas aplicables en materia del mercado de valores y a las que, en su caso, se determine para dichas personas.
II.
Relación de los cargos o funciones que, por su naturaleza, sean desempeñados por Directivos y Empleados que tengan acceso o sean susceptibles de entrar en contacto con Información Privilegiada o Confidencial relativa a valores o inversiones. Dichas entidades podrán excluir de lo previsto en las presentes disposiciones, únicamente a las personas que desempeñen empleos, cargos o comisiones que por sus funciones no se vinculen directa o indirectamente con la referida información, cuando así se establezca expresamente en los manuales correspondientes. 60
III.
Controles estrictos que, al instrumentarse, permitan que la información clasificada con el carácter de Privilegiada o Confidencial relativa a valores o inversiones, sea conocida únicamente por las personas que deban tener acceso a ella.
Para efectos de lo dispuesto en esta fracción, las Entidades Financieras deberán considerar como sujetos a los referidos controles, además del personal que ellas determinen, a las personas que mantengan relación con o se desempeñen en: a)
Sociedades o personas que pretendan realizar una oferta pública y a las cuales, la entidad de que se trate, preste o les haya proporcionado sus servicios.
b)
Clientes que reciban asesoría de inversión.
c)
Emisoras, en relación con los contratos de intermediación bursátil que celebren, para realizar operaciones de adquisición o enajenación de acciones propias.
d)
Departamentos encargados de las decisiones de inversión de la cuenta propia de la entidad financiera de que se trate.
e)
Departamentos de análisis.
f)
Departamentos cuya actividad sea instrumentar reestructuras corporativas, tales como fusiones, escisiones, recomposiciones accionarias u otras.
g)
Los demás departamentos que por sus actividades o funciones sean susceptibles de tener acceso a Información Privilegiada o Confidencial relativa a valores o inversiones.
IV.
Principios que deberán observar las personas señaladas en la fracción II anterior al celebrar operaciones con valores, estableciendo, cuando menos, los siguientes: a)
Transparencia en la celebración de las operaciones.
b)
Igualdad de oportunidades frente a los demás participantes del mercado en la celebración de operaciones con valores.
c)
Protección de la confianza en el mercado de valores.
d)
Observancia de los usos y sanas prácticas bursátiles.
e)
Ausencia de conflictos de intereses.
61
f)
Prevención de conductas indebidas que puedan tener como origen el uso de Información Privilegiada o Confidencial relativa a valores o inversiones.
Circular del 24 de Noviembre del 2005. DISPOSICIONES DE CARÁCTER GENERAL EN MATERIA DE USOS Y PRÁCTICAS FINANCIERAS RELATIVAS A LAS RECOMENDACIONES QUE FORMULEN ENTIDADES FINANCIERAS
PARA
LA
CELEBRACIÓN
DE
OPERACIONES
CON
VALORES
E
INSTRUMENTOS FINANCIEROS DERIVADOS Artículo 1.- Las presentes disposiciones tienen por objeto establecer los requisitos mínimos a que deberán ajustarse las entidades financieras en la formulación de recomendaciones para la celebración de operaciones con valores o instrumentos financieros derivados, que se divulguen al público a través de medios impresos o electrónicos. Artículo 3.- Las entidades financieras que formulen recomendaciones sobre valores o instrumentos financieros derivados, a efecto de evitar incurrir en conflictos de interés, deberán: I.
Contar con mecanismos de control para el adecuado manejo y flujo de información que se utilice para la elaboración de recomendaciones sobre valores o instrumentos financieros derivados. Para tal efecto, deberán considerar, al menos: a) La separación física o el acceso restringido entre las áreas de negocio y las encargadas de la elaboración de recomendaciones. b) El establecimiento de medidas que procuren la confidencialidad de la información.
II.
Evitar que las áreas de negocios y de operación con valores o instrumentos financieros derivados, influyan o ejerzan presiones sobre las actividades de las áreas responsables de la elaboración de recomendaciones.
III.
Designar a las personas que habrán de revisar y aprobar las recomendaciones con antelación a su divulgación. En ningún caso, tal divulgación podrá estar sujeta a la revisión y aprobación de las áreas de negocio.
IV.
Impedir que los analistas participen en actividades que pudieran generarles un conflicto de interés, incluidas las que se refieren en el artículo 2, fracción II, incisos a), c), d), e) y f) de las presentes disposiciones.
V.
Contar con esquemas de remuneración para los analistas que eviten el surgimiento de conflictos de interés. En ningún caso, las compensaciones de los analistas deberán estar 62
basadas directamente en el resultado de la promoción o en los ingresos de la entidad financiera, derivados de la celebración de operaciones por parte de las áreas de negocio relacionadas con los valores o instrumentos financieros derivados materia de su recomendación. VI.
Elaborar lineamientos para la presentación, aprobación, distribución y divulgación de las recomendaciones que aseguren la independencia de opinión de los analistas.
Artículo 5.- Las entidades financieras que formulen recomendaciones sobre valores o instrumentos financieros derivados, deberán contar con mecanismos de control que impidan que sus analistas: I.
Elaboren recomendaciones cuando ocupen un empleo, cargo o comisión en la emisora o en alguna de las personas que formen parte del grupo empresarial al que ésta pertenezca, o bien, se hayan desempeñado con alguno de esos caracteres, dentro de los doce meses previos a la divulgación de la recomendación.
II.
Celebren operaciones con valores o instrumentos financieros derivados, en sentido contrario a sus recomendaciones, dentro de los cinco días naturales previos y treinta posteriores a la divulgación de las recomendaciones que elaboren.
III.
Inviertan en valores o instrumentos financieros derivados objeto de sus recomendaciones, dentro de los treinta días naturales previos y cinco posteriores a la divulgación de las recomendaciones que elaboren.
IV.
Reciban remuneraciones, bienes o donaciones cuya cuantía pueda afectar la objetividad de las recomendaciones.
V.
Emitan recomendaciones cuando la entidad financiera en la cual desempeñen su empleo, cargo o comisión o a la cual presten sus servicios, funja como intermediario colocador en una oferta pública inicial de valores, desde la fecha en que comience la oferta y hasta cuarenta días naturales posteriores al cruce en la bolsa de valores correspondiente. Tratándose de ofertas públicas de valores ya colocados, la limitación anterior será desde la fecha de inicio de la oferta y hasta diez días naturales posteriores al cruce en bolsa. Las limitaciones señaladas en el párrafo anterior, no serán aplicables cuando existan eventos relevantes, dentro de los plazos señalados en esta fracción, que justifiquen cambiar el sentido de las recomendaciones emitidas con anterioridad a la fecha de inicio de las ofertas citadas.
La SEC (Securities and Exchange Commission) 63
El mundo de las inversiones es fascinante, complejo, y puede ser muy beneficioso. Sin embargo, a diferencia del mundo de la banca, en el que los depósitos están garantizados por el gobierno federal, las acciones, bonos y otros títulos u obligaciones pueden perder valor. No hay garantías en cuanto a esto. Por eso, invertir no es un deporte para espectadores; en efecto, la mejor forma de proteger su dinero, que tienen los inversionistas, es la de investigar bien y hacer preguntas, antes de invertir. Las leyes y reglamentos que rigen el sector de las transacciones de valores bursátiles en los Estados Unidos se originan en un principio muy claro y sencillo: todos los inversionistas, grandes instituciones o individuos, deberán tener acceso a ciertos hechos concretos básicos acerca de sus inversiones, antes de que hacerlas. Para lograr esto, la SEC exige a las empresas con valores bursátiles negociables revelar al público toda la información financiera pertinente a su disposición, como banco común de información para que los inversionistas puedan juzgar y decidir por sí mismos si la inversión en los títulos y obligaciones de determinadas empresas constituyen una buena inversión. Sólo a través de un flujo regular y oportuno de información completa y precisa, podrán los inversionistas tomar las mejores decisiones. La función principal de la U.S. Securities and Exchange Commission (SEC) “es proteger a los inversionistas y mantener la integridad de los mercados de valores. Debido a que un número siempre creciente de nuevos inversionistas está acudiendo a los mercados para asegurar su futuro, pagar por sus viviendas, y garantizar una buena educación para sus hijos, estas metas son más interesantes que nunca” 53. La SEC supervisa también otros participantes clave en el mundo de las bolsas y mercados financieros, incluyendo las bolsas de valores, los corredores, los consejeros de inversiones, los fondos mutuos, y los consorcios controladores de empresas de servicio público. Aquí también, la SEC se preocupa sobre todo en promover la divulgación de información importante, en hacer valer las leyes y normas pertinentes, y en proteger a los inversionistas que interactúan con las diversas organizaciones e individuos. De importancia crucial para la efectividad de la SEC es su autoridad para hacer valer las leyes y reglamentos. Cada año, la SEC interpone unas 400-500 causas civiles contra personas y empresas violadoras de las leyes y reglamentos de intercambio de títulos y obligaciones bursátiles. Las infracciones típicas son la compraventa de valores de parte de funcionarios de confianza, los
53
La SEC, http://www.sec.gov/investor/espanol/quehacemos.htm ,
64
fraudes contables, y la divulgación de información falsa y engañosa relacionada con valores bursátiles y las empresas emisoras. La lucha contra el fraude en el sector de la inversión en títulos y valores, sin embargo, es algo que requiere coordinación de esfuerzos. El factor más importante para una protección efectiva de las inversiones es el inversionista informado y prudente. La SEC ofrece al público una gran cantidad de información en su sitio en la Internet, www.sec.gov. Este sitio también incluye el banco de datos EDGAR de documentos informativos que las empresas con valores bursátiles negociables deben presentar a la Comisión. Normas Internacionales de Información Financiera El proceso de globalización de la economía ha impuesto a las empresas, entre otras necesidades, la de lograr un alto grado de comparabilidad de la información financiera en el ámbito internacional. La armonización en esta materia, junto con mayores niveles de transparencia, constituye un instrumento imprescindible para lograr una mayor calidad en la información financiera disponible para los distintos usuarios y grupos interesados, y para una toma de decisiones más fundamentada por parte de los inversores, en beneficio de un funcionamiento más eficiente de los mercados. Las NIIF ó Normas Internacionales de Información Financiera son elaboradas desde 1973 por el IASC (Comité de Normas Internacionales de Contabilidad) posterior IASB desde 2001 (Consejo de Normas Internacionales de Contabilidad) en aras a desarrollar normativa clara y de fácil aplicación en lo referente a las normas de valoración aplicables a cuentas anuales y consolidadas de determinadas formas sociales, bancos y otras entidades financieras.”Las NIC - Normas Internacionales de Contabilidad, son en definitiva un conjunto de normas que establecen la información que debe presentarse y cómo ha de presentarse en los estados financieros y contables” 54. Los objetivos de las Normas Internacionales de Contabilidad son: •
Reflejar la esencia económica de las operaciones de un negocio
•
Presentar una imagen fiel de la situación financiera de un negocio
•
Unificar la normativa contable de los países miembros de la Unión Europea.
Los Estados Financieros son los documentos que deben preparar la empresa al determinar el ejercicio contable, con el fin de conocer la situación financiera y los resultados económicos obtenidos en las actividades de su empresa a lo largo de un período. 54
NIIF, http://srvusa.nicniif.org/ ,
65
La información presentada en los estados financieros interesa a: •
La administración, para la toma de decisiones, después de conocer el rendimiento, crecimiento y desarrollo de la empresa durante un periodo determinado.
•
Los propietarios para conocer el progreso financiero del negocio y la rentabilidad de sus aportes.
•
Los acreedores, para conocer la liquidez de la empresa y la garantía de cumplimiento de sus obligaciones.
•
El estado, para determinar si el pago de los impuestos y contribuciones esta correctamente liquidado.
Las NIIF están diseñadas pensando en empresas grandes, con relevancia en el entorno económico y proyección internacional. No obstante, muchos países han adoptado directamente o han adaptado las normas internacionales para ser aplicadas por sus empresas, con independencia del tamaño o la relevancia. 5.2
MEJORES PRÁCTICAS APLICABLES EN LA PREVENCIÓN DE LA DELINCUENCIA
INFORMÁTICA
Las mejores prácticas son directrices que permiten a las empresas modelar sus procesos para que se ajusten a sus propias necesidades, proporcionan a las empresas y organizaciones métodos utilizados para estandarizar procesos y administrar de la mejor manera los entornos de TI. Al hablar de las normas y mejores prácticas existentes en informática, se habla de un sin fin de métricas para diversos propósitos. En el presente trabajo de tesina solo se habla de las mejores prácticas aplicables en la prevención de la delincuencia informática. ISO 27001 Dentro de las mejores prácticas propuestas por ISO una de las más interesantes y funcionales al hablar del combate contra la delincuencia informática es la ISO 27001, que se define como un sistema de gestión que engloba la política, estructura organizativa, procedimientos, procesos y recursos necesarios para implementar la gestión de seguridad de la información. La ISO 27001 propone la implantación de un SGSI (Sistema de Gestión de Seguridad de la Información) basado en el código de buenas prácticas y objetivos de control ISO 17799, relativo a la prevención de características de Confidencialidad, Integridad y Disponibilidad. Por lo que se pude decir que la Norma ISO 27001 es la evolución certificable del código de buenas prácticas ISO
66
17799, con la cual se avala la adecuada implementación, gestión y operación de todo lo relacionado a un SGSI 55.
Figura 5.1 Principales controles contenidos en la Norma ISO 27001 56 Como se puede observar en la figura 5.1, ISO 27001 se enfoca en tres aspectos esenciales de la información como son la integridad, disponibilidad y confidencialidad. ISO 27001 propone diversas acciones durante la implantación del SGSI. Se presentan los aspectos más importantes de esta norma con el fin de que el lector tenga una idea clara de cómo dicha norma es aplicable para la prevención de la delincuencia informática. El objetivo de crear una política de seguridad de la información es brindar apoyo y orientación a la dirección con respecto a la seguridad de información, de acuerdo a los requisitos del negocio y los reglamentos y leyes pertinentes. Mientras que la organización de seguridad permite gestionar la seguridad de la información dentro de la organización. La gestión de activos permite tener responsabilidad por los activos, es decir lograr y mantener la protección adecuada de los activos organizacionales y asegurarse que la información recibe el nivel de protección adecuado.
55 56
http://www.27000.org/iso-27002.htm , Mejores prácticas para la seguridad de información http://www.27000.org/iso-27002.htm , Mejores prácticas para la seguridad de información 67
Uno de los puntos más importantes y en los que pone énfasis la norma es en la parte de seguridad de los recursos humanos, tomando un tema relevante como es la contratación laboral, la cual tiene por objetivo asegurar que los empleados, contratistas y usuarios por tercera parte entienden sus responsabilidades y son adecuados para los roles para los que se les considera, y reducir el riesgo de robo, fraude o uso inadecuado de las instalaciones. Así como asegurar que todos los empleados, contratistas y usuarios de terceras partes estén consientes de las amenazas y preocupaciones respecto a la seguridad de la información, sus responsabilidades y sus deberes y que estén equipados para apoyar la política de seguridad de la organización en transcurso de su trabajo normal, al igual que reducir el riesgo de error humano. Con respecto a la seguridad física del entorno esta dicta las acciones que deberán tomarse para evitar el acceso físico no autorizado, el daño e interferencia a las instalaciones y a la información de la organización. De igual forma para los evitar perdida, daño o robo de los equipos de cómputo y la interrupción del servicio. La gestión de comunicaciones y operaciones asegura la operación correcta y segura de los servicios de procesamiento de información así como garantizar la prestación de servicios de conformidad de los acuerdos de prestación de servicios por terceras partes. En la gestión de comunicaciones y operaciones adicionalmente se toman acciones para la protección contra códigos maliciosos y móviles, respaldo y gestión de seguridad de la red. El control de acceso sirve para asegurar el acceso de usuarios autorizados y evitar el acceso de usuarios no autorizados a los sistemas de información incluyéndose el acceso a redes y sistema operativo, con lo que se evita el robo o la puesta en peligro de la información y de los servicios de procesamiento común. La finalidad del control de adquisición, desarrollo y mantenimiento de sistemas de información es garantizar que la seguridad es parte integral de los sistemas de información, dentro de esta se debe monitorear el procesamiento correcto en las aplicaciones con el fin de evitar errores, pérdidas, modificaciones no autorizadas o uso inadecuado de la información en las aplicaciones. Así como establecer controles criptográficos y proteger la confidencialidad, autenticidad o integridad de la información. Uno de los puntos clave es la gestión de los incidentes, tener un reporte sobre los eventos y las debilidades de la seguridad de la información, la gestión de incidentes permite establecer acciones correctivas oportunas asegurándose que se aplica un enfoque consistente y eficaz para la gestión de los incidentes de seguridad de información. 68
A su vez la gestión de continuidad de negocio establece métricas para contrarrestar interrupciones en las actividades del negocio y proteger sus efectos críticos contra los efectos de fallas importantes en los sistemas de información o contra desastres, y asegurar su recuperación oportuna. Con medidas como las que se proponen en la Norma ISO 27001 se es posible alcanzar un buen nivel de seguridad informática y contrarrestar efectos devastadores para la organización en caso de ataques. Como se ha mencionado las métricas de seguridad se establecen dependiendo de las necesidades de cada institución, pero en general las que han sido mostradas corresponden a las prácticas más utilizadas por las empresas de seguridad para implementar un buen SGSI. La norma ISO 27001 no es la única relacionada con cuestiones de seguridad informática, tal es el caso de las normas ISO 27000, 27002, 27003, 27004, 27005, 27006, 27011, 27031, 27032, 27033 y 27799. Sin embargo se sabe que la norma ISO 27001 es la más adecuada para la prevención de delitos informáticos y ataques cibernéticos. COBIT (delincuencia informática) COBIT (Objetivos de Control para la información y Tecnologías relacionadas) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. En COBIT 4.1 en el dominio prestación y soporte y monitoreo se encuentran los procesos Ds5, Ds9, Ds11 y M2. Los cuales se describen a continuación con la finalidad de dar a conocer las mejores prácticas para el combate contra la delincuencia informática en las empresas: Ds5 Garantizar la seguridad de sistemas 57 Objetivo: salvaguardar la información contra uso no autorizados, divulgación, modificación, daño o pérdida. Para ello se realizan controles de acceso lógico que aseguren que el acceso a sistemas, datos y programas está restringido a usuarios autorizados y toma en consideración:
57
COBIT 4.0, http://74.6.146.127/search/cache?ei=UTF-&p=manual+de+cobit+4&rd=r1&fr=yfp &u=www.angelfire.com/me3/mauriciocasillas/COBIT2.pdf&w= manual+ cobit+4&d=fChEHt29TdM v&icp=1&.intl=mx&sig=L3etm9PEb3Dd0hRr6MsLNA,
69
•
El acceso lógico autenticación y Autorización, junto con el uso de los recursos de TI deberá restringirse a través de la instrumentación de mecanismos de autenticación de usuarios identificados y recursos asociados con las reglas de acceso.
•
Perfiles e identificación de usuarios estableciendo procedimientos para asegurar acciones oportunas relacionadas con la requisición, establecimiento, emisión, suspensión y suspensión de cuentas de usuario
•
Administración de llaves criptográficas definiendo implementando procedimientos y protocolos a ser utilizados en la generación, distribución, certificación, almacenamiento, entrada, utilización y archivo de llaves criptográficas con el fin de asegurar la protección de las mismas
•
Manejo, reporte y seguimiento de incidentes implementado capacidad para la atención de los mismos
•
Prevención y detección de virus tales como Caballos de Troya, estableciendo adecuadas medidas de control preventivas, detectivas y correctivas.
•
Firewalls si existe una conexión de Utilización con Internet u otras redes públicas en la organización
Ds9 Administración de la configuración 58 Objetivo: Dar cuenta de todos los componentes de TI, prevenir alteraciones no autorizadas, verificar la existencia física y proporcionar una base para el sano manejo de cambios Para ello se realizan controles que identifiquen y registren todos los activos de TI así como su localización física y un programa regular de verificación que confirme su existencia y toma en consideración: •
Registro de activos estableciendo procedimientos para asegurar que sean registrados únicamente elementos de configuración autorizados e identificables en el inventario, al momento de adquisición.
•
Administración de cambios en la configuración asegurando que los registros de configuración reflejen el status real de todos los elementos de la configuración
•
Chequeo de software no autorizado revisando periódicamente las computadoras personales de la organización.
58
COBIT 4.0, http://74.6.146.127/search/cache?ei=UTF-&p=manual+de+cobit+4&rd=r1&fr=yfp &u=www.angelfire.com/me3/mauriciocasillas/COBIT2.pdf&w= manual+ cobit+4&d=fChEHt29TdM v&icp=1&.intl=mx&sig=L3etm9PEb3Dd0hRr6MsLNA,
70
•
Controles de almacenamiento de software definiendo un área de almacenamiento de archivos para todos los elementos de software válidos en las fases del ciclo de vida de desarrollo de sistemas
Ds11 Administración de Datos 59 Objetivo: Asegurar que los datos permanezcan completos, precisos y válidos durante su entrada, actualización, salida y almacenamiento. Lo cual se logra a través de una combinación efectiva de controles generales y de aplicación sobre las operaciones de TI. Para tal fin, la gerencia deberá diseñar formatos de entrada de datos para los usuarios de manera que se minimicen lo errores y las omisiones durante la creación de los datos. Este proceso deberá controlar los documentos fuentes (de donde se extraen los datos), de manera que estén completos, sean precisos y se registren apropiadamente. Se deberán crear también procedimientos que validen los datos de entrada y corrijan o detecten los datos erróneos, como así también procedimientos de validación para transacciones erróneas, de manera que éstas no sean procesadas. Cabe destacar la importancia de crear procedimientos para el almacenamiento, respaldo y recuperación de datos, teniendo un registro físico (discos, disquetes, CDs y cintas magnéticas) de todas las transacciones y datos manejados por la organización, albergados tanto dentro como fuera de la empresa. La gerencia deberá asegurar también la integridad, autenticidad y confidencialidad de los datos almacenados, definiendo e implementando procedimientos para tal fin. M2 Evaluar lo adecuado del Control Interno 39 Objetivo: Asegurar el logro de los objetivos de control interno establecidos para los procesos de TI. Para ello la gerencia es la encargada de monitorear la efectividad de los controles internos a través de actividades administrativas y de supervisión, comparaciones, reconciliaciones y otras acciones rutinarias., evaluar su efectividad y emitir reportes sobre ellos en forma regular. Estas actividades de monitoreo continuo por parte de la Gerencia deberán revisar la existencia de puntos vulnerables y problemas de seguridad. 59
COBIT 4.0, http://74.6.146.127/search/cache?ei=UTF-&p=manual+de+cobit+4&rd=r1&fr=yfp &u=www.angelfire.com/me3/mauriciocasillas/COBIT2.pdf&w= manual+ cobit+4&d=fChEHt29TdM v&icp=1&.intl=mx&sig=L3etm9PEb3Dd0hRr6MsLNA,
71
5.3 TECNOLOGÍA
En el mundo actual, día a día se incrementa el número de delitos informáticos y de igual forma la tecnología avanza y aporta herramientas que son de gran utilidad para mitigar la delincuencia. Este tipo de tecnología por sí sola no es muy eficaz, sin embargo en conjunto aporta mayores beneficios para combatir la inseguridad, evitando así ser víctimas de las diversas amenazas como lo son los delincuentes informáticos. 5.3.1 PREVENCIÓN
La mayor cantidad de delitos informáticos en las empresas se realizan de manera interna, es decir, los llevan a cabo el personal de la misma empresa, generalmente por empleados de confianza que ocupan puestos importantes en la organización. Por tal motivo, las empresas deben estar alertas y tomar en cuenta ciertas medidas para prevenir ser victimas de delincuentes informáticos. Algunas de las tecnologías empleadas para prevenir delitos de carácter informático son las siguientes: FIRMA DIGITAL 60 Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad de la persona que firma y la integridad del mensaje. La firma digital no implica que el mensaje sea encriptado, es decir, que este no pueda ser leído por otras personas; al igual que sucede cuando se firma un documento de manera holográfica este es visualizado por otras personas. El procedimiento utilizado para firmar de manera digital un mensaje es el siguiente, el firmante genera mediante una función matemática una huella digital del mensaje, la cual se encripta con la clave del firmante y el resultado es lo que se conoce como firma digital que se envía adjunta al mensaje original. De esta forma el firmante adjunta al documento una marca que es única para ese documento y que sólo él es capaz de reproducir. El receptor del mensaje, por su parte comprueba que el mensaje no fue modificado desde su creación y que el firmante es quién dice ser a través del siguiente procedimiento; en primer lugar se genera la huella digital del mensaje recibido, luego se desencripta la firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa forma la huella digital del mensaje original; si ambas huella digitales coinciden significa que el mensaje no fue alterado y que el firmante es quién dice ser. 60
Derecho de Internet, Contratación electrónica y firma digital – Rafael Mateu de Ros, Juan Manuel Cendoya
72
HUELLA DACTILAR 61 Una huella dactilar o huella digital es la impresión visible o moldeada que produce el contacto de las crestas papilares. Depende de las condiciones en que se haga el dactilograma (impregnando o no de substancias de color distinto al soporte en que asiente), y de las características del soporte (materias plásticas o blandas, en debidas condiciones). Sin embargo, es una característica individual que se utiliza como medio de identificación de las personas. El sistema de identificación de las personas a través de las huellas fue inventado por Juan Vucetich, croata, nacionalizado argentino, y el invento fue desarrollado en Argentina y patentado en este país. El primer país donde se utilizó el sistema de identificación de huellas para esclarecer un crimen fue también Argentina. La ciencia que estudia las huellas dactilares se llama dactiloscopía y dentro de ella existen dos grandes ramas con su propia clasificación de huellas. ADN62 El ADN es la molécula fundamental de la vida, porque lleva en su estructura la información hereditaria que determina las características y funciones esenciales del organismo. Desde hace décadas en el ámbito de la investigación criminal se efectúan exámenes de muestras biológicas como sangre, semen, cabello, etc. Pero es después de 1985 cuando el profesor británico Alex Jeffreys, de la Universidad de Leicester desarrolla el método de identificación de la llamada huella genética o identidad genética que éstos exámenes se refieren al componente genético de esas muestras. Como muchos de los exámenes destinados a su utilización es un conflicto jurídico de naturaleza penal, los de ADN suelen buscar la identificación de una persona. En definitiva se trata de precisar si una evidencia cuyo titular se ignora y de quien se presume su participación en un delito tiene el mismo origen que otra, cuyo titular es conocido. Dicho análisis ha experimentado una acelerada evolución. En el ADN existe una región mayoritaria, en la que la secuencia en que se presentan las bases nitrogenadas es prácticamente idéntica en todos los seres humanos. La existencia de diferencias sustanciales entre el ADN de diferentes personas fue descubierta por Whyman y White en 1980,
61
Huellas dactilares. Los orígenes de la dactiloscopia y ciencia identificación criminal - Beavan, Colin Compendio de criminalistica (2ª. Ed) – Rafael Moreno
62
73
en ADN con capacidad para instruir directamente al ácido ribonucleico para que fuera del núcleo en el citoplasma induzca la producción de proteínas por lo que se le llama codificante de proteínas. Si el objetivo es identificar sospechosos de la comisión de un delito se compara normalmente su huella genética con la obtenida de restos biológicos encontrados en el sitio del suceso. Sólo en este caso el perfil de ADN nuclear que se compara debe ser exclusivo e idéntico para poder afirmar con absoluta certeza lo que se busca. Entre los principales tipos de exámenes se encuentran los encaminados a determinar paternidad, los que buscan identificar restos humanos y los que permiten identificar delincuentes. La mayor importancia de la utilización del método de la huella genética radica en que por primera vez es posible la identificación precisa de cualquier individuo a partir de evidencias biológicas que tengan células con núcleo, encontradas en la escena del crimen. 5.3.2 DETECCIÓN
La detección de delitos informáticos es posible mediante el uso de la tecnología. Algunas herramientas por sí solas o en conjunto son de gran utilidad para la identificación de delitos de carácter informático. Algunas de las herramientas empleadas para la detección de estos delitos son los siguientes: Cisco Network Magic Pro : Controla los dispositivos que se encuentran en red, protege la red con
seguridad reforzada WPA, repara la red y las conexiones a Internet, controla el acceso a Internet y realiza el seguimiento de la actividad en línea capturando la pantalla del escritorio remoto. KGB Employee Monitor : Es una completa herramienta para monitorear de manera local o remota
todas las actividades realizadas en un equipo, como: registro de páginas visitadas, captura de pulsaciones en el teclado, registro del portapapeles, monitoreo de mensajes instantáneos (chat), registro de programas abiertos y cerrados, etc. 5.3.3 INVESTIGACIÓN
LABORATORIO FORENSE El laboratorio forense también llamado cómputo forense, informática forense o análisis forense digital es la aplicación de técnicas científicas y analíticas especializada a infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal.
74
Dichas técnicas incluyen la reconstrucción de un bien informático, examinar datos residuales, autenticar datos y explicar las características técnicas del uso aplicado a los datos y bienes informáticos. Esta disciplina hace uso no solo de la tecnología de punta para poder mantener la integridad de los datos y del procesamiento de los mismos, sino que también requiere de una especialización y conocimientos avanzados en materia de informática y sistemas para poder detectar dentro de cualquier dispositivo electrónico lo que ha sucedido. Adicionalmente, un examinador forense digital, dentro del proceso del cómputo forense puede llegar a recuperar información que haya sido borrada desde el sistema operativo. Evidencia Digital
Es cualquier información que sujeta a una intervención humana u otra semejante, ha sido extraída de un medio informático. Es un término utilizado de manera amplia para describir cualquier registro generado por o almacenado en un sistema computacional que puede ser utilizado como evidencia en un proceso legal. La evidencia digital puede ser dividida en tres categorías para saber: 1) Registros almacenados en el equipo de tecnología informática, por ejemplo: correos electrónicos, archivos de aplicaciones de informática, imágenes, etc. 2) Registros generados por los equipos de tecnología informática, por ejemplo: registros de auditoría, registros de transacciones, etc. 3) Registros que parcialmente han sido generados y almacenados en los equipos de tecnología informática, como por ejemplo: hojas de cálculo, consultas especializadas en bases de datos, etc. La materia prima para los investigadores es la evidencia digital, donde la tecnología informática es parte fundamental del proceso. Sin embargo y considerando el ambiente tan cambiante y dinámico de las infraestructuras de computación y comunicaciones, es preciso detallar las características propias de dicha evidencia en este entorno. La evidencia digital posee, entre otros, los siguientes elementos que la hacen un constante desafío para aquellos que la identifican y analizan en búsqueda de la verdad: es volátil, anónima, duplicable, alterable y modificable y eliminable.
75
Estas características nos revelan la exigente labor que se requiere por parte de los especialistas en temas de informática forense, tanto en procedimientos como en técnicas y herramientas tecnológicas para obtener y presentar la evidencia presente en una escena del delito. Dispositivos a analizar
La infraestructura informática que puede ser analizada es toda aquella que tenga una memoria informática, por lo que se pueden analizar los siguientes dispositivos: disco duro de una computadora o servidor, teléfono móvil o celular, agendas electrónicas (PDA’s), dispositivos de GPS, impresoras, memorias USB. Proceso de análisis
El proceso de análisis forense a una computadora se basa en los siguientes pasos: Identificación del objeto informático, preservación de la integridad de la evidencia, análisis para poder encontrar pruebas de ciertas conductas y presentación de la información que se obtuvo a partir del análisis.
76
CAPÍTULO VI. PROPUESTA DE SOLUCIÓN En este capítulo se dan a conocer las características y personalidades generales de los delincuentes informáticos, así como la presentación de los perfiles de delincuentes informáticos más comunes, siendo dicha determinación la parte más importante del presente trabajo de investigación. Por otra parte se sugiere una herramienta para la identificación de estos perfiles.
76
6.1 CARACTERÍSTICAS 63 Muchas han sido las investigaciones a nivel mundial donde el principal objetivo es establecer asociaciones comunes encontradas en delincuentes comunes, en la mayoría de esos estudios un factor que determina la investigación es la observación, la cual es un elemento primordial dado que se pueden observar características comunes en los sujetos observados. Se sabe que las características de un delincuente informático son completamente diferentes a las características de un delincuente común, siendo su valía tecnológica una de las principales diferencias con los delincuentes comunes, el establecimiento de características varía con relación al tipo de delito que se comete. A pesar que la delincuencia informática se considera como un tipo de delincuencia de cuello blanco, donde es difícil encontrar y juzgar al culpable debido a la complejidad de los sistemas de información para ofrecer evidencias palpables, algunos culpables han sido condenados y durante su condena han sido observados. A continuación se presentan las características más comunes encontradas en los delincuentes informáticos, que han sido obtenidas de un análisis donde se toman factores que se comparten con la comunidad informática, dada las acciones que se necesitan para cometer un delito informático.
63
•
Generalmente, sin antecedentes delictivos
•
La mayoría son hombres
•
Actúan de forma individual
•
Poseen gran inteligencia y alta capacidad lógica
•
Son jóvenes con gran conocimiento en el uso de las computadoras
•
Tienen confianza en sí mismos
•
Poseen gran concentración y perseverancia
•
Generalmente son jóvenes
•
Presentan tendencia a ir en contra de las reglas y normas
•
Laboralmente son muy trabajadoras
•
Introvertidos
•
Dependencia de la computadora
•
Reducida lealtad a sus superiores o jefes inmediatos
Baron, Robert A. (1996). Psicología. México: Editorial Prentice-Hall.
77
•
Sentido de tener derecho ante cualquier circunstancia
•
Desinterés por el impacto de sus acciones
6.2 PERSONALIDADES 43 La personalidad es aquello que tiene único o singular una persona, es decir, todo aquello que lo distingue de los demás. Por otra parte, la personalidad define la forma de actuar y reaccionar de una persona bajo distintas circunstancias. La personalidad es uno de los elementos más reveladores de cada individuo, en el estudio psicológico la detección de la personalidad de un individuo y a su vez permite evidenciar aspectos de su vida que el individuo no quiere mostrar. Hablando desde un punto de vista psicológico, el estudio de la personalidad permite a las empresas anticiparse a actos que afecten la operación de los procesos, dichos actos son ocasionados debido a la motivación del individuo, es decir un factor psicológico como puede ser el estado de ánimo del sujeto. Sin embargo, es indispensable desde un punto de vista informático saber cuáles son las motivaciones de un individuo a incurrir en un delito informático, con el fin de que la empresa tenga la posibilidad de anticiparse a una acción de este tipo, que paralice la operación de sus funciones. El estudio de la personalidad es uno de los temas que más se han estudiado dentro de la psicología y se configura a partir de diversas pruebas que le han sido presentadas en capítulos anteriores, dichos test han sido probados en delincuentes informáticos en diversos estudios por parte de Institutos Profesionales de psicología, en los cuales se han establecido los diferentes tipos de personalidad de los delincuentes informáticos y que le son presentados a continuación: •
Tipo de personalidad reflexiva: la cual define a una persona observadora, buen escucha, pasiva y que tiende a la soledad, además de optar por actividades individuales, sin apego a un horario fijo y que presenta dificultad para demostrar sus sentimientos. La mayor parte del tiempo lo invierte al análisis.
•
Tipo de personalidad lírica: que define a personas que siguen normas, con excesivo sentimiento
de
culpabilidad
y
baja
autoestima;
además
de
presentar
un
comportamiento sumiso y con poca habilidad para trabajo en equipo. •
Tipo de personalidad épica: define a personas que tienen tendencia a ser impulsivos, son poco tolerantes a la frustración, no tienen límites, toman y dejan a sus parejas, trabajos y cualquier situación estable. Por otra parte el aburrimiento es un detonante de acciones no pensantes.
78
•
Tipo de personalidad narrativa: describe a personas que se caracterizan por el orden y el control de todo lo que les rodea, suelen cuidar su estética y la limpieza. Son personas tenaces, cumplidoras y poco expresivas, sus relaciones afectivas son formales y poco espontáneas.
•
Tipo de personalidad dramática con impacto estético: es una personalidad que exterioriza sentimientos, son personas que se expresan mímica y verbalmente, generalmente no pasan inadvertidos y aparentar v ivir con mucha intensidad. Tienden a ser el centro de atención y necesitas ser queridos.
6.3 PRESENTACIÓN DE LOS PERFILES PSICOLÓGICOS El objetivo de este trabajo de tesina es la determinación de los perfiles psicológicos de delincuentes informáticos. Y derivado de una investigación se identifican los siguientes perfiles psicológicos de los delincuentes informáticos más comunes. Dicha investigación se ha configurado en base a diferentes aspectos, desde un punto de vista psicológico como informático. La idea de conocer las características técnicas de los atacantes ha permitido establecer los métodos de ataque más utilizados por los delincuentes informáticos; derivado del análisis de los ataques y las herramientas utilizadas se han identificado los posibles objetivos y prioridades en cada tipo de ataque, con lo que se establecen las motivaciones de los diferentes tipos de delincuentes informáticos. Con base
en el comportamiento presentado en los delincuentes informáticos,
se hace una
asociación con diferentes patrones de personalidad que permiten establecer las diferencias entre cada uno de estos delincuentes. Auxiliados de profesionales en la parte psicológica se han determinado cuales son las posibles características psicológicas que obliguen a un individuo a tener un comportamiento parecido al de un delincuente informático, lo cual puede ser percibido mucho antes de que se cometa el acto. A continuación se presentan los perfiles psicológicos de los delincuentes informáticos más comunes: Tendencia: Hacker
En el campo de la informática es común escuchar el término hacking, sin embargo este término ha adoptado diversas concepciones a lo largo de su evolución, para muchos el término hacking involucra una actividad ética donde el informático depura y soluciona errores con el fin de reducir
79
vulnerabilidades en los sistemas de seguridad. Mientras que para otros se trata de una concepción negativa donde el fin es eludir o desactivar las medidas de seguridad. Hablando de la segunda concepción que es la más utilizada en la modernidad, el Hacker es considerado como un gurú que posee las cualidades y los conocimientos para eludir sistemas que han sido diseñados e implementados por sus iguales (hablando en términos de conocimientos), con lo que demuestra su superioridad, el hacker presenta una alta motivación por demostrar a los demás y así mismo sus conocimientos. La tendencia de un posible hacker podría presentarse en personas que presenten una alta necesidad por reconocimiento de los demás, dada esta característica se cree que los hackers tienden a presentar un carácter antisocial y que dispuestos a ser aceptados pueden incurrir en este tipo de actividades. Derivado
de
una
investigación
de
casos
reales,
donde
los
delincuentes
informáticos
(específicamente hackers) han sido capturados y sentenciados se ha observado que en la mayoría de los casos se trata principalmente de hombres caucásicos, y dada la evolución de los sistemas no es raro encontrar individuos cuyas edades oscilan entre 18 y 28 años. Por lo general son solitarios, sus habilidades sociales son limitadas y su desarrollo es pobre en la escuela, no se sienten muy atraídos a las actividades académicas, pero muestran aptitud con el manejo de computadoras y equipo electrónico. Sus familias son regularmente disfuncionales, de madre soltera o padre soltero, han sido maltratados físicamente o emocionalmente. El sujeto muestra un comportamiento compulsivo, está acostumbrado a dormir poco. Para el sujeto el uso de la computadora se convierte en una forma de ganar control sobre un área específica de su vida, dado que el hacking es una actividad solitaria, en la cual el sujeto es el maestro de su computadora. Internet provee una sensación de anonimato para el sujeto, al no haber una interacción cara a cara en Internet, el sujeto lo considera una oportunidad para proyectarse como alguien poderoso y con prestigio (reflejados en el uso de pseudónimos). Al no ser feliz con quien en realidad es el sujeto usa la computadora como una f orma de escape. El sujeto se siente incomodo al estar con personas, de alguna forma siente que son inmorales y que deben aprender una lección, utilizan las computadoras y les redes como una medio para que aprendan dicha lección, con lo que se convierten a sí mismos en una fi gura de poder. Por lo regular este tipo de sujetos se describe a sí mismo como una persona solitaria, con bajas expectativas de sí mismas y desadaptados sociales.
80
Las probables razones que detonarían un comportamiento ilícito son: al no estar conforme consigo mismo el sujeto siente una necesidad de emoción de triunfo por lo que lo hace por retarse a sí mismo, un deseo de aprendizaje o satisfacción intelectual (demostrarle al mundo que él es el mejor); así como factores externos como deseo de venganza o sabotaje al estar en contra de algo. Tend encia Cracker.
Por lo general son sujetos con actitud de rebeldía. Son individuos agresivos y narcisistas, pueden exhibir una actitud pasiva, o de una conducta rígida, carente de afecto, tienen tendencia a actuar con hostilidad y v iolencia. Este tipo de sujetos carecen de aspiraciones y sus intereses son limitados, posee una personalidad inmadura e infantil, son masoquistas y no pueden i ndependizarse de su núcleo f amiliar, ellos utilizan la acción como medio para obtener satisfacción a sus necesidades. Por lo general tienen un sentimiento de soledad, y este proviene de ansiedades paranoicas y depresivas que son excesivamente intensas en este individuo. Tienden a agruparse en grupos pequeños, muy secretos y privados. Los miembros de estos grupos
no
tienen
habilidades
significativas
de
programación
y
no
conocen
términos
extremadamente técnicos. Estos sujetos pueden ser empleados rencorosos o frustrados de alguna empresa, que tengan fines maliciosos o de venganza en contra de alguna empresa o persona, o pueden ser estudiantes que quieran demostrar sus habilidades. Tendencia: Ph reaker
Sujeto cuyos conocimientos y habilidades son ilimitados con relación a los sistemas de telefonía, su principal motivación es el desarrollo del conocimiento necesario para manipular sistemas tecnológicamente complejos y en segundo plano el evadir el pago por el uso del servicio de telefonía. Muestra curiosidad por las computadoras y las redes telefónicas, para conocer cómo funcionan y detectar posibles v ulnerabilidades. Su reto es burlar la protección de las redes públicas y corporativas de telefonía, con el fin de poner a prueba sus conocimientos.
81
Comúnmente es una persona ordenada y muy cuidadosa con lo que dice o hace. Tiene gran habilidad mental para retener y referenciar grandes cantidades de detalles que pueden ser de utilidad para el logro de su objetivo. Tendencia: Defraud ador
El defraudador presenta un comportamiento seguro, por la facilidad y naturalidad con la que se expresa. Dicha seguridad pudiera ser un buen elemento para persuadir y convencer a personas muy inteligentes. La fascinación de su personalidad radica en la fuerza de autosugestión para convencerse a sí mismo de la verdad de sus palabras y de sus hechos. Obtiene un sentimiento de satisfacción colocándose en una posición social elevada (su éxito depende de la s cosas materiales que posee). En el aspecto familiar se ha observado en los sujetos con estas características que provienen de una familia de clase media, dado que al no alcanzar las cosas materiales que desean hacen todo lo posible por obtenerlas, siendo esta su principal motivación, pero se ha encontrado que estos sujetos tiene un amplio sentimiento por la moralidad y las buenas costumbres, por lo que ha sido raro encontrar casos en los que el sujeto con esta tendencia presente algún tipo de violencia física sobre la víctima. Al provenir de una familia de clase media es posible que el sujeto haya tenido una educación rígida y estricta, es decir que sus padres lo hayan frustrado con prohibiciones severas. Proviniendo esa necesidad de obtener cosas materiales por dichas prohibiciones Por lo general no presenta comportamiento agresivo, utiliza medios como el engaño, el artificio y el enredo para lograr sus objetivos. Para el sujeto es necesario brindar una imagen que represente un status social elevado, esta imagen de solvencia le permite evitar sospechas en su contra. Por lo general es narcisista, necesita satisfacer fantasías de grandeza y posee una concepción muy alta del yo. Es probable que no se pueda determinar una personalidad específica, puesto que el sujeto asume identidades de otros para poder concretar su fantasía. Realiza esa conducta debido a que su propio yo es desvalorizado y por eso elige y usurpar el nombre de otro (real o imaginario) quien cumple los requisitos de su propio ideal. Por lo común es inteligente, observador, y entre sus rasgos más acentuados encontramos una imaginación exuberante. Otra de las características que presenta el sujeto es su capacidad para utilizar el lenguaje verbal como técnica de acción sobre los demás. Uno de los posibles detonantes es su relación con las personas, ya que dado su narcisismo cree que si una persona es tan tonta para dejarse engañar, bien merecido lo tiene. Los medios que
82
utiliza son la seducción y la habilidad para convencer a la víctima. Dado su gran respeto por la moral y las reglas, difícilmente emplea algún tipo de violencia, por lo que es difícil que realice otro crimen como el robo, homicidio o hurto. Tendencia: Adic to a Internet
El adicto a Internet es aquella persona con la necesidad de incrementar notablemente la cantidad de tiempo en Internet para lograr satisfacción. En cierto momento de la enfermedad el individuo llega al síndrome de la abstinencia en donde existen síntomas como la agitación psicomotora, ansiedad, pensamientos obsesivos acerca de lo que estará sucediendo en Internet, fantasías o sueños a cerca de Internet, movimientos de tecleo voluntarios o involuntarios y estos llegan a causar malestar o deterioro en el área social y laboral en el que se desarrolla la persona. Después de la abstinencia el adicto a Internet trata de aliviar su necesidad accediendo a Internet con más frecuencia o por periodos más largos de lo que inicialmente se pretendía, tiene un deseo persistente o esfuerzos infructuosos de controlar o interrumpir el uso de Internet. Sus actividades sociales, ocupacionales o recreativas las deja o reduce a causa del uso del Internet, y la persona lo sigue utilizando a pesar de que conoce que tiene un persistente o recurrente problema físico, social, ocupacional o psicológico. Este tipo de sujetos una vez conectados a Internet experimentan un sentimiento de desinhibición y de pérdida de ataduras. Se sienten fuera de control y tienen la sensación de que el tiempo se detiene o que pasa muy rápido una vez que están conectados a la red. Tend encia: Pirata Inform ático
La piratería es un delito común no solo en el ámbito informático, sino que se puede dar en la mayoría de las áreas laborales, debido a que no solo es usurpación de información o de sistemas, la piratería también incluye robo de ideas, proyectos y hasta de personal. Ahora bien, entrando al terreno de la informática, la piratería es considerada por muchos como la venta de sistemas, copiados ilegalmente, a precios más baratos, pero éste término va más allá, abarca no solo aplicaciones comerciales, sino que también privadas, un pirata puede ser cualquier persona que robe información valiosa para la compañía donde labora y lucre con dichos datos. La determinación de éste perfil se pudo lograr gracias a que en el fondo, un pirata puede ser considerado como un ladrón que sabe lo que es importante para otros y lo toma a como dé lugar. Por ello es posible identificar al pirata informático con algunas preguntas relacionadas a la manera de conseguir sus objetivos, no importando si el fin es benévolo o no. El comportamiento de éste
83
tipo de delincuente es fácilmente identificable ya que muchas veces actúa de m anera desesperada al tratar de conseguir su objetivo, que en este caso es la información. Es por lo anterior que se puede definir a los piratas informáticos como sujetos que venden sus servicios de cracking y encripting a personas que sustraen información de diversas bases de datos”. Estos sujetos pasan días y noches trabajando en algoritmos de encriptación que tienen los datos, es decir su forma de trabajo es extrayendo información de manear ilícita de empresas de las cuales pueden o no ser trabajadores. Dado que el robo de información puede ser tan sencillo como robar el disco duro de alguna computadora, existen los piratas profesionales y los amateur. La sustracción y venta de información por parte de personal de informática o contable/financiero son los casos más sonados, en la mayoría de veces son personas con un bajo conocimiento de informática (amateur) pero que piden que los módulos que tienen asignados no sean usados por otras personas y siempre son el único centro del conocimiento de dicho módulo o herramienta. Algunos de ellos son coordinados p or piratas informáticos profesionales que les dan herramientas, tales como troyanos, spyware o bombas de tiempo, para que ellos puedan tener el control externo de los sistemas de la organización. El ego y la voluntad de un pirata informático de querer saber que más hay dentro de la red de esa organización lo lleva los extremos en su nivel de adrenalina invirtiendo bastante tiempo rastreando pacientemente cada equipo en búsqueda de algo "útil" que puedan vender o que pueda comprometer a una persona, mas si son charlas grabadas o capturadas, fotos personales y familiares que en manos de organizaciones criminales son de mucha utilidad. En la mayoría de los casos son pistas que introducen a su Hi5, MySpace o Facebook más la sustracciones de sus contactos, lo cual hace un verdadero catálogo virtual que ofrecer a cualquier banda de secuestradores o de personas dedicadas al trato y tráfico de seres humanos al servicio de la prostitución, y todo esto gracias al error de un "especialista en sistemas o seguridad informática" que vendió un software para el cual nunca diseño un sistema de seguridad y del cual un pirata informático sustrajo y trajo como consecuencia la perdida, rapto o muerte de un ser humano. Los siguientes comportamientos son propios de un pirata informático: 1.
Su mente solo piensa en el dinero basado en el robo de información y disfrutarlo.
2.
Le gusta falsificar documentos digitales y físicos y glorificarse de ello.
84
3.
Es fácil conseguirlo conseguirlo en un antro, discoteca o bar, ese es su mundo pues se cree rudo.
4. Normalmente trata de pegarse pegarse a los buenos hacker para adquirir tips que le ayuden en sus travesuras o herramientas que él pueda aprovechar para ex plotar sistemas y entrar a ellos. 5. Como su mente está está más ocupada pensando en dinero y en en "la buena vida", carece carece de lógica en el desarrollo de proceso, lo cual siem pre lo lleva a mantener una agenda o libreta de datos ya sea fí sica o electrónica. 6. Con el producto de sus sus ventas, se mantiene mantiene comprando todo lo que que sea del mundo tecnológico y presumiéndolo a sus amistades. 7.
Por ser presumido y bocón, cae fácil, pues su ego ego lo delata (es el típico tipo tipo que cree que que se las sabe todas)
8.
No por ser un pirata no deja de ser ser un delincuente, ya que que por su afán de obtener obtener dinero viola sistemas y estructuras al llegar al punto de sustracción física de hardware y documentos.
9.
Sus herramientas se se basan en modelos sencillos, funcionales y portables.
10. Sus continuos gastos hacen que tenga que mantenerse activo en el robo de información 11. Siempre hay que ver al Bucanero, Bucanero, que es la fuente del dinero en el negocio de robo de información y espionaje electrónico, pues es él quien da el objetivo y paga, pero que a su vez, obtiene una gran remuneración por la información sustraída ya que sabe a quien más vendérsela.
6.4 DESARROLLO DE LA HERRAMIENTA El sistema registra datos personales del candidato, al cual se le aplica una batería de exámenes que corresponden a 2 tipos de examen, examen psicométrico y examen técnico, dichas pruebas determinan si el candidato es tendiente a ser un delincuente informático. El personal de recursos humanos aplica las pruebas y además revisa los resultados del test que aplica el candidato, al candidato no se la muestran muestran los resultados de las pruebas realizadas. Para Para asegurarse de que solo personal de recursos humanos tengan acceso a la herramienta se les crea un acceso con su respectiv a contraseña para regular la seguridad del sistema y la veracidad de los resultados. Los resultados pueden ser consultados una v ez de previa autenticación por personal de recursos humanos por medio de una clave única que se asigna al candidato o por su nombre.
85
Los resultados del test se almacenan solo con el total de puntos obtenidos, lo cual significa que no se tiene acceso a lo que respondió el candidato, sino solo la asignación de puntos obtenidos que determinan el resultado de la prueba.
6.4.1 ANÁLISIS Planteamiento del Problema Derivado de la falta de métodos que ayuden a la prevención de delitos informáticos, hoy en día es un problema que afecta gravemente a las Organizaciones que son víctimas de éstos delitos, derivado de la pérdida de información o de recursos que tienen un impacto económico. Se sabe que la gran mayoría de estos delitos son cometidos por personas internas a las Empresas, las cuales cuentan con un área de Reclutamiento y Selección de Personal que se enfoca en la aplicación de exámenes psicométricos para determinar si un candidato es apto o no para ocupar cierto puesto, sin embargo no se tiene una herramienta que ayude en la identificación de posibles delincuentes informáticos.
Objetivo Contar con una herramienta automatizada para la aplicación de test psicológicos y técnicos cuyos resultados sean confiables y precisos, que ayuden en la toma de decisiones en el área de Reclutamiento y Selección de Personal para identificar a los candidatos con tendencia a cometer delitos informáticos y evaluar su contratación. El criterio tomado en cuenta para determinar si una persona es tendiente o no a cometer un delito informático se basa en la cantidad de respuestas positivas, si este es igual o mayor al 80% se determina como tendiente.
Alcance El alcance que cubre la herramienta automatizada, automatizada, está orientado a la evaluación de los siguientes test: •
Test Psicométrico
•
Test Técnico
Y a la generación de un Reporte de cada examen aplicado con el resultado del mismo.
Descripción La funcionalidad de la herramienta se describe como la aplicación de exámenes de carácter psicológico y técnico. Así como la evaluación de los resultados de cada uno, en base a criterios previamente definidos y la generación de un reporte con la información de cada test aplicado.
86
A continuación se describe de manera general las principales funcionalidad contenidas en la herramienta.
Requerimientos Funcionales Prioridad:E=Esencial/C=Condici Prioridad:E=Esencial/C=Condicional/ onal/ O=Opcional Clase: R = Proceso/ P = Pantalla / R = Reporte
Id
Nombre del Proceso/Función
Descripción Funcionalidad Requerida
Prioridad
Clase
REQ01
Administración de la Aplicación
Por medio de una pantalla de Administración se dará de alta usuario y contraseña para el acceso a la aplicación.
E
P
REQ02
Test Psicométrico
Permitirá la aplicación de un Test Psicológico con un medidor del tiempo de respuesta.
E
P
REQ03
Test Técnico
Permitirá la aplicación de un Test Técnico.
E
P
REQ04
Reporte
Permitirá la generación de un reporte con la evaluación de los Test aplicados.
E
R
Descripción de Pantallas Identificador: REQ01 Título de la Pantalla: Administración Tipo Pantalla: C = Consulta / A = Alta / B = Baja / Ca = Cambio Nº
Datos que deberá contener la pantalla
Tipo Pantalla
1
Nombre
A
2
Apellido Paterno
A
3
Apellido Materno
A
4
Usuario
A
6
Contraseña
A
Identificador: REQ02 87
Título de la Pantalla: Test Psicométrico Tipo Pantalla: C = Consulta / A = Alta / B = Baja / Ca = Cambio
Nº
Datos que deberá contener la pantalla
Tipo Pantalla
1
Fecha
A
2
Nombre Completo
A
3
Edad
A
4
Sexo
A
Identificador: REQ03 Título de la Pantalla: Test Técnico Tipo Pantalla: C = Consulta / A = Alta / B = Baja / Ca = Cambio Nº
Datos que deberá contener la pantalla
Tipo Pantalla
1
Fecha
A
2
Nombre Completo
A
3
Edad
A
4
Sexo
A
Identificador: REQ04 Título de la Pantalla: Reporte Tipo Pantalla: C = Consulta / A = Alta / B = Baja / Ca = Cambio Nº
Datos que deberá contener la pantalla
Tipo Pantalla
1
Fecha
C
2
Candidato
C
3
Aplicador
C
3
Resultado
C
6.4.2 DISEÑO Diseño del sistema de software General
88
Diagrama de Flujo
Inicio
Bienvenida al usuario
1
Se selecciona consulta o alta
de usuario
NO
¿Se selecciono alta de usuario?
Ingresar usuario y password de administrador
Ingresar datos de consulta
Consulta de resultados
SI
1
Se selecciona alta de usuario o alta de usuario administrador
NO
Llenado de datos para alta de usuario administrador
¿Se selecciono alta de usuario?
Generación de nuevo usuario administrador .
1
SI
Llenado de datos para alta de usuario
Se genera nuevo usuario
2
89
2
Instrucciones para el llenado de test psicológico
Realización de test psicológico
Instrucciones para el llenado de test de conocimientos
Realización de test de conocimientos
Se generan resultados para el usuario actual
Fin
Diagrama Entidad Relación N:M CANDIDATO
Evalúa
RECURSOS HUMANOS
1: 1 Aplica
N:M PSICOMETRICO
TÉCNICO
Consulta
1 :1 Genera
RESULTADO
90
Elementos del diseño de la Base de Datos (Tablas)
Diseño de las Pantallas ♦
Pantalla Principal
Test Delincuente Informático PERFILES PSICOLÓGICOS Versión 1.0 INIICIAR
SALIR
91
♦
Pantalla de Acceso
Nombre: Contraseña:
ACEPTAR
♦
CANCELAR
Pantalla de Inicio
BIENVENIDO
NUEVO TEST
♦
CONSULTAR
SALIR
Pantalla Nuevo Test
INTRODUZCA LOS DATOS DEL CANDIDATO Nombre Edad: Sexo: ♦
Pantall NUEVO
INICIAR TEST
SALIR
♦
92
♦
Aplicación de Test
CANDIDATO: 1. Utiliza una amplia variedad de reglas r eglas heurísticas para determinar cuando un correo electrónico es spam. A)
SpamTrade
RESPUESTA
B)
SpamAssassin
CORRECTO
C)
PuzzleSpam
INCORRECTO
SALIR
♦
B
SIGUIENTE
Pantalla Consulta
CANDIDATO: NOMBRE: EDAD: SEXO: PUNTAJE: PERFIL (ES): CONSULTAR
MENÚ PRINCIPAL
93
CAPÍTULO VII. CASO PRÁCTICO: APLICACIÓN DE LA PROPUESTA En este capítulo se presentan las generalidades de la em presa Trayecta S.A. de C.V donde se aplica la herramienta automatizada, mostrando los resultados obtenidos de la aplicación de la misma, mencionando las ventajas y desventajas durante su aplicación.
93
7.1 GENERALIDADES DE LA EMPRESA TRAYECTA SISTEMAS S.A. DE C.V Trayecta Sistemas S.A. DE C.V. es una organización mexicana de profesionales, con una amplia experiencia y especialización en desarrollo de software para el ámbito financiero y empresas PYMES de Tecnología de Información. Las oficinas de la empresa Trayecta Si stemas se encuentran localizadas en la calle Independencia No. 55 Tlalpan Centro en México Distrito Federal.
MISIÓN Contribuir al desarrollo de la humanidad ayudando a las empresas, organizaciones y sociedades a adoptar nuevos paradigmas tecnológicos de forma eficiente y segura.
VISIÓN Convertirse en una organización internacional, reconocida por su excelencia en servicios de consultoría, logrando la confianza de nuestros clientes al ayudarlos a ser exitosos a través de las herramientas y soluciones entregadas. Lograr anticipar el futuro a través de la investigación y desarrollo, compartiendo esta visión con nuestros clientes y socios de negocio, ayudando a utilizar eficientemente la mejor tecnología disponible, para aumentar su ventaja competitiva.
VALORES Los valores que nos distinguen ante nuestros clientes son la ética, responsabilidad, experiencia e innovación. Y nuestros Objetivos a través de la aplicación de nuestros valores son: El éxito de nuestro cliente, Actitud de Servicio, Servicio al Cliente y Rentabilidad.
7.2 APLICACIÓN DE LA HERRAMIENTA La herramienta sugerida para detectar a posibles delincuentes informáticos fue entregada al director de la empresa “Trayecta Sistemas S.A. DE C.V.” en CD con su respectivo manual de usuario el día 15 de Agosto del 2009 y fue instalada en cuatro computadoras para ser aplicada al personal de la empresa esa misma tarde a 7 de los 8 empleados que actualmente laboran en la empresa. Alejandro Reyes Bravo Brav o integrante de este trabajo de tesina y Ricardo García Valdovino empleado de la empresa “Trayecta Sistemas S.A. DE C.V.”, fueron fueron los encargados de vigilar al personal de la empresa en el momento de la aplicación de la herramienta. 94
7.3 RESULTADOS OBTENIDOS Una vez aplicada la herramienta a todos los empleados de la empresa, Ricardo García Valdovino fue el encargado de revisar los resultados de sus compañeros en cada uno de los equipos en los cuáles se aplicó la herramienta. Los resultados derivados de la aplicación de la herramienta son los siguientes:
Empleado
Folio Asignado *
Puesto
Empleado 1
001
Analista Programador Jr.
Empleado 2
002
Líder de Proyecto
Empleado 3
003
Analista Programador Jr.
Empleado 4
004
Analista Programador Sr.
Empleado 5
005
Analista Programador Sr.
Empleado 6
006
Analista Programador Jr.
Empleado 7
007
Analista Programador Jr.
Resultado No es tendiente a ser Delincuente Informático No es tendiente a ser Delincuente Informático
Es tendiente a ser Hacker
Es tendiente a ser Hacker No es tendiente a ser Delincuente Informático No es tendiente a ser Delincuente Informático No es tendiente a ser Delincuente Informático
* Los resultados de los empleados serán identificados por el folio asignado a cada empleado de la empresa “Trayecta Sistemas S.A. DE C.V.”. Como muestra, analizaremos algunos de los resultados obtenidos explicando el motivo de cada uno de ellos.
95
Empleado 1
Este empleado cumple con el perfil psicológico de un Hacker (círculo rojo), pero debido a que tiene un promedio menor a 8 (circulo verde) el resultado muestra habilitado el botón de NINGUNO (circulo negro) que al momento de ser presionado muestra la explicación del resultado.
96
Empleado 2
Este empleado no cumple con ningún perfil psicológico de delincuente informático (círculo rojo), además de que tiene un promedio mayor a 8 (circulo verde) el resultado muestra habilitado el botón de NINGUNO (circulo negro) que al momento de ser presionado muestra la explicación del resultado.
97
Empleado 3
Este empleado cumple con el perfil psicológico de un Hacker (círculo rojo), y dado que tiene un promedio mayor a 8 (circulo verde) el resultado muestra habilitado el botón de HACKER (circulo negro) que al momento de ser presionado muestra la explicación del perfil con el que cumple el empleado.
98
7.4 VENTAJAS Como resultado de la aplicación de la herramienta, se pudieron identificar las siguientes ventajas que la Empresa “Trayecta Sistemas S.A. de C.V.”, obtiene al implementar el mecanismo de identificación de perfiles psicológicos. Las ventajas que se tienen con los resultados de la herramienta son las siguientes: •
Identificar de un grupo de colaboradores de la empresa, a aquellos que son tendientes o no a cometer delitos de carácter informático y saber si cuentan con los conocimientos necesarios para llevar a cabo dichos delitos.
•
Una vez identificados a los colaboradores tendientes a cometer un delito, la Empresa tiene la posibilidad de valorar su desempeño y determinar si estas personas deben o no continuar laborando en ella.
•
Al contratar a nuevo personal y dependiendo del resultado de la herramienta, la Empresa tiene elementos suficientes para determinar si desea contratar a un candidato con tendencia a cometer un delito informático y evaluar el riesgo de hacerlo.
7.5 DESVENTAJAS Por otra parte, se tienen identificados las siguientes desventajas derivado de la aplicación de la herramienta. 99
•
Una de las desventajas es que no se cuenta con un psicólogo profesional durante la aplicación de la herramienta, por lo que no se puede evaluar el comportamiento del candidato.
•
No se tiene un alto nivel de confianza del resultado mostrado debido a que no se hace un análisis de confianza de la evaluación.
100
CONCLUSIONES La evolución de la delincuencia informática ha creado un nuevo horizonte de investigación para los profesionales de las tecnologías de información, específicamente aquellos involucrados en seguridad informática. Durante el presente trabajo de tesina se han mostrado los perfiles psicológicos asociados a delincuentes informáticos, con el fin de detectarlos previos a su contratación. Sin embargo se concluye que la identificación de dichos delincuentes conlleva un proceso más complejo, debido a que la psicología juega un papel importante y dado que no es una ciencia exacta es difícil establecer si una persona es o no es un delincuente informático. La aportación del equipo de trabajo se ve reflejada en el establecimiento del perfil psicológico, sugiriendo los patrones de comportamiento y características más significativas para cada tipo de delincuente informático. Adicionalmente, se ha propuesto una herramienta que
apoye en la
determinación de una posible t endencia asociada a un delincuente informático. Es importante recalcar, que se ha comprobado que en la mayoría de las ocasiones, los delincuentes informáticos son personas que están involucradas con la organización, por lo general personal de la misma empresa. El estudio de métodos y mejores prácticas para prevenirla, ha sido una constante para los expertos en seguridad. Pero es indispensable ampliar el campo de investigación. Si bien es cierto que los sistemas de seguridad juegan un papel crucial también lo juega el recurso humano, que finalmente es el eslabón débil de la cadena. La determinación de los perfiles psicológicos de delincuentes informáticos ofrece una gran oportunidad a las organizaciones de evaluar el riego de contratar a una persona que presente una posible tendencia a ser un delincuente informático, la prevención ha sido el mejor aliado en l a lucha de la delincuencia informática, el beneficio se verá claramente reflejado en la reducción de pérdidas monetarias. El aviso, es que los perfiles mostrados y la herramienta propuesta son solo una recomendación para las empresas, los resultados no garantizan que se trate o no de un delincuente informático. Se llega a la conclusión que esta tesina es la base para una investigación más profunda, en la cual se logre establecer una forma de evaluación cuyo resultado sea altamente confiable. A pesar de que en esta tesina se ha propuesto una herramienta, por falta de tiempo no se ha evaluado el nivel de confianza de la misma. Lo cual deja una puerta abierta para la creación de una versión más eficiente.
101
BIBILIOGRAFÍA ♦
Marchori, Hilda, “El estudio del delincuente”. Tratamiento penitenciario”, 5ª edición, Edit. Porrúa, México, 2004.
♦
Marchori, Hilda, “Personalidad del delincuente”, 6ª edición, Edit. Porrúa, México, 2005.
♦
Marchori, Hilda, “Psicología Criminal”, 10ª edición, Edit. Porrúa, México, 2004.
♦
Labake Julio Cesar, “Introducción a la psicología”, 10ª edición, Edit. Bonum, Argentina, 2004.
♦
Larsen Randy J, “Psicología de la personalidad”, 2ª edición, Edit. McGraw-Hill, México, 2005.
♦
Balcazar Patricia, “Teorías de la personalidad”, 1ª edición, Edit. UAEM, México 2002.
♦
Schultz Duane, “Teorías de la personalidad”, 7ª edición, Edit. Thomson, México, 2005.
♦
Pervin
Lawrence, “Personalidad: teoría e investigación”, 1ª edición, Edit. El manual
moderno, México, 2000. ♦
Aguirre Gloria, “Los test proyectivos”, 1ª edición, Edit. Laertes, Barcelona, 1999.
♦
Silva, Arturo, “Criminología y conducta antisocial”, 1ª edición, Edit. PAX México, México, 2003.
♦
López Betancourt, Eduardo, “Teoría del Delito”, 12ª edición, Edit. Porrúa, México, 2004.
♦
Kerlinger, Fred y Lee, Howard B., “Investigación del Comportamiento”, Edit. Mc. Graw Hill, México, 2002.
♦
Horward, John D. “Thesis: An Analysis of security on the Internet 1989-1995”. Carnegie Institute of Technology. Carnegie Mellon University, EUA, 1995.
♦
Amuchategui Requena, Griselda, “Derecho Penal”, Ed. Oxford, México, 2002.
♦
Betancourt López, Eduardo, “Introducción al Derecho Penal”, Edit. Porrúa, octava edición, México, 2000.
♦
Betancourt López, Eduardo, “Manual de Derecho Positivo Mexicano”, Edit. Trillas, primera reimpresión, México, 1999. - 102 -
♦
Carranca y Trujillo, “Derecho Penal Mexicano”. Parte General, Edit. Porrúa, Decimanovena Edición, México, 1997.
♦
Castellanos Tena, Fernando, ”Lineamientos Elementales de Derecho Penal”, Edit. Porrúa, Decimoséptima Edición, México, 1982.
♦
Colín Sánchez, Guillermo, “Derecho Mexicano de Procedimientos Penales”, Edit. Porrúa, Decimoséptima edición, México, 1998.
♦
Cortes, Ibarra, Miguel Ángel, “Derecho penal”, Cárdenas Editor y Distribuidor, cuarta edición, México, 1992.
♦
Jiménez de Asúa, Luis, ”Lecciones de Derecho Penal”, Edit. Oxford, México, 1999.
♦
Macedo, Miguel S., “Apuntes para la historia del Derecho Penal Mexicano”, Edit. Cultura, México, 1931.
♦
Margadant S, Guillermo F, “Introducción a la Historia del Derecho Mexicano”, Edit. Esfinge, décimo sexta edición, México, 1999.
♦
Moreno Hernández, Moisés, “Política Criminal y Reforma Penal. Algunas bases para su democratización en México”, Edit. Jus Poenale, México, D.F., 1999.
♦
Ojeda Velázquez, Jorge, Derecho Punitivo,” Teoría sobre las consecuencias jurídicas del delito”, Edit. Trillas, México, 1993.
♦
Reynoso Dávila, Roberto, “Teoría de General de las Sanciones Penales”, Edit. Porrúa, México, 1996.
♦
Rodríguez Manzanera, Luis, ”Victimología”, Tercera edición, Edit. Porrúa, México, 1996.
♦
Vergara Tejada, José Moisés, “Manual de Derecho Penal”, parte general, Edit. Ángel Editor, México, 2002.
♦
“Código penal del Estado de Sonora”, Edit. Anaya Editores, México, 1999.
♦
“Código Procesal Penal del Estado de Sonora”, Edit. Anaya Editores, México, 1999.
♦
Malo Camacho, Gustavo, “Derecho Penal Mexicano”, Edit. Porrúa, México, 1998.
♦
González de la Vega, Francisco, “Derecho Penal Mexicano”, Edit. Porrúa, México, 1996.
♦
Betancourt López, Eduardo, “Teoría del Delito”, Edit. Porrúa, México, 1994. - 103 -
♦
Beccaria, “Tratado de los delitos y de las penas”, Editorial Porrúa, México, 1995.
♦
González Quintanilla, José Arturo, “Derecho Penal Mexicano”, Edit. Porrúa, México, 1993.
♦
Villalobos, Ignacio, “Derecho penal mexicano”, Edit. Porrúa, México 1975.
♦
Barrios Garrido Gabriela, Muñoz de Alba M Marcia, Pérez Bustillos Camilo, “Internet y Derecho en México”, Edit. Mc Graw Hill., México 1998.
♦
Téllez Valdés Julio, “Derecho informático”, Edit. Mc Graw Hill., México, Segunda Edición 1996.
♦
Barragán, Julia, “Informática y decisión jurídica”, Edit. Distribuciones Fontamara S.A., Primera Edición 1994, México.
♦
“Constitución Política del Estado de Michoacán”, Cuadernos Michoacanos de Derecho, Edit. ABZ.
♦
“Código Penal del Estado de Michoacán ”, Cuadernos Michoacanos de Derecho., Edit. ABZ.
♦
www.delitosinformaticos.com/trabajos/criminalistica.pdf , abril 2009
♦
http://www.kevinmitnick.com/ , junio 2009
♦
http://www.aeapg.org.ar/ , junio 2009
♦
http://www.derecho.unam.mx/papime/TeoriadelDelitoVol.II/tres.htm , mayo 2009
♦
http://74.125.113.132/search?q=cache:DkoCEbzzcQJ:cursweb.educadis.uson.mx/mcamar go/documentos/NOTAS%2520PARA%2520EDICION%2520DERECHO%2520PENAL%25 20I.doc+elementos+positivo+negativo+delito&cd=5&hl=es&ct=clnk&gl=mx , mayo 2009
- 104 -
GLOSARIO Adware: Es cualquier programa que automáticamente se ejecuta, muestra o baja publicidad web al computador después de instalado el programa o mientras se está utilizando la aplicación. Agujero: Fallo en la seguridad de una aplicación, sistema informático o sitio web, que permiten ser explotado para el hacking. Auditoria Informática: Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Autenticación: Es el acto de establecimiento o confirmación de algo (o alguien) como auténtico, es decir que reclama hecho por, o sobre la cosa son verdadero. Buffer: Es una ubicación de la memoria en una computadora o en un instrumento digital reservada para el almacenamiento temporal de información digital, mientras que está esperando ser procesada. CERT: (Computer Emergency Response Team) Equipo de Respuesta a Emergencias Informáticas. Sus funciones principales consisten en recoger información sobre eventuales violaciones de seguridad, coordinar los procedimientos relativos a tales violaciones y adiestrar o enseñar a la comunidad de internet sobre el argumento de la seguridad. Control interno: Es un proceso llevado a cabo por las personas de una organización, diseñado con el fin de proporcionar un grado de seguridad "razonable" para la consecución de sus objetivos. Cracking: Es la modificación de cualquier tipo de software con el fin de remover sus métodos de protección. Criminalística: Es una ciencia auxiliar del Derecho penal cuyo objetivo es el descubrimiento, explicación y prueba de los delitos, así como la verificación de sus autores y víctimas. La criminalística se vale de los conocimientos científicos y aplica diferentes procedimientos y técnicas de investigación para reconstruir los hechos. El conjunto de disciplinas auxiliares que la componen se denominan ciencias forenses. Dactilograma: Es el dibujo formado por las crestas papilares de las yemas de los dedos de las manos. - 105 -
Encriptación: Es el proceso mediante el cual cierta información o "texto plano" es cifrado de forma que el resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es una medida de seguridad utilizada para que al momento de almacenar o transmitir información sensible ésta no pueda ser obtenida con facilidad por terceros. Examen Psicométrico: Examen utilizado por los psicólogos para asignar un valor numérico a las características de las personas, es usada esta función pues es más fácil trabajar y comparar los atributos intra e interpersonales con números y/o datos objetivos. Así, no se usa para medir personas en sí mismas, sino sus diferentes aspectos psicológicos, tales como conocimiento, habilidades, capacidades, o personalidad. FBI: (Federal Bureau of Investigation) Agencia federal de aplicación de la ley que es el brazo investigador principal del Departamento de Justicia. Firmware: Es un programa que es grabado en una memoria ROM y establece la lógica de más bajo nivel que controla los circuitos electrónicos de un dispositivo. GPS: Se trata de un sistema global de navegación por satélite (GNSS) que permite localizar con precisión un dispositivo GPS en cualquier lugar del mundo. Hardware: Corresponde a todas las partes físicas y tangibles de una computadora: sus componentes eléctricos, electrónicos, electromecánicos y mecánicos. Incidente: Un incidente de Seguridad Informática está definido como un evento que atenta contra la Confidencialidad, Integridad y Disponibilidad de la información y los recursos. ISO: (International Organization for Standardization - Organización Internacional para la Estandarización). Se encarga de crear estándares o normas internacionales. Malware: (del inglés malicious software, también llamado badware, software malicioso o software malintencionado) es un software que tiene como objetivo infiltrarse en el sistema y dañar la computadora sin el conocimiento de su dueño. Phishing: Es un término informático que denomina un tipo de delito encuadrado dentro del ámbito de las estafas, y que se comete mediante el uso de un tipo de ingeniería social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria).
- 106 -
Protocolo: Es el conjunto de reglas normalizadas para la representación, señalización, autenticación y detección de errores necesario para enviar información a través de un canal de comunicación Script: Un script (cuya traducción literal es guión) o archivo de órdenes o archivo de procesamiento por lotes es un programa usualmente simple, que generalmente se almacena en un archivo de texto plano. SGSI: Es un acrónico de Sistemas de Gestión de la Seguridad de la Información. Software: Son las instrucciones electrónicas que van a indicar al ordenador que es lo que tiene que hacer. También se puede decir que son los programas usados para dirigir las funciones de un sistema de computación o un hardware. Spamming: Es el hecho de enviar mensajes electrónicos
(spam) (habitualmente de tipo
comercial) no solicitados y en cantidades masivas. TI: Tecnologías de la información o simplemente TI, es un amplio concepto que abarca todo lo relacionado a la conversión, almacenamiento, protección, procesamiento y transmisión de la información. El concepto se emplea para englobar cualquier tecnología que permite administrar y comunicar información. Vulnerabilidad: Es definida como un fallo en el proyecto, implementación o configuración de un software o sistema operativo que, cuando es descubierta por un atacante, resulta en la violación de la seguridad de un computador o un sistema computacional. WPA: Es un sistema para proteger las redes inalámbricas; creado para corregir las deficiencias del sistema previo WEP (Wired Equivalent Privacy - Privacidad Equivalente a Cableado).
- 107 -
ANEXOS Sección 3.3.1.1 - A Las cuatro escalas de validez son las siguientes: -
No sé.- El puntaje de esta escala es el número de reactivos que el sujeto ha dejado sin responder, o inclusive que haya marcado las dos opciones.
-
L.- Se refieren a actitudes socialmente reprobadas, como sentimientos agresivos, malos pensamientos, pérdida de control y la conformidad, pero en las cuales la mayoría de los individuos normales ha caído alguna vez.
-
F.- Se refieren a pensamientos extraños, experiencias peculiares, sentimientos de alienación o aislamiento, creencias contradictorias, etc.
-
K.- Funciona discriminar entre sujetos anormales que producían perfiles normales y sujetos normales, agregándole posteriormente un grupo de afirmaciones que permitían diferenciar casos con patología real de aquellos que deliberadamente aparecían perturbados.
Sección 3.3.1.1 - B Y diez Escalas Clínicas, para sirven para evaluar las más diversas características de las personas y que son las siguientes: -
Hs (Hipocondría)
Esta escala está formada por 30 afirmaciones que se refieren a una variedad de quejas que son características de las personas hipocondríacas. Estas personas se caracterizan por una preocupación anormal por sus funciones corporales, la que domina su vida y restringe severamente tanto su actividad como sus relaciones interpersonales. Esto, además, parece corresponder a un rasgo ya no solo de una situación transitoria, sino de carácter de la persona. -
D (Depresión)
Está formada por 60 afirmaciones y pretende evaluar la depresión sintomática que se caracteriza por un estado de ánimo bajo, perdida de esperanza en el futuro e insatisfacción general con el estado actual. Dado que parece medir la depresión reactiva, resulta ser una medida inestable, ya que varía en la medida en que fluctúa el estado de ánimo de la persona. La causa precisa de la depresión no puede ser relacionada sólo con la puntuación en la escala, es necesario considerar la elevación de las otras escalas. - 108 -
-
Hy (Histeria)
Consta de 60 aseveraciones y fue construida con el propósito de identificar a aquellas personas que desarrollan síntomas de conversión con el propósito de evadir responsabilidades o evitar conflictos. -
Pd (Psicopatía)
Está compuesta por 50 enunciados que pretenden medir las características de las personas con desordenes psicopáticos de la personalidad y ha sido llamada la “Escala de la Pelea”. Se pueden describir cuatro dimensiones en la escala Pd que son: Conflictos con la familia (Pd1), Conflictos con la autoridad (Pd2), Imperturbabilidad social (Pd3) y Alienación (Pd4) que incluye Alienación social y Autoalienación. -
Mf (Masculino - Femenino)
Esta escala está compuesta de 60 afirmaciones que se refieren a intereses pertenecientes al estereotipo femenino y que intenta evaluar la tendencia que siguen los intereses de la persona evaluada ya sea hacia lo masculino o hacia lo femenino. Tanto en hombres como mujeres, un puntaje alto indica una desviación del patrón de intereses hacia el del sexo contrario. -
Pa (Paranoia)
Está compuesta por 40 enunciados cuyo propósito es evaluar el cuadro clínico que incluye ideas de referencia, influencia y grandeza, suspicacia, hipersensibilidad y rigidez. Los enunciados se refieren desde rasgos francamente psicóticos como ideas delirantes hasta rasgos de carácter, como la tendencia a culpar a los demás y la admisión de fragilidad psicológica y la utilización de mecanismos de proyección. -
Pt (Psicastenia)
Esta escala contiene 48 aseveraciones que reflejan características tales como: ansiedad, temor, baja autoestima y autoconfianza y pretende evaluar el patrón obsesivo - compulsivo. Sin embargo los enunciados no se refieren específicamente a obsesiones o compulsiones, sino a los rasgos caracterológicos que dan lugar a la variedad de síntomas específicos de esta alteración. Ha sido llamada la “Escala de la Angustia”. -
Sc (Esquizofrenia) - 109 -
Consta de 78 enunciados que cubren una amplia gama de conductas. Algunos de ellos se refieren a síntomas francamente psicóticos como delirios y alucinaciones y otros se relacionan con alteraciones de las relaciones familiares, déficit en el control de impulsos, temores e insatisfacciones. Es necesario ser cauteloso para hacer el diagnóstico de Esquizofrenia sólo fundándose en esta escala, ya que ésta es tal vez la escala más compleja del MMPI. A pesar de que muchos esquizofrénicos obtienen puntuaciones altas, también obtienen puntuaciones muy elevadas sujetos neuróticos muy agitados, adolescentes con problemas de ajuste y personas en crisis de identidad. -
Ma (Hipomanía)
Esta escala está compuesta por 46 aseveraciones cuyo contenido es heterogéneo. Algunos de ellos se refieren a características como excitabilidad, actividad y otros a las relaciones familiares, actitudes morales y preocupaciones orgánicas. -
Si (Introversión Social)
Contiene 70 afirmaciones y fue desarrollada para evaluar la tendencia a aislarse de la vida social.
Sección 6 - A DESARROLLO DE LA HERRAMIENTA Pantallas de la herramienta
- 110 -
- 111 -
- 112 -
- 113 -
