Mo Dulo Aspectos Eticos y Legales de La Seguridad Informatica

UNIVERSIDAD
NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BASICAS TECNOLOGIA E INGENIERIAS
Contenido: Aspectos Etico y Legales de Seguridad Informatica

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA
ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
MÓDULO ASPECTOS ETICOS Y LEGALES DE SEGURIDAD INFORMATICA
Francisco Nicolás Javier Solarte Solarte

Yina Alexandra Gonzalez Sanabria
(Revisor)
ZONA CENTRO BOGOTA CUNDINAMRCA – ZONA CENTRO SUR

( CEAD PASTO, CEAD ARBEALEZ)
Mayo de 2013

1

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA – UNAD


ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO

El presente módulo ha sido compilado y diseñado en el año 2012 por el Ingeniero
de Sistemas Francisco Nicolás Javier Solarte Solarte, docente de la UNAD, quien a la
fecha labora en el CEAD de Pasto, dentro de su currículo formativo cuenta con los
siguientes estudios:
Francisco Nicolás Javier Solarte Solarte: Ingeniero de Sistemas de la Universidad

INCCA de Colombia, Especialista en Multimedia educativa, y Especialista en
Auditoria de Sistemas de la Universidad antonio Nariño y Magister en Docencia de
la Universidad de La Salle. Además cuenta con experiencia en Docencia
Universitaria desde 1995 en las diferentes universidades de la ciudad de san Juan
de Pasto y actualmente se desempeña como docente auxiliar de la UNAD.
Esta es la primera versión del curso y en el proceso de revisión participa la Escuela
ECBTI con respecto a los contenidos, y la VIMMEP en la revisión del CORE, ellos
brindarán apoyo el proceso de revisión del estilo del módulo y darán
recomendaciones disciplinares, didácticas y pedagógicas para acreditar y mejorar el
curso.
El módulo fue iniciado en el mes de diciembre de 2011, y se terminó su

compilación en el mes de junio de 2012, a petición de la Directora Nacional del
Programa de Sistemas, Ingeniera Alexandra Aparicio Rodriguez.

2



INTRODUCCIÓN

Los horizontes culturales y educativos actuales aparecen dependientes de los

logros que imponen tanto el pensamiento científico como los desarrollos
tecnológicos, esta imposición supone un predominio del conocimiento que se
evidencia en exceso de información a través de internet. Sólo prestando atención a
los problemas que plantea la acción humana, a los problemas morales y políticos y
otros relacionados con el manejo de los recursos de la ciencia y la tecnología
actuales ponen a disposición del ser humano el poder compensar lo deficitario del
horizonte cultural y educativo en el que se mueve el ciudadano del común.
La Filosofía práctica, entendida en un sentido amplio, abarca un conjunto de temas
de filosofía moral, política y del derecho, que exigen un nivel de conocimientos
superior que son propios de la reflexión racional, además de una capacidad de
argumentación crítica que no se produce en el nivel de la educación moral; por eso
la filosofía moral aporta una reflexión más profunda y más crítica sobre los
fundamentos de la vida moral, de la acción política y de la ley jurídica.
La Ética constituye una materia propia, autónoma, de carácter filosófico y está

ubicada netamente fuera del ámbito del área de las Ciencias Sociales, aunque en
permanente contacto y diálogo con sus aportaciones conceptuales. La Ética
enjuicia y reflexiona desde una posición abierta al ámbito del deber ser, y su
estudio ha de mostrar la capacidad de los seres humanos para darse a sí mismos
principios racionales que orienten su vida individual y colectiva.
La Ética debe ser patrimonio común de todos y debe contribuir a formar

ciudadanos racionales, críticos, abiertos y tolerantes, que sepan fundamentar
racionalmente sus convicciones morales y aprendan a tolerar a otros de modo
positivo, es decir, a valorar y respetar las diferentes posiciones religiosas, morales o
políticas por lo que tienen de enriquecimiento de la cultura humana.

3



La enseñanza de la Ética a los ingenieros cumple una función muy importante, al
proporcionarles una gran ayuda en la configuración de su propia identidad moral,
ya que se aprende a reflexionar sobre criterios morales, sobre estilos de vida y a
tomar decisiones sobre cuestiones que les interesan dentro de su ámbito
profesional y sobre la gestión de la información y los recursos que se usan para su
manejo.
En este sentido es muy importante conocer también los códigos éticos

profesionales que regulan las actividades de los ingenieros de sistemas y la
legislación nacional e internacional que deben tener en cuenta los profesionales de
sistemas a la hora de la toma de decisiones sobre el manejo de la información que
circula a través de diversos medios y la protección que ella debe tener frente a
actores externos que tratan de tener acceso a la misma.
Además de la ética es necesario conocer algunos de los aspectos más importantes
sobre la legislación nacional e internacional aplicados a la seguridad informática y
de la información, indispensables para ejercer de manera consciente la profesión
de ingeniero frente a los casos posibles sobre el tema de seguridad, de la misma
forma es importante conocer aspectos relacionados con los procedimientos para el
seguimiento de posibles casos de delitos informáticos y accesos a datos para que la
prueba sea aceptada como evidencia del hecho.

4



JUSTIFICACIÓN
La importancia del curso de Ética y Legislación en seguridad Informática radica en
el conocimiento de leyes, normas que rigen la actividad de los profesionales en
sistemas que están relacionados con los procesos del manejo de los recursos
tecnológicos y la información, además de los procesos que se llevan a cabo para
llegar a establecer planes, políticas, estrategias, y procedimientos que permitan
construir mejores condiciones de seguridad para los activos informáticos, llámense
estos redes, equipos de cómputo, personal, instalaciones e infraestructura
tecnológica y la información misma.
El curso esta dirigido principalmente a los ingenieros de sistemas, electrónicos e

informáticos interesados en conocer más profundamente las leyes y normas a nivel
nacional e internacional que rigen en cuanto al tema de seguridad informática y de
información, esta dirigido especialmente a quienes administran la seguridad de las
redes y sistemas de información y a todos los que quieran profundizar un poco más
en los temas de seguridad informática y de la información.
El curso proporciona los conocimientos teóricos para llevar a cabo procesos de

definición de un plan de seguridad y un sistema de gestión de seguridad de la
información acordes a la normatividad y las leyes existentes, mediante la
incorporación a las políticas y reglamentos internos para el manejo de la
información y los recursos tecnológicos utilizados para su administración envío y
almacenamiento.

5



INTENCIONALIDADES FORMATIVAS
PROPÓSITO
Fundamentalmente, el curso pretende desarrollar las capacidades, habilidades y

destrezas de los estudiantes para conocer, y comprender los aspectos legales y
éticos de la seguridad informática y de la información existente para una buena
toma de decisiones y para aplicarlo en procesos legales de riesgos y delitos
informáticos para establecer políticas, estrategias, planes y procedimientos acordes
a las mismas.
Además el curso permite conocer los aspectos de la legislación nacional e

internacional para el tratamiento de casos específicos que se presentan con
frecuencia en los sistemas de información digitales y con el uso de las nuevas
tecnologías que muchas veces no permiten configurar aspectos de seguridad en el
manejo de la información.
OBJETIVOS
- Conocer y comprender los rasgos específicos que fundamentan la moralidad

humana en su práctica individual y social, y valorar el significado de la
dignidad personal, de la libertad de la recta conciencia, del bien y la verdad.
- Comprender la génesis de los valores y de las normas morales, y asumir
críticamente que constituyen una construcción histórica y válida para todos
los seres humanos.

6



- Valorar críticamente el pluralismo cultural y moral de las sociedades
modernas, e identificar las razones morales en que se apoyan los distintos
planteamientos éticos que conviven con ellas.
- Identificar y analizar los principales proyectos éticos contemporáneos en
cuanto al manejo de las tecnologías e información.
- Conocer y valorar las principales aportaciones teóricas de la ética y la
legislación informática.
- Adquirir independencia de criterio y juicio crítico, mediante la adopción
progresiva de hábitos de conducta moral que planifican la propia vida y
rechazar aquellos que la hacen decaer en su dignidad de ser humano.

METAS
El estudiante estará capacitado para:
-‐ Identificar los conceptos de Ética, valores, y legislación informática aplicada a la
seguridad de información
-‐ Conocer los conceptos relacionados con ética, valores y legislación a nivel
nacional e internacional.
-‐ Conocer las leyes y normas para seguridad informática y de la información.
-‐ Conocer los tipos de delitos informáticos más frecuentes que se presentan a nivel
informático y de seguridad.
COMPETENCIAS
-‐ El estudiante identifica, aprende, y comprende los diferentes conceptos sobre

ética y legislación informática que le permitan establecer mejores condiciones de
seguridad en entornos informáticos.
-‐ El estudiante está en capacidad de identificar los diferentes tipos de delitos

informáticos, y realizar el seguimiento identificando controles que permitan
minimizar la causa que los originan.
-‐ El estudiante está en la capacidad de analizar casos de delitos y fraudes

informáticos y la aplicación de normas y leyes para mitigarlos.

7



-‐ El estudiante está en capacidad de definir controles efectivos frente a posibles
escenarios
de riesgo a que se ve expuesta la organización y establecer los
procedimientos para identificar la causa origen de los mismos.
-‐ El estudiante está en capacidad de establecer planes de seguridad que permitan
mejorar la seguridad informática en las organizaciones.
CRITERIOS DE EVALUACIÓN
Para la evaluación del curso se ha establecido la metodología de estudios de caso
mediante la cual se trata de identificar posibles situaciones de delitos informáticos
que se presenten y la aplicación de la legislación nacional o internacional que
permita disminuir la posibilidad de ocurrencia.
Tambien se plantea la forma evaluativa de aplicación de cuestionarios en cada una

de las unidades que permitan establecer que los contenidos de las lecciones fueron
leidos y comprendidos en el contexto donde se puedan presentar posibles casos de
fraudes y delitos informáticos con repecto a la seguridad.
Otra de las formas de evaluación es el trabajo en equipo donde se plantea un caso

para que sea solucionado colaborativamente con la participación de los integrantes
de cada uno de los grupos mediante aportes para la construcción y entrega final.
Por último se hará la evaluación por proyectos, donde se presentará a

consideración casos donde se puede aplicar los conceptos del módulo guía y con la
lectura y consulta de fuentes externas para la solución de casos puntuales de
seguridad de la información en cuanto al tema de ética y legislación.

8



ÍNDICE DE CONTENIDO
TEMA PAG.
ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO 2
INTRODUCCIÓN
JUSTIFICACION 4
INTENCIONALIDADES FORMATIVAS 5
PROPOSITOS 5
OBJETIVOS 5
METAS 5
COMPETENCIAS 6

UNIDAD 1. LA ÉTICA 16

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTO DE ÉTICA 16
Lección 1: El hombre y La Ética 16
Lección 2: La Ética y la Moral 18
Lección 3: Fundamentos de la ética y valores 19
Lección 4: La ética profesional 22
Lección 5: Los deberes y la ética 24

9



CAPÍTULO 2: DEONTOLOGÍA INFORMÁTICA 30

Lección 6: Deontología Informática 32
Lección 7: Ética de la Información 33
Lección 8: Códigos Deontológicos de la Tecnología Informática 35
Lección 9: El Código de Ética y de Conducta Profesional de la ACM 36
Lección 10: Normas del Código de la Comisión Deontológica del COEInf 42

CAPÍTULO 3: PROBLEMAS ÉTICOS DEL USO DE LAS TECNOLOGIAS 57

INFORMÁTICAS
Lección 11: Problemas Éticos del uso de las Tecnologías Informáticas 57
Lección 12: Problemas de Seguridad en Internet 59
Lección 13: Problemas de Virus Informáticos 62
Lección 14: Problemas de Delitos Informáticos 63
Lección 15: Clasificación de los Delitos Informáticos 66

UNIDAD 2. LEGISLACIÓN EN SEGURIDAD INFORMÁTICA 73

CAPÍTULO 4: DERECHO INFORMÁTICO Y LA GESTIÓN DE LA SEGURIDAD DE 74
LA INFORMACIÓN
Lección 16: Derecho informático 74
Lección 17: Aspectos Jurídicos de la Norma ISO 27001 77
Lección 18: Tratamiento Legal de los Incidentes Informáticos 86

10



Lección 19: Derecho Informático en América Latina en cuanto a Firma 89
Electrónica,
Contrataciones Electrónicas y Comercio Electrónico
Lección 20: Derecho Informático en América Latina en cuanto a Gobierno 91
Electrónico, Acceso Público a Información y Protección de Datos

CAPÍTULO 5: ORGANISMOS DE REGULACIÓN Y LEGISLACIÓN 92

INTERNACIONAL EN SEGURIDAD INFORMÁTICA
Lección 21: Organizaciones Internacionales en CSIRT’s 96
Lección 22: Organizaciones CERT o CSIRT’s Alrededor del Mundo 98
Lección 23: Convenio Internacional de Telecomunicaciones 103
Lección 24: Legislación en Seguridad de la Información Mexicana e 110
Internacional
Lección 25: Legislación Informática y de Seguridad en Argentina 119

CAPÍTULO 6: LEGISLACIÓN INFORMÁTICA EN COLOMBIA 130
Lección 26: Ley de Delitos Informáticos en Colombia 130
Lección 27: La Ley de Habeas Data y sus Implicaciones de Seguridad 135
Informática
Lección 28: Legislación Colombiana sobre Comercio Electrónico 139
Lección 29: Legislación Colombiana sobre Gobierno en Línea 148
Lección 30: Legislación en Seguridad Informática en Colombia 156
GLOSARIO DE TÉRMINOS 167
BIBLIOGRAFÍA 170

11



LISTADO DE TABLAS
TEMA PAG.
Tabla 1: Preceptos morales del Código ACM 31
Tabla 2: Responsabilidades Profesionales según Código ACM 33
Tabla 3: Obligaciones de Liderazgo Organizativo Según Código ACM 34
55
Tabla 4: Fraudes por manipulación del Computador
Tabla 5. Legislación Interna en Materia de Comercio Electrónico 115
Tabla 6. Legislación Interna en Materia de Gobierno en Línea 120

12



UNIDAD 1
Nombre de la Unidad LA ÉTICA
Introducción Esta unidad esta dedicada principalmente a la

conceptualización de lo que significa la ética y los valores
morales. Específicamente se abordará los temas
relacionados con los conceptos de ética y valores aplicados
a la seguridad informática y de la información.
Justificación Los conceptos sobre ética profesional permitirán a los

estudiantes conocer la normatividad aplicada a la
ingeniería de sistemas y adquirir una capacidad crítica para
tomar sus propias decisiones en cuanto al tema de
seguridad informática y de información. La importancia de
este tema radica en que los estudiantes adquieren
suficientes argumentos para la toma de decisiones propias
sobre el tema de seguridad informática y de información.
Intencionalidades -‐ El estudiante conoce, aprende y comprende los

Formativas conceptos relacionados con el tema de e´tica profesional
de los ingenieros de sistemas
-‐ El estudiante conoce las organizaciones que dictan la

normatividad ética para los ingeneiros de sistemas
-‐ El estudiante conoce algunos de los códigos de la norma
ética que debe aplicar en su vida profesional.

13



Denominación de CAPITULO 1: CONCEPTOS DE ÉTICA
capítulo
Denominación de Lección 1: El hombre y La Ética

Lecciones
Lección 2: La Ética y la Moral
Lección 3: Fundamentos de la ética y valores
Lección 4: La ética profesional
Lección 5: Los deberes y la ética
Denominación de CAPÍTULO 2: DEONTOLOGÍA INFORMÁTICA

capítulo
Denominación de Lección 6: Deontología Informática

Lecciones
Lección 7: Ética de la Información
Lección 8: Códigos Deontológicos de la Tecnología

Informática
Lección 9: El Código de Ética y de Conducta Profesional de
la ACM
Lección 10: Normas del Código de la Comisión

Deontológica del COEInf
Denominación de CAPÍTULO 3: PROBLEMAS ÉTICOS DEL USO DE LAS
capítulo TECNOLOGIAS INFORMÁTICAS
Denominación de Lección 11: Problemas Éticos del uso de las Tecnologías
Lecciones Informáticas
Lección 12: Problemas de Seguridad en Internet

14



Lección 13: Problemas de Virus Informáticos

Lección 14: Problemas de Delitos Informáticos
Lección 15: Clasificación de los Delitos Informáticos

15



UNIDAD 1: LA ÉTICA

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTOS DE ÉTICA
Introducción
Lección 1: El hombre y La Ética
El hombre como uno de los seres racionales en continua interacción con un grupo y
en sus relaciones cotidianas se enfrenta constantemente a problemas como éstos:
¿Debo cumplir promesas que hice a personas a pesar de que me doy cuenta que su
cumplimiento me traerá problemas?, Si alguien se acerca sospechosamente en la
calle y tengo temor de ser atacado, ¿debo defenderme o huir para evitar ser
atacado?, Quien en una guerra de poderes está en contra o a favor de uno de ellos,
y sabe que un amigo está colaborando al contrario ¿debe callar, movido por su
amistad o debe denunciarlo, como traidor?, como sucede a diario ¿Podemos
considerar que es bueno el hombre que se muestra caritativo con el mendigo que
toca a su puerta, y que como patrón explota a los obreros y empleados de su
empresa?, Si un individuo trata de hacer el bien, y las consecuencias de sus actos
son negativas para los que se proponía favorecer, ya que les causa más daño que
beneficio, ¿se debe considerar que a obrado correctamente, desde un punto de
vista moral, ni importando los resultados de su acción?.

Estos son algunos de los problemas que se suceden en la práctica y que se plantean
desde las relaciones afectivas entre individuos, o al juzgar sus acciones con
respecto a su posición frente a otros, en este caso se trata de problemas cuya
solución no solo afecta a la persona que toma la decisión, sino que también puede
afectar a otros.

En las situaciones mencionadas anteriormente los individuos tienen la necesidad
de ajustar su conducta a normas que son aceptadas y reconocidas como
obligatorias y de acuerdo a ellas se comprende la forma de actuar, en este caso el
comportamiento será el fruto de una decisión reflexiva y no espontánea o natural,
así también los demás juzgan conforme a las normas establecidas.

16



Entonces, los actos o modos de comportamiento de los hombres ante ciertos
problemas
y los juicios que por dichos actos son aprobados o desaprobados son
morales, estos actos y juicios morales presuponen ciertas normas que señalan lo
que se debe hacer y es así como se resuelven los problemas de la vida real bajo las
normas establecidas y en ocasiones, se emplean argumentos o razones para
justificar la decisión adoptada.

Los hombres no solo actúan moralmente, sino que también reflexionan sobre ese
comportamiento práctico, y lo hacen objeto de su reflexión o de su pensamiento,
pasando del plano de la práctica moral al de la teoría moral; es decir, de la moral
efectiva, vivida, a la moral reflexiva, cuando se da este paso que coincide con los
albores del pensamiento filosófico, se esta frente a los problemas teórico-‐morales,
o éticos.

Los problemas éticos se caracterizan por su generalidad, dada una situación de la
vida real, el problema de cómo actuar para que su acción pueda ser catalogada
como buena o moralmente valiosa, lo resuelve por sí mismo con la ayuda de una
norma que el acepta y reconoce, es así como la ética puede decir si una conducta
sujeta a normas es buena o mala, de acuerdo a lo bueno que se persigue con la
conducta moral de un individuo dentro de un grupo. El tratamiento de problemas
generales sobre el comportamiento que se debe adoptar frente a determinadas
situaciones es tratado por el investigador de la moral, es decir, al ético.
Aristóteles planteaba en la antigüedad el problema teórico de definir lo bueno, su
tarea era investigar el contenido de lo bueno y no determinar lo que el individuo
debe hacer en cada caso concreto para que su acto pueda considerarse como
bueno, al tratar teóricamente el problema de qué es lo bueno está señalando el
camino general y el marco de actuación para que los hombres puedan orientar su
conducta en situaciones particulares. Existen varias teorías éticas que giran en
torno a la definición de lo bueno, pensando que al saber lo que es, se podría saber
lo que debe hacerse o no, pero los resultados obtenidos demuestran que lo bueno
puede ser la felicidad o el placer, en otras lo útil, el poder, la producción, los autos,
casas, etc.

17



Otro de los problemas ligados a la esencia del acto moral es la responsabilidad, ya
que al hablar de comportamiento moral, el sujeto es responsable de sus actos, es

decir, poder hacer lo que se quiera hacer, o elegir entre varias alternativas y actuar
de acuerdo a la decisión tomada, al decidir y obrar en una situación concreta es un
problema práctico-‐moral, pero investigar la relación entre la responsabilidad moral
con la libertad y el determinismo al que se hallan sujetos los actos es un problema
teórico que estudia la ética.
Lección 2: La Ética y la Moral
La ética es la ciencia de las costumbres tales como deben ser, es la ciencia del bien
obligatorio porque la ética establece los principios racionales que rigen la conducta
humana tanto en su aspecto individual como en su aspecto social, en este sentido
la ética y la moral están relacionados con el derecho, sin embargo en sentido moral
se preocupa fundamentalmente de la perfección integral de la persona, de su bien
individual, en tanto que el derecho busca la realización de ese orden social justo
que constituye el bien común.
La moral efectiva supone ciertos principios, normas o reglas de conducta, pero no
es la ética la que establece esos principios o normas, puesto que la ética se
encuentra con una experiencia histórico social acerca de la moral ya dada y
partiendo de ella trata de establecer la esencia de la moral, su origen, las
condiciones objetivas y subjetivas del acto moral, las fuentes de la valoración
moral, la naturaleza y función de los juicios morales, los criterios de justificación de
dichos juicios, entre otros aspectos morales.
La ética es la ciencia del comportamiento moral de los individuos en la sociedad

que responde a la necesidad de un tratamiento científico de los problemas
morales, es decir, la ética se ocupa de un objeto propio la realidad moral
constituida por un tipo de hechos o actos humanos, la ética como ciencia parte de

18



cierto tipo de hechos tratando de descubrir sus principios generales. Aunque se
parte
de hechos empíricos, no puede mantenerse a nivel de una simple descripción
o registro de ellos, sino que los trasciende con sus conceptos, hipótesis y teorías, la
ética aspira a la racionalidad y objetividad más plenas, y proporciona los
conocimientos sistemáticos, metódicos y verificables hasta donde sea posible.
La ética es la ciencia de la moral, es decir, de una esfera de la conducta humana,
por eso no se debe confundir la teoría con su objeto el mundo moral, las
proposiciones de la ética deben tener el mismo rigor, coherencia y fundamentación
que las proposiciones científicas, por eso se puede afirmar que cabe hablar de una
ética científica, pero no puede decirse lo mismo de la moral, pero sí puede haber
un conocimiento de la moral que puede ser científico.
En la ética como en otras ciencias, lo científico radica en el método, en el

tratamiento del objeto, y no en el objeto mismo, ya que podría decirse que el
mundo físico no es científico, aunque su tratamiento o estudio de él por la ciencia
física si lo es, al no haber una moral científica, puede darse una moral compatible
con los conocimientos científicos acerca del hombre, de la sociedad y acerca de la
conducta humana.
Es aquí donde la ética sirve para fundamentar el estudio de la moral como objeto
de la ciencia y que puede ser investigada por ella. La ética no es la moral, y por ello
no puede reducirse a un conjunto de normas y prescripciones, su misión es explicar
la moral efectiva y puede influir en la moral misma, el objtivo del estudio lo
constituye un tipo de actos humanos: los actos conscientes y voluntarios de los
individuos que afectan a otros, a determinados grupos sociales, o a la sociedad en
su conjunto.
Lección 3: Fundamentos de la Ética y Valores

19



ética tradicional parte de la idea de que la misión del teórico es decir a los
La
hombres
lo que deben hacer dictándoles las normas o principios para ajustar su
conducta, el ético se convierte así en un legislador del comportamiento moral de
los individuos o de la comunidad. Pero la tarea fundamental de la ética es la de
explicar, esclarecer o investigar una realidad dada produciendo los conceptos
correspondientes.
Históricamente la realidad moral varía en sus principios y normas, en este sentido,
al pretender formular principios y normas universales, al margen de la experiencia
histórica moral, dejan por fuera de la teoría la realidad misma que debería explicar.

La ética es teoría, investigación o explicación de un tipo de experiencia humana, o
forma de comportamiento de los hombres, por eso lo que en ella se diga acerca de
la naturaleza o fundamento de las normas morales es válido para la moral de la
sociedad, o para la moral que se da efectivamente en una comunidad humana
moderna, esto asegura su carácter teórico, y evita que se le reduzca a una
disciplina normativa o pragmática.

El valor de la ética como teoría esta en lo que explica, y no en prescribir o
recomendar con vistas a la acción en situaciones concretas, ya que la ética parte
del hecho de la existencia de la historia de la moral, partiendo de la diversidad de
morales en el tiempo con sus correspondientes valores, principios y normas, y tiene
que buscar y explicar sus diferencias, y los principios que permitan comprenderlas
en su movimiento y desarrollo.

El fundamento básico de la ética es que estudia los problemas morales del hombre,
es decir, el de la naturaleza y fundamentos de la conducta moral relacionados con
la conducta de vida, así como el de la realización moral, no solo de carácter
individual sino también colectivo. La ética es una disciplina normativa cuya tarea
fundamental es señalar la mejor conducta en sentido moral, pero la caracterización
de la ética como disciplina normativa a conducido a olvidar su carácter
propiamente teórico, siendo la tarea fundamental de la ética explicar, esclarecer o
investigar una realidad dada produciendo los conceptos correspondientes.

Todo acto moral lleva a la elección de posibilidades de comportamiento fundada en
una preferencia hacia una forma de comportamiento, que sea el más digno, más
elevado moralmente o en pocas palabras más valioso. En este sentido los valores
éticos fundamentales son los siguientes:

La Justicia: Un concepto clásico de justicia menciona que “es la voluntad constante
y perpetua de dar a cada uno lo suyo” y en este sentido la justicia es la cualidad del

20



hombre justo que lo induce a dar a cada quien lo que le pertenece, y está
íntimamente
ligada al hombre. La justicia, como ideal, es un valor supremo
fundado en la razón y en la equidad que sirve de inspiración al derecho, siendo la
justicia conmutativa cuando esta regula la igualdad o proporcionalidad que debe
existir entre las cosas que se intercambian y la justicia distributiva tiende a regular
la proporcionalidad con que deben otorgarse las penas y las recompensas.

La Libertad: La libertad puede entenderse como la capacidad de elegir entre el bien
y el mal responsablemente, esta responsabilidad implica conocer lo bueno o malo
de las cosas y proceder de acuerdo con nuestra conciencia, de otra manera, se
reduce el concepto a una mera expresión de un impulso o del instinto.
La libertad entendida desde la psicología es un poder que tiene la voluntad de
optar entre dos posibilidades, la libertad de perfección es la emancipación de toda
pasión desordenada consiste en obedecer solamente a la razón y a las inclinaciones
superiores, la libertad de perfección es casi idéntica a la verdad, a la sabiduría y se
opone a la esclavitud, la libertad también puede ser de elección, decisión y acción
de la libre voluntad que entraña no solo las posibilidades de actuar en una u otra
dirección sino también entraña así mismo una conciencia de los fines o
consecuencias del acto que se quiere realizar.

El hombre es libre de decidir y actuar sin que su decisión y acción dejen de estar
causadas pero el grado de libertad se halla, a su vez, determinado histórica y
socialmente, ya que se decide y actúa en una sociedad, que ofrece a los individuos
determinadas pautas de conducta y posibilidades de acción.

La Verdad: La verdad como valor representa confianza, es decir, representa lo que
no se puede negar racionalmente y que esta en conformidad de lo que se dice con
lo que se siente o piensa. Para el idealismo la verdad no puede ser otra que aquella
que corresponde a la lógica interna del pensamiento, de tal modo que la verdad
está ligada a las ideas claras y a la ausencia de confusión en el juicio.

La verdad solo tiene sentido cuando el concepto mental se identifica con la
realidad que corresponde a cada sujeto, cosa o ente. Es verdadero lo que
radicalmente permanece invariable en el juicio, como lo estable, lo perenne y se
encuentra en la base de la existencia moral de cada ser humano.

La Responsabilidad: La responsabilidad es el cumplimiento de los deberes, es una
obligación moral o incluso legal de cumplir con lo que se ha comprometido,
habitualmente la responsabilidad es un signo de madurez, pues el cumplir una
obligación de cualquier tipo no es generalmente algo agradable, ya que implica

21



algún tipo de esfuerzo, puede parecer una carga, pero el no cumplir con lo
prometido
origina consecuencias.

La responsabilidad es un valor porque gracias a ella se puede convivir
pacíficamente en sociedad, ya sea en el plano familiar, amistoso, profesional o
personal. La responsabilidad debe ser algo estable ya que se basa en la confianza
en una persona en cualquier tipo de relación (laboral, familiar o amistosa) que es
fundamental, pues es una correspondencia de deberes.

Una persona es responsable cuando es capaz de asumir las consecuencias de sus
acciones y decisiones, también la responsabilidad debe tratar de que todos los
actos sean realizados de acuerdo con una noción de justicia y de cumplimiento del
deber en todos los sentidos, y de ella depende la estabilidad de las reclaciones
sociales.

Lección 4: La Ética Profesional
La ética profesional puede definirse como la ciencia normativa que estudia los
deberes y los derechos profesionales de cada profesión, también es denominada
como Deontología. Al decir profesional no solo se refiere a que la ética es solo para
los que han realizado estudios o tienen una tarjeta que los acredita como tal, sino
que también va destinada especialmente a las persona que ejercen una profesión u
oficio en particular.

La ética profesional tiene como objetivo el crear conciencia de responsabilidad, en
todos y cada uno de los que ejercen una profesión u oficio, donde se parte del
postulado de que todo valor está íntimamente relacionado con la idea de un bien,
esta se sustenta fundamentalmente en la naturaleza racional del hombre.

La formación profesional se entiende como todos los estudios y aprendizajes
encaminados a la inserción, reinserción y actualización laboral, cuyo objetivo
principal es aumentar y adecuar el conocimiento y habilidades de los actuales y
futuros trabajadores a lo largo de toda la vida.

22



Dependiendo de cada país, se encuentran tres subsistemas de formación
profesional:

- La Formación Profesional Específica, que está destinada a los estudiantes
que decide encaminar sus pasos hacia el mundo laboral, cuyo objetivo es la
inserción laboral
- La Formación Profesional Ocupacional, destinada a los que en ese momento
se encuentran desempleados, cuyo objetivo es la reinserción laboral de la
persona
- La Formación Profesional Continua, destinada a los trabajadores
laboralmente activos, cuyo objetivo es la adquisición de mayores
competencias que le permitan una actualización permanente del trabajador
al puesto de trabajo que desempeña u optar a otro.
La persona al tener una personalidad variable, puede modificarse y llegar a la
perfección de su profesión, el carácter para el individuo en su profesión se refleja
en el avance de las ciencias, en el desarrollo de experimentos que tiempos atrás
hubieran sido inimaginables de realizar, por eso el carácter no se forja solamente
con un título, se hace día a día experimentando cambios, ideas, experiencias, se
hace enfrentándose a la vida.
La vocación es el deseo entrañable hacia lo que uno quiere convertirse en un
futuro, a lo que uno quiere hacer por el resto de su vida, es algo que va enlazado y
determinado por tus conocimientos generales, en un profesional que carezca de
vocación, el proceso para poder desarrollar sus conocimientos es más tardío, a
diferencia de un profesional que sienta una verdadera vocación.

Cuando una persona o un individuo carece del conocimiento o esté inseguro de la
actividad que quiere realizar a nivel profesional requerirá de ayuda en o que es la
orientación profesional, siendo éste un proceso utilizado por personas capacitadas
para ayudar a las personas a conocerse a sí mismos, a conocer el medio social en
que viven y poder indicarle de cierta forma la actividad profesional que más le
conviene a cada uno de ellos.
Las costumbres son normas que crea una sociedad por su continuidad y que le dan
un hecho jurídico palpable y tienen como las leyes, consecuencias cuando son
violadas, el profesional no solamente debe regirse por su código de ética propio,
sino que debe irse hacia un marco de costumbre.
El código de ética de cada profesional enmarca una serie de reglas, derechos y
deberes que lo limitan y mantienen al margen de caer en errores profesionales y
morales, al mismo tiempo guiándolos por el buen desempeño profesional, el

23



profesional lleva consigo una serie de hábitos y costumbres adquiridas durante
toda
su vida, no obstante a eso, no todo lo que uno realiza cotidianamente es
correcto ante la sociedad, por lo que un profesional tiene que tener la capacidad
moral e intelectual para poder diferenciar lo correcto e incorrecto de su profesión.

Lección 5: Los Deberes y la Ética
Dentro de la ética profesional existe un conjunto de normas que se debe cumplir,
estas están escritas para el cumplimiento de todos los profesionales en general y
describen la forma de actuación frente a diferentes circunstancias que puedan
presentarse y la decisión que debe tomar. Estos son los artículos donde se enuncia
los deberes que debe cumplir el profesional para consigo mismo, para con la
profesión, para con los colegas, para con los clientes o usuarios, y la sociedad
inmediata y global, que se pueden encontrar en los reglamentos de ética
profesional.

Deberes para Consigo Mismo
Artículo 2°.-‐ El profesional debe poner todos sus conocimientos científicos y
recursos técnicos en el desempeño de su profesión.
Artículo 3°.-‐ El profesional debe conducirse con justicia, honradez, honestidad,
diligencia, lealtad, respeto, formalidad, discreción, honorabilidad, responsabilidad,
sinceridad, probidad, dignidad, buena fe y en estricta observancia a las normas
legales y éticas de su profesión.
Artículo 4°.-‐ El profesional solamente se responsabilizará de los asuntos cuando
tenga capacidad para atenderlos e indicará los alcances de su trabajo y limitaciones
inherentes.
Artículo 5°.-‐ El profesional debe mantener estrictamente la confidencialidad de la
información de uso restringido que le sea confiada en el ejercicio de su profesión,
salvo los informes que le sean requeridos conforme a la ley.
Artículo 6°.-‐ El profesional debe responder individualmente por sus actos, que con
motivo del ejercicio profesional dañen o perjudiquen a terceros o al patrimonio
cultural.
Artículo 7°.-‐ El profesional no debe asociarse profesionalmente con persona alguna
que no tenga tarjeta para el ejercicio profesional, ni dejar que ésta u otras utilicen
su nombre o tarjeta profesional para atender asuntos inherentes a la profesión.

24



Artículo 8°.-‐ El profesional debe respetar en todo momento los derechos humanos
de
su cliente, colegas y sociedad en general.
Artículo 9°.-‐ El profesional debe prestar sus servicios al margen de cualquier
tendencia xenofóbica, racial, elitista, sexista, religiosa o política.
Artículo 10° -‐ El profesional debe ofrecer sus servicios profesionales de acuerdo a
su capacidad científica y técnica.
Artículo 11°.-‐ El profesional debe observar puntualidad y oportunidad en todos los
asuntos relativos al ejercicio profesional.

Artículo 12°.-‐ El profesional al emitir una opinión o juicio profesional en cualquier
situación y ante cualquier autoridad o persona, debe ser imparcial, ajustarse a la
realidad y comprobar los hechos con evidencias.

Artículo 13°.-‐ El profesional deberá evaluar todo trabajo profesional realizando
desde una perspectiva objetiva y crítica.

Deberes para con los Colegas
Artículo 14°.-‐ El profesional debe dar crédito a sus colegas, asesores y subordinados
por la intervención de éstos en los asuntos, investigaciones y trabajos elaborados
en conjunto.

Artículo 15°.-‐ El profesional debe repartir de manera justa y equitativa los frutos
del trabajo realizando en colaboración con sus colegas, asesores y subordinados,
apoyando en la medida de los posible su desarrollo profesional.

Artículo 16°.-‐ El profesional debe respetar la opinión de sus colegas y cuando haya
oposición de ideas deberán consultar fuentes de información fidedignas y actuales
y buscar asesoría con expertos reconocidos en la materia de que se trate.

Artículo 17°.-‐ El profesional debe mantener una relación de respeto y colaboración
con sus colegas, asesores, subordinados y otros profesionales que eviten lesionar el
buen nombre y el prestigio de éstos ante autoridades, clientes, profesionistas y
cualquier otra persona.

Artículo 18°.-‐ El profesional debe abstenerse de intervenir en los asuntos donde
otro profesional esté prestando sus servicios, salvo que el cliente y el otro
profesional le autoricen para tal efecto, evitando con ello la competencia desleal.

25



Artículo 19.-‐ El profesional debe intervenir en favor de sus colegas en el caso de
injusticia.

Artículo 20°.-‐ El profesional debe apoyar a sus colegas en situaciones manifiestas
cuando su conocimiento profesional sea limitado.

Deberes para con los Usuarios o Clientes

Artículo 21°.-‐ El profesional debe limitarse a mantener una relación profesional con
sus clientes.

Artículo 22°.-‐ El profesional debe ser honesto, leal y conducirse con verdad ante su
cliente en todo momento, salvaguardar los intereses del mismo, y deberá además
comunicarle los riesgos cuando existan, en atención a su servicio.

Artículo 23°.-‐ Con respecto al principio de la voluntad de las partes, el profesional
debe cobrar sus honorarios en razón a la proporcionalidad, importancia, tiempo y
grado de especialización requerido para los resultados que el caso particular
requiera.

Artículo 24°.-‐ El profesional debe renunciar al cobro de sus honorarios, y en su caso
devolverlos, si los trabajos que realizó no fueron elaborados en concordancia con lo
requerido en el caso particular de que se trate o el profesional haya incurrido en
negligencia, incumplimiento o error profesional.

Artículo 25°.-‐ El profesional al reconocer su mal servicio ante su cliente, debe
advertir las consecuencias.

Artículo 26°.-‐ El profesional debe realizar los ajustes necesarios por su servicio
ineficiente, sin cobro adicional.

Artículo 27°.-‐ El profesional debe anteponer sus servicios profesionales sobre
cualquier otra actividad personal.

Deberes para con la Profesión
Artículo 28°.-‐ El profesional debe mantenerse actualizado de los avances científicos
y tecnológicos de su materia a lo largo de su vida para brindar un servicio de
calidad total.

26



Artículo 29°.-‐ El profesional debe transmitir sus
conocimientos y experiencia a
estudiantes
y egresados de su profesión, con objetividad y en el más alto apego a la
verdad del campo de conocimiento actualizado del que se trate.
Artículo 30°.-‐ El profesional debe dignificar su profesión mediante el buen
desempeño del ejercicio profesional y el reconocimiento que haga a los maestros
que le transmitieron los conocimientos y experiencia.

Artículo 31°.-‐ El profesional debe contribuir al desarrollo de su profesión mediante
la investigación profesional, realizada con apego a normas metodológicas
científicas y la docencia.

Artículo 32°.-‐ En las investigaciones realizadas, el profesional debe expresar las
conclusiones en su exacta magnitud y en estricto apego a las normas
metodológicas acordes con el tipo de estudio.

Artículo 33°.-‐ El profesional debe poner en alto el prestigio de su profesión en todo
lugar y momento.

Deberes para con la sociedad Inmediata
Artículo 34°.-‐ El profesional debe prestar el servicio social profesional por

convicción solidaria y conciencia social.
Artículo 35°.-‐ El profesional debe dar servicio a los indigentes o a cualquier persona
económicamente desprotegida cuando así se lo soliciten.
Artículo 36°.-‐ El profesional debe ser respetuoso de las tradiciones, costumbres y

cultura de los diversos grupos que conforman a la nación.
Artículo 37°.-‐ El profesional debe poner a disposición del gobierno sus servicios
profesionales cuando ocurran circunstancias de emergencia.
Artículo 38°.-‐ El profesional debe servir como auxiliar de las instituciones de

investigación científica, proporcionando a éstas los documentos o informes que se
requieran.
Artículo 39°.-‐ El profesional debe participar activamente en su entorno social

difundiendo la cultura y valores nacionales.

27



Artículo 40°.-‐ El profesional debe buscar el equilibrio entre los distintos aspectos
del
desarrollo humano y la conservación de los recursos naturales y el medio
ambiente, atendiendo a los derechos de las generaciones futuras.
Artículo 41°.-‐ El profesional debe procurar su desempeño y desarrollo profesional
en las localidades donde más puede contribuir con sus conocimientos al desarrollo
nacional.
Deberes para con el Entorno y el Mundo

Actualmente el tema de la ética se ha ligado a los aspectos referentes a la
naturaleza y al medioambiente, las cuestiones de la relación entre el ser y el deber,
la causa y el fin, la naturaleza y el valor, que son del dominio de la ética, han estado
circunscritas a una esfera en donde ha quedado excluido el tema del
medioambiente, solo hasta las dos décadas anteriores éste tema ha pasado a tener
una preocupación ética.

Desde mediados del siglo XX, con la capacidad del hombre de romper la relación
constante del hombre con la naturaleza, mediante el desarrollo científico-‐
tecnológico, ha modificado sensiblemente el panorama, y es así como las
intervenciones del hombre en la naturaleza, eran esencialmente superficiales e
incapaces de dañar su permanente equilibrio. Ahora las cosas han cambiado, el
dominio tradicional de la ética estaba circunscrito a la relación entre los hombres,
en la ciudad, pero la vida humana transcurría entre lo permanente y lo cambiante:
lo permanente era la naturaleza; lo cambiante, sus propias obras siendo una de las
más grandes la ciudad, a la que pudo otorgar cierta permanencia con las leyes que
para ella ideó y que se propuso respetar.

La naturaleza no era objeto de la responsabilidad humana porque ella era capaz de
cuidarse a si misma y también del hombre, frente a ella no se hacía uso de la ética,
sino de la inteligencia y de la capacidad de invención, en razón a que toda la ética
nos ha sido transmitida en el marco de las ciudades. Ahora se puede evidenciar que
la naturaleza es vulnerable, y el desarrollo científico-‐tecnológico moderno lo ha
demostrado y es reconocible en los daños causados, en este sentido, la capacidad
de daño sobre la naturaleza, hace considerar la importancia del saber previo, como
principio de cautela frente a las acciones que se tomen, ya que la ética actual debe
tener en cuenta las condiciones globales de la vida humana y el futuro remoto, ya
que de ello depende la existencia misma de la especie.

28



La biosfera en su conjunto y en sus partes, se encuentra ahora sometida al poder
del hombre convietiéndose en un bien encomendado a nuestra tutela planteando

una exigencia moral, en razón de nosotros, y también en razón de ella y por su
derecho propio. Aquí aplica el principio de responsabilidad, como el elemento de
base para considerar una nueva ética, pues ya no se trata de que los hombres
hagan las cosas con la diligencia del deber cumplido sino también teniendo en
cuenta la existencia de la naturaleza, y las acciones incluyen al presente y al futuro.

Lo anterior exige una nueva clase de imperativos éticos, en principio, la moral
tendrá que invadir la esfera de la producción económica, y habrá de hacerlo en la
forma de política pública. En síntesis, la ética que tiene que ver con el
medioambiente, es la ética de la responsabilidad, es una responsabilidad con
nosotros mismos y con el futuro de las nuevas generaciones.

29



UNIDAD 1: ÉTICA

CAPITULO 2: DEONTOLOGÍA INFORMÁTICA
Introducción
Lección 6: Deontología Informática
La Deontología informática hace referencia a la ciencia o tratado de los deberes y
normas éticas, en especial si conciernen al profesional de una rama determinada,
más aún a los profesionales que a diario están en contacto con la tecnología y los
medios masivos de comunicación como internet. Sucede así porque al navegar por
internet, se debe respetar ciertas leyes para el bienestar de todos, o el uso de los
computadores para diseñar, analizar, soportar y controlar las aplicaciones que
protegen y guían las vidas de las personas en la sociedad.
Según la Real Academia de la Lengua, la deontología es la ciencia o tratado de los
deberes y normas morales, puesto que tiene que ver con el comportamiento moral
o ético, es decir, con los principios y normas morales que regulan las actividades
humanas, en esta definición, la deontologia informática trata de la moral o etica
profesional en el manejo de los activos informáticos de la organización y en
especial del activo más preciado que es la información.
Históricamente, los profesionales de la informática no han sido involucrados en

cuestiones de ética, pero en la actualidad las especialidades de la informática han
abierto campo a grupos dedicados a vulnerar la seguridad en los sistemas de
cómputo de las organizaciones con fines delictivos o de protección. De cualquier
modo, cuando se considera que los computadores influyen, directa e
indirectamente, en la calidad de vida de millones de individuos se comprende que
es un tema de gran importancia.
El uso de sistemas informáticos es más frecuente en la sociedad y puede tener

efectos inimaginables, por eso la deontología informática cada vez evoluciona al
ritmo que imponen los cambios tecnológicos, en este sentido la evolución más

30



profunda estará dirigida en el futuro hacia problemas de seguridad en general y en
seguridad
informática específicamente.
Un tipo de conducta delictiva y poco etica es la instrucción por medios

informaticos, aunque de esta no resulte ningún daño obvio, esta atividad es
considerada como inmoral, incluso si el resultado es una mejora de seguridad,
aunque existen multitud de posibles razones para justificarla.
Lección 7: Ética de la información
La definición de la ética de la información se remonta a la década de 1970 cuando
los computadores comenzaron a utilizarse como herramientas para el
procesamiento de la información científico-‐ técnica, donde surgieron interrogantes
con respecto al manejo y accesibilidad a los documentos que estaban localizados
en bases de datos de tipo bibliógraficas, posteriormente el concepto fue ampliado
con el uso masivo de la red de Internet y los problemas éticos generados.
En la actualidad la ética de la información comprende aspectos relacionados con el

proceso de la digitalización, la comunicación de resultados y el uso adecuado de la
información generada, también trata todo lo relacionado con el uso de la
información, en aspectos tales como la propiedad intelectual, el acceso a la
información, la censura, el uso de información de instituciones gubernamentales, la
intimidad y confidencialidad, la integridad de datos, entre otros.
La ética de la información es una disciplina descrita dentro de lo filosófico y lo

científico, que se circunscribe en los nuevos desafíos éticos y morales
representados por la revolución digital, de las tecnologías y de las comunicaciones,
esta ética trata de mantener los principios morales que guian los procedimientos
para resolver los problemas y no los problemas en si mismos, ya que las normas,

31



códigos profesionales de conducta y la legislación están basadas en la ética
filosófica.

La ética de la información abarca dos aspectos importantes, el primero que trata

sobre los problemas conceptuales que surgen por la aplicación de teorías,
conceptos y normas preexistentes tradicionales; el segundo que se ocupa del
campo de la moral, la deontología del estado moral de la entidad información, la
metodología ética, el papel de la información en el razonamiento moral, la
epistemología moral y las decisiones en los contextos dominados por las nuevas
tecnologías y de la responsabilidad.
Las leyes morales de la ética de la información que garantizan el bienestar de cada

entidad informativa y la infosfera son cuatro, la primera menciona que nunca debe
haber entropía en la infosfera, la segunda que debe prevenirse la entropía en la
infosfera, la tercera enuncia que se debe eliminar la entropía en la infosfera y la
cuarta que debe garantizar el bienestar, la cantidad, calidad y variedad de la
información en la infosfera. Estas leyes guían a las personas, como agentes
responsables en la sociedad de la información.
Los principios de la ética de la información son la uniformidad, la reflexividad de los
procesos de información, la inevitabilidad de los procesos de información, la
uniformidad del ser, la uniformidad de agencia, la uniformidad de no ser, y la
uniformidad del ambiente, a continuación se explica brevemente en que consiste
cada uno de estos principios:
La Uniformidad, todo se procesa, se trata el funcionamiento, cambios, acciones y
eventos como procesos de información, pero el proceso no se toma como tal, sino
que se resalta lo más relevante de la actividad.
La Reflexividad de los Procesos de Información, enuncia que cualquier proceso de

información necesariamente genera y es responsable de la información.

32



La Inevitabilidad de Procesos de Información, la ausencia de información también
es
un proceso de información.
La Uniformidad de Ser, una entidad es un paquete consistente de información que
puede nombrarse y la ética trata cada entidad como una entidad de información.
La Uniformidad de Agencia, un agente es cualquier entidad, capaz de definir

fenómenos, para la producción de información y que puede afectar a la infosfera.
La Uniformidad de no Ser, que es la ausencia o negación de cualquier información

o lo que se denomina entropía de información.
La Uniformidad del Ambiente, la infosfera es el ambiente constituido por la

totalidad de las entidades, incluyendo agentes, procesos, sus conveniencias y sus
relaciones.
El ambiente posee algunas propiedades dentro de las cuales están: la consistencia,

la implementabilidad, la ocurrencia, la persistencia, la estabilidad, la seguridad, la
confidencialidad, la integridad, la exactitud, la autenticidad y fiabilidad.
La ética de la información debe satisfacer cuatro propiedades para lograr sus

objetivos, estas son la estabilidad, la modularidad, la rigurosidad y la entereza.
La Estabilidad, la evolución de la tecnología ha significado una expansión rápida del
ciberespacio, la sustitución de actividades realizadas por los humanos, ahora
realizadas por computadores o sistemas expertos, y el impacto de las tecnologías
de información y comunicaciones directamente es sobre los seres humanos.
Modularidad, la ética se apoya en el razonamiento modular e incremental, los

sistemas de información y los componentes del ciberespacio son productos
complejos de ingeniería por lo tanto, se debe modular éste.
Rigurosidad, establecimiento de una teoría ética basada en un razonamiento

riguroso.
Entereza, debe haber un lugar en la ética de la información para la codificación de
los valores, y permitir un análisis reflexivo para el estudio de casos típicos, ser
legítima, excluir la trivialidad, ya que cada declaración se juzga para ser verdad.

33



ética de la información mejora la comprensión de los hechos morales, mantiene
La
el sentido de valor, la rectitud y las equivocaciones en las acciones humanas más

tangibles y explicables, no solamente en nuestra vida personal sino también en las
organizaciones. Además proporciona una mejor visión y discernimiento no solo de
los problemas morales en su propio campo, sino también, de los fenómenos
conceptuales y morales que forman el discurso ético, ampliando la perspectiva a la
información y a su espacio lógico.
Lección 8: Códigos Deontológicos de la Tecnología Informática
Existen códigos y normas éticas para el uso de las tecnologías de información y

comunicación los cuales dependen de la organización, empresa o institución, en
este sentido, las asociaciones de profesionales de informática, y algunas
organizaciones y empresas relacionadas, han desarrollado códigos de conducta
profesional, dentro de ellas las más conocidas a nivel internacional son la ACM y la
IEEE.
Las funciones de los códigos se mencionan a continuación:
- Los usuarios de los recursos computacionales o de comunicación tienen la
responsabilidad de usarlos de manera ética, profesional y con apego a la ley.

- Las normas éticas para una profesión, exigen al profesional no solo la

responsabilidad sobre los aspectos técnicos del producto, sino también de
las consecuencias económicas, sociológicas y culturales del mismo.

- La velocidad del desarrollo de las tecnologías de la información hacen que
los códigos o normas éticas sirvan de ayuda a los cuerpos legislativos,
administrativos y judiciales como un instrumento flexible o como
suplemento a las medidas legales y políticas que en general se aprueban en
un periodo de tiempo muy largo y están en desfase con el avance de las
TIC’s.

34



- Las normas éticas sirven para hacer al usuario consciente de los problemas y
estimula un debate para designar responsabilidades.

- Las normas tienen una función sociológica, ya que dan una identidad a los
actores informáticos como grupo que piensa de una determinada manera,
por eso es símbolo de sus estatus profesional y parte de su definición como
profesionales.

- Estas normas sirven también como fuente de evaluación pública de una
profesión y son una llamada a la responsabilidad que permiten que la
sociedad sepa que pasa en esa profesión.
- Estas normas permiten armonizar legislaciones o criterios divergentes
existentes en países individuales.

Estas asociaciones agrupan a los profesionales, pero se las critica porque hacen
poco por hacer cumplir estos códigos, por imponer sanciones si no se cumplen, por
comprobar si se aplican, si son relevantes o pertinentes. Generalmente también
faltan medidas disciplinares, necesarias cuando las actividades de un miembro
están en conflicto con el espíritu del código, algunos de los códigos son el fruto del
pensamiento tecnológico de los países desarrollados que no tienen en cuenta
diferencias en valores sociales y culturales.
En general los códigos no atienden a los grandes temas éticos de justicia a que se
enfrenta nuestro tiempo como la desigualdad económica, desempleo, pobreza,
racismo, entre otros. La relación de estos problemas con las tecnologías de la
información no es directa, ni unívoca, ni de una forma en la que haya un concenso
global pero al menos si se admite que los computadores y las telecomunicaciones
siendo parte de la vida cotidiana pueden y deben aportar algo en los problemas.
En la sociedad actual, los técnicos están reflexionando sobre las consecuencias de
su trabajo, y en la mayoría de casos son los profesionales en informática los que
tratan en profundidad la naturaleza de los sistemas informáticos, los sistemas de
seguridad, los posibles daños por el mal uso del sistema y la verdadera intención de
los usuarios. Para evitar confusiones sobre la relación entre la profesión y la
sociedad, hay que responder convenientemente a qué fin o bien sirve el

35



profesional informático, cómo es el proceso de toma de decisiones en la relaciones
entre
su profesión y sus obligaciones en la sociedad.
Los códigos éticos son un paso importante en la concientización de las sociedades y
organizaciones que quieren mejorar situaciones en las que los impactos sociales del
desarrollo tecnológico no se tienen en cuenta, además los códigos sirven como guía
de las prácticas sociales aceptadas en el uso de las TIC’s y la información, en cuanto
a su manejo, procesamiento y seguridad.
Lección 9: El Código de Ética y de Conducta Profesional de la ACM
El Código incluye 24 preceptos expresados como declaraciones de responsabilidad

personal, identifica los elementos de tal compromiso, al mismo tiempo trata
muchos de los aspectos que los profesionales probablemente afrontarán en el
futuro.
La primera parte incluye las consideraciones éticas fundamentales, la segunda

parte trata reflexiones sobre la conducta profesional la tercera parte corresponde a
personas que tengan una función de liderazgo, y la cuarta parte trata los principios
que involucran conformidad con este código.
El código se complementa con una serie de Guías, que proporcionan explicaciones
para ayudar a los miembros a tratar los diferentes temas contenidos en el mismo,
estos tienen la finalidad de servir como base para la toma de decisiones éticas en el
comportamiento profesional, y también pueden servir como base para juzgar las
circunstancias de una queja formal relacionada con la vulneración de los
estándares de ética profesional.
Aunque no se menciona a la informática en la sección de preceptos morales, el

código se interesa en cómo estos mandatos fundamentales se aplican al
comportamiento individual como profesional de la informática, los mandatos se
expresan de una manera general para evidenciar que los principios que se aplican a
la ética informática se derivan de principios éticos más generales.

36



Dentro de los preceptos del código de la ACM
están los relacionados con los
preceptos
morales generales, los de las responsabilidades profesionales más
específicas, los de las obligaciones de liderazgo organizativo, y los preceptos de
conformidad con el código.
Tabla 1: Preceptos morales del Código ACM
Preceptos Morales Descripción

Contribuir al bienestar Este principio se refiere a la calidad de vida de todas las
de la sociedad y de la personas, declara una obligación para proteger los
humanidad derechos humanos fundamentales y respetar la
diversidad de todas las culturas. Uno de los objetivos
esenciales de los profesionales de la informática es
minimizar las consecuencias negativas de los sistemas
informáticos, incluyendo las amenazas a la salud y a la
seguridad, incluye una responsabilidad social y con el
medio ambiente seguro.
Evitar Daños a Otros Los daños hacen referencia al perjuicio causado por
pérdida de información, pérdida de propiedad, daño a la
propiedad, o efectos medioambientales no deseados, por
eso se prohíbe el uso de la tecnología informática de
manera que resulten dañinas a usuarios, público en
general, empleados y empresarios. Tambien se considera
la destrucción intencional o modificación de archivos y
programas que conlleven una grave pérdida de recursos
humanos como de tiempo y esfuerzo requerido para
limpiar los sistemas de virus informáticos.
Ser Honesto y La honestidad es un componente esencial de la
Confiable confianza, sin confianza una organización no puede
funcionar con efectividad, en este sentido, el informático
honesto no hará declaraciones falsas o engañosas acerca
de un sistema o diseño del mismo, y debe proporcionar
una completa exposición de todas las limitaciones y
problemas pertinentes del sistema, además el
profesional informático debe ser honesto acerca de sus

37



propias cualificaciones, y de cualquier otra circunstancia
que pueda generar conflictos de interés.
Ser Justo y Actuar para Los valores de igualdad, tolerancia, respeto a los demás y
no Discriminar los principios justicia equitativa gobiernan este mandato,
la discriminación fundada en la raza, sexo, religión, edad,
discapacidad, nacionalidad, u otros factores es una
violación expresa de la política de la ACM y no se
tolerará. Sin embargo, estos ideales no justifican el uso
no autorizado de recursos informáticos, ni proporcionan
una base adecuada para transgredir cualquier otro
mandato ético de este código.
Respetar los derechos La vulneración de los derechos de autor, patentes,
de Propiedad, secretos comerciales y compromisos de las licencias está
Incluyendo las prohibido por la ley casi siempre, incluso si el software no
Patentes y Derechos está protegido, estas violaciones son contrarias al
de Autor comportamiento profesional.
Reconocer Los profesionales informáticos están obligados a proteger
adecuadamente la la integridad de la propiedad intelectual, por eso una
Propiedad Intelectual persona no debe atribuirse el mérito del trabajo o ideas
de otros, incluso en los casos en los que no han sido
explícitamente protegidos, por ejemplo con derechos de
autor o patente.
Respetar la Intimidad La tecnología informática y de comunicaciones permite
de Otros recolectar e intercambiar información personal a escala
no conocida en la historia de la civilización, por lo cual
existe un creciente potencial para la violación de la
intimidad de los individuos y de los grupos. Es
responsabilidad de los profesionales el mantener la
confidencialidad e intimidad de los datos pertenecientes
a las personas, inclyendo el tomar precauciones para
garantizar la corrección de los datos, así como
protegerlos de accesos no autorizados, o accidentales, a
las personas no autorizadas.
Respetar la El principio de honestidad se extiende a las cuestiones de
confidencialidad confidencialidad de la información siempre que se haya

38



realizado un compromiso explícito de respetar esa
confidencialidad o, implícitamente, cuando se disponga
de información privada no relacionada directamente con
las obligaciones asignadas. La preocupación ética es la de
respetar todas las obligaciones de confidencialidad con
los empresarios, clientes y usuarios a menos que se esté
libre de tales obligaciones por la ley o por otros principios
de este código.
Fuente: Esta investigación
Tabla 2: Responsabilidades Profesionales según Código ACM
Responsabilidades Descripción
profesionales
Esforzarse para La excelencia es quizá la obligación más importante de un
Alcanzar Mayor profesional, ya que el profesional de la informática debe
Calidad, Efectividad y esforzarse para conseguir calidad y ser consciente de las
Dignidad en los graves consecuencias negativas que pueden resultar de la
Procesos y Productos pobre calidad de un sistema.
del Trabajo Profesional
Adquirir y Mantener la La excelencia depende de los individuos que asumen la
Capacitación responsabilidad de conseguir y mantener su competencia
Profesional profesional, ya que un profesional debe participar en la
definición de los estándares para los diferentes niveles de
capacitación, y debe esforzarse para alcanzarlos. La
actualización del conocimiento técnico y la aptitud
profesional se pueden conseguir de diferentes maneras:
mediante estudio individual, asistiendo a seminarios,
conferencias o cursos, e involucrándose en organizaciones
profesionales.
Conocer y Respetar las Los profesionales deben obedecer las leyes nacionales e
Leyes Existentes internacionales a menos que haya una motivación ética
Relacionadas con el convincente para no hacerlo, además se deben obedecer
Trabajo Profesional las políticas y procedimientos de las organizaciones en las

39



que uno participa. Si se decide eludir una regla o ley
porque parece no ética, o por cualquier otro motivo, se
deben aceptar la responsabilidad por las acciones
tomadas y sus consecuencias completamente.
Aceptar y Proporcionar El trabajo profesional de calidad, especialmente en
la Adecuada Revisión informática, depende de la crítica y revisión profesional,
Profesional se debe buscar y utilizar revisiones detalladas, y
proporcionar revisiones críticas del trabajo de otros.
Proporcionar Los profesionales de la informática deben esforzarse en
evaluaciones ser perceptivos, meticulosos y objetivos cuando evalúen,
completas de los recomienden y presenten descripciones de sistemas y sus
Sistemas Informáticos, alternativas ya que tienen la responsabilidad especial de
Incluyendo el Análisis proporcionar evaluaciones objetivas y creíbles a los
de Riesgos superiores, clientes, usuarios y público en general.
Respetar los contratos, Respetar las obligaciones contraídas es una cuestión de
acuerdos y las integridad y honestidad, incluyendo el garantizar que los
responsabilidades elementos del sistema funcionan tal como se esperaba.
Asignadas Un profesional de la informática tiene la responsabilidad
de solicitar un cambio en cualquier asignación que prevea
no poder terminar tal como se había definido. Sólo debe
aceptarse una tarea después de una cuidadosa
consideración y un completo examen de los riesgos y
peligros para el contratante o cliente.
Mejorar la Los informáticos tienen la responsabilidad de compartir su
comprensión por la conocimiento con la sociedad, promoviendo la
comunidad de la comprensión de la informática, incluyendo los impactos
informática y sus de los sistemas informáticos y sus limitaciones, lo que
consecuencias obliga a contrarrestar cualquier opinión equivocada sobre
la informática.
Acceder a los Recursos Este mandato se refiere a introducirse y utilizar sin
de Comunicación e permiso un sistema informático o de comunicaciones.
Informática sólo Introducirse incluye acceder a las redes de computadores
cuando se esté y a los sistemas informáticos, o a cuentas y archivos
Autorizado a Hacerlo asociados con esos sistemas, sin autorización explícita
para hacerlo.

40




Tabla 3: Obligaciones de Liderazgo Organizativo Según Código ACM
Obligaciones de Descripción
liderazgo organizativo
Articular las Puesto que todo tipo de organizaciones tienen impactos
Responsabilidades en la comunidad, deben aceptar responsabilidades con la
Sociales de los sociedad. Los procedimientos organizativos y las actitudes
Miembros de una orientadas hacia la calidad y el bienestar social, reducirán
Unidad Organizativa y el daño a los individuos, sirviendo por consiguiente al
Fomentar la interés público y cumpliendo la responsabilidad social. Por
Aceptación de esas tanto, la dirección de la organización debe promover el
Responsabilidades completo cumplimiento tanto de las responsabilidades
sociales como de la calidad del rendimiento.
Gestionar La dirección de la organización es responsable de
Personal y Recursos garantizar que los sistemas informáticos mejoran, y no
para Diseñar y degradan, la calidad de la vida laboral. Cuando se instale
Construir Sistemas de un sistema informático, las organizaciones deben
Información que considerar el desarrollo personal y profesional, la
Mejoren la Calidad, seguridad física y la dignidad humana de todos los
Efectividad y Dignidad trabajadores.
de la Vida Laboral
Reconocer y Apoyar el Puesto que los sistemas informáticos pueden convertirse
Uso Adecuado y en herramientas tan dañinas como beneficiosas para una
Autorizado de los organización, la dirección tiene la responsabilidad de
Recursos Informáticos definir claramente los usos adecuados e inadecuados de
y de Comunicaciones sus recursos informáticos.
de la Organización
Garantizar que los Las necesidades de los usuarios actuales del sistema, los
Usuarios Afectados por potenciales y aquellas personas cuyas vidas pueden verse
el Sistema Informático afectadas por el mismo, deben ser evaluadas e
han Articulado incorporadas en los documentos de requisitos, la
Claramente sus validación del sistema debe garantizar el cumplimiento de
Necesidades Durante esos requisitos.

41



la Evaluación y el
Diseño
de los
Requisitos, después el
Sistema debe ser
Validado para Cumplir
los Requisitos
Articular y Apoyar las No es aceptable éticamente diseñar o instalar sistemas
Políticas que Protegen que inadvertida o deliberadamente desprestigien
la Dignidad de los personas o grupos. Los profesionales informáticos que
Usuarios y de Quienes están en posiciones de toma de decisiones deben verificar
se Vean Afectados por que los sistemas se diseñan e instalan para proteger la
el Sistema Informático confidencialidad individual y para mejorar la dignidad
personal.
Crear Condiciones para Las oportunidades educativas son esenciales para facilitar
que los Miembros de la la óptima participación de todos los miembros de la
Organización Aprendan organización, las oportunidades deben estar abiertas a
los Principios y todos los miembros para ayudarles a mejorar su
Limitaciones de los conocimiento y capacidades en informática, incluyendo
Sistemas Informáticos cursos que los familiaricen con las consecuencias y
limitaciones de sistemas concretos.
Estos son las secciones principales que describen el código de ética de la ACM y
que se encuentra vigente para los que están afiliados a dicha organización, se
puede encontrar el código completo en la dirección electrónica de la ACM,
http://www.acm.org.
Lección 10: Normas del Código de la Comisión Deontológica del COEInf
A.Profesional o empresa ante la sociedad
A.1.-‐ Hacer prevalecer los intereses generales a los intereses particulares.

42



A.2.-‐ Velar porque el uso, aplicación de la aplicación de la informática favorezca la
mejora y el progreso de las personas, las sociedades y la relación entre ellas y su

entorno.
A.3.-‐Promover los principios de reducir, reutilizar y reciclar en referencia con la

informática.
A.4.-‐Promover la accesibilidad de la informática por todos los niveles y estamentos

de la sociedad.
A.5.-‐Promover el código en la Sociedad, para que se conozcan y respeten los

códigos deontológicos que sean de aplicación y sus principios generales.
A.6.-‐La empresa, o profesional independiente, deberá informarse sobre el

comportamiento deontológico de sus proveedores, clientes y de otros
interlocutores y priorizará aquéllos que cumplan este código
A.7.-‐ Se velará para qué el entorno del trabajo no se infrinja la legalidad vigente, en
especial, las leyes que afecten el ejercicio de la profesión, se respeten los derechos
humanos y se aplique el código deontológico que corresponda.
A.8.-‐Colaborar en la identificación y conocimiento público de las buenas y malas

prácticas en la informática.
A.9.-‐Denunciar públicamente si se detecta que el producto o servicio puede violar
de modo flagrante los derechos humanos, la legislación y/o el código.
A.10.-‐Guardar el secreto profesional y la información confidencial de la que se

pueda disponer, se deberán tomar las medidas necesarias para evitar que pueda
ser revelada a terceros no autorizados, ni accidental ni voluntariamente.
A.11.-‐Ser un ejemplo en el uso de la informática respetando los derechos de autor
y denunciando el incumplimiento, evitando en todo momento la piratería del
software.
A.12.-‐Promover las asociaciones entre todos los profesionales del sector, y en

particular la de los ingenieros en informática.
A.13.-‐Trabajar en equipo, ayudar y enseñar a los otros a hacer mejor su trabajo.

43



A.14.-‐Practicar y fomentar la colaboración profesional, evitando el egoísmo
profesional.

A.15.-‐Ofrecer una crítica constructiva cuando los resultados no sean los esperados
y expresar la satisfacción por el trabajo bien hecho.
A.16.-‐Considerar con respeto todas las profesiones.
A.17.-‐A la hora de ofrecer sus opiniones profesionales, se expresará con la claridad

y lenguaje más apropiado a sus interlocutores.
A.18.-‐No se ofrecerán opiniones profesionales en aquellos temas en que no se

sienta debidamente cualificado.
A.19.-‐Ser objetivo, veraz, preciso e imparcial en las actuaciones y opiniones

profesionales.
A.20.-‐Informar de todos los efectos, tanto de los positivos como de los negativos,
que tiene la implantación de un producto o servicio relacionado con la informática.
B.Profesional o empresa ante el cliente
B.1.-‐Estar al corriente de las leyes relacionadas con la Informática y promover su

conocimiento y cumplimiento por parte del cliente.
B.2.-‐Mantener confidencialidad con respecto a la información extraída de su

relación, excepto si es para el mismo cliente, para uso interno o estadístico,
siempre y cuando no se vulneren las voluntades expresadas por el cliente.
B.3.-‐Respetar los derechos de autor de los productos o servicios residentes en los
equipos informáticos del cliente.
B.4.-‐Denunciar aquellas actividades y prácticas llevadas a cabo por el cliente que no
se ajusten al código de deontología.
B.5.-‐Presuponer la integridad de la empresa cliente, si no hay elementos

contrastados que indiquen lo contrario.

44



B.6.-‐Cumplir los compromisos adquiridos con el
cliente, de modo diligente y
aplicando
las metodologías adecuadas en cada caso.
B.7.-‐Hacerse responsable de las propias decisiones y de sus consecuencias.
B.8.-‐No querer vender aquello que el cliente no necesita o no se adecua a sus

necesidades.
B.9.-‐Aconsejar al cliente de modo objetivo sin anteponer intereses propios.
B.10.-‐Informar de la necesidad de formación sobre los servicios o productos

ofrecidos y facilitarla si la empresa cliente lo solicita.
B.11.-‐Actuar desinteresadamente a la hora de valorar y contratar ofertas en

nombre del cliente, pensando en criterios de negocio y de ética profesional,
valorando la calidad y metodología de las soluciones ofrecidas.
B.12.-‐Ofrecer precios justos por productos o servicios que se presenten a la

empresa cliente.
B.13.-‐No excederse de presupuestos ya pactados si no es por causa justificada.
B.14.-‐No infringir castigo o coacción al prestar servicios o productos presentes o

futuros, necesarios para la empresa cliente, aprovechándose de posiciones
dominantes.
B.15.-‐Establecer contratos claros, de compra-‐venta o de prestación de servicios,

que faciliten el entendimiento entre el cliente y el proveedor.
B.16.-‐Ser objetivo y veraz sobre la experiencia profesional de los miembros del

equipo de trabajo ofrecidos al cliente.
B.17.-‐Facilitar un entorno de trabajo correcto a los trabajadores de la empresa

cliente, al mismo nivel que los trabajadores de la propia empresa cuando el cliente
se desplace a las instalaciones del proveedor.
B.18.-‐Tener respeto profesional por las opiniones o actitudes expresadas por los
trabajadores de la empresa cliente.

45



B.19.-‐No discriminar a un trabajador o grupo de trabajadores de una empresa
cliente.

B.20.-‐Ser objetivo a la hora de evaluar el grado de dedicación de los empleados de

la empresa cliente.
B.21.-‐No interponerse de modo desleal en la trayectoria profesional de los

trabajadores de la empresa cliente.
B.22.-‐No utilizar recursos con finalidades diferentes a las indicadas por la relación
contractual entre proveedor y cliente.
C. Profesional, trabajador o gestor, ante su empresa
C.1.-‐Velar por el cumplimiento y conocimiento de las leyes relacionadas con la
Informática por parte de la empresa.
C.2.-‐En el supuesto que la empresa no esté cumpliendo el código deontológico,

denunciarlo.
C.3.-‐Denunciar ante la empresa las actividades y prácticas consideradas no éticas

tanto por lo que respecta a la ejecución de proyectos como en las relaciones
interpersonales.
C.4.-‐Escuchar y considerar las opiniones de la empresa.
C.5.-‐Estar enterado de las directrices y normas de la empresa y aplicarlas cuando

convenga.
C.6.-‐ Considerar de modo imparcial todas las alternativas a la hora de tomar

decisiones organizativas o de proyectos, y a todas las personas teniendo en cuenta
también las necesidades de la empresa.
C.7.-‐Hacer prevalecer los intereses legítimos del equipo o de la empresa ante los
intereses personales.

46



C.8.-‐No utilizar recursos con finalidades diferentes a las indicadas legítimamente
por
la empresa.
C.9.-‐Hacer buen uso de los recursos proporcionados por la empresa para el

cumplimiento de las tareas.
C.10.-‐Hacer un buen uso del nombre de la empresa.
C.11.-‐No difundir información sensible o confidencial, relativa a la propia empresa

o a los compañeros.
C.12.-‐Respetar los derechos de autor, no utilizar trabajo o productos de terceros

sin hacer el debido reconocimiento y obtener la correspondiente autorización.
C.13.-‐Participar en cursos de formación ofrecidos por la empresa que puedan ser

necesarios para el buen desarrollo de la actividad profesional.
C.14.-‐Solicitar a la empresa la necesidad de realizar cursos de formación, con

respecto a los proyectos que se desarrollan.
C.15.-‐Seguir las directrices y metodologías indicadas por la empresa.
C.16.-‐Tomarse el tiempo justo y necesario en el cumplimiento y valoración de las
tareas asignadas teniendo presente criterios de calidad.
C.17.-‐Documentar el trabajo hecho de la forma que indique la empresa, utilizando
un lenguaje de fácil comprensión.
C.18.-‐Responsabilizarse de la calidad del trabajo hecho o gestionado, alertando de
las problemáticas presentes o futuras que se puedan producir.
C.19.-‐Dar siempre la opinión cuando se considere que se pueda ayudar a la

empresa a mejorar su funcionamiento.
C.20.-‐Si se dispone de información lícita y útil para la empresa, difundirla

libremente.
C.21.-‐Promover la contratación de ingenieros en Informática.
C.22.-‐Difundir la existencia de la organización y dar a conocerla ante la empresa.

47



D. Profesional ante su compañero de profesión
D.1.-‐En ningún caso un profesional intentará influir en decisiones o actuaciones de
compañeros para que le beneficien, anteponiéndose al bien común.
D.2.-‐Todo profesional tendrá que promover y facilitar el buen uso de la informática
entre sus compañeros, velando especialmente por el buen aprovechamiento de
recursos.
D.3.-‐Evitar el uso de códigos personales o lenguaje confuso o incomprensible para
los compañeros en todas aquellas tareas que sean o puedan ser comunes.
D.4.-‐No difundir a terceros informaciones falsas o de ámbito no estrictamente

profesional de un compañero que pueda perjudicar su progreso.
D.5.-‐Mantener siempre la confidencialidad de la información personal sobre los

compañeros especialmente aquéllas que su divulgación pueda comportar un daño
a la imagen de la persona o pueda suponer un freno para su progreso laboral.
D.6.-‐No mostrar preferencias o manías con los compañeros, independientemente

de las afinidades personales que pueda haber.
D.7.-‐Actuar con solidaridad profesional, valorando siempre la labor de los

compañeros, con el debido reconocimiento por la tarea de cada uno.
D.8.-‐Cuando a un profesional se le pida que valore un compañero, ya sea sobre la
calidad de su trabajo o la adecuación para una determinada tarea o
responsabilidad, se basará siempre en criterios objetivos, sin dejarse influir por
condicionantes económicos, laborales o personales.
D.9.-‐No pretender asumir una tarea si no se tiene los conocimientos o habilidades
necesarios y se sabe que hay un compañero que la puede hacer correctamente.
D.10.-‐Trabajar con profesionalidad y diligencia, evitando que la actividad propia

pueda afectar negativamente el trabajo o la buena imagen de los compañeros.

48



D.11.-‐En toda ocasión en las que la opinión propia pueda beneficiar a un
compañero,
debe actuarse en este sentido.
D.12.-‐Cuando un profesional se sienta perjudicado por otro, le comunicará de

forma no ofensiva, intentando evitar cualquier conflicto o confrontación, con el fin
de conseguir un mejor clima de confianza y colaboración.
D.13.-‐Todo profesional facilitará el acceso a la información, metodología y recursos

que sean necesarios para ejercer su tarea a todos sus compañeros.
D.14.-‐Velar para qué los compañeros dispongan de información completa y veraz

para la realización de su tarea.
D.15.-‐El profesional de informática debe velar para qué las condiciones de trabajo
de los compañeros, así como las propias, sean las óptimas, evitando riesgos e
incomodidades.
D.16.-‐Promover que los compañeros conozcan y cumplan este código.
D.17.-‐Promover que los compañeros conozcan la asociación, se adhieran y

participen activamente en el mismo.
E.Responsabilidad personal del profesional
E.1.-‐No hacer prevalecer intereses personales ante el bien común.
E.2.-‐El profesional tendrá que formarse adecuadamente a lo largo de toda su

carrera profesional.
E.3.-‐Conocerá, respetará y cumplirá todas las leyes y normas que le sean de

aplicación.
E.4.-‐Conocerá, cumplirá y promoverá el código deontológico del COEInf.
E.5.-‐Utilizará y promoverá el uso de software legal sea libre o de propiedad.
E.6.-‐Buscará, utilizará y promoverá el uso de las herramientas informáticas

apropiadas.

49



E.7.-‐Utilizará y promoverá el uso responsable y adecuado de las herramientas y
recursos
que se pongan a su disposición.
E.8.-‐Trabajará con la máxima profesionalidad y diligencia.
E.9.-‐Será responsable de su trabajo y afrontará con responsabilidad las

consecuencias de sus errores.
E.10.-‐Seguir una metodología en el desempeño de su cometido, y aplicar los

estándares adecuados en cada momento.
E.11.-‐Promover la aplicación de criterios de accesibilidad para las personas con

discapacidades tanto en los proyectos desarrollados, como en las instalaciones del
puesto de trabajo.
E.12.-‐Aplicar y velar por el cumplimiento de las recomendaciones sobre ergonomía

aplicables al puesto de trabajo.
F. Profesional o empresa ante el producto o servicio que presta
F.1.-‐Seguir una metodología adecuada por cualquier proyecto en el que se trabaje
o se tenga previsto trabajar.
F.2.-‐Valorar el coste del producto o servicio en relación al tiempo y recursos

necesarios para su construcción y/o prestación.
F.3.-‐Ser objetivo a la hora de elegir un producto o servicio, siguiendo indicadores

conocidos o estándares para ayudar a realizar la elección.
F.4.-‐Expresar la opinión profesional en relación al producto o servicio sobre todo

cuando se detecte que el producto o servicio no sigue el camino previsto.
F.5.-‐Procurar que el servicio o producto sea de la mejor calidad posible, siendo

honesto en el ejercicio del trabajo y dedindo el tiempo justo y necesario a cada
tarea.
F.6.-‐Hacer uso apropiado de los recursos para la construcción del producto o

prestación del servicio.

50



F.7.-‐Informar de forma periódica y cuando se solicite del estado del servicio o
producto,
describiendo tanto los factores favorables como desfavorables.
F.8.-‐En el diseño del producto o servicio primará diseñar la solución que pueda dar
más ventajas en el presente y futuro.
F.9.-‐Los productos se tienen que diseñar pensando en criterios de ergonomía y

accesibilidad facilitando al máximo la utilización para cualquier tipo de usuario.
F.10.-‐Proporcionar el material necesario para entender fácilmente el

funcionamiento del producto o servicio.
F.11.-‐Promover o proponer la intervención de un tribunal de arbitraje competente
si hubiese conflictos en la prestación del servicio o en el producto.
F.12.-‐No se hará uso ilegal de herramientas de terceras partes en la construcción

del producto o servicio.
F.13.-‐Conocer las consecuencias ante un mal funcionamiento del producto o

servicio y reconocer las equivocaciones en el supuesto de que se produzcan.
F.14.-‐Debe Primar la búsqueda de la solución antes que la búsqueda de los

responsables del problema, analizando la causa del problema, resolverlo y tomar
las medidas necesarias para que no se vuelva a producir.
F.15.-‐No se atribuirá trabajo que no sea suyo.
F.16.-‐No discriminar en la prestación del servicio a clientes o usuarios por razones
diferentes de las estrictamente profesionales.
F.17.-‐Si se conoce información confidencial no se hará ningún uso que pueda

perjudicar a personas físicas o jurídicas y no se explotará esta información para
obtener un beneficio personal.
G.Empresa o gestor ante el profesional empleado
G.1.-‐La empresa tiene que ofrecer unos planes de formación continua,

promoviendo el desarrollo de una carrera profesional de sus empleados. Estos
planes de formación han de incluir todos los temas básicos para el desarrollo de su

51



trabajo (leyes aplicables, seguridad, prevención de riesgos laborales, metodologías,
tecnologías
y conocimientos funcionales).
G.2.-‐No se hará a los empleados falsas promesas ni generará falsas expectativas, y
mantendrá la palabra de los diversos acuerdos verbales y por escrito a que puedan
llegar.
G.3.-‐Mantener una postura proactiva con el fin de recolocar a sus trabajadores una
vez acabado un proyecto tanto en buscarles nuevos proyectos/clientes como en
darles con la antelación suficiente el material y formación que puedan necesitar.
G.4.-‐Pagar un sueldo justo con arreglo a las responsabilidades, capacidad y

rendimiento de sus trabajadores.
G.5.-‐Mantener la confidencialidad de los datos de sus empleados y exempleados,

ofreciendo en todo caso sólo información veraz y lo más objetiva posible con
respecto a las tareas desarrolladas por el empleado.
G.6.-‐Valorar la labor de los empleados de forma imparcial, teniendo en cuenta las
opiniones de los responsables y clientes que hayan trabajado con ellos y las tendrá
en cuenta para la carrera profesional de sus empleados.
G.7.-‐Escuchar y valorar de forma imparcial las opiniones de los empleados de la

empresa.
G.8.-‐Tratar a todos los empleados por igual sin discriminación de ningún tipo.
G.9.-‐No discriminar positiva ni negativamente a los empleados subcontratados

respeto a los empleados internos.
G.10.-‐No promover la competitividad desleal entre los empleados.
G.11.-‐La asignación de personal a tareas y proyectos debe adecuarse a la formación
y aptitudes de los empleados.
G.12.-‐A la hora de hacer las estimaciones de las tareas asignadas, esta se hará de la
forma más objetiva y metodológica posible, teniendo en cuenta las opiniones y
valoraciones de los implicados.

52



G.13.-‐Sólo se pedirán responsabilidades a los
empleados con arreglo a las
capacidades,
funciones y tareas que tengan asignadas.
G.14.-‐No hará controles abusivos a los empleados más allá de los necesarios para
valorar la calidad y resultados de su trabajo.
G.15.-‐No se hará trabajar más horas al trabajador de las estipuladas en el contrato.
G.16.-‐No se castigará, ni coaccionará a los empleados por ningún motivo.
G.17.-‐A la hora de dirigirse y relacionarse con los empleados, se debe usar un

lenguaje comprensible que facilite la comunicación y evite los malentendidos.
G.18.-‐No ocultar información, ni la dar de forma incompleta deliberadamente a sus
empleados, especialmente si puede afectar al buen desarrollo de su tarea.
G.19.-‐Dar al empleado toda la información, material, herramientas, puesto de

trabajo y formación necesarios para el buen desarrollo de su trabajo.
G.20.-‐Ofrecer espacio y herramientas de trabajo lo más ergonómicas, cómodas,

seguras y adecuadas al trabajo que pueda conseguir, así como hará las
adaptaciones necesarias para adecuarlas a los trabajadores con algún tipo de
discapacidad.
G.21.-‐Fomentar el buen uso de recursos en el desarrollo del trabajo de sus

empleados.
G.22.-‐Ofrecer a los trabajadores en todo momento hardware, software y licencias

legales, sean libres o de pago, para el desarrollo de su trabajo.
G.23.-‐No apropiarse indebidamente de trabajos hechos por sus empleados con

horas y recursos ajenos a la empresa.
G.24.-‐Promover que los empleados conozcan la asociación, se adhieran y participen
activamente en el mismo.
H.Empresa ante las otras empresas del sector

53



H.1.-‐Dignificar los servicios, las ofertas a los clientes, de servicios o productos, no
tienen
que situarse significativamente por debajo del precio de mercado.
H.2.-‐Actuar con honradez y con espíritu colaborativo y profesional, en acciones de
colaboración en proyectos comunes para un tercero.
H.3.-‐Mantener la confidencialidad de los datos que una empresa pueda recibir

traspasados de otra, en virtud de una colaboración.
H.4.-‐Utilizar un lenguaje comprensible y transparente en relaciones de

colaboración, ya sean contratos, documentación o explicaciones de palabra respeto
a servicios o productos realizados conjuntamente.
H.5.-‐Promover buenas prácticas de trabajo respecto a la competencia, siendo

imparcial a la hora de valorar las acciones de otros.
H.6.-‐En una colaboración con otra empresa, sea bajo el régimen de

subcontratación o sea en proyecto compartido de igual a igual, mantenerse íntegro
en la realización correcta del producto o servicio, independientemente de posibles
circunstancias adversas.
H.7.-‐No descalificar a los competidores, por ejemplo en la fase de venta de un

producto o servicio.
H.8.-‐Dar siempre una opinión profesional correcta y respetuosa de la competencia.
H.9.-‐En una colaboración entre empresas, no utilizar la coacción como elemento de
negociación, ni como posible castigo respecto a las personas que participen en la
citada colaboración.
I. Profesional o empresa ante un proveedor
I.1.-‐No utilizar prácticas abusivas en la negociación de ofertas con proveedores,

tanto en cantidad como en contenido, de cláusulas claramente perjudiciales para
los proveedores.

54



I.2.-‐Establecer contratos de compra-‐venta o de prestación de servicios claros y
completos,
que faciliten el entendimiento entre las partes.
I.3.-‐Mantener la confidencialidad respecto a las ofertas que un proveedor pueda

hacer, sin hacer uso de las mismas para presionar o informar a otros proveedores.
I.4.-‐No promover la competitividad desleal entre los proveedores.
I.5.-‐Pactar precios justos por los productos o servicios que ofrezca la empresa
proveedora.
I.6.-‐Actuar objetivamente a la hora de valorar y contratar ofertas de empresas

proveedoras.
I.7.-‐Evaluar las ofertas valorando la calidad, la metodología y el currículum del

equipo ofrecido y de la empresa.
I.8.-‐No coaccionar a un proveedor valiéndose de compras de productos o servicios
futuros.
I.9.-‐No infringir castigo a una empresa proveedora mientras cumpla las

obligaciones establecidas en el contrato.
I.10.-‐Facilitar un entorno de trabajo a los empleados de la empresa proveedora

equiparable al de los empleados de la propia empresa.
I.11.-‐No forzar a hacer horas extras no retribuidas, ni por encima de los límites
establecidos por el convenio, a los trabajadores de una empresa proveedora.
I.12.-‐Facilitar la formación contínua de los trabajadores de la empresa proveedora.
I.13.-‐No discriminar a un trabajador sólo por el hecho de pertenecer a una empresa
proveedora.
I.14.-‐Poner a disposición de la empresa proveedora todo el material, hardware,

software y medios necesarios para que la empresa proveedora pueda cumplir sus
obligaciones contractuales.
I.15.-‐Presuponer la integridad en el trabajo de la empresa proveedora, si no hay

elementos contrastados que indiquen lo contrario.

55



I.16.-‐No interponerse de modo desleal en la trayectoria profesional de la empresa
proveedora,
o de sus trabajadores.
I.17.-‐Escuchar al proveedor y valorar objetivamente los consejos que éste pueda

ofrecerle.
I.18.-‐Tener respeto profesional por las opiniones o actitudes expresadas por los
trabajadores de la empresa proveedora, respecto al producto o servicio que
ofrecen.
I.19.-‐Respetar los derechos de autor respecto a un producto o servicio que ha

ofrecido o realizado un proveedor.
I.20.-‐Ofrecer al proveedor información sobre qué ha gustado y qué no ha gustado
del producto o servicio ofrecido o realizado, incluyendo los motivos de rechazo en
el caso de no aceptarse una oferta.
I.21.-‐Hacer un tratamiento metodológico correcto de las relaciones con

proveedores, desde la recepción de la oferta hasta la valoración final del producto
o servicio recibido.
I.22.-‐Mantener la confidencialidad y la privacidad de los datos que se tengan de la
empresa proveedora.

56



UNIDAD 1: ÉTICA
CAPITULO 3: PROBLEMAS ÉTICOS DEL USO DE LAS TECNOLOGIAS

INFORMÁTICAS
Introducción
En el uso de los recursos informáticos y en el uso de las TIC, surgen nuevos

problemas que no han sido tratados ni considerados por la legislación internacional
y nacional, por lo que se puede considerar que aún estamos en niciando el proceso
para la construcción de nuevas leyes, decretos y controles que puedan hacer frente
a estos problemas tan frecuentes en nuestra sociedad.
Dentro de los problemas generales hay que considerar todos los delitos de tipo
informático frente al mal uso de los recursos informáticos disponibles y frente a la
información contenida en los sistemas informáticos que se manejan en las
organizaciones y son el activo más importante para ellas.
En este capítulo se tratará el tema del uso ético de los recursos tecnológicos y de la
información, tratando de enfocarlo hacia la ética y la legislación y no al proceso de
detección del ilícito en el aspecto técnico, para poder comprender las acciones
legales que se puede tomar frente a estos delitos.
Lección 11: Problemas Éticos del uso de las Tecnologías Informáticas
La seguridad informática es uno de los campos que se ha desarrollado en la

actualidad debido al uso de los computadores y el internet en cada una de las
actividades cotidianas, para ello se han creado estándares, procedimientos y

57



técnicas que han sido desarrolladas para proteger los equipos informáticos
individuales
y conectados en una red frente a daños accidentales o intencionados.
Los daños frecuentes pueden incluir mal funcionamiento del hardware, la pérdida
física de datos y el acceso a bases de datos por personas no autorizadas,
actualmente son diversas las técnicas de seguridad informática para dificultar el
acceso a la delincuencia informática, algunas sencillas como por ejemplo, el acceso
a información confidencial puede evitarse destruyendo la información impresa,
impidiendo que otras personas puedan observar la pantalla del computador,
manteniendo la información bajo llave o retirando de las mesas los documentos
sensibles, sin embargo, impedir los delitos informáticos exige el uso de métodos
más complejos.
Uno de los problemas frecuentes de seguridad son la entrada de Los virus

informáticos que son programas, que se introducen en el computador y pueden
provocar la pérdida de la información almacenada en el disco duro, para eso
existen los antivirus que los reconocen y son capaces de tomar una acción de
inmunización o eliminación del virus detectado.
En el caso de apagón eléctrico existen dispositivos de protección deniminados UPS,
que son sistemas reguladores con baterías que permiten mantener el sistema
informático en funcionamiento, por lo menos el tiempo necesario para apagarlo sin
pérdida de datos.
El mayor problema que tienen que resolver las técnicas y procedimientos de

seguridad informática es el acceso no autorizado a sistemas de información
software y los datos contenidos en su base de datos, el sistema posee un seguro
para cada uno de los usuarios donde debe registrar su ingreso al sistema mediante
un nombre y una clave que lo identifica como usuario del sistema, lo mismo que
para realizar cualquier operación dentro de él.
Las claves de acceso son secuencias confidenciales de caracteres que permiten que
los usuarios autorizados puedan acceder a los sistemas y datos desde un
computador o cualquier otro medio, pero estas claves deben ser eficaces y deben
resultar difíciles de adivinar, mezclando caracteres y símbolos que no correspondan

58



a uno de los datos personales de los usuarios, esta protección también provee un
número
de intentos de accesos al introducir la clave.
Actualmente se usan tarjetas de códigos de barra o la incorporación de un

microchip, estas son tarjetas plásticas que no pueden ser manipuladas, dotadas de
una banda magnética o un microprocesador que almacena una clave de acceso que
puede cambiar frecuentemente.
Cuando se entra en un computador mediante una tarjeta de acceso, el computador
lee la clave de la tarjeta y otra clave introducida por el usuario, y las compara
respectivamente con una clave idéntica a la de la tarjeta y con la clave de acceso
del usuario, que está almacenada en una lista confidencial.
En el futuro, es posible que las claves y las tarjetas de acceso se vean reforzadas
por mecanismos biométricos basados en características personales únicas como las
huellas dactilares, los capilares de la retina, las secreciones de la piel, el ácido
desoxirribonucleico (ADN), las variaciones de la voz, entre otras.
Lección 12: Problemas de Seguridad en Internet
En la actualidad el número de usuarios de internet se ha incrementado en todo el
mundo, aumentando el número de operaciones realizadas por medios de
comunicación digital, y es posible que en los próximos años, la gente aumente su
confianza en Internet para compartir información delicada con interlocutores
confiables acerca de sus finanzas, historias médicas, hábitos personales o
preferencias como compradores.
Aunque la tecnología ha puesto en riesgo la privacidad individual y el derecho a la
intimidad, hoy en día se realizan numerosas transacciones a través de internet
haciendo uso de medios de pago como las tarjetas de crédito y se intercambia
información delicada por medio de celulares y teléfonos con otras personas, en
este entorno la seguridad y privacidad en internet se convierte en un asunto más
de presión, en la medida en que éste se ha convertido en el medio preferido por la
gente para manejar sus finanzas o ponerse en contacto con otro interlocutor.

59



El uso de información personal en correos, redes
sociales o proveedores que
ofrecen
servicios personalizados ha originado que algunos de ellos compartan
información de sus consumidores sin notificarles, lo que ha generado una
preocupación creciente en el público acerca de la seguridad de la información
personal.
Por eso tanto la industria privada como los gobiernos utilizan herramientas de
software y legales para proteger la privacidad garantizando en cierta medida la
honestidad y la confiabilidad entre empresas que proporcionan y usan datos
personales, ya que proteger la privacidad individual es la mayor barrera que debe
ser removida lo antes posible para mantener a Internet en movimiento hacia
adelante.
La seguridad es siempre el mayor asunto para los empresarios y gobiernos, se

sustenta en la confianza en las TI y siempre será así, pero mientras aumenta la
dependencia de la economía hacia Internet, la seguridad se convierte en una mayor
preocupación y desafío por los incidentes que se han presentado de intrusiones
indeseadas, los fraudes con tarjetas de crédito y el anonimato de la Web, que han
dado a Internet una reputación de sitio inseguro para transacciones.
Para mantener a Internet como un lugar seguro para hacer negocios, las empresas
fabricantes de programas tienen la responsabilidad de trabajar juntas para
garantizar que sus productos siempre ofrezcan los máximos niveles de seguridad,
pero también se debe ajustar el sistema judicial y la comunidad policial deben ir de
la mano de los avances tecnológicos y aplicar la legislación penal completa y
efectivamente.
La educación se ha revolucionado con el uso de Internet, dando la oportunidad de
acceso a la información, el uso de videos, juegos didácticos, software y una
infinidad de herramientas web que ayudan a potenciar sus habilidades y su
curiosidad intelectual y explorar su mundo, pero también los puede exponer a
obscenidades, violencia o contenidos inapropiados por lo cual algunos países se
han unido para tratar de legislar a favor de la regulación de sitios en internet.
En este sentido, los productores de software ha hecho grandes esfuerzos para dar a
los padres y maestros mayor control sobre las actividades y los los sitios que

60



visitan los niños y jóvenes, con aplicaciones y programas que actúan como filtros
bloqueando
el acceso a sitios dudosos, y de la misma forma están actuando los
proveedores de servicios de Internet filtrando sitios y páginas con selección de
contenidos que han servido como instrumento eficaz para proteger al usuario de
contenidos no deseados.
Los gobiernos juegan también su papel importante en la actividad de protección

apoyando el crecimiento del mercado de herramientas para proteger a los niños e
incrementando la aprobación y aplicación de la ley, además de activar los nuevos
roles de la policía en la persecución de delincuentes informáticos.
Internet es un cambio constante en la cadena global que no conoce fronteras, y

presenta un problema único para los gobiernos que necesitan enfrentar los
numerosos retos que les plantea, y en los próximos años, los gobiernos deberán
desarrollar políticas creíbles e innovadoras, que protejan a sus ciudadanos mientras
alimentan la apertura, la flexibilidad y las oportunidades económicas, que hacen de
Internet una tecnología indispensable.
Durante los próximos años los gobiernos del mundo se verán recompensados por
seguir políticas que aceleren la construcción de la infraestructura que hará posible
llevar los beneficios de Internet a más gente, facilitando a las empresas la difusión
de sus innovaciones entre los consumidores a una velocidad impresionante, esto
incluye la forma de agilizar la aplicación de tecnologías de banda ancha, estimular
la competencia, resistir la tentación de decretar nuevas regulaciones y redoblar
esfuerzos para proteger los contenidos que viajan a través de Internet, haciendo
más fuertes las leyes que protegen los derechos intelectuales.
Internet dará la oportunidad a la gente de poner a trabajar sus conocimientos y de

aprovechar grandes oportunidades para hacer sus vidas más productivas y de
mejor calidad, proporcionando acceso igualitario a la información y las
comunicaciones, permitiendo la formación de comunidades vigorosas y de
conexiones reales entre la gente, con lo cual se ha roto las barreras entre las
naciones, abriendo las economías y democratizando sociedades, solo resta superar
algunos asuntos claves como le de la seguridad y la legislación de la misma.

61



Lección 13: Problemas de Virus Informáticos

Los virus informáticos son programas cuyo propósito es causar algún tipo de daño
o problema al computador donde esta ubicado, en la actualidad existen más de
veinte mil (20.000) virus informáticos y cada vez aumenta este número, van desde
los clásicos que son programas ejecutables hasta los más modernos macros para
Microsoft Word, pero también se sabe que los creadores de los virus son
programadores carentes de moral, que son el fruto de las mismas empresas
productoras de antivirus que manipulan el mercado que consume sus productos.
Existen otros programas informáticos nocivos similares a los virus, pero que no
cumplen ambos requisitos de reproducirse y eludir su detección, estos programas
se dividen en tres categorías: caballos de Troya, bombas lógicas y gusanos.
- Un caballo de Troya, aparenta ser algo interesante e inocuo, por ejemplo un
juego, pero cuando se ejecuta puede tener efectos dañinos.
- Una bomba lógica, libera su carga activa cuando se cumple una condición
determinada, como cuando se alcanza una fecha u hora determinada o
cuando se teclea una combinación de letras.
- Un gusano, se limita a reproducirse, pero puede ocupar memoria de la
computadora y hacer que sus procesos vayan más lentos.

Los virus informáticos se difuden cuando las instrucciones que hacen funcionar los
programas pasan de un computador a otro, una vez esta activado se reproduce
copiándose en memorias, en el disco duro, en programas informáticos legítimos o a
través de redes informáticas, estas infecciones son más frecuentes en
computadores personales que en sistemas profesionales de grandes
computadoras, debido a que los programas de los computadores se intercambian
fundamentalmente a través de memorias o de redes informáticas sin protección.
Existen algunos virus que tienen la capacidad de adherirse a programas legítimos

cuando se crea, abre o modifica el programa legítimo, y se ejecuta la misma ación
con el virus, los virus también pueden residir en las partes del disco duro que
cargan y ejecutan el sistema operativo cuando se arranca el computador, por lo
que se ejecutan automáticamente, y hay otros virus se ocultan en el software que
permite conectarse a las redes informáticas.

62



Existen varias clasificaciones de virus, a continuación se revisará una de estas
clasificaciones que enuncia la existencia de seis categorías de virus: los parásitos,
los del sector de arranque inicial, los multipartitos, los acompañantes, de vínculo y
de archivos de datos.
-‐ Los virus parásitos, infectan archivos ejecutables o programas de

computador, sin modificar el contenido del programa huésped, pero se
adhieren al huésped de tal forma que el código del virus se ejecuta en
primer lugar. Estos virus pueden ser de acción directa o residentes, los de
acción directa seleccionan uno o más programas para infectar cada vez que
se ejecuta y el residente se oculta en la memoria del ordenador e infecta un
programa determinado cuando se ejecuta dicho programa.
-‐ Los virus del sector de arranque inicial, residen en la primera parte del disco
duro conocida como sector de arranque inicial, y sustituyen los programas
que almacenan información sobre el contenido del disco o los programas
que arrancan el computador, generalmente se difunden mediante el
intercambio físico de discos y memorias.
-‐ Los virus multipartitos, estos combinan las capacidades de los virus
parásitos y de sector de arranque inicial, y pueden infectar tanto archivos
como sectores de arranque inicial.
-‐ Los virus acompañantes, no modifican los archivos, sino que crean un nuevo
programa con el mismo nombre que un programa legítimo y engañan al
sistema operativo para que lo ejecute.
-‐ Los virus de vínculo, modifican la forma en que el sistema operativo

encuentra los programas, y lo engañan para que ejecute primero el virus y
luego el programa deseado, este virus puede infectar todo un directorio y
cualquier programa ejecutable al que se acceda en dicho directorio
desencadena el virus.

63



-‐ Los virus de Archivos de datos, que infectan
programas que contienen
lenguajes de macros potentes que pueden abrir, manipular y cerrar archivos
de datos, estos están escritos en lenguajes de macros y se ejecutan
automáticamente cuando se abre el programa legítimo.
Los autores de un virus utilizan estrategias para escapar de los programas antivirus
y propagarse con mayor eficacia, por ejemplo los virus polimorfos efectúan
variaciones en las copias de sí mismos para evitar su detección por los programas
de rastreo, los virus sigilosos se ocultan del sistema operativo cuando éste
comprueba el lugar en que reside el virus, simulando los resultados que
proporcionaría un sistema no infectado, o los virus llamados infectores rápidos no
sólo infectan los programas que se ejecutan sino también los que simplemente se
abren.
Lección 14: Problemas de Delitos Informáticos
Todas aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho

penal, que hacen uso indebido de cualquier medio Informático han sido
catalogadas como delitos informáticos, pero cabe aclarar que el uso indebido de
los computadores es lo que ha propiciado la necesidad de regulación por parte del
derecho.
En general se puede decir que la seguridad completa no existe, pues todo sistema
tiene por lo menos un mínimo de vulnerabilidad que puede permitir nuevos
incidentes de seguridad dentro de las organizaciones ya que estas no se han
preparado adecuadamente para enfrentar la realidad de una intrusión o incidente.
El incidente representa un reto para demostrar la diligencia de la organización para
enfrentar el hecho, tomar el control, recoger y analizar la evidencia, y finalmente
generar el reporte sobre lo ocurrido.

64



Uno de los delitos más perseguido es el ciberterrorismo entendido como toda
acción
violenta que infunde terror, realizada por una o más personas en Internet o
con el uso indebido de tecnologías de comunicaciones, estos grupos actúan por
medio de envío de mensajes encriptados a través del correo electrónico,
impidiendo la penetración de los organismos de seguridad, también existen sitios
web de organizaciones terroristas donde se da a conocer su historia, postulados, y
objetivos.
Las formas de ciberterrorismo son las siguientes:
- Los escenarios abiertos a millones de potenciales usuarios, desde el cual se
practica la publicidad y propaganda.

- El ejercicio de la violencia, donde la información se convierte en objetivo

deseado ya que permanecen vulnerables para este tipo de atentados

- La coordinación de la operación y logística de ataques terroristas.

Dentro de los objetivos más comunes de los ciber ataques están les redes
gubernamentales y de las Fuerzas Armadas, los Servidores de nodos de
comunicación, los Servidores DNS locales, las Centrales telefónicas digitales, las
Estaciones de radio y televisión, los Centros satelitales, las Represas, centrales
eléctricas, centrales nucleares.
Y los tipos más comunes de ataques son la Siembra de virus y gusanos, DNS o
Cambio en las direcciones de dominio, las Intrusiones no autorizadas, La enegación
de servicios o DDoS (Distributed Denial of Service), la Saturación de correos, el
Bloqueo de servicios públicos, el bloqueo de tráfico aéreo o Blind radars, la
Interferencia electrónica de comunicaciones, entre otros.

65



Lección 15: Clasificación de los Delitos Informáticos

Existen diversas clasificaciones aplicadas a los delitos informáticos, pero de ellas se
hará la revisión de los delitos informáticos reconocidos por Naciones Unidas y
posteriormente se revisará la legislación nacional e internacional frente a ellos.
Delitos Informáticos Reconocidos por Naciones Unidas
El manual de la Naciones Unidas para la Prevención y Control de Delitos

Informáticos señala que cuando el problema se eleva a la escena internacional, se
magnifican los inconvenientes y las insuficiencias, por cuanto los delitos
informáticos constituyen una nueva forma de crimen transnacional y su combate
requiere de una eficaz cooperación internacional concertada. Los tipos de delitos
más comunes reportados por las Naciones Unidas y que están afectando a las
organizaciones gubernamentales, empresariales y usuarios de los computadores se
muestra a continuación:
- Fraudes cometidos mediante manipulación de computadoras: Dentro de

ellos están la manipulación de los datos de entrada, la manipulación de
programas, y la manipulación de los datos de salida, en el cuadro se muestra
cada uno de ellos

66



Tabla 4: Fraudes por manipulación del Computador
Conocido como sustracción de datos, representa el delito
Manipulación de los informático más común ya que es fácil de cometer y
datos de entrada difícil de descubrir, se puede realizar por cualquier
persona que tenga acceso a las funciones normales de
procesamiento de datos en la fase de adquisición de los
mismos.
Este delito consiste en modificar los programas

La manipulación de existentes en el sistema o en insertar nuevos programas
programas o nuevas rutinas, uno de los métodos mas comunes es el
denominado Caballo de Troya, que consiste en insertar
instrucciones de forma encubierta en un programa
informático para que pueda realizar una función no
autorizada al mismo tiempo que su función normal.
Manipulación de los Los fraudes a los cajeros automáticos mediante la

datos de salida falsificación de instrucciones en la fase de adquisición de
datos es el más común, tradicionalmente esos fraudes se
hacían a base de tarjetas bancarias robadas, sin embargo,
en la actualidad se usan ampliamente el equipo y
programas especializados para codificar información
electrónica falsificada en las bandas magnéticas de las
tarjetas bancarias y de las tarjetas de crédito.

Fuente: esta investigación

- Falsificaciones informáticas: La forma como se presentan estos delitos es

cuando se alteran datos de los documentos almacenados en forma
computarizada o cuando los computadores se utilizan para efectuar
falsificaciones de documentos de uso comercial. Actualmente ha surgido
una nueva generación de falsificaciones o alteraciones fraudulentas me
diante uso de fotocopiadoras lasser ya que éstas pueden hacer copias de
alta resolución, pueden modificar documentos e incluso pueden crear
documentos falsos sin tener que recurrir a un original, las copias son de tal
calidad que sólo un experto puede diferenciarlos de los documentos
auténticos.

67



- Daños o modificaciones de programas o datos computarizados: Dentro de
ellos el más importante es el sabotaje informático, que es el acto de borrar,
suprimir o modificar sin autorización funciones o datos con intención de
obstaculizar el funcionamiento normal del sistema. Algunas de las técnicas
que permiten cometer estos ilícitos son: los virus, los gusanos, las bombas
lógicas, el acceso no autorizado a sistemas, la circulación de material dañino,
la interceptación de comunicaciones no autorizadas, entre otros.

Ataques Informáticos
Un ataque informático consiste en el aprovechamiento de alguna debilidad en el

sistema software, en el hardware, las redes y comunicaciones, y en las personas
que forman para de una organización empresarial en un ambiente informático, con
el fin de obtener un beneficio de tipo económico que causa un efecto negativo en
la seguridad del sistema y repercute en los activos de la empresa.
Algunos de los ataques informáticos más conocidos son:
Ataques de Ingeniería Social, Esta es la técnica que mejores resultados puede

alcanzar, se vale del engaño y de la utilización de toda la información recolectada
de la víctima mediante diferentes técnicas de seguimiento del rastro, exploración y
enumeración para obtener información valiosa como nombres de usuario, claves
de acceso y contraseñas de red por parte del usuario o administrador del sistema
para luego emplear esta información para conseguir mas datos o para vulnerar el
sistema objetivo. Un típico ataque de Ingeniería Social es el caso del usuario que
recibe un correo electrónico aparentemente del administrador del sistema, pero
que en realidad ha sido falsificado el remitente, este correo contiene algunos datos
del usuario como su nombre y la división donde trabaja y le solicita que le envié a
un determinado correo electrónico su clave de acceso para labores de
mantenimiento del sistema.
El Factor Insiders, Son los ataques y violaciones de seguridad cometidos por los
mismos empleados dentro de la organización, ya que una de las formas más
eficaces para romper los esquemas de seguridad, es desde el interior de la

68



organización. Este tipo de actos se comete con intenciones de obtener beneficios
económicos
a través de la información corporativa se denomina comercio de
personal interno.
Los Códigos Maliciosos, También denominado malware, que es una de las

principales amenazas de seguridad para cualquier institución y organización, esta
amenaza se refiere a programas que causan algún tipo de daño o anomalía en el
sistema informático, dentro de esta categoría se incluyen los programas troyanos,
gusanos, virus informáticos, spyware, backdoors, rootkits, keyloggers, entre otros.
Estas amenazas se diseminan por medio de diferentes tecnologías como
dispositivos USB, mensajería instantánea, redes P2P, email bajo la metodología de
engaño, aparentando ser programas inofensivos bajo coberturas como protectores
de pantalla, tarjetas virtuales, juegos en flash, diferentes tipos de archivos,
simulando ser herramientas de seguridad, entre otros.
Las Contraseñas, Si bien existen sistemas de autenticación complejos, las

contraseñas siguen siendo una de las medidas de protección más utilizadas en
cualquier tipo de sistema informático y por eso es uno de los blancos más buscados
por atacantes informáticos sobre todo la autenticación simple (usuario/contraseña)
donde cada usuario posee un identiicador que le permite acceso al sistema. En este
tipo de proceso la seguridad del esquema de autenticación radica inevitablemente
en la fortaleza de la contraseña y en mantenerla en completo secreto, siendo
potencialmente vulnerable a técnicas de ingeniería social cuando los propietarios
de las contraseñas no poseen un adecuado nivel de capacitación que permita
prevenir este tipo de ataques.
Inteligencia de fuentes abiertas (OSINT), Una de las primeras facetas de un ataque
informático, consiste en la recolección de información a través de diferentes
técnicas como reconnaissance, discovery, footprinting o google hacking, y la
inteligencia de fuentes abiertas que se refiere a la obtención de información desde
fuentes públicas y abiertas, donde los atacantes hacen inteligencia sobre sus
objetivos varios meses antes de comenzar las primeras interacciones lógicas contra

69



el objetivo a través de diferentes herramientas y técnicas como el scanning, banner
grabbing
y rastreo de los servicios públicos.
Ataques Denegación del Servicio (DoS), Estos ataques básicamente consumen

todo el ancho de banda disponible en una red o en otros casos consume todos los
recursos del sistema, uno de los problemas de los ataques DoS es que son datos
legítimos en cantidades enormes, por eso los sistemas de detección y protección
perimetral no pueden evitarlos fácilmente y es necesario emplear otros métodos
más avanzados que implican revisión minuciosa de las peticiones que se le hacen al
servidor para evaluar su procedencia, tamaño, servicio, entre otros. Un tipo
especial de estos ataques es el de Denegación del Servicio Distribuido (DDoS), que
consiste en infectar múltiples equipos con un programa tipo gusano programado
para hacer que todos los equipos infectados realicen una determinada petición a
un mismo Servidor produciendo la saturación de éste.
Ataques de suplantación (Spoofing), Estos son ataques que utilizan el engaño

tecnológico y existen diferentes técnicas para efectuar este tipo de ataques donde
se busca hacerle creer al usuario víctima que está accediendo a un recurso
determinado en Internet, cuando en lugar de ello está accediendo a otro recurso
en donde pueden estar capturando datos valiosos sobre él o enviándole
información errónea.
- Suplantación en el DNS: Esta técnica aprovecha las vulnerabilidades de los
servidores de Nombres de Domino (DNS), lo que hace es engañar al Servidor
de Nombres de Domino modificando su base de datos para que al recibir
una petición de encontrar la dirección IP equivalente a un nombre de
dominio el Servidor devuelva otra dirección diferente a la que el usuario esta
solicitando, de esta manera accede a un recurso no deseado.

- Suplantación de dirección IP: En la suplantación IP el atacante logra

identificarse con una IP que no es la suya, entonces el visitante cree que esta

70



visitando su IP de confianza cuando en lugar de ellos esta en el sitio Web del
atacante.

- Suplantación Web: En esta técnica el atacante crea un sitio Web idéntico al
del sitio que desea atacar, posteriormente pone en otras páginas enlaces a
su página gemela con el fin de que un visitante incauto entre a ésta y crea
que esta en la página original. Por lo regular en esta técnica se oculta la
barra de direcciones del navegador o se aprovechan vulnerabilidades de los
navegadores tal es el caso del Internet Explorer que permitía por medio de
un link malicioso modificar la información que aparece en la barra de
direcciones para que el visitante no se percate de su error y pueda enviar
información valiosa a un sitio Web desconocido, o en otros casos utilizan un
nombre de dominio similar al de la página suplantada.

Ataques de Fuerza Bruta, Consiste en estimar una combinación de nombre de

usuario y contraseña probando el mayor numero posible de combinaciones, claro
que es una tarea bastante dispendiosa, para esto existen en Internet un gran
número de herramientas software como el John the Ripper que automatizan este
proceso. Un ataque de fuerza bruta depende mucho de la velocidad del procesador
del sistema desde el que sé esta efectuando el ataque.

71



UNIDAD 2
Nombre de la Unidad LEGISLACIÓN EN SEGURIDAD INFORMÁTICA
Introducción En este capítulo se trata los temas que son el fundamento
de la legislación en informática y específicamente en
seguridad informática en el ámbito nacional e
internacional para tener un control adecuado sobre los
problemas tecnológicos, de acceso a internet, delitos
informáticos, y a taques no autorizados que pretenden
vulnerar la seguridad de los sistemas de información y la
información en si misma. Además trata de establecer
algunos de las organizaciones encargadas de velar por la
seguridad de la información en algunos países.
Justificación Esta unidad es la más importante porque fundamenta a

los profesionales de la seguridad informática acerca de las
acciones que pueden tomar en caso de los fraudes,
problemas, delitos o ataques, teniendo en cuenta la
legislación internacional vigente en cada uno de los paises
para su tratamiento y control.
Intencionalidades -‐ El estudiante conoce las leyes y decretos vigentes que
Formativas protegen los activos informáticos y la información.
-‐ El estudiante conoce los cógigos de ética profesional que
rigen a los ingenieros de sistemas y profesionales
informáticos.
-‐ Conocer los aspectos legales del estándar ISO 27000 y su
aplicación.
-‐ El estudiante puede tomar decisiones basadas en las

leyes y tomar acciones en caso de fraude, o ataques

72



informáticos.

-‐ El estudiante conoce los organismos encargados de la
seguridad informática y de la información en cada uno de
los países.
Denominación de CAPITULO 4: DERECHO INFORMÁTICO Y LA GESTIÓN DE

capítulos LA SEGURIDAD DE LA INFORMACIÓN
Denominación de Lección 16. Derecho Informático

lecciones
Lección 17. Aspectos Jurídicos de la Norma ISO 27001
Lección 18. Tratamiento Legal de los Incidentes

Informáticos
Lección 19. Derecho Informático en América Latina: Firma

Electrónica, Contrataciones Electrónicas y Comercio
Electrónico
Lección 20. Derecho Informático en América Latina:

Gobierno Electrónico, Acceso Público a Información y
Protección de Datos
Denominación de CAPITULO 5: ORGANISMOS DE REGULACIÓN Y

capítulos LEGISLACIÓN INTERNACIONAL EN SEGURIDAD
INFORMÁTICA
Denominación de Lección 21. Organizaciones Internacionales en CSIRT’s

lecciones
Lección 22. Organizaciones CERT o CSIRT’s Alrededor del
Mundo
Lección 23. Legislación internacional.
Lección 24. Legislación en Seguridad de la Información

Mexicana
Lección 25. Legislación Informática y de Seguridad en

Argentina

73



Denominación de CAPITULO 6: LEGISLACIÓN INFORMÁTICA EN COLOMBIA
capítulos

Denominación de Lección 26. Ley de Delitos Informáticos en Colombia

lecciones Lección 27. Ley de Habeas Data en colombia
Lección 28. Legislación Colombiana sobre Comercio

Electrónico
Lección 29. Legislación Colombiana sobre Gobierno en

Línea
Lección 30. Legislación en Seguridad Informática en

Colombia
UNIDAD 2: LEGISLACIÓN EN SEGURIDAD INFORMÁTICA
CAPITULO 4: DERECHO INFORMÁTICO Y LA GESTIÓN DE LA SEGURIDAD DE LA
INFORMACIÓN
Introducción
Lección 16: Derecho Informático
El impacto de las tecnologías de información y las comunicaciones (TIC), no es

ajeno al derecho, y cada día los avances de la tecnología imponen mayores retos
jurídicos, a los cuales hay que responder desde la legislación nacional, la legislación
internacional, el derecho comparado, la autonomía de la voluntad privada, las
mejores prácticas existentes en la industria y las normas que permitan dar un
tratamiento adecuado a las problemáticas y nuevos delitos que experimentan las
organizaciones.

74



Para enfrentar de manera adecuada los retos que las TIC plantean al derecho se
requiere como punto de partida la comprensión de los aspectos tecnológicos que

están presentes desde la informática, las telecomunicaciones y la convergencia,
para las operaciones y transacciones de bienes y servicios, así como en la
economía, pues sin esta comprensión es difícil entender los problemas que giran en
torno al desarrollo de software, la integración de sistemas informáticos, el diseño
de hardware, los sistemas de voz IP, los servicios y redes telemáticas, la propiedad
intelectual, las bases de datos, y otros servicios que pueden tener problemas de
seguridad.
También se requiere el estudio de las relaciones entre las TIC y el derecho, ya que
de estos estudios nace el sistema de regulación de los fenómens informáticos y
telemáticos denominada el derecho Informático. Uno de los activos que requiere
mayor protección es la información, pero esta puede ser protegida de diversas
formas, mediante resguardo de los documentos y medios digitales, mediante la
encriptación de datos, mediante restricciones de acceso, pero se debe analizar
cómo el derecho participa en la gestión de la protección de la información, ya que
las normas del derecho son el resultado de un estudio profundo y real
integrándose a las normas internacionales.
De las definiciones existentes sobre la seguridad se puede concluir el valor que

tiene la información como resultado del conocimiento especializado en un área
determinada, que requieren mecanismos que garanticen su buen funcionamiento,
para su protección y su resguardo de actos violentos que se puedan perpetrar
contra ella. Anteriormente la seguridad de la información se entendía como la
aplicación de un conjunto de medidas de control físicas y lógicas a los sistemas de
información, para evitar la pérdida de la misma, siendo esta una responsabilidad
exclusiva del departamento de sistemas o el área informática, pero hoy en día el
derecho es importante en la gestión de la información porque es una herramienta
ideal para aportar una serie de recomendaciones y controles jurídicos para la
gerencia de aquellos activos tangibles e intangibles que involucren información
relevante y valiosa para una organización.
Tratándose de proyectos informáticos o telemáticos desarrollados por terceros

para una organización, es importante tener en cuenta que éstos no pueden
ejecutarse al margen de las políticas generales de seguridad de la empresa, ya que

75



trata de de terceras personas que tienen acceso
se a las redes, sistemas de
información,
infraestructura e información estratégica de la compañía, se debe
tener presente que estos al interactuar con la organización, deben asumir una serie
de obligaciones, cargas y deberes, así como los riesgos y responsabilidades que
conlleva el indebido tratamiento de la información para el titular de los activos.
Algunos de los puntos importantes de seguridad de la información en las

organizaciones radican en el volomen de información que crece cada día, en la
información que es un intangible con un valor bastante apreciable, la información
que es una ventaja estratégica en el mercado para la competencia, la frecuencia de
los ataques a los activos de una organización es cada vez mayor, y no existe una
cultura de seguridad en los usuarios de la información, lo que conduce a que las
organizaciones empiecen a incorporar prácticas seguras de protección de la
información.
La seguridad informática tiene un origen reciente, nace en el Reino Unido donde
se trabajo conjuntamente con la empresa privada dando origen a la norma
denominada BS7799, norma es un código de buenas prácticas para la gestión de la
seguridad de la información. Posteriormente esta norma fue actualizada en el año
2000 dando origen a la norma ISO 17999, la cual estaba alineada con las directrices
de la Organización para la Cooperación y Desarrollo Económico – OCDE en materia
de privacidad, seguridad de la información y criptología, entre otros. Finalmente en
el año 2002, la norma adquiere la denominación de ISO 27001, luego de una nueva
actualización.
Hasta ahora la seguridad había sido concebida como el uso de herramientas de

software que neutralicen el acceso ilegal y los ataques a los sistemas de
información, en la actualidad se ha migrado a un modelo de gestión de la seguridad
de la información dinámico. Para lograr niveles adecuados de seguridad se requiere
el concurso de las disciplinas que tengan un impacto en el logro de este cometido,
teniendo siempre presente que un sistema de gestión no garantiza la desaparición
de los riesgos que se ciernen con mayor intensidad sobre la información.
Desde la disciplina del derecho informático se contribuye a la gestión de la

seguridad de la información, los enfoques de intervención jurídica son numerosos
para que la organización adopte medidas que considere pertinentes con el fin de
neutralizar un riesgo. El derecho informático es un enfoque nuevo de intervención,

76



que dentro de los temas propios del derecho informatico se encuentran la
ya
contratación
informática, el derecho a la intimidad y las libertades, el flujo
transaccional de datos, la propiedad intelectual del software, entre otros.
El derecho informático comprende las múltiples interacciones entre el derecho y

las TIC’s, donde surgen aspectos propios como la contratación de intangibles
digitalizables, la propiedad intelectual sobre ellos, el comercio electrónico, la
protección de datos personales, el tratamiento jurídico de los incidentes
informáticos, los aspectos tecnológicos que impactan las relaciones laborales y la
prestación de servicios. Además el fenómeno de la convergencia introduce en este
nuevo sector del derecho aspectos propios del derecho de las telecomunicaciones,
como son los de voz IP, la Televisión sobre IP, los servicios del valor agregado y
servicios telemáticos que empiezan a ser unificados con las TIC bajo el nombre de
servicios convergentes.
El desarrollo cada vez más acelerado de la tecnología y el incremento de la

penetración de internet en la vida social, económica y cultural, además de los
beneficios que reflejen para la sociedad, incrementarán los retos para los
operadores jurídicos en materia de seguridad de la información y de regulación de
estos fenómenos.
Lección 17: Aspectos Jurídicos de la Norma ISO 27001
La norma ISO 27001 es una herramienta de gestión estratégica que conduce a

lograr la protección de la información, ya sea para conseguir la certificación de la
organización, o bien que sólo pretenda incorporar buenas prácticas de seguridad
de la información, en sus procesos internos y también en sus procesos externos. La
norma consagra un conjunto de dominios que pretenden establecer un ciclo de
seguridad lo más completo posible, sin que todos ellos tengan impacto jurídico.
El enfoque propuesto esta alimentado tanto en la normatividad internacional y

nacional, así como también de otras fuentes del derecho, en razón a la escasa
legislación existente. La norma comprende diez dominios: Politica de seguridad de
la información, la organización de la seguridad de la información, la gestión de

77



activos, la seguridad de los recursos humanos, la seguridad física y del entorno, la
gestión
de comunicaciones y operaciones, el control de acceso, la adquisición,
desarrollo y mantenimiento de sistemas de información, la gestión de incidentes de
la seguridad de la información y el cumplimiento. Estos dominios están compuestos
de subdominios y sus correspondientes controles, los cuales se abordan utilizando
el modelo de Planificar, Hacer, Verificar, y Actuar denominado PHVA.
El enfoque basado en procesos para la gestión de la seguridad de la información,
presentado en la norma, estimula a los usuarios a hacer énfasis en la importancia
de comprender los requisitos de seguridad de la información del negocio, y la
necesidad de establecer la política y objetivos en relación con la seguridad de la
información. Además de implementar y operar controles para manejar los riesgos
de seguridad de la información de una organización en el contexto de los riesgos
globales del negocio de la organización, el seguimiento y revisión del desempeño y
eficacia del Sistema de Gestión de seguridad Informática (SGSI), y la mejora
contínua basada en la medición de los objetivos.
La comprensión de la finalidad y de los procedimientos involucrados en la

aplicación de la norma ISO 27001 es un requisito fundamental para la adecuada
contribución desde el derecho al Sistema de Gestión de Seguridad de la
Información en una organización. Al respecto se identifican seis grandes temas
desde la perspectiva jurídica: la protección de datos personales; la contratación de
bienes informáticos y telemáticos; el derecho laboral y prestación de servicios,
respecto de la regulación de aspectos tecnológicos; los servicios de comercio
electrónico; la propiedad intelectual y el tratamiento de los incidentes
informáticos.
Para el éxito de las recomendaciones jurídicas en materia de seguridad de la

información es clave que las mismas estén alineadas con la estrategia y política
general que la organización adopte en esta materia. De los dominios consignados
en la norma ISO 27001 se tendrán en cuenta para efectos de las relaciones entre el
derecho y la TIC los siguientes aspectos:
- Política de Seguridad de la Información: El punto de partida para la gestión
de la seguridad de la información en una organización esta en la política de
seguridad que se formule interna y externamente, ya que esta será la carta

78



de navegación que definirá el marco tecnológico, gerencial, logístico y
jurídico dentro del cual se administren los activos de información.

El dominio A.5 de la norma ISO 27001 establece como objetivo de la política
de seguridad de la información, el de brindar apoyo y orientación a la
dirección con respecto a la seguridad de la información, de acuerdo con los
requisitos del negocio, los reglamentos y las leyes pertinentes, por eso la
política de seguridad que se formulen serán el punto de encuentro de todas
las disposiciones legales y reglamentos a que pueda estar sometida una
organización en desarrollo de su actividad económica en diferentes países.
Cuando la ley no existe o se presentan vacios en su alcance, corresponde a la
política de seguridad servir de guía a la organización en el cumplimiento de
sus obligaciones, deberes o cargas, en este caso la organización podrá
incorporar las mejores prácticas o estándares en seguridad y esto a su vez
facilitará el cumplimiento de la normatividad que deba acatar en diferentes
países en los cuales tenga presencia, siempre que las mismas no sean
contradictorias.
La formulación de la política de seguridad en cada organización seguramente
debe ser diferente, pues debe ser formulada sobre la base de los múltiples
riesgos que pesen sobre la información, así como sobre la clase de activos
involucrados, y las presonas que tengan acceso a la información, estos
factores deben considerarse para una adecuada gestión de seguridad de la
información.
- Protección de Datos Personales: En latinoamerica a pesar de que se

encuentra constitucionalmente como un derecho fundamental, no existe
una ley que regule de manera integral el derecho fundamental a la intimidad
y al Habeas data que permita garantizar las libertades públicas en cada país,
y ser vistos como lugares seguros para la transferencia y tratamiento
internacional de datos. La norma ISO 27001 señala en el dominio A.15.1.4, la
protección de los datos personales y la privacidad, de acuerdo con la
legislación y los reglamentos pertinentes. En consecuencia, en materia de
seguridad de la información y en desarrollo de este derecho fundamental,
consignado en la norma ISO 27001 antes citado, debe procurarse por la
organización que toda base de datos, tenga connotación comercial o no,

79



cuente con las medidas jurídicas, tecnológicas y físicas que aseguren su
protección.

La ausencia de una norma conduce a que gran parte de las bases de datos en
poder de entidades públicas como privadas sean explotadas de manera
ilegítima, a partir del abuso, ignorancia o desconocimiento de los derechos
que tienen los individuos sobre la información confiada. No se pretende
limitar el uso de las bases de datos, sino llamar la atención sobre la
posibilidad de explotar la información dentro de unos parámetros legítimos,
que atiendan los principios de consentimiento, finalidad, calidad, veracidad,
conservación que caracterizan el tratamiento responsable de la información
personal.
Contratación de Bienes Informáticos y Servicios Telemáticos: El derecho

privado tiene sus fuentes más importantes en los códigos civiles y en los
códigos de comercio de cada país, normas que obviamente no preveen la
contratación de bienes informáticos y servicios telemáticos, ya que la
contratación típica está estructurada sobre una economía de bienes
tangibles los cuales no representan problemas desde la perspectiva de las
tecnologías de la información y las comunicaciones.
En el dominio A.10 de la gestión de comunicaciones y operaciones y en el

dominio A.12 la norma ISO 27001 habla de la adquisición, desarrollo y
manteniemiento de sistemas de información, que son dominios que
representan una parte de las falencias que se identifican en el análisis de
riesgos en una organización, por cuanto existe el error de tipificar los
proyectos informáticos en contratos como la compraventa, el
arrendamiento, el suministro, entre otros, los cuales no responden de
manera segura a la regulación de los múltiples aspectos tecnológicos que
han de regularse en un contrato informático o telemático.
Las características propias de los proyectos informáticos conducen a

regulaciones no contempladas por la legislación actual, esta realidad ratifica
la concepción atípica de los contratos sobre bienes intangibles susceptibles
de digitalización. En este caso la regulación de los contratos es suplida por la
voluntad de las partes, los principios generales de contratación, el derecho

80



internacional y demás fuentes, de manera que cada uno de los aspectos de
la relación jurídica sea definido y consignado en el cuerpo del contrato.
En la práctica los equipos de informática trabajan independientemente de

los equipos jurídicos dentro de las organizaciones en los procesos de
contratación informática, situación que genera una ruptura en la tarea de
gestionar de manera eficaz la seguridad de los activos de la información. Es
común ver casos en aspectos como la definición de la propiedad intelectual
sobre los intangibles contratados no están formalizados, o existen
reclamaciones sobre la propiedad de los mismos por quienes los han
desarrollado.
Ante esta realidad debe existir una comunicación clara y efectiva entre las
áreas involucradas en la contratación de intangibles digitales con el fin de
que las inversiones en tecnología para la organización sean seguras. Los
miembros jurídicos de la organización deben tener en cuenta que la
adquisición, desarrollo y mantenimiento de obras digitalizadas requieren de
regulaciones apropiadas del objeto contratado, que exigen armonizar lo
jurídico con lo técnico. Otra buena práctica es la participación de los
abogados, conocedores de la tecnología, en los procesos de negociación del
proyecto informático o telemático, que permitirá definir de manera clara el
alcance del objeto contratado que en ocasiones es bastante abstracto.
La contratación de desarrollo de software por las dificultades que supone

dimensionar su alcance apunta a separar las etapas del ciclo de vida aplicado
para su desarrollo (recolección de requerimientos, análisis y diseño, de las
etapas de desarrollo, pruebas y puesta en producción), lo que permite a las
partes contratantes cumplir con los tiempos previstos, recursos económicos
comprometidos, identificación plena de requerimientos, cumplimiento de
las funcionalidades pretendidas al contratar, entre otros aspectos.
En contratos de licencia de uso sobre aplicaciones informáticas

normalmente media la entrega de la correspondiente licencia y del
ejecutable que permite la instalación de sistema de información, ferente a
esto la norma ISO 27001 plantea la importancia de que la organización
pueda garantizar el acceso al código fuente de la aplicación cuyo uso se
concede, en caso de que el titular del programa desaparezca del mercado

81



que es una de las situaciones que exige regular en términos de seguridad de
la información.
Para el caso de contratos de servicios telemáticos como la instalación de

redes de comunicaciones privadas, la gestión, soporte y mantenimiento de
las mismas, y servicios que se soporten en estas, se aconseja adoptar
medidas que vayan más allá de la prestación eficiente de tales servicios,
tales como que a nivel tecnológico se adopten medidas que otorguen
estabilidad a la red, que ofrezcan la velocidad requerida para el
funcionamiento de los diferentes equipos y sistemas, y gocen de protocolos
seguros que permitan reaccionar a los ataques a los sistemas o a las redes
mismas.
- Políticas Laborales y Prestación de Servicios por Terceros: Las relaciones

laborales son aspectos también comprendidos en el alcance de la norma ISO
27001, el dominio específico A.8 denominado Seguridad de los Recursos
Humanos, que establece un conjunto de controles que se deben tener
presentes antes, durante y después de la terminación de la contratación
laboral.

Este componente involucra las relaciones de servicios con terceros,
advirtiendo que las obligaciones aplican no sólo a las personas jurídicas o
naturales con quienes se contrata, sino también a las relaciones laborales
con sus empleados o relaciones de servicios con los subcontratistas para
dotar de seguridad a las personas involucradas con los activos de
información de una organización.
El dominio A.8.1. se refiere a la seguridad de los recursos humanos antes de

la contratación laboral, su objetivo es el aseguramiento de los empleados,
contratistas y usuarios para que entiendan sus responsabilidades y reducir el
riesgo de robo, fraude o uso inadecuado de las instalaciones. El dominio
A.8.2. se refiere a la seguridad de los recursos humanos durante la
contratación laboral, cuyo objetivo es asegurar que los empleados,
contratistas y usuarios de terceras partes estén conscientes de las amenazas
respecto de la seguridad de la información, sus responsabilidades y sus
deberes. Y el dominio A.8.3. que se refiere a la seguridad de los recursos
humanos, su objetivo es el de asegurar que los empleados, contratistas y los

82



usuarios de terceras partes salen de la organización con su contrato
cumplido.
Estos tres momentos de la contratación laboral deben verse en el contexto
de la relación entre los recursos humanos y los activos de la información a
los que éstos tengan acceso, estos momentos de la relación laboral o de
servicios requiere focalizar la adopción de las medidas de seguridad con
relación a los retos que las tecnologías de la información y las
comunicaciones se plantean al Derecho en esta materia.
Otro de los problemas es el uso del correo electrónico de la organización por
parte de los empleados, en el sentido de establecer si la información allí
contenida puede ser auditada por la empresa, o si tiene carácter personal, o
cuál es el justo medio que pueda dar una respuesta a este problema. La
tecnología permite al administrador del sistema tener conocimiento sobre
los sitios de la red que un usuario visita durante su jornada laboral o de
servicios, puede establecer el tiempo que éste ha estado navegando un
contenido determinado, esta vigilancia atenta contra los derechos de la
persona y la respuesta está determinada en la definición de las políticas
laborales y sus desarrollos que adopte una organización en relación con sus
empleados o con los contratistas.
El uso de las herramientas tecnológicas es un proceso cultural, en el sentido

que las personas desconocen los riesgos de su uso donde las fallas de
seguridad o la pérdida de la información obedecen al desconocimiento de
los riesgos que conlleva el uso inadecuado de las mismas por parte de los
operadores de la organización. En este sentido es deber de la organización
capacitar al personal sobre los riesgos inherentes al uso de las TIC, dar a
conocer la importancia que los activos de la información tienen, comunicar
los riesgos que pesan sobre la información, las prácticas de ingeniería social
aprovechadas por los hackers y crackers para atentar contra la seguridad de
la organización, aspectos que exigen el trabajo en equipo entre los
diferentes actores para consolidar un sistema eficaz de gestión de la
seguridad de la información.

83



Del análisis de estos problemas y riesgos que sirve como punto de partida de
la aplicación de la norma ISO 27001, corresponde al personal jurídico sugerir
los tópicos que se deben tener presentes en los contratos laborales y en los
contratos de prestación de servicios, en lo que se refiere al manejo,
administración, uso, entrega y devolución de los activos de información a los
que se otorga acceso, así como a las consecuencias derivadas de la perdida,
hurto, alteración o modificación de la información entregada y confiada a
estas personas.
- Servicios de Comercio Electrónico: En la norma ISO 27001, el comercio

electrónico debe entenderse como la transmisión de información por vías
electrónicas públicas como Internet o privadas como una Intranet, EDI, entre
otras.

El control de la norma ISO 27001 que hace referencia a esta materia es el

A.10.9, cuyo objetivo consiste en garantizar la seguridad de los servicios de
comercio electrónico y su uso seguro, de acuerdo a esto corresponde al
operador jurídico tener presente la información que se trasmite por las
redes públicas debe estar protegida contra actividades fraudulentas, las
eventuales disputas por contratos, y la divulgación o modificación no
autorizada de la información.
La preocupación de las organizaciones en términos de seguridad de la

información, respecto de las transacciones a través de canales electrónicos,
es que cuenten con los atributos de integridad, disponibilidad,
confidencialidad, y no repudio, que se logra con la implementación de
herramientas como las firmas digitales de clave pública y privada, de
carácter asimétrico.
El crecimiento del comercio electrónico está determinado por el

consumidor, y para lograr su confianza se requiere garantizar sus derechos, y
concientizar a quienes comercializan bienes y servicios en la red que éstos
tienen deberes y obligaciones al respecto. Por su parte, el estado debe

84



modernizar las disposiciones relacionadas con el derecho del consumo, que
el consumidor encuentre respuestas ágiles y oportunas en la autoridad
competente en esta materia.
Las organizaciones proveedoras de bienes y servicios por vías electrónicas

tienen la capacidad y los medios para autorregular su comportamiento
económico. En este orden de ideas, en el portal de las organizaciones se
debe y puede informar las condiciones de contratación, la responsabilidad
del proveedor, los derechos del consumidor, generar la factura electrónica
correspondiente, establecer las condiciones para las garantías, informar
sobre los impuestos, entre otros aspectos que se deben tener en cuenta
para conquistar al consumidor.
Las acciones que se adopten en materia de seguridad, en términos de la ISO

27001, respecto de los servicios de comercio electrónico deben atender la
naturaleza del modelo de negocio, de las transacciones que se realicen, los
datos que se transmitan y de los riesgos inherentes a las actividades mismas.
- Propiedad Intelectual: Hoy en día con la era de la sociedad de la

información, los activos productivos son intangibles, incorpóreos, entonces,
estos se deben proteger y uno de los mecanismos que sirven para
protegerlos es la propiedad intelectual. El dominio A.15.1.4 de la norma ISO
27001 establece el cumplimiento de las disposiciones sobre propiedad
intelectual en aras de la seguridad de la información, este control consiste
en la implementación de procedimientos para asegurar el cumplimiento de
requisitos legales, reglamentarios, y contractuales sobre el uso del material
con respecto al cual puedan existir derechos de propiedad intelectual y
sobre el uso de productos de software patentados tales como el software,
las bases de datos, las obras multimedia, los sistemas inteligentes que son
activos que ameritan adoptar medidas especiales para lograr una protección
eficaz.

En materia de seguridad de la información se requiere claridad en los

contratos de desarrollo de aplicaciones informáticas en lo que respecta a la
titularidad de los derechos de propiedad intelectual, tanto en sus
modalidades de Derechos de Autor y Propiedad Industrial que son temas

85



transversales a la seguridad de la información corporativa, que exige
medidas que aseguren la protección de la misma.
Una organización, debe asegurar la titularidad de los derechos patrimoniales
sobre las obras informáticas encargadas, y las licencias de los sistemas de
información y que puede extenderse a exigir a los proveedores cuenten con
las licencias de uso de los programas informáticos, que soportan la
prestación de los servicios informáticos contratados.
El equipo de seguridad de la organización debe informar sobre la prohibición
de instalar en los computadores software que no tenga licencias, o
programas que puedan poner en riesgos la seguridad de los sistemas o de
los equipos, eventualidades que deben estar reguladas en el marco de la
política laboral y de servicios que tenga la organización.
Otra recomendación en desarrollo de la norma ISO 27001 es otorgar la

titularidad de los desarrollos, descubrimientos, adelantos, innovaciones y
nuevas creaciones de los empleados en desarrollo de la relación laboral, los
cuales pertenecen a la empresa, en este aspecto ha sido cuestionadas las
cláusulas que se acostumbran pactar en los contratos laborales, previa la
existencia de los desarrollos o innovaciones, dotando de seguridad a la
propiedad que tiene la empresa sobre la información desarrollada, o si se
requiere de acuerdos posteriores a la creación de la obra o patente.
A pesar de que la norma ISO 27001 hace referencia a derechos de propiedad
intelectual, es importante tomar medidas de seguridad respecto de
información que puede no estar cobijada por esta regulación, como puede
ser la información empresarial, o secretos empresariales de la organización,
ya que las normas de propiedad intelectual establecen cuáles bienes son
sujetos de protección, cuáles derechos asisten a sus titulares, la duración de
la protección y demás aspectos inherentes a su seguridad jurídica.
Lección 18: Tratamiento Legal de los Incidentes Informáticos
La seguridad informática es reciente y hasta hace unos años el fenómeno de atacar
las redes de comunicaciones se inicia cuando piratas del mundo eléctrico/

86



electrónico empezaron a vulnerar los sistemas de terceros, tras la aparición de las
líneas
de comunicaciones telegráficas. El estudio sobre seguridad y crimen
informático del Computer Security Institute -‐ CSI, arroja datos de los que se
estiman las perdidas cercanas a los 150 millones de dólares por problemas de
seguridad y van en aumento. Una de las mayores preocupaciones de los
responsables del área informática de las organizaciones, ha sido el tratamiento de
los incidentes informáticos, incluyendo aquellas situaciones que atentan, vulneran
o destruyen información, además del impacto psicológico y económico que puede
generar.
Entrando en materia, se tiene que el dominio A.13 de la norma ISO 27001

establece como objetivo de la gestión de los incidentes de seguridad de la
información la necesidad de asegurar que los eventos y las debilidades de la
seguridad asociados con los sistemas de información, se comunican de forma tal
que permiten tomar las acciones correctivas oportunamente.
En los asuntos de competencia del Derecho en materia de incidentes informáticos,

descritos en el dominio A.13.2.3., se invita a que las organizaciones sean proactivas
en la recolección de la evidencia de los mismos, en este sentido, el control
establece el seguimiento contra una persona u organización después de un
incidente de seguridad de la información implica acciones legales, y la evidencia se
debe recolectar, retener y presentar para cumplir con las reglas para la evidencia
establecidas en la jurisdicción competente.
Un incidente de seguridad consiste en una conducta criminal desarrollada por un

individuo contra sistemas de información, redes de comunicaciones, o activos de
información, con el fin de alterar, copiar, simular, hurtar, destruir, indisponer,
bloquear y/o sabotear su funcionamiento normal. Estos comportamientos pueden
ser desplegados por intrusos informáticos, extorsionistas, terroristas, espías
industriales, usuarios de los sistemas o de las redes, ex empleados y millones de
usuarios con conocimientos medianos en ataques informáticos.
Para el cumplimiento de la norma en materia de recolección de las pruebas de un
incidente es importante tener en cuenta que tales actividades requieren del apoyo
de la informática forense, y ante la sospecha de que se esta cometiendo un
incidente informático, el análisis forense permitirá capturar, procesar e investigar
información procedente de sistemas informáticos, mediante la aplicación de una

87



metodología que permita dar autenticidad a la prueba a ser utilizada en una causa
judicial.

Ante la presencia de un incidente informático corresponde al equipo de seguridad
reaccionar frente a él siguiendo un esquema de cuatro pasos, el primero que es
identificar los equipos que pueden contener evidencia del incidente sucedido, el
segundo que es el de preservar la evidencia de los daños accidentales o
intencionales efectuando una copia o imagen exacta del medio analizado, la
tercera que es examinar la imagen buscando evidencia o información sobre los
hechos que suponen la existencia de un incidente de seguridad y el cuarto que es
escribir un reporte una vez finalizada la investigación sobre los hallazgos para
tomar una decisión legal o jurídica ente el hecho.
El problema de la recolección de incidentes informáticos radica en aplicar

protocolos que permitan un tratamiento probatorio conforme a la ley, de manera
que la prueba obtenida tenga la legalidad requerida para ser aceptada en una
causa judicial, sea ésta de naturaleza penal, civil, administrativa o disciplinaria. El
tratamiento del incidente informático demanda aplicar técnicas equivalentes a las
practicadas para buscar la evidencia de un delito cometido en el mundo real.
Al recabar la evidencia de incidentes informáticos es más difícil en virtud a que la
prueba de tales acciones muchas de las veces pueden desaparecer o ser eliminadas
por su volatilidad, esta característica exige la intervención del equipo de seguridad
para que se realice tan pronto como se tenga conocimiento o sospecha de la
ocurrencia de un ataque a los activos de información de una organización. Frente a
esto no solo se debe encontrar la evidencia del delito, ataque o intrusión, sino que
se debe asegurar la limpieza en la práctica de la misma, pues en caso de alterarla o
desaparecer ésta, será imposible demostrar que se cometió el delito o incidente,
aplicar las sanciones y el resarcimiento de los perjuicios que se causen.
Un incidente informático puede o no tener carácter judicial, y una organización

seguramente definirá por razones estratégicas hacer pública o no su condición de
víctima de un ataque a sus activos de información, el carácter judicial esta
determinado por la tipificación legal de la conducta del infractor y se debe
contrastar contra los tipos penales consagrados en la legislación de cada país.

88



sistemas acusatorios permiten que los particulares puedan participar en la
Los
recolección
de la evidencia de la comisión de determinados hechos potencialmente
punibles, previo cumplimiento de los requisitos que exige la ley procesal. Esta
facultad es fundamental en materia de oportunidad y pericia a la hora de recabar la
evidencia de un incidente de naturaleza informática. La recolección de la evidencia
de un incidente informático, implica la participación de un equipo interdisciplinario
de profesionales capacitados en identificar, recolectar, documentar y proteger las
evidencias del incidente, apoyándose en técnicas de criminalísticas forenses, que
permitan iniciar las acciones penales y civiles derivadas de la ocurrencia de estos
incidentes.
Al respecto es importante conocer las medidas que en el marco del sistema

acusatorio de cada país existan para que los mismos particulares, en este caso las
organizaciones afectadas, puedan recabar las pruebas de los hechos punibles
cometidos, teniendo en cuenta la cadena de custodia, entre otras herramientas,
que asegure las características originales de los elementos físicos de la prueba del
incidente, desde la protección de la escena, recolección, embalaje, transporte,
análisis, almacenamiento, preservación, recuperación y disponibilidad final de
éstos, identificando al responsable en cada una de sus etapas y los elementos que
correspondan al caso investigado.
En materia de gestión de la seguridad de la información, éste es quizás uno de los
mayores retos que enfrenta una organización, en particular, por la facilidad y
creciente tendencia a atentar contra los sistemas de información, así como el
desconocimiento y la escasa formación en la recolección de la evidencia de los
incidentes informáticos.
Lección 19: Derecho Informático en América Latina: Firma Electrónica,

Contrataciones Electrónicas y Comercio Electrónico
Hoy en día las TIC influencian las vías tradicionales de comercio y contratación, con
la incorporación de las nuevas tecnologías y las medidas de contratación a través
de dispositivos electrónicos se han introducido nuevas medidas de intercambio de
bienes y servicios que se ofrecen en varios niveles en Internet. Además, a nivel
global los gobiernos enfrentan el reto de impulsar y facilitar el desarrollo social y el

89



crecimiento económico basado en las tecnologías emergentes de redes,
proporcionando
a sus ciudadanos una efectiva y transparente protección al
consumidor en el comercio electrónico.
En este sentido se han promulgado las leyes de protección al consumidor que

regulan las actividades empresariales y los países de la Organización para la
Cooperación y Desarrollo Económico -‐ OCDE han iniciado la revisión de sus leyes
vigentes así como de las prácticas de protección al consumidor, para determinar los
cambios que se requiere en términos de las características particulares del
comercio electrónico. En la actualidad, a nivel regional e internacional las
posibilidades del comercio electrónico ya han sido ampliamente utilizadas,
existiendo mercados de bolsa, compañías aéreas, agentes y bancos que ofrecen la
venta y la comercialización de bienes de todo tipo a través de internet.
Las firmas digitales constituyen una herramienta esencial para garantizar la

seguridad y brindar confiabilidad a las transacciones, facilitando y proporcionando
autenticidad entre partes que no se han encontrado antes en el mercado, o que
por varias razones nunca podrán hacerlo presencialmente. Por esta razón las firmas
digitales constituyen un elemento imprescindible para el desarrollo del comercio
electrónico.
También las Naciones Unidas tratan el marco legal relativo al comercio electrónico,
adaptando los requisitos legales existentes, y aumentando el nivel de seguridad del
proceso, uno de los aspectos importantes fue la previsión relativa a la formación de
la validez de un contrato electrónico, donde la ley establece que la información no
se le puede negar el efecto legal o la validez o su aplicabilidad, solamente por el
hecho de que la misma información sea presente en formato digital.
Con respeto a la normativa sobre comercio electrónico y contratación electrónica,

actualmente varios países de la región han adoptado leyes que tratan de aplicar
este modelo, por ejemplo, Colombia en 1999, República Dominicana en 2002,
Ecuador en 2002, Guatemala en 2008, México en 2000, Panamá y Venezuela en el
2001 han sido promulgadas legislaciones denominadas “leyes de comercio
electrónico” que abarcan reglas sobre contratación electrónica, normas sobre
firmas electrónicas, certificados digitales y validez del documento electrónico.

90



Si bien con definiciones diferentes, el conjunto de normas analizadas tiende a:
Otorgar y reconocer eficacia y valor jurídico a la firma electrónica, a mensajes de

datos y a toda información inteligible en formato electrónico; reconocer la eficacia
probatoria de todo tipo de información en forma de mensaje de datos; brindar
validez a los documentos electrónicos; e introducir el concepto de Firma
electrónica avanzada, como aquella certificada por un prestador acreditado, que ha
sido creada usando medios que el titular mantiene bajo su exclusivo control.
La mayoría de los países presentan regulaciones basadas en infraestructura de

claves públicas, donde el usuario de un sistema genera un par de claves
consistentes en una pública y otra privada, utilizando algoritmos asimétricos con la
característica de que lo que cierra una, abre la otra y viceversa. La clave pública se
distribuye a través de Autoridades Certificadoras que publican estás claves
juntamente con los certificados de a quiénes pertenecen, mientras que la clave
privada permanece secreta. Existen organismos gubernamentales o privados de
acreditación en Argentina, Brasil, Chile, Colombia, Ecuador, Panamá, Perú, Puerto
Rico, República Dominicana y Venezuela.
Como ejemplos, se puede mirar a los casos de Brasil y Colombia, donde en ambos
países se pueden efectuar las declaraciones impositivas a través de Internet
utilizando certificados digitales. La Secretaría de Hacienda Federal de Brasil permite
que los contribuyentes posean su firma digital para presentar sus declaraciones y
efectuar sus trámites ante el organismo en forma electrónica, y por su parte, la
Dirección Nacional de Impuestos y Aduanas Nacionales de Colombia habilita el
servicio de presentación de declaraciones impositivas electrónicas para los
próximos vencimientos.
Lección 20: Derecho Informático en América Latina: Gobierno Electrónico, Acceso

Público a Información y Protección de Datos
El manejo de la información almacenada por las administraciones públicas ha

cambiado con el desarrollo de la tecnología de la información, ya que se permite a
los ciudadanos controlar el flujo de informaciones y datos en posesión de los
gobiernos, generando implícitamente sobre éstos un mayor control. El gobierno

91



electrónico consiste en el uso de las tecnologías de la información y el
conocimiento
en los procesos internos de gobierno y en la entrega de los
productos y servicios del Estado tanto a los ciudadanos como al mercado, uno de
los intereses en el e-‐gobierno ha sido estimulado con el desarrollo del comercio
electrónico donde prácticamente todos los gobiernos del mundo empiezan a tener
en cuenta las TIC como una herramienta potente para mejorar la calidad de los
servicios brindados a los ciudadanos.
En los países de América Latina el concepto de gobierno electrónico se presenta

resaltando un listado de sus principales beneficios:
-‐ Mejorar la calidad y el acceso a los servicios
-‐ Reducir costos administrativos
-‐ Restablecer la confianza de los ciudadanos
-‐ Evitar el desperdicio de recursos
-‐ Efectuar reingeniería deprocesos
-‐ Mejorar la infraestructura de tecnologías de información y comunicación
-‐ Entender la relación entre política y resultados
-‐ Decidir dónde gastar y cuándo
-‐ Rediseñar la entrega de servicios con calidad, transparencia y rendición de

cuentas
-‐ Mejorar la capacidad de gobernar para atender los anhelos y expectativas de
la sociedad
-‐ Facilitar la implementación de la administración por objetivos, la creación de
organizaciones más flexibles, el funcionamiento de estructuras menos
piramidales y la creación de oficinas de gobierno más pequeñas y eficientes.

92



Estos beneficios han brindado servicios más eficientes y más rápidos a los
ciudadanos,
y han permitido un control más atento de los gobiernos que con el uso
de las tecnologías ayudan a los ciudadanos a exigir más información y a controlar el
uso que las administraciones públicas hacen de los datos sensibles que pertenecen
a las personas. Las Leyes de Transparencia y Acceso a la Información Pública han
contribuido a regular los aspectos mencionados y a exigir una mayor rendición de
cuentas, fomentando así la auditoría social y garantizando a los pueblos un
instrumento fuerte de evaluación de la gestión y el desempeño de los políticos
elegidos.
De acuerdo con la Organización para la Cooperación y Desarrollo Económico

(OCDE), el gobierno electrónico se refiere al uso de las TIC, particularmente de
Internet, como una herramienta para alcanzar un mejor gobierno. En términos de
impacto de e-‐gobierno, el 73% de las agencias evaluada por parte del OCDE en
México destacaban que había un importante efecto en la transparencia y
responsabilidad de la administración pública, dando lugar a una nueva ley de
Transparencia que regula los servicios prestados por el gobierno a los ciudadanos.
Son objetivos de la mencionada Ley (Art. 4 Ley Federal de Transparencia y Acceso a
la información pública gubernamental):
-‐ Proveer lo necesario para que toda persona pueda tener acceso a la
información mediante procedimientos sencillos y expeditos;
-‐ Transparentar la gestión pública mediante la difusión de la información que
generan los sujetos obligados;
-‐ Garantizar la protección de los datos personales en posesión de los sujetos
obligados;
-‐ Favorecer la rendición de cuentas a los ciudadanos, de manera que puedan
valorar el desempeño de los sujetos obligados;
-‐ Mejorar la organización, clasificación y manejo de los documentos

93



-‐ Contribuir a la democratización de la sociedad mexicana y la plena vigencia
del estado de derecho
El derecho de acceso a los actos, contratos y documentos en poder del Estado, es
un tema relevante y esencial para las Sociedades del Siglo XXI, pero no debe ser
confundido con la garantía del “Habeas Data” (derecho al conocimiento, por parte
de la persona, de sus propios datos) y con el principio de la “Autodeterminación
Informativa” (derecho del interesado a ejercer control sobre informaciones que se
refieren a si mismo) que amparan, desde fines de la década del 70, el derecho de
cada persona para controlar y decidir exclusivamente sobre el procesamiento de
sus datos personales y nominativos, sea por entes estatales o por empresas
particulares.
La autodeterminación reviste un particular sentido hoy en día en el proceso penal,
ya que a veces, para lograr los fines de la investigación de un hecho delictivo se
utilizan medios no admisibles o con violación a las reglas de la autodeterminación
que también forman parte directa de las reglas del debido proceso. Un
procesamiento de datos que no respete estos derechos, y utilice datos tanto
sensibles como no sensibles para los efectos de la realización de perfiles de
conducta para demostrar la participación criminal en un determinado hecho, debe
ser considerado violatorio del debido proceso.
Esto no significa que haya una carta blanca para que los delincuentes se rearmen
con la herramienta informática o que estos queden fuera de la acción del Estado,
sino que también en materia de derecho probatorio, y cuando se trata de un
procesamiento de datos con ese fin, se deben cumplir una serie de reglas y
principios que forman parte integral del derecho procesal como derecho
constitucional aplicado.

94



El derecho de acceso a la información pública en este contexto, es una dimensión
de
la transparencia y consiste en la facultad que tiene toda persona de acceder a la
información en poder de las instituciones públicas, es el derecho de solicitar y
recibir la misma sin necesidad de acreditar que se tiene un interés legítimo ni de
justificar la finalidad para la que se solicita la información.
Dando una mirada a la región, la materia del acceso a la información pública está
regulada generalmente en leyes particulares, pero en las legislaciones de la Región
se encuentra de manera dispersa y contradictoria. En países como Argentina,
Belize, Bolivia, Brasil, Chile, Colombia, Ecuador, Guatemala, Jamaica, México,
Panamá, Perú, República Dominicana, Trinidad y Tabago, solamente dos tienen una
normativa especifica en el tema de acceso a la información que son Colombia y
Trinidad y Tobago lo que presenta este tipo de normas como relativamente
reciente en América Latina y el Caribe.
En algunos países recién comienzan a regir normas nuevas (Chile, Guatemala), o se

están actualmente presentando proyectos de ley para colmar el vacío legislativo
(como Costa Rica y El Salvador), lo que indica generalmente una tendencia hacia
una mejor regulación de la materia.En cuanto a Brasil, este país aún no ha
establecido una ley especial para la libertad de la información, sin embargo, en
mayo de 2009, la Presidencia de la República de Brasil envió un proyecto de ley de
acceso a la información pública al Congreso Nacional.
Con referencia al caso de Chile, ha sido recién aprobada la ley 20 sobre

transparencia de la función pública y acceso a la información de los órganos de la
Administración del Estado que fue el resultado de una reforma constitucional que
un nuevo artículo (artículo 8) dentro de las Bases de la Institucionalidad, que
estableció que el ejercicio de las funciones públicas en Chile obligaba a sus titulares
a dar estricto cumplimiento al principio de probidad en todas sus actuaciones, y se
declaró perentoriamente que son públicos los actos y las resoluciones de los
órganos del Estado, sus fundamentos y los procedimientos utilizados, pudiendo
establecerse por excepción y sólo mediante una ley de Quórum Calificado su

95



reserva o secreto. Este texto vino a fortalecer el llamado Derecho de Acceso a la
Información relacionada con los actos y documentos de la Administración Estatal,

antes también consagrado en el artículo 13 de la Ley de Bases de la Administración
del Estado.
CAPITULO 5: ORGANISMOS DE REGULACIÓN Y LEGISLACIÓN INTERNACIONAL EN

SEGURIDAD INFORMÁTICA
Introducción
Lección 21: Organizaciones Internacionales en CSIRT’s
Con el rápido desarrollo de internet, las diferentes organizaciones son cada vez
más dependientes del uso de redes públicas, volviendo crítica la productividad y
estabilidad de las infraestructuras nacionales que componen esta nueva e-‐
economía emergente y que es urgente proteger. Los ataques contra las
infraestructuras computacionales están aumentando en frecuencia, sofisticación y
escala lo que ha requerido un acercamiento y colaboración con las varias
organizaciones públicas, privadas y la academia, para que tomen el liderazgo y
coordinación con el apoyo total de los gobiernos para su protección.
Para tratar esta necesidad se ha establecido grupos denominados CERT que se

enfoca en la atención de emergencias de seguridad informática para las
transacciones en línea con una permanente colaboración nacional e internacional.
Internacionalmente se han conformado los grupos denominados CSIRT (Computer
Security Incident Response Team o Equipo de Respuesta a Incidentes de Seguridad
Informática), y ha sido acuñado respondiendo simultáneamente a diferentes

96



abreviaturas usadas para denotar a nivel mundial este tipo de equipos, entre ellas
tenemos:

• CSIRT (Computer Security Incident Response Team / Equipo de Respuesta a

Incidentes de Seguridad Informática) usado en Europa.
• CERT o CERT/CC (Computer Emergency Response Team / Coordination Center,

equipo de respuesta a emergencias informáticas / Centro de coordinación) usado
en los Estados Unidos de América por el CERT Coordination Center (CERT/CC).
• IRT (Incident Response Team / Equipo de respuesta a incidentes).
• CIRT (Computer Incident Response Team / Equipo de respuesta a incidentes

informáticos).
• SERT (Security Emergency Response Team / Equipo de respuesta a emergencias

de seguridad).
Estos grupos de expertos en seguridad informática pretenden responder a los

incidentes de seguridad relacionados con la tecnología de la información y a
recuperarse después de sufrir uno de estos incidentes.
Para minimizar los riesgos también se ofrecen servicios preventivos y educativos

relacionados con vulnerabilidades de software, hardware o comunicaciones y se
informa a la comunidad sobre los potenciales riesgos que toman ventaja de las
deficiencias de la seguridad. Disponer de un equipo dedicado a la seguridad de las
TI ayuda a las organizaciones a mitigar y evitar los incidentes graves y a proteger su
patrimonio.

97



Algunos de los beneficios que se pueden enumerar al tener grupos de seguridad
son
los siguientes:
• Disponer de una coordinación centralizada para las cuestiones relacionadas con
la seguridad de las TI dentro de la organización (punto de contacto).
• Reaccionar a los incidentes relacionados con las TI y tratarlos de un modo

centralizado y especializado.
• Tener al alcance de la mano los conocimientos técnicos necesarios para apoyar y

asistir a los usuarios que necesitan recuperarse rápidamente de algún incidente de
seguridad.
• Tratar las cuestiones jurídicas y proteger las pruebas en caso de pleito.
• Realizar un seguimiento de los progresos conseguidos en el ámbito de la

seguridad.
• Fomentar la cooperación en la seguridad de las TI entre los clientes del grupo

atendido (sensibilización).
Lección 22: Organizaciones CERT o CSIRT’s Alrededor del Mundo
En la actualidad existen múltiples organizaciones que usan el nombre CERT -‐

Computer Emergency Response Team (Equipo de Respuesta a Emergencias de
Computación) o CSIRT (término genérico de significado equivalente). A
continuación se presentan algunas de estas organizaciones, servicios y
experiencias que han fortalecido la seguridad en cada uno de los países donde
operan.
- FIRST -‐ Forum for Incident Response and Security Teams3
El Foro de Equipos de Seguridad para Respuesta a Incidentes -‐ FIRST es la

primera organización global reconocida en respuesta a incidentes, tanto de
manera reactiva como proactiva. FIRST fue formado en 1990 en respuesta al

98



problema del gusano de internet que atacó en 1988 y desde entonces se ha
continuado creciendo y desarrollándose en respuesta a las necesidades
cambiantes de los equipos y de las necesidades de seguridad frente a los
múltiples incidentes.
Servicios Ofrecidos: FIRST reúne una variedad de equipos de respuesta de

incidentes de seguridad informática para entidades gubernamentales,
comerciales y académicas, este equipo busca fomentar la cooperación y
coordinación en la prevención de incidentes, estimular la reacción rápida a
los incidentes y promover el compartir información entre los miembros y la
comunidad.
FIRST proporciona adicionalmente servicios de valor agregado tales como:

Acceso a documentos actualizados de mejores prácticas, Foros técnicos para
expertos en seguridad informática, Clases, Conferencia Anual, Publicaciones
y webservices, Grupos de interés especial
FIRST está en una confederación internacional de los equipos de respuesta a
incidentes informáticos que de manera cooperativa manejan incidentes de
la seguridad y promueven programas de la prevención del incidente, anima y
promueve el desarrollo de productos, políticas y servicios de la seguridad,
desarrolla y promulga las mejores prácticas de la seguridad y promueve la
creación y expansión de los equipos de incidente alrededor del mundo.
Los miembros de FIRST desarrollan y comparten información técnica,

herramientas, metodologías, procesos y mejores prácticas y utilizan su
conocimiento, habilidades y experiencia combinados para promover un
ambiente electrónico global más seguro. FIRST tiene actualmente más de
180 miembros, extienda por África, las Américas, Asia, Europa y Oceanía.
Tomado de: http://www.first.org/
- ENISA -‐ European Network and Information Security Agency

99



En el año 2004 se creó la Agencia Europea de Seguridad de las Redes y de la
Información (ENISA), y su objetivo es garantizar un nivel elevado y efectivo
de seguridad de las redes y de la información en la Comunidad Europea y
desarrollar una cultura de la seguridad de las redes y la información en
beneficio de los ciudadanos, los consumidores, las empresas y las
organizaciones del sector público de la Unión Europea, contribuyendo así al
funcionamiento armonioso del mercado interior. Desde hace varios años,
diferentes grupos europeos dedicados a la seguridad, como los CERT/CSIRT,
los equipos de detección y respuesta a abusos y los WARP, colaboran para
que Internet sea más seguro.
La ENISA desea apoyar el esfuerzo realizado por estos grupos aportando

información acerca de las medidas que garantizan un nivel adecuado de
calidad de los servicios. Además, la Agencia desea potenciar su capacidad de
asesorar a los Estados miembros de la UE y los órganos comunitarios en
cuestiones relacionadas con la cobertura de grupos específicos de usuarios
de las TI con servicios de seguridad adecuados. Por lo tanto, basándose en
los resultados del grupo de trabajo ad-‐hoc de cooperación y apoyo a los
CERT, creado en 2005, este nuevo grupo de trabajo se encargará de asuntos
relativos a la prestación de servicios de seguridad adecuados (servicios de
los CERT) a grupos de usuarios específicos.
Servicios Ofrecidos: Para asegurar el cumplimiento de sus objetivos según lo
precisado en su regulación, las tareas de la agencia se enfocan en asesorar y
asistir a los Estados miembro en temas de seguridad de la información y a la
industria en problemas de seguridad relacionados con sus productos de
hardware y de software, recopilar y analizar datos sobre incidentes de la
seguridad en Europa y riesgos emergentes, y promover métodos de gestión
de riesgo de la seguridad de la información.

100



Los principales servicios que promueven son:

Servicios Reactivos: Alertas y Advertencias, Tratamiento de Incidentes,
Análisis de Incidentes, Apoyo a la Respuesta de Incidentes, Coordinación de
la respuesta de incidentes, Respuesta a Incidentes in situ, Tratamiento de la
Vulnerabilidad, Análisis de la Vulnerabilidad, Respuesta a la vulnerabilidad,
Coordinación de respuesta a la vulnerabilidad.
Servicios Proactivos: Comunicados, Observatorio de tecnología,

Evaluaciones o auditorias de la seguridad, Configuración y Mantenimiento
de la Seguridad, Desarrollo de herramientas de seguridad, Servicios de
detección de intrusos, Difusión de Información relacionada con la seguridad
Manejo de Instancias: Análisis de instancias, Respuesta a las instancias,

coordinación de la respuesta a las instancias.
Gestión de calidad de la seguridad: Análisis de riesgos, Continuidad del

negocio y recuperación tras un desastre Consultoria de la seguridad,
Sensibilización, Educación/formación, Evaluación o certificación de
productos
Tomado de:
http://www.enisa.europa.eu/cert_guide/downloads/CSIRT_setting_up_guid
eENISA-‐ES.pdf.
- APCERT6 -‐ Asia Pacific Computer Emergency Response Team
APCERT ha sido constituida con la misión de mantener una red de contactos

de expertos en seguridad informática en la región Pacífica de Asia, para
mejorar el conocimiento y la capacidad de la región en lo referente a
incidentes de la seguridad de la computadora.
Servicios Ofrecidos: Impulsar la cooperación regional e internacional de Asia

pacífica en seguridad de la información, Tomar medidas comunes para
atender incidentes de seguridad de la red, Facilitar compartir información e
intercambio de tecnología, relacionada con seguridad de la información,
virus informáticos y código malévolo, entre sus miembros, Promover la
investigación y colaboración en temas del interés en sus miembros, Asistir a

101



otros CERTs y CSIRTS en la región para conducir respuestas eficiente y eficaz
a emergencia computacionales, Generar recomendaciones de ayudar en
cuestiones legales relacionadas con la respuesta a incidentes de seguridad y
de emergencias informáticas en la región.
Tomado de: http://www.apcert.org/
- CERT -‐ Coordination Center de la Universidad Carnegie Mellon
El equipo del CERT CSIRT ayuda a organizaciones para desarrollar, para

funcionar, y para mejorar capacidades de la gerencia del incidente. Las
organizaciones pueden aprovecharse de los productos, del entrenamiento,
de los informes, y de los talleres para la comunidad global del Internet.
El centro de coordinación del CERT (CERT/CC), es uno de los grupos con

mayor reconocimiento en el campo de los CERTs. Aunque fue establecido
como equipo de respuesta a incidente, el CERT/CC se ha desarrollado más
allá, centrándose en identificar las amenazas potenciales, de notificar a los
administradores de sistemas y al personal técnico acerca de dichas
amenazas y de coordinar con los proveedores y los equipos CERT en todo el
mundo para tratar las amenazas.
Servicios Ofrecidos:
Las áreas en las cuales puede ayudar son:
-‐ Análisis de vulnerabilidades, esperando identificar y atenuar los

impactos antes de que se conviertan en una amenaza significativa de
la seguridad. Una vez que se identifica una vulnerabilidad, se trabaja
con los proveedores apropiados de la tecnología para resolver la
acción.
-‐ Además de identificar vulnerabilidades, previenen la introducción de

nuevas amenazas, estableciendo prácticas que los proveedores
pueden utilizar mejorar la seguridad y la calidad de su software.
-‐ Promueven el desarrollo de una capacidad global de la respuesta,

ayudando a organizaciones y apaíses a establecer los Equipos de
Respuesta a Incidente de la Seguridad Informática (CSIRTs) y trabajan

102



con los equipos existentes para coordinar
la comunicación y la
respuesta durante acontecimientos importantes de seguridad.
-‐ Examinan, catalogan y hacen ingeniera inversa sobre códigos

malévolos. Estas actividades ayudan a entender mejor cómo el código
trabaja y permiten que se identifiquen las tendencias y los patrones
que pueden revelar vulnerabilidades explotables u otras amenazas
potenciales.
-‐ Promueven el intercambio de información referente a los servicios de

seguridad: Avisos de prevención, Actualizaciones de las actividades de
seguridad, Análisis y entrenamiento en incidentes, Alertas,
Investigación en tendencias, amenazas y riesgos
-‐ Generan intercambios Técnicos: Consultoría, entrenamiento y

desarrollo de habilidades técnicas, Intercambios técnicos de personal
o afiliados residentes, Herramienta de desarrollo y ayuda, Análisis de
vulnerabilidad, Análisis de hardware, Red de supervisión y análisis
-‐ Evalúan la madurez y capacidad del CSIRT
-‐ Interactúan para el patrocinio de FIRST y presentación a otras

organizaciones y socios estratégicos
-‐ Hacen análisis de la infraestructura crítica
Tomado de: http://www.cert.org
- TERENA8 -‐ Trans-‐European Research and Education Networking

Association

La Asociación Trans Europea de Redes de Investigación y Educación –

TERENA (Trans-‐European Research and Education Networking Association)
ofrece un foro de colaboración, innovación y compartir conocimiento para
fomentar el desarrollo de la tecnología, de la infraestructura y de los
servicios del Internet que se utilizan por la comunidad de Investigación y
educación.

103



Los objetivos de TERENA se orientan a promover y participar en el desarrollo
de información de alta calidad y de una infraestructura de
telecomunicaciones internacionales en beneficio de la investigación y de la
educación.
Servicios Ofrecidos: Las principales actividades de TERENA son:
• Proveer un ambiente de fomento de nuevas iniciativas en la

investigación en la comunidad europea para el establecimiento de
una red de conocimiento.
• Empalmar el soporte europeo para evaluar, probar, integrar y

promover nuevas tecnologías del establecimiento de una red de
conocimiento.
• Organizar conferencias, talleres y seminarios para el intercambio de la

información en Comunidad europea para el establecimiento de una
red de investigación y buscar transferencia del conocimiento a
organizaciones menos avanzadas.
Junto con FIRST, TERENA organiza regularmente talleres de entrenamiento

para los miembros de los Equipos de Respuesta al incidente de Seguridad
Computacional (CSIRTs), con base en materiales desarrollados
originalmente por el proyecto TRANSITS que funcionó entre 2002 y 2005.
TRANSITS era originalmente un proyecto financiado por la Comunidad

Económica Europea para promover el establecimiento de los equipos de la
respuesta del incidente de la seguridad de la computadora (CSIRTs) tratando
el problema de la escasez del personal experto en CSIRTs. Esta meta ha sido
tratada proporcionando cursos de especialización al personal de CSIRTs en
temas organizacionales, operacionales, técnicos, de mercado y temas legales
implicados en el establecimiento de un CSIRT.
Desde que el proyecto TRANSITS terminó en septiembre de 2005, TERENA y
FIRST unieron sus fuerzas para organizar talleres a través de Europa, con la

104



ayuda de ayuda financiera de varias organizaciones. Los talleres más
recientes han sido co-‐organizados y patrocinados por ENISA.
Tomado de: http://www.terena.org/
- Alemania -‐ CERT-‐Bund (Computer Emergency Response Team für

Bundesbehörden)

La Oficina Federal para la Seguridad en la Tecnología de Información

(Bundesamt für Sicherheit in der Information stechnik -‐ BSI) es la central de
servicios de seguridad del gobierno y por ende, asume la responsabilidad de
la seguridad de la sociedad, convirtiéndose en la columna básica de la
seguridad interna en Alemania.
Mantiene contacto con los usuarios (administraciones públicas, gobierno y

los municipios, así como las empresas y los usuarios privados) y fabricantes
de tecnología de información.
En Septiembre de 2001 se creo el contexto de la reorganización del BSI

CERT-‐BUND (Equipo de Respuesta a Emergencias Computacionales para las
autoridades federales). Los ataques de virus computacionales repetidos a las
redes y sistemas, creo la necesidad de contar con un lugar central para la
solución de los problemas de la seguridad informática, enfocados en
prevenir los agujeros de seguridad en los sistemas informáticos del
gobierno, con reacción siete días la semana.
Servicios Ofrecidos: Entre las tareas del CERT están: Generar y publicar
recomendaciones preventivas para evitar las acciones que generen daños,
Identificar puntos débiles del hardware y software, Sugerir medidas de
recuperación de los agujeros de seguridad, Advertir situaciones especiales
de amenaza relacionadas con la tecnología de información, Recomendar
medidas reactivas para delimitar daños, Investigar riesgos de seguridad con
el uso de la tecnología de información así como desarrollar las medidas de
seguridad, Desarrollar criterios de prueba, Evaluar la seguridad en sistemas

105



información, Ayudar de las autoridades gubernamentales en temas
relacionados con la seguridad en la tecnología de información.
Tomado de: http://www.bsi.bund.de/certbund/
- Argentina -‐ ArCERT11 (Coordinación de Emergencias en Redes

Teleinformáticas)

En el año 1999, la Secretaría de la Función Pública de la Jefatura de Gabinete
de Ministros de Argentina dispuso la creación de ArCERT, unidad de
respuesta ante incidentes en redes que centraliza y coordina los esfuerzos
para el manejo de los incidentes de seguridad que afecten los recursos
informáticos de la Administración Pública Nacional, es decir cualquier
ataque o intento de penetración a través de sus redes de información.
Adicionalmente difunde información con el fin de neutralizar dichos

incidentes, en forma preventiva o correctiva, y capacita al personal técnico
afectado a las redes de los organismos del Sector Público Nacional. ArCERT
comenzó a funcionar en mayo de 1999 en el ámbito de la Subsecretaría de la
Gestión Pública, siendo sus principales funciones:
• Centralizar los reportes sobre incidentes de seguridad ocurridos en la

Administración Pública Nacional y facilitar el intercambio de información
para afrontarlos.
• Proveer un servicio especializado de asesoramiento en seguridad de redes.
• Promover la coordinación entre los organismos de la Administración

Pública Nacional para prevenir, detectar, manejar y recuperar incidentes de
seguridad.
• Actuar como repositorio de toda la información sobre incidentes de

seguridad, herramientas y técnicas de defensa

106



ArCERT cumple funciones de naturaleza eminentemente técnica. No
pretende investigar el origen de los ataques ni quienes son sus responsables.
Corresponde al responsable de cada organismo efectuar las denuncias para
iniciar el proceso de investigación
Servicios Ofrecidos: Acceso al Sitio Privado de ArCERT, Análisis y

seguimiento de los incidentes de seguridad reportados, Difusión de
información sobre las principales fallas de seguridad en productos,
Recomendación de material de lectura, Asesorías sobre seguridad
informática, Acceder a la utilización del Producto SiMoS (Sistema de
Monitoreo de Seguridad), Acceso a la Base de Conocimiento de Seguridad
del ArCERT, Acceso a las Herramientas de Seguridad seleccionadas por el
ArCERT.
Servicios por Pedidos de Asistencia Específicos: Instalación y configuración

de Firewall de libre disponibilidad, Instalación y configuración de IDS de libre
disponibilidad, Análisis de la topología de red, Análisis perimetrales y
visibilidad de la red, Búsqueda de vulnerabilidades en los servidores de red,
Recomendaciones para robustecer los Sistemas Operativos y las
Aplicaciones.
Productos: SIMOS -‐ Sistema de Monitoreo de Seguridad: Permite detectar

las vulnerabilidades conocidas de los servidores, que brinden servicio a
través de Internet, de los organismos de la Administración Pública; FW-‐APN -‐
Firewall de libre disponibilidad para la Administración Pública Nacional:
Solución basada en software de libre disponibilidad, eficiente, robusta y de
bajos requerimientos que cubre las necesidades de Firewall en la mayoría de
las redes de la Administración Pública Nacional. Funciona directamente
desde CD-‐ROM; DNSar -‐ Sistema de Análisis de Servidores y Dominios DNS:
DNSar es un software desarrollado por ArCERT para analizar los servidores y
dominios DNS en busca de posibles errores de configuración y
funcionamiento; CAL -‐ Coordinación y Análisis de Logs (En desarrollo): CAL es
un conjunto de software, de fácil instalación, que los organismos pueden
instalar en una máquina dedicada para la detección de alertas de seguridad

107



en su red. Además, estas alertas son reenviadas a ArCERT para una visión
macro de estado de seguridad de la administración pública.
Tomado de: http://www.arcert.gov.ar/
- Australia -‐ AusCERT12 (Australia Computer Emergency Response Team)

AusCERT es el Equipo de Respuesta a Emergencias Computacionales

nacional para Australia y proporciona asesoría en temas de seguridad de la
información de la computadora, a la comunidad australiana y a sus
miembros, como punto único de contacto para ocuparse de dichos
incidentes de seguridad que afectan o que implican redes australianas.
AusCERT supervisa y evalúa amenazas globales de la red de ordenadores y

las vulnerabilidades. AusCERT publica boletines de seguridad, incluyendo
estrategias recomendadas de prevención y mitigación.
AusCERT ofrece servicios de administración de incidentes que puede ser una
manera eficaz de parar un ataque en curso de la computadora o
proporcionar la asesoría práctica en la respuesta y recuperación de un
ataque.
Servicios Ofrecidos: Servicio de la detección temprana, Acceso vía Web site
a contenidos exclusivos, Entrega vía email de boletines de seguridad, Acceso
a Foros, Servicios de gerencia del incidente: incluyen la coordinación del
incidente y la dirección del incidente, Supervisión, evaluación y asesoría
acerca de la vulnerabilidad y amenazas, Los miembros de AusCERT reciben
boletines de la seguridad vía email. Los no miembros pueden suscribir al
servicio de alerta libre nacional.
AusCERT investiga el ambiente de la seguridad del Internet para el gobierno
y la industria dentro de Australia. Estructura AusCERT es una organización
independiente, sin ánimo de lucro, con base en la Universidad de
Queensland, como parte del área de Servicios de Tecnología de la

108



Información. AusCERT cubre sus gastos con una variedad de fuentes
incluyendo suscripciones de miembros y el entrenamiento y educación en
seguridad informática. Es miembro activo del Foro FIRST y del Equipo de
Respuesta a Emergencia Informática de Asia Pacífico (APCERT), AusCERT
tiene acceso a la información sobre amenazas y vulnerabilidades de la red de
ordenadores que surgen de manera regional y global.
Tomado de: http://www.auscert.org.au/
- Canadá -‐ PSEPC15 (Public Safety Emergency Preparedness Canada)

El Centro Canadiense de Respuesta a Ciberincidentes (CCIRC) es responsable

de supervisar amenazas y de coordinar la respuesta nacional a cualquier
incidente de la seguridad del ciberespacio. Su foco es la protección de la
infraestructura crítica nacional contra incidentes. El centro es una parte del
Centro de Operaciones del Gobierno y un componente importante en la
preparación de la seguridad nacional para atender emergencias en los
peligros que acechan al gobierno.
Las iniciativas actuales incluyen:
• Coordinación de la respuesta del incidente a través de jurisdicciones.
• Fomentar el compartir la información entre las organizaciones y las

jurisdicciones
• Generar las advertencias en torno a la seguridad.
• Divulgación de incidentes
• Desarrolla estándares operacionales de seguridad de la tecnología de

información y documentación técnica en temas tales como supervisión del
sistema y software malévolo.

109



• Servicios de inteligencia canadienses de la seguridad: Investiga y analiza
amenazas del ciberespacio a la seguridad nacional. También proporciona
asesoría en la seguridad e inteligencia, incluyendo amenazas y la
información de riesgos.
• Establecimiento de la seguridad de comunicaciones: Proporciona

asesoría y dirección en la protección del gobierno acerca de la
información electrónica de Canadá y de las infraestructuras de la
información.
También ofrece ayuda técnica y operacional a las agencias federales en la

aplicación de la Ley de Seguridad.
Servicios Ofrecidos: CCIRC le proporciona los servicios a los profesionales y

los encargados de la infraestructura crítica y de otras industrias
relacionadas.
Lección 24: Legislación en seguridad de la información Mexicana e internacional.
Normas Internacionales
Algunas normas internacionales para seguridad informática propuestas por la

Institución de estándares ISO son.
• ISO/IEC 27001.
• ISO/IEC 27002.
• ISO/IEC 27821.
• ISO/IEC 27000.
Las normas Anteriores contemplan cuestiones como:
• Política de seguridad

• Aspectos organizativos para la seguridad
• Clasificación y control de activos
• Seguridad ligada al personal
• Seguridad física y del entorno
• Gestión de comunicaciones y operaciones
• Control de accesos
• Desarrollo y mantenimiento de sistemas
• Gestión de incidentes de seguridad de la información

110



• Gestión de continuidad de negocio
• Conformidad
A continuación se presenta algunos aspectos interesantes en la legislación

informática y de seguridad en algunos países que han adoptado legislaciones sobre
este aspecto tan importante para las organizaciones.
Legislación en Estados Unidos
Este país adoptó en 1994 el Acta Federal de Abuso Computacional (18 U.S.C. Sec.
1030) que edificó el Acta de Fraude y abuso Computacional de 1986, cuya finalidad
es eliminar los argumentos técnicos acerca de qué es y qué no es un virus, un
gusano, un troyano y en qué difieren de los virus, en la nueva acta proscribe la
transmisión de un programa, información, códigos o comandos que causan daños a
la computadora, a los sistemas informáticos, a las redes, información, datos o
programas.
La ley de 1994 diferencia el tratamiento de los que de manera temeraria lanzan

ataques de virus a aquellos que lo realizan con la intención de hacer estragos, para
eso se ha definido dos niveles para el tratamiento de quienes crean virus: a) para
los que intencionalmente causan un daño por la transmisión de un virus, el castigo
de hasta 10 años en prisión federal más una multa, y b) para los que lo transmiten
sólo de manera imprudencial, la sanción fluctúa entre una multa y un año en
prisión.
La nueva ley constituye un acercamiento al creciente problema de los virus

informáticos, específicamente no definiendo a los virus sino describiendo el acto
para dar cabida en un futuro a la nueva era de ataques tecnológicos a los sistemas
informáticos en cualquier forma en que se realicen, al diferenciar los niveles de
delitos la ley contempla lo que debe entenderse como acto delictivo. Lo mismo
sucede en materia de estafas electrónicas, fraudes y otros actos dolosos
relacionados con los dispositivos de acceso a sistemas informáticos, la legislación
estadounidense sanciona con pena de prisión y multa a la persona que defraude a
otro mediante el uso de una computadora o red informática.
Legislación en Alemania
Este país aprobó en 1986 la Ley contra la Criminalidad Económica, que contempla
los siguientes delitos: a) espionaje de datos; b) fraude informático; c) alteración de
datos, y d) sabotaje informático.

111



Legislación en Austria

La ley de reforma del código penal, promulgada el 22 de diciembre de 1986, en el
artículo 148, sanciona a los que intencionalmente causen un perjuicio patrimonial a
un tercero influyendo en el resultado de la elaboración automática de datos, a
través de la confección del programa, por la introducción, cancelación o alteración
de datos o por actuar sobre el curso del procesamiento de datos, además
contempla sanciones para los que cometen este hecho utilizando su profesión de
especialistas en sistemas.
Legislación en Gran Bretaña
Debido a un caso en 1991, comenzó a regir en este país la ley de Abusos

informáticos, en esta ley los intentos exitosos o no de alteración de datos
informáticos es penalizado hasta con cinco años de prisión o multa, la ley tiene un
apartado que especifica la modificación de datos sin autorización, también los virus
están incluidos en esa categoría, los que liberen virus tienen penas desde un mes a
cinco años, dependiendo del daño que causen.
Legislación en Holanda
En marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la cual se

penaliza el hacking, el phreaking (uso de servicios de telecomunicaciones para
evitar el pago total o parcial de dicho servicio), la ingeniería social (arte de
convencer a la gente de entregar información que en circunstancias normales no
entregaría), y la distribución de virus. La distribución de virus está penada de
distinta forma si se escaparon por error o si fueron liberados para causar daño. Si
se demuestra que el virus se escapó por error, la pena no superará el mes de
prisión; pero si se comprueba que fueron liberados con la intención de causar
daño, la pena puede llegar hasta los cuatro años de prisión.

Legislación en Francia
En enero de 1988, este país dictó la Ley relativa al fraude informático, la cual
prevee penas desde dos meses a dos años de prisión y multas de 10,000 a 100,000
francos por la intromisión fraudulenta que suprima o modifique datos, esta ley
establece en el artículo 462-‐3 una conducta intencional y el funcionamiento de un
sistema de procesamiento automatizado de datos. Además en el artículo 462-‐4 se
incluye el sanciones de tipo penalpara una conducta intencional que a sabiendas de
vulnerar los derechos de terceros, en forma directa o indirecta, haya introducido

112



datos en un sistema de procesamiento automatizado o haya suprimido o
modificado
los datos que éste contiene, o sus modos de procesamiento o de
transmisión.
La legislación francesa establece un tipo doloso y pena al acceso, agravando la pena
cuando resulte la supresión o modificación de datos contenidos en el sistema, o
bien en la alteración del funcionamiento de éste (sabotaje). Por último, el artículo
462-‐2 de esta ley sanciona tanto el acceso al sistema como al que se mantenga en
él y aumenta la pena correspondiente si de ese acceso resulta la supresión o
modificación de datos contenidos en él o resulta la alteración del funcionamiento
del sistema.
Legislación en España
El artículo 264-‐2 del Nuevo Código Penal de España, establece que se aplicará la
pena de prisión de uno a tres años y multa a quien por cualquier medio destruya,
altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos
electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.
Este código sanciona en forma detallada esta categoría delictiva (violación de
secretos/espionaje/divulgación), aplicando pena de prisión y multa, agravándolas
cuando existe intención dolosa y cuando el hecho es cometido por parte de
funcionarios públicos se penaliza con inhabilitación.

En materia de estafas electrónicas, en su artículo 248 sólo tipifica aquellas con
ánimo de lucro valiéndose de alguna manipulación informática, sin detallar las
penas a aplicar en el caso de la comisión del delito.
Lección 24: Legislación en Seguridad de la Información Mexicana

Las únicas Leyes en México relacionadas con la informática son:

Ley Federal del Derecho de Autor.

Su objetivo es proteger y promover el acervo cultural de la nación.

113



- La ley le otorga derechos como dueño y de explotación de su obra, y de
transferencia de dichos derechos a otras personas o instituciones.

- La ley establece la necesidad de contratos para la difusión y edición de una
obra.

- Esta ley protege Programas de Computadora y de compilación como Bases
de datos, obviamente el contenido debe ser una creación intelectual.

- La ley no protege ningún programa cuyo efecto se le considere nocivo como
algún virus.

- La Ley indica que es necesario tener licencia por parte del autor para utilizar,
transmitir, copiar y modificar un programa.

- Las bases de datos no originales tienen protección en uso exclusivo por
quien las haya creado durante 5 años.

114



-‐ Las sanciones por violar las leyes de derechos de autor incluyen multas de
5,000 a 15,000 días de salario mínimo.
-‐ La ley Federal de Derechos de Autor se mantiene vigente desde Julio del
2003.
-‐ Los Organismos Gubernamentales encargados de arbitrar cualquier

controversia respecto a derechos de Autor, son los tribunales Estatales, del
Distrito Federal, y Federales.
-‐ http://indautor.com.mx/
-‐ http://www.cempro.com.mx/
-‐ http://creativecommons.org/
Ley Federal de Telecomunicaciones.
-‐ Esta Ley tiene por objeto regular el uso de las redes de telecomunicaciones.
-‐ Esta ley se encarga principalmente del aspecto de entrega de concesiones,
de regular la competencia entre concesionarios, tarifas, cobertura,
requisición en caso de guerra o desastre natural.
-‐ Las sanciones van de 2,000 a 100,000 salarios mínimos, por infracciones
desde violar la sección de tarifas de la ley, hasta prestar servicios de
Telecomunicaciones sin contar con concesiones de la Secretaría de
Comunicaciones y Transportes.
-‐ Esta Ley esta vigente desde Abril del 2006.
-‐ Los organismos que se ocupan de esta legislación son la Secretaría de

Comunicaciones y Transportes y los tribunales Federales.
Legislación Relacionada con el Comercio Electrónico
-‐ En el aspecto de Comercio electrónico México no cuenta como tal con una
ley que regule el comercio electrónico, sino que se reformaron múltiples
leyes ya existentes, para dar poder regular el comercio electrónico.

115



-‐ La Ley de Instituciones de crédito y la Ley del Mercado de valores, regulan el
uso de medios electrónicos para la realización de sus operaciones.
-‐ El Código de Comercio, a partir del 2000 y con mayor precisión a partir del
2003, reconoce expresamente la contratación electrónica, regulando la
creación de entidades certificadoras para asegurar la autenticidad de
mensajes de datos y firma electrónica.
-‐ La ley Federal de Protección al Consumidor protege como confidencial la

información que se proporciona al proveedor y obliga a éste a dar teléfono y
domicilio físico.
-‐ El Código de Civil Federal y algunos Estatales, regulan como consentimiento
expreso el manifestado por medios electrónicos y equiparan la oferta hecha
entre presentes a la realizada por estos medios
El Código Civil
-‐ Se agregó el concepto de mensaje de datos y se le confiere validez como

consentimiento expreso. Con el que se acepta el mensaje de datos como
"forma escrita de un contrato" siempre que sea posible atribuirlos a la
persona que contrae la obligación y la información relativa sea accesible
para su ulterior consulta.
-‐ Las sanciones, dependiendo el caso van de multas desde 1,000 hasta
500,000 pesos.
-‐ Los organismos que se encargan de regular las controversias generadas por
esta ley son los Tribunales Superiores de Justicia y Tribunales Fiscales de la
Federación.
El Código de Procedimientos Civiles
-‐ Se reconocen validez y fuerza obligatoria a los mensajes de datos;

proporcionando además un carácter probatorio siempre y cuando se
acredite que el mensaje de datos se ha conservado integro a partir del
momento en que se generó por primera vez.

116



-‐ Se determina el mecanismo que se seguirá para valorar si un mensaje de
datos puede emplearse como prueba en un juicio.
-‐ La ley indica como sanción al incumplimiento de esta ley, correcciones

disciplinarias.
-‐ Los organismos encargados de regular las controversias relacionadas con

esta ley, son los tribunales de circuito, tribunales federales y tribunales
ordinarios de la federación
El Código de Comercio
-‐ Esta ley obliga a los comerciantes a conservar archivo de documentos que
reciban o emitan con relación a su negocio, admitiendo el mensaje de datos
como documento.
-‐ Esta ley también marca el momento en que comienza a tener vigencia un
contrato mercantil celebrado a través de un mensaje de datos.
-‐ Para esta ley se acepta el mensaje de datos como mecanismo de acuerdo de
voluntades.
-‐ La sanción usual por infringir el Código de comercio es el cese de funciones
del negocio infractor.
-‐ Los Tribunales Superiores de Justicia y tribunales árbitros se encargaran de
regular que este código se cumpla.
Ley Federal para la Protección del Consumidor.
-‐ Esta ley garantiza la protección al consumidor en las transacciones

efectuadas a través del uso de medios electrónicos así como la adecuada
utilización de los datos que este aporta.
-‐ Esta ley hace referencia a formular, difundir y utilizar códigos de ética entre
los proveedores de servicios. Para abordar los derechos de los consumidores
en las transacciones electrónicas.

117



-‐ Especifica la manera en la que se deberá
conducir la relación entre
consumidor y proveedor indicando los derechos y obligaciones de cada uno.
-‐ Las multas van de 172 a 17,000 pesos.
-‐ Los Tribunales federales se encargarán de regular las controversias respecto
a esta ley.
Firma Electrónica Avanzada
Es una Firma que se adjunta a un mensaje electrónico, que identifica al dueño del
mensaje, esta firma es un código único.
Su objetivo es brindar seguridad a las transacciones electrónicas, realizadas por los

contribuyentes del SAT.
Esta firma permite comprobar que el mensaje no fue alterado, y que tiene un
dueño legítimo.
Esta firma electrónica esta basada en un sistema de llave pública y privada, es

decir, que el dueño de un mensaje electrónico utiliza su llave privada para cifrar
datos y un usuario, utiliza la llave pública para descifrar dicho mensaje.
Para firmar un documento electrónico esa necesario tener una llave privada o
archivo .key y su contraseña. Posteriormente se pide a SAT un archivo .cer que
contiene la llave pública. Para generar los archivos .key y .cer es necesario utilizar el
software SOLCEDI, provisto por el SAT.
La ventaja de utilizar una Firma FIEL es garantizar la integridad del mensaje,

garantizar al dueño legítimo del mensaje, autenticidad del mensaje, y
confidencialidad del mensaje.
La sanción por no usar una FIEL es perder credibilidad del origen de un mensaje en
caso de haber alguna controversia respecto a comercio electrónico.
La Secretaría de Administración Tributaria se encarga de regular el uso y repartición
de FIELs.
Norma NOM-‐151 para almacenamiento seguro de datos

118



Esta norma establece los requisitos para el almacenamiento de mensajes de datos,
que
se refieran a cualquier tipo de convenio.
Los mensajes de datos siempre se deben mantener íntegros desde que se generan
hasta que llegan a su destino, y siendo accesibles para su consulta en algún tiempo
futuro.
La norma NOM-‐151 es principalmente aplicada por comerciantes, así como

aquellas personas que realicen tratos con estos comerciantes de forma electrónica.
Los mensajes de datos deberán estar guardados en un formato ASN.1
En caso de tener archivos parciales, el cliente deberá tenerlos con formato ASN.1, y
con nombre, tipo, y contenido. Deberá tener un resumen de los mensajes digitales,
obtenidos de los mismos por medio del algoritmo de encriptamiento SHA2. Los
mensajes de datos deberán contener el nombre del expediente e índice, la
identificación del operador del Sistema de Conservación de Mensajes de Datos y la
firma electrónica del mismo.
El servidor para conservar mensajes de datos deberá tener una constancia, que
incluye nombre del expediente, fecha y hora, y la firma electrónica del PSC
(Prestadores de servicios de certificación), todo guardado en formato ASN.1.
Lección 25: Legislación Informática y de Seguridad en Argentina
La presente lección está compuesta por un listado actualizado de las principales

normas legales relacionadas con la Informática, Internet y las tecnologías de
información y comunicación (TICs) de la Rep. Argentina. Esta compilación se realizó
con base en los contenidos normativos actualizados del sitio InfoLEG,
perteneciente al Centro de Documentación e Información del Ministerio de
Economía de la república de argentina.

Protección de Datos Personales y Privacidad
• CONSTITUCIÓN DE LA NACIÓN ARGENTINA, modificada en 1994. Art. 19 y 43
(Habeas Data).

119



• LEY 25.326 de Protección de los Datos Personales.
• DECRETO 1.558/2001, que reglamenta la Ley de Protección de los Datos
Personales
• LEY 24.766 de Confidencialidad sobre Información y Productos que estén
legítimamente bajo control de una persona y se divulgue indebidamente de
manera contraria a los usos comerciales honestos.
• LEY 26.529 Derechos del Paciente en su Relación con los Profesionales e
Instituciones de la Salud, que regula los derechos del paciente sobre su
historia clínica y el consentimiento informado luego de recibir la información
sobre su tratamiento.
• LEY 23.592 de Actos Discriminatorios, para quienes realicen por cualquier
medio actos discriminatorios determinados por motivos de raza, religión,
nacionalidad, ideología, opinión política o gremial, sexo, posición económica,
condición social o caracteres físicos.
• CÓDIGO CONTRAVENCIONAL DE LA CIUDAD DE BUENOS AIRES, en su art. 52
castiga con multa o arresto al que intimide u hostigue a otro de modo
amenazante.
• LEY 2602 de la Ciudad Autónoma de Buenos Aires, que regula la utilización
por parte del Poder Ejecutivo de videocámaras para grabar imágenes en
lugares públicos y su posterior tratamiento.
• LEY 3130 de la Ciudad Autónoma de Buenos Aires, que modifica la Ley 2602
y dispone que las cámaras deberán tener un dispositivo de emergencia que
recibirá el Centro Único de Comando y Control (CUCC).
• DECRETO 716/09 de la Ciudad Autónoma de Buenos Aires, que regula la
utilización por parte del Poder Ejecutivo de videocámaras para grabar
imágenes en lugares públicos y aprueba reglamentación de la Ley 2602.
• DECRETO 1119/09 de la Ciudad Autónoma de Buenos Aires, que modifica
Decreto 716/09 sobre la Utilización por parte del Poder Ejecutivo de
videocámaras para grabar imágenes en lugares públicos.
• LEY 21.173, incorpora al Código Civil el art. 1071 bis, que sanciona al que
arbitrariamente se entrometa en la vida ajena, publique retratos, difunda
correspondencia, mortifique a otros en sus costumbres o sentimientos, o
perturbe de cualquier modo su intimidad.

Disposiciones de la Dirección Nacional de Protección de Datos Personales

(DNPDP)

120



o DISPOSICION Nº 2/2003, de la Dirección Nacional de Protección de Datos
Personales (DNPDP), habilita el Registro Nacional de Bases de Datos y dispone
la realización del Primer Censo Nacional de Bases de Datos.
o DISPOSICION Nº 1/2004, de la Dirección Nacional de Protección de
Datos Personales (DNPDP), se implementa, con carácter obligatorio, el Primer
Censo Nacional de Archivos, Registros, Bases o Bancos de Datos Privados.
Datos Personales (DNPDP), se homologa el Código de Ética de la Asociación
de Marketing Directo e Interactivo de Argentina (AMDIA).
Datos Personales (DNPDP), implementa el Registro Nacional de Bases de
Datos y los formularios de inscripción.
Datos Personales (DNPDP), aprueba la “Clasificación de Infracciones” y la
“Graduación de las Sanciones” a aplicar ante violaciones a las normas de la
Ley 25.326 y sus reglamentaciones.
Datos Personales (DNPDP), implementa el Relevamiento Integral de Bases de
Datos Personales del Estado Nacional.
Datos Personales (DNPDP), se aprueban las “Medidas de Seguridad para el
Tratamiento y Conservación de los Datos Personales Contenidos en Archivos,
Registros, Bancos y Bases de Datos Públicos no estatales y Privados”.
Datos Personales (DNPDP), se crea el Repertorio de Jurisprudencia sobre
Hábeas Data en el ámbito de la DNPDP y de libre consulta.
Datos Personales (DNPDP), se crea el Centro de Jurisprudencia, Investigación
y Promoción de la Protección de los Datos Personales en el ámbito de la
DNPDP.
Datos Personales (DNPDP), aprueba las Normas de Inspección y Control de la
DNPDP.
Datos Personales (DNPDP), aprueba el Procedimiento de Control en la
Ejecución de Formularios de Consentimiento Informado en ensayos de
farmacología clínica.
Datos Personales (DNPDP), aprueba la “Guía de Buenas Prácticas en Políticas

121



de Privacidad para las Bases de Datos del Ambito Público” y el texto modelo
de “Convenio de Confidencialidad”.
Datos Personales (DNPDP), establece que los responsables y usuarios de
bancos de datos públicos o privados, deberán incluir información específica
legal en su página web y en toda comunicación o publicidad, y en los
formularios utilizados para la recolección de datos.
Datos Personales (DNPDP), establece que la opción para el ejercicio del
derecho de retiro o bloqueo contemplada en el artículo 27, inciso 3, de la Ley
25.326, deberá aparecer en toda comunicación que se efectúe con fines
publicitarios, junto con el mecanismo previsto para su ejercicio.
Datos Personales (DNPDP), se crea el Centro de Asistencia a las Víctimas de
Robo de Identidad en el Ámbito de la Dirección Nacional de Protección de
Datos Personales.
Datos Personales (DNPDP), se establece el sistema informativo denominado
“Base Informática para la Comunicación Electrónica Interjurisdiccional sobre
Datos Personales en Información Crediticia”.
Datos Personales (DNPDP), se crea el Registro Nacional de Documentos de
Identidad Cuestionados.

Delitos Informáticos y Ciberseguridad
• CÓDIGO PENAL DE LA NACIÓN ARGENTINA

• LEY 26.388 de Ley de Delitos Informáticos
• LEY 2.257 del Gobierno de la Ciudad de Buenos Aires, aprueba el Convenio
N° 14/04, “Convenio de Transferencia Progresiva de Competencias Penales de
la Justicia Nacional al Poder Judicial de la Ciudad Autónoma de Buenos Aires”,
suscripto entre el Gobierno Nacional y el Gobierno de la Ciudad Autónoma de
Buenos Aires, como ser pornografía infantil, exhibiciones obscenas, amenazas
y daños informáticos, ente otros.
• RESOLUCIÓN 580/2011 de la Jefatura de Gabinete de Ministros, crea el el
Programa Nacional de Infraestructuras Críticas de Información y
Ciberseguridad en el ámbito de la Oficina Nacional de Tecnologías de
Información (ONTI).

122



• DECRETO 1766/2011, crea el Sistema Federal de Identificación Biométrica
para la Seguridad (SIBIOS) que tendrá por objeto prestar un servicio
centralizado de información respecto de los registros patronímicos y
biológicos individuales, a los fines de contribuir a la comprobación idónea y
oportuna en materia de identificación de personas y rastros, en procura de
optimizar la investigación científica de delitos y el apoyo a la función
preventiva de seguridad.
• DECISIÓN ADMINISTRATIVA 669/2004 de la Jefatura de Gabinete de
Ministros, que establece que los organismos del Sector Público Nacional
deberán dictar o adecuar sus políticas de seguridad y conformar Comités de
Seguridad en la Información.
• DISPOSICIÓN 6/2005 de la Oficina Nacional de Tecnologías de Información
(ONTI), que aprueba la “Política de Seguridad de la Información Modelo” para
el Sector Público Nacional.
• LEY 863 de la Legislatura de la Ciudad Autónoma de Buenos Aires, establece
que los establecimientos comerciales que brinden acceso a Internet deben
instalar y activar filtros de contenido sobre páginas pornográficas.
• CÓDIGO CONTRAVENCIONAL DE LA CIUDAD DE BUENOS AIRES, en su art. 61
castiga al que tolere o admita la presencia de menores en lugares no
autorizados (local de espectáculos públicos, de baile o de entretenimientos
tipo ciber) y en su art. 62 castiga al que suministre o permita a un menor el
acceso a material pornográfico.

Comercio Electrónico y Contratación Electrónica
• RESOLUCION 412/99 del Ministerio de Economía y Obras y Servicios

Públicos. Recomendaciones del Grupo de Trabajo sobre Comercio Electrónico
y Comercio Exterior.
• RESOLUCIÓN 104/2005 de la Secretaría de Coordinación Técnica, que
incorpora al ordenamiento jurídico nacional la Resolución Nº 21 del
MERCOSUR, relativa al Derecho de Información al Consumidor en las
Transacciones Comerciales Efectuadas por Internet.
• DECRETO 1023/2001, sobre el Régimen de Contrataciones de la
Administración Pública Nacional, donde establece en Capítulo II las
Contrataciones Públicas Electrónicas.
• LEY 2.244 de la Ciudad Autónoma de Buenos Aires, establece que las
personas que comercialicen o presten servicios a consumidores y/o usuarios

123



en el ámbito de la C.A.B.A. y posean página web, deberán agregar un enlace
con la Dirección General de Defensa y Protección al Consumidor.
• LEY 2.817 de la Ciudad Autónoma de Buenos Aires, fija obligaciones a los
Proveedores de Bienes o Servicios con respecto a los Consumidores.
• RESOLUCIÓN 412/99 del Ministerio de Economía, Obras y Servicios Públicos,
aprueba Recomendaciones formuladas por el Grupo de Trabajo sobre
Comercio Electrónico y Comercio Exterior del Ministerio.
• LEY 26.104, Publicidad con Fines Turísticos, establece que toda publicidad
contenida en medios electrónicos, cuyas imágenes exhiban atractivos
turísticos, deberá indicar cierta información específica.
• LEY 24.240 de Defensa al Consumidor.
• RESOLUCION 33.463/08 de la Superintendencia de Seguros de la Nación,
que incorpora al Reglamento de la Actividad Aseguradora la entrega de
documentación por medios electrónicos.
• RESOLUCIÓN 7/2002 de la Secretaría de la Competencia, la Desregulación y
la Defensa del Consumidor, que establece los mecanismos que garantizan el
derecho de los consumidores a recibir la más completa información acerca de
los precios de los bienes y servicios que les son ofrecidos.
• RESOLUCIÓN 53/2003 de la Secretaría de la Competencia, la Desregulación y
la Defensa del Consumidor, que determina las cláusulas que no podrán ser
incluidas en los contratos de consumo, por ser opuestas a los criterios
establecidos en el art. 37 de la Ley N° 24.240 y su reglamentación.
• RESOLUCIÓN 26/2003 de la Secretaría de Coordinación Técnica, que deroga
la Disposición 3/2003 de la Subsecretaría de Defensa de la Competencia y
Defensa del Consumidor y modifica la Resolución de la ex Secretaría de la
Competencia, la Desregulación y la Defensa del Consumidor 53/2003,
prorrogando el plazo del art. 2º de la misma y definiendo las cláusulas
consideradas abusivas en los contratos suscriptos por los consumidores y
usuarios de bienes y servicios.

Nombres de Dominio
• DECRETO 189/2011, crea la Dirección Nacional del Registro de Dominios de
Internet (DNRDI) en la Secretaría Legal y Técnica de la Presidencia y designa a
un nuevo Director Nacional.
• DECRETO 2085/2011, modifica el organigrama del Ministerio de Relaciones
Exteriores y Culto haciendo que Nic.ar pase a la órbita de la Secretaría Legal y
Técnica.

124



• RESOLUCION 654/2009 del Ministerio de Relaciones Exteriores, Comercio
Internacional y Culto, aprueba las Reglas para el Registro de Nombres de
Dominio bajo el Código País “AR” (NIC.ar) y deroga la Resolución 2226/2000.
Internacional y Culto, limita el número de nombres registrados que una
Entidad Registrante pueda inscribir en el subdominio “.com.ar” u “.org.ar” a
200.
• RESOLUCIÓN 616/2008 del Ministerio de Relaciones Exteriores, Comercio
Internacional y Culto, incorpora caracteres multilingües pertenecientes al
idioma español y portugués para la registración de nombres de dominio de
Nivel Superior Argentina (.AR)
Internacional y Culto, que aprueba las Reglas para la Registración de Nombres
de Dominio Internet en Argentina, a ser utilizadas por NIC Argentina.

Marcas Comerciales
• LEY 22.362 de Marcas y Designaciones, establece que las marcas y

designaciones comerciales que pueden registrarse en la Rep. Argentina.

Documentos Electrónicos
• LEY 24.624 de Presupuesto General de la Administración Nacional (1996),

modificatoria de la Ley 11.672, que considera con pleno valor probatorio a la
documentación de la Administración Pública Nacional archivada en soportes
electrónicos.
• LEY 26.685 de Expediente Electrónico, que autoriza el uso del expediente
electrónico, documentos electrónicos, firma digital, comunicaciones
electrónicas y domicilio electrónico constituido, en todos los procesos ante el
Poder Judicial de la Nación.

Firma Digital y Electrónica

125



• LEY 25.506 de Firma Digital.
• DECRETO 2.628/02 que reglamenta la Ley Nº 25.506 de Firma Digital.
• RESOLUCION 45/97 de la Secretaría de la Función Pública que Incorpórase la
tecnología de Firma Digital a los procesos de información del sector público.
• RESOLUCION 194/98 de la Secretaría de la Función Pública, que aprueba los
estándares aplicables a la “Infraestructura de Firma Digital para el Sector
Público Nacional”.
• DECRETO 427/98, implementa el régimen para el empleo de la Firma Digital
en actos internos de la Administración Pública Nacional con los mismos
efectos de la firma ológrafa.
• DECRETO 283/2003, autoriza a la Oficina Nacional de Tecnologías
Informáticas (ONTI) a proveer certificados digitales para utilizarse en los
circuitos de la Administración Pública Nacional que requieran Firma Digital.
• DECRETO 1028/2003, disuelve el Ente Administrador de Firma Digital creado
por el Decreto 2628/2002 y lo reemplaza por la Oficina Nacional de
Tecnologías de Información (ONTI) de la Subsecretaría de la Gestión Pública.
• DECISIÓN ADMINISTRATIVA 6/2007 de la Jefatura de Gabinete de Ministros,
establece el marco normativo de Firma Digital aplicable al otorgamiento y
revocación de las licencias a los certificadores que así lo soliciten.

Régimen de Internet
• DECRETO 1431/2001, establece que el acceso a la información contenida en

la base de datos INFOJUS del SISTEMA ARGENTINO DE INFORMACIÓN
JURÍDICA (SAIJ) será libre y gratuito.
• DECRETO 1563/04 (SUSPENDIDO) establece las condiciones técnicas y de
seguridad que deberán cumplir los prestadores de servicios de
telecomunicaciones en relación con la captación y derivación de las
comunicaciones para su observación remota por parte del Poder Judicial o del
Ministerio Público.
• LEY 3784 de la Ciudad Autónoma de Buenos Aires, establece en el ámbito de
la Ciudad Autónoma de Buenos Aires la “Semana del Uso Seguro de Internet”,
entre los días 6 de Marzo, Día Nacional de la Internet Segura, y el 14 de
Marzo.
• DECRETO 1552/10, crea el Plan Nacional de Telecomunicaciones “Argentina
Conectada”", el cual tendrá como ejes la inclusión digital; la optimización del
uso del espectro radioeléctrico; la producción nacional y generación de

126



empleo en el sector de las telecomunicaciones; la capacitación e investigación
en tecnologías de las comunicaciones y la infraestructura y conectividad.
• LEY 25.873, establece la responsabilidad de los prestadores de servicios de
telecomunicaciones respecto de la captación y derivación de comunicaciones
para su observación remota por parte del Poder Judicial o Ministerio Público.
• LEY 25.690, establece la obligacion a los ISP (Internet Service Provider) de
ofrecer software de protección que impida al acceso a sitios específicos.
• LEY 26.032, establece que la búsqueda, recepción y difusión de información
e ideas por medio de Internet se considera comprendida dentro de la
garantía constitucional que ampara la libertad de expresión.
• DECRETO 554/97, declara de Interés Nacional al acceso de los habitantes de
la Rep. Argentina a la Red Internet.
• DECRETO 735/97, crea la “Comisión de Conexión con Internet” con la
responsabilidad de contratar un servicio de conexión a Internet para el
Presidente de la Nación, y de administrar el servidor de la Presidencia de la
Nación.
• DECRETO 1279/97, declara al servicio de Internet como comprendido dentro
de la garantía constitucional que ampara la libertad de expresión y de
contenidos.
• RESOLUCION 2132/97 de la Secretaría de Comunicaciones, adopta el
procedimiento de Audiencia Pública a fin de que los interesados hagan
conocer al Gobierno Nacional sus inquietudes sobre los diferentes aspectos
relacionados con Internet, respecto a los medios de acceso y características
de la red.
• DECRETO 1018/98, aprueba el Programa para el Desarrollo de las
Comunicaciones Telemáticas “argentin@internet.todos” con el fin de
promover el acceso universal y equitativo a Internet y a las tecnologías de
información.
• RESOLUCION 1235/98 de la Secretaría de Comunicaciones, determina la
inscripción que deberán incluir las facturas emitidas por los ISP (Internet
Service Providers)
• DECRETO 1293/98, declara de Interés Nacional al Proyecto “Internet 2
Argentina” destinado a la implementación, desarrollo y aplicaciones de una
red de alta velocidad de telecomunicaciones, con el fin de interconectar
centros académicos, científicos y tecnológicos en todo el territorio nacional.
• DECRETO 1335/99, declara de interés nacional al Proyecto “Una dirección de
correo electrónico para cada argentino” en el marco del Programa
“argentin@internet.todos”.
• DECRETO 252/2000, crea el Programa Nacional para la Sociedad de la
Información.

127



Propiedad Intelectual
• LEY 11.723, régimen legal de la Propiedad Intelectual para la Rep. Argentina,
con la inclusión expresa de los programas de computación dentro de las
obras intelectuales protegidas (luego de las modificaciones de la Ley 25.036).
• Decreto 41.223/1934, reglamenta la Ley 11.723 de Propiedad Intelectual.
• LEY 25.140, aprueba el “Convenio de Berna” para la Proteccion de las Obras
Literaris y Artísticas, el “Tratado de la OMPI” sobre Interpretación o Ejecución
y Fonogramas y el “Tratado de la OMPI” sobre Derecho de Autor, estos dos
últimos, abiertos a la firma en Ginebra.
• DECRETO 165/94, establece el marco legal de protección para las diferentes
expresiones de las obras de software y base de datos, así como sus diversos
medios de reproducción.
• LEY 24.425, ratifica los Acuerdos TRIP’s, aprueba el Acta Final en que se
incorporan los resultados de la Ronda Uruguay de Negociaciones Comerciales
Multilaterales; las Decisiones, Declaraciones y Entendimiento Ministeriales y
el Acuerdo de Marrakesh.
• LEY 17.648, que regula la actividad de la Sociedad de Autores y
Compositores de Música (SADAIC).
• DECRETO 5.146/69, que reglamenta la Ley 17.648 de SADAIC.
• DECRETO 1670/74, sobre el Régimen de Uso de las reproducciones y
grabaciones fonográficas.
• DECRETO 1671/74, que establece las normas para la utilización pública de
las reproducciones fonográficas. Representación legal de AADI y CAPIF,
régimen de reparto de las retribuciones.
• DECRETO 746/73, que enumera a quién se considera interprete y los medios
aptos para difundir sus trabajos.
• LEY 25.446, del Fomento del Libro y la Lectura, que establece la política
integral del libro y la lectura, la creación de un Fondo Nacional y el control de
ediciones y protección de los derechos de autor.

Gobierno Electrónico
• DECRETO 103/01, aprueba el Plan Nacional de Modernización y reforma

administrativa orientado a eficientizar el funcionamiento de la Administración

128



Pública Nacional y a introducir en la gestión el cumplimiento de resultados
mensurables y cuantificables.
• DECRETO 378/05, aprueba los Lineamientos Estratégicos para la puesta en
marcha del Plan Nacional de Gobierno Electrónico y los Planes Sectoriales de
Gobierno Electrónico.
• RESOLUCIÓN 259/2003 de la Subsecretaría General de la Presidencia de la
Nación, que declara de interés nacional el emprendimiento denominado
“Ámbito de Software Libre en el Estado Nacional”.
• RESOLUCIÓN GENERAL 1956/2005 de la Administración Federal de Ingresos
Públicos (AFIP), sobre Factura Electrónica y el régimen especial de emisión y
almacenamiento electrónico de comprobantes originales. Con las
modificaciones introducidas por la Resolución General 1993/2006 de la AFIP.
• DECRETO 1479/2009, aprueba el Convenio Marco Sistema Unico de Boleto
Electrónico (SUBE) suscripto el 16 de marzo de 2009.

Promoción de las Nuevas Empresas y de la Industria del Software
• LEY 4064 del Gobierno de la Ciudad de Buenos Aires de Promoción de

Nuevas Empresas Porteñas, que eximirá de pagar el impuesto a los ingresos
brutos en el primer año y el 50% en el segundo año, quienes constituyan una
nueva empresa, facturen menos de $ 1.000.000 al año y tengan al menos dos
empleados.
• LEY 25.856 de Asimilación de la Producción del Software como Actividad
Industrial, establece que la actividad de producción de software debe
considerarse como una actividad productiva de transformación asimilable a
una actividad industrial, a los efectos de la percepción de beneficios
impositivos, crediticios y de cualquier otro tipo.
• LEY 25.922 de Promoción de la Industria del Software, crea un Régimen de
Promoción de la Industria del Software para poder acceder al fondo fiduciario
del FONSOFT.
• LEY 26.692 de Promoción de la Industria del Software, que modifica la Ley
25.922 extendiendo los plazos de vigencia.
• DECRETO 1594/2004, que reglamenta la LEY 25.922 de Promoción de la
Industria del Software e instituye el FONSOFT dentro de la Secretaría de
Ciencia, Tecnología e Innovación Productiva del Ministerio de Educación,
Ciencia y Tecnología de la Nación y a través de la Agencia Nacional de
Promoción Científica y Tecnológica.

129



• RESOLUCIÓN 177/2010 del Ministerio de Industria y Turismo de Promoción
de la Industria del Software, que encomienda a la Facultad de Ciencias
Económicas de la UBA la realización de las tareas de verificación y control del
régimen establecido por la Ley Nº 25.922.

CAPITULO 6: LEGISLACIÓN EN COLOMBIA
Introducción
Lección 26: Ley de Delitos Informáticos en Colombia
La Ley 1273 de 2009 creó nuevos tipos penales relacionados con delitos
informáticos, la protección de la información y de los datos con penas de prisión de
hasta 120 meses con multas de hasta 1500 salarios mínimos legales mensuales
vigentes. El Congreso de la República de Colombia promulgó la Ley 1273 “Por
medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado,
denominado De la Protección de la información y de los datos, y se preservan
integralmente los sistemas que utilicen las tecnologías de la información y las
comunicaciones, entre otras disposiciones”. En esta ley se tipifica como delitos una
serie de conductas relacionadas con el manejo de datos personales, por lo que las
organizaciones deben blindarse jurídicamente para evitar incurrir en alguno de
estos delitos.
En dicha ley se recuerda los avances tecnológicos y el empleo de los mismos para
apropiarse ilícitamente del patrimonio de terceros a través de clonación de tarjetas
bancarias, vulneración y alteración de los sistemas de cómputo para recibir
servicios, transferencias electrónicas de fondos mediante manipulación de
programas y afectación de los cajeros automáticos, entre otras, como conductas
penalizadas y cada vez más usuales en todas partes del mundo.
La importancia de esta ley es que adiciona al Código Penal colombiano el Título VII
BIS denominado "De la Protección de la información y de los datos" que divide en
dos capítulos, el “De los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos” y el “De los atentados
informáticos y otras infracciones”.

130



El capítulo primero adiciona el siguiente articulado:

-‐ Artículo 269A -‐ Acceso Abusivo a un Sistema Informático: El que, sin
autorización o por fuera de lo acordado, acceda en todo o en parte a un
sistema informático protegido o no con una medida de seguridad, o se
mantenga dentro del mismo en contra de la voluntad de quien tenga el
legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes.
-‐ Artículo 269B – Obstaculización Ilegítima de Ssistema Informático o Red de
Telecomunicación: El que, sin estar facultado para ello, impida u obstaculice
el funcionamiento o el acceso normal a un sistema informático, a los datos
informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en
pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre
que la conducta no constituya delito sancionado con una pena mayor.
-‐ Artículo 269C – Interceptación de datos Informáticos: El que, sin orden

judicial previa intercepte datos informáticos en su origen, destino o en el
interior de un sistema informático, o las emisiones electromagnéticas
provenientes de un sistema informático que los trasporte incurrirá en pena
de prisión de treinta y seis (36) a setenta y dos (72) meses.
-‐ Artículo 269D – Daño Informático: El que, sin estar facultado para ello,
destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un
sistema de tratamiento de información o sus partes o componentes lógicos,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales
vigentes.
-‐ Artículo 269E – Uso de Software Malicioso: El que, sin estar facultado para
ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o
extraiga del territorio nacional software malicioso u otros programas de
computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes.
-‐ Artículo 269F – Violación de Datos Personales: El que, sin estar facultado
para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga,
ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique

131



o emplee códigos personales, datos personales contenidos en ficheros,
archivos, bases de datos o medios semejantes, incurrirá en pena de prisión
de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1000 salarios mínimos legales mensuales vigentes.
Al respecto es importante aclarar que la Ley 1266 de 2008 definió el término
dato personal como “cualquier pieza de información vinculada a una o varias
personas determinadas o determinables o que puedan asociarse con una
persona natural o jurídica”. Dicho artículo obliga a las empresas un especial
cuidado en el manejo de los datos personales de sus empleados, toda vez
que la ley obliga a quien “sustraiga” e “intercepte” dichos datos a pedir
autorización al titular de los mismos.
-‐ Artículo 269G – Suplantación de Sitios Web para Capturar datos

Personales: El que con objeto ilícito y sin estar facultado para ello, diseñe,
desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas,
enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes, siempre que la conducta no constituya
delito sancionado con pena más grave.
En la misma sanción incurrirá el que modifique el sistema de resolución de
nombres de dominio, de tal manera que haga entrar al usuario a una IP
diferente en la creencia de que acceda a su banco o a otro sitio personal o
de confianza, siempre que la conducta no constituya delito sancionado con
pena más grave.
Es primordial mencionar que este artículo tipifica lo que comúnmente se

denomina “phishing”, modalidad de estafa que usualmente utiliza como
medio el correo electrónico pero que cada vez con más frecuencia utilizan
otros medios de propagación como por ejemplo la mensajería instantánea o
las redes sociales.
Un punto importante a considerar es que el Artículo 269H agrega como

circunstancias de agravación punitiva de los tipos penales descritos
anteriormente el aumento de la pena de la mitad a las tres cuartas partes si
la conducta se cometiere:
- Sobre redes o sistemas informáticos o de comunicaciones estatales u

oficiales o del sector financiero, nacionales o extranjeros.

132



- Por servidor público en ejercicio de sus funciones
Aprovechando la confianza depositada por el poseedor de la
información o por quien tuviere un vínculo contractual con este.
- Revelando o dando a conocer el contenido de la información en

perjuicio de otro. Obteniendo provecho para si o para un tercero.
- Con fines terroristas o generando riesgo para la seguridad o defensa

nacional. Utilizando como instrumento a un tercero de buena fe.
- Si quien incurre en estas conductas es el responsable de la

administración, manejo o control de dicha información, además se le
impondrá hasta por tres años, la pena de inhabilitación para el
ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales.
Es de anotar que estos tipos penales obligan tanto a empresas como a

personas naturales a prestar especial atención al tratamiento de equipos
informáticos así como al tratamiento de los datos personales más teniendo
en cuenta la circunstancia de agravación del inciso 3 del artículo 269H que
señala “por quien tuviere un vínculo contractual con el poseedor de la
información”.
Por lo tanto, se hace necesario tener unas condiciones de contratación,

tanto con empleados como con contratistas, claras y precisas para evitar
incurrir en la tipificación penal.
Por su parte, el capítulo segundo establece:
-‐ Artículo 269I – Hurto por Medios Informáticos y Semejantes: El que,

superando medidas de seguridad informáticas, realice la conducta señalada en el
artículo 239 manipulando un sistema informático, una red de sistema electrónico,
telemático u otro medio semejante, o suplantando a un usuario ante los sistemas
de autenticación y de autorización establecidos, incurrirá en las penas señaladas en
el artículo 240 del Código Penal, es decir, penas de prisión de tres (3) a ocho (8)
años.
-‐ Artículo 269J – Transferencia no Consentida de Activos: El que, con ánimo
de lucro y valiéndose de alguna manipulación informática o artificio semejante,
consiga la transferencia no consentida de cualquier activo en perjuicio de un
tercero, siempre que la conducta no constituya delito sancionado con pena más

133



grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120)
meses
y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.
La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite

programa de computador destinado a la comisión del delito descrito en el inciso
anterior, o de una estafa.
Así mismo, la Ley 1273 agrega como circunstancia de mayor punibilidad en el

artículo 58 del Código Penal el hecho de realizar las conductas punibles utilizando
medios informáticos, electrónicos ó telemáticos.
Como se puede apreciar, la Ley 1273 es un paso importante en la lucha contra los
delitos informáticos en Colombia, por lo que es necesario que se esté preparado
legalmente para enfrentar los retos que plantea. La nueva ley pone de presente la
necesidad para los empleadores de crear mecanismos idóneos para la protección
del activo más valioso como lo es la información.
Las empresas deben aprovechar la expedición de esta ley para adecuar sus
contratos de trabajo, establecer deberes y sanciones a los trabajadores en los
reglamentos internos de trabajo, celebrar acuerdos de confidencialidad con los
mismos y crear puestos de trabajo encargados de velar por la seguridad de la
información. Por otra parte, es necesario regular aspectos de las nuevas
modalidades laborales tales como el teletrabajo o los trabajos desde la residencia
de los trabajadores los cuales exigen un nivel más alto de supervisión al manejo de
la información.
Con la promulgación de esta ley se obtiene una herramienta importante para

denunciar los hechos delictivos a los que se pueda ver afectado, un cambio
importante si se tiene en cuenta que anteriormente las organizaciones no
denunciaban dichos hechos no sólo para evitar daños en su reputación sino por no
tener herramientas especiales.
http://www.secretariasenado.gov.co/senado/basedoc/ley/2009/ley_1273_2009.ht
ml

134



Lección 27: La Ley de Habeas Data en colombia

A pesar de que existen importantes reparos y análisis críticos al proyecto de ley

relacionado con el habeas data, recientemente conciliado por la Cámara y Senado
de la República de Colombia, efectuados por destacados juristas especializados,
esta reflexión busca adelantar una revisión de las posibles implicaciones de
seguridad de la información que establece la mencionada iniciativa legislativa que,
luego de su tránsito por la Corte Constitucional para su revisión y concepto por esta
corporación, podrá ser ley de la República.
Iniciando se hará la revisión de algunas de las definiciones efectuadas en el artículo
3 de la norma, por ejemplo:
c) Operador de información. Se denomina operador de información a la persona,
entidad u organización que recibe de la fuente datos personales sobre varios
titulares de la información, los administra y los pone en conocimiento de los
usuarios bajo los parámetros de la presente ley. Por tanto el operador, en cuanto
tiene acceso a información personal de terceros, se sujeta al cumplimiento de los
deberes y responsabilidades previstos para garantizar la protección de los derechos
del titular de los datos. Salvo que el operador sea la misma fuente de la
información, este no tiene relación comercial o de servicio con el titular y por ende
no es responsable por la calidad de los datos que le sean suministrados por la
fuente;
En la definición anterior se establece que cualquier persona, entidad u organización
que maneje datos personales estará sujeta a esta iniciativa legislativa. Si esto es así,
los supermercados de cadena, los grandes y medianos almacenes de ventas y
restaurantes, entre otros, se obligan a cumplir con los deberes y responsabilidades
para proveer protección de dicha información, es decir salvaguardar los derechos
de los titulares de los datos.
Ahora se revisa la definición de dato, prevista en esta ley:

135



e) Dato personal. Es cualquier pieza de información vinculada a una o varias
personas determinadas o determinables o que puedan asociarse con una persona

natural o jurídica. Los datos impersonales no se sujetan al régimen de protección
de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato,
se presume que se trata de uso personal. Los datos personales pueden ser
públicos, semiprivados o privados;
f) Dato público. Es el dato calificado como tal según los mandatos de la ley o de la
Constitución Política y todos aquellos que no sean semiprivados o privados, de
conformidad con la presente ley. Son públicos, entre otros, los datos contenidos en
documentos públicos, sentencias judiciales debidamente ejecutoriadas que no
estén sometidos a reserva y los relativos al estado civil de las personas;
g) Dato semiprivado. Es semiprivado el dato que no tiene naturaleza íntima,

reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a
su titular sino a cierto sector o grupo de personas o a la sociedad en general, como
el dato financiero y crediticio de actividad comercial o de servicios a que se refiere
el Título IV de la presente ley.
h) Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es

relevante para el titular.
Considerando los enunciados anteriores sobre datos, los correos electrónicos, los
mensajes instantáneos, los mensajes de texto, los mensajes de voz, las imágenes,
entre otros tipos de comunicaciones enviados o recibidos por las organizaciones
podrían ser catalogados como datos personales, por lo cual deben contar con la
protección propuesta con esta iniciativa de ley. Al estar definido un dato personal,
las categorías de mensajes enumeradas previamente serían otro elemento de
análisis para considerar dentro de las medidas tecnológicas requeridas para dar
cumplimiento a lo establecido.
Los principios sobre administración de datos referidos en el artículo 4 no

consideran orientaciones internacionales como el “Sedona Guidelines”, donde se
establecen de manera exhaustiva las características y requerimientos que son

136



necesarios para una adecuada administración de información y registros. Así
mismo,
en este punto los comentarios y orientaciones del Archivo General de la
Nación podrían ser interesantes.
f) Principio de seguridad. La información que conforma los registros individuales

constitutivos de los bancos de datos a que se refiere la ley, así como la resultante
de las consultas que de ella hagan sus usuarios, se deberá manejar con las medidas
técnicas que sean necesarias para garantizar la seguridad de los registros evitando
su adulteración, pérdida, consulta o uso no autorizado;
g) Principio de confidencialidad. Todas las personas naturales o jurídicas que

intervengan en la administración de datos personales que no tengan la naturaleza
de públicos están obligadas en todo tiempo a garantizar la reserva de la
información, inclusive después de finalizada su relación con alguna de las labores
que comprende la administración de datos, pudiendo sólo realizar suministro o
comunicación de datos cuando ello corresponda al desarrollo de las actividades
autorizadas en la presente ley y en los términos de la misma.
En el principio de seguridad se habla de “medidas técnicas que sean necesarias

para garantizar la seguridad de los registros evitando su adulteración, pérdida,
consulta o uso no autorizado”. Con esta enumeración se establece
automáticamente un sistema de gestión de seguridad de la información,
apalancado en políticas, estándares y procedimientos que inician con una
adecuada clasificación de la información y concluyen con un ciclo permanente de
monitoreo y actualización de las medidas tecnológicas diseñadas para tal fin. De la
misma manera se presenta el principio de confidencialidad, que desde el punto de
vista de la administración de la seguridad debería ser parte del anterior.
En el artículo 7 sobre los deberes de los operadores de los bancos de datos, se

enumeran una lista importante de acciones que deben ser ejecutadas por dichos
operadores. Si se mira en detalle existe la necesidad de acogerse a las buenas
prácticas internacionales del manejo de la información asociadas con el estándar
ISO27001, de tal forma que cumpliendo con lo que esta norma propone, se
exceden las expectativas establecidas por la futura ley.

137



el artículo 8, sobre los deberes de las fuentes de información, es decir cada uno
En
de
los ciudadanos, se establece en el numeral 2:
2. Reportar, de forma periódica y oportuna al operador, todas las novedades

respecto de los datos que previamente le haya suministrado y adoptar las demás
medidas necesarias para que la información proporcionada a este se mantenga
actualizada.
La periodicidad no se ha definido y está en manos del operador, considerando que

esta información cambia con frecuencia, el operador debe establecer mecanismos
expeditos que permitan una ágil y oportuna actualización de datos. Por lo tanto, los
mecanismos vía web o a través de servicios en Internet serán una opción natural
para ello. En consecuencia, los operadores deberán ofrecer elementos de
comunicación confiables para que las fuentes de información efectúen sus
actualizaciones.
En el artículo 11, los requisitos especiales para los operadores, el numeral 3:

Deberán contar con un sistema de seguridad y con las demás condiciones técnicas
suficientes para garantizar la seguridad y actualización de los registros, evitando su
adulteración, pérdida, consulta o uso no autorizado conforme lo previsto en la
presente ley.
No obstante lo anterior, la ley establece en el artículo 17 dos elementos de

verificación al respecto, que deben ser ejecutados tanto por la Superintendencia de
Industria y Comercio como por la Superintendencia Financiera según el caso:
3. Velar porque los operadores y fuentes cuenten con un sistema de seguridad y

con las demás condiciones técnicas suficientes para garantizar la seguridad y
actualización de los registros, evitando su adulteración, pérdida, consulta o uso no
autorizado conforme lo previsto en la presente ley.
4. Ordenar a cargo del operador, la fuente o usuario la realización de auditorías

externas de sistemas para verificar el cumplimiento de las disposiciones de la
presente ley.

138



Esas dos medidas son poco exigentes de lo que se requiere para proteger
adecuadamente
los datos personales, las verificaciones deben ser externas y
validadas por un ente independiente que emita un concepto sobre el estado de las
medidas de seguridad y control sobre los datos y que al mismo tiempo, de
orientaciones sobre los niveles de protección requeridas ajustados a los estándares
internacionales.
En el artículo 18, sobre el tema de sanciones, es preciso ver algunos detalles como
los siguientes:
El Cierre o clausura de operaciones del banco de datos cuando, una vez

transcurrido el término de suspensión, no hubiere adecuado su operación técnica y
logística, y sus normas y procedimientos a los requisitos de ley, de conformidad con
lo dispuesto en la resolución que ordenó la suspensión.
Según este enunciado, las medidas correctivas deben tomarse de manera global en
la organización en su sistema de administración de los datos, esa es una de las
buenas prácticas en administración de seguridad de la información y un alto nivel
de concientización y operación de la seguridad informática, no como un requisito
técnico, sino como una cultura organizacional que afecta directamente los
objetivos de negocio.
En general el proyecto de ley puede ser mejorado y ajustado en la sabia revisión de
la Corte Constitucional y promueva un espíritu renovado para proteger y reconocer
en nuestros datos ese activo esencial que nos representa en un mundo
interconectado y en una sociedad digital.
http://www.secretariasenado.gov.co/senado/basedoc/ley/2008/ley_1266_2008.ht
ml
Lección 28: Legislación Colombiana sobre Comercio Electrónico

139



la acualidad el Comercio Electrónico se ha expandido a través de todo el mundo,
En
las
transacciones de compra y venta de productos, los pagos por internet, las
transacciones bancarias son algunos ejemplos de los avances en cuanto a este
tema, Colombia no es agena a este fenómeno comercial y ha tenido que adecuarse
a la legislación internacional y a las iniciativas jurídicas internacionales en materia
de comercio electrónico.
A continuación se presenta la relación documental, con descripción temática,

enlace, vigencia y fuente de la normatividad e iniciativas jurídicas nacionales en
comercio electrónico, la información se encuentra organizada en tablas temáticas
que albergan un orden cronológico, acorde a la entrada en vigencia o en su
defecto, a la formulación del respectivo instrumento.
Tabla 5. Legislación Interna en Materia de Comercio Electrónico
Nombre del Resumen Enlace Vigencia y Fuente

Documento Documento Aplicación
Ley 527 de Norma de aplicación http://www. A partir de Congreso

1999. transversal, para todos secretariase su de la
los mensajes de datos sin nado. República
publicación,
importar su naturaleza, de
gov.co/leyes en el diario
temática o sector, “Por Colombia.
/L0527_99. oficial,
medio de la cual se define
HTM agosto 21
y reglamenta el acceso y
de
uso de los mensajes de
datos, del comercio 1999.
electrónico y de las firmas
digitales, y se establecen
las entidades de
certificación y se dictan
otras disposiciones”, y el
Decreto reglamentario
1747 de septiembre 11
de 2000 “Por el cual se

140



reglamenta parcialmente
la Ley 527 de 1999, en lo
relacionado con las
entidades de
certificación, los
certificados y las firmas
digitales”.
Sentencia C-‐ Acción pública de http://web. Junio 08 de Corte

662 de 2000 Constitucionalidad contra minjusticia.g
2000. Constituci
algunos apartados de la ov.co/
onal de
ley 527 de 1999,
jurisprudenc Colombia.
declarando su
ia/CorteCon
exequibilidad.
stituci
onal/2000/C
onstituciona
lidad/
C-‐662-‐
00.htm
Decreto 1747 “Por el cual se http://www. A partir de Congreso

de 2000. reglamenta parcialmente mincomerci su de la
la Ley 527 de 1999, en lo o.gov. promulgació
República
relacionado con las n,
co/eContent de
entidades de septiembre
/documento
certificación, los 11 de 2000. Colombia.
s/nor
certificados y las firmas
digitales” matividad/d
ecretos/dec
reto_1
747_2000.p
df

141



Ley 599 de Los delitos consagrados http://www. Un año Congreso
2000,
y sus en el Código Penal alcaldiabogo después de la
posteriores Colombiano, tienen plena ta.gov
de su República
aplicación, bajo el
modificacion .co/sisjur/co promulgació de
entendido en que se
es, Código nsulta_tema n, julio 24
cumplan las condiciones Colombia.
Penal tica.js de 2001.
establecidas para cada
Colombiano acto criminal, sin p
importar si se comete en
medios tradicionales o
electrónicos.
Ley 598 de “Por la cual se crean el http://www. A partir de Congreso

2000. Sistema de Información alcaldiabogo su de la
para la Vigilancia de la ta.gov promulgació
República
Contratación Estatal, n, julio 18
.co/sisjur/no de
SICE, el Catálogo Único de de 2000.
rmas/Norm
Bienes y Servicios, CUBS, Colombia.
a1.jsp
y el Registro Único de
Precios de Referencia, ?i=6252
RUPR, de los bienes y
servicios de uso común
en la Administración
Pública y se dictan otras
disposiciones”.
Decreto 1524 Establece un régimen de http://www. A partir de Presidenc

de 2000. responsabilidades para dafp.gov.co/ su ia de la
los proveedores de leyes/ publicación, República
servicio de internet y en el diario de
D1524002.H
prestadores de servicio oficial, julio Colombia.
TM
de hospedaje de 30 de 2002.
contenido en un servidor
para un sitio Web en
relación con el objeto de
la norma. El decreto tiene

142



por objeto reglamentar y
establecer las medidas
técnicas y administrativas
destinadas a prevenir el
acceso de menores de
edad a cualquier
modalidad de
información pornográfica
contenida en Internet o
en las distintas clases de
redes informáticas a las
cuales se tenga acceso
mediante redes globales
de información.
Decreto 3512 El cual reglamenta la http://www. A partir de Presidenc

de 2003. organización, alcaldiabogo su ia de la
funcionamiento y ta.gov República
Promulgaci
operación del Sistema de de
.co/sisjur/no ón,
información para la Colombia.
rmas/Norm diciembre 5
Vigilancia de la
a1.jsp de 2003.
Contratación Estatal,
SICE, creado mediante la ?i=10935
Ley 598 de 2000, y se
dictan otras
disposiciones.
Decreto Por medio del cual se http://www. A partir de Presidenc

2178 de 2006 crea el Sistema alcaldiabogo su ia de la
Electrónico para la ta.gov promulgació República
Contratación Directa. n, junio 30 de
.co/sisjur/no
de 2006. Colombia.
rmas/Norm
a1.jsp
?i=20808

143



Ley 1065 de Señala que la http://www.
A partir de Congreso
2006.
administración de secretariase su de la
registros, así como la nado. promulgació
República
planeación, regulación y n, julio 29
gov.co/leyes de
control, del nombre de de 2006.
/L1065006.
dominio .co estará a Colombia.
HTM
cargo del Estado, por
medio del Ministerio de
Comunicaciones, quien
podrá delegarlo,
mediante convenio, a un
particular hasta por 10
años con posibilidad de
prórroga, involucrando
un término igual, por una
sola vez, toda vez que se
trata de un recurso del
sector de las
telecomunicaciones, de
interés público.
Ley 1150 de El artículo tercero de la http://www. Enero 16 de Congreso

2007. citada norma, introduce alcaldiabogo 2008. de la
el tema de la ta.gov
República
contratación pública
.co/sisjur/no .
electrónica.
rmas/Norm
a1.jsp
?i=25678
Resolución Crea un Comité de Apoyo http://www. 28 de marzo Ministeri
999 de 2007. para la implementación mincomunic de o de
de la administración del acione
2007. Comunica
dominio.co por el

144



Ministerio de s.gov.co/mi ciones.
Comunicaciones. ncom/src/us
er_doc
s/Archivos/n
ormatividad
/2007
/Resolucion
/R999de200
7.pdf
Decreto 1929 Por el cual se reglamenta http://www. A partir de Presidenc
de 2007. la utilización de la factura alcaldiabogo su ia de la
electrónica y los ta.gov promulgació República
documentos equivalentes n, mayo 29 .
.co/sisjur/no
a la factura de venta. de 2007.
rmas/Norm
a1.jsp
?i=25311
Resolución Se expide el Régimen de http://www. A partir de Comisión

1732 de Protección de los alcaldiabogo su de
2007. Derechos de los ta.gov promulgació
Regulació
Suscriptores y/o Usuarios n,
.co/sisjur/no n de
de los Servicios de septiembre
rmas/Norm
Telecomunicaciones. 19 de 2007. Telecomu
a1.jsp
nicac
?i=26684 iones.

145



Decreto 4510 Por el cual se modifica el http://www. A partir de Presidenc
de
2007. Decreto 1929 de 2007, alcaldiabogo su ia de la
factura electrónica. Dicho ta.gov promulgació República
decreto coexiste con la n, .
.co/sisjur/no
Ley 1231 de 2008, en la noviembre
rmas/Norm
medida en que tratan 23 de 2007.
a1.jsp
temas distintos. El
decreto permite que los ?i=27589
antiguos contribuyentes
asuman su facturación
por el medio que venían
empleando, mientras que
la ley consagra el pleno
reconocimiento de la
factura electrónica como
un título valor.
Resolución Por la cual se modifica http://www. A partir de Comisión

1764 de parcialmente la alcaldiabogo su de
2007. resolución CRT-‐1732 de ta.gov
promulgació Regulació
2007, en materia de
.co/sisjur/no n, n de
protección de derechos
rmas/Norm
de suscriptores y/o diciembre 7 Telecomu
a1.jsp
usuarios de los servicios de 2007. nicac
de Telecomunicaciones. ?i=27909&iu iones.
=0#1
Decreto 2474 El artículo 8 del Decreto http://www. A partir de Presidenc

de 2008. reglamenta el Sistema alcaldiabogo su ia de
Electrónico para la ta.gov
promulgació la
Contratación Pública –
.co/sisjur/no n, julio 07 República
SECOP-‐.
rmas/Norm de 2008. de
a1.jsp Colombia.
?i=31185#0

146



Ley 1221 de Norma de promoción y http://www. A partir de Congreso
2008.
regulación del secretariase su de la
teletrabajo, tendiente al nado. promulgació
República
reconocimiento de las n, julio 16
gov.co/leyes de
bondades y aplicación de 2008.
/L1221008.
integral de sus Colombia.
HTM
prerrogativas, en
consonancia con el
derecho sustancial
preexistente. Es
importante indicar que el
Gobierno Nacional cuenta
con un plazo de 6 meses
a partir de la
promulgación de la
referida ley, para su
reglamentación.
Resolución Regula la administración http://www. A partir de Ministeri

1652 de 2008 del ccTLD .co y se alcaldiabogo su o de
establece la política de ta.gov
promulgació Comunica
delegación de nombres
.co/sisjur/no n, ciones de
de dominio bajo el ccTLD
rmas/Norm la
.co Septiembre
a1.jsp
03 de 2008. República
?i=32350 de
Colombia.
Ley 1231 de Régimen de la factura http://www. Tres meses Congreso

2008. electrónica como título secretariase de la
posteriores
valor, unificando los nado.
a su República
postulados existentes en
gov.co/leyes de
el contexto tributario y promulgació
/L1231008.
comercial tendientes a su n Colombia.
HTM
funcionalidad eficaz y

147



adecuado mecanismo de (Octubre 17
financiación para la de 2008).
micro, pequeña, y
mediana empresa.
Lección 29: Legislación Colombiana sobre Gobierno en Línea
En la acualidad el Gobierno en Línea se ha venido consolidadndo en los países de
América latina y a través de todo el mundo, los sitemas de información en línea
han facilitado en cierta medida las transacciones y la información del gobierno
referente a pagos de impuestos, contratación, concursos, y otros procesos
logrando mejorar la transparencia del manejo de recursos. Estos avances en cuanto
a este tema, en Colombia también ha tenido que regularse y adpatarse a la
legislación internacional y a las iniciativas jurídicas internacionales en materia de
Gobierno Electrónico.
A continuación se presenta la relación documental, con descripción temática,

enlace, vigencia y fuente de la normatividad e iniciativas jurídicas nacionales en
materia de comercio electrónico, la información se encuentra organizada en tablas
temáticas que albergan un orden cronológico, acorde a la entrada en vigencia o en
su defecto, a la formulación del respectivo instrumento.
Tabla 6. Legislación Interna en Materia de Gobierno en Línea
Nombre del Resumen Enlace Vigencia y Fuente

Documento Documento Aplicación
Decreto 1900 Tiene como objeto el http://www. Rige a partir Presidencia

de 1990 ordenamiento general alcaldiabogo de su de la
de las promulgació República

148



telecomunicaciones y de ta.gov n, agosto 19 de
las potestades del de 1990. Colombia.
.co/sisjur/no
Estado en relación con
rmas/Norm
su planeación,
a1.jsp
regulación y control, así
como el régimen de ?i=2581
derechos y deberes de
los operadores y de los
usuarios.
Documento El Ministerio de http://www. Febrero 9 Departame

CONPES Comunicaciones y el agenda.gov. de 2000. nto
3072. Departamento Nacional co/do
Nacional
de
cuments/file de
Planeación ponen a s/CONPES%
Planeación
consideración del 20307
y
Comité Nacional de
2.pdf
Política Económica y Ministerio
Social el programa de
“Agenda de
Comunicac
Conectividad” con la
finalidad de promover iones de
Colombia.
las bondades de las
tecnologías de la
información en el sector
público, así la
competitividad del
sector productivo,
postulados concebidos
en consonancia con el
Plan Nacional de
Desarrollo 1998 – 2002.

149



Ley 599 de Es importante garantizar http://www. Un año Congreso
2000,
y sus la veracidad y suficiencia secretariase después de de la
posteriores de la información nado. su
República
contenida en las páginas promulgació
modificacion gov.co/leyes de
Web, so pena de llegar a n, julio 24
es, Código /L0599000.
afectar bienes jurídicos de 2000. Colombia.
Penal HTM
tutelados tales como el
Colombiano Orden Económico -‐
Social. En ese orden de
ideas, el código penal
colombiano consagra el
delito de pánico
económico, a saber: El
Pánico económico que
divulgue al público o
reproduzca en un medio
o en un sistema de
comunicación público
información falsa o
inexacta que pueda
afectar la confianza de
los clientes, usuarios,
inversionistas o
accionistas de una
institución vigilada o
controlada por la
Superintendencia
Bancaria o por la
Superintendencia de
Valores o en un Fondo
de Valores, o cualquier
otro esquema de
inversión colectiva
legalmente constituido
incurrirá, por ese solo

150



hecho, en prisión de dos
(2) a ocho (8) años y
multa de cincuenta (50)
a quinientos (500)
salarios mínimos legales
mensuales vigentes.
Ley 588 de Notarias y Consulados http://www. Rige a partir Congreso

2000. pueden convertirse en secretariase de su de la
entidades de nado.
promulgació República
certificación, a la vez
gov.co/leyes n, julio 06 de
que utilizar todos los
/L0588000. de 2000
medios magnéticos o Colombia.
HTM
electrónicos que
requieran para el
archivo de la
información.
Decreto El Sistema de http://www. Rige a partir Alcaldía

Distrital 055 Declaración y Pago de alcaldiabogo de su Mayor
de 2002 Impuestos Distritales a ta.gov
promulgació de Bogotá
través de medios
.co/sisjur/no n, febrero
electrónicos. D.C.
rmas/Norm 15 de 2002
a1.jsp
?i=4604
Ley 794 de Permite la realización de http://www. Abril 09 de Congreso

2003 actos procesales por alcaldiabogo 2003 de la
medios electrónicos ta.gov
República
.co/sisjur/no de
rmas/Norm
Colombia.
a1.jsp
?i=6922

151



Acto El artículo 11 del Acto http://www.
Rige a partir Congreso
Legislativo 01
Legislativo modificó el alcaldiabogo de la fecha de la
de 2003 artículo 258 de la ta.gov de su
República
Constitución Política,
.co/sisjur/no Promulgaci de
previendo que se pueda
rmas/Norm on, julio 03 Colombia.
hacer uso de medios
a1.jsp de 2003.
electrónicos e
?i=8620#0
informáticos para el
ejercicio del derecho al
sufragio.
Decreto 3816 Crea la Comisión http://www. Rige a partir Presidencia

de 2003 Intersectorial de alcaldiabogo de su de
Políticas y de Gestión de ta.gov
promulgació la
la
.co/sisjur/no n, enero 13 República
Información para la rmas/Norm de 2004
de
Administración Pública. a1.jsp
Colombia.
?i=11233
Ley 872 de “Por la cual se crea el http://www. A partir de Congreso

2003. sistema de gestión de la secretariase su de la
calidad en la Rama nado. publicación,
República
Ejecutiva del Poder en el diario
gov.co/leyes de
Público y en otras oficial,
/L0872003.
entidades prestadoras enero 2 de Colombia.
HTM
de servicios”. 2004.
Ley 892 de Por medio del cual se http://www. Rige a partir Congreso
2004 establecen mecanismos alcaldiabogo de su de la
electrónicos de votación ta.gov promulgació
República
e inscripción candidatos n, julio 07
.co/sisjur/no de
de 2004.
rmas/Norm
Colombia.
a1.jsp

152



?i=14145

Ley 909 de “Artículo 33. http://www. Rige a partir Congreso
2004 Mecanismos de alcaldiabogo de su de la
publicidad. La publicidad ta.gov promulgació
República.
de las convocatorias n,
.co/sisjur/no
será efectuada por cada septiembre
rmas/Norm
entidad a través de los 23 de 2004.
a1.jsp
medios que garanticen
su conocimiento y ?i=14861
permitan la libre
concurrencia, de
acuerdo con lo
establecido en el
reglamento.
Decreto “Por el cual se http://www. A partir de Presidencia

Reglamentari reglamenta la Ley 872 ramajudicial la fecha de de la
o 4110 de de 2003 y se adopta la .gov.c publicación, República
Norma Técnica de en el diario de
2004. o/csj_portal
Calidad en la Gestión oficial, Colombia.
/assets/DEC
Pública”. diciembre
RETO
13 de 2004.
%204110%2
0DE%20200
4.pdf
Decreto 1599 “Por el cual se adopta el http://www. A partir de Presidencia
de 2005. Modelo Estándar de anticorrupci la fecha de de
Control Interno para el on.gov
publicación, la
Estado Colombiano
.co/marco/n en el diario República
(MECI)
ormas_ci_p oficial, mayo de
ublico/ 23 de Colombia.
“Artículo 1º. Adóptase el D.1599de20 2005.

Modelo Estándar de

153



Control Interno para el 05.pdf
Estado Colombiano
MECI 1000:2005, el cual
determina las
generalidades y la
estructura necesaria
para establecer,
documentar,
implementar y
mantener un Sistema de
Control Interno en las
entidades y agentes
obligados conforme al
artículo 5º de la Ley 87
de 1993.
Ley 962 de Por medio de la cual se http://www. Rige a partir Congreso

2005 incorpora la utilización alcaldiabogo de su de la
de medios tecnológicos ta.gov
promulgació República
en el funcionamiento de
.co/sisjur/no n, julio 08 de
la administración
rmas/Norm de 2005.
pública, dentro del Colombia.
a1.jsp
esquema de la
racionalización de ?i=17004
trámites, mediante la
incorporación del
Sistema Único de
Información de Trámites
-‐SUIT-‐.
ACUERDO Reglamentan la http://www. Marzo 02 de Consejo

No. PSAA06-‐ utilización de medios ram 2006
Superior
3334 DE electrónicos e
ajudicial.gov de la
informáticos en el
2006 .co/
cumplimiento de las Judicatura
funciones de

154



administración de csj_portal/js
justicia p/fr
ames/index.
jsp?idsitio=6
&idsecci
on=167
Decreto 2870 El presente decreto http://www. A partir de Presidencia

de 2007 tiene por objeto alcaldiabogo su de
establecer un marco ta.gov
promulgació la
reglamentario que
.co/sisjur/no n, Julio 31 República
permita la convergencia
rmas/Norm de 2007 de
en los servicios públicos
a1.jsp Colombia.
de telecomunicaciones y
en las redes de ?i=26378
telecomunicaciones del
Estado, asegurando el
acceso y uso de las
redes y servicios a todos
los habitantes del
territorio, así como
promover la
competencia entre los
diferentes operadores, a
través de títulos
habilitantes
convergentes.
Decreto Establece la estrategia http://www. Rige a partir Alcaldía

Distrital 619 de gobierno electrónico alcaldiabogo de su Mayor
de 2007 de los organismos y ta.gov promulgació
de Bogotá
entidades de Bogotá n, diciembre
.co/sisjur/no
D.C. 28 de 2007. D.C.
rmas/Norm
a1.jsp

155



?i=28134#0

Decreto 1151 “Por el cual se http://www. A partir de Presidencia
de 2008 establecen los superservici su de
lineamientos generales os.gov promulgació
la
de la Estrategia de n,abril 18
.co/basedoc República
Gobierno en Línea de la de2008.
/decreto_na
República de Colombia,
cional.
se reglamenta
parcialmente la Ley 962 shtml?x=68
de 2005, y se dictan 236
otras disposiciones”.
Lección 30: Legislación en Seguridad Informática en Colombia
Ley 74 de 1968, Incorpora a la legislación interna los Pactos Internacionales de

Derechos Económicos, Sociales y Culturales, de Derechos Civiles de la ONU
Ley 23, de 28 de enero de 1982, sobre derecho de autor, que protege la imagen
individual frente a varias formas de abuso.
Ley 57 de 5 de junio de 1985, por la cual se ordena la publicidad de los actos y

documentos oficiales.
Anteproyecto de Ley Colombiana de 1987. Propuesta de la Universidad de los

Andes.
Código procesal penal de 1987, que tutela la inviolabilidad del domicilio y regula
en su artículo 376 las escuchas telefónicas.
Ley de Protección de datos de 1988.
Decreto 1360, de 23 de junio de 1989, por el cual se reglamenta la inscripción del
soporte lógico (software) en el Registro Nacional del Derecho de Autor.

156



72/1989, de 20 de diciembre de 1989, por la cual se definen nuevos conceptos
Ley
y principios sobre la Organización de las Telecomunicaciones en Colombia y sobre

el régimen de concesión de los servicios y se confieren unas facultades
extraordinarias al Presidente de la República.
Constitución Política Colombiana (modificada en 1991). Artículos 15, 20, 23 y 74
Decreto 1794/1991, de 16 de julio de 1991, por el cual se Expiden Normas sobre
los Servicios de Valor Agregado y Telemáticos y se Reglamenta el Decreto 1900 de
1990.
Decreto 2041 de 29 de agosto de 1991, por el cual se crea la Dirección Nacional del
Derecho de Autor como Unidad Administrativa Especial, se establece su estructura
orgánica y se determinan sus funciones.
Ley 44, de 5 de Febrero de 1993, sobre Obras de Empleados Públicos y Derechos
de Autor, por la que se Modifica y Adiciona la Ley nº 23 de 1982 y se Modifica la
Ley nº 29 de 1944.
Decisión Andina 351 de 16 de diciembre de 1993, por el cual se adopta el régimen
común sobre Derechos de Autor y Conexos.
Ley 170, de 15 de diciembre de 1994 por medio de la cual se aprueba el Acuerdo
por el que se establece la "Organización Mundial de Comercio (OMC)", suscrito en
Marrakech (Marruecos) el 15 de abril de 1994, sus acuerdos multilaterales anexos y
el Acuerdo Plurilateral anexo sobre la Carne de Bovino.
Decreto 460 de 16 de marzo de 1995, por el cual se reglamenta el Registro

Nacional del Derecho de Autor y se regula el Depósito Legal.
Decreto 2150 de 1995 sobre sistemas electrónicos, de 5 de diciembre de

1995, que busca la simplificación de trámites ante Entidades Estatales. (Diario
Oficial 42.137, del 6 de diciembre de 1995).
Ley 232 de 26 de diciembre1995, por medio de la cual se dictan normas para el

funcionamiento de los establecimientos comerciales. (Diario Oficial 42.162, de 26
de diciembre de 1995)
Decreto 162 de 22 de enero de 1996, por el cual se reglamenta la Decisión Andina

351 de 1993 y la Ley 44 de 1993, en relación con las Sociedades de Gestión

157



Colectiva de Derecho de Autor o de Derechos Conexos. (Derogado por Decreto
3942
de 25 de octubre de 2010).
Ley 279 de 1996. Estatutaria de la Administración de Justicia de 7 de marzo
Ley 335 de 20 de diciembre de 1996, por la cual se modifica parcialmente la Ley 14
de 1991 y la Ley 182 de 1995, se crea la televisión privada en Colombia y se dictan
otras disposiciones (Diario Oficial nº 42.946 de 24 de diciembre de 1996).
Decreto 1543 de 12 de junio de 1997 sobre VIH y SIDA.
Resolución 087 de 5 de septiembre de 1997, de la Comisión de Regulación de las
Telecomunicaciones, por medio de la cual se regula en forma integral los servicios
de Telefonía Pública Básica Conmutada (TPBC) en Colombia.
Proyecto de Ley 227 de 21 de abril de 1998, por medio del cual se define y
Reglamenta el Acceso y el uso del Comercio Electrónico
Decreto 1122 de 1999. Declarado inasequible por vicios de forma, mediante

sentencia de la Corte Constitucional C-‐923/99.
Resolución 1995/1999, de 8 de junio 1999 del MPS sobre manejo de la historia

clínica.
Decreto 1487/ 1999, de 12 de Agosto, por Medio del Cual se Autoriza el Sistema
Declaración y Pago Electrónico de la DIAN y se Establecen algunos Parámetros
Operativos para la Presentación de las Declaraciones Tributarias y el Pago de los
Impuestos por Vía Electrónica.
Ley 527 de 18 de agosto de 1999, sobre Mensajes de Datos, Comercio electrónico
y Firma Digital.
Resolución 831/1999, de 1 de septiembre de 1999, por la cual se Adopta y

Establecen los Parámetros Operativos del Sistema Declaración y Pago Electrónico
de la DIAN, para Presentar las Declaraciones Tributarias y Efectuar los Pagos de los
Impuestos Administrados por la Dirección de Impuestos y Aduanas Nacionales y de
las Retenciones en la Fuente.
Ley 565 de 2 de febrero de 2000, por medio de la cual se aprueba el "Tratado de la
OMPI -‐Organización Mundial de la Propiedad Intelectual-‐ sobre Derechos de Autor,
adoptado en Ginebra, el veinte de diciembre de mil novecientos noventa y seis.

158



Resolución 270/2000, de 4 de marzo de 2000, por la cual se Dictan Normas sobre
Protección a los Usuarios para la Prestación de Servicios Públicos No Domiciliarios

de Telecomunicaciones.
Acción pública de inconstitucionalidad contra la Ley 527 sobre Mensajes de Datos,
Comercio Electrónico y Firma Digital de 8 de junio de 2000.
Ley 588 de 5 de julio de 2000 por medio de la cual se reglamenta el ejercicio de la
actividad notarial
Ley 594 de 4 de julio de 2000, por medio de la cual se dicta la Ley General de
Archivos y se dictan otras disposiciones (Diario Oficial nº 44084 de 14 de julio de
2000).
Ley 598 de 18 de julio de 2000, por la cual se crean el Sistema de Información para
la Vigilancia de la Contratación Estatal, SICE, el Catálogo único de Bienes y Servicios,
CUBS, y el Registro Único de Precios de Referencia, RUPR, de los bienes y servicios
de uso común en la administración pública y se dictan otras disposiciones.
Ley 599 de 24 de julio de 2000, Código Penal (Diario Oficial nº 44.097 de 24 de

julio de 2000).
Decreto 1747 de 11 de septiembre de 2000, por el cual se reglamenta

parcialmente la Ley 527 certificados y firmas digitales.
Resolución 7652/2000, de 22 de septiembre de la Dirección General de Impuestos
y Aduanas Nacionales, por la cual se reglamenta la administración, publicación y
uso de la información electrónica vía INTRANET e INTERNET en la Dirección de
Impuestos y Aduanas Nacionales.
Resolución 307/2000, de 2 de octubre de la Comisión de Regulación de

Telecomunicaciones, por la cual se promueve el acceso a Internet a través de
planes tarifarios para el servicio de Tpbcl y se dictan otras disposiciones
Resolución 26930/2000, de 25 de octubre de la Superintendencia de Industria y
Comercio, por la cual se fijan los estándares para la autorización y funcionamiento
de las entidades de certificación y sus auditores.
Proyecto de Ley 35 de 2001 Cámara. Aspectos jurídicos de los servicios de la

sociedad de la información, en desarrollo del Comercio Electrónico.

159



Decreto 408 de 14 de marzo de 2001, por medio del cual se reglamenta el artículo
579º-‐2
del Estatuto Tributario.
Ley 679 de 3 de agosto de 2001 sobre Abuso y pornografía de menores en

Internet. (Diario Oficial número 44509 del 4 de agosto de 2001).
Resolución 36904/2001, de 6 de noviembre de la Superintendencia de Industria y

Comercio, Por la cual se fijan los estándares para la autorización y funcionamiento
de las entidades de certificación y sus auditores.
Radicación 1376 del Consejo de Estado de 11 de diciembre de 2001 sobre

Nombres de Dominio.
Decreto 55 de 15 de febrero de 2002 de la Alcaldía Mayor de Bogotá, por medio
del cual se establece “El Sistema de Declaración y Pago de Impuestos Distritales a
través de medios electrónicos”.
Resolución 5339/2002, de 6 de mayo, de la Contraloría General de la

República, por la cual se modifican las Resoluciones 5313 y 5314 de febrero 28 de
2002.
Resolución 600/2002 de 7 de mayo, del Ministerio de Comunicaciones, por medio
de la cual se regula parcialmente la administración del dominio punto .co
Decreto 1524 de 24 de julio de 2002, "Por el cual se reglamenta el artículo 5 de la
Ley 679 de 2001".
Ley 765 de 31 de Julio de 2002 , por medio de la cual se aprueba el "Protocolo

Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de
niños, la prostitución infantil y la utilización de los niños en la pornografía",
adoptado en Nueva York, el 25 de mayo de 2000. (Diario Oficial número 44.889, de
5 de agosto de 2002).
Proyecto de Ley 71, de 4 de septiembre de 2002, del Senado de la República, por
la cual se reglamentan los bancos de datos financieros o de solvencia patrimonial y
crediticia y se dictan otras disposiciones.
Decreto 2170 de 30 de septiembre de 2002, por el cual se reglamenta la Ley 80 de
1993, se modifica el decreto 855 de 1994 y se dictan otras disposiciones en
aplicación de la Ley 527 de 1999.

160



794 de 2003 de 8 de enero. Por la cual se modifica el Código de Procedimiento
Ley
Civil,
se regula el proceso ejecutivo y se dictan otras disposiciones. (Diario Oficial nº
45.058 de 9 de enero de 2003).
Resolución 20/2003, de 14 de enero, del Ministerio de Comunicaciones, por

medio de la cual se establece el procedimiento a seguir por el Ministerio de
Comunicaciones para la fijación de las condiciones de administración del dominio
.co.
Decreto 67 de 15 de enero de 2003, por el cual se prorroga el plazo previsto en el
primer inciso del artículo 8º del Decreto 1524 de 2002.
Proyecto de Ley 166 de 31 de enero de 2003, por el cual se regulan las

comunicaciones Vía Internet y mediante el uso de Fax que se realicen desde
lugares habilitados para brindar al público esos servicios.
Decreto 600 de 14 de marzo de 2003, por medio del cual se expiden normas sobre
los servicios de valor agregado y telemáticos y se reglamente el Decreto-‐ley 1900
de 1990.
Decreto 866 de 8 de abril de 2003, por el cual se modifica el artículo 14º del
Decreto 2170 de 2002.
Ley 892 de 7 de julio 2004. Voto electrónico
Ley 906 de 31 de agosto de 2004. Código Procesal Penal. (Diario Oficial nº 45.658
de 1 de septiembre de 2004).
Resolución 1455/2003 de 5 de septiembre, del Ministerio de Comunicaciones, por
medio de la cual se regula la administración de registros del dominio .co
Decreto 4149 de 10 de diciembre de 2004, por el cual se racionalizan algunos

trámites y procedimientos de comercio exterior, se crea la Ventanilla Única de
Comercio Exterior y se dictan otras disposiciones.
Resolución 1271 de 24 de junio de 2005 del Ministerio de Comercio, Industria y
Turismo, por la cual se fija el precio de los aplicativos informáticos para su
transmisión a la Ventanilla Única de Comercio Exterior -‐ VUCE -‐ .
Ley 962 de 8 de Julio de 2005, por la cual se dictan disposiciones sobre

racionalización de trámites y procedimientos administrativos de los organismos y

161



entidades del Estado y de los particulares que ejercen funciones públicas o prestan
servicios
públicos. (Diario Oficial nº 45.963)
Decreto 2926 de 25 de agosto de 2005, por el cual se modifica el Decreto 2542 de

1997.
Ley 1065 de 29 de julio de 2006, por la cual se define la administración de registros
de nombres de dominio .co y se dictan otras disposiciones (Diario Oficial nº
47.081).
Proyecto de Ley 05/2006 Senado "Por el cual se reglamenta el Habeas Data y el

Derecho de Petición ante Entidades Financieras, Bancarias y Centrales o Banco de
Datos". Acumulado Proyecto de Ley nº 27/2006 Senado "Por la cual se dictan las
disposiciones generales del habeas data y se regula el manejo de la información
contenida en bases de datos personales, en especial la financiera y crediticia, y se
dictan otras disposiciones". Aprobado por la comisión el día 12 de Octubre de
2006.
Proyecto de Ley 117/2006. Camara. Acumulada nº 119/06. Camara. Por el cual se
reforman las leyes 23 de 1982, 44 de 1993 y 232 de 1995 con el fin de garantizar
eficaz protección a los derechos de autores, compositores e interpretes de obras
musicales. Por medio de la cual se modifica el artículo 164 de la Ley 23 de 1982.
(archivado art. 190 Ley 5).
Proyecto de Ley 184/06. Camara. Por la cual se adiciona la Ley 23 de 1992, sobre
Derechos de Autor.(retirado por su autor).
Proyecto de Ley 194/06. Camara. Por la cual se adiciona la Ley 23 de 1992, sobre
Derechos de Autor. (retirado por su autor).
Decreto 4540 de 22 de diciembre de 2006, por medio del cual se adoptan

controles en aduana, para proteger la Propiedad Intelectual.
Acuerdo 279 del 29 de marzo de 2007, del Consejo de Bogotá, por el cual se dictan
los lineamientos para la Política de Promoción y Uso del Software libre en el Sector
Central, el Sector Descentralizado y el Sector de las Localidades del Distrito Capital.
Informe de Conciliación al Proyecto de Ley Estatutaria 221/2007 de 4 de junio de

2007, sobre el Derecho de Habeas Data.

162



Decreto 2870 de 31 de julio de 2007, por medio del cual se adoptan medidas para
facilitar
la Convergencia de los servicios y redes en materia de Telecomunicaciones.
(Diario oficial nº 46.706 de 31 de julio de 2007).
Resolución 1732 de 17 de septiembre de 2007, de la Comisión de Regulación de
Telecomunicaciones, por la cual se expide el Régimen de Protección de los
Derechos de los Suscriptores y/o Usuarios de los Servicios de Telecomunicaciones.
(Diario Oficial nº 46.756 de 19 de septiembre de 2007)
Resolución 284 del Ministerio de Comunicaciones de 21 de febrero de 2008, por la
cual adopta el modelo operativo para la administración del dominio .co
Decreto 1070 de 7 de abril de 2008, por el cual se reglamenta el artículo 26 de la
Ley 98 de 1993.
Decreto 1151 del Ministerio de Comunicaciones, de 14 de abril de 2008, mediante
el cual se establecen los lineamientos generales de la Estrategia de Gobierno en
Línea de la República de Colombia, se reglamenta parcialmente la Ley 962 de 2005,
y se dictan otras disposiciones.
Decreto 1879 de 29 de mayo de 2008, por el cual se reglamentan la Ley 232 de

1995, el artículo 27 de la Ley 962 de 2005, los artículos 46, 47 y 48 del Decreto Ley
2150 de 1995 y se dictan otras disposiciones.
Ley 1221 de 16 de julio de 2008, por la cual se establecen normas para promover y
regular el Teletrabajo y se dictan otras disposiciones (Diario Oficial nº 47.052).
Ley 1245 de 6 de octubre de 2008, por medio de la cual se establece la obligación
de implementar la portabilidad numérica y se dictan otras disposiciones.
Decreto 4834 de 24 de diciembre de 2008, por el cual se modifica la Planta de

Personal de la Dirección Nacional de Derecho de Autor.
Decreto 4835 de 24 de diciembre de 2008, por el cual se modifica la estructura de

la Dirección Nacional de Derecho de Autor y se dictan otras disposiciones.
Ley 1266 de 31 de diciembre de 2008, por la cual se dictan las disposiciones

generales del habeas data y se regula el manejo de la información contenida en
bases de datos personales, en especial la financiera, crediticia, comercial, de
servicios y la proveniente de terceros países y se dictan otras disposiciones. (Diario
Oficial nº 47.219).

163



1273 de 5 de enero de 2009, por medio de la cual se modifica el Código Penal,
Ley
se
crea un nuevo bien jurídico tutelado -‐denominado "de la protección de la
información y de los datos"-‐ y se preservan integralmente los sistemas que utilicen
las tecnologías de la información y las comunicaciones, entre otras disposiciones
(Diario Oficial nº 47.223).
Decreto 1727 de 15 de mayo de 2009, del Ministerio de Hacienda y Crédito

Público, por el cual se determina la forma en la cual los operadores de los bancos
de datos de información financiera, crediticia, comercial, de servicios y la
proveniente de terceros países, deben presentar la información de los titulares de
la información.
Ley 1341 de 30 de julio de 2009, sobre principios y conceptos sobre la Sociedad de
la Información y la Organización de las Tecnologías de la Información y las
Comunicaciones (Diario Oficial nº 47426 de 30 de julio de 2009).
Decreto 2888 de 4 de agosto de 2009, del Ministerio de Tecnologías de la

Información y las Comunicaciones, por el cual se dictan disposiciones sobre la
organización y funcionamiento de la Comisión de Regulación de Comunicaciones -‐
CRC-‐
Circular 058 de la Procuraduría General de la Nación de 14 de septiembre de

2009. Cumplimiento del Decreto 1151 del 14 de abril de 2008.
Resolución 2623 de 28 de octubre de 2009, del Ministerio de Tecnologías de la

Información y las Comunicaciones, sobre las bandas 470 a 512 MHz y la banda de
700 MHz.
Resolución 2229 de 28 de octubre de 2010, de la Comisión de Regulación de las

Comunicaciones, de creación del Registro de Números Excluidos, aplicado al SPAM
telefónico.
Resolución 2239 de 24 de noviembre de 2009, de la Comisión de Regulación de las
Comunicaciones, Localización e identificación de personas y medidas de acceso a
los CAE para personas con discapacidad.
Resolución 2251 del 11 de diciembre de 2009, de la Comisión de Regulación de las
Comunicaciones, por la cual se modifica la Resolución 1914 de 2008 de la CRT

164



Resolución 2258 de 21 de diciembre de 2009, de la Comisión de Regulación de las
Comunicaciones,
por la cual se modifican los artículos 22 y 23 de la Resolución
1732 de la CRT y los artículos 1,8 y 2,4 de la Resolución 1740 de la CRT.
Resolución 2265 de 8 de enero de 2010, de la Comisión de Regulación de las

Comunicaciones, Asignación de número para emergencias forestales.

Comunicaciones, con la que se establecen disposiciones en materia de protección
de los derechos de usuarios respecto de tarifas de telefonía pública básica
conmutada.

Comunicaciones, por la cual se establece la metodología para la medición del Nivel
de Satisfacción del Usuario de los Servicios dfe TRBCL y TRBCLE. Además se recoge
el procedimiento para el cálculo del Factor de Calidad.

Comunicaciones, por la cual se modifica la Resolución CRT 1763 de 2007
modificando tarifas en telecomunicaciones.

Comunicaciones, por la que se establecen las condiciones para la implementación y
operación de la Portabilidad Numérica para telefonía móvil en Colombia.
Resolución 2475 de 25 de febrero de 2010, de la Comisión de Regulación de las

Comunicaciones, por la que se adopta el reglamento interno del comité técnico de
portabilidad.
Resolución 202 de 8 de marzo de 2010, del Ministerio de Tecnologías de la

Información y las Comunicaciones, por la cual se expide el glosario de definiciones
conforme a lo ordenado por el inciso segundo del artículo 6 de la Ley 1341 de 2009.
Circular 079 de 18 de marzo de 2010, de la Comisión de Regulación de las

Comunicaciones, sobre Responsabilidad de los proveedores de redes y servicios a
larga distancia internacional dentro del plan de implementación numérica.
Decreto 1162 del 13 de abril de 2010, por el cual se organiza el Sistema

Administrativo Nacional de Propiedad Intelectual y se crea la Comisión
Intersectorial de Propiedad Intelectual.

165



Resolución 2532 de 30 de abril de 2010, de la Comisión de Regulación de las
Comunicaciones,
por medio de la cual se aplican modificaciones al sistema de
portabilidad numérica.
Resolución 2533 de 30 de abril de 2010, de la Comisión de Regulación de las

Comunicaciones, que modifica la normativa aplicable a la portabilidad numérica.
Resolución 2554 de 19 de mayo de 2010, de la Comisión de Regulación de las

Comunicaciones, Modificación al Régimen de Protección de los Derechos de los
Usuarios de Servicios de Telecomunicaciones.
Resolución 2556 de 27 de mayo de 2010, de la Comisión de Regulación de las

Comunicaciones, reguladora de la Administración de Bases de Datos del Sistema de
Portabilidad Numérica.
Resolución 2562 de 3 de junio de 2010, de la Comisión de Regulación de las

Comunicaciones, que modifica el artículo 1º de la Resolución 2353, que versa sobre
indicadores de calidad de servicios de telecomunicaciones.

Comunicaciones, por la cual se modifican las Resoluciones CRT 1740 de 2007 y
1940 de 2008 y se establecen obligaciones de reporte de información asociada a
parámetros de calidad a los proveedores der servicio de acceso a Internet a través
de redes móviles.

Comunicaciones, con la que se establece condiciones sobre la implementación y
operación de la Portabilidad Numérica para telefonía móvil.
Comisión de Regulación de Comunicaciones de 30 de junio de 2010, Acceso a

Redes por parte de proveedores de contenidos y aplicaciones. (Documento de
consulta pública)
Ley 1403 de 19 julio 2010, por la cual se adiciona la Ley 23 de 1982, sobre
derechos de autor, se establece una remuneración por comunicación pública a los
artistas intérpretes o ejecutantes de obras y grabaciones audiovisuales o "Ley
Fanny Mikey"
Decreto 3942 de 25 de octubre de 2010, por el cual se reglamentan las Leyes 23 de
1982,44 de 1993 y el artículo 2, literal c) de la Ley 232 de 1995, en relación con las

166



sociedades de gestión colectiva de derecho de autor o de derechos conexos y la
entidad
recaudadora y se dictan otras disposiciones.
Proyecto de Ley de abril de 2011 por el cual se regula la responsabilidad por las
infracciones al derecho de autor y los derechos conexos en Internet.
Resolución nº 2355 de 2011, por la cual se establecen las condiciones de

implementación y operación de la Portabilidad Numérica para telefonía móvil en
Colombia.
http://www.informatica-‐juridica.com/legislacion/
GLOSARIO DE TÉRMINOS
Activos informáticos
Se entiende por activo informático todos aquellos activos que de una u otra forma
están relacionados (almacenamiento y manipulación) a la información en la
empresa.

Amenaza informática
Una Amenaza es la posibilidad de ocurrencia de cualquier tipo de evento o acción
que puede producir un daño (material o inmaterial) sobre los elementos de un
sistema.

Análisis de riesgos
Metodología que sirve para identificar y evaluar probables daños y pérdidas a
consecuencia del impacto de una amenaza sobre un sistema

Ataque informático
Intento organizado e intencionado propiciado por una o más personas para causar
daño o problemas a un sistema informático o red.
Backup
Copia de Respaldo o Seguridad. Acción de copiar archivos o datos de forma que
estén disponibles en caso de que un fallo produzca la perdida de los originales. Esta
sencilla acción evita numerosos, y a veces irremediables, problemas si se realiza de
forma habitual y periódica.

167



Base de datos
Conjunto de datos que pertenecen al mismo contexto almacenados
sistemáticamente. En una base de datos, la información se organiza en campos y
registros. Los datos pueden aparecer en forma de texto, números, gráficos, sonido
o vídeo.

Ciberterrorismo
Es la acción violenta que infunde terror realizada por una o más personas en
Internet o a través del uso indebido de tecnologías de comunicaciones.

Cracker
Persona que trata de introducirse a un sistema sin autorización y con la intención
de realizar algún tipo de daño u obtener un beneficio.
Delito informático
El delito informático implica cualquier actividad ilegal que encuadra en figuras

tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjucio, estafa y
sabotaje, pero siempre que involucre la informática de por medio para cometer la
ilegalidad.
Hacker
Persona que tiene un conocimiento profundo acerca del funcionamiento de redes
de forma que puede advertir los errores y fallas de seguridad del mismo. Al igual
que un cracker busca acceder por diversas vías a los sistemas informáticos pero con
fines de protagonismo.

ISO/IEC 27001
Es un estándar internacional para los sistemas de gestión de la seguridad

informática, que está estrechamente relacionado al estándar de controles
recomendados de seguridad informática ISO/IEC 17799.

Riesgo informático

168



La posibilidad que una amenaza se materialice, utilizando vulnerabilidad existente
en
un activo o grupos de activos, generándose así pérdidas o daños

Salvaguardas
Medidas que se toman para disminuir un riesgo

Virus
Programa que se duplica a sí mismo en un sistema informático incorporándose a
otros programas que son utilizados por varios sistemas.

Vulnerabilidad
Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la
confidencialidad, integridad, disponibilidad, control de acceso y consistencia del
sistema o de sus datos y aplicaciones.

169



BIBLIOGRAFÍA

ÁLVAREZ, G. y otros. Seguridad Informática para empresas y particulares. Madrid:
McGraw-‐Hill.
CALDER, A. (2006). Nueve claves para el Éxito. Una visión general de la

implementación de la norma NTC-‐ISO/IEC 27001. Icontec.
CALLE, S. (2002). El contrato informatico sobre bienes inmateriales susceptibles de
digitalizacion. Tesina de grado, Universidad Complutense de Madrid.
CANO, J. (2007). Inseguridad Informática y Computación Antiforense: Dos

conceptos emergentes de la Seguridad de la Información. Information System
Control Journal, vol 4,.
DERRIEN Yann, Técnicas de la Auditoría Informática: La dirección de la misión de la
auditoría, México D.F.: Ediciones Alga Omega S.A., 1995. 228 p. ISBN 970-‐15-‐0030-‐
X.

DUEÑAS GÓMEZ, Luis Ángel, Controles y auditoria de sistemas de información.
México. Alfaomega. 2008, 692 p.

ECHENIQUE, José Antonio. Auditoría en Informática. México DC. Editorial Mc Graw
Híll. 2001, 158 p.

FARLEY Marc, Guía de LAN TIMES® de seguridad e integridad de datos: Seguridad
informática, primera edición, Madrid (España): Editorial Mc Graw-‐Hill, 1996. 342 p.
ISBN: 0-‐07-‐882166-‐5.

FINE, Leonard H. Seguridad en centros de cómputo. Editorial Trillas. 1990, 201 p.

Guía Internacional de Auditoría No. 16 Auditoria en un ambiente de procesamiento
electrón co de datos (PED) párrafo No. 23.

HERNANDEZ, HERNANDEZ, Enrique. Auditoría en informática. Editorial CECSA.
2000, 322 p.

170



I Simposio Internacional y VI Colombiano de controles, seguridad y auditoria de
sistemas.
ACC, S.

RESTREPO A. Jorge A. GUÍA PARA LA CLASE DE AUDITORIA DE SISTEMAS (en línea).
(Consultada el 10 de Agosto del 2011) disponible en la dirección electrónica:
http://jorgearestrepog.comunidadcoomeva.com/blog/index.php.
SUÑE, E. (2000). Tratado de Derecho Informático. Introducción y Protección de

datos personales (1ª ed., vol. I, p. 7). Editorial Universidad Complutense de Madrid.

171

Mo Dulo Aspectos Eticos y Legales de La Seguridad Informatica

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Mo Dulo Aspectos Eticos y Legales de La Seguridad Informatica

Încărcat de

Drepturi de autor:

Formate disponibile

UNIVERSIDAD

NACIONAL ABIERTA Y A DISTANCIA – UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA

MÓDULO ASPECTOS ETICOS Y LEGALES DE SEGURIDAD INFORMATICA

Francisco Nicolás Javier Solarte Solarte

ZONA CENTRO BOGOTA CUNDINAMRCA – ZONA CENTRO SUR

Francisco Nicolás Javier Solarte Solarte: Ingeniero de Sistemas de la Universidad

El módulo fue iniciado en el mes de diciembre de 2011, y se terminó su

Los horizontes culturales y educativos actuales aparecen dependientes de los

La Ética constituye una materia propia, autónoma, de carácter filosófico y está

La Ética debe ser patrimonio común de todos y debe contribuir a formar

En este sentido es muy importante conocer también los códigos éticos

El curso esta dirigido principalmente a los ingenieros de sistemas, electrónicos e

El curso proporciona los conocimientos teóricos para llevar a cabo procesos de

Fundamentalmente, el curso pretende desarrollar las capacidades, habilidades y

Además el curso permite conocer los aspectos de la legislación nacional e

- Conocer y comprender los rasgos específicos que fundamentan la moralidad

El estudiante estará capacitado para:

-­‐ El estudiante identifica, aprende, y comprende los diferentes conceptos sobre

-­‐ El estudiante está en capacidad de identificar los diferentes tipos de delitos

-­‐ El estudiante está en la capacidad de analizar casos de delitos y fraudes

CRITERIOS DE EVALUACIÓN

Tambien se plantea la forma evaluativa de aplicación de cuestionarios en cada una

Otra de las formas de evaluación es el trabajo en equipo donde se plantea un caso

Por último se hará la evaluación por proyectos, donde se presentará a

ASPECTOS DE PROPIEDAD INTELECTUAL Y VERSIONAMIENTO 2

UNIDAD 1. LA ÉTICA 16

CAPITULO 1: ASPECTOS GENERALES Y CONCEPTO DE ÉTICA 16

Lección 1: El hombre y La Ética 16

Lección 2: La Ética y la Moral 18

Lección 3: Fundamentos de la ética y valores 19

Lección 4: La ética profesional 22

Lección 5: Los deberes y la ética 24

Lección 7: Ética de la Información 33

Lección 8: Códigos Deontológicos de la Tecnología Informática 35

CAPÍTULO 3: PROBLEMAS ÉTICOS DEL USO DE LAS TECNOLOGIAS 57

Lección 12: Problemas de Seguridad en Internet 59

Lección 13: Problemas de Virus Informáticos 62

Lección 14: Problemas de Delitos Informáticos 63

Lección 15: Clasificación de los Delitos Informáticos 66

UNIDAD 2. LEGISLACIÓN EN SEGURIDAD INFORMÁTICA 73

Lección 16: Derecho informático 74

Lección 17: Aspectos Jurídicos de la Norma ISO 27001 77

Lección 18: Tratamiento Legal de los Incidentes Informáticos 86

CAPÍTULO 5: ORGANISMOS DE REGULACIÓN Y LEGISLACIÓN 92

Lección 21: Organizaciones Internacionales en CSIRT’s 96

Lección 22: Organizaciones CERT o CSIRT’s Alrededor del Mundo 98

Lección 23: Convenio Internacional de Telecomunicaciones 103

Lección 25: Legislación Informática y de Seguridad en Argentina 119

CAPÍTULO 6: LEGISLACIÓN INFORMÁTICA EN COLOMBIA 130

Lección 26: Ley de Delitos Informáticos en Colombia 130

Lección 28: Legislación Colombiana sobre Comercio Electrónico 139

Lección 29: Legislación Colombiana sobre Gobierno en Línea 148

Lección 30: Legislación en Seguridad Informática en Colombia 156

GLOSARIO DE TÉRMINOS 167

LISTADO DE TABLAS

Tabla 1: Preceptos morales del Código ACM 31

Tabla 2: Responsabilidades Profesionales según Código ACM 33

Tabla 3: Obligaciones de Liderazgo Organizativo Según Código ACM 34

Nombre de la Unidad LA ÉTICA

Introducción Esta unidad esta dedicada principalmente a la

Justificación Los conceptos sobre ética profesional permitirán a los

Intencionalidades -­‐ El estudiante conoce, aprende y comprende los

-­‐ El estudiante conoce las organizaciones que dictan la

-‐ El estudiante identifica, aprende, y comprende los diferentes conceptos sobre

-‐ El estudiante está en capacidad de identificar los diferentes tipos de delitos

-‐ El estudiante está en la capacidad de analizar casos de delitos y fraudes

Intencionalidades -‐ El estudiante conoce, aprende y comprende los

-‐ El estudiante conoce las organizaciones que dictan la

Artículo 34°.-‐ El profesional debe prestar el servicio social profesional por

Artículo 36°.-‐ El profesional debe ser respetuoso de las tradiciones, costumbres y

Artículo 38°.-‐ El profesional debe servir como auxiliar de las instituciones de

Artículo 39°.-‐ El profesional debe participar activamente en su entorno social

A.1.-‐ Hacer prevalecer los intereses generales a los intereses particulares.

A.3.-‐Promover los principios de reducir, reutilizar y reciclar en referencia con la

A.4.-‐Promover la accesibilidad de la informática por todos los niveles y estamentos

A.5.-‐Promover el código en la Sociedad, para que se conozcan y respeten los

A.6.-‐La empresa, o profesional independiente, deberá informarse sobre el

A.8.-‐Colaborar en la identificación y conocimiento público de las buenas y malas

A.10.-‐Guardar el secreto profesional y la información confidencial de la que se

A.12.-‐Promover las asociaciones entre todos los profesionales del sector, y en

A.16.-‐Considerar con respeto todas las profesiones.

A.17.-‐A la hora de ofrecer sus opiniones profesionales, se expresará con la claridad

A.18.-‐No se ofrecerán opiniones profesionales en aquellos temas en que no se

A.19.-‐Ser objetivo, veraz, preciso e imparcial en las actuaciones y opiniones

B.1.-‐Estar al corriente de las leyes relacionadas con la Informática y promover su

B.2.-‐Mantener confidencialidad con respecto a la información extraída de su

B.5.-‐Presuponer la integridad de la empresa cliente, si no hay elementos

B.7.-‐Hacerse responsable de las propias decisiones y de sus consecuencias.