1. SEGURIDAD
EN EL COMERCIO ELECTRÓNICO
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE DERECHO
Proyecto: Tesis de grado
Presentado por: Héctor José García Santiago
Dirigido por: Alvaro Andrés Motta Navas
Bogotá, D.C., Marzo de 2004
2. CONTENIDO
Página
INTRODUCCIÓN 8
PRIMERA PARTE
INTRODUCCIÓN AL COMERCIO ELECTRÓNICO
Capítulo I.
1. La Seguridad en el Comercio Electrónico 12
1.1 Introducción al Comercio Electrónico 13
1.2 Marco Jurídico del Comercio Electrónico en Colombia
35
2
3. SEGUNDA PARTE
LOS RIESGOS Y LA SEGURIDAD
Capítulo II.
2. Los Riesgos y la Seguridad 38
1. ¿A qué riesgos está expuesto
al conectarse a la red Internet?
43
2. Los atacantes 45
2.1 Atacantes internos 46
2.2 Atacantes externos 47
3. Los formas de ataque 48
3.1 Los virus 48
3.2 Gusanos 52
3.3 Caballo de Troya
52
3.4 Bombas de Relojería 52
3.5 Introducción de datos falsos 52
3.6 Técnica de Salami 52
3
4. 4. Las vías de ataque
53
4.1 Software bugs 53
4.2 Privilegios 54
4.3 Instalación del Sistema Operativo 54
4.4 Managment Remoto 54
4.5 Transmisiones 54
4.6 Cokies 55
5. Los daños 55
5.1 Interrupción 55
5.2 Interceptación 56
5.3 Modificación 56
5.4 Fabricación 56
6. La importancia de la seguridad y la confianza
57
6.1 La confianza 58
6.2 Confianza on line 60
6.3 La Seguridad 63
6.3.1 Seguridad en la empresa 64
a) Información 66
4
5. b) Actividad 66
c) Acceso 67
6.3.2 Mecanismos de Seguridad 68
a) Seguridad de Tránsito 69
b) Seguridad de Usuario 69
6.3.3 Tipos de Seguridad 70
a) Secure Electronic Transaction 70
b) Secure Sokets Layer 71
c) Seguridad de el Host y en el Network 72
6.4 Cómo acceder a una página web segura 75
6.5 Transacción segura 79
6.6 Seguridad Jurídica de Tipo Penal: Delito Informático
80
TERCERA PARTE
LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA
Capítulo III.
5
6. 3. Los mensajes de datos, un efectivo medio de prueba
86
1. Documento escrito 92
2. Autenticidad 95
3. Conservación y consulta
98
4. Documento Electrónico 103
5. Jurisprudencia 104
CUARTA PARTE
ENTIDADES DE CERTIFICACIÓN Y FIRMAS DIGITALES
Capítulo IV.
4. Entidades de Certificación 114
6
7. 1. Concepto 114
2. Naturaleza Jurídica de las Entidades de Certificación
119
3. La actividad Certificadora de las Entidades de
Certificación frente a la actividad notarial 119
4. La Actividad de las Entidades de Certificación
- un servicio público - 122
5. Tipos de Entidades de Certificación 125
1. Públicas o Privadas 125
2. Nacionales o Extranjeras
126
3. Cámaras de Comercio 127
4. Notarios y Cónsules 128
5. Abiertas y Cerradas 128
6. Responsabilidad de las Entidades de Certificación 137
7. Funciones y deberes de las Entidades de Certificación
139
8. Certificados Digitales 143
8.1 Certicámara 145
7
8. 8.2 Validez de Certificados Extranjeros 158
9. Firmas Digitales 152
9.1 Creación de una firma digital 159
9.2 Características de las firmas digitales
160
10. El Sistema PKI 160
10.1 Tipos de Sistemas PKI
160
a) Sistema simétrico
161
b) Sistema asimétrico 163
10.2 Funcionamiento del Sistema
164 10.3 Objetivos de la PKI
165 10.4 Las Funciones de la PKI desde
una Triple Perspectiva 166
10.5 Estructura de la PKI 167
10.6 Modelos de PKI
168
a) Abierto 168
b) Cerrado 169
8
9. QUINTAPARTE
LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIÓN
Capítulo V.
5. Los Medios de Pago y Procedimientos de Certificación 172
1. Breve reseña de las tarjetas de crédito
175
2. Principales Instrumentos de Seguridad SSL y SET
177
CONCLUSIONES 186
BIBLIOGRAFÍA 196
9
10. INTRODUCCIÓN
La unión entre los medios de comunicación y la informática, conocida como telemática,
ha generado un cambio sin precedentes en el ámbito comercial1. El Comercio
Electrónico, es el ejemplo más sobresaliente de esta relación, representando un
instrumento de comunicación2 tan significativo, como la televisión, la radiodifusión
1 Al respecto véase OLIVER. CUELLO, Rafael. Tributación del Comercio Electrónico. España - Valencia. Tirant Lo
Blanch. 1999. P. 11.
La utilización de la interconexión de ordenadores a través de las redes de telecomunicación para
llevar a cabo las actividades comerciales de empresas y profesionales ha supuesto un cambio
importante en el escenario comercial. Como ha señalado DAVARA, la simbiosis que se ha
producido entre la informática y las comunicaciones ha cambiado, en buena medida, la
mentalidad empresarial al propiciar un amplio abanico de posibilidades a las relaciones
comerciales, ofreciendo una expectativa de prestaciones que hasta hace pocos años podía
considerarse de ciencia-ficción.
2 La clasificación de los servicios de telecomunicaciones – cuyo antecedente es la Ley 72 de 1989 (por medio de la
cual se otorgaron facultades extraordinarias al Presidente de la República para reorganizar el sector) -, utiliza la
metodología técnica empleada por la UIT - Unión Internacional de Telecomunicaciones -. La finalidad de dicha
metodología fue unificar las condiciones de estandarización técnica, operativa y de tarifación de nivel mundial. Ahora
bien, teniendo en cuenta la metodología de la UIT y las reglas jurídicas para la prestación, habilitación y explotación
de los servicios públicos de telecomunicaciones, estos se clasificaron así: (Decreto Ley 1900 de 1990)
1. Servicios básicos.
2. Servicios de difusión.
3. Servicios telemáticos y de valor agregado.
4. Servicios auxiliares y de ayuda.
5. Servicios especiales.
10
11. El servicio telemático y de valor agregado – Artículo 31 Decreto Ley 1900 de 1990 – que es el que nos interesa para
efectos de este estudio es definido como:
[...] aquellos que utilizan como soporte servicios básicos, telemáticos, de difusión, o cualquier
combinación de estos, y con ellos proporcionan la capacidad completa para el envío o
intercambio de información, agregando otras facilidades al servicio soporte o satisfaciendo
nuevas necesidades especificas de telecomunicaciones.
Forman parte de estos servicios, entre otros, el acceso, envió, tratamiento, depósito y
recuperación de información almacenada, la transferencia electrónica de fondos, el vídeo texto,
el teletexto y el correo electrónico [...].
El Decreto 3055 de 2003, por medio del cual se modificó el Decreto 600 de 2000 en su artículo segundo definió los
servicios de valor agregado de la siguiente manera:
Son aquellos que utilizan como soporte servicios básicos, telemáticos, de difusión o cualquier
combinación de estos, prestados a través de una red de telecomunicaciones autorizada, y con
ellos proporcionan al usuario la capacidad completa para el envío o intercambio de información,
agregando otras facilidades al servicio soporte o satisfaciendo necesidades específicas de
telecomunicaciones.
Para que el servicio de valor agregado se diferencie del servicio básico, es necesario que el
usuario de aquel reciba de manera directa alguna facilidad agregada a dicho servicio, que le
proporcione beneficios adicionales, independientemente de la tecnología o el terminal utilizado; o
que el operador de servicios de valor agregado efectúe procesos lógicos sobre la información
que posibiliten una mejora, adición o cambio al contenido de la información de manera tal que
genere un cambio neto de la misma independientemente del terminal utilizado. Este cambio a su
vez, debe generar un beneficio inmediato y directo, que debe ser recibido por el usuario del
servicio.
Para ampliar esta información puede consultarse a MICHELSEN, Jaramillo Sergio. Internet Comercio
Electrónico & Telecomunicaciones. Universidad de los Andes. Primera Edición. Bogotá 2002. Legis
Editores S.A. p. 591 a 639.
11
12. sonora, la telefonía fija, móvil, móvil celular, el telefax, etc. En la actual sociedad de la
información3, la capacidad de realizar acuerdos con soporte jurídico de manera fácil,
rápida y económica, representa una verdadera revolución en el área de las
comunicaciones. Las barreras entre los países - distancia, costos, idioma etc. -, es
historia gracias a las redes de comunicación, en especial a la red Internet. El gran
avance en los medios de comunicación de los últimos 20 años, está marcado, sin lugar
a duda, por las redes de información: contacto en tiempo real con establecimientos de
comercio de todo el mundo, intercambio de imágenes, mensajes escritos y de voz en
tiempo real, son entre otros, los servicios que diferentes Entidades - privadas o
3 Al respecto, resulta de trascendental importancia observar fenómenos jurídicos como el Español, donde se gestó la
Ley 34 de Julio 11 de 2002 sobre Servicios de la Sociedad de la Información y Comercio Electrónico, cuyo objetivo
fue la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE, del Parlamento Europeo y del
Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en
particular, el comercio electrónico en el mercado interior. Con relación a la denominada «sociedad de la información»
la Directiva 2000/31/CE consagró:
Lo que la Directiva 2000/31/CE denomina «sociedad de la información» viene determinado por
la extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como
vehículo de transmisión e intercambio de todo tipo de información. Su incorporación a la vida
económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el
incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de
empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas
incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico
adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo
de este nuevo medio. Al respecto, puede consultar las siguientes páginas web, donde
encontrara el texto completo de la Ley 34 de Julio 11 de 2002, así como la Exposición de
Motivos: http://www.ati.es/gt/informatica-sociedad/información y http://www.setsi.mcyt.es.
12
13. públicas -, ofrecen a los usuarios - servicio telemático y de valor agregado -, que gracias
a las redes de transmisión de información, permite conectar dos puntos, sin importar la
distancia entre estos, en tiempo récord, sin embargo, éste servicio afronta un gran
inconveniente: la inseguridad, razón por la cual, se proporciona al lector una visión
técnica, jurídica y práctica, sobre los aspectos más relevantes del comercio electrónico
y la seguridad. Éste último elemento, es el pilar de la eficacia en el desarrollo del
intercambio de información a través de redes de valor agregado como el Internet; lograr
entornos seguros genera confianza en el sistema y ambientes propicios para el
intercambio de información. De este modo, como primera medida, se introduce al lector
al comercio electrónico, dejando al descubierto la falta de confianza en el sistema, tanto
nacional como internacionalmente. Así, se dispone la senda en busca de la seguridad
en el comercio electrónico.
La normatividad que regula el comercio electrónico, se gestó en la Comisión de las
Naciones Unidas para el Derecho Mercantil Internacional (en inglés UNCITRAL),
promoviendo un proyecto de ley - Ley Modelo sobre Comercio Electrónico - que fue
aprobado mediante Resolución 51/162 de 1996. La Asamblea General de la ONU,
recomendó su incorporación en los ordenamientos internos de cada país, como un
instrumento útil para agilizar las relaciones jurídicas entre particulares.
13
14. Este gran paso - incorporación normativa interna -, abrió las puertas jurídicas al
comercio electrónico, sin embargo, no fue suficiente dicho esfuerzo; el comercio
electrónico está amenazado, los riesgos son potencialmente peligrosos y nefastos. De
esta suerte, conocer los diferentes tipos de riesgos, sus denominaciones y sus vías de
ataque, así como los daños que ocasionan, es necesario para entender qué sistemas
de seguridad deben implementarse, qué responsabilidades surgen y, sobre todo, qué
normatividad debe implementarse, ajustarse o modificarse, en la búsqueda de un
comercio seguro. Todo este entorno de seguridad, debe partir, sin duda alguna, de la
búsqueda de conciencia y de la generación de confianza en el sistema.
La capacidad probatoria de los mensajes de datos, es una característica de especial
trascendencia jurídica, razón por la cual, la Corte Constitucional se pronunció al
respecto, manifestando la constitucionalidad del mensaje de datos como medio de
prueba4, este fallo, por su especial trascendencia, se estudia con detalle en el desarrollo
del estudio.
4 Corte Constitucional. Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morón Díaz1. Expediente D-2693.
14
15. Institucionalmente, como núcleo de seguridad, se crearon las Entidades de
Certificación, las cuales utilizan un sistema PKI para la creación de firmas digitales con
base en la criptografía. Su creación, funcionamiento y regulación jurídica serán objeto
de estudio detenido.
Los medios de pago, constituyen una herramienta necesaria en el engranaje informático
comercial. A pesar de su gran desarrollo tecnológico, no han alcanzado el nivel óptimo
esperado. Los proveedores luchan por ganar terreno y convertirse en la empresa líder.
Sin duda, veremos importantes e ingeniosos avances en este ámbito. En este orden de
ideas, éste tema será, el cierre del presente estudio.
Solo resta, darle la bienvenida a esta nueva perspectiva de intercambio de información
y mercaderías - comercio electrónico -.
15
16. 1. LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO
Cuando se trata de la seguridad digital,
no existe una defensa impenetrable.
Robert D. Austin
La seguridad connota la viabilidad del comercio electrónico. El transmitir información a
través de medios informáticos implica innumerables riesgos. La situación actual de
desarrollo, computacional y de redes de información, ha puesto de manifiesto la
importancia de detectar, prevenir y detener las violaciones a la seguridad5 informática.
5 La actual realidad de los sistemas computacionales, en cuanto a la seguridad se refiere, es preocupante, con más
frecuencia se verá en los medios de comunicación noticias de ataques informáticos como el que reportó la sociedad
Hispasec Sistemas - empresa de seguridad y tecnologías de la información -, que puede consultarse en la página
web http://www.hispusec.com. quien informó:
[...] se está propagando con rapidez un gusano que ataca los ordenadores que utilizan los
sistemas operativos Windows (las versiones Windows NT 4.0, Windows 2000, Windows XP y
Windows Server 2003).Este gusano se aprovecha de una vulnerabilidad recientemente
descubierta en la interfaz de peticiones a procedimientos remotos (Remote Procedure Call, RPC)
de Windows. El verano del 2003 será recordado por dos hechos en los que la velocidad de
propagación ha sido un factor clave: la oleada de incendios forestales y el gran número de
usuarios que se ven forzados a reiniciar sus PC debido a la distribución alcanzada por el gusano
W32/Blaster.
16
17. Los usuarios deben conocer los ataques que rondan la red, para tomar las medidas de
seguridad pertinentes y, prevenir así, que su computadora o el sistema de
computadoras de su empresa se vea afectado. Las violaciones de seguridad pueden
tener diversos efectos, desde la inoperabilidad del sistema hasta la pérdida de
reputación de una empresa. Esta peligrosa realidad tiene importantes efectos técnicos y
jurídicos. La búsqueda de responsables, será tema de discusión en varios escenarios,
sin embargo, la pesquisa que debe primar es la difusión de la condición de inseguridad,
con el objetivo de crear conciencia.
1.1 Introducción al Comercio Electrónico
Entender el comercio electrónico, requiere a priori, concebir qué es el comercio. Sin
lugar a duda la negociación, entendida como la acción o efecto de negociar6, es la
génesis del comercio. La necesidad de satisfacer necesidades, primarias o no,
desembocó en el intercambio de mercaderías; lo cual es en esencia un acto de
comercio. Por su puesto, las normas no se hicieron esperar. Ahora bien, el acto o la
6 La palabra negociar viene del Latín negotiari que significa comprar, vender o cambiar géneros mercadería o valores
para aumentar el caudal. Diccionario de la Lengua Española. Vigésima Primera Edición. Madrid: 1994.
17
18. operación de comercio, es considerado una actividad especializada, definida
expresamente por el legislador7. Así la adquisición de bienes a título oneroso con
destino a enajenarlos o a arrendarlos, el recibo de dinero en mutuo, la intervención
como asociado en la constitución de sociedades comerciales, las operaciones
bancarias, etc., son entre otras actividades, actos u operaciones de comercio. El sujeto
del comercio es el comerciante, quien de acuerdo con nuestra legislación es aquella
persona que profesionalmente se ocupa de alguna de las actividades que la misma ley
considera como mercantiles8. La gran mayoría de las actividades definidas como actos
u operaciones de comercio, a lo largo de la historia, han estado sujetas a una condición:
la interacción física de las partes contratantes - aspecto fundamental del negocio
jurídico -. La manifestación de voluntad, en una parte importante de dichos actos, se
expresaba a través de un documento físico - papel -, donde la firma manuscrita daba fe
del común acuerdo. Hoy en día, esta concepción está siendo revalidada, básicamente,
por las diferentes opciones que ofrece el mercado, en particular, por el comercio
electrónico.
7 Código de Comercio Artículo 20.
8 Código de Comercio. Artículo 10.
18
19. Otro aspecto fundamental en el comercio, es su formación consuetudinaria, que marca
el destino del comercio. Como lo expresa el Dr. Paul Rehme en su libro “Historia
Universal del Derecho Mercantil” citado por el Dr. Madriñan de la Torre9 al enunciar lo
siguiente:
Dondequiera que floreció la costumbre, fueron desarrollándose, relativamente pronto,
usos mercantiles comunes, los cuales por concentración, pasaron con facilidad a ser
derecho. Así surge desde un principio el derecho consuetudinario mercantil, que es
donde encuentra justamente el comercio su norma especial, como derecho de
contenido análogo.
Así mismo, el comercio siempre ha tendido hacia la internacionalización, que no es otra
cosa que el uso de prácticas comunes entre comerciantes nacionales y extranjeros. El
comercio electrónico no ha sido ajeno a estas características, por el contrario es un fiel
ejemplo de su aplicabilidad teórica y práctica.
El ordenamiento jurídico en el comercio, nace precisamente, como respuesta a esos
usos y prácticas comunes, llenando así, el vacío que dejaba el derecho civil común; lo
MADRIÑAN DE LA TORRE, Ramón E. Principios de Derecho Comercial. Séptima Edición. Bogotá: Editorial Temis
9
S.A. 1997. p 25 a 32.
19
20. que lleva a otorgar al comerciante el carácter de profesional por desarrollar una
actividad especializada y con regulación propia.
En este orden de ideas, y con un breve panorama del comercio, resulta necesario fijar
la atención en el estado actual de las computadoras10 y, en particular el ingreso de
Internet11 al mercado como instrumento comercial.
10 La primer computadora fue diseñada con fines militares para calcular la trayectoria de los misiles obús. EL
ENIAC, podía sumar 5000 mil números en un segundo, media 30 metros de largo, 2,5 metros de alto, pesaba 30
toneladas y consumía 25.000 mil vatios de energía. Posteriormente, en 1952 J PRESPER ECKER y JOHN
MUCHLY, sacaron al mercado el UNIVERSAL AUTOMATIC COMPUTER UNIVAC 1, utilizado para fines científicos y
militares. En 1960 salieron al mercado computadoras cuyo precio oscilaba entre U$20.000 y U$100.000. Fue sólo
hasta 1975 cuando ED ROBERTS, diseño el denominado ALTAIR 8800, cuyo costo era de US$400, por primera vez
en la historia era posible que una persona del común accediera a una computadora. Al respecto puede consultarse a
DIAZ, GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer. 2002. p. 18 a 23.
11 Existen varias teorías sobre el origen del INTERNET, básicamente se sugieren dos momentos iniciales:
1) Conexión de redes con fines académicos.
2) Conexión de redes con fines militares.
El origen de las comunicaciones a través de redes tiene su inicio en las aulas universitarias, posteriormente el
sistema operativo sirvió para fines bélicos. A continuación dos importantes citas sobre este origen:
- El origen de INTERNET se remonta a la década de los sesenta, fecha en que nace una red
formada con la interconexión de cuatro computadores estadounidenses, del Instituto de
Investigaciones de Standford (SRI), de la Universidad de California en los Angeles (UCLA), de
la Universidad de California en Santa Bárbara (UCSB) y de la Universidad de Utath, cuyo
objetivo básico era compartir recursos. A mediados de la época de los sesenta, Estados
Unidos de América necesitaba disponer de una red nacional interconectada capaz de soportar
un ataque nuclear de la entonces Unión Soviética. Así, en caso de ataques desastrosos con
una alta siniestralidad, la red debía ser capaz de restablecerse, buscando la ruta más
apropiada para efectuar comunicaciones de defensa y contraataque. Este proyecto se llamó
20
21. Las computadoras han tenido un constante desarrollo desde sus inicios. Bill Gates y
Paul Allen fundaron MICROSOFT en 1975. La empresa se dedicaba a la fabricación de
sistemas operativos - software -. Un año después, se terminó de construir el APPLE I,
por uno de los ingenieros de Hewlett Packard, quien fundaría APPLE COMPUTER. Otro
importante avance en los sistemas operativos, que terminó con las maquinas de
escribir, fueron los procesadores de palabras, que salieron al mercado en el siguiente
orden: WORDSTAR, WORDPERFECT, WORD. Para 1981, se lanzó al mercado el IBM
PERSONAL COMPUTER (IBM PC). La primera hoja de cálculo - LOTUS - apareció en
1982. La sociedad APPLE COMPUTER revolucionó el mercado con el MACINTOSH en
1984, su valor agregado fue el sistema operativo, que utilizaba iconos y ventanas
controladas con un ratón. En 1991 se lanzó la world wide web (www). Desde entonces,
se vienen desarrollando diversos navegadores; NETSCAPE COMUNICATIONS,
ARPANET y fue la conexión de las computadoras de las instituciones antes mencionadas la
que marcó la pauta para su aparición. Debido a que esta red nunca se utilizó para su fin
primario, al poco tiempo los grupos académicos de ese país la vieron como una buena
posibilidad para intercambiar información de todo tipo, por lo que, en los setenta, ARPANET,
es utilizada para fines académicos. TRUJILLO SÁNCHEZ, Guillermo. Internet para abogados.
Medellín: Señal Editora. 2001. p 28.
- Lo que hoy conocemos como Internet tuvo sus comienzos en el proyecto experimental
diseñado, a instancia de la National Advanced Research Proyect Agency, abreviatura de
NARPA o ARPA. Por ello la red digital que surgió se denominó ARPANET, salido de las
discusiones entre VINTON GRAY CERF y ROBERT KAHN a altas horas de la noche en un
hotel de San Franciso y donde se les ocurrió la idea clave de conmutar redes de paquetes de
21
22. fundado en 1994 creó el Netscape Navigator. Después, Internet Explorer en 1995,
desplazó el navegador de Netscape. Los sistemas operativos han sido desarrollados
para ofrecer sistemas íntegros y ágiles, tecnológicamente hablando, facilitando la labor
del usuario.12 A pesar de las grandes ventajas que ofrecen los sistemas operativos, la
inseguridad en las redes de información, ha generado desconfianza en el sistema, sin
embargo, ha generado conciencia en los empresarios que desarrollan los sistemas
operativos; la búsqueda se concentra cada vez más en el desarrollo de sistemas
seguros. La inseguridad constituye, indiscutiblemente, en muro de contención para el
progreso del comercio electrónico. De esta suerte, las transacciones no presenciales,
han tenido una evolución lenta, contrario a lo que se esperaba, toda vez que no existe
en el usuario común un sentimiento de seguridad y confianza en los sistemas
operativos. Esta forma de pensar, debe disiparse y, por el contrario propagar el
conocimiento de la seguridad en los medios electrónicos; el mecanismo más adecuado
para difundir el sentimiento de confianza, es sin duda, la transmisión de la información y
del conocimiento, ya que si bien es cierto que la inseguridad está presente, así mismo
información. [...]”. DIAZ GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer.
2002. p 13.
Para más información acerca del desarrollo de los computadores y sistemas operacionales véase a DÍAZ,
12
GARCÍA. Ibid. p. 17 a 23.
22
23. existen mecanismos para contrarrestarla, el obstáculo es que no se conocen estos
mecanismos.
El siguiente extracto del artículo, Inseguridad en la Red Aumentará Intervención de
Gobiernos, publicado por la página web http://www.delitosinformaticos.com, es una
clara muestra del impacto de la inseguridad en el comercio electrónico:
La falta de seguridad en Internet dominará el debate y aumentará la intervención de
gobiernos en la "red de redes" en los próximos años, ante la nula privacidad a de los
usuarios, cuyos datos personales están al alcance de cualquiera. Expertos de firmas
especializadas consideraron que la actual falta de privacidad de los cibernautas, que
amenaza incluso su seguridad, ha originado una creciente preocupación y podría
causar pérdidas millonarias a las empresas dedicadas al comercio electrónico. De
acuerdo con una encuesta de la firma de investigación de mercados Forrester
Research, 65 por ciento de más de 10 mil consumidores consultados se mostraron
"muy preocupados" o "extremadamente preocupados" sobre su privacidad al navegar
en Internet. Esta falta de confianza causó que en 1999 los consumidores en línea de
Estados Unidos se abstuvieran de hacer negocios por unos cuatro mil doscientos
millones de dólares y que 54 por ciento de las empresas disminuyeran o frenaran
completamente su comercio electrónico. La encuesta mostró que mientras más
aumenta la popularidad de Internet, los usuarios se muestran más temerosos de la
seguridad de los datos que proporcionan a los sitios que visitan. Cada vez que alguien
se conecta a la red, es vulnerable de compartir sus datos con firmas que buscan
información con fines comerciales o con verdaderos delincuentes que pretenden por
ejemplo apropiarse de números de tarjetas de crédito.
23
24. La cadena de noticias CNN realizó una encuesta, que se difundió a través de la página
web, www.cnnenespanol.com, el 27 de enero de 2003, la pregunta fue la siguiente:
¿Usted cree que Internet es demasiado vulnerable?
Sí 91% 509 votos
No 9% 52 votos
Total: 561 votos
Tabla No. 1. Fuente: CNN EN ESPAÑOL
Ahora bien, resulta esencial entender el contexto dentro del cual se está desarrollando
la actividad comercial que está revolucionando el comercio del siglo XXI, la red Internet.
El Dr. Daniel Peña Valenzuela13, expresa una idea clara del concepto de Internet: “[...]
red14 compuesta de diversas redes electrónicas. Las redes están conformadas por
13 PEÑA VALENZUELA, Daniel. Aspectos Legales de Internet y del Comercio Electrónico. Bogotá: Dupré Editores
Ltda. 2001. p 29.
14 La red puede definirse como la conexión de computadoras para compartir recursos e intercambiar información.
Una red de ordenadores permite que los nodos puedan comunicarse uno con otro. Los «nodos» son hardware como
por ejemplo impresoras, fax, sistemas operativos etc.
Para comprender qué es una red de ordenadores, debe entenderse el concepto de tamaño, forma y aspecto físico.
El tamaño se refiere a dos conceptos:
24
25. computadores y servidores, conectados a su vez a través de redes públicas o privadas
de telecomunicaciones”.
El Dr. Díaz García15, expresa en los siguientes términos el concepto de la red Internet:
1. LAN (Local Area Network - Red de Area Local). Si todo está a una distancia razonable que se pueda cubrir
caminando, se le suele llamar LAN, da igual cuántas máquinas estén conectadas, y de qué manera esté hecha la
red.
2. WAN (Wide Area Network - Red de Area Amplia). Si se tienen ordenadores en sitios físicos en Lahore, Pakistán,
otro en Birmingham, Reino Unido y otro en Santiago de Chile, e intenta conectarlos, tendrá una WAN.
Vea más información de redes en la nota pie de página 50.
La Forma:
Este concepto se refiere a la manera como se interconectan los nodos (círculos). Los enlaces de red (líneas), son el
hilo conductor de los nodos. Hay dos formas de conexión:
Donde hay un nodo central y muchos enlaces de red, que puede representarse de dos formas:
o o o
_ | _/ o------o------o-------o--------o
|/
o-----o-----o
_/|_
/ |
o o o
O puede que tenga tres subredes conectadas a través de un nodo:
o
o | o--o--o
| | |
o--o--o--o--o o
|
o------o
/ |
o--o--o--o--o o
| | |
o | o--o
25
26. [...]un conjunto de computadores unidos entre sí que cumplen tres funciones
principales:
• Permitir que se puedan enviar mensajes desde un computador hacia otro ubicado en
cualquier lugar del mundo.
• Almacenar archivos para que puedan ser leídos por una persona en otro lugar del
mundo.
• Permitir que los usuarios se puedan conectar con computadores ubicados en sitios
remotos, tal y como si estuviesen en el mismo lugar”.
Internet, es sin duda, la red de redes, que permite comunicación en tiempo real,
intercambio de información, celebración de contratos, almacenamiento de datos, entre
otros. Es una herramienta inherente al comercio electrónico.
o
Aspecto físico:
El aspecto físico se refiere a la estructura de la red. El dispositivo más usado es el «módem» que puede utilizar una
línea telefónica, fibra óptica (un delgado filamento de cristal) o señal satelital (teléfonos celulares) para crear
enlaces de red.
Protocolo:
La forma de codificar y descodificar los sistemas operativos de las computadoras para poder intercambiar
información. Este concepto se ampliara más adelante.
Véase más al respecto en la página web http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-
redes.
26
27. En este orden de ideas y, ubicados en el contexto del comercio y de la red Internet, es
procedente continuar con la concepción de comercio electrónico. Sea lo primero,
manifestar que la Ley Modelo de la CNUDMI16 sobre Comercio Electrónico no definió la
15 DÍAZ GARCÍA, Op. Cit., p. 63 y 64.
16 La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, (UNCITRAL o CNUDMI) promovió la
elaboración de un proyecto de ley tipo en materia de comercio electrónico. La Asamblea General de la ONU,
mediante Resolución 51/162 de 1996 aprobó la Ley Modelo sobre Comercio Electrónico y recomendó su
incorporación en los ordenamientos internos, como un instrumento útil para agilizar las relaciones jurídicas entre
particulares.
El régimen legal modelo, formulado por la Comisión de Naciones Unidas para el Desarrollo del Derecho Mercantil
Internacional, según lo expone la Corte Constitucional busca ofrecer:
[...]al legislador nacional un conjunto de reglas aceptables en el ámbito internacional que le permitieran eliminar
algunos de esos obstáculos jurídicos con miras a crear un marco jurídico que permitiera un desarrollo más seguro de
las vías electrónicas de negociación designadas por el nombre de comercio electrónico.
“[...] La ley modelo tiene la finalidad de servir de referencia a los países en la evaluación y modernización de ciertos
aspectos de sus leyes y prácticas en las comunicaciones con medios computarizados y otras técnicas modernas y en
la promulgación de la legislación pertinente cuando no exista legislación de este tipo”. CORTE CONSTITUCIONAL.
Sentencia C – 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morón Díaz. Bogotá: 2000.
El Dr. Ernesto García Rengifo, en su libro: Comercio Electrónico. Documento Electrónico y Seguridad Jurídica.
Bogotá: Universidad Externado de Colombia. 2000. p. 25 y 26. Manifestó:
La ley modelo fue aprobada por la Comisión el 16 de diciembre de 1996 en cumplimiento de su
mandato de fomentar la armonización y unificación del derecho mercantil internacional, con
miras a eliminar los obstáculos innecesarios ocasionados al comercio electrónico internacional
por las insuficiencias y divergencias del derecho interno que afecten a ese comercio. Fue
preparada a raíz del cambio fundamental registrado en los medios de comunicación entre las
partes. Tiene la finalidad de servir de referencia a los países en la evaluación y modernización
de ciertos aspectos de sus leyes y prácticas en las comunicaciones con medios computarizados
27
28. concepción de comercio electrónico, sin embargo, la utilizó como punto de explicación
para referirse al empleo de técnicas electrónicas modernas como el EDI17 y el correo
electrónico, así como para otras técnicas de comunicación menos avanzadas como el
télex, la telecopia o el fax.
Ahora bien, según lo expresa el Dr. Ernesto García Rengifo, el comercio electrónico,
puede entenderse de la siguiente manera:
[...] el intercambio de información entre personas que da lugar a una relación
comercial, consistente en la entrega en línea de bienes intangibles o en un pedido
electrónico de bienes tangibles. Este intercambio de datos o información puede ser
multimedia o consistir en imagines, textos y sonidos.18.
y otras técnicas modernas y en la promulgación de legislación pertinente cuando no exista
legislación de este tipo.
Los principios generales de la ley pueden resumirse en estos cinco puntos, como lo expresa el Dr. Rengifo, Ibídem.
P. 26.
1. Facilitar el comercio entre los países y dentro de ellos;
2. Validar las operaciones efectuadas por medio de las nuevas tecnologías de la información;
3. Fomentar y estimular la aplicación de nuevas tecnologías de la información;
4. Promover la uniformidad del derecho; y
5. Apoyar las prácticas comerciales.
17 El EDI - Intercambio Electrónico de Datos: es toda aquella transmisión de mensaje de datos a través de medios
telemáticos.
18 Ibid. p. 16.
28
29. La legislación colombiana - Ley 527 de 1999 - en su Artículo Segundo (2º), define el
Comercio Electrónico de la siguiente manera:
Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no
contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de
cualquier medio similar. Las relaciones de índole comercial comprenden, sin limitarse a
ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio
de bienes o servicios; todo acuerdo de distribución; toda representación o de mandato
comercial (Titulo XIII. Artículo 1262 y s.s. del Código de Comercio); todo tipo de
operaciones financieras, bursátiles y de seguros; de construcción de obras; de
consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o
explotación de un servicio público; de empresa conjunta y otras formas de cooperación
industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea,
marítima y férrea, o por carretera.
Así las cosas, se podría decir que el comercio electrónico debe entenderse como toda
forma de transacción comercial (compra - venta, pago - cobro) a través de medios
electrónicos.
Gráficamente el comercio electrónico se desarrolla de la siguiente manera:
29
30. Gráfica 2. Fuente: Diseño Universidad Tecnológica Equinoccial (info@ute.edu.ec)
Los usuarios, potenciales compradores, se conectan a la red Internet desde su
computadora, para lo cual necesitan de un tercero que provea el servicio de conexión
de
redes, a través de servidores19. Una vez en línea, a través de los buscadores20 acceden
a la página web que quieren, encuentran el vendedor que ofrece los servicios o
19 Los servidores, como su nombre lo indica, se utilizan para dar servicios a las demás computadoras que se
encuentran interconectadas entre sí. Un servidor puede tener servicios de archivos, de correo, de impresión, de
páginas WEB, de programas, etc., todo en un mismo equipo o en diferentes servidores, dependiendo del volumen de
usuarios. Las funciones principales del Servidor son: a) Centralizar y concentrar la información; b) Centralizar las
aplicaciones (correo, archivos, Web, programas, etc.). c) Estandarizar la operación de la empresa.
20 Sistemas operativos a partir de los cuales se reúnen una serie de páginas web en varias ventanas – según el
número de registros encontrados por el buscador – mediante el suministro de cierrta información. Existen diversos
buscadores en la red Internet dentro de los cuales pueden destacarse Google, Alta Vista, Yahoo, Lycos, Savy
Search, Info Seek entre otros. El objetivo de los buscadores es encontrar los documentos que contengan las
palabras claves introducidas. Generalmente localiza las páginas web que más se acomoden a las palabras
introducidas. Véase más sobre buscadores en la página web http://sensei.lsi.uned.es:8000/cea-
iw/curso/2k3/m2/buscadores.html y en Derecho Informático. Elementos de la Informática Jurídica. DÍAZ GARCÍA,
30
31. productos deseados a través de la llamada Intranet21 y, finalmente se intercambian
mensajes de datos para concretar el acuerdo.
Las expectativas con relación al comercio electrónico son muy grandes. Justamente, el
beneficio de este medio es inobjetable, pero se requiere la implementación de medidas
y mecanismos de seguridad - técnico jurídicos - que faciliten y hagan posible lo
conectividad mundial a través de medios electrónicos.
El vicepresidente ejecutivo de la Cámara de Comercio de Bogotá, expresó su opinión
respecto a la evolución de los medios de comunicación y el comercio electrónico y su
valor agregado para el comercio mundial en los siguientes términos:
La posibilidad de transmitir digitalmente de manera descentralizada, el desarrollo de
Internet a finales de los años sesenta y el perfeccionamiento de sus servicios desde
la aparición de la red de redes en los años ochenta, se constituyeron en los pilares
básicos para el despegue del comercio electrónico.
En la actualidad el desarrollo del comercio electrónico a nivel mundial es un hecho
innegable e irreversible. No sólo es así, sino que se prevé, seguirá en crecimiento en
Alexander. Bogotá: Editorial Leyer. 2002. p. 108 a 113.
31
32. los próximos años generando grandes ingresos a través de la red, el cual
innegablemente causa un impacto sobre la actividad económica, sociales y jurídicas
en donde éstas tienen lugar.
A pesar de no haber madurado aún, el comercio electrónico crece a gran velocidad e
incorpora nuevos logros dentro del ciclo de producción. A nivel general, todo parece
indicar que este nuevo medio de intercambio de información, al eliminar las barreras
y permitir un contacto en tiempo real entre consumidores y vendedores, producirá
mayor eficiencia en el ciclo de producción aparejado a un sinnúmero de beneficios
como la reducción de costos, eliminación de intermediarios en la cadena de
comercialización, etc. trayendo importantes e invaluables beneficios a los
empresarios que estén dotados de estas herramientas.
En Colombia, las ventas por Internet son una realidad. Los centros comerciales
virtuales y las transferencias electrónicas, entre otro, ya pueden encontrarse en la
red. En 1995 existían en nuestro país 50.000 usuarios de Internet, hoy, según
estudios especializados, llegan a los 600.000 y en el año 2000 sobrepasarán el
millón de suscriptores. Así las cosas Colombia se perfila como uno de los países de
mayor crecimiento en América Latina en utilización de recursos informáticos y
tecnológicos para tener acceso a Internet y podría utilizar estos recursos para
competir activa y efectivamente en el comercio internacional [...] 22
21 Normalmente las empresas poseen lo que se llama una Intranet - red de computadoras interconectadas con un
Servidor central -, que les permite intercambiar información, enviar mensajes a otros usuarios del sistema, compartir
archivos, etc. Así las cosas, Internet también se podría definir como una red de redes, una red de Intranet's.
22 Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000. Magistrado Ponente: Dr. Fabio
Morón Díaz. Expediente: D-2693.
32
33. El crecimiento del comercio electrónico es una realidad, y los usuarios crecen
exponencialmente23. Se han realizado varias estadísticas reflejan en cifras, el número
de usuarios que frecuentan el Internet. Ahora bien, sin perjuicio del auge del Internet, el
comercio electrónico, entendido como la negociación de mercaderías a través de
medios electrónicos, no ha tenido el impacto que se esperaba, como quedó antedicho,
por razones de inseguridad. Las siguientes cifras, reflejan el inmenso potencial en el
ámbito mundial para el comercio electrónico. Todos y cada uno de los internautas
representan, en mayor o menor medida, potenciales agentes del comercio electrónico:
Número de usuarios de Internet por países
Número de Usuarios de Internet (en millones de personas)
Audiencia total % Población Fuente
EE.UU, Mayo 2002 165,00 59,85 Nielsen
Japón, Mayo 2002 60,44 47,59 Nielsen
Reino Unido, Junio 2002 28,99 48,59 Nielsen
Alemania, Junio 2002 31,92 49,80 SevenOne Interactive
23 En el periódico EL TIEMPO en su publicación del 26 de enero de 2000, según datos de Global Emerging Markets,
se afirmó que el comercio electrónico así como los gastos de publicidad en la red tendrán un aumento anual del 140
por ciento.
Según un estudio realizado por la Universidad de Texas publicado en el periódico EL TIEMPO el 8 de noviembre de
1999 se estimaba que las personas conectadas a Internet ascendían a 171 millones de personas.
33
34. Canadá, Marzo 2002 16,84 57,58 Nielsen
Italia, Mayo 2002* 8,01 NetValue
Australia, Junio 2002 10,62 54,32 Nielsen
Holanda, Junio 2002 9,73 60,87 Nielsen
Francia, Diciembre 2001 15,65 26,28 Mediametrie
España, Marzo 2002 7,89 22,65 AIMC
Suecia, Junio 2002 6,02 67,83 Nielsen
Bélgica, Junio 2002 3,30 45,00 GfK Web-gauge
Suiza, Mayo 2002 3,85 52,85 Nielsen
Dinamarca, Junio 2002 3,37 62,99 Nielsen
Noruega, Abril 2002 2,46 56,84 Nielsen
Austria, Diciembre 2001 3,55 43,45 Media Research
Singapur, Abril 2002 0,97 23,36 Nielsen
Hong Kong (China), Junio 2002 4,35 59,55 Nielsen
Taiwán, Abril 2002* 6,30 NetValue
Finlandia, Abril 2002 2,07 40,05 Nielsen
Nueva Zelanda, Junio 2002 2,06 51,70 Nielsen
Irlanda, Junio 2002 1,31 34,11 Nielsen
México, Diciembre 2001 3,5 3,43 ITU
Brasil, Junio 2002 13,98 7,99 Nielsen
China, Julio 2002 45,80 3,60 CNNIC
India, Diciembre 2001 7 0,70 ITU
Korea Network Information
Corea del Sur, Junio 2002 25,65 53,53
Center
Nigeria, Diciembre 2001 0,2 0,16 ITU
34
35. Suráfrica, Diciembre 2001 3,06 7,05 ITU
Tabla 2. Fuente: http://www.aui.es/estadi/internacional/internacional.htm
En Colombia existen 2,7 millones de Internautas24. La Comisión de Regulación de
Telecomunicaciones - CTR - reveló un estudio que arrojó una cifra de dos millones
setecientos treinta y dos mil doscientos un (2,732,201) usuarios en el primer semestre
de 200325. De acuerdo con dicho estudio un internauta en Colombia navega un
promedio de 25,4 horas al mes. El número de adeptos a la red Internet ha tenido en los
últimos años una curva creciente en nuestro país, sin embargo, la concentración se da
en las grandes ciudades del país. La siguiente gráfica indica el resultado del estudio de
la CRT:
24 La República. Diario Económico, Empresarial y Financiero de Colombia. Publicación Martes 25 de Noviembre de
2003. p. 5B.
25 Comisión de Regulación de Telecomunicaciones www.crt.gov.co.
35
36. Penetración Internet (%)
Municipios
Armenia Municipios
Armenia
Manizales
Manizales
Cartagena
Cartagena
Otras capitales Otras capitales
Pereira Pereira
Bucaramanga Bucaramanga
Barranquilla
Barranquilla
Cali
Cali
Medellín
Medellín Bogotá
Bogotá
0 5 10 15 20 25 30 35 40 45 50 55
Gráfica 3. Fuente: CRT. La República. Edición Martes 25 de Noviembre de 2003.
Diseño: Autor
La gráfica muestra la concentración de usuarios en las grandes ciudades. Puede
apreciarse que en la Capital del país, Bogotá D.C., el número de usuarios supera por
más del doble, en el mejor de los casos, al número de usuarios de las demás ciudades.
Numerosos municipios no tienen acceso ni siquiera a un computador, siendo éste, el
principal inconveniente que afrontan los colombianos a la hora de conectarse a la red.
Sin perjuicio de lo anterior, gracias al programa COMPARTEL, se ha logrado ingresar a
36
37. las comunidades apartadas del país. De esta suerte, las estadísticas muestran que los
servicios, en estos municipios, son solicitados en promedio 850 veces al mes, lo que
equivale a 20 solicitudes diarias.
El comercio electrónico, en el ámbito mercantil, puede verse desde varios puntos de
vista. Se tomará la clasificación que hace el Profesor Peña Valenzuela para explicar
cada uno de estos perfiles26:
• Comercio electrónico negocio a negocio: este tipo de comercio es aquel en que
se intercambian bienes y servicios entre empresas a través de la red Internet. La
principal implicación consiste en la tecnificación de las empresas, toda vez que
para llevar a cabo dicho intercambio se requiere, como es de suponerse,
sistemas operativos que hagan lo posible, significando un costo de operación
importante. El intercambio consiste, en formalizar el acto de comercio, es decir,
la propuesta u oferta y aceptación. El pago puede efectuarse a través de
transferencias bancarias o a través de la red bancaria del banco pagador y
receptor. La obligación de dar - intercambio de bienes - implica un
desplazamiento físico que se cumple en un segundo momento a través de una
26 VALENZUELA, PEÑA, Daniel. Op. cit. p. 25.
37
38. empresas de transporte etc. Este tipo de comercio es usual entre sociedades
matrices y sus subordinadas27 - empresas asociadas que intercambian
recursos con frecuencia -. El cumplimiento de los requisitos de forma puede
realizarse a través de la red - on line -, y el intercambio físico se hace posterior al
acuerdo. La tecnificación de la empresa se traduce en mayor productividad y
menores costes de transacción.
• Comercio electrónico de empresa a consumidor: este tipo comercio consiste en
la aplicación de procesos informáticos que le permiten a las empresas poner su
producto a disposición del navegante - consumidor -. Hoy en día existen diversos
negocios en línea, que ofrecen una gran variedad de productos. La confiabilidad,
representa en este tipo de comercio el punto clave para el productor. Una vez
alcanzada la confianza del consumidor, el negocio es viable; entran a jugar, a
posteriori, variables como calidad, imagen, precios etc., que hagan atractivo el
producto. Acceder a este comercio es relativamente sencillo, lo complejo es
mantenerse en el mercado, ofrecer productos y servicios que atraigan al
consumidor y que lo induzcan a comprar. En el mercado existen un sin número
27 Código de Comercio. Artículo 260. Matrices, subordinadas y sucursales. Una sociedad será subordinada o
controlada cuando su poder de decisión se encuentre sometido a la voluntad de una u otras personas que serán su
38
39. de libros de marketing, que plantean estrategias para maximizar las ventas y
mantenerse activo en la red Internet28.
• Comercio electrónico de consumidor a empresa: este comercio le permite a los
consumidores acceder a los diferentes productos que se ofrecen en la red, que
pueden llegar a ser adquiridos a través de mecanismos informáticos29.
• Comercio electrónico entre consumidores: el ejemplo perfecto que explica este
comercio es el de los remates, o el de las bolsas de empleo, los cuales funcionan
a través de un intermediario que pone en contacto a dos personas quienes
eventualmente pueden llegar a contratar. En derecho esta figura por analogía
debería regularse por el “Corretaje” regulado en el artículo 1340 del Código de
Comercio que establece:
matriz o controlante, bien sea directamente, caso en el cual aquélla se denominará filial o con el concurso o por
intermedio de las subordinadas de la matriz, en cuyo caso se llamará subsidiaria.
28 Al respecto puede verse por ejemplo el libro Fundamentos del Comercio Electrónico. Barcelona: Editorial Gedisa
S.A. 2001.
29 Frente al concepto “informático” el Dr. Ernesto Rengifo García Op. cit. p. 10 y 11 manifiesta:
(...) la informática es la rama de la tecnología moderna que se ocupa del proceso y
almacenamiento de informaciones mediante soportes automatizados...la exigencia de transmitir
a distancia esas informaciones mediante redes interconectadas ha determinado la aparición de
la telemática, que consiste en la tecnología de las comunicaciones para el intercambio de
información entre equipos informáticos.
39
40. Se llama corredor a la persona que, por su especial conocimiento de los mercados,
se ocupa como agente intermediario en la tarea de poner en relación a dos o más
personas, con el fin de que celebren un negocio comercial, sin estar vinculados a las
partes por relaciones de colaboración, dependencia, mandato o representación.
La anterior clasificación revela la importancia de la seguridad física y jurídica en el
comercio electrónico, la necesidad de regulación con normas claras y precisas que
protejan tanto al consumidor como al productor o vendedor. Sin embargo, como se
pudo observar cada negocio en particular celebrado en la red puede tener una
regulación en la legislación colombiana, y de ser así dicho negocio en particular se
regularía por tales normas, sin dejar de lado la regulación sobre comercio - Ley 527 de
1999 y sus reglamentaciones -, la cual de igual forma tendría aplicación. En Internet,
como lo expone el Dr. Rodríguez30 la distinción de la jurisdicción, genera un problema
adicional, razón por la cual, debe acudirse al Derecho Internacional Privado y aplicar la
normatividad del Estado que tenga un grado de intervención mayor en el negocio. Con
respecto a la ubicación geográfica el Dr. Rodríguez expone:
En el Internet la determinación de la jurisdicción incluye un elemento adicional: la
ubicación geográfica de los intervinientes. El mundo virtual impide que con facilidad se
30 RODÍGUEZ. TURRIAGO, Omar. Internet Comercio Electrónico & Comunicaciones. Universidad de Los Andes
Facultad de Derecho. Bogotá: Editorial Legis S.A. 2002. p. 326 y 327.
40
41. le impute a un actor un domicilio. Es fácil ubicar a los proveedores de servicio de
Internet e inclusive a los operadores de los portales con gran reconocimiento, pero no
a los usuarios particulares. Las direcciones en el Internet, por no tener un carácter
físico, son movibles en la red. La dirección puede estar localizada con un servidor en
Nueva York y posteriormente en Japón, sin que el usuario haya cambiado su domicilio.
La jurisprudencia norteamericana ha precisado que cuando un portal se dirige a una
audiencia en un país, y es catalogado como activo en esa región, sus Cortes tendrán
jurisdicción sobre este [...].
Resulta de trascendental importancia que el legislador defina la jurisdicción a aplicar a
través de tratados internacionales, no sólo de derecho privado sino público. Es claro,
que cualquier contrato celebrado, independientemente de su contexto geográfico, se
rige por sus normas especiales, sin embargo, qué jurisdicción es competente para
conocer en un determinado momento una controversia, es un ámbito que no está
plenamente definido.
Ahora bien, es inminente la necesidad de implementación de medios tecnológicos
seguros que faciliten el intercambio de bienes y servicios a través de la red Internet. Un
Software que haga posible la comunicación y, medios de pago que permitan el
intercambio de recursos.
41
42. La siguiente gráfica nos muestra el porcentaje de incursión del Comercio Electrónico a
Marzo 2002 en Europa:
Gráfica 4. Fuente: Jupiter MMXI Europe
En este punto, es claro que la inseguridad es sin duda alguna el gran obstáculo para el
desarrollo del comercio en las redes de información. La pregunta inmediata es: ¿cómo
superar el elemento presencial y la formalidad escrita para brindar seguridad a las
transacciones electrónicas?. La seguridad en todos los ámbitos, gubernamental,
empresarial, familiar etc., es un aspecto complejo y de difícil solución. Con el fin de
abarcar el estudio de la seguridad en las redes informáticas, objeto de este estudio, se
analizaran los tipos de seguridad en este contexto. Los ataques a las redes informáticas
- desde el punto de vista de la prevención - son similares a prevenir ataques terroristas
42
43. de los grupos insurgentes31. Objetivamente cualquier sujeto con acceso a la red es un
potencial agresor, los delincuentes se infiltran cómo un usuario común y su ubicación,
como se mencionó, es difícil de detectar. La prevención resulta, ante esta desventaja,
sumamente necesaria. Sin embargo, el costo político y social de implementar medidas
de prevención, que coarten la libertad32, privacidad e intimidad33, resulta sumamente
alto, sin embargo, es una necesidad común, que garantizará la seguridad y la paz. Por
ahora no debemos preocuparnos de este aspecto, por lo menos en Colombia, sin
perjuicio, de que debemos estar preparados para este tipo de intervencionismo estatal.
Sin perjuicio de analizar más adelante los mecanismos de seguridad, puede decirse
que ésta, tiene dos áreas de acción - lógica y física -. La primera consiste en
implementar mecanismos a nivel hardware y software, que impidan la entrada ilegal de
31 No debe olvidarse que el terrorismo es un delito tipificado por la legislación penal colombiana y que puede
desarrollarse en medios informáticos. Código Penal Colombiano. Artículo 195.
32 Constitución Política de Colombia. Artículo 13: Todas las personas nacen libres e iguales ante la ley [...].
33 Constitución Política de Colombia. Artículo 15: Todas las personas tienen derecho a su intimidad personal y
familiar y su buen nombre, y el Estado debe respetarlos y hacerlos respetar.
Al respecto el Dr. Rodríguez Turriago, Op. Cit., p. 329 comenta:
El Parlamento de la Comunidad de la Unión Europea profirió, en 1995, una normatividad - European Union Directive
95/46 -, para proteger el derecho a la intimidad de las personas con respecto al procesamiento de información
personal. En la misma, se establece la prohibición de transferir información personal de ciudadanos europeos a
países donde no exista una protección similar.
43
44. usuarios a las redes IT de la empresa. Estos dispositivos deben ser implementados
luego de un análisis de vulnerabilidad de la compañía. La segunda consiste en
garantizar la integridad de los centros de cómputo, ante cualquier riesgo, como por
ejemplo movimientos telúricos, incendios, sobrecargas de energía etc. La complejidad
de la seguridad tiene un sin número de explicaciones entre las cuales puede
mencionarse: - el tiempo que demanda realizar una efectiva protección de dichas
actividades; - los costes de operación en sistemas seguros; - la vulnerabilidad de los
sistemas de seguridad más comunes y económicos. Sin embargo, implementar
medidas preventivas siempre será menos costoso que reparar los daños. Una
alternativa interesante, es la intervención de terceros con capacidad técnica y
económica que garanticen la seguridad - lógica y física - a precios accesibles.
La siguiente gráfica refleja la relación entre, complejidad en la protección, contra el
tiempo que demanda implementar un sistema seguro.
44
45. Gráfica 5. Fuente: http://ute.edu.ec
La seguridad se ha convertido hoy en día en un elemento imprescindible para el
desarrollo positivo de las redes de información. Las transacciones de nivel mundial por
medios informáticos - comercio electrónico - dependen en gran medida de la
potencialización de los mecanismos de seguridad.
Ahora bien, ¿qué ventajas puede generar la seguridad?. A continuación se mencionan
las ventajas según la Universidad Tecnológica Equinoccial Centro de Excelencia
Investigación y Transferencia de Tecnología quienes hacen una compilación de las
ventajas:
Desaparecer los límites geográficos para los negocios en general.
45
46. Estar disponibles las 24 horas del día.
Reducción de un porcentaje importante en los costos de la transacción.
Se facilita la labor de los negocios entre empresario y cliente.
Reducción considerable de inventarios.
Agiliza las operaciones del negocio.
Proporcionar nuevos medios para encontrar y servir a los clientes.
Incorporar estrategias de nivel internacional para optimizar las relaciones
empresa - cliente.
Reducir el tamaño del personal y consecuentemente los costos de nómina.
Reducción de costos de publicidad, generando mayor competitividad.
Cercanía a los clientes y mayor interactividad y personalización de la oferta.
Desarrollo de ventas electrónicas.
Globalización y acceso a mercados potenciales de millones de clientes.
Implantar tácticas en la venta de productos para crear fidelidad en los
clientes.
Bajo riesgo de inversión.
Rápida actualización en información de productos y servicios de la empresa
(promociones, ofertas, etc.).
46
47. La seguridad se traduce en confianza. Los usuarios quieren confidencialidad en la
transmisión electrónica de sus mensajes de datos - que de lograrse - incrementará el
comercio a través de medios electrónicos, representando un valor agregado muy
importante para las economías mundiales.
Sin perjuicio de lo anterior, y pese a la desconfianza que existe en el comercio
electrónico, hoy en día existen herramientas técnicas soportadas en normas jurídicas –
Ley 527 de 1999, Decreto 1741 de 2000, Resolución 26930 de 2000 -, que
proporcionan seguridad en el intercambio de datos a través de medios electrónicos.
Este estudio, tiene como objetivo y fin principal mostrarle al lector los diferentes matices
del comercio electrónico, con un especial énfasis en la seguridad, en los elementos
técnicos y la normalización que los soporta.
1.2 Marco Jurídico del Comercio Electrónico en Colombia
El marco jurídico del comercio electrónico en nuestro país está conformado de la
siguiente manera:
47
48. - Ley 527 de 199934;
- Decreto 1747 de 200035;
34 La Ley 527 de 1999 contiene 47 artículos, distribuidos en cuatro Partes, a saber:
Parte I. PARTE GENERAL:
Capítulo I. Disposiciones Generales;
Capítulo II. Aplicación de los Requisitos Jurídicos de los mensajes de datos;
Capítulo III. Comunicación de los mensajes de datos;
Parte II. COMERCIO ELECTRÓNICO EN MATERIA DE COMERCIO DE TRANSPORTE DE MERCANCÍAS.
Parte III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN.
Capítulo I. Firmas Digitales;
Capítulo II. Entidades de Certificación;
Capítulo III. Certificados;
Capítulo IV. Suscriptores de Firmas Digitales;
Capítulo V. Superintendencia de Industria y Comercio;
Capítulo VI. Disposiciones varias.
Parte IV. REGLAMENTACIÓN Y VIGENCIA.
35 El Decreto 1747 de 2000 contiene 29 artículos, se encuentra dividido por tres capítulos que a su vez se subdividen
en secciones.
Capítulo I: Aspectos Generales.
Definiciones: Suscriptor, repositorio, clave privada, clave pública, certificado en relación con firmas digitales,
estampado cronológico, entidad de certificación cerrada, entidad de certificación abierta, declaración de prácticas de
certificación.
Capítulo II: De las entidades de certificación y certificados digitales.
Sección I: Entidades de certificación cerrada
Sección II: Entidades de certificación abierta
48
49. - Resolución 26930 de 200036;
- Jurisprudencia;
- Doctrina y;
- Conceptos de la Superintendencia de Industria y Comercio (SIC) -.
La Ley 527 de 1999 es el resultado de una ardua labor de estudio en temas de derecho
mercantil internacional; una comisión redactora de la que formaron parte tanto el sector
privado como el público, cuyo liderazgo se gestó a iniciativa del Ministerio de Justicia y
del Derecho, con la participación de los Ministerios de Comercio Exterior, Transporte y
Sección III: De la decisión y las responsabilidades
Sección IV: De los certificados digitales
Capítulo III: Facultades de la Superintendencia de Industria y Comercio.
36 La Resolución 26930 de 2000 contiene 26 artículos, se encuentra dividido por tres capítulos que a su vez se
subdividen en secciones.
CAPÍTULO I: Entidades de Certificación Cerradas
CAPÍTULO II: Entidades de Certificación Abiertas
Sección I: Autorización
Sección II: Cumplimiento requisitos permanentes
Sección III: Firmas Auditoras de Entidades de Certificación
Sección IV: Cesación de Actividades
Sección V: Estándares, Planes y Procedimientos de Seguridad
CAPÍTULO III: Certificados
49
50. Desarrollo, se vieron en la tarea de regular el comercio electrónico y el manejo de los
mensajes de datos en Colombia.
La razón de ser obedeció a la necesidad de implementar en la legislación colombiana,
un régimen jurídico consecuente con las nuevas realidades en el área de las
comunicaciones y en el comercio, de modo que las herramientas jurídicas y técnicas,
dieran un fundamento sólido y seguro a las relaciones y transacciones que se llevan a
cabo por vía electrónica y telemática, al hacer confiable, seguro y válido el intercambio
electrónico de informaciones.
En este orden de ideas, gracias a la Ley 527 de 1999 Colombia se pone a tono con las
modernas tendencias del derecho internacional privado, una de cuyas principales
manifestaciones ha sido la adopción de legislaciones que llenen los vacíos normativos
que dificultan el uso de los medios de comunicación modernos, pues, ciertamente, la
falta de un régimen específico que avale y regule el intercambio electrónico de
informaciones y otros medios conexos de comunicación de datos, origina incertidumbre
y dudas sobre la validez jurídica de la información cuyo soporte es informático, a
diferencia del soporte documental que es el tradicional.
50
51. De ahí que la Ley facilite el uso del Intercambio Electrónico de Datos (EDI) y de medios
conexos de comunicación de datos, otorgando igual trato a los usuarios de
documentación con soporte de papel y a los usuarios de información con soporte
informático.
51
52. 2. LOS RIESGOS Y LA SEGURIDAD
Cuando nos referimos a los riesgos, lo primero que se nos viene a la mente es la
eventualidad de ocurrencia de un daño. El Dr. Sarmiento37 expone el significado
etimológico del término riesgo de la siguiente manera:
Por riesgo se entiende la contingencia de un daño, o sea, la posibilidad de que al
obrar se produzca un daño, lo cual significa que el riesgo envuelve una noción de
potencialidad referida esencialmente al daño, elemento éste que estructura todo el
derecho de la responsabilidad y le otorga a la teoría que lleva su nombre un
contenido esencialmente objetivo en el análisis de los hechos y las conductas que
traen como consecuencia un perjuicio [...]
La concepción del riesgo38 bajo el esquema del daño, desconoce la teoría de la culpa
de la responsabilidad civil, como claramente lo expresa el Dr. Sarmiento39:
37 SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de Colombia. 2002. P.
180 y 181.
38 Los Antecedentes Históricos de la teoría del riesgo son: [...] la publicación en Paris, en 1897, de las obras de
Saleilles Les accidentes de travail et la responsabilité civile, y de Josserand, De la responsabilité du Fait des choses
inanimées. La sentencia de la Corte de Casación Francesa de 16 de junio de 1897, referente al caso del remolcador
“La Marie” y la expedición de la ley francesa de 9 de abril de 1898 sobre la responsabilidad en los accidentes de
trabajo. SARMIENTO GARCIA, Op. Cit. p. 187.
52
53. “La idea de riesgo se presenta entonces sustitutiva de la idea de culpa como
fundamento de la responsabilidad civil, lo cual implica el desconocimiento total del
dogma milenario heredado del derecho romano, según el cual “no hay
responsabilidad sin culpa comprobada”, en el que se basa toda la teoría tradicional
de la responsabilidad y donde el elemento culpa se constituye en presupuesto de
existencia de la obligación de indemnizar”
De esta suerte, en la teoría del riesgo, el daño connota el elemento forzoso para la
generación de responsabilidad civil40, lo cual es empíricamente concordante con la
sucesión de los hechos; a diferencia de lo que sucede con la teoría de la culpa, donde
el daño pasa a una segunda línea y la culpa adquiere toda significación, a tal punto, que
sin su demostración, no hay obligación de resarcir el daño que efectivamente se ha
producido. Al respecto, refiriéndose a la teoría de la culpa, el Dr. Sarmiento
acertadamente expone:
39 SARMIENTO. GARCIA. Ibid. p. 182.
40 Definición de Responsabilidad Civil: [...] es la consecuencia jurídica en virtud de la cual, quien se ha comportado en
forma ilícita debe indemnizar los daños, que con su conducta ilícita ha producido a terceros. [...] ese comportamiento
ilícito consiste en el incumplimiento de las obligaciones derivadas de un contrato, el incumplimiento de las
obligaciones legales o cuasicontractuales, el delito, el cuasidelito, o la violación del deber general de prudencia.
JARAMILLO, TAMAYO. Javier. De la Responsabilidad Civil. Bogotá: Editorial Temis. Tomo I. 1999. P. 12.
53
54. [...] nada más ajeno a la realidad que esta concepción y nada más injusto y
desestabilizador del orden social, que condicionar la obligación de indemnizar los
daños, cada vez más frecuentes y voluminosos en nuestro mundo altamente
tecnificado e industrial a consideraciones estrictamente subjetivas, por esta razón la
teoría del riesgo reacciona desplazando el estudio y el análisis de la responsabilidad
civil del campo subjetivo donde la tenía sumida la noción de culpa, al campo objetivo,
colocando al daño como causa única y primaria de la obligación de indemnizar [...]
La concepción de la teoría del riesgo conlleva, necesariamente, al estudio de las
diferentes variantes que han expuesto la doctrina y jurisprudencia nacional y extranjera.
Para tal fin se seguirá, la exposición del Dr. Sarmiento41 quien ejemplifica cada una de
las siguientes tesis:
- Riesgo – Provecho
- Riesgo – Creado
- Riesgo – Profesional
Riesgo - Provecho: esta tesis cuantifica la obligación de resarcir, con fundamento en el
beneficio obtenido del daño causado, estableciendo una relación directamente
41 SARMIENTO, GARCIA. Ibid. p. 183 a 186.
54
55. proporcional entre el beneficio y el daño. “[...] si una persona ejerce una actividad que le
reporta beneficios económicos, debe indemnizar todos los perjuicios que sean
consecuencia de es actividad [...]42”.
Riesgo - Creado: la responsabilidad, en esta tesis, recae en quien desarrolla una
actividad que crea riesgos. El profesor Antonio Rocha43 explica este riesgo de la
siguiente manera: “[...] toda actividad que crea para otro un riesgo hace a su autor
responsable del daño que pueda causar sin que haya lugar a investigar si hubo culpa o
no de su parte”.
Riesgo - Profesional: la legislación francesa, consagró este tipo de riesgo como el
fundamento indemnizatorio del accidente de trabajo, razón por al cual, este riesgo se
circunscribe para los daños soportados por el trabajador. Sin embargo, como lo
manifiesta el Dr. Sarmiento, este riesgo connota la calidad de profesional, por lo cual su
órbita hoy en día, no puede reducirse a las relaciones laborales, debe, entonces,
aplicarse a todas aquellas actividades profesionales como una subespecie del riesgo
42 El Dr. Sarmiento sostiene que la teoría del riesgo – provecho, tiene aplicación para todas aquellas actividades
económicas que reportan un beneficio y, no sólo, como sostiene los defensores de la teoría de la culpa, aplicable a la
responsabilidad por accidentes de trabajo. SARMIENTO, GARCIA. Ibid. p. 183.
43 Citado por el Dr. SARMIENTO, GARCIA. Op. Cit. P. 185.
55
56. provecho con una condición adicional: su carácter especializado y técnico. De esta
suerte, todo aquél que ejerza una actividad profesional y que reporte un provecho de la
misma, deberá resarcir los perjuicios que dicha actividad ocasione a terceros.
En nuestro ordenamiento jurídico, el riesgo ha generado diversas discusiones y teorías
encaminadas a dilucidar en cabeza de quién debe radicarse. La titularidad del riesgo,
en el contrato de seguro, por ejemplo, es clara, el contrato en sí mismo tiene su esencia
en la asunción de un riesgo por un tercero; el asegurador, asume los riesgos y, el
tomador traslada los riesgos - Artículo 1037 Código de Comercio -, en este contrato es
tan importante la noción de riesgo, que éste forma parta de los elementos esenciales
del contrato - el riesgo asegurable -. Es de tal importancia la noción de riesgo para el
contrato de seguro, que legislador definió el riesgo en el artículo 1054 del Código de
Comercio de la siguiente manera:
Denominase riesgo el suceso incierto que no depende exclusivamente de la
voluntad del tomador, del asegurado o del beneficiario, y cuya realización da origen
a la obligación del asegurador. Los hechos ciertos, salvo la muerte, y los físicamente
imposibles, no constituyen riesgos y son, por lo tanto, extraños al contrato de seguro.
Tampoco constituye riesgo la incertidumbre subjetiva respecto de determinado
hecho que haya tenido o no - cumplimiento.
56
57. Con esta introducción, debe preguntarse ¿dónde se ubica el riesgo en materia de
comercio electrónico?.
En materia de intercambio de bienes por medios telemáticos, no existe una regulación
expresa con relación al sujeto que debe soportar el riesgo, sin embargo, tienen cabida
las diferentes tesis del riesgo, sin perjuicio de la inminente necesidad, de establecer, en
el ordenamiento legal, una regulación específica para este tipo de negocios jurídicos.
La normatividad actual en materia de comercio electrónico, establece que las entidades
que certifican el intercambio de mensajes de datos, deben responder por los perjuicios
que el desarrollo de la actividad genere. Responsabilidad que se encuentra
garantizada a través de compañías aseguradoras. Para este caso, la tesis del riesgo -
profesional, tiene plena cabida y concordancia, sin embargo en la práctica los contratos
que celebran los establecimientos de comercio con los emisores de tarjetas de crédito,
contienen cláusulas redactadas de forma tal, que los perjuicios que se causen con
ocasión de la actividad negocial por la red Internet, recaen exclusivamente en el
comerciante, salvo que el perjuicio se haya causado como consecuencia de la culpa
grave o leve del profesional que presta el servicio. Así por ejemplo, los contratos que
57
58. celebra VISA - Reglamento del Servicio Electrónico de Pagos -, establecen en la
cláusula vigésima quinta se la responsabilidad del banco en los siguientes términos:
El Banco se obliga a responder ante el cliente por las fallas, deficiencias,
incumplimientos o demoras en que incurra, en la verificación de los datos y
documentos suministrados o en la realización de las operaciones autorizadas u
ordenadas siempre que se determine que tales circunstancias son imputables a ella.
La causa del perjuicio es difícil de probar, los riesgos son muchos y la inseguridad
siempre es asumida por el usuario, el Banco, como se observó, sólo responde por
conductas negligentes derivadas de su labor pero no por los perjuicios derivados de la
inseguridad – alteración, modificación, uso fraudulento etc. -. En el Capítulo, Los
Medios de Pago, se expondrán otras cláusulas de este tipo de contratos, con el fin de
evidenciar, las cláusulas que están regulando los negocios jurídicos por la red Internet ,
que utilizan como medio de pago la tarjeta de crédito.
Es manifiesto, como se mencionó, que deben forjarse en el ámbito de las transacciones
por medios electrónicos, normas claras y equitativas, en cuanto a la asunción de
riesgos. Los organismos dedicados a la seguridad de redes, sociedades que presten
servicios de seguridad como las entidades de certificación, deben ser los llamados, en
58
59. primera instancia, a asumir los riesgos derivados de las transacciones electrónicas, sin
perjuicio, que las diferentes empresas que presten servicios a través de la red, asuman,
según su rango de profesionalidad, los riesgos que cause su el desarrollo de su objeto.
Si bien es cierto, que la celebración de contratos por vía electrónica, se regula, en
primera medida, por la normatividad aplicable a ese contrato en particular, los daños
ciertos, efectivamente causados, deben seguir el lineamiento de las diferentes tesis del
riesgo. Adicionalmente, debe regularse la responsabilidad por la pérdida de información
- claves privadas, documentos, números secretos de los diferentes medios de pago etc.
-, alteración y/o modificación, transferencias no autorizadas etc. Este tipo de
responsabilidad, debe fundamentarse en el aspecto técnico y, apoyarse en las tesis
tradicionales del riesgo44.
Entremos, entonces, a examinar los riesgos a los que está expuesta una transacción
comercial por medios electrónicos.
1. ¿A qué riesgos está expuesto al conectarse a la red Internet?
44
En el Capítulo los medios de pago se analiza más detalladamente el tema de la responsabilidad de las empresas
que prestan servicios a través de la red Internet.
59
60. Para repeler un ataque hay que conocer al enemigo, razón por la cual, resulta de vital
importancia introducir los riesgos a que está expuesto el comercio electrónico y,
presentar así los mecanismos que los contrarresten.
Cuando Usted se conecta a través del Network45 a Internet, se están corriendo varios
riesgos, entre los cuales pueden mencionarse los siguientes:
1. Se crean vías de acceso para los miles de virus que se encuentran en la red.
2. Cuando un virus penetra un sistema puede afectar todos los archivos de las
unidades de disco duros y programas en general, dañándolos y afectando su
funcionamiento, lo que genera pérdida de tiempo, de dinero y en el peor de los
casos el daño total del equipo.
3. La información que se almacena en el computador, también se ve expuesta y
puede llegar a ser conocida, borrada o modificada.
4. Para una empresa puede significar la pérdida de reputación, de miles o millones
de pesos, o la parálisis de actividades, pérdida de información reservada etc.
45 Sistema operativo utilizado para la interconexión de redes.
60
61. Las amenazas a la seguridad digital pueden ser de diversa índole, sin embargo, pueden
agruparse en tres categorías46:
- Ataques de red: son aquellos que se efectúan a través de la red Internet.
Ocasionan un lento desempeño en el sistema operativo de cada uno de los
computadores de la empresa, afectan el correo electrónico y las redes internas,
sin que necesariamente se afecten o dañen los sistemas operativos. Un ejemplo
de este tipo de ataques es el DOS -Denial of Service -, que consiste en remitir
una gran cantidad de correos electrónicos que producen el agotamiento de los
sistemas. “En febrero de 2000, los ataque DOS que se dirigieron contra blancos
de alto perfil tales como Yahoo, eBay, CNN y el FBI, causaron daños por más de
US$100 millones”47.
- Las infiltraciones: se dirigen al interior de los sistemas operativos, el modus
operandi consiste en descifrar las contraseñas de los usuarios para acceder al
escritorio del computador, donde se podrá acceder a cualquier sistema operativo
e inclusive a los demás equipos que se encuentren conectados a través de red
46 Las tres categorías que se mencionan son expuestas por Robert D. Austin y Crhristopher A.R. Darby en el artículo
EL MITO DE LOS SISTEMAS DE IT SEGUROS. Harvard Business Review. Junio de 2003.
61
62. interna, que en la gran mayoría se divide por áreas. En este aspecto, es
importante que las claves que utilice no sean: nombre, apellido, dirección,
teléfono, fecha cumpleaños etc., lo cual genera una exposición mayor del
sistema. Es claro que no existe conciencia sobre la vulnerabilidad de los
sistemas y, mayor aún sobre el grado de compromiso que deben tener cada uno
de los empleados para reducir al máximo los ataques de red y las infiltraciones.
- El código maligno: abarca los virus y los gusanos.
2. Los Atacantes
Como introducción al tema de los atacantes, se referirá al más común y famoso de
ellos - el hacker -. Término proveniente del inglés hack - recortar. Tradicionalmente se
considera hacker al aficionado a la informática que busca defectos y puertas traseras
en los sistemas operativos. Para los especialistas, la definición correcta sería: experto
que puede conseguir de un sistema informático cosas que sus creadores no imaginan.
Se dice que el término hacker nació por los programadores del Massachusetts Institute
47 Ibid, p. 89.
62
63. of Technology (MIT), que en los 60's se llamaron a sí mismos hackers, para hacer
alusión a su capacidad como programadores. Sin embargo, su uso más extendido (e
incorrecto, según los propios hackers) es el de delincuente informático, o cracker.
Uno de los primeros piratas informáticos - Kevin Mitnik - escribió: The Art of Deception
(El arte de la decepción), que llegó a las librerías, en diciembre de 2003. Mitnik fue
acusado por robo de software y alteración de datos de Motorola, Novell, Nokia, Sun
Microsystems y de la Universidad de California durante los años ochenta y noventa.
Mitnik es conocido por ser unos de los hombres más buscados por el FBI durante tres
años. En 1995 fue capturado en un apartamento en Raleigh, gracias a la ayuda de un
experto académico en seguridad. Pese a su condición de delincuente informático, es
considerado un héroe en la comunidad hacker. Si bien es cierto que los hacker son los
atacantes más conocidos y peligrosos, no son los únicos; como se verá, cualquier
empleado, por ejemplo, es un potencial atacante y, representa un riesgo para el sistema
computacional de la compañía.
2.1 Atacantes Internos
63
64. Las vías de acceso pueden ser internas o externas. Los ataques internos son aquellos
que se encuentran dentro de la misma empresa - empleados directos -. Este factor ha
sido atribuido entre otros o la inestabilidad laboral; hoy en día la gran mayoría de
contratos que celebran las empresas son a término fijo, las empresas evitan al máximo
compromisos laborales de largo tiempo que le signifiquen una carga prestacional alta y
una liquidación costosa, en caso de retiro voluntario o forzado. La pérdida de lealtad, es
un factor que, sin duda alguna, contribuye a que los empleados no tengan
remordimiento en causar daño a su empresa y generarle pérdidas. Un empleado
bancario descontento, lanzó un ataque DOS contra el sistema operativo de su
compañía, el cual se interconectaba con todas las oficinas. Previendo que el personal
de sistemas estaría preocupado por interconectar el sistema entre el computador
central y las oficinas, inició un segundo ataque, que fue muy efectivo, gracias a que
conocía el software con el que operaba el banco. Para iniciar su ataque investigó en
Internet y bajó un programa hacker, que pueden bajarse en diez minutos desde
cualquier computador conectado a la red a través de fibra óptica. No aplacado, creo una
ruta para que los usuarios al entrar en la página web del banco fueran remitidos a una
dirección de páginas pornográficas48. Los ataques internos son difíciles de prevenir y,
dependen del nivel de lealtad y confianza entre empleador y trabajador; un empleado
48 Este hecho fue narrado en Harvard Business Review. Volumen 81. Número 6. Junio 2003. p. 89.
64
65. que quiera su empresa y respete la organización seguramente no intentará éste tipo de
maniobras. Por esta razón, el tema de la inseguridad debe abarcar políticas
empresariales que vayan desde la creación de niveles de acceso al sistema operativo a
través de claves, como también, programas - cursos, conferencias y entornos de trabajo
cordiales -.
2.2 Atacantes Externos:
Los ataques externos, tienden a ser más peligrosos aunque menos frecuentes. La
prevención, depende en gran medida de los sistemas de seguridad que utilice la
empresa y, de los mecanismos de seguridad que emplee en sus transacciones y
actividades en general.
Los atacantes externos pueden ser de diversa índole, así como, los motivos que los
impulsan. A continuación se mencionan los atacantes más relevantes de las redes:
- Los hacker su denominación es inglesa y su nombre se generalizó a nivel
mundial, la intención de estos personajes es demostrar su habilidad ingresando a
sistemas y programas de forma ilegal, alterándolos y dañándolos. Técnicamente
65
66. están muy bien dotados y no siempre su intención es demostrar su habilidad,
pueden estar detrás de información confidencial o buscando beneficios
económicos ilícitos. Ubicarlos es una tarea bastante difícil y por lo general
buscan sistemas operativos can falencias de seguridad.
- Los vándalos: es la denominación que se utiliza para aquellas personas que sólo
tiene fines destructivos. Como se mencionó anteriormente en la mayoría de los
casos estas personas suelen ser ex empleados que buscan venganza, o sujetos
que están en contra del sistema y simplemente buscan desestabilizarlo generar
caos y daños importantes, en las empresas estatales o privadas de alto perfil.
3. Las formas de ataque
Las formas de ataque, pueden definirse como los instrumentos de ataque que
penetran en los sistemas alterándolos, modificándolos, o borrándolos; en términos más
comunes, “infectándolos”. Entre las formas de ataque más importantes pueden
mencionarse49:
66