Detalles y ejemplos de violaciones de la Ley Japonesa de Prohibición de Acceso No Autorizado
La Ley de Prohibición de Acceso No Autorizado (nombre oficial “Ley sobre la Prohibición de Actos de Acceso No Autorizado”) es una ley promulgada con el objetivo de prevenir el ciberdelito y mantener el orden en las telecomunicaciones.
Con la popularización de los smartphones y el aumento de los usuarios de Internet, los casos de acceso no autorizado también están en aumento año tras año.
En este artículo, explicaremos en detalle el contenido de la Ley de Prohibición de Acceso No Autorizado y los casos de infracción.
¿Qué es la Ley Japonesa contra el Acceso No Autorizado?
La Ley Japonesa contra el Acceso No Autorizado se promulgó en el año 2000, pero debido a la creciente gravedad de los delitos cibernéticos, fue revisada en el año 2012 (Heisei 24).
Con esta revisión, se prohibieron las acciones de phishing y la obtención y almacenamiento ilegal de códigos de identificación (ID y contraseñas), y se aumentaron las penas legales para los actos de acceso no autorizado. Se prohibieron acciones que hasta entonces no eran objeto de castigo, convirtiéndola en una ley más efectiva.
El propósito de la Ley Japonesa contra el Acceso No Autorizado es “contribuir al desarrollo saludable de una sociedad de la información avanzada” (Artículo 1).
Las acciones prohibidas por la Ley Japonesa contra el Acceso No Autorizado son las siguientes:
- Acceso no autorizado (Artículo 3)
- Acciones que fomentan el acceso no autorizado (Artículo 5)
- Obtención y almacenamiento ilegal de códigos de identificación de terceros (Artículos 4 y 6)
- Solicitar ilegalmente la entrada de códigos de identificación de terceros (Artículo 7)
¿Qué es el acceso no autorizado?
El acceso no autorizado puede dividirse en dos categorías: “Inicio de sesión no autorizado” y “Ataques a través de vulnerabilidades de seguridad”.
El inicio de sesión no autorizado se refiere a la acción de ingresar sin permiso los códigos de identificación (ID y contraseñas) de otra persona y acceder a cuentas de SNS, direcciones de correo electrónico, etc.
Los ataques a través de vulnerabilidades de seguridad se refieren a los ataques que explotan las vulnerabilidades de seguridad (defectos de seguridad que ocurren en computadoras conectadas a la red, también conocidos como “vulnerabilidades”). Los atacantes pueden abusar de estas vulnerabilidades para realizar operaciones para las cuales no tienen autorización, robar datos, modificar o eliminar datos sin permiso de edición, o utilizar el sistema como plataforma para infiltrarse o atacar otros sistemas. Este tipo de ataques puede ser automatizado, como en el caso de los virus informáticos o los gusanos de Internet, por lo que los usuarios pueden sufrir daños o propagar la infección a otros sistemas sin darse cuenta.
Si se comete un acto de acceso no autorizado, se puede ser condenado a hasta tres años de prisión o a una multa de hasta un millón de yenes.
¿Qué son las acciones que fomentan el acceso no autorizado?
La Ley Japonesa contra el Acceso No Autorizado no solo prohíbe el acceso no autorizado, sino también las acciones que fomentan el acceso no autorizado. Las acciones que fomentan el acceso no autorizado se refieren a hacer que un tercero conozca los códigos de identificación (ID y contraseñas) de otra persona sin su consentimiento, creando así una situación en la que se puede acceder a su cuenta sin permiso.
Si se viola esta disposición, se puede ser condenado a hasta un año de prisión o a una multa de hasta 500,000 yenes.
¿Qué es la obtención y almacenamiento ilegal de códigos de identificación de terceros?
La obtención ilegal de códigos de identificación de terceros se refiere a “la acción de obtener los ID y contraseñas de otra persona con el fin de cometer un acto de acceso no autorizado”.
Por otro lado, el almacenamiento ilegal de códigos de identificación de terceros se refiere a “la acción de almacenar los ID y contraseñas de otra persona que han sido obtenidos ilegalmente con el fin de cometer un acto de acceso no autorizado”.
Incluso si no se comete un acto de acceso no autorizado, las acciones que conducen a un acto de acceso no autorizado están prohibidas.
Si se comete cualquiera de estas acciones, se puede ser condenado a hasta un año de prisión o a una multa de hasta 500,000 yenes.
¿Qué es solicitar ilegalmente la entrada de códigos de identificación de terceros?
Solicitar ilegalmente la entrada de códigos de identificación de terceros, es decir, los ID y contraseñas de otra persona, se refiere a lo que se conoce comúnmente como “phishing”. El phishing es una acción en la que se envían correos electrónicos haciéndose pasar por sitios de comercio electrónico o instituciones financieras, se dirige a las víctimas a sitios falsos que se parecen mucho a los sitios reales, y se les hace ingresar información personal como ID, contraseñas y números de tarjetas de crédito. En inglés, se escribe “phising”, una palabra compuesta por “fishing” (pescar) y “sophisticated” (sofisticado).
Incluso si no se hace ingresar información personal, la simple creación de un sitio falso se considera una acción de phishing y está sujeta a regulación.
Si se comete una acción de phishing, se puede ser condenado a hasta un año de prisión o a una multa de hasta 500,000 yenes.
Obligaciones del administrador de acceso
Según la Ley Japonesa contra el Acceso No Autorizado, se exige a los administradores de servidores y otros sistemas (administradores de acceso) que tomen medidas de defensa para prevenir el acceso no autorizado (Artículo 8).
Se exige a los administradores que tomen medidas para prevenir el acceso no autorizado, como “administrar adecuadamente los códigos de identificación”, “verificar constantemente la efectividad de la función de control de acceso” y “mejorar la función de control de acceso según sea necesario”. Sin embargo, estas tres son obligaciones de esfuerzo, por lo que no hay penalizaciones por violar estas obligaciones.
Ejemplos de violaciones a la Ley Japonesa de Prohibición de Acceso No Autorizado
Entre los delitos cibernéticos, los casos que violan la Ley Japonesa de Prohibición de Acceso No Autorizado están en aumento. Se cree que esto se debe a la popularización de los smartphones, no solo las PC, y al aumento de las transacciones monetarias en línea, como la banca por Internet y los pagos por smartphone (como PayPay).
Las noticias informan diariamente sobre filtraciones de información personal debido a ataques cibernéticos y accesos no autorizados a cuentas de redes sociales. Algunos casos pueden causar grandes pérdidas. ¿Qué tipo de incidentes se consideran violaciones a la Ley Japonesa de Prohibición de Acceso No Autorizado?
A continuación, presentamos ejemplos concretos de incidentes.
Secuestro de cuentas de juegos
La policía de la prefectura de Saitama arrestó a un empleado de una empresa (23 años) bajo sospecha de apropiación indebida de objetos perdidos y violación a la Ley Japonesa de Prohibición de Acceso No Autorizado por tomar el control de la cuenta de un juego en el smartphone de otra persona.
Se sospecha que el hombre se llevó el smartphone que la víctima había olvidado, inició el juego instalado en él y transfirió los datos a su propio smartphone.
Acceso no autorizado a Facebook
La División de Contramedidas contra el Delito Cibernético de la Policía Metropolitana de Tokio arrestó a un empleado de una empresa (29 años) bajo sospecha de violar la Ley Japonesa de Prohibición de Acceso No Autorizado por acceder ilegalmente a Facebook y otros sitios de celebridades.
Se sospecha que el sospechoso accedió ilegalmente a Facebook e iCloud de celebridades y personas comunes. Utilizando información como la fecha de nacimiento, adivinó el ID y la contraseña para iniciar sesión y descargó las fotos almacenadas en su propia PC.
Se encontraron aproximadamente 257,000 fotos privadas, que solo deberían haber sido vistas por las celebridades, almacenadas en la PC del sospechoso. Parece que no solo miraba las imágenes, sino también la agenda telefónica sin permiso.
Acceso no autorizado a sitios de subastas
La División de Contramedidas contra el Delito Cibernético de la Policía de la Prefectura de Kanagawa y la Estación Sur arrestaron a un joven (19 años) bajo sospecha de violar la Ley Japonesa de Prohibición de Acceso No Autorizado y la Ley Japonesa de Creación y Uso Ilegal de Registros Electromagnéticos Privados.
El sospechoso es acusado de acceder ilegalmente a un sitio de subastas utilizando el ID y la contraseña de otra persona desde su PC en casa y cambiar la dirección de correo electrónico y la dirección de envío.
El joven dijo: “El ID y la contraseña estaban en un tablón de anuncios en línea. Ingresé ilegalmente más de 50 veces”. Se está investigando si el joven obtuvo ilegalmente partes de computadoras y otros artículos en el sitio de subastas.
Intrusión no autorizada en el servidor del lugar de trabajo
Un empleado del gobierno de la prefectura fue enviado a la Fiscalía del Distrito de Nagasaki bajo sospecha de violar la Ley Japonesa de Prohibición de Acceso No Autorizado por ingresar ilegalmente al servidor de la oficina de la prefectura varias veces sin permiso utilizando el ID y la contraseña de sus colegas.
El empleado del gobierno de la prefectura ingresó al servidor utilizando el ID y la contraseña de sus colegas y espió sus tareas. Se cree que el número de accesos no autorizados por este empleado del gobierno de la prefectura asciende a decenas de miles y que el número de archivos descargados supera el millón. Sin embargo, no se ha confirmado ninguna fuga de información al exterior.
Fuga de información de tarjetas de crédito debido a acceso no autorizado
Se descubrió que un sitio de venta por correo de artículos deportivos había sido objeto de acceso no autorizado y que podría haberse filtrado información de tarjetas de crédito de los clientes.
Según el operador del sitio, la información de la tarjeta de crédito de los clientes que compraron productos en el sitio podría haberse filtrado, y parte de la información de la tarjeta podría haber sido utilizada ilegalmente. El operador del sitio explicó que la vulnerabilidad del sistema fue explotada y que la aplicación de pago fue alterada, lo que causó el acceso no autorizado.
Acceso no autorizado al sistema de pago por smartphone
En relación con el problema de acceso no autorizado al sistema de pago por smartphone, la policía de la prefectura de Fukuoka arrestó a dos hombres bajo sospecha de violar la Ley Japonesa de Prohibición de Acceso No Autorizado y fraude. Se sospecha que los sospechosos iniciaron sesión ilegalmente en el sistema de pago por smartphone utilizando el ID y la contraseña de otra persona y compraron 190 artículos, como cartuchos de cigarrillos electrónicos, en una tienda de conveniencia por un valor de 95,000 yenes.
Originalmente, se habían depositado 5,000 yenes en el sistema de pago por smartphone de la víctima, pero parece que se depositaron 90,000 yenes adicionales desde la tarjeta de crédito del hombre.
Este sistema de pago por smartphone ha sufrido muchos otros casos de acceso no autorizado y uso ilegal, y se descubrió que el número de víctimas hasta finales de julio de 2019 era de aproximadamente 800 personas y el monto total de los daños ascendía a aproximadamente 38.6 millones de yenes. Posteriormente, el servicio fue descontinuado en septiembre de 2019.
Resumen
El daño causado por el acceso no autorizado puede afectar a cualquier individuo o empresa que utilice Internet. Además, estos daños pueden variar ampliamente, desde el inicio de sesión no autorizado en las redes sociales, la filtración de información personal, hasta el uso indebido de pagos móviles y tarjetas de crédito, y en algunos casos, la cantidad de daño puede ser enorme.
Si se es víctima de un delito de violación de la Ley de Prohibición de Acceso No Autorizado (Ley japonesa contra el acceso no autorizado), se puede presentar una denuncia penal y reclamar una indemnización por daños y perjuicios basada en el Código Civil. Sin embargo, ambos procedimientos requieren un alto nivel de conocimiento especializado, por lo que se recomienda consultar con un abogado experto en accesos no autorizados.
Category: IT
Tag: CybercrimeIT