ACTIVIDAD 16: DILEMAS ÉTICOS EN CIBERSEGURIDAD
Introducción
En el entorno actual, la ciberseguridad va más allá del dominio técnico; requiere un marco ético y legal sólido que guíe la toma de decisiones. Los profesionales de la información se enfrentan constantemente a dilemas complejos donde la protección de los activos, el cumplimiento de la ley y el respeto a la privacidad entran en conflicto, exigiendo un criterio profesional íntegro y normativo. Este análisis evalúa tres escenarios críticos bajo enfoques éticos fundamentales y los mandamientos de la informática.
Escenario 1: Acceso no autorizado interno Delito Informático
Descripción del caso:
Durante una revisión rutinaria de logs en el área de ciberseguridad, se detecta que un analista interno accedió de forma deliberada a las cuentas de correo privado del Director General sin contar con un documento de alcance o autorización explícita, argumentando de manera informal que realizaba una búsqueda de posibles fugas de información institucional.
Análisis ético y normativo:
El fin no justifica la implementación de medios ilícitos. Al romper la cadena de mando y el principio de privilegios mínimos, las acciones degradan el estado de derecho corporativo. Se vulneran directamente los siguientes estatutos:
La acción correcta e inmediata exige congelar y preservar los logs de acceso de forma estricta para asegurar la cadena de custodia. No se debe encubrir al compañero; la situación tiene que ser escalada formalmente mediante los canales del Plan de Respuesta a Incidentes de la organización para que el equipo legal y administrativo determine las sanciones correspondientes por acceso ilícito a sistemas.
Durante una revisión rutinaria de logs en el área de ciberseguridad, se detecta que un analista interno accedió de forma deliberada a las cuentas de correo privado del Director General sin contar con un documento de alcance o autorización explícita, argumentando de manera informal que realizaba una búsqueda de posibles fugas de información institucional.
Análisis ético y normativo:
El fin no justifica la implementación de medios ilícitos. Al romper la cadena de mando y el principio de privilegios mínimos, las acciones degradan el estado de derecho corporativo. Se vulneran directamente los siguientes estatutos:
- Mandamiento 3: "No espiarás en los archivos informáticos de otras personas." (Violación directa al husmear el correo del Director).
- Mandamiento 10: "Utilizarás las computadoras respetando y considerando a tus semejantes."
La acción correcta e inmediata exige congelar y preservar los logs de acceso de forma estricta para asegurar la cadena de custodia. No se debe encubrir al compañero; la situación tiene que ser escalada formalmente mediante los canales del Plan de Respuesta a Incidentes de la organización para que el equipo legal y administrativo determine las sanciones correspondientes por acceso ilícito a sistemas.
Escenario 2: Vulnerabilidad crítica no reportada Delito Asistido por Computadora
Descripción del caso:
Durante la ejecución de una prueba de penetración orientada a una entidad financiera, se descubre una vulnerabilidad crítica de inyección que permite la extracción directa de capital de las cuentas. Sin embargo, el equipo técnico se percata de que el contrato legal de prestación de servicios aún no ha sido firmado formalmente por la mesa directiva.
Análisis ético y normativo:
La ausencia temporal de un contrato físico firmado no exime al analista del acuerdo de confidencialidad (NDA) ni del principio ético de buena fe establecido durante las negociaciones iniciales. Explotar la vulnerabilidad o extraer fondos se tipifica penalmente como fraude. Se vulneran los códigos éticos internacionales (CEH, CISSP) y los mandamientos:
Se debe detener de manera inmediata cualquier interacción ofensiva o script de explotación sobre el entorno. La actividad del fallo debe ser documentada internamente con capturas detalladas y hashes de control, procediendo a realizar una Divulgación Responsable (*Responsible Disclosure*) hacia los encargados de TI de la entidad financiera para mitigar el riesgo de que un atacante real explote la vulnerabilidad mientras se formaliza el contrato.
Durante la ejecución de una prueba de penetración orientada a una entidad financiera, se descubre una vulnerabilidad crítica de inyección que permite la extracción directa de capital de las cuentas. Sin embargo, el equipo técnico se percata de que el contrato legal de prestación de servicios aún no ha sido firmado formalmente por la mesa directiva.
Análisis ético y normativo:
La ausencia temporal de un contrato físico firmado no exime al analista del acuerdo de confidencialidad (NDA) ni del principio ético de buena fe establecido durante las negociaciones iniciales. Explotar la vulnerabilidad o extraer fondos se tipifica penalmente como fraude. Se vulneran los códigos éticos internacionales (CEH, CISSP) y los mandamientos:
- Mandamiento 2: "No interferirás con el trabajo informático de otras personas."
- Mandamiento 4: "No usarás una computadora para robar." (Intentar sustraer capital aprovechando el fallo de seguridad).
Se debe detener de manera inmediata cualquier interacción ofensiva o script de explotación sobre el entorno. La actividad del fallo debe ser documentada internamente con capturas detalladas y hashes de control, procediendo a realizar una Divulgación Responsable (*Responsible Disclosure*) hacia los encargados de TI de la entidad financiera para mitigar el riesgo de que un atacante real explote la vulnerabilidad mientras se formaliza el contrato.
Escenario 3: Límites de herramientas OSINT Delito Asistido por Computadora
Descripción del caso:
Un superior jerárquico dentro de la organización instruye directamente al analista de seguridad para emplear técnicas de inteligencia de fuentes abiertas (OSINT) con el objetivo de recolectar datos personales íntimos (domicilios particulares, registros familiares, pasatiempos y hábitos) de un empleado sospechoso de fraude interno, con la finalidad de presionarlo y coaccionarlo psicológicamente para que confiese.
Análisis ético y normativo:
Las metodologías de OSINT tienen como límite infranqueable la legalidad vigente. El hecho de que cierta información resulte accesible al público en la red no otorga el derecho legal ni ético de utilizarla con fines delictivos como el hostigamiento, doxxing o extorsión. Actuar al margen de la ley contamina todo el proceso probatorio, aplicando la doctrina legal del "fruto del árbol envenenado". Se violan:
El profesional debe manifestar una negativa asertiva fundamentada ante la orden directa del superior. La obligación técnica radica en confeccionar un reporte de evidencias formal y objetivo limitado a los hallazgos del fraude financiero, delegando las acciones pertinentes al departamento jurídico. En caso de recibir represalias por parte del superior, se debe activar la escalación inmediata mediante el protocolo de denuncia interna (*Whistleblowing*).
Un superior jerárquico dentro de la organización instruye directamente al analista de seguridad para emplear técnicas de inteligencia de fuentes abiertas (OSINT) con el objetivo de recolectar datos personales íntimos (domicilios particulares, registros familiares, pasatiempos y hábitos) de un empleado sospechoso de fraude interno, con la finalidad de presionarlo y coaccionarlo psicológicamente para que confiese.
Análisis ético y normativo:
Las metodologías de OSINT tienen como límite infranqueable la legalidad vigente. El hecho de que cierta información resulte accesible al público en la red no otorga el derecho legal ni ético de utilizarla con fines delictivos como el hostigamiento, doxxing o extorsión. Actuar al margen de la ley contamina todo el proceso probatorio, aplicando la doctrina legal del "fruto del árbol envenenado". Se violan:
- Mandamiento 1: "No usarás una computadora para dañar a otras personas." (Emplear datos digitales para infligir coacción o daño psicológico).
- Mandamiento 10: "Utilizarás las computadoras respetando y considerando a tus semejantes."
El profesional debe manifestar una negativa asertiva fundamentada ante la orden directa del superior. La obligación técnica radica en confeccionar un reporte de evidencias formal y objetivo limitado a los hallazgos del fraude financiero, delegando las acciones pertinentes al departamento jurídico. En caso de recibir represalias por parte del superior, se debe activar la escalación inmediata mediante el protocolo de denuncia interna (*Whistleblowing*).