【Última hora】El número de casos reconocidos de acceso no autorizado en el año Reiwa 5 (2023) se triplica en un año
La Agencia Nacional de Policía, el Ministerio de Asuntos Internos y Comunicaciones y el Ministerio de Economía, Comercio e Industria anunciaron el 14 de marzo de 2024, la situación de los actos de acceso no autorizado desde el 1 de enero hasta el 31 de diciembre de 2023, en “Situación de los actos de acceso no autorizado”[ja].
Esto se basa en la disposición de la Ley de Prohibición de Acceso No Autorizado (Ley de Prohibición de Acceso No Autorizado), que establece que “La Comisión Nacional de Seguridad Pública, el Ministro de Asuntos Internos y Comunicaciones y el Ministro de Economía, Comercio e Industria, con el fin de contribuir a la defensa contra los actos de acceso no autorizado a computadoras electrónicas específicas con funciones de control de acceso, publicarán al menos una vez al año la situación de los actos de acceso no autorizado y el estado de la investigación y desarrollo tecnológico relacionado con las funciones de control de acceso” (Artículo 10, Párrafo 1). Esta es una publicación anual realizada en marzo por las tres agencias: la Agencia Nacional de Policía, el Ministerio de Asuntos Internos y Comunicaciones y el Ministerio de Economía, Comercio e Industria.
Aquí, explicaremos la situación de acceso no autorizado en el año 2023 (Reiwa 5 (2023)), basándonos en el material de prensa “Situación de los actos de acceso no autorizado y el estado de la investigación y desarrollo tecnológico relacionado con las funciones de control de acceso”.
Número de incidentes de acceso no autorizado
En 2023, la Agencia Nacional de Policía de Japón reportó un total de 6312 incidentes de acceso no autorizado, lo que representa un aumento de 4112 casos (aproximadamente un 186.9% más) respecto a los 2200 casos de 2022, marcando el número más alto en los últimos cinco años.
Este incremento se debe principalmente a un aumento significativo en “transferencias fraudulentas y otros delitos relacionados con la banca en línea”, que pasaron de 1096 a 5598 casos.
Al observar la distribución total de los tipos de actividades realizadas después de un acceso no autorizado, “transferencias fraudulentas y otros delitos relacionados con la banca en línea” fueron los más comunes (5598 casos), seguidos por “obtención ilegal de información, como espiar correos electrónicos” (204 casos), “compras fraudulentas en tiendas en línea” (93 casos), y “manipulación ilegal de juegos en línea y sitios comunitarios” (83 casos), en ese orden.
En cuanto a las violaciones de la Ley Japonesa de Prohibición de Acceso No Autorizado en 2023, se detuvieron 521 casos y 259 personas, lo que representa una disminución de un caso y un aumento de dos personas en comparación con el año anterior, manteniéndose prácticamente estable.
La mayoría de los sospechosos tenían entre “20 y 29 años” (103 personas), seguidos por aquellos entre “14 y 19 años” (73 personas) y “30 y 39 años” (53 personas). Además, 9 menores de 14 años fueron detenidos por violaciones de la Ley de Prohibición de Acceso No Autorizado, pero no se incluyen en el total de casos o personas detenidas debido a su edad.
Entre los detenidos o arrestados, la persona más joven tenía 11 años y la más mayor, 61 años.
Fuente: Ministerio de Asuntos Internos y Comunicaciones | Situación del desarrollo de tecnología relacionada con la prevención de accesos no autorizados y funciones de control de acceso
Situación de las detenciones por delitos de violación de la Ley de Prohibición de Acceso No Autorizado
La Ley de Prohibición de Acceso No Autorizado prohíbe y sanciona:
- La prohibición de actos de acceso no autorizado (Artículo 3)
- La prohibición de adquirir de manera indebida códigos de identificación de otras personas (Artículo 4)
- La prohibición de actos que promuevan el acceso no autorizado (Artículo 5)
- La prohibición de almacenar de manera indebida códigos de identificación de otras personas (Artículo 6)
- La prohibición de solicitar de manera indebida la entrada de códigos de identificación de otras personas (Artículo 7)
Un ejemplo concreto de código de identificación sería “ID y contraseña”.
En 2023, al observar el número de detenciones y personas detenidas por violaciones a la Ley de Prohibición de Acceso No Autorizado, desglosado por tipo de violación, encontramos que los “actos de acceso no autorizado” representan 487 casos y 248 personas, lo que constituye más del 90% del total, seguido por “la adquisición de códigos de identificación” con 11 casos y 8 personas, “la provisión (promoción) de códigos de identificación” con 13 casos y 10 personas, “el almacenamiento de códigos de identificación” con 7 casos y 6 personas, y “la solicitud indebida de códigos de identificación” con 3 casos y 2 personas.
Dentro de estos, los actos de acceso no autorizado, que representan el número más alto, están definidos en el Artículo 2, Párrafo 4 de la Ley de Prohibición de Acceso No Autorizado como:
- Tipo de usurpación de código de identificación (tipo de suplantación)
- Tipo de ataque a vulnerabilidades de seguridad
Al observar el desglose de los casos de actos de acceso no autorizado en 2023, el “tipo de usurpación de código de identificación” representa 475 casos, lo que constituye más del 90% del total.
Al observar el desglose por método de los actos de acceso no autorizado del “tipo de usurpación de código de identificación”, encontramos que “aprovechar la falta de rigor en la configuración y gestión de contraseñas por parte del titular del derecho” es el más común (203 casos), seguido por “delitos cometidos por ex empleados o conocidos que tenían conocimiento del código de identificación” (68 casos), “obtenido a través de preguntar o espiar al titular del derecho” (40 casos), “obtenido de terceros” (36 casos), y “obtenido a través de sitios de phishing” (10 casos), en ese orden.
Además, al observar el desglose por servicio afectado por el uso indebido de códigos de identificación de otras personas en el “tipo de usurpación de código de identificación”, encontramos que “juegos en línea y sitios de comunidades” son los más afectados (234 casos), seguidos por “sitios exclusivos para empleados o miembros” (82 casos), “compras por internet” (35 casos), “banca por internet” (29 casos), y “correo electrónico” (3 casos), en ese orden.
Artículo relacionado: Actos y ejemplos prohibidos por la Ley de Prohibición de Acceso No Autorizado explicados por un abogado[ja]
Ejemplos de detenciones en el año Reiwa 5 (2023)
En el “Informe sobre la incidencia de accesos no autorizados”, cada año se incluyen varios ejemplos de detenciones como material de referencia.
Un hombre estudiante de una escuela técnica (21 años) creó y publicó en Internet sitios de phishing que se hacían pasar por redes sociales legítimas en octubre y diciembre de 2022, obteniendo ilegalmente ID y contraseñas de varios usuarios legítimos y accediendo ilegalmente a dichas redes sociales utilizando las ID y contraseñas obtenidas. Este individuo fue detenido en abril de 2023 por violar la Ley Japonesa de Prohibición de Acceso No Autorizado (actos de acceso no autorizado, demanda ilegal de códigos de identificación y obtención de códigos de identificación) y por el delito de creación y uso indebido de registros electromagnéticos privados.
Una mujer funcionaria (30 años) configuró sin autorización el número de identificación personal de la tarjeta de otra persona en diciembre de 2022 y accedió ilegalmente utilizando el número de identificación establecido para asignar puntos al servicio de pago sin efectivo que utilizaba. Esta persona fue detenida en abril de 2023 por el delito de creación y uso indebido de registros electromagnéticos públicos, violación de la Ley Japonesa de Prohibición de Acceso No Autorizado (actos de acceso no autorizado) y por el delito de fraude utilizando computadoras.
Un hombre estudiante de una escuela técnica (18 años) se acercó a los usuarios de un sitio de compra-venta de cuentas de juegos en marzo de 2023, ofreciendo comprar cuentas de juegos. Después de obtener los códigos de identificación relacionados con el sitio de los compradores interesados, accedió ilegalmente al sitio y obtuvo ilegalmente los puntos poseídos por los compradores. Este individuo fue detenido en julio por violar la Ley Japonesa de Prohibición de Acceso No Autorizado (actos de acceso no autorizado) y por el delito de fraude utilizando computadoras.
Un hombre empleado (25 años) accedió ilegalmente a varias cuentas de redes sociales entre agosto y noviembre de 2022, adivinando las contraseñas y enviando mensajes amenazantes haciéndose pasar por los legítimos titulares de los derechos. Este individuo fue detenido en agosto de 2023 por violar la Ley Japonesa de Prohibición de Acceso No Autorizado (actos de acceso no autorizado) y por el delito de amenazas.
Un hombre empleado (43 años) proporcionó en junio de 2023 el código de identificación asignado a los empleados del sistema de gestión de tarjetas de visita de su antiguo lugar de trabajo a un colega de su nuevo empleo y también accedió ilegalmente al sistema. Este individuo fue detenido en septiembre de 2023 por violar la Ley Japonesa de Protección de Información Personal y la Ley Japonesa de Prohibición de Acceso No Autorizado (actos de acceso no autorizado).
Un hombre desempleado (20 años) y otros dos, en enero de 2023, conspiraron para alojar un sitio web en un servidor extranjero que inducía a error haciéndose pasar por un sitio web operado por un proveedor de servicios de redes sociales, y colocaron información que solicitaba a los usuarios legítimos ingresar sus contraseñas en un estado accesible al público en general. Estas personas fueron detenidas en septiembre de 2023 por violar la Ley Japonesa de Prohibición de Acceso No Autorizado (demanda ilegal de códigos de identificación).
Artículo relacionado: Detalles y ejemplos de violaciones de la Ley Japonesa de Prohibición de Acceso No Autorizado[ja]
Resumen: La necesidad urgente de medidas contra el acceso no autorizado, consulte a un experto
En lo que respecta a la “situación de incidencia de actos de acceso no autorizado”, como medidas de defensa contra la tendencia creciente de actos de acceso no autorizado, se mencionan como “medidas que deben tomar los titulares de derechos” las siguientes:
- Configuración y gestión adecuada de contraseñas
- Medidas contra el phishing
- Medidas contra programas maliciosos
Además, como “medidas que deben tomar los administradores de acceso”, se enumeran:
- Establecimiento de un sistema operativo, etc.
- Configuración adecuada de contraseñas
- Gestión adecuada de ID y contraseñas
- Medidas contra ataques a vulnerabilidades de seguridad
- Medidas contra el phishing, etc.
Estas son las medidas recomendadas.
Los delitos de acceso no autorizado pueden afectar a cualquier empresa o individuo que utilice Internet, y es probable que los daños resultantes sean significativos. Por lo tanto, es esencial prestar atención a estas medidas.
En caso de ser víctima de un acto de acceso no autorizado, es posible presentar una denuncia penal, pero el plazo de prescripción es de tres años. Si descubre que ha sido víctima de un delito de acceso no autorizado, es aconsejable consultar lo antes posible con un abogado especializado en la Ley Japonesa de Prohibición de Acceso No Autorizado.
Guía de medidas por parte de nuestro despacho
Monolith Law Office es un despacho de abogados con amplia experiencia en IT, especialmente en Internet y derecho. En los últimos tiempos, la fuga de información personal se ha convertido en un problema significativo. En caso de que se produzca una fuga de información personal, esto puede tener un impacto fatal en las actividades Negocios. Nuestro despacho posee conocimientos especializados en la prevención de fugas de información y en las medidas de respuesta. Los detalles se describen en el artículo a continuación.
Áreas de práctica de Monolith Law Office: Leyes relacionadas con la protección de información personal[ja]
Category: IT
Tag: CybercrimeIT
