Manipulación de la información pública y privada

delitos_informaticos_3

Por Marí­a José Viega Rodriguez

Introducción

Los beneficios de las tecnologías de la información y las comunicaciones son indiscutibles. Sin embargo, también sirven como herramienta para causar daño y en este sentido la criminalidad en Internet es la parte negativa del desarrollo tecnológico.

El presente trabajo tiene como objetivo analizar las amenazas existentes en el ciberespacio, tanto en la esfera pública como privada. En la esfera pública analizaremos la creación y cometidos del CERTuy en nuestro país, centro responsable de las respuestas a incidentes en temas de seguridad de la información y quien trabaja con los organismos públicos a los efectos de prevenir amenazas en este sentido.

Por otra parte, en la esfera privada, la importancia económica de la información   de todos nosotros nos enfrenta a invasiones permanentes a nuestra intimidad. En tal sentido Uruguay aprobó la Ley de Protección de Datos Personales y Acción de Habeas Data N° 18.331 el 11 de agosto de 2008.  Analizaremos las diferentes figuras delictivas vinculadas a la privacidad y el marco jurídico existente en Uruguay.

2. La seguridad de la información en la esfera pública: CERTuy

El centro de la coordinación de CERT® (CERT/CC) es un Centro de Maestría de la seguridad de Internet, que fue creado en 1988 en Estados Unidos y forma parte del Software Engineering Institute de la Universidad de Carnegie Mellon. Su información pretende proteger nuestros sistemas contra problemas potenciales y reaccionar a los problemas actuales y a problemas futuros. Su trabajo implica estudiar los sistemas de seguridad de la computadora y las vulnerabilidades, alarmas de seguridad, investigar cambios a largo plazo en sistemas networked, y proporcionar la información y entrenamiento para ayudarle a mejorar la seguridad en su sitio[1].

La sigla CERT deviene de “Computer Emergency Response Team”, esto es, un equipo de trabajo responsable del desarrollo de medidas preventivas y reactivas relacionadas con los incidentes de seguridad en los sistemas de información[2].

Los problemas relativos a la seguridad de la información guardan una estrecha relación con los activos de información, los que en términos generales pueden estar determinados por el tipo de datos manejados, la calidad de los servicios prestados, el mercado donde se desempeñan, las actividades y vínculos establecidos. Es por ello, que no solo es importante definir y establecer cuáles son los activos de información que el Estado posee, sino gestionar su reutilización y dotar de un marco de seguridad adecuado orientado a la confidencialidad, integridad y disponibilidad de la información[3].

Para lograr un marco adecuado de seguridad, es necesaria la aplicación de un conjunto de medidas técnicas y organizativas a efectos de lograr un entorno seguro para los datos, la información, y los sistemas que los sustentan[4].

Hay que tener presente a norma ISO/IEC 27001 define a la seguridad de la información como la preservación de la confidencialidad, la integridad, y la disponibilidad, pudiendo además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio. A estos efectos, una buena gestión de seguridad puede ser obtenida a través de la concreción de un conjunto de controles, tales como políticas, prácticas, procedimientos, estructuras organizativas y software adecuados.

En este sentido, es necesario que el Estado -como uno de los principales sujetos que almacena y transmite información- adopte medidas de seguridad adecuadas a fin de proteger aquella información sustancial para el desarrollo de sus actividades y cometidos, y que en definitiva es fundamental a efectos de la protección de sus intereses como Estado y la salvaguarda de los derechos de los ciudadanos. El Estado, al igual que los particulares, pueden ser víctimas de ataques de estos “delincuentes informáticos”, los que muchas veces atentan contra un sistema de información por el simple hecho de divertirse, o como forma de realizar publicidad de ellos mismos. Conforme a esto, existe la necesidad de contar con políticas, prácticas, medidas de seguridad adecuadas, entre otras, y la existencia de un equipo de trabajo que, a nivel estatal, centralice las competencias al respecto y dé respuestas inmediatas a las amenazas que la propia red pueda ocasionar[5].

Por Ley N° 18.172 de 7 de septiembre de 2007, artículo 119, se creó el Consejo Asesor Honorario de Seguridad de Informática del Estado en el ámbito de la Agesic, integrado por Prosecretaría de la Presidencia de la República, Ministerio de Defensa Nacional, Ministerio del Interior, Administración Nacional de Telecomunicaciones y Universidad de la República.

El artículo 55 de la Ley 18.046 de de 24 de octubre de 2006 en la redacción dada por el artículo 118 de la Ley Nº 18.172 otorgó a la Agesic potestades legales para la concepción y el desarrollo de políticas en materia de seguridad de la información, a los efectos de la prevención, detección y respuesta frente a los incidentes que pudieran afectar los activos críticos del país.

Por Ley Nº 18.362 de 15 de octubre de 2008, artículo 73, se creó el CERTuy dentro del ámbito de la Agesic, con los cometidos de regular la protección de los activos críticos de información del Estado, difundir las mejores prácticas, centralizar y coordinar la respuesta a incidentes informáticos y realizar las tareas preventivas que correspondan.

Este artículo fue reglamentado por el Decreto Nº 451/009 de 28 de septiembre de 2009 en el cual se definen los incidentes informáticos como una violación o amenaza inminente de violación a una política de seguridad de la información implícita o explícita, que comprometa la seguridad de un sistema (confidencialidad, integridad o disponibilidad).

El Decreto Nº 452/2009 de 28 de septiembre de 2009 aprobó las “Políticas en la Seguridad en la Información para los Organismos del Estado”, de aplicación obligatoria para los organismos públicos integrantes de la Administración Central, exhortándose su cumplimiento a los restantes órganos del Estado.

Podemos diferenciar los cometidos otorgados al CERTuy, en dos grupos: a) los relativos al trabajo en conjunto con los restantes organismos del Estado; y b) los relacionados con los incidentes de seguridad y las medidas atinentes a su control y prevención[6].

a) Se trata de tareas de asistencia, coordinación, colaboración entre los organismos públicos con la finalidad de proporcionar una asistencia eficaz en los casos de incidentes de seguridad informática, proponer normas destinadas a incrementar los niveles de seguridad en los recursos y sistemas relacionados con las TIC.

Además de los verbos nucleares utilizados por la norma reglamentaria descrita, se desprende que se trata de un proceso donde los distintos niveles de seguridad que los Organismos posean se van a ir acompasando con la normativa vigente gracias a la colaboración, asistencia, coordinación y asesoramiento que el CERTuy les provea.

En este sentido, la norma se encuentra en armonía con el Decreto Nº 450/00928 de septiembre de 2009  que aprueba un documento de políticas de seguridad de la información para los organismos públicos.

b) El CERTuy posee cometidos relacionados con la alerta ante amenazas y vulnerabilidades informáticas dando respuesta a los incidentes ocurridos. Estos servicios son denominados como reactivos, esto es, servicios diseñados para dar respuestas a solicitudes de asistencia, como por ejemplo a los incidentes de seguridad, investigación forense tendiente a determinar las huellas informáticas que los ataques informáticos generan.

El CERTuy documenta y registra los reportes de los incidentes ocurridos. El artículo 1º del Decreto dispone que el CERTuy protegerá tanto los sistemas informáticos como los sistemas circundantes a éstos. La respuesta a incidentes puede significar la realización de análisis forense sobre el sistema o sistemas informáticos circundantes al analizado, tales como la descripción de aquellas “huellas informáticas” que el atacante, dejó en el sistema.

El CERTuy también realiza tareas preventivas las cuales se ejercen a través de un procedimiento establecido y regulado en los artículos 9 a 13 del decreto referido.

Asimismo, se informa que el CERTuy viene trabajando en base a tres columnas de trabajo:

1) Actividades Reactivas: tales como la respuesta a incidentes de seguridad informática e investigación forense;

2) Actividades Proactivas: por ejemplo el asesoramiento en seguridad y alerta de incidentes;

3) Actividades en materia de Seguridad e Infraestructura, es decir, la seguridad en la red y sobre la plataforma de gobierno electrónico.

En cuanto a datos estadísticos, el CERTuy en la actualidad gestiona un promedio de dos incidentes mensuales.

A nivel de ataques encontramos[7]:

3. La seguridad de la información en la esfera privada

Abordaremos la conceptualización de la criminalidad en la red vinculada a la seguridad de los datos personales analizando las principales amenazas relacionados con los niños, con la privacidad, con aspectos económicos, destacando las siguientes:

3.1 Ciberbullying

El Ciberbullying es una variante del Bullying o acoso escolar tradicional, por denominarlos de alguna forma. Lo que queremos destacar es que esta no es una figura nueva, sino que, se potencializan sus efectos realizados por medios electrónicos, planteándose una situación de anonimato para los acosadores en la red.

Pero, la tecnología también permite detectar el lugar exacto y el equipo informático desde el que se llevó a cabo el presunto delito, a través de la detección de la dirección IP. El desafío se presenta en cuanto a la tipificación penal de esta conducta.

Podemos definirlo como la conducta protagonizada por uno o varios acosadores hacia uno o varios de sus compañeros. Consiste en utilizar medios electrónicos como la computadora, internet o el celular para  acosar, intimidar y agredir psicológicamente a las víctimas.

Esta conducta se define como acoso entre iguales en el entorno TIC e incluye actuaciones de chantaje, vejaciones e insultos de niños a otros niños. En una definición más exhaustiva, se puede decir que el ciberbullying supone el uso y difusión de información lesiva o difamatoria en formato electrónico a través de medios de comunicación como el correo electrónico, la mensajería instantánea, las redes sociales, la mensajería de texto a través de teléfonos o dispositivos móviles o la publicación de videos y fotografías en plataformas electrónicas de difusión de contenidos[8].

3.2 Grooming

El grooming es un nuevo tipo de problema relativo a la seguridad de los menores en Internet, consistente en acciones deliberadas por parte de un adulto de cara a establecer lazos de amistad con un niño o niña en Internet, con el objetivo de obtener una satisfacción sexual mediante imágenes eróticas o pornográficas del menor o incluso como preparación para un encuentro sexual, posiblemente por medio de abusos.

El grooming habitualmente es un proceso que puede durar semanas o incluso meses, y que suele pasar por las siguientes fases, de manera más o menos rápida según diversas circunstancias:

El adulto procede a elaborar lazos de amistad con el menor simulando ser otro niño o niña.

El adulto va obteniendo datos personales y de contacto del menor.

Utilizando tácticas como la seducción, la provocación, el envío de imágenes de contenido pornográfico, consigue finalmente que el menor se desnude o realice actos de naturaleza sexual frente a la webcam  o envíe fotografías de igual tipo.

De esta forma se inicia un proceso de cyberacoso, en el cual se chantajea  a la víctima para obtener cada vez más material pornográfico o tener un encuentro físico con el menor para abusar sexualmente de él.

3.3 Suplantación de identidad

“Puede ser entendida como la suplantación de personalidad fingiendo ser una persona que no es imitándola e inclusive remedándola. El caso más común es el robo de tarjetas de crédito y de cajeros automáticos. Los autores del delito se hacen pasar por empleados de la central de tarjetas de crédito, llamando telefónicamente al titular para solicitarle que con el objeto de anular la posibilidad de utilización fraudulenta de la tarjeta robada le revele su clave secreta o personal”[9].

Hoy por hoy, con el desarrollo de las redes sociales en Internet, una nueva modalidad es la creación de páginas o usuarios suplantando a otra persona.

3.4 Phishing

Los ataques de estafa a través de Internet por el método “phishing”, que significa “pesca” en el argot informático, se han ido incrementando. El sistema más utilizado por los cyber-estafadores es el envío de correos electrónicos con falsos remitentes, como por ejemplo de entidades financieras,  de forma tal que las víctimas cliquearan en un link y de esa forma podían obtener información personal[10].

Pero ya se habla de una nueva generación de phishing. Hispasec[11] demuestra cómo es posible realizar ataques phishing en servidores seguros de entidades bancarias, aun cuando el usuario visualice que la URL comienza por https:// seguido del nombre de la entidad y que el icono del candado que aparece en la parte inferior del navegador certifique que se encuentra en el servidor seguro del banco, lo que constituían hasta el momento las recomendaciones que se hacían para acceder de forma segura a la banca electrónica[12].  Como podemos ver esto se ha vuelto inseguro y el Pharming es la confirmación de esta afirmación.

3.5 Derivados del Phishing

3.5.1 Scam

A este tipo de fraude también se lo conoce como phishing laboral, porque tiene como objetivo obtener datos confidenciales de usuarios, para acceder a sus cuentas bancarias.

Las modalidades utilizadas consisten en envíos masivos de correos electrónicos o la publicación de anuncios en webs, en los que se ofrecen empleos muy bien remunerados. Cuando el usuario acepta la oferta de trabajo, se le solicita que facilite datos de sus cuentas bancarias, a través de un e-mail o accediendo a una web, para ingresarle los supuestos
beneficios.

3.5.2 Smishing

Esta es otra variante del phishing, pero el ataque se realiza a través de los mensajes a teléfonos móviles. El resto del procedimiento es igual al del phishing, el estafador suplanta la identidad de una entidad de confianza para solicitar al usuario que facilite sus datos, a través de otro SMS o accediendo a una página web falsa, idéntica a la de la entidad en cuestión.

3.5.3 Spear Phishing

También estamos, en este caso, ante un sub tipo de phishing en el que, en lugar de realizar un envío masivo de correos electrónicos, se envían correos con mayor grado de personalización, a destinatarios concretos, consiguiendo que los mensajes resulten más creíbles que los del phishing tradicional.

3.5.4 Vishing

Esta clase de fraude también persigue la obtención de datos confidenciales de los usuarios, pero a través de la telefonía IP. Los ataques de vishing se suelen producir siguiendo dos esquemas[13]:

Envío de correos electrónicos, en los que se alerta a los usuarios sobre algún tema relacionado con sus cuentas bancarias, con el fin de que éstos llamen al número de teléfono gratuito que se les facilita.

Utilización de un programa que realice llamadas automáticas a números de teléfono de una zona determinada.

En ambos casos, cuando se logra contactar telefónicamente con el usuario, un mensaje automático le solicita el número de cuenta, contraseña, código de seguridad, etc.

3.6 Pharming

El pharming deriva del término farm, granja en inglés, expresión que es utilizada cuando el atacante ha conseguido acceso a un servidor DNS o varios servidores, en este último caso granja de servidores o DNS.

Esta modalidad de fraude online ataca la vulnerabilidad del software de los servidores DNS o de los equipos de los propios usuarios, redireccionando el nombre de dominio a un sitio web falso, diseñado por el atacante.

Es utilizada para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos personales del usuario, generalmente datos bancarios.

Si el phishing engaña a los usuarios uno por uno, conduciéndolos a visitar un sitio apócrifo de su banco o comercio preferido, el pharming interviene las comunicaciones entre el usuario y su proveedor de Internet (ya sea un proveedor de comunicaciones, o un servidor corporativo) para lograr que cuando un usuario teclea en su navegador una dirección legítima, éste sea conducido a una falsificación de la página Web que quiere visitar y sea ahí donde introduzca los datos de su cuenta[14].

Por tanto, el riesgo para el usuario en los casos de pharming es diferente, mientras que en el phishing requiere una actitud activa, hacer click en el link del correo electrónico, en el pharming el fraude se produce sin participación directa del usuario. La utilización de medidas técnicas de seguridad en un sistema, como por ejemplo un firewall, herramientas de protección contra adware y spyware, contrarrestan este tipo de amenazas[15].

El pharming se realiza modificando el software lo cual puede realizarse en forma remota o introduciendo un programa que lo realice en forma automática. Para ello es necesario introducir un troyano en el disco duro de la víctima, el cual puede autoeliminarse, borrando del disco duro las huellas del ataque.

“La respuesta es muy delicada para el banco, si hace responsable al cliente y el “pharming” se generaliza, los usuarios abandonaremos en masa la banca online por insegura y peligrosa, pero si el banco carga con los gastos. ¿A cuánto tendrá que subir las comisiones por operación el banco online para cubrir este riesgo? ¿Seguirá siendo competitivo? Si no se atajan estos riesgos, quizá el porvenir de la e-banca no sea después de todo tan brillante como se auguraba”[1].

3.7 Scavenging

Es la apropiación de informaciones residuales, la que consiste en la obtención de información a partir de lo que desechan los usuarios legítimos de un sistema informático.

4. Marco jurídico uruguayo

La primer norma uruguaya que tipifica un delito informático es la Ley Nº 16.002 del 25 de noviembre de 1988, la cual en el artículo 130 establece: “El que voluntariamente trasmitiere a distancia entre dependencias oficiales un texto del que resulte un documento infiel, incurrirá en los delitos previstos por los artículos 236 a 239 del Código Penal, según corresponda”.

La Ley Nº 18.600 de 21 de setiembre de 2009 de documento electrónico y firma electrónica establece en el artículo 4 inciso 2º establece: “El que voluntariamente transmitiere un texto del que resulte un documento infiel, adultere o destruya un documento electrónico, incurrirá en los delitos previstos por los artículos 236 a 245 del Código Penal, según corresponda”.

Además de los delitos tradicionales tipificados en nuestro Código Penal, como el hurto en el artículo 340, la estafa en el artículo 347, el daño en el artículo 358, existen una serie de normas, que enunciamos a continuación[2]:

Ley N° 17.520 de 19 de julio de 2002. Se penaliza el uso indebido de señales destinadas exclusivamente a ser recibidas en régimen de abonados.

Ley Nº 17.559 de 27 de setiembre de 2002. Se aprueba el Protocolo Facultativo de la Convención sobre los Derechos del Niño relativo a la venta de niños, la prostitución infantil y la utilización de niños en pornografía.

Ley Nº 17.616 de 10 de enero de 2003, artículos 15 a 17. Se modifican y sustituyen artículos de la Ley Nº 9.739 de 17 de diciembre de 1937, especialmente los artículos 46 a 48.

Ley Nº 17.815 de 06 de setiembre de 2004. Se regula la violencia sexual, comercial o no comercial cometida contra niños, adolescentes e incapaces que contenga la imagen o cualquier otra forma de representación.

Ley Nº 18.383 de 17 de octubre de 2008. Se penaliza el atentado contra la regularidad de las telecomunicaciones, modificándose el artículo 217 de Código Penal.

Ley Nº 18.494 de 05 de junio de 2009, artículo 5º. Se modifica el régimen sobre prevención y control de lavados de activos y del financiamiento del terrorismo regulándose las vigilancias electrónicas.

Ley Nº 18.515 de 26 de junio de 2009, artículos 7º a 10. Se modifican artículos del Código Penal y de la Ley Nº 16.099 de 03 de noviembre de 1989, que tipifican delitos relativos a los
medios de comunicación.

Ley Nº 18.719 de 27 de diciembre de 2010 de Presupuesto Nacional, artículo 149. Se crea la Dirección de Seguridad de la Información.

Uruguay está trabajando en un proyecto de reforma del Código Penal, a cuyos efectos, l artículo 22 de la Ley N° 17.897 de 14 de setiembre de 2005 creó una Comisión, la que se integra por representantes de distintos organismos y organizaciones, tomando en consideración para su elaboración principios modernos de política criminal, introduciendo modificaciones y agregando conductas no tipificadas en el código penal vigente.

Concomitantemente, se presentó un proyecto de ley del senador Tabaré Viera, que plantea penas de prisión escalonadas para las falsificaciones informáticas, accesos ilícitos, interceptación de datos, pornografía infantil y fraude.

El texto del proyecto propone castigar de forma escalonada una decena de delitos relacionadas con el manejo informático (muchos ya previstos en la ley), con multas que van de las 50 a 500 Unidades Reajustables ($231.500), o penas de prisión de entre tres meses y siete años. Luego de definir lo que entiende por sistema informático, datos y proveedores de servicios, entre otras cosas, el proyecto detalla los casi diez delitos que componen la “ciberdelincuencia”[3].

La normativa uruguaya contiene los principios básicos en materia de seguridad de la información. Las medidas de seguridad para la protección de los datos personales dependerá del tipo de organización, del volumen de los datos tratados, de los sistemas que utilicen, del responsable o encargado de tratamiento y de las personas que participen en cualquier fase del procesamiento de los datos personales.

El principio de seguridad se encuentra inmerso dentro del conjunto de los principios establecidos en la LPDP, por lo que la aplicación e interpretación del mismo debe guardar estrecha relación con ellos.

También cuenta nuestro país con la División de Delitos Informáticos perteneciente al Departamento de Delitos Complejos de la Policía de Montevideo, fue creada por Decreto N° 254/003, y comenzó a funcionar en el año 2005.

“Delitos informáticos” es una nominación para que se entienda, pues no existe una legislación en Uruguay que los defina. “Lo que hacemos es combatir los ilícitos como estafa, hurto, amenaza, y en que el medio para cometerlos sea Internet”, explicó el subjefe de la división, el oficial Roberto Ferreira[4].

5. Reflexión final

La normativa uruguaya contiene los principios básicos en materia de seguridad de la información. Las medidas de seguridad para la protección de los datos personales dependerá del tipo de organización, del volumen de los datos tratados, de los sistemas que utilicen, del responsable o encargado de tratamiento y de las personas que participen en cualquier fase del procesamiento de los datos personales.

El principio de seguridad se encuentra inmerso dentro del conjunto de los principios establecidos en la LPDP, por lo que la aplicación e interpretación del mismo debe guardar estrecha relación con ellos.

También cuenta nuestro país con la División de Delitos Informáticos perteneciente al Departamento de Delitos Complejos de la Policía de Montevideo, fue creada por Decreto N° 254/003, y comenzó a funcionar en el año 2005.

“Delitos informáticos” es una nominación para que se entienda, pues no existe una legislación en Uruguay que los defina. “Lo que hacemos es combatir los ilícitos como estafa,
hurto, amenaza, y en que el medio para cometerlos sea Internet”, explicó el subjefe de la división, el oficial Roberto Ferreira[5].

Uruguay debe trabajar en la actualización de marcos legales adecuados que den seguridad en los delitos informáticos no tipificados en nuestro derecho penal.

[1] VIEGA, María José y DELPIAZZO Carlos. Lecciones de Derecho Telemático. Tomo I. Lección 13. Página 177.

[2] http://cert.inteco.es/Acerca_de/. Página visitada 29 de junio de 2010.

[3] VIEGA María José y CARNIKIAN Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. Ponencia presentada al Seminario Nuevas Tecnologías: Privacidad y Seguridad. Cartagena de Indias, 21 al 23 de julio de 2010.

[4] Curso CEDDET. Módulo 3: Seguridad, confidencialidad, transferencias internacionales y autorregulación. Página 43.

[5] VIEGA María José y CARNIKIAN Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. CADE[6] Viega María José y Carnikian Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. Ob. Cit.[7] PAZ Santiago. Presentación del CERTuy junio del 2010.
[8] INTECO (Instituto Nacional de Tecnologías de la Comunicación). “Guía legal sobre Ciberbullying y Grooming”.

[9] BLOSSIERS MAZZINI, Juan José. CALDERON GARCIA Sylvia B. “Los Delitos  inform@ticos”. Editora RAO SRL Lima, 2000. Páginas 53 y 54.

[10] VIEGA, María José. “El problema de los datos personales y el espionaje en Internet”, presentada al Cuarto Congreso Internacional de Derecho (CIDER 2005) en las Sedes de Cochabamba, Santa Cruz y La Paz. Bolivia, 23 al 25 de noviembre de 2005. Publicada en el Libro de Ponencias.

[11] http://www.hispasec.com/unaaldia/2406 Página visitada 13 de junio 2005.

[12] VIEGA, María José. “Privacidad Vs. Espionaje en Internet”. Anuario de “Derecho Informático”. Tomo VI Jurisprudencia correspondiente al año 2005 y en el Boletín de Derecho y Tecnologías Nº 16 Enero 2005  http://viegasociados.com/moodle//mod/forum/discuss.php?d=440

[13] http://www.delitosinformaticos.info/delitos_informaticos/glosario.html Página visitada 21 de junio de 2010.

[14] http://www.mx.terra.com/tecnologia/interna/0,,OI889426-EI4906,00.html Página visitada 21 de junio de 2010. El Pharming: amenaza de fraude a negocios. Trend Micro. 21 de febrero de 2006.

[15] VIEGA María José y CARNIKIAN Federico. ”Respuesta a los delitos informáticos: su visión desde la privacidad y la seguridad de la información”. Ob. Cit.

[16] http://www.laflecha.net/canales/seguridad/articulos/pharming/ El Pharming, un peligro para la e-banca. Página visitada 21 de junio de 2010.

[17] VIEGA María José, RODRIGUEZ Beatriz y BALADAN Flavia. “Marco normativo del Derecho Informático”. Libro editado en Montevideo en Junio 2011.

[18] http://www.observa.com.uy/actualidad/nota.aspx?id=99214&ex=25&ar=2&fi=1&sec=8 Información del día 8 de julio de 2010.

[19] Ciberpolicías patrullan la web.http://www.elpais.com.uy/Suple/DS/07/04/22/sds_276418.asp El País Digital del 22 de abril de 2007.

[20] Ciberpolicías patrullan la web.http://www.elpais.com.uy/Suple/DS/07/04/22/sds_276418.asp El País Digital del 22 de abril de 2007.