Panamá enfrenta crisis de ciberdelitos

1
CAPÍTULO I
MARCO METODOLÓGICO
2
1.1. El problema
Panamá atraviesa una crisis motivada por delitos informáticos, por lo que se ha
hecho imperante la utilización de medios modernos para la detección de estos
crímenes como por ejemplo, los mal llamados Panamá Papers, en el que se asume
que hubo extracción no autorizada de información interna a través de medios
electrónicos y que luego fuese ventilada en los medios de comunicación. Dicha
información dejó en evidencia una serie de sociedades que encubren operaciones
financieras presumiblemente ilegales, situación que el Ministerio Público de Panamá
investiga en esos precisos momentos.
Es interesante mencionar el hecho que en la actualidad existen una serie de
altas personalidades gubernamentales y empresariales imputadas por estos crímenes
cibernéticos en nuestro país.
Con base en la información anterior, se puede aseverar que Panamá no escapa
a estos hechos delictivos que han llevado a nuestro país y nuestra sociedad a tocar el
botón de alarma para empezar a prepararnos mejor en estos temas, en especial los
abogados, ya que son muy pocos los que dominan estos temas de tecnología de
información y comunicación para estar a la vanguardia de los avances mundiales.

3
En atención a la observación superior acerca de los delitos informáticos, la
Comisión Federal de Comercio de los Estados Unidos de América que se refiere a la
ley del Spam Act, que regula el uso de los correos electrónicos masivos de empresa a
empresa o empresa a clientes debe cumplirse plenamente, o de lo contrario se podría
incurrir en sanciones de hasta 16,000 dólares cada una (2009, p. 1).
Por eso, espero que esta tesis sirva como guía básica en cuanto al ciber delito
para el beneficio de todos mis colegas juristas.
1.2 Antecedentes
Hace casi 15 años se estableció en Panamá el primer ciber café internet, en un
pequeño centro comercial ubicado en la esquina diagonal al Hotel Sheraton, antes
conocido como Marriot Hotel.
Todavía recuerdo cuando lleve a mi señor padre por primera vez a visitar este
CAFÉ y, por ende, experimentar lo que era la INTERNET. La experiencia fue
frustrante ya que el download (velocidad de bajada) de una página web era
inmensamente lenta, de allí que uno pedía un emparedado y una malteada para
esperar que las páginas webs se cargaran. Una página en ese entonces podía tomar
hasta 7 a 10 minutos en bajar; sin embargo, hoy se pueden bajar en cuestión de

4
segundos. Mi señor padre me llegó a expresar que estaba tan aburrido que quería
irse. Actualmente, mi padre es un experto en edición digital y en el uso de internet.
Sin duda, el desarrollo vertiginoso de INTERNET ha llegado para revolucionar
el mundo. En sus inicios, en los años 60, su uso era exclusivamente militar y se
utilizaba para que las tropas de los Estados Unidos (por ejemplo los tanques armados)
pudieran comunicarse de una forma secreta para que los enemigos no pudieran
interceptar sus comunicaciones.
En este caso ARPANET (Advance research project agency network), era la
encargada del desarrollo de esta tecnología secreta para muchos. Luego la NSF
(National science foundation) a través del ETF (Engineering task force) contribuyó, así
como una serie de científicos como Vannevar Bush (1890-1974), jefe del
Departamento de Investigación y Desarrollo Científico de EE.UU., introdujo el
concepto del hipertexto y, por otro lado, Tim Berner Lee (de origen británico) lo aplicó
para otros fines, como por ejemplo el comercial.
Con la introducción del www (world wide web), se produjo un principio
generalizado de tecnologías que transformó el uso de INTERNET, que en sus inicios
era meramente textos, hacia tecnología multimedia que incluye, sonidos, gráficos,
animaciones, video, música, etc. Este avance hizo que internet fuera no solo más
5
amigable, sino más divertida. Además desde este momento se considero "res nullius",
que quiere decir cosa de nadie. O sea pertenece a todos la humanidad.
Sin embargo, con los avances de internet, llegaron los susodichos hackers,
crackers, lamers, piratas informáticos, estafadores y una serie de personas dedicadas
a violar las leyes a través de este medio informático.
Al respecto, se puede señalar que hace aproximadamente unos 15 años,
específicamente en o después de mayo 4 del año 2000, dos estudiantes de
informática de AMA COMPUTER UNIVERSITY, la primera Universidad de ICT
(Information communication technology) de Filipinas y de Asia, de nombres Reonel
Ramones y Onel De Guzmán, desarrollaron un virus informático denominado I LOVE
YOU, que consistía en un gusano que llegaba a la cuenta de correo electrónico de la
víctima y cuando se abría disparaba un script o programa que era capaz de accionar
un poderoso ejecutable que al realizar la apertura del correo electrónico se apoderaba
de todos los contactos de la víctima y le reenviaba el virus a todos sus contactos
haciendo un efecto de cascada, multiplicando e infectando miles de millones de
computadoras en el mundo.
El correo electrónico llegaba con el asunto I LOVE YOU y las personas
creyendo que era alguien que los amaba, en su ingenuidad lo abrían y al hacerlo
6
disparaban el virus dentro de sus máquinas. Primero inicio en Manila, Filipinas, y
luego se esparció a Hong Kong, de allí salto a Europa y luego a los Estados Unidos de
América y de allí a Centro y Sur América, incluyendo a Panamá.
El daño que causo este virus fue tan grande, que se consideró el mayor virus
de peligrosidad en computadores en el mundo para esa época. A nivel mundial causó
estragos en entidades gubernamentales como el parlamento de Inglaterra y el
Pentágono y los mismos decidieron simplemente desconectar los servicios de los
servidores de correos electrónicos de todas sus computadoras.
En Panamá, puedo dar fe del daño en las computadoras del grupo Adams, Rila
Publicidad, Gold Mills, etc. ya que era Consultor de Tecnología de dichas compañías y
me correspondió ayudar a estas empresas a resolver este grave problema. Los daños
se estimaron en aproximadamente 6 billones de dólares a nivel mundial.
En el aspecto legal, para ese entonces, no existía una regulación especial que
tipificara ese tipo de crimen. Esto fue algo totalmente nuevo para la Policía de
Filipinas. Las autoridades lograron apresar a ambos estudiantes; sin embargo, no les
quedó más remedio que dejar libres a dichos delincuentes de acuerdo al principio
"actore non probante, reus absolvitur" , que quiere decir si el acusador no prueba, el
acusado debe ser absuelto, a pesar de haber causado daños por el orden de miles de
7
millones de dólares a nivel mundial, porque no había manera de aplicar el concepto de
un delito como una conducta típica, antijurídica y culpable realizada por uno o varios
individuos bajo cualquier condición que constituya una transgresión de los bienes
jurídicos tutelados, en este caso dentro del Código Penal Filipino. Sin embargo, se les
trato de procesar por la violación del Acta de la República de Filipinas 8484 (Access
Device Regulation Act), una ley designada para penalizar el fraude de tarjetas de
créditos, pero la misma no aplicaba, ya que no eran tarjetas atacadas, así que no les
quedó más remedio que dejar en libertad a ambos estudiantes, toda vez que ellos
alegaron que no quisieron soltar el virus, ni se imaginaron el daño que causaría.
Esta situación hizo que inmediatamente el congreso de Filipinas creara nuevas
leyes como el Acta de la República No. 8792, conocido como la Ley de E-Commerce,
en julio de 2000, dos meses después de la catástrofe del virus I LOVE YOU.
1.3 Importancia
Panamá está sufriendo una serie de ataques cibernéticos que causan alarma e
impactan a nuestro país. Vemos como es común recibir un correo electrónico tipo
SPAM con el intento de perpetuar un fraude por una persona de Sur África donde
indica que tiene cáncer y que se va a morir en los próximos meses y, que por tanto,
necesita el número y contraseña de una cuenta de Banco local en Panamá, para

8
hacer un depósito de una suma millonaria como su última voluntad, para el beneficio
de la sociedad panameña.
Todas estas acciones han hecho que los protocolos de seguridad de tarjetas de
créditos y medios tecnológicos se refuercen, en especial utilizando los estándares del
Payment Card Industry-Data Security Standard (PCI DSS), que fueron introducidos en
colaboración por Visa y Mastercard en el año 2004 y en el 2006 extendidos a
Discover, Jcb y American Express.
Actualmente son obligatorios, ya que introducen una serie de regulaciones y
parámetros de seguridad necesarios para evitar que los hackers clonen y dupliquen
las tarjetas de crédito y cometan fraude electrónico. Los estándares son regulados y
administrados por la Payment Card Industry Security Standards Council.
Entre los principios que regulan se pueden señalar:
Cuadro N° 1.
Estándares del Payment Card Industry-Data Security Standard (PCI DSS).
Objetivos de Control Requerimientos del PCI DSS
1. Instale y mantenga un firewall a través de una configuración que proteja la

Construir y mantener una red segura
data del tarjeta habiente.
9
2. No utilice por defecto las contraseñas u otros parámetros de las compañías
vendedoras de sistemas informáticos.
3. Proteja la data de los tarjetas habientes.
Proteja la data de los tarjetas habientes

4. EncrIPte la transmisión de la data de los tarjeta habientes a través de redes
públicas.
5. Utilice programas anti-virus actualizados en cualquier sistema que puede ser
afectado comúnmente malware.

Mantener un programa de manejo de
vulnerabilidades
6. Desarrolle y mantenga los sistemas seguros y sus aplicaciones.
7. Restrinja el acceso de los tarjeta - habientes por medio de medidas de control
de conocimiento.
Implemente medidas altas de control para los
accesos físicos. 8. Asigne un identificación ID a cada persona con accesos a una computadora.
9. Restrinja el acceso físico a la data de los tarjeta habientes.
10. Siga y monitoree el accesos a los recursos de red y a la data de los tarjetas
habientes.
Regularmente monitoree y pruebe las redes.
11. Regularmente pruebe la seguridad de los sistemas y procesos.
Mantenga una política de seguridad de la

12. Mantenga una política que busque la seguridad de la información
información
10
Con base en las ideas anteriores, observamos cómo la sociedad, a nivel
mundial, ha comenzado a prepararse con estas importantes herramientas para
protegernos de estos crímenes, por lo que recalco el hecho de que nosotros como
juristas debemos conocer la existencia de estos importantes estándares, toda vez que
se pueden presentar casos similares durante el ejercicio de nuestra carrera.
1.4 Planteamiento del problema
Los juristas de la república de Panamá no escapan a las Tecnologías de
Información y de las Comunicaciones (TIC), término que se utiliza para hacer
referencia a una gama amplia de servicios, aplicaciones, y tecnologías, que utilizan
diversos tipos de equipos y de programas informáticos, y que a menudo se transmiten
a través de las redes de telecomunicaciones.
El uso del correo electrónico se ha convertido en una herramienta indispensable
para el desarrollo de las relaciones comerciales nacionales e internacionales.
A nivel global podemos observar como una gran mayoría de personas está
haciendo o por lo menos está pensando en cómo incursionar en el uso de del
comercio electrónico, llámese negocio a consumidor por sus siglas en inglés

11
(B2C- Bussines to Consumer), Negocio a Negocio (B2B – Business to Business), o
cualquiera de sus otros modelos conocidos.
Sin embargo, emprender la aventura de introducirse en un proceso de
comercio electrónico requiere de la toma de una serie de decisiones en aspectos
como infraestructura tecnológica, utilización de estándares de comunicación, tanto
para la transmisión de documentos como para la sincronización y codificación de los
datos contenidos en estos documentos. Al conjunto de todos estos elementos le
denominamos Tecnologías de Información y Comunicación o mejor conocido como
TIC.
En el aspecto legal, vemos pues como este conjunto de nuevas Tecnologías de
Información y Comunicación (TIC), también ha motivado a muchas personas a realizar
procesos relacionados fuera de los parámetros aprobados por las leyes panameñas e
internacionales.
Muchos países han tratado de modificar sus leyes o legislaciones para que
puedan cubrir cualquier acción futura de transgresión a los principios legales
establecidos y que se puedan aplicar las sanciones establecidas para erradicar estos
males.
12
En mi humilde opinión, este es un círculo vicioso que seguirá dándose a medida
que se implementen nuevas tecnologías de protección de sistemas informáticos, toda
vez que los atacantes, muchas veces denominados hackers, terroristas cibernéticos,
etc., comenzarán a trabajar en el aspecto de cómo superar estos obstáculos de
protección y sobrepasarlos; o sea, hackearlos como comúnmente se dice en el argot
de esta jerga tecnológica.
Como juristas o abogados debemos estar en la capacidad de conocer, al
menos, los aspectos básicos de estas tecnologías para aplicar los lineamientos
legales y los procedimientos precisos para no violar lo que se denomina
jurisprudencialmente como el debido proceso y causar la nulidad de un proceso. Algo
que beneficia, si ocurre, a la persona que ha causado el daño a una víctima. De
hecho, si lo hacemos simplemente dejamos libre al atacante y no podrá ser procesado
por dicho delito, así de simple es esto.
Al respecto, se puede señalar que el código penal panameño actualizado
contempla una serie de modificaciones básicas en este sentido que han permitido
procesar a las personas que han violado estas regulaciones, de las cuales muchas de
ellas han sido procesadas y están cumpliendo penas de encarcelamiento.

13
Este tópico se recrudece cuando hablamos de violación a la privacidad, toda
vez que nuestra carta magna, la constitución política de Panamá, reformada por los
actos reformatorios de 1978, por el acto constitucional de 1983 y los actos legislativos
1 de 1983 y 2 de 1994; contempla en su TÍTULO III, sección de DERECHOS Y
DEBERES INDIVIDUALES Y SOCIALES, Capítulo 1o. denominado Garantías
Fundamentales, establece textualmente lo siguiente:
Artículo 29.- La correspondencia y demás documentos privados son
inviolables y no pueden ser ocupados o examinados sino por disposición de
autoridad competente, para fines específicos y mediante formalidades legales.
En todo caso, se guardará reserva sobre los asuntos ajenos al objeto de la
ocupación o del examen.
Igualmente, las comunicaciones telefónicas privadas son inviolables y no
podrán ser interceptadas. El registro de papeles se practicará siempre en
presencia del interesado o de una persona de su familia, o en su defecto, de
dos vecinos honorables del mismo lugar. (Lo subrayado y resaltado es nuestro.)
Tal y como se observa, este artículo indica que la correspondencia es inviolable
y en el tiempo que se concibió podría asumir, sin temor a equivocarme, que antes de
sus reformas no existía el correo electrónico y por eso no se no incluye
específicamente este término de vanguardia y cierta extravagancia que comúnmente
se utiliza a nivel mundial.

14
Se puede decir que, inclusive, el término correo electrónico es de carácter
aristócrata y extravagante, sin embargo, para ser justos es uno de los mejores
inventos tecnológicos de la actualidad a nivel mundial.
Imaginemos por un momento que nos trasladamos al pasado. Hace siglos
atrás, enviar una carta, papiro, nota, hoja, etc., requería de gran esfuerzo humano y
de grandes actos logísticos desde su confección, hasta su transporte a través de
caballos, carretas, por un río, lago, mar, montañas, corriendo, etc., hasta llegar de un
emisor que podría ser un rey a un receptor que podría ser el capitán de su ejército y
que podría tomar no solo días, sino semanas en transmitirse desde su emisor a su
receptor.
Hoy, solo toma unos cuantos segundos y, para ser un poco pesimista en cuanto
a la velocidad de transmisión o el tamaño del mensaje que se mide en BITS, BYTES,
MEGABYTES de información, tal vez unos minutos y aun es jocoso pensar que hay
gente que se queja porque simplemente no se acuerda del pasado o pasaron
agachados por sus clases de historia.
Ahora, se pueden implementar firmas electrónicas para dar testimonio de que el
mensaje es NO REPUDIABLE, o sea que el emisor no lo envió. En este caso las
firmas electrónicas nos sirven para certificar que el mensaje es fidedigno y a su

15
receptor se le garantiza, a través de estos procesos de aseguramiento de la
información electrónica denominada encriptamiento, que el contenido de ese correo es
privado y solo lo va a poder leer el receptor que posea una llave especial denominada
llave privada para poder abrirlo. Además, garantiza que el contenido no ha sido
alterado y la información ha sido transmitida con una seguridad de un 99% de
efectividad.
Se anota 99% ya que, como se explicó anteriormente los hackers todos los días
están diseñando, programando y buscando nuevas tecnologías y mecanismos para
violar los sistemas electrónicos de telecomunicaciones más seguros del mundo y
podrían, en un momento dado, interceptar una comunicación a través de correo
electrónico.
Siguiendo en ese orden de ideas, lo que se busca en este proyecto es que haya
un enfoque hacia el respeto a la dignidad humana y a los derechos de la privacidad de
toda persona que trate de utilizar las TIC como medio de telecomunicaciones. El fin
último es, por tanto, poder ilustrar algunos de los riesgos más comunes de estos
ataques, como apoyo a mis colegas juristas que verdaderamente no conocen ni
dominan estos temas debido a que incluyen un alto componente tecnológico.
Considerando el anterior planteamiento, este trabajo de investigación se
planteó el siguiente problema:

16
¿Cómo afectan ciertos ataques cibernéticos al comercio electrónico panameño?
1.5 Objetivo de la investigación
Lo que se busca a lo largo de esta investigación es dejar claramente plasmado
qué tipo de ataques cibernéticos están afectando al Comercio Electrónico Panameño.
1.5.1 Objetivos Generales
 Contribuir con el conocimiento y fortalecimiento de los profesionales y
estudiantes de derecho y ciencias políticas en materia de conocimientos
relacionados al manejo de las TIC.
 Describir los riesgos que involucran el uso de estas tecnologías y cómo debe
ser la administración de justicia en estos casos, cuando se presente este tipo
de delitos que involucran, en muchos de sus casos, la utilización del correo
electrónico como herramienta de telecomunicaciones entre un emisor y uno,
varios o miles de receptores.
1.5.2 Objetivos Específicos
 Reconocer la importancia del conocimiento de las TIC y su tratamiento jurídico
por parte de los juristas, de las personas involucradas en la administración de
justicia en Panamá.
17
 Conocer cuáles son los ataques más comunes en este tipo de medio y cuál es
su manejo jurídico en caso de que ocurran.
 Crear conciencia de que la problemática de esta categoría de delitos en
medios de telecomunicaciones electrónicas exige una particular atención y
conocimientos de los juristas, estudiantes de derecho y todas las personas
encargadas de administrar la ley en Panamá.
 Identificar la mejor forma de administración de justicia en delitos relacionados
con las TIC.
 Contribuir con el conocimiento de los riesgos que involucra el uso de las TIC en
el Comercio Electrónico Panameño, y las repercusiones legales que tendrían la
violación de las normativas establecidas en el CÓDIGO PENAL PANAMEÑO.
1.6 Fuentes de información, población y muestra
1.6.1 Fuentes primarias
Antes de mencionarlas, conviene explicar que las fuentes primarias son
aquellas fuentes, testimonios, o evidencias directas de un tema, de una investigación o
estudio determinado, pudiendo ser recursos escritos, orales o cosas. A las fuentes
primarias también se les conoce como fuentes de primera mano.

18
En esta investigación se ha recolectado información de fuentes primarias en
diversos medios dentro de los cuales se pueden anotar:
 Periódicos impresos y online: La Prensa, Estrella de Panamá, etc.
 Discursos de Bill Gates, Steve Jobs, Jeff Bezos, Mark Zuckenberg, etc,
 Apuntes de investigación en mis cursos de Comercio electrónico, dictado por
David Peterson, USA, especialista en comercio electrónico en el curso
denominado: E-Commerce Tecnology & Strategies.
 Apuntes de investigación tomado de mis cursos de entrenamiento como
consultor certificado de comercio electrónico dictado en la Cámara de
Comercio, Industrias y Agricultura de Panamá (CCIAP).
1.6.2 Fuentes secundarias
Una fuente secundaria interpreta y analiza fuentes primarias. Se han utilizado
como fuentes secundarias las siguientes:
 Datos proporcionados por el Centro Nacional de Competitividad de Panamá
(CNC) y la Autoridad de Innovación de Panamá (AIG).
 Revistas impresas y online: Muy Interesante, PC World, etc.
 Libros relacionados con las TIC

19
 Módulos de entrenamiento de la CCIAP en el curso de entrenamiento de
certificaciones de consultores de comercio electrónico.
1.6.3 Población
La población que se estudiará en la presente investigación corresponde a las
víctimas de los delitos relacionados con las tecnologías de telecomunicaciones en el
uso de correo electrónico denominado SPAM y ciertos virus informáticos que atacan
los ordenadores de la ciudad de Panamá.
1.6.4 Muestra
La muestra utilizada en este caso serán algunas de las empresas afectadas en
la población metropolitana por ciertos delitos relacionados con el uso de las TIC. En
algunos casos se harán referencias a situaciones a nivel global como por ejemplo el
impacto del VIRUS I LOVE YOU, desarrollado en las Filipinas, tal cual se mencionó al
inicio de este proyecto de tesis, en la introducción. Sin embargo, el enfoque central
será, en la mayoría de las partes de esta tesis en Panamá.
1.7 Técnicas e instrumentos de recolección
Podemos considerar esta investigación de carácter bibliográfico, documental y
descriptivo. He recolectado durante mis años de experiencia como consultor

20
certificado de comercio electrónico y gerente de mi compañía WWW.DOVESA.COM
una serie de experiencias y datos que servirán como fuentes de información primaria y
secundaria. Es decir, la recolección de datos será a través de la consulta a
información certificada en casos de delitos informáticos.
1.7.1 Tipo de investigación
A continuación, se describe el tipo de investigación que nos compete durante
este importante proyecto de tesis de graduación.
1.7.1.1 Investigación descriptiva:
La investigación podemos calificarla como descriptiva tomando como base este
tipo de estudios. Además se cuenta con información proporcionada por el Centro
Nacional de Competitividad (CNC) y los módulos de estudio de Comercio Electrónico
proporcionados por la Cámara de Comercio Industrias y Agricultura de Panamá.
1.7.1.2 Investigación bibliográfica:
Por la forma en que hemos recolectado la información podemos calificarlo como
un tipo de investigación bibliográfica; ya que en el transcurso de la misma se hicieron

21
consultas, comparaciones y análisis de fuentes bibliográficas, textos, revistas,
apuntes, jurisprudencias, normas, leyes y decretos.
1.8 Hipótesis
En Panamá existen los mecanismos iniciales y un mínimo de leyes que apoyan
para poder juzgar los delitos informáticos. Existen los elementos legales necesarios y
los instrumentos jurídicos para perseguir, juzgar y castigar el crimen cibernético.
Situación que se puede comprobar toda vez que me ha tocado denunciar
delitos relacionados con amenazas de muerte a través de la utilización de correos
electrónicos, por ejemplo, y al momento de realizar la transcripción de los hechos, me
he visto forzado a utilizar una serie de términos técnicos como por ejemplo IP, que no
es más que un número de características hexadecimales separado por 4 periodos y
que se utiliza a nivel mundial para determinar la posición geográfica de un ordenador
específico y otra serie de términos relacionados y cuál sería mi sorpresa que cuando
comienzo a dictar para que se tome la declaratoria de denuncia oral, los oficiales que
toman dichas declaraciones me manifiestan que conocen muy poco esta terminología
o en algunos casos la desconocen completamente.
Es interesante mencionar que en la administración de justicia en Panamá se da
la intervención de diversas instituciones que deberían estar interrelacionadas. En el
caso que mencioné anteriormente, me pude percatar que no existen bases de datos
22
centralizadas que podrían contribuir al mejor manejo de este tipo de situaciones o
crímenes delictivos.
Muchas de ellas llevan sus datos y estadísticas de forma manual y unilateral, en
especial los centros de denuncia donde algunos utilizan computadoras y máquinas de
escribir de antaño, y de esta manera se entorpece la solución y el procesamiento de
estos delitos, toda vez que, inclusive, muchísimos juristas también desconocen los
protocolos establecidos de actuación en las partes que les corresponden y además
desconocen los procesos previos de colección de información a nivel de TIC como el
poderoso software Encase utilizado de facto por el sistema jurídico de USA y las
herramientas y procesos utilizados para no violar el debido proceso jurídico.
Sumado a toda esta situación podemos observar que inclusive existen
diferentes interpretaciones de la ley y la descoordinación es bastante común entre los
estamentos, situación que genera un efecto dilatorio en este tipo de procesos.
Aspectos que puede promover, en algunos casos, que las garantías procesales no se
cumplan y por ende no se cumpla con el debido proceso.
Por tanto, lo que se busca en este proyecto es tratar de aportar nuestro granito
de arena, por decirlo de alguna manera, para que exista una mayor familiaridad en los
temas relacionados con delitos que involucran el uso de las TIC y así lograr la
23
efectividad en la aplicación de la ley para que las victimas puedan tener acceso a la
justicia y se pueda tener una mejor sociedad.
1.9 Variables
1.9.1 Variable dependiente
La administración de Justicia de justicia en los delitos relacionados con las TIC.
1.9.2 Variable independiente
Víctimas de los delitos relacionados con las TIC que se vean afectadas por la
aplicación incorrecta de la ley correspondiente a estos casos.
1.9.3 Alcances y limitaciones
Alcances:
Este proyecto de tesis tendrá como alcance reconocer ciertos delitos en cuanto
al uso de las TIC en telecomunicaciones para que los juristas, asistentes, estudiantes
de derecho y todo aquel relacionado con el tema jurídico, pueda beneficiarse del uso
de esta información.
24
Limitaciones:
En cuanto a limitaciones establecidas para buscar la información de los
perpetradores que violan las leyes relacionadas con el uso de las TIC tenemos que
algunas compañías como HOTMAIL, GMAIL , FACEBOOK, TWITER, LINKEDIN
tienen férreas y estrictas regulaciones para proporcionar información relacionada con
las cuentas de usuarios, ya sean de correo electrónico o de sus servicios, y por ende,
requieren que se den procesos burocráticos altamente complejos para poder
determinar quién fue el emisor que usó sus servicios para realizar un crimen
cibernético a través de sus redes de telecomunicaciones electrónicas, por tanto, se
requiere establecer y orientar claramente sobre estos procesos, toda vez que se
necesita seguirlos al pie de la letra para no violar el debido proceso jurídico y causar
una nulidad.
25
CAPÍTULO II
CONSIDERACIONES LEGALES Y ÉTICAS DEL USO DEL CORREO
ELECTRÓNICO COMO SPAM

26
Ángel Rodríguez Luño (2006, p. 3) explica que “… el problema ético de Internet
es el problema de su recto uso o, con otras palabras, el de la formación y la virtud
necesarias para usarlo rectamente, tanto por parte de quien introduce contenidos en la
red como del usuario pasivo.
De igual forma, anota que “la formación y la virtud necesarias para manejar este
instrumento, de forma que sea realmente un bien para quien lo utiliza, no se pueden
sustituir con ningún medio técnico ni con ninguna medida de restricción” (2006, pp. 3-
4).
También hace énfasis en que “todos los fabricantes de filtros o de sistemas
técnicos de prevención insisten sobre este punto, sea porque esos sistemas nunca
son del todo perfectos, sea porque quien desea burlarlos, si es algo experto, acaba
encontrando el modo de hacerlo” (Rodríguez, 2006, p. 4).
Respecto a la problemática ética en el manejo de la información, al igual que
Rodríguez, Antonio Cobos (2011, p. 4) explica que:
“La evolución acelerada de las tecnologías de la información y
comunicación está perturbando directa e indirectamente los valores
morales de los individuos y esto conlleva el mal uso que se le da a la

27
información, produciéndose dilemas de carácter ético, amenazas en el
comportamiento y conducta de los individuos, de la sociedad y de las
organizaciones”.
Ambos autores coinciden en que los valores morales son fundamentales en el
manejo del internet, y se presenta como una solución al problema de hackeo y otros
que causan desasosiego al mundo entero.
Respecto a la problemática del hackeo, es necesario conocer los aspectos que
se detallan a continuación.
2.1 ¿Qué es el SPAM?
El SPAM no es más que un correo masivo que se envía con diferentes
objetivos, entre ellos podemos mencionar los siguientes:
1. Envío de campañas de mercadeo masivo con el fin de que alguno de los
receptores realice una compra ya sea de un producto licito o ilícito.
2. Envío de campañas fraudulentas con el fin de que alguno de los usuarios
finales proporcione al hacker o ciberterrorista los datos de sus credenciales
bancarias a fin de poder ingresar a sus cuentas y realizar un retiro de dinero
de forma ilegal.
28
3. Envío de miles de correos electrónicos con el fin de realizar un ataque
denominado DOS ATTACK (Denial of Service Attack) de forma tal que ante
la recepción de miles de correos en el servidor receptor se declare
imposibilitado de procesar dichas transacciones y por ende se caiga.
4. Envío de campañas negativas ya sea en contra de un gobierno, una
empresa o corporación o una persona con el fin de hacer un daño en la
imagen de esta entidad o persona.
5. Spamming de celulares asi como instalación de software espías como
www.mspy.com, www.spybuble.com, www.flexispy.com,
www.mobistealth.com, www.mobilespy.com, asi como uso de Redes
Sociales como Facebook , Skype para cometer delitos de estafa, extorsión.
Es importante recalcar el hecho de que el SPAM se considera un correo no
permisible o sea existen las políticas de E-PERMISSION en el recibo de correos
electrónicos; es decir, algunas veces los usuarios dan su consentimiento para recibir
diferentes tipos de publicidades o informaciones en sus casillas de correos y en este
caso el recibir un correo electrónico masivo con estas informaciones y luego de ser
aprobado por el cliente no se considera SPAM.
CASOS IMPORTANTES DE SPAM EN PANAMÁ:
1) Una red de ordenadores controlados a distancia para enviar correo

SPAM, conocido como correo basura, fue desactivada por expertos,
autoridades y usuarios comunes.
29
La operación ha contado con la participación de expertos en seguridad

informática y usuarios comunes. La red funcionaba dividida en dos sectores,
uno controlado desde Panamá y otro desde Rusia, aunque también había
servidores en los Países Bajos.
Según se pudo saber, se usaban una media de 120.000 direcciones IP, el

número desde el que se conoce el acceso a Internet de un determinado equipo,
para mandar SPAM cada día, algo que consiguieron reducir a poco más de
21.000 tras la desconexión de algunos de esos servidores.
2) CSIRT Panamá Aviso 2013-01- Phishing HSBC Panamá
Fecha de publicación: Enero 2, 2013
Fecha de modificación:
Última revisión: Revisión A.
Fuente: CSIRT Panamá
Afectación
Usuarios del sistema de banca en línea de HSBC Panamá.
Resumen
Se ha detectado una campaña de Phishing, utilizando correos masivos no solicitados
(SPAM). El correo dice provenir de: “ebankalert@hs.com.pa”, con asunto: “Account
Status Notification”.
Este tipo de correos electrónicos fraudulentos tienen como principal objetivo la captura
de credenciales (nombre de usuario, contraseña, preguntas de validación,
coordenadas de autenticación) de acceso a los servicios de banca en línea, para luego
generar transacciones no autorizadas de forma auténtica.
30
2.2 ¿Se puede controlar y evitar el SPAM?
Esta pregunta es altamente interesante, pues como Consultor en estos temas
es muy común que me pregunten los clientes hasta qué punto es posible controlar el
SPAM, a lo que respondo tajantemente, desde mis más de 20 años de experiencias
en estos temas, lo siguiente:
“SE PUEDE TRATAR DE CONTROLAR, MÁS NUNCA PODRA EVITARSE AL 100%”,
y se pueden mencionar para sustentar esta respuesta las siguientes razones:
1. Internet tiene más de 2,2 mil millones de usuarios de correo electrónico en el
mundo y aproximadamente 425,000,000 son los usuarios activos de Gmail a
nivel mundial, convirtiéndose en el principal proveedor de correo electrónico
en todo el mundo, todos estos datos tomados de www.strategiaonline.com
(http://www.strategiaonline.es/cuantos-usuarios-hay-en-internet-cuantos-
correos-se-envian-al-ano/) sólo como referencia ya que, según mi concepto, es
prácticamente imposible dar una cifra exacta sobre estas cifras en la actualidad
con un porcentaje de error de menos del 5% de la población debido a la
cantidad astronómicamente enorme de usuarios.
En ese mismo orden de ideas, millones de los usuarios de estos sistemas de
correos electrónicos se inscriben sin leer los contratos online de estos servicios de
correos gratuitos y firman al final lo que yo llamo su sentencia de SPAMMING, porque
para poder obtener estos servicios, que no son gratuitos del todo, las empresas que
31
proveen los correos electrónicos venden en muchos casos estas bases de datos para
realizar dichos envíos masivos publicitarios a miles de clientes potenciales.
Si solo de un 2% a un 20% de clientes les contestan o producen una compra ya es
un gran éxito debido al volumen tan grande de estos listados y es así como recuperan
sus millonarias inversiones. Ese el secreto mejor guardado de este asunto que
muchos desconocemos y es por esa razón que no podemos detenerlos.
2. Por otro lado, existen algunos clientes que me preguntan si al colocar un
programa antivirus se puede eliminar al 100% el recibo de estos correos basura
no autorizados y nuevamente les digo que debido al punto anterior son
autorizados porque al inscribirse en los mismos, muchas veces nos piden datos
alternos como un segundo correo electrónico y allí colocamos los correos
corporativos y, bingo, quedamos nuevamente interconectados en las bases de
datos de estos proveedores de servicios de correos electrónicos.
3. Por último, existen los susodichos hackers, lamers, crackers, etc. que se
dedican todos los días en andar husmeando por la red a ver que encuentran y
luego comienzan con sus ataques y fechorías contra las inocentes víctimas que
obtienen en sus listas de usuarios de correo electrónico de forma fraudulenta.
Como dato y recomendación en este tema le sugiero al lector de este proyecto
nunca proporcionar su correo electrónicos y tener varios correos electrónicos alternos

32
que no estén relacionados para evitar este flagelo, el cual como explique al inicio de
este acápite es prácticamente incontrolable. A nivel mundial en los servidores
Barracuda, que son el estándar utilizado por muchas de las prestigiosas
organizaciones gubernamentales y empresariales se bloquean millones de correos
SPAM y virus diariamente. Ver www.barracudacentral.org
2.3 El sistema normativo panameño en el uso del SPAM
En este acápite vamos a ver las disposiciones de la legislación panameña en
cuanto a la emisión de correos electrónicos no deseados o SPAM. También veremos
los tipos de IUS PUNIENDI que existen en las leyes panameñas a este respecto por la
posible comisión de delitos relacionados con el tema y contra la seguridad jurídica de
los medios informáticos.
En Panamá, se encuentran tipificados los delitos informáticos en el Código
Penal, en este caso, encontramos una legislación importante en el tema de la
regulación de los delitos informáticos, imponiendo como sanción penas de prisión de
uno a seis años, toda vez que regula las conductas que van desde la manipulación,
alteración, sustracción de la información, hasta sanciones para aquellas personas que
enseñen a construir bombas o reclutar personal por medio de la internet para fines
terroristas, norma que no vemos en ninguna otra legislación.

33
Ver URL de Referencia en: https://www.scribd.com/doc/57036727/Leyes-sobre-delitos-
informaticos-en-Panama
CÓDIGO PENAL DE PANAMÁ
Adoptado por la Ley 14 de 2007, con las modificaciones y
adiciones introducidas por la Ley 26 de 2008, la Ley 5 de2009,
la Ley 68 de 2009 y la Ley 14 de 2010
Título VIII
Delitos contra la Seguridad Jurídica de los Medios Electrónicos
Capítulo 1
Delitos contra la Seguridad Informática
Artículo 289.
Quien indebidamente ingrese o utilice una base de datos, red o sistema informático
será sancionado con dos a cuatro años de prisión.
Artículo 290.
Quien indebidamente se apodere, copie, utilice o modifique los datos en tránsito o
contenidos en una base de datos o sistema informático, o interfiera, intercepte,
obstaculice o impida su transmisión será sancionado con dos a cuatro años de prisión.
34
Artículo 291.
Las conductas descritas en los artículos 289 y 290 se agravarán de un tercio a una
sexta parte de la pena si se cometen contra datos contenidos en bases de datos o
sistema informático de:
l. Oficinas públicas o bajo su tutela.
2. Instituciones públicas, privadas o mixtas que prestan un servicio público.
3. Bancos, aseguradoras y demás instituciones financieras y bursátiles. También se
agravará la pena en la forma prevista en este artículo cuando los hechos sean
cometidos con fines lucrativos. Estas sanciones se aplicarán sin perjuicio de las
sanciones aplicables si los datos de que trata el presente Capítulo consisten en
información confidencial de acceso restringido, referente a la seguridad del Estado,
según lo dispuesto en el Capítulo 1, Título XIV, del Libro Segundo de este Código.
Artículo 292.
Si las conductas descritas en el presente Capítulo las comete la persona encargada o
responsable de la base o del sistema informático, o la persona autorizada para
acceder a este, o las cometió utilizando información privilegiada, la sanción se
agravará entre una sexta y una tercera parte.

35
LEGISLACIÓN EN PANAMÁ
Ley 43 (2001). Que define y regula los documentos y firmas electrónicas y las
entidades de certificación en el comercio electrónico, y el intercambio de documentos
electrónicos
1. La Ley No.43 del 31 de julio de 2001
Que define y regula los documentos y firmas electrónicas y las entidades de
certificación en el comercio electrónico, y el intercambio de documentos electrónicos.
LA ASAMBLEA LEGISLATIVA
DECRETA:
Artículo 1. Regulación. La presente Ley regula los documentos y firmas electrónicas y
la prestación de servicios de certificación de estas firmas, y el proceso voluntario de
acreditación de prestadores de servicios de certificación, para su uso en actos o
contratos celebrados por medio de documentos y firmas electrónicas, a través de
medios electrónicos de comunicación.
Artículo 2. Definiciones. Para los efectos de la presente Ley, los siguientes términos
se definen así:
1. Certificado.
Manifestación que hace la entidad de certificación, como resultado de la
verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las firmas
electrónicas o la integridad de un mensaje.

36
2. Destinatario.
Persona designada por el iniciador para recibir el mensaje, pero que no esté
actuando a título de intermediario con respecto a ese mensaje.
3. Documento electrónico.
Toda representación electrónica que da testimonio de un hecho, una imagen o
una idea.
4. Entidad de certificación.
Persona que emite certificados electrónicos en relación con las firmas
electrónicas de las personas, ofrece o facilita los servicios de registro y estampado
cronológico de la transmisión y recepción de mensajes de datos y realiza otras
funciones relativas a las firmas electrónicas.
5. Firma electrónica.
Todo sonido, símbolo o proceso electrónico vinculado o lógicamente asociado
con un mensaje, y otorgado o adoptado por una persona con la intención de firmar el
mensaje que permite al receptor identificar a su autor.

37
6. Iniciador.
Toda persona que, a tenor del mensaje, haya actuado por su cuenta o en cuyo
nombre se haya actuado, para enviar o generar ese mensaje antes de ser archivado,
si éste es el caso, pero que no haya actuado a título de intermediario con respecto a
ese mensaje.
7. Intermediario.
Toda persona que, actuando por cuenta de otra, envíe, reciba o archive un
mensaje o preste algún otro servicio con respecto a él.
8. Mensaje de datos.
Información generada, enviada, recibida o archivada o comunicada por medios
electrónicos, ópticos o similares, como pudieran ser, entre otros, el intercambio
electrónico de datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el
telefax.
9. Repositorio.
Sistema de información utilizado para guardar y recuperar certificados u otro
tipo de información relevante para la expedición de éstos.

38
10. Revocar un certificado.
Finalizar definitivamente el periodo de validez de un certificado, desde una
fecha específica en adelante.
11. Sistema de información.
Todo sistema utilizado para generar, enviar, recibir, archivar o procesar de
alguna otra forma mensajes de datos.
12. Suscriptor.
Persona que contrata con una entidad de certificación la expedición de un
certificado, para que sea nombrada o identificada en él. Esta persona mantiene bajo
su estricto y exclusivo control el procedimiento para generar su firma electrónica.
13. Suspender un certificado.
Interrumpir temporalmente el periodo operacional de un certificado, desde una
fecha en adelante.
39
Artículo 3. Interpretación. Las actividades reguladas por esta Ley se someterán a los
principios de libertad de prestación de servicios, libre competencia, neutralidad
tecnológica, compatibilidad internacional, equivalencia del soporte electrónico al
soporte de papel y equivalencia funcional del comercio tradicional con el comercio
electrónico. Toda interpretación de los preceptos de esta Ley deberá guardar armonía
con los principios señalados.
Artículo 4. Modificación mediante acuerdo. Salvo que se disponga otra cosa, en las
relaciones entre las partes que generan, envían, reciben, archivan o procesan de
alguna u otra forma mensajes de datos, las disposiciones del Capítulo III, Título I,
podrán ser modificadas mediante acuerdo. Lo dispuesto en este artículo no se aplicará
a las disposiciones contenidas en el Capítulo II del Título I de la presente Ley.
Artículo 5. Reconocimiento jurídico de los mensajes de datos. Se reconocen
efectos jurídicos, validez y fuerza obligatoria a todo tipo de información, que esté en
forma de mensaje de datos o que figure simplemente en el mensaje de datos en forma
de remisión.
Decreto Ejecutivo No.40 (De 19 de mayo de 2009)
"Por medio del cual se reglamenta la Ley No 51, de 22 de julio de 2008, que define y
regula los documentos electrónicos y las firmas electrónicas y la prestación de

40
servicios de almacenamiento tecnológico de documentos y de certificación de firmas
electrónicas adopta otras disposiciones para el desarrollo del comercio electrónico".
TÍTULO V. LIBRO IV DEL CÓDIGO ADMINISTRATIVO, EL CUAL FUE
SUBROGADO POR LA LEY DE DERECHOS DE AUTOR
YDERECHOS CONEXOS (LEY NO. 15 DEL 8 DE AGOSTO DE1994).
En Panamá, los derechos de autor se encuentran protegidos desde la primera
Constitución Nacional de la República de 1904. La constitución reconoce la propiedad
exclusiva de todo autor o inventor sobre su obra o invención.
La materia de derechos de autor estuvo regulada hasta diciembre de 1994.
Esta ley se encuentra en vigencia desde el 1 de enero de 1995 y protege
expresamente los programas de computadoras o Software, designados como
programas de ordenador.
Artículo 17: Sin perjuicio en lo dispuesto en el artículo 107, se presume, salvo prueba
en contrario, que es productor del programa de ordenador la persona que aparezca
indicada como tal en la obra, de manera acostumbrada.

41
Artículo 18: Salvo pacto en contrario, el contrato entre los autores de programa de
ordenador y el productor implica la cesión limitada y exclusiva, a favor de este, de los
derechos patrimoniales reconocidos en la presente ley, así como la autorización para
decidir sobre la divulgación y para ejercer los derechos morales sobre la obra, en la
medida que ello sea necesario para la explotación de la obra.
De conformidad al reglamento de esta ley, los programas de ordenador están
protegidos en los mismos términos que las obras literarias. Es ilícita, según la ley y en
el reglamento, toda utilización, reproducción o distribución no autorizada de programas
de computadoras.
La distribución comprende la venta, alquiler o cualquier forma de transmisión de
propiedad a título oneroso, es decir, con fines lucrativos. Igualmente, se prohíbe el uso
de programas de computadoras por varias personas dentro de una misma empresa
mediante la instalación de redes, estaciones de trabajo u otros procedimientos
análogos.
La única excepción es la facultad del usuario de hacer una sola copia del
original para fines exclusivos de archivo o seguridad. No se puede hacer ninguna otra
copia sin la autorización expresa del titular de los derechos de autor. Algunas
sanciones destacan:
42
La ley establece acciones civiles y penales contra las violaciones de los derechos de
los titulares del software. Por la vía civil, el titular del derecho de autor podrá solicitar el
cese de la actividad ilícita y una indemnización por los daños materiales y morales
sufridos por la violación, así como medidas cautelares, entre ellas, el secuestro de las
copias ilícitas y de los aparatos o instrumentos utilizados en la reproducción, además
del secuestro de los ingresos obtenidos por la utilización ilegal del software.
Las violaciones de derechos de autor de programas de computadora también
son castigadas como delito con penas de 2 a 4 años de prisión y multas accesorias
de hasta B/ 20,000.00. Estos ilícitos facultan a la autoridad encargada del caso a
ordenar la detención preventiva del procesado antes que se dicte sentencia firme.
Artículo 121: Será penado con penas de 30 días a 18 meses todo aquel que, sin
autorización:
 Emplee indebidamente el título de una obra, con infracción en el artículo 28.
 Realice una modificación a la obra, en violación a lo dispuesto en el artículo 37.
 Comunique públicamente en contumacia, por cualquier forma o procedimiento, en
violación a los artículos 36 y 38, en forma original o transformada, integra o
parcialmente, una obra protegida por la presente ley.

43
 Utilice ejemplares de la obra con infracción del derecho establecido en el artículo
40 e inclusive la distribución de fonogramas ilegítimamente reproducidos.
 Retransmita por cualquier medio, alámbrico o inalámbrico en violación al artículo
95, una emisión o radio difusión.
 Reproduzca o distribuya, siendo cesionario o licenciatario autorizado
por el titular del respectivo derecho un mayor número de
ejemplares que el permitido por el contrato o comunique, reproduzca o distribuya la
obra después de vencido el plazo de autorización que se haya convenido.
 Se atribuya falsamente la cualidad de titular originaria o derivada, de algunos de
los derechos conferidos en esta ley, y mediante esta
indebida atribución obtenga que la autoridad judicial o administrativa competente
supuesta la comunicación, reproducción o distribución de la obra, interpretación o
producción.
 Presente declaraciones falsa de declaraciones de ingresos,
repertorio utilizado, identificaciones de los autores, autorización obtenida, número
de ejemplares o cualquier otra adulteración de datos susceptibles de causar
perjuicio a cualquiera de los titulares de derecho protegido por la presente ley.
Artículo 122: La pena será de dos a cuatro años de prisión a quien:
 Reproduzca con infracción en los artículos 36 y 39 en forma original
o modificada, integra o parcialmente, obras protegida por la presente ley.

44
 Introduzca en el país, almacene, distribuya, exporte, venda, alquile o ponga en
circulación de cualquier otra manera, reproducciones ilícitas de las obras
protegidas.
 Escriba en el registro de derecho de autor y derechos conexos una
obra interpretación o producción ajena como si fueran propia o como de personas
distinta del verdadero autor, artista o productor.
Artículo 125: Como pena accesoria, el juez impondrá al responsable de cualquiera
de los delitos indicados en el presente capítulo, una multa de B/.1,000.00 a
B/.20,000.00 de acuerdo con la gravedad de la infracción.
2.4 Normas legales internacionales sobre el uso del SPAM
Cuadro N° 2.
LEGISLACIÓN EN DELITOS INFORMÁTICOS EN AMÉRICA DEL NORTE
Estados Unidos México
Fraud and related activity in connectio Artículo 210, 211 al 211 bis 7 del
nwith computer (18 U.S.C 1030). Antite Código Penal de México, reformado
rrorism Act "ATA". CAM-SPAM, 1-1-04. en 1999.

45
Cuadro N° 3.
LEGISLACIÓN EN DELITOS INFORMÁTICOS EN CENTRO AMÉRICA
Costa Cuba El Salvador Guatemala Honduras Nicaragua Panamá Puerto República
Rica Rico Dominicana
Ley8148 No existe Artículo Artículo Artículo No existe Artículo Artículo No existe
(Gaceta legislación 172,185, 274 A al 214, 223, legislación 162 a 165, 169 C, y legislación
Oficial especial 186, 230, 274 G del 254 del especial 180,m220, Artículo183 especial
9.11.2001) 238ª Código Código 237,260, a 186 del
del Penal de Penal de 283 a 286, Código
Código Guatemala Honduras 421del Penal de
Penal Código Puerto
Penal de Rico
Panamá
Cuadro N° 4. LEGISLACIÓN EN DELITOS INFORMÁTICOS EN SURAMÉRICA
Argentina Bolivia Brasil Chile Colombia Ecuador Paraguay Perú Uruguay Venezuela
Ley 26.388, Artículo Artículo Ley Ley 1273 Ley Código Ley Ley Ley 16002/
Promul- 363 313A, 19223 del 5 de 2002-67 Penal 27309 16002/ 1988
gada el 24 bis, 363 313B del de enero de Paraguayo de 1988 Artículo 129
de junio de ter, Código 1993 2009 julio Artículo y 130,
2008 362 del Penal de 129 y La ley
Código Brasilero 2000 130, 16736/
Penal La ley 1996
Bolivian 16736/
o 1996
46
2.5 Lista negras (Black List)
Tema muy desconocido inclusive por la gente de sistemas y, por tanto, muchos
abogados lo desconocen también. Resulta que cada máquina a nivel mundial utiliza un
número especial denominado IP que significa Protocolo de Internet o en inglés Internet
Protocol que es el estándar en el envío y recibo de paquetes de información a través
de los enrutadores de redes de telecomunicaciones.
Este número identifica la máquina desde donde sale la información (máquina o
computadora de origen) hasta la máquina que llega (máquina o computadora de
destino). O sea, cada computador utiliza este tipo de estándar. Sin embargo, lo
importante es la identificación de la máquina desde donde sale la información.
Resulta ser que existen dispositivos denominados FIREWALLS o MURALLAS
DE FUEGO por donde pasan estos paquetes de información que poseen poderosos
programas de protección para evitar que pasen datos maliciosos (virus de
computadoras) a través de sus rutas y lleguen desde una máquina a otra y comiencen
a infectar los ordenadores a nivel mundial y se cause un caos con esta situación.
Para evitar lo antes explicado, estos FIREWALLS utilizan software o programas
de seguridad para detección de actividades maliciosas y notifican de forma automática

47
a los computadores centrales de información de los IP donde procede esta
información maliciosa. Estos IP son publicados de forma automática en LISTA
ESPECIALES denominadas BLACK LISTS para que todos los usuarios a nivel
mundial y las computadoras a nivel mundial eviten su paso a través de sus rutas.
En este caso, por ejemplo, es muy dañino y se cierra el paso de la información
de una organización a otra o de una empresa a otra. Por ejemplo, los correos
electrónicos de una empresa A ya no podrán llegar a una empresa B porque son
detenidos debido a que el IP de la máquina A ha sido restringido y publicado en un
BLACK LIST causando gran percance en los negocios de las compañías involucradas.
Luego de esta situación, el encargado de tecnología de la compañía
involucrada debe pedir a los manejadores de los diferentes servidores (existen más de
100 servidores a nivel mundial) donde se encuentra blacklistado o listado dicho IP que
lo remuevan de la lista o listas negras y este proceso puede tomar desde 1 día hasta
un mes o de repente si uno sigue con esta mala práctica nunca lo remueven causando
un grave problema por esta situación a las empresas.
A continuación, presento las listas negras que se encuentran en un sitio web
especializado denominado www.mxtoolbox.com a través de la dirección
http://mxtoolbox.com/blacklists.aspx :
48
Como ejemplo de la aplicación vamos a revisar si el IP 143.95.237.78
correspondiente a mi compañía consultora www.dovesa.com el cual se puede
encontrar simplemente entrando al sitio web www.whatismyIP.com que está ubicado
con black list:
Los pasos son así:
1. Se entra a este sitio web http://mxtoolbox.com/blacklists.aspx y se introduce en
la casilla correspondiente.
2. Una vez se procesa sale el siguiente listado:
 Blacklist check:143.95.237.78
 Checking 143.95.237.78 against 97 known blacklists...
 Listed 0 times with 0 timeouts
3. Este resultado es excelente ya que indica que efectivamente no estamos
listados o dicho de otra forma estamos listados cero (0) veces con (0) fuera de
tiempos (0 timeouts); lo que significa que estamos bien y todos nuestros
sistemas de telecomunicaciones están funcionando perfectamente.
4. En caso de estar listado, se deben seguir las indicaciones correspondientes de
los links o hipervínculos de los distintos firewalls que se encuentran listados.
A continuación, una captura de pantalla de la lista de resultados:

49
Figura N° 1. Imagen de lista negra.
A continuación, se muestra parte (son más de 100 sites) de una lista impresa de los
resultados importantes que indican que todo está bien. Pueden observar el gancho en
fondo verde y la palabra OK.
Cuadro N° 5. Parte de una lista negra con revisión positiva.
Blacklist Reason ResponseTime
OK ASPEWS 297
OK BACKSCATTERER 47
50
OK BARRACUDA 78
OK BBFHL1 297
OK BBFHL2 297
OK BLOCKLIST.DE 47
OK BSB 63
OK CASA CBL 47
OK CASA CBLESS 47
OK CASA CBLPLUS 47
OK CASA CDL 47
OK CBL 78
OK CYMRU BOGONS 47
OK DAN TOR 203
OK DAN TOREXIT 203
OK SPOOFING Realtime Blackhole List 47

51
OK SPOOFING SERVICIOS 156
OK DRMX 266
OK DRONE BL 234
OK DULRU 297
OK EFnet RBL 63
OK EMAILBASURA 203
OK FABELSOURCES 47
OK HIL 31
OK HIL2 31
OK IBM SPOOFING Blacklist 109
OK ICMFORBIDDEN 141
OK IMP SPAM 31
OK IMP WORM 31
OK INPS_DE 47
52
2.6 Servidores Barracuda
Figura N° 2. Servidor Barracuda.
Estos servidores son de carácter mundial y sirven de muralla de fuego
(firewall) para miles de compañías a nivel mundial. Su importancia para mencionarlos
en este proyecto no es de casualidad toda vez que muchas de las organizaciones
gubernamentales y compañías de gran prestigio como Cable & Wireless, Cable Onda,
Nestlé, etc, los utilizan.
La importancia radica en que estos servidores tienen sistemas lógicos bayesianos
de seguridad y detectan el más mínimo intento de paso de información maliciosa a
través de sus enrutadores. A continuación, se anotan una serie de razones por las que
el servidor de correos electrónicos de una compañía puede ser bloqueado:
 Tu servidor contiene un virus y ha estado enviando SPAM.
 Tu servidor puede estar configurado incorrectamente.
 Tu PC puede estar infectada con un virus o un programa robot malicioso
denominado botnet.
53
 Alguien en tu organización puede tener una computadora PC infectada con un
virus o un programa robot malicioso denominado botnet.
 Usted puede estar utilizando una dirección IP dinámica que previamente había
sido utilizada por una persona que hacia spamming.
 Tu departamento de mercadeo puede estar mandando grupos enormes de
correo electrónico masivo que se consideran SPAM y no cumplen con el Acta
CAN-SPAM. (Acta de regulación del uso del SPAM a nivel mundial) y propuesto
por el gobierno de los Estados Unidos de Norte América.
 Usted probablemente posee una red inalámbrica insegura que permite a
usuarios desconocidos utilizar tu red y enviar SPAM.
Esto significa que muchas compañías a nivel Nacional pueden quedar listados en
un Black List y no darse cuenta.

54
Figura N° 3. Impresión de pantalla con caso de Black List.
En el caso anterior vemos lo siguiente:
1. Que la acción de recibo fallo: “ACTION FAILED”
2. Que el status es: 5.7.1.
3. Que el código de diagnóstico: smtp: 554
4. Que el servicio está no disponible: 5.7.1
5. Que el host el [65.54.190.24]
6. Que se ha bloqueado el servicio utilizando el sistema: bl.SPAMcop.net

55
Esta información simplemente nos indica que el IP= 65.54.190.24 ha sido
bloqueado utilizando el sistema: bl.SPAMcop.net y por tanto, se le tiene que
solicitar a ellos SPAM COP NET que liberen el dominio de ese listado para poder
enviar y recibir correos electrónicos.
Imagínese que una empresa deba enviar un correo electrónicos para participar en una
licitación a las 9:00 am y le sale la informacion de la Figura N° 3. (Impresión de
pantalla con caso de Black List) Esto causaría un verdadero caos dentro de la
empresa.
Como podemos observar este tema es muy sensitivo y los juristas, abogados,
estudiantes de derecho deben conocerlo a fondo y mantenerse actualizados con el
mismo.
56
CAPÍTULO III
CÓMO AFECTAN CIERTOS ATAQUES CIBERNÉTICOS AL COMERCIO

ELECTRÓNICO PANAMEÑO
57
Nuestro país no está exento de ataques cibernéticos a través de computadoras
por parte de terroristas, ciber criminales, hackers, lamers, crackers, script kidies.
De este grupo es importante conocer que los hackers son súper expertos en
computadoras que se consagran a la labor de tratar de ingresar a cualquier
computador para probar que son capaces de vulnerar cualquier sistema informático,
se les conoce en el argot de computadoras como hackers de sombrero blanco (White
Hat Hackers) y al inicio estos señores supuestamente eran benignos y lo hacían por
mera curiosidad y orgullo propio.
Muchos de estos hackers de sombreros blancos son empleados para realizar
pruebas de vulnerabilidad en los sistemas informáticos de importantes organizaciones
y empresas a nivel mundial. Hoy en día el término ha cambiado y a los susodichos se
les aplica el término indiscriminadamente para llamar a los Black Hat Hackers igual
que los White Hat Hackers o sea como para confundirnos más. En este proyecto
trataremos de especificar quiénes son los buenos y quiénes son los malos. Así de
simple.
Actualmente, nuestro país tiene alta conectividad a internet. Este hecho de que
las computadoras panameñas se encuentren interconectadas a la red de redes más
grande a nivel mundial involucra riesgos. Esto significa, de forma sencilla, que
58
cualquier ordenador que se encuentre conectado a Internet, se encuentra en riesgo de
ser atacado.
Una referencia acerca de que Panamá no escapa de esta realidad es la
información que acabo de recibir del Banco General de Panamá en mi buzón de
correos electrónicos:
“Los ciber delincuentes usan la ingeniería social para engañar a los clientes
bancarios. La ingeniería social es una práctica delictiva cibernética en la que se
busca obtener información confidencial manipulando o engañando a las
personas a través de diferentes métodos.
Recuerda:
 Sospechar de cualquier correo extraño y que diga que es "urgente".
Bórralo inmediatamente.
 No hacer clic en enlaces de correos que no reconozcas.
 Tener en cuenta que hubo un robo de contraseñas a nivel mundial de los
correos de Gmail, Yahoo y Hotmail. Si utilizas cualquiera de estos
servicios, te recomendamos cambiar la contraseña de tu correo
electrónico.
 Tenemos una sección de seguridad en www.bgeneral.com donde
puedes encontrar más recomendaciones de seguridad.”

59
De la información anterior se desprende que la seguridad es asunto de todos y
especialmente los bancos también dan recomendaciones que nos orientan para no
permitir esos delitos.
3.1 Virus polimórfico
Los virus polimórficos son aquellos capaces de cambiar su firma (patrón-
binario), cada vez que realizan un nuevo ataque a un nuevo ordenador. Esta acción
estratégica llamada código polimórfico hace que el virus sufra una mutación propia
manteniendo su algoritmo original con el que fue programado y así eludir los sistemas
de defensa de los ordenadores que ataca.
Aunque se instale un antivirus que trabaja con sistemas de checksum, cuando
se trata de validar la base de datos conocida de virus, esta acción evasiva hace que el
virus sea difícil de detectar y, por ello, los antivirus utilizan técnicas heurísticas para
poder localizarlos en la máquina infectada, toda vez que se hace prácticamente
imposible a través de cadenas de códigos, ya que esta entidad virulenta presenta un
comportamiento altamente mutante o en otras palabras cambia su código
constantemente.
60
Por lo antes expuesto, es importante que las computadoras, ordenadores,
servidores, etc. en nuestros colegios, universidades, organizaciones, empresas a nivel
de panamá se encuentren debidamente protegidas con antivirus y murallas de fuegos
(firewalls), debidamente actualizados y con sus licencias respectivas.
De los Firewall existente en el mercado recomendamos el siguiente o sus
familias:
FORTINET Bundle - Dual 10/100/1000 ports, 10/100 DMZ port, 6 port 10/100 switch
and Express Card Expansion a un costo aproximado en el mercado panameño de
$1250.00 dólares en la compañía Ring Ring Energy Corporation.
Recomendamos esta marca porque existen muchísimos pero no todos son buenos,
sin embargo este es uno de los mejores del mundo y se vende aquí en Panamá.
3.2 Rogue
Es un software malicioso interesantísimo pues cuando se introduce a un
ordenador le informa a la víctima que su equipo ha sido infectado por un peligroso
virus y por tanto le presenta pantallas donde salen los antivirus que debe comprar la
víctima para salir de su problema; sin embargo, la realidad es que todo esto es falso y
61
cuando uno paga esta suma de dinero para comprar un antivirus, lo que realmente
está haciendo es enviándole dinero a los hackers desde su propia computadora.
Una vez se realiza el pago, los hackers le envían un falso programa antivirus y
el usuario confiando en la buena fe de que este software es benigno (que en realidad
es todo lo contrario) instala un software o programa de intrusión y así los hackers
ganan el control total de nuestras computadoras y de ahí en adelante pueden cometer
todos los crímenes que se le ocurra con nuestra información.
Vale la pena mencionar que estuve a punto de ser víctima de este software
malicioso y estando en el Oxford School en el salón de cómputo mi laptop fue atacada,
situación que comenté a mi colega y procedí a seguir todos los pasos que indicaba
dicho programa y al momento de sacar mi tarjeta de crédito para realizar la compra y
el pago me percaté que había una discrepancia en el navegador que debía cambiar
desde HTTP (hyper text transport protocol) hacia HTTPS (Hyper text transport protocol
secure), o sea existe un protocolo para hacer una compra electrónica que requiere que
el servidor cambie su estatus hacia uno seguro; en este caso, es la S de Secure y
debe salir este protocolo en verde y con un candadito amarillo abajo.

62
Al no ocurrir esta situación me percaté inmediatamente y detuve la compra.
Vemos pues, en mi caso, siendo un profesor de sistemas computacionales, casi soy
estafado.
La situación antes descrita me permite inferir que muchas personas han podido
ser estafadas con este método de crimen cibernético.
A continuación, se coloca una pantalla del crimen cibernético del programa
malicioso rogué a manera de ejemplo:
Figura N° 4. Pantalla del crimen cibernético del programa malicioso rogué.

63
3.3 Scareware
El scareware es una palabra compuesta en inglés que combina 2 palabras así:
scare= miedo y software= programa
La idea central de esta estrategia para estafar a los usuarios de computadoras es
notificarles que sus computadoras han sido infectadas por virus informáticos
poderosos que son capaces de obtener toda su información y por tanto a través de
estas notificaciones causan pánico y miedo en estos usuarios de forma tal que
motivados por esta situación se aprestan a comprar e instalar programas fraudulentos
que en vez de proteger sus ordenadores le instalan un software malicioso que permite
el acceso a dicho ordenar por sus atacantes.
Figura N° 5. Imagen de antivirus 2010.

64
3.4 Ransoware
Si existe una expresión acerca del tema, que me permitiré utilizar en esta tesis y que
sonará extravagante, es el hecho de que cuando un sistema informático, una
organización, colegio, universidad, compañía, empresa, etc., sufre este tipo de ataque
es porque: “están verdaderamente imposibilitados”, quisiera encontrar otra forma
de expresar esta situación, pero no existe. Simplemente cuando un ordenador es
secuestrado a través de un programa malicioso de Ransomware no hay nada que se
pueda hacer por lo siguiente:
1. Un ransoware es un programa inyectado online a un ordenador por un hacker o
un grupo de hackers o criminal cibernético que controla completamente el
ordenador atacado y por ende la computadora está totalmente secuestrada.
Luego de esta acción los hackers le dicen que tiene que pagar un monto por el
rescate del secuestro de su computador. Si usted les paga por ejemplo $500.00
o $1000.00 dólares a ellos, le liberan el computador para que pueda operar, sin
embargo, es una práctica común que a los pocos días vuelven con nuevas
exigencias y le van a pedir más dinero a usted convirtiendo esta situación en un
círculo vicioso.
2. La única forma lógica y coherente de luchar contra este grave, digo gravísimo
problema, es que usted tenga un buen respaldo del 100% de su información (se
recomienda usar www.carbonite.com) y todos sus programas sumado a un
excelente firewall como el que mencionamos anteriormente. Si no tiene un buen

65
respaldo para reestablecer sus sistemas informáticos, estaría en graves
problemas y puede perder miles de dólares en recuperar su data electrónica.
Por eso indiqué al inicio el tremendo problema que involucra ser afectado por
un ataque como este.
3. Es muy probable que se piense que este tipo de ataques cibernéticos no
ocurre en Panamá, pues se equivoca ya que recientemente, en marzo de 2016,
una compañía panameña de transporte (me reservo el nombre por temas de
seguridad), a la cual le brindo servicios de soporte técnico, me llamó vía
telefónica para indicarme que había sido víctima de esta situación. Mi
recomendación fue que debían reinstalar todos sus sistemas de información,
programas, aplicaciones, etc., lo cual lograron hacer porque estaban
preparados para esta contingencia según mis recomendaciones al inicio del
servicio.
4. Cabe mencionar que un backup en la nube es lo más recomendables. Sin
embargo hay que aclarar que no existe la nube es un termino alegórico sino
servidores en tierra unidos por cables que es la Internet.

66
A continuación, se presenta una pantalla típica del ataque de un ransoware
Figura N° 6. Pantalla típica del ataque de un ransoware.
Procedemos a transcribir la información de engaño que lee la víctima y por la cual
verdaderamente sí tiene que asustarse, ya que es irreversible este tipo de daño a un
sistema informático. Textualmente la imagen dice lo siguiente:
“SU COMPUTADORA HA SIDO BLOQUEADA”

67
 Este sistema operativo ha sido bloqueado debido a violación de las leyes
Federales de los Estados Unidos de América! (Artículo 1, Sección 8, Cláusula
8; Artículo 202; Artículo 210 del Código Criminal de los U.S.A. lo cual provee
una privación de libertad de cuatro a doce años.
 Las siguientes violaciones fueron detectadas:
o Su IP fue detectado visitando sitios de pornografía, pornografía infantil,
zoofilia, y abuso de niños. Su computadora también posee archivos de
video con contenido pornográfico, elementos de violencia, y pornografía
infantil!
o Mensajes de SPAM con motivos terroristas también fueron enviados
desde su computadora.
 El objetivo de este bloque es el de detener esta actividad ilegal.
“PARA DESBLOQUEAR SU COMPUTADORA USTED ESTÁ OBLIGADO A
PAGAR UNA MULTA DE $200.00”, USTED TIENE 72 HORAS PARA PAGAR ESTA
MULTA, DE LO CONTRARIO SERÁ ARRESTADO.
 Usted debe paga la multa a través de ___________
 Para pagar la multa usted debe ingresar los códigos que resulten localizables
en la parte de atrás de __________ su formulario de pago y presionar OK (si
tiene varios códigos, ingréselos de uno en uno y presione OK.
 Si un error ocurre, mande los códigos a la dirección fine@fbi.gov.

68
Todo lo anterior es falso, sin embargo el secuestro es totalmente cierto. Como
podemos observar y analizar es una mezcla de scareware y de ransonware, en este
caso sí hay que asustarse, ya que si los hackers controlan nuestra máquina, es muy
poco o nada lo que se puede hacer debido a lo explicado anteriormente. Da tristeza
pero mucha gente cae con estos ciberataques.
Fuente:
AUTHOR: KIM ZETTER. KIM ZETTER SECURITY DATE OF PUBLICATION:
09.17.15.
09.17.15
TIME OF PUBLICATION: 4:08 PM.
4:08 PM
Fuente:
Imagen cortesía de: HACKER LEXICON: A GUIDE TO RANSOMWARE, THE SCARY
HACK THAT’S ON THE RISE by Kim Zetter Security
LINK: https://www.wired.com/2015/09/hacker-lexicon-guide-ransomware-scary-
hack-thats-rise/
3.5 (IVR) Interactive Voice Phishing Attack
Este tipo de ataque que recibe el nombre de Phishing o Suplantación de Identidad que
basa su accionar a través de una carrera que se llama ingeniería social y que
pareciera dictada en las mejores universidades del mundo, sin embargo fue inventada
69
y desarrollada por los mejores hackers del mundo; entre ellos uno de nombre Kevin
Mitnick, quien logró obtener mediante este mecanismo de astucia y engaño miles de
tarjetas de crédito y fue el más buscado por el FBI ( Federal Bureau of Investigation) y
logrado apresar por medio de un
Figura N° 7. Letrero de búsqueda el hacker

Kevin Mitnick.
70
Interactive Voice Phishing Attack
En una de sus presentaciones de hackers reales hace menos de 2 años, Kevin Mitnick
(el hacker más famoso del mundo) presentó la forma moderna de como el phishing
es utilizado con el objetivo de adquirir información sensible como nombres de usuario,
contraseñas y números de tarjetas de crédito a través del uso de una estrategia
moderna de phishing que recibe el nombre de “man in the middle attack” que se
ubica en medio de una comunicación o conversación telefónica entre el
remitente original (emisor) y el destinatario (receptor) o sea, el hacker intercepta
una comunicación entre dos host.
A través de la experiencia de los hackers en switches telefónicos, la máquina
atacante puede interceptar por ejemplo la central telefónica de un banco y controlar el
flujo de la comunicación entre el emisor y el receptor, haciéndole creer al emisor que
es un robot contestador automático y, sin embargo, lo que está haciendo es robando
la información sensitiva del emisor. Para ilustrar esta situación veamos la siguiente
conversación por pasos:
 Bienvenidos a la línea de servicio al cliente del BANCO ACME.
 Por calidad del servicio esta llamada puede ser grabada y monitoreada.
 Aquí es donde entra el hacker y comienza a robar la información.
 Para “ESPAÑOL” presione1; para “INGLÉS” presione 2.
 Para conocer el saldo de su tarjeta de crédito presione 1.

71
 Ingrese el número de su Tarjeta de Crédito.
 Ingrese el número pin de su Tarjeta de Crédito.
 Etcétera...
Toda la información se la está proporcionando el tarjeta habiente al hacker sin darse
cuenta en esta llamada telefónica. Así es como miles de personas son estafadas
utilizando esta técnica que es muy difícil detectarla.
3.6 SPOOFING PROXIMITY ID CARDS
Antes de desarrollar este acápite considero importante explicar que el spoofing es el
conjunto de técnicas utilizadas para suplantar la identidad de un usuario o de un
servidor con el objetivo de perpetrar un crimen cibernético. Se puede mencionar que
existen varias técnicas como las siguientes:
 IP SPOOFING: suplantar un IP (internet protocol) que es el número que identifica a

un celular o un computador en cualquier parte del mundo.
 DNS SPOOFING: consiste en suplantar un spoofing (domain name server) que es

un convertidor de información desde un número IP a un nombre de dominio como
www.dovesa.com
 WEB SPOOFING: consiste en suplantar una página web por ejemplo www.fbi.gov
por una falsa.
 EMAIL SPOOFING: consiste en suplantar la identidad de una persona o un

usuario de correo electrónico para poder realizar spamming o ataques en internet.
72
 ARP SPOOFING: consiste en vulnerar las direcciones IP de cualquier máquina y

transformarla en direcciones MAC con el objetivo de que la información llegue a
sus máquinas directamente.
En la misma línea de ideas anteriores, se puede explicar que el SPOOFING
PROXIMITY ID CARDS consiste en que a través de dispositivos electrónicos de alto
alcance diseñados por los hackers se puedan obtener los números y pines de las
tarjetas de créditos que se encuentren en una proximidad de varios metros. Estos
dispositivos poseen una bobina y circuitos electrónicos que trabajan con RF (radio
frecuencia) y se desarrollan con el propósito de poder capturar la información de las
tarjetas que se encuentren cercanas al mismo.
Las tarjetas funcionan a 125 kHz y son hechas por la compañía HID. Cuando entran
en el campo del lector producen un consumo de energía y son detectadas por el lector
de forma inductiva y el aumento y disminución de voltaje que puede ser medido por el
lector y se utiliza para transferir la información.

73
Figura N° 8. Imagen de un spoofing proximity id cards.
Kevin Mitnick realizó una demostración de su funcionamiento en un evento
denominado: Kevin Mitnick - Real Hacks You'll See Live!
https://www.youtube.com/watch?v=HN9p4r-l3io
74
Figura N° 9. Cartel de promoción del Kevin Mitnick - Real Hacks You'll See Live!
A continuación, se coloca una imagen de un dispositivo real de SPOOFING
PROXIMITY ID CARDS presentado por Kevin Mitnick, en la que se puede apreciar el
circuito, cables, CD que hace el efecto de antena.

75
Figura N° 10. Dispositivo real de SPOOFING PROXIMITY ID CARDS
Nota importante: Estos dispositivos por ser ilegales no se venden ni se pueden

encontrar a la venta en internet.
76
CAPÍTULO IV
CASO DE ESTUDIO
77
A continuación, se anota un caso real de un ataque cibernético que recibió uno de mis
clientes y se trató de amenaza de muerte a través del correo electrónico. Mantendré la
confidencialidad del cliente por las razones que todo lector y jurista debe conocer.
A manera de resumen, se relatan los hechos del procesamiento jurídico del mismo.
1. Se deben recolectar las pruebas en el ordenador donde se dieron los hechos de
la recepción del correo electrónico del emisor.
2. En este caso el atacante es el emisor y la víctima es el receptor.
3. Un correo electrónico consta de varias partes importantes entre ellas un header
que es el encabezado del correo electrónico y el cuerpo del correo electrónico
que es el payload o sea la carga o el cuerpo del correo o el contenido del correo
electrónico.
4. Una vez se tiene acceso a la pieza procesal que es el ordenador de la víctima
se debe proceder a analizar el payload o sea la carga de este correo y por
tanto, ver el script o la nomenclatura técnica que tiene el correo y en ella
encontrar una sección que dice la siguiente palabra: “ORIGINATING IP”.
5. El originating IP nos da indicio de la red que remitió el correo.
6. Vale la pena destacar que los IP pueden proceder desde cualquier continente
del mundo. Por ejemplo: LATNIC = Latin American and Caribbean IP address
Regional Registry.
7. En el caso que nos compete detectamos que el IP procedía de la república de
Panamá.
78
8. Una vez detectada esta situación debemos dirigirnos a la Dirección de
Investigación Judicial (DIJ) a interponer una denuncia formal con todas las
características y términos técnicos que involucran estos tIPos de casos.
9. En la denuncia debemos, específicamente, colocar cuál es el ISP (internet
service provider), el cual se encuentra a través del análisis del IP para que nos
indique si el proveedor es de Panamá.
10. Generalmente, estos casos provienen de 2 proveedores generales de servicios
de telecomunicaciones: Cable & Wireless y Cable Onda. Existen otros como
Telecarrier, por ejemplo.
11. En esta denuncia, se solicita que se pueda realizar una inspección oficial con
los fiscales a las instalaciones de los proveedores de internet para que
proporcionen la información más detallada del origen de este IP, por ejemplo:
nombre del edificio, apartamento, número de casa o local comercial y dueño de
la cuenta de internet que utiliza dicho IP.
12. Una vez obtenida la información estaremos al frente de una persona a quien se
le pueden formular cargos y posiblemente podría resultar imputable por este
delito y, por tanto, deberá ser procesada por las leyes correspondientes a este
tipo de crimen.
En el caso que investigué, se logró detectar quién fue el emisor, lo que permitió
someterlo al procesamiento legal respectivo debido a que el delincuente cometió el
grave error de enviar los correos desde su casa.

79
Sin embargo, en muchos casos los hackers atacan desde cafés internet, y por tanto,
es mucho más difícil localizarlos.
Por otro lado, en el caso de que los atacantes utilicen correos tipo gmail, hotmail,
yahoo u otros, se tiene que levantar un proceso muchísimo más complejo y
burocrático sobre el hecho de que se tendría que enviar una carta oficializada y
autorizada por las autoridades nacionales y refrendada para los procedimientos de
Cancillería Exterior y apostillamiento, para que pueda ser reconocida y aprobada por
las autoridades judiciales de otros países.
Este proceso es sumamente burocrático, extenso y costoso. Las políticas de
privacidad de USA, por ejemplo son absolutamente estrictas y no es fácil obtener la
información privada de un usuario, a menos que se demuestre fehacientemente a las
autoridades judiciales de otros países, que estamos ante un delito punible por las
leyes panameñas e internacionales y se cumpla con el debido proceso jurídico a nivel
nacional e internacional.
Por efecto de privacidad no se puede presentar la denuncia oficial presentada a la DIJ
en este trabajo.
80
A manera de ejemplo, se presenta la carta formal y un informe final de una
investigación de un caso real ocurrido en la república de Panamá en los anexos de
esta tesis.
81
CONCLUSIONES
82
Al culminar la redacción de esta investigación acerca de delitos informáticos se
pueden consignar las siguientes conclusiones:
 Tal y como se predijo en nuestra hipótesis se confirma que si existen un mínimo
de leyes que castigan el ciber delito en Panama, y de hecho ya hay gente que
ha sido castigada y se encuentran privados de libertad cumpliendo dichas
penas.
 A través de esta tesis espero contribuir con el conocimiento y fortalecimiento de
los profesionales y estudiantes de derecho y ciencias políticas en materia de
temas relacionados al manejo de las TIC, así como los riesgos que involucran
el uso de estas tecnología y cómo debe ser la administración de justicia en
estos casos, cuando se presente este tIPo de delitos.
 Es importante mencionar que la erradicación de estos ciber crímenes requiere
que los juristas nos preparemos en estos temas continuamente ya que los
hackers, crackers, lamers, script kidies, spammers, scammers y otros, buscarán
nuevas formas de atacar las empresas, organizaciones y cuanto sitio web
puedan hacerlo. Sin embargo el conocimiento de sus riesgos y formas de
ataque nos permitirá estar mejor preparados para este tipo de situaciones.
 La incorporación del IP de una compañía, empresa, organización u otro en un
BLACK LIST, es un problema muy grave, toda vez que pierde la transmisión de
telecomunicaciones hasta tanto no se logre remover este IP de esa lista negra.

83
 Es posible detectar el origen de un correo electrónico a través de su originating
IP address, sin embargo si el correo electrónico se genera a través de una
compañía que ofrece correos gratuitos como yahoo, hotmail, gmail, etc., el
proceso se hace sumamente burocrático y debe cumplir todos los procesos
legales nacionales e internacionales para poder lograr la obtención de la
información del atacante y no violar el debido proceso jurídico y por tanto
causar una nulidad en el caso.
 Las empresas panameñas no escapan de este flagelo y por tanto deben estar
preparada con todas las herramientas tecnológicas disponibles para no ser
vulneradas con estos males.
 La legislación panameña ha mejorado en cuanto las sanciones y penas que se
deben imponer a este tipo de crímenes cibernéticos, sin embargo el
procesamiento de este tipo de crímenes no es sencillo y muchas veces los
atacantes salen impunes de los mismos.

84
RECOMENDACIONES
85
Luego de anotadas las conclusiones se pueden consignar las siguientes
recomendaciones:
 Es importante crear conciencia en los juristas panameños acerca de la
importancia del conocimiento de las TICS y su tratamiento jurídico.
 En base a lo aprendido, es importante considerar que el ataque más pernicioso
y que puede dejar muy mal a una compañía es un RANSONWARE y por tanto
es sumamente importante tener un backup general de nuestra empresa.
 La instalación de un firewall es insoslayable para evitar ser víctima de los
hackers y que incluyan a nuestra empresa en este tipo de listados.

86
BIBLIOGRAFÍA
87
Astudillo, Karina (2014). Hacking Ético 101: Cómo hackear profesionalmente en
21 días o menos!: volumen 1. España: RA-MA.
Carballar F., J.A. (2013). Internet, libro del navegante. Colombia: Ediciones
de la U.
Carpenter, Jean F. (2016). La seguridad informática en la PYME: situación
actual y mejores prácticas. Editorial ENI.
Cobb, Stephen (1994). Manual de seguridad para pc y redes locales. España:
Windcrest Books, McGraw-Hills, Inc.
Cobos F., A. (2011). Implicaciones éticas en torno al acceso y uso de la
información y las tecnologías. Mesa de Trabajo “Competencias del personal
bibliotecario”. Primer Encuentro de Bibliotecarios de la Región Centro-Sur de la
ANUIES, 20-21 de Octubre de 2011, IMPLICACIONES ÉTICAS. Disponible en:
http://web.uaemex.mx/REBICS/docs/publica_memorias/024_res_mt_implicetica
s_ACF.pdf
Díaz, J.M. (trad.) (2008). Fundamentos de seguridad de redes. Especialista en
Firewall Cisco. Última reimpresión. España: Pearson Educación, S.A.
Ebel, Franck (2016). Hacking forensic: desarrolle sus propias herramientas en
phyton. Editorial ENI.
Federal Trade Commission Bureau of Consumer Protection (2009). The CAN-
SPAM Act: A Compliance Guide for Business. Division of Consumer and

88
Business Education. Disponible en
https://www.ftc.gov/system/files/documents/plain-language/bus61-can-spam-
act-compliance-guide-business.pdf
Lázaro D., F. (2013). Introducción a la informática forense. España: RA-MA.
Miguel P., J.C. (2015). Protección de datos y seguridad de la información.
Editorial RA-MA.
Moreno P., J.M. (comp.) (2012). Código Penal y Procesal Penal. 2ª edición.
Panamá: Editorial Mizrachi & Pujol, S.A.
Rando, E.; González, P.; Aparicio, A.; Martín, R.; Alonso, C. (2014). Hacking
web technologies. Inglaterrra: OxWord.
Rando, E., y Alonso, Ch. (2012). Hacking de Aplicaciones Web: SQL Injection.
2ª edición. Inglaterra: OxWord.
Ramos V., Antonio (2015). Hacking con ingeniería social: técnicas para hackear
humanos. España: RA-MA.
Ramos V., Á.A.; Barbero, C. A.; Fernández H., Y.; Daswani D., D.; Marugán R.,
D. (2013). Hacking práctico de redes Wifi y radiofrecuencia (Informática
General). España: RA-MA.
Rodríguez Luño, Á. (2006). Aspectos éticos del uso del internet. Revista de
ética y política. Disponible en
http://www.eticaepolitica.net/eticafondamentale/arl_uso_internet%5Bes%5D.htm
89
ANEXOS
90
Panamá, ____ de agosto de 2016
Conscientes de la necesidad de formar parte de un mercado dinámico y competitivo, por este medio
le enviamos la cotización para la realización de una auditoría interna en el Sistema de Información y
Comunicación Vía Web de su empresa ______________
Los objetivos que se desean lograr a través de esta auditoría son:
 La verificación de controles en el procesamiento y comunicación de la información de la red

LAN de la empresa, con el objetivo de evaluar su efectividad y presentar recomendaciones a
la Gerencia.
 Verificación y recomendaciones para uso de los servidores de la red.
 Verificación y recomendaciones del uso correcto de correos electrónicos por los usuarios.
 Verificación de los ataques recibidos a través de los correos electrónicos mal

intencionados y trazamiento de mensajes del X-Originating-IP para ubicar
procedencia de los mismos.
 Asesoramiento para procesar delitos cibernéticos ante las autoridades nacionales e

internacionales.
 Verificación y recomendaciones para correcciones del estado de los programas de antivirus

en la empresa (Norton , etc. ) Verificación on-line de las máquinas.
 Verificación de la Seguridad Física de la empresa.
Examen, evaluación y / o revisión de carácter objetivo (independiente), crítico (evidencia),

sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos,
procedimientos e informes relacionados con los sistemas de información computarizados del Grupo
Apple Holding Inc. y del Área de Procesamiento automático de Datos (PAD) – Departamento de
Sistemas , con el fin de emitir una opinión profesional (imparcial) con respecto a la eficiencia en el
uso de los recursos informáticos y presentar conclusiones y recomendaciones encaminadas a corregir
las deficiencias existentes y mejorarlas.
Nuestra auditoria será realizada de acuerdo con las mejores prácticas y normas actuales de auditoría
de sistemas (ISO 17779).
Nuestros procedimientos incluyen un entendimiento del sistema y revisión de las siguientes áreas:
Políticas, Procedimientos y Estándares, Seguridad Física, Respaldo, Recuperación y Planes de
Contingencia.
En espera que esta propuesta sea de su total agrado y de su confirmación para comenzar de
inmediato la misma, quedo de usted.
Ing. Guillermo Donadío MBA /MSI

Consultor Certificado de E-Commerce
CCIAP-BID

Panamá enfrenta crisis de ciberdelitos

Încărcat de

Informații document

Descriere originală:

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Panamá enfrenta crisis de ciberdelitos

Încărcat de

Drepturi de autor:

Formate disponibile

1

hecho imperante la utilización de medios modernos para la detección de estos

que hubo extracción no autorizada de información interna a través de medios

electrónicos y que luego fuese ventilada en los medios de comunicación. Dicha

información dejó en evidencia una serie de sociedades que encubren operaciones

financieras presumiblemente ilegales, situación que el Ministerio Público de Panamá

investiga en esos precisos momentos.

Es interesante mencionar el hecho que en la actualidad existen una serie de

altas personalidades gubernamentales y empresariales imputadas por estos crímenes

cibernéticos en nuestro país.

Con base en la información anterior, se puede aseverar que Panamá no escapa

información y comunicación para estar a la vanguardia de los avances mundiales.

En atención a la observación superior acerca de los delitos informáticos, la

Comisión Federal de Comercio de los Estados Unidos de América que se refiere a la

empresa o empresa a clientes debe cumplirse plenamente, o de lo contrario se podría

incurrir en sanciones de hasta 16,000 dólares cada una (2009, p. 1).

para el beneficio de todos mis colegas juristas.

Hace casi 15 años se estableció en Panamá el primer ciber café internet, en un

pequeño centro comercial ubicado en la esquina diagonal al Hotel Sheraton, antes

conocido como Marriot Hotel.

CAFÉ y, por ende, experimentar lo que era la INTERNET. La experiencia fue

frustrante ya que el download (velocidad de bajada) de una página web era

hasta 7 a 10 minutos en bajar; sin embargo, hoy se pueden bajar en cuestión de

irse. Actualmente, mi padre es un experto en edición digital y en el uso de internet.

Sin duda, el desarrollo vertiginoso de INTERNET ha llegado para revolucionar

interceptar sus comunicaciones.

En este caso ARPANET (Advance research project agency network), era la

Departamento de Investigación y Desarrollo Científico de EE.UU., introdujo el

para otros fines, como por ejemplo el comercial.

Con la introducción del www (world wide web), se produjo un principio

generalizado de tecnologías que transformó el uso de INTERNET, que en sus inicios

que quiere decir cosa de nadie. O sea pertenece a todos la humanidad.

crackers, lamers, piratas informáticos, estafadores y una serie de personas dedicadas

a violar las leyes a través de este medio informático.

Al respecto, se puede señalar que hace aproximadamente unos 15 años,

específicamente en o después de mayo 4 del año 2000, dos estudiantes de

informática de AMA COMPUTER UNIVERSITY, la primera Universidad de ICT

(Information communication technology) de Filipinas y de Asia, de nombres Reonel

Ramones y Onel De Guzmán, desarrollaron un virus informático denominado I LOVE

YOU, que consistía en un gusano que llegaba a la cuenta de correo electrónico de la

un poderoso ejecutable que al realizar la apertura del correo electrónico se apoderaba

de todos los contactos de la víctima y le reenviaba el virus a todos sus contactos

haciendo un efecto de cascada, multiplicando e infectando miles de millones de

El correo electrónico llegaba con el asunto I LOVE YOU y las personas

disparaban el virus dentro de sus máquinas. Primero inicio en Manila, Filipinas, y

América y de allí a Centro y Sur América, incluyendo a Panamá.

de peligrosidad en computadores en el mundo para esa época. A nivel mundial causó

estragos en entidades gubernamentales como el parlamento de Inglaterra y el

Pentágono y los mismos decidieron simplemente desconectar los servicios de los

servidores de correos electrónicos de todas sus computadoras.

se estimaron en aproximadamente 6 billones de dólares a nivel mundial.

millones de dólares a nivel mundial, porque no había manera de aplicar el concepto de

alegaron que no quisieron soltar el virus, ni se imaginaron el daño que causaría.

Esta situación hizo que inmediatamente el congreso de Filipinas creara nuevas

necesita el número y contraseña de una cuenta de Banco local en Panamá, para

créditos y medios tecnológicos se refuercen, en especial utilizando los estándares del

colaboración por Visa y Mastercard en el año 2004 y en el 2006 extendidos a

Discover, Jcb y American Express.

Actualmente son obligatorios, ya que introducen una serie de regulaciones y

administrados por la Payment Card Industry Security Standards Council.

Entre los principios que regulan se pueden señalar:

Objetivos de Control Requerimientos del PCI DSS