viernes, 2 de octubre de 2015

EL MERCADO NEGRO DE BASES DE DATOS (LANACION.COM.AR)











Las mismas bases robadas que se usan para captar consumidores pueden servirle a un secuestrador para elegir su próxima víctima. Entre el vacío legal y la negligencia, el ciber delito avanza.
Era información prohibida y confidencial. Pero cualquiera de nosotros podía figurar en ese registro y ver así su intimidad violada. Se trataba de datos robados de organismos del Estado y se los ofrecía al valor de una cafetera: a Mauricio de Núñez le pedían 200 pesos para entregarle una base de datos donde figuraban los depósitos bancarios de miles de argentinos.
La oferta llegó una noche a través de un correo electrónico de remitente desconocido. Para saber quiénes estaban detrás de la operación, De Núñez pidió que le mandaran la base de datos, que según se indicaba venía almacenada en 12 CDs. Pero el paquete le fue entregado a través de una cadena de tres servicios de mensajería y se perdió el rastro: los traficantes de datos, que podrían recibir una condena de hasta dos años de cárcel por vender información indebida, nunca fueron identificados por la Justicia.
Como las armas y la droga, las bases de datos tienen un valor económico. En este caso, proporcional al nivel de confidencialidad de la información que contienen. Por 30.000 pesos se puede conseguir el archivo con la información sobre cuánto gana el conjunto de los trabajadores en relación de dependencia de la Argentina; por 75, el padrón electoral, y por 40, distintas bases ordenadas por profesión y clase social. También se comercializan direcciones de correo electrónico: por 10 pesos se obtienen los de 90.000 personas pertenecientes a la categoría ABC1. Se trata de un mercado ciertamente devaluado si se considera que la misma información que puede servir para identificar potenciales consumidores también le puede servirle a una banda criminal para identificar a una víctima "rentable" y planificar un secuestro extorsivo.
Los datos surgen de causas judiciales y de fuentes del área informática y de empresas de riesgo crediticio consultadas por LA NACION. Los e-mails basura -o spam- son la plaga informática del momento. Pero según detallaron estas fuentes también son el medio elegido por los traficantes de datos para hacer sus ofertas comerciales. Ocultos así tras los velos indescifrables de la red de redes, permanecen en la clandestinidad. Y, como en el caso de De Núñez, cuando hay un posible comprador, casi siempre pautan la entrega a través de servicios de mensajería.
Información sobre cuentas bancarias, bienes, hábitos de consumo y cientos de otras referencias personales se intercambian todos los días. Estos registros se utilizan principalmente para hacer ofertas comerciales y prospecting (estudios de mercado). Pero tener segmentadas a las personas por clase social, profesión, edad y hasta características físicas puede derivar además en situaciones más riesgosas, como episodios de discriminación a la hora de acceder a un puesto laboral, tomar un crédito o contratar un seguro de vida.
Daniel Rafecas, el mismo juez cuyas conversaciones en off the record con Daniel Santoro, periodista del diario Clarín, fueron robadas hace algunas semanas por un servicio de inteligencia, recibió el año pasado en su juzgado la denuncia que hizo De Núñez por la venta ilegal de datos. El caso tuvo revelaciones inesperadas. "Rafecas determinó que los datos habían sido robados de la Anses -Administración Nacional de la Seguridad Social- y que en ese organismo había 1000 personas con posibilidades de acceder a esta información confidencial", relata De Núñez, abogado especialista en delitos con nuevas tecnologías.
Pero estos espías que no merodean la escena del crimen y que nunca dejan huellas en puertas o ventanas son difíciles de rastrear. No sólo nunca se identificó a los responsables sino que tampoco se supo si la información había salido en realidad de las entrañas del Banco Central. Así y todo, Rafecas encendió una luz de alerta: el magistrado le sugirió a la Anses -organismo que conduce Sergio Massa- que utilice mejores mecanismos de protección de los datos.
Algunos meses después, sin embargo, la Anses seguía siendo vulnerable. Y la segunda parte de la historia ya tendría ribetes policiales: a principios de este año, LA NACION reveló que desde el organismo oficial se traspasó a una empresa de riesgo comercial una base con información confidencial sobre 12 millones de afiliados a obras sociales y beneficiarios de planes para desocupados. Por este caso, un funcionario público y el presidente de la empresa a la que se traficó la información acaban de ser procesados por el delito de violación de secretos.
Camino al secuestro
Hurgar demasiado en el negocio de los datos provoca escalofríos. El problema es el cruce de información. Si adquiriendo informes de la Anses se puede saber cuánto gana una persona por mes y averiguar luego el valor de sus depósitos en el banco, con otras bases de las que circulan en el mercado negro se puede determinar cuál es su prepaga, qué auto tiene y a qué se dedica. La dirección de su casa y su número de teléfono figuran en guía. "Sólo tengo que elegir el horario para secuestrarte mañana mismo y no vas a poder decir que no tenés todo eso", observa Pablo Palazzi, especialista en derecho informático.
Pero este no es el único camino para conocer la situación económica de una posible víctima. Los mismos riesgos se derivan de la información que capturan los 120 satélites que utiliza la Agencia Nacional de Seguridad (NSA), de Estados Unidos, para localizar terroristas, dice Ariel Garbarz, ingeniero en telecomunicaciones y coordinador del proyecto nacional de seguridad teleinformática de la UBA. "El espionaje masivo que se hace sobre las líneas de banca telefónica permite capturar cuatro datos básicos: el número de documento, la clave de acceso, el saldo de tu cuenta en el banco y los últimos movimientos que realizaste. Entonces, si la información sobre el saldo en la cuenta de un gran empresario cae en poder de un delincuente, tiene en sus manos una operación de secuestro exitosa", advierte.
En las películas de espionaje que situaban la acción en la II Guerra Mundial, figuras anónimas le entregaban al bando aliado secretos de Estado para ganar la guerra; ahora, los nuevos espías se encargan de recolectar información a ser utilizada con fines mucho menos heroicos. "Hay casos muy extraños -refiere Horacio Bersten, secretario general de la Unión de Usuarios y Consumidores-. Casos de personas que cuando pasan de la categoría de monotributista a la de responsable inscripto inmediatemente reciben llamados con ofertas de productos. O de personas que compran un electrodoméstico caro, o un auto, y comienzan a recibir más llamados. En esos casos hay dos alternativas: o bien las empresas cedieron los datos de sus clientes o alguien se infiltró en su sistema informático".
Seguramente quienes eligen una entidad financiera para depositar sus ahorros lo hacen porque confían en que protegerá su dinero y también su intimidad. Es decir, no divulgará sus datos. Pero en todas partes hay hendijas abiertas. La Unión ganó un proceso colectivo de hábeas data contra el Citibank que, de acuerdo con una resolución de la Cámara Nacional en lo Comercial, trató en forma ilícita los datos de sus clientes. A través del folleto "Promesa de Confidencialidad de Citigroup", la entidad advertía a sus clientes que sus datos serían cedidos a otras entidades del grupo o a terceras personas a menos que éstos completaran una "Solicitud de Exclusión" y la entregaran en el banco.
Es decir, invertían lo que dispone la ley de datos personales 25.326 sobre el consentimiento: en lugar de pedir permiso para dar a conocer los datos personales la entidad se arrogaba el derecho de cederlos si nadie se manifestaba en desacuerdo. "La gente perdió la propiedad de sus datos, que pasaron a ser una mercancía del Citibank. Hasta que se obtuvo la resolución de la Cámara, el banco negociaba estos datos utilizándolos él mismo comercialmente o realizando cesiones o permutas onerosas", señala Bersten. El Citibank nunca admitió públicamente haber cedido datos a terceros, y optó por el silencio ante una consulta de LA NACION.
Según Garbarz, la mayoría de los bancos protege de manera inadecuada los datos de sus clientes al no contar con un buen nivel de encriptación para sus líneas de banca telefónica. "Sólo unos pocos invierten en tecnología de seguridad para controlar que no se haga phising y pharming (dos formas de operar en forma clandestina en el mercado de créditos con la identidad de otra persona)".
Ricardo Sáenz, fiscal general ante la Cámara Nacional de Apelaciones en lo Criminal y Correccional, deja flotar otra sospecha: sostiene que las instituciones financieras difícilmente harían público que su sistema informático fue hackeado. "No pueden hacer la denuncia porque se incendiarían ante sus clientes".
Sacar un crédito, una odisea
Los informes sobre riesgo crediticio contienen información comercial, judicial y de negocios sobre una persona o empresa para evaluar si conviene entablar con ella relaciones comerciales. La ley prohíbe incluir en ellos cierto tipo de información, como cuánto dinero percibe un cliente por mes. Sin embargo, uno de los lugares a donde va a parar la información robada es, precisamente, a estos informes comerciales.
Roberto Mónaco, titular de la empresa de riesgo crediticio Fidelitas, sostiene que muchos de estos informes incluyen información desactualizada (no se pueden incluir deudas de más de cinco años de antigüedad) o robada, por ejemplo, de datos de sueldos, de balances fiscales o del registro automotor.
"Los colectores de datos que no trabajan profesionalmente puede hacer mucho daño al ciudadano común, que no sabe por qué, cuando va a comprar una plancha en cuotas, le dicen que no se la pueden vender", explica Mónaco. Añade que la mayoría de las firmas que están fuera de Cámara de Empresas de Información Comercial (CEIC) trabaja de manera fraudulenta. "Los que integramos la CEIC competimos contra los piratas de los datos, que en la Argentina son muchos y recolectan datos de fuentes públicas y de empresas, pero que son robados en su forma de acceso".
La Dirección Nacional de Protección de Datos Personales (Dnpdp) es el organismo oficial encargado de defender la privacidad de los ciudadanos. Según consta en su página web, hasta el momento se recibieron 310 denuncias por diferentes infracciones a la ley 25.326, aunque sólo se impusieron dos sanciones y se iniciaron o acompañaron al menos cinco acciones penales por ventas de bases de datos. La penalidad más severa se aplicó a Telefónica de Argentina, cuyos servicios de telemarketing contactaron en forma reiterada a 16 personas para ofrecerles servicios de banda ancha y de comunicación de larga distancia. Se impusieron 15 multas de 3000 pesos y una de 6000 por cada uno de los demandantes.
La justicia civil y penal también puede ser usada para frenar a quienes hacen mal uso de los datos personales. Pero es el camino más lento y más caro. Y los especialistas alertan sobre el vacío legal que existe a la hora de perseguir los ciberdelitos.
"Una infinidad de casos, entre ellos la piratería informática y la propagación de virus por Internet, han quedado sin resolución por considerarse que no había un delito configurado", indica Heriberto Hocsman, especialista en derecho informático. Al respecto, basta recodar aquel episodio singular cuando, hace cuatro años, fue hackeada la página web de la Corte Suprema de la Nación y el juez del caso entendió que no había delito pues las páginas son un "elemento inmaterial" y sólo las "personas", los "animales" y las "cosas" están protegidos por el Código Penal.
Lo mismo sucede con ciertas maniobras de espionaje. "En una causa por intercepción de comunicaciones telefónicas en el Ministerio de Economía y en la Procuración General de la Nación se comprobó el espionaje satelital con el sistema Data Voice Call Recording and Acquisition Units (Dvcrau). Sin embargo, el juez federal Gabriel Cavallo no pudo hacer nada porque no hay legislación", dice Garbarz respecto del espionaje satelital. "No se puede perseguir el delito porque la acción de captura de datos es satelital, es decir que no tiene localización geográfica y, por lo tanto, no es punible".
Los ataques a los correos electrónicos de periodistas y políticos sacaron de su letargo a la Cámara de Diputados, que en la actualidad tiene en estudio nueve proyectos para castigar los delitos contra la privacidad (como la violación del correo electrónico), la estafa informática, el daño informático y la pornografía infantil en Internet.
"Hay que buscar nuevos mecanismos regulatorios para que no nos controlen la vida, las costumbres y los hábitos", dice la diputada Diana Conti (PJ-Buenos Aires) cuya iniciativa prevé modificar varios artículos del Código Penal y no crear una ley especial, como proponen otros proyectos. "Lamentablemente, hay mucha resistencia de las grandes empresas que dan acceso a Internet, porque si hubiera regulación y sanciones se advertiría que no tienen las condiciones de seguridad necesarias".
¿Gattaca se hace realidad?
En la película Gattaca, de Andrew Niccol, ni siquiera Ethan Hawke con sus achinados ojos celestes puede garantizarle al joven conseguir un empleo. En el -¿distante?- escenario que describe el film, las mejores oportunidades están reservadas para quienes posean un ADN perfecto. El, claro está, no ha nacido con esa suerte.
Aunque no se conocen antecedentes claros al respecto, la circulación de registros que incluyen datos de los denominados "sensibles" podría ser la vía directa para que se produjeran un sinfín de conductas discriminatorias. Los datos sensibles son, entre otros, aquellos referidos al origen racial y étnico, las opiniones políticas, las convicciones religiosas, la afiliación sindical e información referente a la salud o características genéticas. La ley 25.326 prohíbe, como regla general, la formación de archivos que almacenen esta información. Pese a ello, Pablo Palazzi dice que "Gattaca ya es casi una realidad", y que "en un futuro cercano la mayoría de las decisiones serán adoptadas tomando información de bases de datos".
Palazzi y su colega Gustavo Tanús consiguieron que se declare ilegal el envío de correo basura o spam. Casualmente, un spammer congestionaba sus casillas de correo con ofertas de bases de datos.
En declaraciones a los medios, el responsable de los correos basura dijo que sus clientes le llegaron a pedir bases de datos de señoras que estuvieran a dieta, entre otras segmentaciones por lo menos singulares. Si bien una nómina donde figure el nombre y el teléfono de personas gordas serviría principalmente para ofertar productos dietéticos, no es descabellado pensar que también podría usarse para decidir, por ejemplo, a quién otorgar un seguro de vida.
Otro tipo de perjuicios podría derivarse de la circulación de bases de datos que divulguen opiniones políticas. "Sería altamente improbable que un postulante a incorporarse a una multinacional de origen americano, que tuviera opiniones políticas castristas, lograra su objetivo. El problema radica en que si en algún trabajo anterior quedó asentado en su legajo esta opinión y esa información se filtra a cualquier consultora, esa persona será discriminada, no por sus conocimientos y habilidades sino por sus convicciones", dice Mónaco.
En última instancia, controlar qué se hace con los grandes depósitos de información personal y evitar que se vendan como si fueran paquetes de arroz tiene que ver con respetar la dignidad humana.

Claves para preservar la información personal
Encriptación de datos. Se debe evitar llenar formularios web que no utilicen el protocolo http://. Ese protocolo garantiza la encriptación de datos entre el servidor y la máquina del usuario. De esta manera, lo que se está escribiendo resulta ilegible para alguien que lo "atrapa" en el medio de la tarea e intenta leer.
Cuentas bancarias. Existe toda una batería de programas informáticos destinados a robar datos personales y cuentas de crédito, entre ellos el phishing : la víctima recibe un mail que, en apariencia, proviene de una entidad de reconocida trayectoria como, por ejemplo, el banco con el que opera cotidianamente. A través de ese correo se la invita a visitar el sitio web de la empresa para actualizar sus datos. El vínculo, en realidad, la remite a una página falsa con la intención de robar su número de cuenta bancaria y clave. Para evitar este tipo de engaño, el usuario debe estar atento al dominio (identidad) del sitio que visita.
Concursos y formularios. Para participar en concursos o adquirir tarjetas de puntos, muchas empresas le piden a sus clientes que completen las llamadas tarjetas de fidelización. Si bien su uso está permitido, la ley de datos personales 25.326 señala que los datos que se recolecten deben ser únicamente los pertinentes. De lo contrario, el usuario puede negarse a entregarlos.
Remitente sospechoso. Se recomienda ser cuidadoso con los correos electrónicos que se abren. Si la redacción del mail no concuerda con lo que habitualmente se suele recibir del remitente, es mejor no abrirlo hasta verificar, por teléfono o e-mail, si realmente esa persona envió el mensaje.
Dónde hacer denuncias. Las irregularidades en el tratamiento de datos personales deben ser denunciadas en la Dirección Nacional de Protección de Datos Personales (Dnpdp), ente nacional encargado de proteger la intimidad de las personas:infodnpdp@jus.gov.ar , o 4383-8512 y 4383-8515.

Autora: Por María Celeste Danón
Fecha: 13/8/2006
Fuente: http://www.lanacion.com.ar/830946-el-mercado-negro-de-bases-de-datos

Entradas populares

MI LISTA DE BLOG DE DERECHO INFORMÁTICO

SI QUIEREN PUBLICAR EN LA REVISTA DIGITAL ELDERECHOINFORMATICO.COM ESTOS SON LOS REQUISITOS:

Red Iberoamericana ELDERECHOINFORMATICO.COM
Se encuentra siempre abierto a la comunidad a los interesados en publicar en la próxima edición de la REVISTA DIGITAL ELDERECHOINFORMATICO.COM
Si todavía no conocen la revista, pueden acceder a ver todas las ediciones online (22 números editados) haciendo un click aquí:(http://issuu.com/elderechoinformatico.com )
Y si quieren publicar alguna nota, solo deben enviar un correo electrónico a info@elderechoinformatico.com

con los siguientes requisitos formales:
Formato:
EXTENSIÓN: NO MÁS DE 4/5 HOJAS A4
Fuente Arial 12
Interlineado 1.5
margenes 3 cm Foto de buena resolución del autor y breve resumen de su bio.
Director: Abog.Guillermo M. Zamora

QUIEN ES EL EDITOR DE ESTE BLOG:

La idea de este blog, es poder recopilar noticias, fallos, normativa, anteproyectos, libros, revistas, congresos y jornadas, postgrados, consejos legales, recomendaciones, videos, campañas y cualquier otro tipo de información sobre el Derecho Informático y Nuevas Tecnologías en la República Argentina.

Gonzalo Jeangeorges picture

Soy Abogado matriculado en Rosario (1999) Escribano (2006) Y ahora Mediador (2009) prejudicial (2013).
Mi Estudio Jurídico esta, ubicado en la calle Italia 1607 P.B.de la ciudad de Rosario, donde ejerzo la abogacía.
Me capacité con distintos cursos y jornadas en el Derecho Informático y Nuevas Tecnología, Contratos Informáticos, Delitos Informáticos Ley 26388. Asesoramiento Legal de Páginas Web, Propiedad Intelectual del Software. Protección de Datos Personales en Bases de Datos. Conflictos de Marcas y Nombres de Dominio, Comercio Electrónico e cualquier problema legal en Internet.
Tengo experiencia profesional como Abogado en Sucesiones y Divorcios, Exequatur, Siniestros y Jubilaciones y Pensiones, Cobranzas, Alquileres y Desalojos.
Ofrezco desde el año 2000 mis servicios desde el sitio www.abogadosrosarinos.com  Portal jurídico de Rosario que atiende consultas en línea, gestoría y diligencias.
Y administró un blog donde se recopilán noticias sobre Derecho Informático y Nuevas Tecnologías: http://derechoinformaticoynuevastecnologias.blogspot.com.ar  y tengo experiencia en los siguientes servicios:
- Asesoró legamente Sitio Web en temas de Dominios, Derecho de Autor, Marcas, Registración de Bases de Datos personales, como ser : Cajaforense.com , Dattatec.com , Doing.com.ar , Canalla.com , Dominiofull.com , Regisoft.com.ar , Monseiurjonk.com.ar , Grupophi.com.arm , Accesofree.com , 2studio.com.ar , Elojocreativo.com.ar , Fullciudad.com.ar , Artgraph.com.ar , Neodynamic.com .
- Trabajo Freelance en el diseño de Blog, como los siguientes: http://consejoslegalesweb.blogspot.com Consejos Legales para Páginas Web-Blogs en la Argentina http://auditorialegalweb.blogspot.com Auditoría Legal Web de la Argentina ESTA ES LA FORMA DE CONTACTO CONMIGO: 
Oficina: Zeballos 1973 Piso 6 Oficina 1º Rosario, Provincia de Santa Fe
Tel. (0341) 6795483 
Cel.(0341) 155008328 (Whatsapp)
Fanpage en Facebook: Dr Gonzalo Jeangeorges

FORMULARIO DE CONTACTO C/ABOGADO ESPECIALISTA EN ARGENTINA

foxyform