UNIVERSIDAD NACIONAL DE RIO NEGRO

Taller de Informtica y TICs

Seguridad Informtica
Autor: Lic. Gustavo A. Pagliari

2009

SEDE COMARCA ANDINA EL BOLSN

ndice
1. Concepto de seguridad de la informacin ................................................................................................................................... 3 1.1. 1.2. 2. 2.1. 2.1.1. 2.1.2. 2.2. 2.3. 2.4. 2.4.1. 2.4.2. 2.4.3. 2.4.4. 2.4.5. 2.5. 2.5.1. 2.5.2. 2.6. 2.6.1. 2.7. 2.7.1. 2.7.2. 2.7.3. 2.8. 3. 3.1. 3.2. 3.3. Qu debemos proteger?.......................................................................................................................................................... 3 Administracin de riesgos y controles ............................................................................................................................. 4 Introduccin a los controles y las buenas prcticas de trabajo. Concientizacin de los riesgos ........ 5 Proteccin de los datos: Copias de Respaldo o Back-up ................................................................................. 5 Clasificacin y Ordenamiento ....................................................................................................................................... 6 Proteccin de los datos: contraseas ................................................................................................................................ 6 Puntos vulnerables en la red.................................................................................................................................................. 7 Delitos informticos ................................................................................................................................................................... 7 Medios de ataque ................................................................................................................................................................. 8 Transmisin de un virus .................................................................................................................................................. 8 Tipos de ataque de un virus ........................................................................................................................................... 8 Algunas medidas bsicas de prevencin ................................................................................................................. 9 Qu hacer en caso de estar infectado? .................................................................................................................... 9 Evaluacin de Antivirus............................................................................................................................................................ 9 Antivirus comerciales ........................................................................................................................................................ 9 Antivirus Freeware .......................................................................................................................................................... 10 Que son los Spyware? ........................................................................................................................................................... 11 Soluciones y no tanto ...................................................................................................................................................... 12 Introduccin al Hacking: Intrusos .................................................................................................................................... 13 Definicin de Intruso ...................................................................................................................................................... 13 Tipos de Intrusos .............................................................................................................................................................. 13 Distintos tipos de Hackers ........................................................................................................................................... 13 Ataques comunes a la seguridad ....................................................................................................................................... 14 Ley 26388. Texto de la ley de reforma del cdigo Penal en materia de delitos informticos........... 15 Ley 25.326. Ley de Habeas Data. Proteccin de los datos personales .......................................................... 17 Ley 3246 - Habeas Data - Rio Negro - Argentina ...................................................................................................... 18

Algunos mtodos de proteccin ....................................................................................................................................................... 5

Legislacin de delitos informticos en Argentina ................................................................................................................ 15

1. Concepto de seguridad de la informacin

La Seguridad de la Informacin tiene como fin la proteccin de la informacin y de los sistemas de la informacin del acceso, uso, divulgacin, interrupcin o destruccin no autorizada.

1.1. Qu debemos proteger?

Hardware Software Informacin La informacin en la empresa: Se entender que informacin es: Todo el conjunto de datos y archivos de la empresa. Todos los mensajes intercambiados. Todo el historial de clientes y proveedores. Todo el historial de productos, marketing ... etc. SE ENTIENDE QUE INFORMACIN = ACTIVO

Si esta informacin se pierde o deteriora, le ser muy difcil a la empresa recuperarse y seguir siendo competitiva entonces debemos adoptar polticas de seguridad La Seguridad de la Informacin tiene la finalidad de proteger la Confidencialidad, Integridad y Disponibilidad de la informacin: Es la propiedad de prevenir la divulgacin de informacin a personas o sistemas no autorizados.

Confidencialidad

Integridad

Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La violacin de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intencin) modifica o borra los datos importantes que son parte de la informacin.

Disponibilidad

Es la caracterstica, cualidad o condicin de la informacin de encontrarse a disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.

1.2. Administracin de riesgos y controles

Riesgos El riesgo es una condicin del mundo real en el cual hay una exposicin a la adversidad, conformada por una combinacin de circunstancias del entorno, donde hay posibilidad de perdidas. Administracin de riesgos La administracin de riesgos es una aproximacin cientfica del comportamiento de los riesgos, anticipando posibles prdidas accidentales con el diseo e implementacin de procedimientos que minimicen la ocurrencia de prdidas o el impacto financiero de las prdidas que puedan ocurrir. Seguridad Fsica y Seguridad Lgica La seguridad informtica se debe enfrentar desde 3 enfoques: Seguridad Fsica: proteccin del sistema ante las amenazas fsicas. Incluye: planes de contingencia, control de acceso fsico, polticas de seguridad, procedimientos y normas, etc. Seguridad Lgica: proteccin de la informacin en su propio medio. Por ejemplo: mediante el enmascaramiento de la misma usando tcnicas de criptografa. Seguridad Administrativa: tiene que ver con la parte de seguridad del personal y el cumplimiento de las leyes. No obstante, esta clasificacin en la prctica no es tan rigurosa. Acciones contra la Informacin Una persona no autorizada podra: Clasificar y desclasificar la informacin. Filtrar informacin. Alterar informacin. Borrar informacin. Usurpar informacin. Ver informacin clasificada. Deducir informacin confidencial.

Por lo tanto, deberemos proteger nuestra informacin

2. Algunos mtodos de proteccin

2.1. Introduccin a los controles y las buenas prcticas de trabajo. Concientizacin de los riesgos
2.1.1. Proteccin de los datos: Copias de Respaldo o Back-up
La medida ms eficiente para resguardar los datos es implementar una buena poltica de copias de seguridad o backups, que debe contemplar: Copia de seguridad completa: Todos los datos (la primera vez). Copias de seguridad incrementales: Slo se copian los archivos creados o modificados desde el ltimo back-up. Elaboracin de un plan de back-up en funcin del volumen de informacin generada. Tipo de copias, ciclo de esta operacin, etiquetado correcto. Periodicidad: diarias, semanales, mensuales. Establecer quin, cmo y dnde se guardan esos datos. Hacer pruebas peridicas de restauracin al azar. Algunos mtodos prcticos de respaldo de la informacin, son los siguientes: Copia de el/los archivo/s originales en distintos medios confiables de almacenamiento tales como: CDs DVDs Requiere de un Dispositivo Hardware para su lectura y grabacin de datos. Ademas, un Soft especial de grabacin. Ej: Nero o Cyberlink

Disco Rgido PenDrives

Se pueden grabar o copiar archivos dentro del mismo disco rgido o de ste a un medio externo de almacenamiento como el Pendrive.

Si trabajamos con Windows se pueden hacer copias de archivos por medio del Explorador de Windows. (No confundir con Internet Explorer para navegar por Internet). Si trabajamos con Linux se pueden hacer copias de archivos por medio del Nautylus Los 2 sistemas anteriores son programas que permiten visualizar todo el contenido de mi PC. Esto incluye la visualizacin de: 1. 2. 3. 4. Discos rgidos instalados Carpetas y Archivos existentes en Disco Rgido de PC Discos de 3 1/2 (si los hay) CD (si los hay)

5. 6. 7. 8. 9. 10. 11.

DVD (si los hay) Pendrive (si los hay) Carpeta Mis Documentos (si estamos en Windows) Carpeta Home personal (si estamos en Linux) Papelera de Reciclaje Escritorio Mis sitios de Red

Al realizarse copias de respaldo en los medios de almacenamiento nombrados anteriormente es necesario y conveniente rotular las copias de acuerdo a algn criterio. Algunos criterios bsicos son: Fecha de copia de los datos. Las fechas pueden variar de acuerdo a la periodicidad: Hora Diaria Semanal Quincenal Mensual Bimestral Referencia sobre qu datos se resguardan. N de Volumen de Datos (Si la cantidad exige mas de un medio de almacenamiento). Nombre de Propietario o Identidad. Formato de los archivos resguardados. (Si se considera importante)

2.1.2. Clasificacin y Ordenamiento

Es necesario que luego de realizar nuestras copias de respaldo, se tenga especial cuidado en el momento de guardar o archivar los backups. Es aconsejable archivar estos manteniendo una clasificacin que respete los criterios de fechas nombrados anteriormente. Por ejemplo: Si se lleva a cabo una copia de respaldo de la informacin en CD, los cuales varan cada uno de ellos en la fecha diarias. Deberemos tener en cuenta este orden desde la ms antigua fecha hasta la ms reciente. El proceso de clasificacin podramos aplicarlo para cualquiera de los otros criterios nombrados. Todo est sujeto a qu tipo de informacin se guarda y de que manera la queremos ordenar.

2.2. Proteccin de los datos: contraseas

Existe una mxima en seguridad informtica que dice: La seguridad es como una cadena, siempre se rompe por el eslabn ms dbil y el eslabn ms dbil suele ser el factor humano. Recomendaciones: No utilizar una palabra conocida, ni el nombre de la mascota, ni la fecha de nacimiento. Tampoco utilizar el PIN del banco, nunca se debe utilizar la misma contrasea en dos servicios diferentes. Hay que combinar letras y nmeros, si se puede incluir algn carcter especial mejor, y su longitud no debe ser inferior a ocho. Recordar tambin que el sistema debera obligar a cambiar la contrasea peridicamente y que debera ser distinta cada vez.

2.3. Puntos vulnerables en la red

Las empresas modernas hacen uso intensivo de varias tcnicas para el intercambio de datos en las redes: Transferencia de archivos (ftp) Transferencia de archivos a travs de la web (http) Conexiones remotas a mquinas y servidores (telnet) Todo esto presentar graves riesgos de ataques de intrusos y otros delincuentes informticos, pero ... Dnde est el enemigo? Por muy organizados que puedan estar estos grupos de vndalos o delincuentes, primero que nada hay que ponerse en el lugar que nos corresponde y no caer en la paranoia. Adems, debemos pensar que el peor enemigo puede estar dentro de casa... La solucin sigue siendo la misma: el desarrollo y la puesta en marcha de una adecuada poltica de seguridad en la empresa.

2.4. Delitos informticos

Son acciones que vulneran la confidencialidad, integridad y disponibilidad de la informacin. Algunos de los ataques a los sistemas informticos: Fraude Sabotaje Chantaje Intrusin Son los delitos de siempre, usando nuevas modalidades.

Fraude

Acto deliberado de manipulacin de datos perjudicando a una persona fsica o jurdica que sufre de esta forma una prdida econmica. El autor del delito logra de esta forma un beneficio normalmente econmico.

Sabotaje

Accin con la que se desea perjudicar a una empresa entorpeciendo deliberadamente su operacin normal, averiando sus equipos, herramientas, programas, etc. El autor no logra normalmente con ello beneficios econmicos, pero pone en jaque a la organizacin. Accin que consiste en exigir una cantidad de dinero a cambio de no dar a conocer informacin privilegiada o confidencial y que puede afectar gravemente a la empresa, por lo general a su imagen corporativa

Chantaje

Intrusin

Mediante la utilizacin de una clave, una persona no autorizada accede al sistema suplantando su identidad. De esta forma el intruso se hace dueo de la informacin, documentacin y datos de otros usuarios con los que puede, por ejemplo, chantajear a la organizacin.

2.4.1. Medios de ataque

Programa diseado para introducirse en una computadora para modificar o destruir datos. Se copia en forma automtica a otros programas para seguir su ciclo de vida. Es comn que se expanda a travs de plantillas, macros de aplicaciones y archivos ejecutables. Programa que se activa y transmite a travs de la red. Tiene como finalidad su multiplicacin hasta agotar el espacio en disco o RAM. Suele ser uno de los ataques ms dainos porque normalmente produce un colapso en los sistemas (p.e. el gusano de Internet de Robert Morris Jr.). Programa que est o que entra a la computadora y posteriormente acta de forma similar a este hecho de la mitologa griega. Hay dainos e inofensivos como por ejemplo: el huevo de Pascua de Windows.

Virus

Gusano

Troyano

Otros

Son Malware.Incluso aparecern nuevos delitos y ataques a los sistemas informticos y a las redes que al da de hoy no sabemos cmo sern, ni qu vulnerabilidad atacarn...

Este enfrentamiento entre el bien y el mal es inevitable en un sistema abierto ... y las comunicaciones hoy son as.

2.4.2. Transmisin de un virus

Se transmiten slo mediante la ejecucin de un programa. Esto es muy importante recordarlo. El correo electrnico por definicin no puede contener virus al ser slo texto. No obstante, los mails muchas veces contienen archivos adjuntos o los visualizadores ejecutan cdigo (Active X) en el cliente de correo del usuario y stos pueden tener incluido un virus. Ah est el peligro. El entorno WEB es mucho ms peligroso. Un enlace puede lanzar un programa en Java u otro lenguaje que se ejecute y afecte al sistema.

2.4.3. Tipos de ataque de un virus

Estn aquellos que infectan a programas con extensin exe, com y sys Al ejecutarse quedan residentes en memoria y de ah se propagan a otros archivos. Y tambin aquellos que infectan el sistema operativo y el sector de arranque y las tablas de entrada (reas especficas del disco). Se instalan directamente all y por lo tanto residen en memoria.

2.4.4. Algunas medidas bsicas de prevencin

Instalar un antivirus y actualizarlo al menos una vez por semana; recomendable cada 2 3 das. Ejecutar el antivirus en la modalidad full scan (por ejemplo una vez al mes) y siempre con los disquetes, CDs y archivos que se descargan de Internet. Usar siempre software legal de origen conocido, con licencia. Controlar el acceso de extraos a la computadora. Deshabilitar la opcin de abrir automticamente los archivos adjuntos al e-mail.

2.4.5. Qu hacer en caso de estar infectado?

Cerrar las conexiones remotas (Internet). Apagar el sistema y desconectarlo de la red. (Si estamos en red) Arrancar con un disquete CD de arranque o de emergencia, que est protegido y ejecutar un programa antivirus. Hacer una copia de seguridad de los archivos. Formatear el disco rgido a bajo nivel, si no nos queda otra opcin. Instalar nuevamente el sistema operativo, los programas de trabajo y restaurar los archivos desde la copia de seguridad.

2.5. Evaluacin de Antivirus

2.5.1. Antivirus comerciales

Empresa McAfee security URL: http://us.mcafee.com. Aplicacin: McAfee VirusScan Licencia: Trial por 15 das Sistemas Soportados: Windows 98/ Me/ 2000/ XP. Requerimientos mnimos: Pentium 133 MHz /32 MB RAM / 8 MB HDD / IE 5.5 Lo bueno: Excelente soporte online, bajos requerimientos de sistema, efectividad e integracin con otras herramientas de seguridad a travs de Security Center Lo malo: El sistema de registro y descarga de las versiones trial para los distintos productos resulta muy complicado Empresa: Kaspersky Lab. URL: www.kaspersky.com Aplicacin: Kaspersky Anti-Virus Profesional Licencia: Trial por 30 das. Sistemas soportados: Windows 98/Me/Nt4.0/2000/XP. Requerimientos mnimos: Pentium 150 MHz / 64 MB RAM / 23 MB HDD / IE 5.5 Lo bueno: Eficacia, facilidad de uso, bajos requerimientos, actualizacin simple. Lo malo: No encontramos oficinas dedicadas al comercio latinoamericano.

10

Empresa: Symantec URL: www.symantec.com Aplicacin: Norton Antivirus 2005 Licencia: Trial por 15 das Sistemas soportados: Windows 98/Me/2000/XP. Requerimientos mnimos: Pentium 133 MHz / 64 MB RAM / 85MB HDD /IE 5 Lo bueno: Interfaz sencilla, actualizacin automtica, acceso a herramientas gratuitas para el tratamiento de virus especficos. Lo malo: La autoproteccin dedicada a mensajeros instantneos no siempre funciona. Empresa: Panda Software URL: www.pandasoftware.es Aplicacin: Panda Titanium Antivirus 2004 Licencia: Trial por 30 das Sistemas soportados: Windows XP/2000/Pro/NT 4.0 ws/Me/98/95 Requerimientos mnimos: Pentium 133 MHz / 32 MB RAM / 20 MB HDD / IE 5.5 Lo bueno: La incorporacin de un motor de bsqueda denominado UltraFast permite efectuar anlisis completos casi sin consumir recursos. Lo malo: La versin trial que probamos nos ocasion conflictos con la conexin a Internet va NAT. Muy compleja la desinstalacin, en algunos casos: imposible Empresa: Trend Micro URL: www.trendmicro.com Aplicacin: PC-cillin Licencia: trial por 30 das. Sistemas soportados: Windows XP/2000/ SP3/Me/98/95 Requerimientos mnimos: Pentium 233 MHz / 64MB RAM / 30 MB HDD / IE 5 Lo bueno: El valor agregado al producto, con las herramientas que van ms all de la simple proteccin contra virus. Lo malo: No resulta sencillo encontrar una versin trial mediante el acceso al sitio dedicado a Latinoamrica.

2.5.2. Antivirus Freeware

Empresa: Grisoft URL: www.grisoft.com Aplicacin: AVG Licencia: Free Requerimientos mnimos: Pentium 233 MHz / 64MB RAM / 30 MB HDD / IE 5 Lo bueno: Soporte Free on line. Descarga automtica free.

Empresa: Avast URL: www.avast.com Aplicacin: Avast Licencia: Free Requerimientos mnimos: Pentium 233 MHz / 64MB RAM / 30 MB HDD / IE 5 Lo bueno: Soporte Free on line. Descarga automtica free. Empresa: NOD32 URL: www.nod32.com Aplicacin: NOD32 Licencia: Free Requerimientos mnimos: Pentium 233 MHz / 64MB RAM / 30 MB HDD / IE 5 Lo bueno: Descarga automtica free.

11

2.6. Que son los Spyware?

El Spyware representa una de las ltimas invenciones para aprovecharse de los usuarios de Internet. Es una amenaza cada vez mayor a la privacidad de los individuos y de las organizaciones. No solamente puede atacar a la computadora, si no que puede robar la informacin personal y financiera, del usuario del sistema. Cmo se combate? Con un software antispyware !! Pero Es fcil entender el resultado de un scan antispyware? Cul es la diferencia entre un malware, una tracking cookie, las MRU y un hijacker? Si no lo sabemos, el software contra Spyware no ser de mucha utilidad. Los spyware pueden obtener informacin como la siguiente: Los mensajes, contactos y la clave del correo electrnico; Datos sobre la conexin a Internet, como la direccin , el DNS, el telfono y el pas; Direcciones web visitadas, tiempo durante el cual el usuario se mantiene en dichas web y nmero de veces que el usuario visita cada web; software que se encuentra instalado; Descargas realizadas; y Cualquier tipo de informacin intercambiada, como por ejemplo en formularios, con sitios web, incluyendo nmeros de tarjeta de crdito y cuentas de banco, contraseas, etc.

12

Primer dato: el spyware es inevitable

En una nota reciente del diario La Nacin, donde se haban probado las herramientas antiespas, comerciales y gratis, ms importantes de la actualidad, demostr que por mas que estn instaladas en las PCs, su existencia no garantiza ninguna inmunidad. La nica forma de no tener nunca un espa en el equipo es no conectarlo con Internet.

Segundo dato: slo una pequea fraccin de los programas consignados como espa pueden ser verdaderamente peligrosos
Para el usuario. La cuestin es determinar cules son meros programas molestos y cules son realmente dainos. Pero con toda la jerga tcnica de por medio, esto no es tan fcil.

2.6.1. Soluciones y no tanto

Al ver el resultado de un scan antiespa nos enfrentamos de golpe con palabras y frases incomprensibles. No es posible ejercer ninguna categorizacin de los posibles invasores y para los fines prcticos suele ser lo mismo que nada. Unas veces nos atreveremos a borrar todo lo que hay en la lista, causando potenciales problemas, y otras simplemente no borraremos nada, dejando intactos los espas ms peligrosos, si los hay. Por ejemplo, el Microsoft Antispyware, que es excelente, detecta como espas al Messenger Plus! Un programa freeware, totalmente legal. Cuando se instala el Messenger Plus, si el usuario est de acuerdo, se baja un mdulo de publicidad, lo que lo convierte en sospechoso. El MS Antispyware aclara que si no se instal dicho mdulo, no hay riesgo. Pero el texto es inentendible para quien no es experto. El MS Antispyware no consigna como amenaza a la privacidad recolectar el ID de Cliente del Windows Media Player, cosa que s lo detecta el Spybot Search & Destroy.

A qu hay que prestarle atencin, entonces, en la lista de posibles amenazas?

Si un objeto es catalogado como malware (programa malicioso), elimnelo sin dudar. Lea el texto asociado con ese objeto detenidamente y desinstale tambin el programa que lo instal. No es mala idea, de paso, correr el antivirus y estar alerta. Los malware suelen incluir virus troyanos y otras amenazas de alto riesgo. Las MRU (Most Recent Used) son listas de archivos recientemente abiertos por las aplicaciones y se guardan en el Registro de Windows. Aunque dicen lo que se hizo recientemente, no constituyen ni espas ni peligro. Dejamos para el final a los hijackers, otra de las palabras raras que se puede hallar en las listas de objetos sospechosos. Los hijackers son los progamas que cambian la pgina de inicio del navegador por alguna otra. Debemos borrarlos siempre, ya que generalmente no slo son peligrosos, sino tambin insolentes.

2.7. Introduccin al Hacking: Intrusos

2.7.1. Definicin de Intruso
Alguien que quiere acceder a los sistemas con o sin autorizacin pero con fines que pueden perjudicar a la organizacin.

13

2.7.2. Tipos de Intrusos

Estn incluidos los siguientes: Distintos tipos de hackers Empleados deshonestos

2.7.3. Distintos tipos de Hackers

Son personas talentosas que exploran los supuestos sistemas de seguridad inviolables para conocer las debilidades. Algunos de ellos utilizan sus habilidades y conocimientos en forma delictiva, generando perjuicios y caos en la red. Se clasifican en: El Hacker es una persona con amplios conocimientos en tecnologa, bien puede ser en informtica, en electrnica o en comunicaciones, se mantiene permanentemente actualizado y conoce a fondo todo lo relacionado con programacin y sistemas complejos; es un investigador nato que se inclina ante todo por conocer lo relacionado con cadenas de datos encriptados y las posibilidades de acceder a cualquier tipo de "informacin segura". Su formacin y las habilidades que posee le permite acceder a sistemas de informacin seguros, sin ser descubiertos. Tambin est muy interesado en difundir sus conocimientos para que las dems personas se enteren de cmo es que realmente funciona la tecnologa y conozcan las debilidades de sus propios sistemas de informacin. Este grupo est conformado por adolescentes y adultos, en su mayora estudiantes, con una caracterstica en comn: Los deseos de conocimientos

Hacker

Cracker

Se denomina as a aquella persona con comportamiento compulsivo, que alardea de su capacidad para destruir sistemas electrnicos e informticos. Un Cracker es un hbil conocedor de programacin de Software y Hardware; disea y fabrica programas de guerra y hardware para destruir software y comunicaciones. Ataca por igual el telfono, el correo electrnico o el acceso a computadoras remotas. Muchos de ellos "cuelgan" pginas Web por diversin o envan a la red su ltima creacin de virus polimrfico.

2.8. Ataques comunes a la seguridad

E-mail Bombing Spamming Spam: envo de e-mails basura para saturar los recursos de los servidores de correo. Bombing: envo de e-mails basura con archivos adjuntos. Leyendas Urbanas: historias que circulan a travs del e-mail. Hoaxes (broma, engao): son mensajes de correo electrnico engaosos que se distribuyen en cadena. Para verificar la veracidad de este tipo de mensajes, ver: http://www.rompecadenas.com.ar/ Ingeniera Social Es el aprovechamiento del desconocimiento o de la ingenuidad de las personas para convencerlas de que ejecuten acciones o actos que puedan revelar informacin. No se usan herramientas. Usa falencias del personal o de los procedimientos de la empresa.

14

3. Legislacin de delitos informticos en Argentina

Finalmente luego de muchos aos se reforma el Cdigo Penal en materia de delitos informticos. En concreto se legislan los siguientes delitos: Distribucin y tenencia con fines de distribucin de pornografa infantil; Violacin de correo electrnico; Acceso ilegtimo a sistemas informticos; Dao informtico y distribucin de virus; Dao informtico agravado; Interrupcin de comunicaciones.

15

3.1. Ley 26388. Texto de la ley de reforma del cdigo Penal en materia de delitos informticos
Art. 1.- Incorpranse como ltimos prrafos del artculo 77 del Cdigo Penal, los siguientes: "El trmino "documento" comprende toda representacin de actos o hechos, con independencia del soporte utilizado para su fijacin, almacenamiento, archivo o transmisin. Los trminos "firma" y "suscripcin" comprenden la firma digital, la creacin de una firma digital o firmar digitalmente. Los trminos "instrumento privado" y "certificado" comprenden el documento digital firmado digitalmente." Art. 2.- Sustityese el artculo 128 del Cdigo Penal, por el siguiente: "Artculo 128.- Ser reprimido con prisin de seis meses a cuatro aos el que produjere, financiare, ofreciere, comerciare, publicare, facilitare, divulgare o distribuyere, por cualquier medio, toda representacin de un menor de dieciocho aos dedicado a actividades sexuales explcitas o toda representacin de sus partes genitales con fines predominantemente sexuales, al igual que el que organizare espectculos en vivo de representaciones sexuales explcitas en que participaren dichos menores. Ser reprimido con prisin de cuatro meses a dos aos el que tuviere en su poder representaciones de las descriptas en el prrafo anterior con fines inequvocos de distribucin o comercializacin. Ser reprimido con prisin de un mes a tres aos el que facilitare el acceso a espectculos pornogrficos o suministrare material pornogrfico a menores de catorce aos." Art. 3.- Sustityese el epgrafe del Captulo III, del Ttulo V, del Libro II del Cdigo Penal, por el siguiente: "Violacin de Secretos y de la Privacidad." Art. 4.- Sustityese el artculo 153 del Cdigo Penal, por el siguiente: "Artculo 153.- Ser reprimido con prisin de quince das a seis meses el que abriere o accediere indebidamente a una comunicacin electrnica, una carta, un pliego cerrado, un despacho telegrfico, telefnico o de otra naturaleza, que no le est dirigido; o se apoderare indebidamente de una comunicacin electrnica, una carta, un pliego, un despacho u otro papel privado, aunque no est cerrado; o

indebidamente suprimiere o desviare de su destino una correspondencia o una comunicacin electrnica que no le est dirigida. En la misma pena incurrir el que indebidamente interceptare o captare comunicaciones electrnicas o telecomunicaciones provenientes de cualquier sistema de carcter privado o de acceso restringido. La pena ser de prisin de un mes a un ao, si el autor adems comunicare a otro o publicare el contenido de la carta, escrito, despacho o comunicacin electrnica. Si el hecho lo cometiere un funcionario pblico que abusare de sus funciones, sufrir adems, inhabilitacin especial por el doble del tiempo de la condena." Art. 5.- Incorprase como artculo 153 bis del Cdigo Penal, el siguiente: "Artculo 153 bis.- Ser reprimido con prisin de quince das a seis meses, si no resultare un delito ms severamente penado, el que a sabiendas accediere por cualquier medio, sin la debida autorizacin o excediendo la que posea, a un sistema o dato informtico de acceso restringido. La pena ser de un mes a un ao de prisin cuando el acceso fuese en perjuicio de un sistema o dato informtico de un organismo pblico estatal o de un proveedor de servicios pblicos o de servicios financieros." Art. 6.- Sustityese el artculo 155 del Cdigo Penal, por el siguiente: "Artculo 155.- Ser reprimido con multa de pesos UN MIL QUINIENTOS ($1.500) a PESOS CIEN MIL ($100.000), el que hallndose en posesin de una correspondencia, una comunicacin electrnica, un pliego cerrado, un despacho telegrfico, telefnico o de otra naturaleza, no destinados a la publicidad, los hiciere publicar indebidamente, si el hecho causare o pudiere causar perjuicios a terceros. Est exento de responsabilidad penal el que hubiere obrado con el propsito inequvoco de proteger un inters pblico." Art. 7.- Sustityese el artculo 157 del Cdigo Penal, por el siguiente: "Artculo 157.- Ser reprimido con prisin de un mes a dos aos e inhabilitacin especial de uno a cuatro aos, el funcionario pblico que revelare hechos, actuaciones, documentos o datos, que por ley deben ser secretos." Art. 8.- Sustityese el artculo 157 bis del Cdigo Penal, por el siguiente: "Artculo 157 Bis.- Ser reprimido con la pena de prisin de un mes a dos aos el que: 1. A sabiendas e ilegtimamente, o violando sistemas de confidencialidad y seguridad de datos, accediere, de cualquier forma, a un banco de datos personales; 2. Ilegtimamente proporcionare o revelare a otro informacin registrada en un archivo o en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposicin de la ley. 3. Ilegtimamente insertare o hiciere insertar datos en un archivo de datos personales. Cuando el autor sea funcionario pblico sufrir, adems, pena de inhabilitacin especial de uno a cuatro aos." Art. 9.- Incorprase como inciso 16 del artculo 173 del Cdigo Penal, el siguiente: "Inciso 16.- El que defraudare a otro mediante cualquier tcnica de manipulacin informtica que altere el normal funcionamiento de un sistema informtico o la transmisin de datos." Art. 10.- Incorprase como segundo prrafo del artculo 183 del Cdigo Penal, el siguiente: "En la misma pena incurrir el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informtico, cualquier programa destinado a causar daos."

16

Art. 11.- Sustityese el artculo 184 del Cdigo Penal, por el siguiente: "Artculo 184.- La pena ser de tres meses a cuatro aos de prisin, si mediare cualquiera de las circunstancias siguientes: 1. Ejecutar el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de sus determinaciones; 2. Producir infeccin o contagio en aves u otros animales domsticos; 3. Emplear substancias venenosas o corrosivas; 4. Cometer el delito en despoblado y en banda; 5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u otros bienes de uso pblico; o en tumbas, signos conmemorativos, monumentos, estatuas, cuadros u otros objetos de arte colocados en edificios o lugares pblicos; o en datos, documentos, programas o sistemas informticos pblicos; 6. Ejecutarlo en sistemas informticos destinados a la prestacin de servicios de salud, de comunicaciones, de provisin o transporte de energa, de medios de transporte u otro servicio pblico." Art. 12.- Sustityese el artculo 197 del Cdigo Penal, por el siguiente: "Artculo 197.- Ser reprimido con prisin de seis meses a dos aos, el que interrumpiere o entorpeciere la comunicacin telegrfica, telefnica o de otra naturaleza o resistiere violentamente el restablecimiento de la comunicacin interrumpida." Art. 13.- Sustityese el artculo 255 del Cdigo Penal, por el siguiente: "Artculo 255.- Ser reprimido con prisin de un mes a cuatro aos, el que sustrajere, alterare, ocultare, destruyere o inutilizare en todo o en parte objetos destinados a servir de prueba ante la autoridad competente, registros o documentos confiados a la custodia de un funcionario pblico o de otra persona en el inters del servicio pblico. Si el autor fuere el mismo depositario, sufrir adems inhabilitacin especial por doble tiempo. Si el hecho se cometiere por imprudencia o negligencia del depositario, ste ser reprimido con multa de SETECIENTOS CINCUENTA PESOS a DOCE MIL QUINIENTOS PESOS."

17

3.2. Ley 25.326. Ley de Habeas Data. Proteccin de los datos personales
Sancionada: Octubre 4 de 2000. Promulgada Parcialmente: Octubre 30 de 2000. El Senado y Cmara de Diputados de la Nacin Argentina reunidos en Congreso, etc. sancionan con fuerza de Ley: Ley de Proteccin de los Datos Personales Captulo I Disposiciones Generales ARTICULO 1 (Objeto). La presente ley tiene por objeto la proteccin integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios tcnicos de tratamiento de datos, sean stos pblicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, as como tambin el acceso a la informacin que sobre las mismas se registre, de conformidad a lo establecido en el artculo 43, prrafo tercero de la Constitucin Nacional. Las disposiciones de la presente ley tambin sern aplicables, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal.

En ningn caso se podrn afectar la base de datos ni las fuentes de informacin periodsticas. ARTICULO 2 (Definiciones). A los fines de la presente ley se entiende por: Datos personales: Informacin de cualquier tipo referida a personas fsicas o de existencia ideal determinadas o determinables. Datos sensibles: Datos personales que revelan origen racial y tnico, opiniones polticas, convicciones religiosas, filosficas o morales, afiliacin sindical e informacin referente a la salud o a la vida sexual. Archivo, registro, base o banco de datos: Indistintamente, designan al conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrnico o no, cualquiera que fuere la modalidad de su formacin, almacenamiento, organizacin o acceso. Tratamiento de datos: Operaciones y procedimientos sistemticos, electrnicos o no, que permitan la recoleccin, conservacin, ordenacin, almacenamiento, modificacin, relacionamiento, evaluacin, bloqueo, destruccin, y en general el procesamiento de datos personales, as como tambin su cesin a terceros a travs de comunicaciones, consultas, interconexiones o transferencias. Responsable de archivo, registro, base o banco de datos: Persona fsica o de existencia ideal pblica o privada, que es titular de un archivo, registro, base o banco de datos. Datos informatizados: Los datos personales sometidos al tratamiento o procesamiento electrnico o automatizado. Titular de los datos: Toda persona fsica o persona de existencia ideal con domicilio legal o delegaciones o sucursales en el pas, cuyos datos sean objeto del tratamiento al que se refiere la presente ley. Usuario de datos: Toda persona, pblica o privada que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros o bancos de datos propios o a travs de conexin con los mismos. Disociacin de datos: Todo tratamiento de datos personales de manera que la informacin obtenida no pueda asociarse a persona determinada o determinable.

18

3.3. Ley 3246 - Habeas Data - Rio Negro - Argentina

Ley numero 3246 Sancionada: 17/11/98 Promulgada: 01/12/98 - decreto numero 1608 Boletn oficial: numero 3631 LA LEGISLATURA DE LA PROVINCIA DE RIO NEGRO SANCIONA CON FUERZA DE L E Y Artculo 1.- Proceder la accin de "habeas data" toda vez que a una persona fsica o jurdica se le niegue el derecho a conocer gratuita e inmediatamente todo dato que de ella o sobre sus bienes conste en registros bancos de datos pblicos pertenecientes al Estado provincial y los municipal y en similares privados destinados a proveer informacin a terceros y, en caso de falsedad o discriminacin, para exigir su supresin, rectificacin, confidencialidad o actualizacin. Artculo 2.- En ningn caso podr afectarse el secreto de las fuentes de informacin periodstica. Artculo 3.- Toda persona fsica o jurdica se encuentra legitimada para interponer la accin de "habeas data" o amparo especial de proteccin de los datos personales en la medida que se considere afectada por la informacin a ella referida orante en registros o bancos de datos pblicos o privados.

Artculo 4.- Cuando una persona fsica o jurdica tenga razones para presumir que en un registro o banco de datos, pblico o privado, obra informacin acerca de ella, tendr derecho a requerir a su titular o responsable se le haga conocer dicha informacin y finalidad. Del mismo modo cuando en forma directa o en razn del requerimiento del prrafo anterior, tome conocimiento de que la informacin es errnea, con omisiones falsas, utilizada con fines discriminatorios o difundida a terceros cuando por su naturaleza o forma de obtencin deba ser confidencial, la persona afectada tendr derecho a exigir del responsable del registro de datos su supresin, rectificacin, confidencialidad o actualizacin. Artculo 5.- El requerimiento formulado en virtud del artculo 4 de esta ley deber ser respondido por escrito dentro de los quince (15) das corridos de haber sido intimado en forma fehaciente, por el titular del registro o banco de datos. Artculo 6.- La accin proceder contra los titulares, responsables o usuarios del registro o banco de datos pblicos o privados, pudiendo interponerse ante el Juez con competencia en el lugar donde la informacin se encuentre registrada o se exteriorice o el del domicilio del afectado. Artculo 7.- La demanda deber alegar las razones por las cuales entiende que en el registro o banco de datos obra informacin referente a su persona, con relacin detallada de la lesin producida o en peligro de producirse, con expresin concreta del o los motivos que dieron origen a la accin, ya sea para solicitar su conocimiento, determinar la finalidad a que se destina esa informacin o para exigir su supresin, rectificacin, confidencialidad o actualizacin. El Juez habr de evaluar la razonabilidad de la peticin con criterio amplio, expidindose en caso de duda por la admisibilidad de la accin al solo efecto de requerir la informacin al registro o banco de datos. Artculo 8.- En su caso el actor deber indicar, adems, las razones por las cuales aun siendo exacta la informacin, entiende que debe ser de tratamiento confidencial e impedirse su divulgacin y/o transmisin a terceros. Artculo 9.- El accionante deber acompaar con la demanda la prueba instrumental de que disponga o la individualizar si el actor no la tuviera en su poder, con indicacin precisa del lugar donde se encuentra. En el mismo acto se ofrecer toda la prueba de que intente valerse. Artculo 10.- El Juez deber pronunciarse sobre su procedencia formal en el trmino de dos (2) das, admitida la accin, el Juez requerir al registro o banco de datos la remisin de la informacin concerniente al accionante acompaando copia de la presentacin efectuada. Podr tambin solicitar informes sobre el soporte tcnico de los datos, documentacin relativa a la recoleccin y cualquier otro aspecto conducente a la resolucin de la causa. El plazo para contestar el informe ser establecido por el Juez, no pudiendo superar los cinco (5) das. Artculo 11.- Los registros o bancos de datos privados no podrn alegar la confidencialidad de la informacin requerida, a excepcin de aquello que pudiera afectar el secreto de las fuentes de informacin periodstica, la que queda a salvo de las disposiciones de esta ley, conforme el artculo 2. Artculo 12.- Los registros o bancos de datos pblicos slo estarn exceptuados de remitir la informacin requerida, cuando medien razones vinculadas a la preservacin del orden o la seguridad pblica, en tales casos deber acreditarse fehacientemente la relacin entre la informacin y la preservacin de dichos valores. El Juez de la causa evaluar con criterio restrictivo toda oposicin al envo de la informacin sustentada en las causales mencionadas. La resolucin judicial que insista en la remisin de los datos ser apelable dentro del segundo da de notificada. El recurso se interpondr fundado. La apelacin ser denegada o concedida en ambos casos dentro del segundo da. En caso de ser concedida ser elevada

19

dentro del da de ser concedida. Artculo 13.- Al contestar el informe el requerido deber indicar las razones por las cuales incluy la informacin cuestionada y en su caso, por qu entiende que la misma no puede ser considerada de tratamiento confidencial. Deber tambin acompaar la documentacin que entienda corresponder y el resto de la prueba. Artculo 14.- De haberse ofrecido prueba se fijar audiencia para su produccin dentro del tercer da. Artculo 15.- En caso de que el requerido manifestara que no existe en el registro o banco de datos informacin sobre el accionante y ste acreditara por algn medio de prueba que tom conocimiento de ello, podr solicitar las medidas cautelares que estime corresponder, de conformidad con las prescripciones del Cdigo Procesal Civil de la provincia. Artculo 16.- Vencido el plazo para la contestacin del informe o contestado el mismo y, en su caso, habiendo sido producida la prueba, el Juez dictar sentencia dentro del tercer da. En caso de estimarse procedente la accin, la sentencia ordenar que la informacin sea suprimida, rectificada, actualizada o declarada confidencial, segn corresponda, estableciendo asimismo el plazo para su cumplimiento. Artculo 17.- En caso de incumplirse con la sentencia y sin perjuicio de la ejecucin forzosa, el Juez podr disponer, a pedido de parte: a) La aplicacin de astreintes cuando el condenado fuere un registro o banco de datos privado. b) La aplicacin de multas de tipo personal cuando el condenado fuere un registro o banco de datos pblico. La multa ser aplicada sobre la remuneracin del titular o responsable del organismo del cual dependa el registro o banco de datos. Artculo 18.- La apelacin contra la sentencia deber interponerse dentro de las cuarenta y ocho (48) horas de notificada la misma. En caso de que proceda se conceder al solo efecto devolutivo, dndosele traslado a la otra parte por el mismo plazo. Contestada la vista o vencido el trmino otorgado el Juez deber elevar las actuaciones al Tribunal de Alzada dentro de las cuarenta y ocho (48) horas. Artculo 19.- Se aplicar supletoriamente el procedimiento sumarsimo del Cdigo Procesal Civil de la provincia, conforme los artculos 498 y dems normas correspondientes a este proceso.

20