Un abogado explica las acciones y ejemplos prohibidos por la 'Ley Japonesa de Prohibición de Acceso No Autorizado
La Ley contra el Acceso No Autorizado (nombre oficial “Ley sobre la Prohibición de Actos de Acceso No Autorizado”) se promulgó en febrero de 2000 (Año Heisei 12) y fue modificada en mayo de 2012 (Año Heisei 24), y sigue siendo efectiva en la actualidad. Esta ley, que consta de 14 artículos, tiene como objetivo prevenir el ciberdelito y mantener el orden en las telecomunicaciones.
“Ley sobre la Prohibición de Actos de Acceso No Autorizado” (Objetivo)
Artículo 1: El propósito de esta ley es prevenir el delito relacionado con las computadoras que se lleva a cabo a través de las líneas de telecomunicaciones y mantener el orden en las telecomunicaciones que se logra mediante la función de control de acceso, al prohibir los actos de acceso no autorizado y al establecer sanciones penales y medidas de asistencia por parte de las comisiones de seguridad pública de las prefecturas para prevenir su reincidencia, contribuyendo así al desarrollo saludable de una sociedad de información avanzada.
¿Qué tipo de acciones prohíbe específicamente la Ley contra el Acceso No Autorizado? ¿Qué casos reales existen y qué medidas se deben tomar en términos criminales y civiles? Explicaremos el resumen de la Ley contra el Acceso No Autorizado y las medidas a tomar en caso de ser víctima.
Acciones prohibidas por la Ley Japonesa contra el Acceso No Autorizado
Las acciones que son prohibidas y penalizadas por la Ley Japonesa contra el Acceso No Autorizado se pueden dividir en tres categorías principales:
- Prohibición de actos de acceso no autorizado (Artículo 3)
- Prohibición de actos que promueven el acceso no autorizado (Artículo 5)
- Prohibición de obtener, almacenar o solicitar de manera ilegal los códigos de identificación de otras personas (Artículos 4, 6, 7)
El término “código de identificación” se refiere a un código establecido por y para cada administrador de acceso, que se utiliza para distinguir a los usuarios autorizados que han obtenido el permiso del administrador de acceso para el uso específico de una computadora electrónica específica (Artículo 2, párrafo 2).
Un ejemplo típico de un código de identificación es una contraseña que se utiliza en combinación con un ID. Además, recientemente, los sistemas que identifican a las personas por sus huellas dactilares o el iris de sus ojos también se están volviendo comunes, y estos también se consideran códigos de identificación. Además, cuando se identifica a una persona por la forma o la presión de su firma, el código de identificación es la firma que se ha digitalizado y codificado.
¿Qué es el acceso no autorizado?
Como se especifica en el artículo 2, párrafo 4, el acceso no autorizado se refiere a la “suplantación de identidad” que implica el mal uso de los códigos de identificación de otras personas y el “ataque a los agujeros de seguridad” que explota las deficiencias de los programas informáticos. La Ley Japonesa de Prohibición de Acceso No Autorizado prohíbe el acceso no autorizado a las computadoras de otras personas mediante estos métodos.
Actos de mal uso de los códigos de identificación de otras personas
La llamada “suplantación de identidad” se refiere al uso de una computadora a la que no se tiene derecho de acceso, mediante el mal uso de los códigos de identificación de otras personas.
En otras palabras, cuando se utiliza un sistema informático, se deben introducir códigos de identificación como ID y contraseñas en la computadora. Este acto se refiere a la introducción no autorizada de los códigos de identificación de otra persona que tiene el derecho de uso legítimo.
Aunque puede ser un poco difícil de entender, el término “de otra persona” aquí se refiere a los ID y contraseñas que ya están siendo utilizados (y creados) por otra persona. La “suplantación de identidad”, en resumen, se refiere al acto de “apoderarse” de cuentas de SNS como Twitter que ya están siendo utilizadas por otras personas.
Como el requisito es que se introduzcan los códigos de identificación sin el consentimiento del titular, en casos como pedir a un colega en la oficina que revise los correos electrónicos en su lugar mientras uno está de viaje de negocios, al proporcionarle su contraseña, no se viola la Ley Japonesa de Prohibición de Acceso No Autorizado ya que se ha obtenido el consentimiento del titular.
En general, “suplantación de identidad” se refiere al acto de crear una nueva cuenta utilizando el nombre y la foto de otra persona y utilizar SNS como Twitter haciéndose pasar por esa persona. Sin embargo, el acto prohibido por la Ley Japonesa de Prohibición de Acceso No Autorizado es diferente. Para una explicación detallada de la “suplantación de identidad” en el sentido general, consulte el siguiente artículo.
https://monolith.law/reputation/spoofing-dentityright[ja]
Actos que explotan las deficiencias de los programas informáticos
El “ataque a los agujeros de seguridad” se refiere al acto de explotar los agujeros de seguridad (deficiencias en las medidas de seguridad) de las computadoras de otras personas para poder utilizar esas computadoras. Se utiliza un programa de ataque para proporcionar información o instrucciones que no sean códigos de identificación al objetivo del ataque, eludiendo la función de control de acceso de la computadora de otra persona y utilizando la computadora sin permiso.
La función de control de acceso mencionada aquí se refiere a la función que el administrador de acceso tiene en una computadora electrónica específica o en una computadora electrónica conectada a una línea de telecomunicaciones específica para limitar el uso específico de la computadora electrónica a personas que no sean el titular legítimo del derecho de uso (Artículo 2, párrafo 3).
Para explicarlo de manera sencilla, se trata de un sistema que permite el uso sólo cuando se introduce la ID correcta y la contraseña, etc., a las personas que intentan acceder al sistema informático a través de la red.
Por lo tanto, el “ataque a los agujeros de seguridad” puede describirse como el acto de hacer que el sistema informático en cuestión sea utilizable sin la introducción de la ID correcta y la contraseña, etc., al invalidar este sistema.
Dos tipos de actos de acceso no autorizado
Como se ha mencionado anteriormente, hay dos tipos de actos de acceso no autorizado.
Lo que hay que tener en cuenta es que para que se considere un acto de acceso no autorizado en cualquiera de los dos tipos, es necesario que se realice a través de una red informática. Por lo tanto, incluso si se introduce una contraseña, etc., sin permiso y se utiliza una computadora que no está conectada a la red, es decir, una computadora independiente, no se considera un acto de acceso no autorizado.
Además, no sólo las redes abiertas como Internet, sino también las redes cerradas como las LAN internas de las empresas están sujetas a la Ley Japonesa de Prohibición de Acceso No Autorizado.
Además, no hay restricciones en el contenido del uso no autorizado realizado por el acceso no autorizado, y se considera una violación de la Ley Japonesa de Prohibición de Acceso No Autorizado incluso si se realizan actos como pedidos no autorizados, visualización de datos, transferencia de archivos, o la reescritura de páginas web, entre otros.
Si se cometen estos dos tipos de actos de acceso no autorizado, se puede ser condenado a “menos de tres años de prisión o una multa de menos de un millón de yenes” (Artículo 11).
¿Qué es una acción que promueve el acceso no autorizado?
Una acción que promueve el acceso no autorizado, prohibida por la ‘Ley Japonesa de Prohibición de Acceso No Autorizado’, es proporcionar a terceros el ID y la contraseña de otra persona sin su consentimiento. Independientemente del medio, ya sea por teléfono, correo electrónico o a través de una página web, si le dices a otra persona “El ID de ○○ es ××, la contraseña es △△”, y permites que esa persona acceda a los datos de alguien sin permiso, esto se considera una acción que promueve el acceso no autorizado.
Si realizas una acción que promueve el acceso no autorizado, puedes ser castigado con “una pena de prisión de hasta un año o una multa de hasta 500,000 yenes” (Artículo 12, Cláusula 2).
Además, incluso si proporcionas una contraseña sin saber que se utilizará para el acceso no autorizado, puedes ser multado con hasta 300,000 yenes (Artículo 13).
¿Qué significa obtener, almacenar o solicitar de manera ilegal los códigos de identificación de otra persona?
Según la Ley Japonesa contra el Acceso Ilegal (Ley de Prohibición de Acceso Ilegal), está prohibido obtener, almacenar o solicitar de manera ilegal los códigos de identificación (ID y contraseña) de otra persona.
- Artículo 4: Prohibición de obtener de manera ilegal los códigos de identificación de otra persona
- Artículo 6: Prohibición de almacenar de manera ilegal los códigos de identificación de otra persona
- Artículo 7: Prohibición de solicitar de manera ilegal los códigos de identificación de otra persona
Un ejemplo típico de estas acciones prohibidas es la “solicitud de entrada”, también conocida como phishing. Por ejemplo, se trata de casos en los que se suplanta a una institución financiera, se dirige a la víctima a una página web falsa que parece auténtica y se le hace introducir su contraseña e ID en dicha página falsa.
Los códigos de identificación obtenidos a través del phishing se utilizan en fraudes de subastas y hay muchos casos de fraudes en los que los depósitos se transfieren sin autorización a otras cuentas.
Quien realice estas acciones puede ser castigado con una pena de prisión de hasta un año o una multa de hasta 500,000 yenes (Artículo 12, Cláusula 4).
¿Qué leyes regulan los delitos cibernéticos aparte del acceso ilegal?
Así, la Ley de Prohibición de Acceso Ilegal (Ley Japonesa de Prohibición de Acceso Ilegal) es una ley diseñada para abordar ciertos tipos de lo que se conoce como delitos cibernéticos. En cuanto a la totalidad de los “delitos cibernéticos”, hay casos en los que otras leyes, como el delito de obstrucción de negocios por destrucción de computadoras electrónicas, el delito de obstrucción de negocios por fraude, y el delito de difamación, pueden ser relevantes. Para una explicación detallada del panorama general de los delitos cibernéticos, consulte el siguiente artículo.
https://monolith.law/corporate/categories-of-cyber-crime[ja]
Obligaciones del Administrador de Acceso
Vamos a explicar las obligaciones definidas por la Ley Japonesa de Prohibición de Acceso No Autorizado. Un administrador de acceso es aquel que gestiona las operaciones de una computadora específica conectada a una línea de telecomunicaciones (Artículo 2, Párrafo 1).
La gestión aquí se refiere a decidir quién y en qué medida se permite el uso de una computadora específica a través de la red. Aquellos que tienen la autoridad para determinar estos usuarios y el alcance de su uso son los administradores de acceso según la Ley Japonesa de Prohibición de Acceso No Autorizado.
Por ejemplo, cuando una empresa opera un sistema informático, selecciona a un administrador del sistema de entre sus empleados para gestionarlo. Sin embargo, cada administrador del sistema simplemente gestiona de acuerdo con la voluntad de la empresa. Por lo tanto, en tales casos, el administrador de acceso es la empresa que opera el sistema informático, no el administrador del sistema.
La Ley Japonesa de Prohibición de Acceso No Autorizado no sólo define el acceso no autorizado y las sanciones, sino que también impone obligaciones al administrador para prevenir el acceso no autorizado en la gestión de servidores y similares.
Medidas de defensa por el administrador de acceso
Artículo 8: El administrador de acceso que ha añadido una función de control de acceso a una computadora específica debe esforzarse por gestionar adecuadamente los códigos de identificación relacionados con dicha función de control de acceso o los códigos utilizados para verificarlos a través de dicha función de control de acceso, siempre verificar la efectividad de dicha función de control de acceso, y cuando se considere necesario, mejorar rápidamente dicha función y tomar las medidas necesarias para proteger dicha computadora específica del acceso no autorizado.
Se requiere “gestionar adecuadamente los códigos de identificación”, “verificar constantemente la efectividad de la función de control de acceso” y “mejorar la función de control de acceso según sea necesario”, pero estas son obligaciones de esfuerzo, por lo que no hay sanciones por no tomar estas medidas.
Sin embargo, si el administrador encuentra evidencia de que las ID y las contraseñas se han filtrado, debe tomar medidas de control de acceso, como eliminar la cuenta o cambiar la contraseña, de inmediato.
Medidas a tomar en caso de acceso no autorizado
Si estás utilizando correo electrónico o redes sociales, puedes ser víctima de acceso no autorizado por parte de terceros. En este caso, ¿qué medidas puedes tomar?
Presentar una denuncia penal
En primer lugar, es posible presentar una denuncia penal contra la persona que realizó el acceso no autorizado. El acceso no autorizado es un delito y la persona que lo realiza puede ser penalmente sancionada. Como se explicó anteriormente, la persona responsable puede enfrentar una pena de prisión de hasta 3 años o una multa de hasta 1 millón de yenes, y si hubo alguien que lo instigó, puede enfrentar una pena de prisión de hasta 1 año o una multa de hasta 500,000 yenes.
Además, la violación de la Ley de Prohibición de Acceso No Autorizado (Ley japonesa de Prohibición de Acceso No Autorizado) es un delito de denuncia pública, por lo que la policía puede iniciar una investigación y arrestar al delincuente incluso si no se presenta una denuncia. Además, no solo la persona que sufrió el acceso no autorizado, sino también cualquier persona que conozca los hechos puede denunciarlos a la policía.
Como se mencionó en el artículo sobre el delito de obstrucción de negocios, aunque los delitos de denuncia privada son aquellos que “no pueden ser procesados sin una denuncia penal por parte de la víctima”, esto no significa que “no se puede denunciar si no es un delito de denuncia privada”. Incluso en el caso de delitos de denuncia pública, la víctima puede denunciar al delincuente.
Aunque sea un delito de denuncia pública, si la víctima presenta una denuncia penal, la situación del sospechoso empeora y la pena puede ser más severa. Si te das cuenta de que has sido víctima de un acceso no autorizado, deberías consultar a un abogado y presentar un informe de daños y una denuncia a la policía. Una vez que la policía acepta el informe de daños, procederá rápidamente con la investigación y arrestará o enviará al sospechoso a la fiscalía.
Solicitar una indemnización civil
Si eres víctima de un daño causado por un acceso no autorizado, puedes solicitar una indemnización por daños y perjuicios al infractor en términos civiles, basándote en el artículo 709 del Código Civil japonés.
Código Civil Artículo 709
La persona que infringe los derechos de otra persona o los intereses protegidos por la ley, ya sea intencionalmente o por negligencia, tiene la obligación de indemnizar los daños causados por ello.
Si el infractor accede ilegalmente y difunde la información personal obtenida, roba artículos de un juego social, accede a datos de tarjetas de crédito o cuentas bancarias, causando daños económicos, debes solicitar una indemnización por daños y perjuicios, incluyendo una compensación por angustia emocional. Por supuesto, si se accede a datos de tarjetas de crédito o cuentas bancarias y se producen daños económicos reales, también es posible solicitar una indemnización por estos daños.
Sin embargo, para solicitar una indemnización por daños y perjuicios al infractor, es necesario identificar al delincuente y recopilar pruebas de que realmente realizó el acceso no autorizado, lo que requiere un alto nivel de conocimiento especializado. Si eres víctima de un daño causado por un acceso no autorizado, es necesario que consultes a un abogado con amplia experiencia en problemas de Internet y le encargues el procedimiento.
Resumen
La Ley Japonesa contra el Acceso No Autorizado adquiere cada vez más importancia en la sociedad moderna a medida que avanza la digitalización. Sin embargo, incluso si se es víctima de un acceso no autorizado, a menudo es técnicamente difícil para la víctima identificar al autor.
Además, las violaciones a la Ley Japonesa contra el Acceso No Autorizado son objeto de sanciones penales, por lo que es posible que se presente una denuncia a la policía. Sin embargo, dado que se trata de un nuevo tipo de delito, la policía no siempre puede entender el caso de inmediato. Por lo tanto, al presentar una denuncia, es necesario explicar cuidadosamente desde ambos puntos de vista, legal y técnico, para ayudar a la policía a entender. En este sentido, debido a la alta especialización requerida para manejar casos relacionados con la Ley Japonesa contra el Acceso No Autorizado, es importante consultar a un abogado que también esté familiarizado con los aspectos técnicos de la IT.
Category: IT
Tag: CybercrimeIT