En la apropiación indebida de información tiene mucho que ver con el internet, las redes sociales y la privacidad que están siendo amenazadas, los usuarios están siendo desvalijados de sus datos; se dice mucho de la tecnología, que es un aliado para realizar cualquier actividad, ir de compras,
hacer publicidad, el trabajo, los estudios, hacer ejercicio, todo está tan tecnologizado, pero así como es amigable con la sociedad, las personas tienen que exigir en las condiciones que su información puede ser ventilada.
Los teléfonos móviles smartphone se han convertido en el principal instrumento de captación de información para la apropiación indebida de información personal de los usuarios de redes sociales; las aplicaciones gratis descargables exigen a la persona informe o proporcionen el acceso a su ubicación para que funcione correctamente y si no lo hace la aplicación requerida no podrá ser descargada, dejando imposibilitado al usuario de abstenerse de hacerlo, exigen un mail, el uso de contactos, acceso a fotos. Las aplicaciones pueden llevar a secuestrar al móvil para actividades ilícitas como el ataque a sistemas informáticos.
Aplicaciones tan populares como WhatsApp copia toda la lista de contactos en un servidor externo, Facebook o Twitter cuyos contenidos subidos se convierten automáticamente en propiedad de la red social, donde hay links acortados a páginas web que el usuario no puede identificar hasta que entra en ellas.
Los piratas informáticos irrumpen en cuentas de correo de sus usuarios para descargar las direcciones de sus contactos y, a continuación, bombardearles con correos publicitarios. Esta piratería de las cuentas y descarga de direcciones de correo se realiza sin "notificar claramente al usuario ni obtener su consentimiento", lo que puede resultar el punto crucial del asunto.
Los piratas cibernéticos buscan a través de las redes sociales adivinar las claves de correo electrónico y robar información confidencial.
María Romeo Casabona menciona que “Presumiblemente, el legislador español ha querido adaptar la legislación penal a las previsiones de armonización establecidas en la Decisión Marco 2005/222/JAI/, de 24 de febrero de 2005, relativa a los ataques contra los sistemas informaticos. Como se recordará, esta Decisión Marco requiere de los Estados Miembros de la Unión Europea la adopción de las medidas necesarias para sancionar penalmente el acceso intencionado sin autorización al conjunto o a una parte de un sistema de información (Art.2°). También el Convenio de Consejo de Europa sobre Cibercrimen incluye un delito de similar factura, y al
haber entrado en vigor en nuestro país tras sus oportunas firmas y ratificación el legislador tampoco podía obviar las obligaciones que se derivan de ello para el Estado español. Su interés en este lugar es mediato, dado que este delito se sitúa en el ámbito de bienes jurídicos de carácter personal- los datos de carácter personal reservados-, y sólo con indirectos y potenciales efectos de carácter económico y patrimonial. Por esta razón, la cuestión de protección penal de los datos de carácter personal nos la planteamos aquí en tanto que las intromisiones indebidas en esta clase de datos pueden afectar de algún modo, como señalábamos más arriba, a las relaciones comerciales, financiera y económicas en general, tanto en relación con personas físicas como jurídicas, pues
ha de tenerse presente que el CP protege los datos reservados de éstas últimas (art. 200)”26
Stanley Velando Leiva consultor senior de Seguridad de la Información de Digiware Perú, dice que, acceder a la cuenta de correo electrónico de las personas de manera ilícita se ha convertido en una de las modalidades de hurto altamente rentable.
Los ataques más frecuentes por internet en Ecuador en la actualidad, están orientados a las entidades bancarias y a sus clientes, dado que el resultado puede ser la obtención de dinero. Para el especialista es rentable “secuestrar” un correo electrónico porque se puede obtener información confidencial como secretos personales, claves de tarjetas de crédito, información clasificada de la competencia, datos de proyectos en lanzamiento o fotografías íntimas, lo que puede facilitar el chantaje y la extorsión.
Lo complicado es encontrar a quien cometió el delito, más aún si obtuvo la contraseña utilizando técnicas de ingeniería social, es decir, si por ejemplo gracias al Facebook, la persona adivinó la contraseña e ingreso al correo. Hay una gran incógnita en cuanto a este tema, la dificultad de encontrar al infractor.
El acceso se puede efectuar de dos maneras: Desde el interior de la empresa o institución donde se pretende realizar el ilícito o desde el exterior, vía modem, a través de una línea telefónica. Quienes efectúan el acceso desde el exterior aprovechan los huecos que deja el sistema de seguridad y se hacen pasar por usuarios autorizados de tal manera que pasan desapercibidos.
26 CASABONA ROMEO María (2012), “Nuevos Instrumentos Jurídicos en la lucha contra La Delincuencia
Tales comportamientos son llamados pygibacking e impersonation. Con estas conductas se representan los principales modos de acceso indebido. En la primera se busca aprovechar los puntos débiles de la seguridad preventiva, lógica o tradicional para poder acceder a áreas restringidas y obtener información reservada. El impersonation busca suplantar la personalidad de empleados con autorización de acceso al lugar deseado.