sábado, 17 de noviembre de 2007

¿Quienes son los delincuentes informáticos?

En el Uruguay, no existe legislación específica sobre delitos informáticos. Como ya comenté antes en otro post anterior, el último proyecto de ley sobre este tópico fué elevado por el legislador Jorge Pacheco Klein (el hijo de Jorge Pacheco Areco) en el año 1997, y (como tantas otras cosas en este país) quedó "fuera" al final de la legislatura, sin haber sido estudiado siquiera.

El tema se vé que no es demasiado importante o talvés resulta ser que de todas maneras si uno comete un "delito informático", te tipifican el "delito standard" más cercano, con lo cual no hay necesidad de legislar específicamente. Por ejemplo, si uno irrumpe en un servidor de forma "ilícita" (con esto quiero decir "sin permiso del dueño del servidor"), calculo que el delito que se tipifica es el de "allanamiento de morada", si uno elimina información "valiosa" (para el dueño, naturalmente), se tipifica "destrucción de propiedad privada", si uno se adueña de datos que no le pertenecen (los copia a su equipo sin consentimiento y elimina los originales del servidor del dueño), se le tipifica "robo", si uno utiliza una casilla de correo de otra persona (habiendo previamente obtenido la contraseña de forma furtiva e ilegítima), se le tipifica "suplantación de identidad" y así sucesivamente.

Claro, no es delito que alguien te mande una carta con propaganda a tu casa, así que el spam no se puede considerar delito y por lo tanto hay que seguir soportando los desmanes de los "e-mail marketers". Tengo ganas de visitar a algunos y pedirles personalmente que se dejen de joder con tanta basura, pero capaz que me meten preso por entablar una discusión que puede terminar mal, sobre todo porque a los spammers no les gusta que se les diga que no querés recibir su basura, así que mejor evito el problema...

De todas maneras, lo interesante de este tema de la "delincuencia informática" es que en algunos casos, es dificil poder designar verdaderos culpables. Por ejemplo, cuando se explota una vulnerabilidad de un software, se podría llegar a decir que el verdadero culpable es el fabricante del software, de igual manera a como sucede cuando un vehículo tiene una parte defectuosa y que puede causar daños al ocupante en ciertas circunstancias especiales o cuando el mecanismo de seguridad de una puerta está mal diseñado y puede ser de alguna manera vulnerado. En estos casos, se enfrenta uno al fabricante y le exige respuestas (y en algunos lugares, hasta se les entabla una demanda judicial), haciendo que ese fabricante se responsabilice por su error.

Esto no sucede en el software, mayormente porque se trata de un intangible que es susceptible de ser modificado por diversos factores, desde fallos del dispositivo de almacenamiento hasta problemas de transporte de datos. La cantidad de factores que pueden afectar a un determinado sistema informático es tán grande que resulta dificil establecer responsabilidades sobre su funcionamiento (este es el gran dilema existencial de la informática en general y es la principal excusa que se utiliza cuando algo no funciona como es debido). Esto explica la existencia del famoso "disclaimer" que suelen llevar todos los sistemas de software que existen en el mundo. Ni siquiera un simple programa "Hola mundo!" suele estar garantizado contra todo tipo de fallos. Uno puede llegar a encontrar por ahí un programador que asegure que en condiciones ideales, el sistema va a funcionar según lo especifica su documentación, pero como las "condiciones ideales" pueden variar y son dificiles de determinar, resulta ser que en realidad hasta ese mismo programador se morderá la lengua apenas suceda lo imprevisto.

Claro, esto resulta extremadamente conveniente para los fabricantes de software, quienes gozan del privilegio único de ser "intocables", sin importar los desastres que su software genere (solo hay que leer un poco sobre Microsoft, incluyendo su conocida EULA ("End User Level Agreement") para darse cuenta :-) ). Como le decía James T. Kirk al Sr. Spock: "En Vulcano, las mujeres son lógicas, así que el suyo es el único planeta en el Universo que puede hacer esa afirmación...", lo mismo podemos decir sobre el software, ya que si uno investiga un poco, se verá que eso de "No nos hacemos responsables por nada que nuestro software haga o no haga" no se aplica en ninguna otra área de ninguna otra especialidad. De hecho, si un hijo menor de edad hace algún desastre, su padre deberá cargar con la culpa, así que ni así puede uno salvarse.

Y esto es entonces el tema central de este post. ¿Quien es el verdadero delincuente informático? ¿Es ese personaje que entra ilegalmente a un servidor a través de una vulnerabilidad que encontró en el mismo, o es el fabricante del software que lo ha diseñado o implementado de forma pésima, dejando esa vulnerabilidad disponible?

Supongo que es más fácil culpar al intruso, por tener intencionalidad, pero naturalmente que no se puede simplemente descartar el porcentaje de culpabilidad del fabricante. Como estamos acostumbrados a esta forma de pensar, simplemente tendemos a apuntar al personaje que causó el "daño", sin ver que en realidad ese "daño" es un producto consecuencia de un esfuerzo colaborativo entre el intruso y el fabricante del software.

No quiero decir con esto que estoy a favor de los intrusos... nada más alejado de la realidad. Lo que digo es que a veces solo buscamos castigar a estos de forma cruel, sin pensar que el castigo debería ir repartido.

Hace una semana atrás, John Schiefer confesó estar controlando una botnet (red de computadoras zombies) de más de 250.000 equipos, además de haber cometido fraude en algunas empresas y otros delitos "menores". Probablemente le pongan una multa de U$S 1.750.000 y le den 60 años de carcel.

¿Cuanto se le debería dar al "amigo" Bill Gates por hacer un sistema susceptible de ser controlado remotamente por un intruso en forma transparente, centralizada y automatizada de forma tan simple?...

La delincuencia informática tiene varias caras y muchas veces perdemos la noción de quienes son los verdaderos culpables. Por lo pronto, voy a seguir intentando no convertir en víctimas a mis clientes, no sea que se tomen este post al pié de la letra y termine preso por andar promulgando esto de la "culpa compartida" :-)

No hay comentarios:

 
Gustavo Castro

Crea tu insignia