YESENIA CARRASCO ALEJO
INFORMÁTICA JURÍDICA
1.- DELIMITACIÓN DEL FENÓMENO DE LA DELINCUENCIA INFORMÁTICA.
1.1.- Generalidades
El aspecto más importante de la informática radica en que la información ha pasado ha convertirse en un valor económico de primera magnitud. Desde siempre el hombre ha buscado guardar información relevante para usarla después.
Como señala Camacho Losa, “En todas las facetas de la actividad humana existen el engaño, las manipulaciones, la codicia, el ansia de venganza, el fraude, en definitiva, el delito. Desgraciadamente es algo consustancial al ser humano y así se puede constatar a lo largo de la historia.” Entonces el autor se pregunta ¿y por qué la informática habría de ser diferente?
Existe un consenso general entre los diversos estudiosos de la materia, en considerar que el nacimiento de esta clase de criminalidad se encuentra íntimamente asociada al desarrollo tecnológico informático.
Las computadoras han sido utilizadas para muchas clases de crímenes, incluyendo fraude, robo, espionaje, sabotaje y hasta asesinato. Los primeros casos fueron reportados en 1958. Para el profesor Manfred Mohrenschlager este fenómeno ha obligado al surgimiento de medidas legislativo penales en los Estados Industriales donde hay conciencia de que en los últimos años, ha estado presente el fenómeno delictivo.
En nuestro país, el fenómeno de la criminalidad informática o de los llamados delitos informáticos, no han alcanzado todavía una importantica mayor, esto por cuanto no se conoce en nuestro entorno mucho sobre esta clase de infracciones a pesar del efecto de aldea global que estamos viviendo, y la razón de que esta nueva forma de lesión a bienes jurídicos tutelados no sea tomada en cuenta, es porque se ha perdido por parte de la legislación penal nacional la conexión entre ésta y la realidad social actual. (Problema que no solo es en el área Penal si no en todo el ordenamiento jurídico nacional). A continuación se intentará dar una delimitación de este fenómeno de la criminalidad informática.
Existen tres aspectos del “delito informático”
Existe el nuevo delito de penetración del código, invasión o espionaje dentro de los sistemas informáticos de otras personas u organizaciones. Las opiniones diferían en cuanto a si el hecho de solo mirar constituía un delito, especialmente debido a que los primeros hackers detectaban a menudo fisuras en la seguridad y se consideraban ciudadanos honestos al informarlas. Naturalmente, penetrar un sistema con intensiones delictivas es otra cosa.
En segundo lugar, existen situaciones en las que el delito es viejo, pero el sistema es nuevo, como es el caso de las estafas fraudulentas por Internet. El fraude comercial ha existido durante miles de años, las estafas telefónicas han existido durante décadas y ahora tenemos las estafas por Internet. Esto también es válido para la pornografía y el fraude al derecho de autor.
El tercer elemento es el referido a la investigación, donde la computadora sirve como depósito de evidencias, necesarias para el procesamiento judicial exitoso de cualquier delito que se cometa. Lo que solía archivarse en expedientes de papel, prácticamente ya no se archiva de otra forma que no sea la digital y puede ser destruido y decodificado a distancia.
Un perro de caza con un buen olfato da la impresión de habitar en un universo paralelo puede vivir con nosotros y caminar por la misma calle, pero experimenta algo totalmente diferente a lo que experimenta el ser humano, un mundo rico en información a escala química. En la actualidad, el hombre ha construido un mundo donde los chips de silicio generan información nueva, la envían alrededor del mundo en secuencias digitales electrónicas y no somos capaces de detectarlas sin la ayuda de las computadoras. No obstante, este mundo digital paralelo existe y los bits digitales constituyen un nuevo tipo de evidencia. Los bits digitales también constituyen un nuevo tipo de riesgo para el individuo, porque el que sepa cómo falsificar la evidencia digital puede crear una nueva persona digital. Este es un cuarto tipo de delito, es más sutil que el resto y más conocido cuando se presenta como ladrón de identidad. Si esta tendencia persiste, el término delito informático podría ser útil para describir el delito contra la persona digital.
2 - BIEN JURÍDICO PROTEGIDO
El objeto jurídico es el bien lesionado o puesto en peligro por la conducta del sujeto activo. Jamás debe dejar de existir –ya que constituye la razón de ser del delito– y no suele estar expresamente señalado en los tipos penales.
21.- Los Bienes Jurídicos Protegidos en el Delito Informático.
Dentro de los delitos informáticos, podemos decir que la tendencia es que la protección a los bienes jurídicos, se le haga desde la perspectiva de los delitos tradicionales, con una re-interpretación teleológica de los tipos penales ya existentes, para subsanar las lagunas originadas por los novedosos comportamientos delictivos. Esto sin duda da como regla general que los bienes jurídicos protegidos, serán los mismos que los delitos re-interpretados teleológicamente o que se les ha agregado algún elemento nuevo para facilitar su persecución y sanción por parte del órgano jurisdiccional competente.
De otro lado otra vertiente doctrinaria supone que la emergente Sociedad de la Información hace totalmente necesaria la incorporación de valores inmateriales y de la INFORMACIÓN misma como bienes jurídicos de protección, esto tomando en cuenta las diferencias existentes por ejemplo entre la propiedad tangible y la intangible. Esto por cuanto la información no puede a criterio de Pablo Palazzi ser tratada de la misma forma en que se aplica la legislación actual a los bienes corporales, si bien dichos bienes tiene un valor intrínseco compartido, que es su valoración económica, es por tanto que ella la información y otros intangibles son objetos de propiedad, la cual está constitucionalmente protegida. En fin la protección de la información como bien jurídico protegido debe tener siempre en cuenta el principio de la necesaria protección de los bienes jurídicos que señala que la penalización de conductas se desenvuelva en el marco del principio de “dañosidad” o “lesividad”. Así, una conducta sólo puede conminarse con una pena cuando resulta del todo incompatible con los presupuestos de una vida en común pacífica, libre y materialmente asegurada.
Así inspira tanto a la criminalización como a descriminalización de conductas. Su origen directo es la teoría del contrato social, y su máxima expresión se encuentra en la obra de BECCARIA “Los Delitos y las Penas” (1738-1794). Se define como un bien vital, “bona vitae”, estado social valioso, perteneciente a la comunidad o al individuo, que por su significación, es garantizada, a través del poder punitivo del Estado, a todos en igual forma.
En conclusión podemos decir que el bien jurídico protegido en general es la información, pero está considerada en diferentes formas, ya sea como un valor económico, como uno valor intrínseco de la persona, por su fluidez y tráfico jurídico, y finalmente por los sistemas que la procesan o automatizan; los mismos que se equiparan a los bienes jurídicos protegidos tradicionales tales como:
EL PATRIMONIO, en el caso de la amplia gama de fraudes informáticos y las manipulaciones de datos que da a lugar.
LA RESERVA , LA INTIMIDAD Y CONFIDENCIALIDAD DE LOS DATOS, en el caso de las agresiones informáticas a la esfera de la intimidad en forma general, especialmente en el caso de los bancos de datos.
LA SEGURIDAD O FIABILIDAD DEL TRÁFICO JURÍDICO Y PROBATORIO, en el caso de falsificaciones de datos o documentos probatorios vía medios
informáticos.
EL DERECHO DE PROPIEDAD, en este caso sobre la información o sobre los elementos físicos, materiales de un sistema informático, que es afectado por los de daños y el llamado terrorismo informático.
3. – Tipos de Delitos informáticos:
Existen muchos tipos de delitos informáticos, la diversidad de comportamientos constitutivos de esta clase de ilícitos es inimaginable, a decir de Camacho Losa, el único límite existente viene dado por la conjugación de tres factores: la imaginación del autor, su capacidad técnica y las deficiencias de control existentes en las instalaciones informáticas, por tal razón y siguiendo la clasificación dada por el estadounidense Don B. Parker más la lista mínima de ilícitos informáticos señalados por las Naciones Unidas, he querido lograr una clasificación que desde el punto de vista objetivo sea lo más didáctica posible al momento de tratar esta clase de conductas delictivas, por lo expuesto anteriormente y sin pretender agotar la multiplicidad de conductas que componen a esta clase de delincuencia y como señala Gutiérrez Francés, es probable que al escribir estas líneas ya hayan quedado sobrepasada las listas de modalidades conocidas o imaginables, que ponemos a consideración del lector en forma breve en qué consiste cada una de estas conductas delictivas
4.1. - Los fraudes:
LOS DATOS FALSOS O ENGAÑOSOS (Data diddling), conocido también como introducción de datos falsos, es una manipulación de datos de entrada al computador con el fin de producir o lograr movimientos falsos en transacciones de una empresa. Este tipo de fraude informático conocido también como manipulación de datos de entrada, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
MANIPULACIÓN DE PROGRAMAS O LOS “CABALLOS DE TROYA” (Troya Horses), Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado Caballo de Troya que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.
Es una técnica especializada que se denomina “técnica del salchichón” en la que “rodajas muy finas” apenas perceptibles, de transacciones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Y consiste en introducir al programa unas instrucciones para que remita a una determinada cuenta los céntimos de dinero de muchas cuentas corrientes.
Un caso particular de programa salami lo constituyen los programas de redondeo hacia abajo o round down. Este fraude consiste en aprovechar cálculos de los sistemas bancarios que obtienen cantidades de dinero más pequeñas que la moneda de menor valor (en el caso de España, cantidades de céntimos); por ejemplo, imaginemos que alguien tiene ingresadas 123.523 pesetas a un interés del 2'5%; los créditos le reditarán un total de 3088'075 pesetas, que automáticamente para el banco se transformarán en 3088. Si esos 7'5 céntimos se acumulan en otro cálculo con cantidades igual de despreciables, se llegará tarde o temprano a un punto en el que la cantidad total de dinero sea lo suficientemente apetecible para un atacante dispuesto a aprovechar la situación. Si pensamos que millones de estos cálculos se realizan diariamente en todos los bancos de España, podemos hacernos una idea del poco tiempo que tardará la cuenta de un pirata en llenarse.
FALSIFICACIONES INFORMÁTICAS: Como objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumentos: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial, cuando empezó a disponerse de fotocopiadoras computarizadas en color basándose en rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer reproducciones de alta resolución, pueden modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos.
MANIPULACIÓN DE LOS DATOS DE SALIDA:
Se efectúa fijando un objetivo al funcionamiento del sistema informático.
El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían basándose en tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
PISHING.- Es una modalidad de fraude informático diseñada con la finalidad de robarle la identidad al sujeto pasivo. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños.
En estos momentos también existe una nueva modalidad de Pishing que es el llamado Spear Pishing o Pishing segmentado, que funciona como indica el GRÁFICO 1, el cual ataca a grupos determinados, es decir se busca grupos de personas vulnerables a diferencia de la modalidad anterior.
4.2 El sabotaje informático:
Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:
BOMBAS LÓGICAS (LOGIC BOMBS), es una especie de bomba de tiempo que debe producir daños posteriormente. Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se halla la bomba.
GUSANOS. Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gusano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. Normalmente el objetivo de los gusanos no es modificar otros programas o destruir información. Su finalidad básica es reproducirse y alcanzar el máximo de distribución entre los ordenadores de la red. Como máximo, los gusanos tienden a replicarse en tal medida que saturan los recursos de las máquinas, provocando un ataque "por denegación de servicio".
En todo caso, algunos gusanos pueden incluir como parte de su código algún virus informático
CIBERTERRORISMO: Terrorismo informático es el acto de hacer algo para desestabilizar un país o aplicar presión a un gobierno, utilizando métodos clasificados dentro los tipos de delitos informáticos, especialmente los de los de tipo de Sabotaje, sin que esto pueda limitar el uso de otro tipo de delitos informáticos, además lanzar un ataque de terrorismo informático requiere de muchos menos recursos humanos y financiamiento económico que un ataque terrorista común.
ATAQUES DE DENEGACIÓN DE SERVICIO: Estos ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo, de manera que nadie más pueda usarlos, perjudicando así seriamente la actuación del sistema, especialmente si debe dar servicio a mucho usuarios Ejemplos típicos de este ataque son: El consumo de memoria de la máquina víctima, hasta que se produce un error general en el sistema por falta de memoria, lo que la deja fuera de servicio, la apertura de cientos o miles de ventanas, con el fin de que se pierda el foco del ratón y del teclado, de manera que la máquina ya no responde a pulsaciones de teclas o de los botones del ratón, siendo así totalmente inutilizada, en máquinas que deban funcionar ininterrumpidamente, cualquier interrupción en su servicio por ataques de este tipo puede acarrear consecuencias desastrosas.
4.3. - El espionaje informático y el robo o hurto de software:
FUGA DE DATOS (DATA LEAKAGE), también conocida como la divulgación no autorizada de datos reservados, es una variedad del espionaje industrial que sustrae información confidencial de una empresa. A decir de Luis Camacho Loza, “la facilidad de existente para efectuar una copia de un fichero mecanizado es tal magnitud en rapidez y simplicidad que es una forma de delito prácticamente al alcance de cualquiera”.
aREPRODUCCIÓN NO AUTORIZADA DE PROGRAMAS INFORMÁTICOS DE PROTECCIÓN LEGAL.
Esta puede entrañar una pérdida económica sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, considero, que la reproducción no autorizada de programas informáticos no es un delito informático, debido a que, en primer lugar el bien jurídico protegido es en este caso el derecho de autor, la propiedad intelectual y en segundo lugar que la protección al software es uno de los contenidos específicos del Derecho informático al igual que los delitos informáticos, por tal razón considero que la piratería informática debe ser incluida dentro de la protección penal al software y no estar incluida dentro de las conductas que componen la delincuencia informática.
4.4. - El robo de servicios:
HURTO DEL TIEMPO DEL COMPUTADOR. Consiste en el hurto de el tiempo de uso de las computadoras, un ejemplo de esto es el uso de Internet, en el cual una empresa proveedora de este servicio proporciona una clave de acceso al usuario de Internet, para que con esa clave pueda acceder al uso de la supercarretera de la información, pero sucede que el usuario de ese servicio da esa clave a otra persona que no esta autorizada para usarlo, causándole un perjuicio patrimonial a la empresa proveedora de servicios.
APROPIACIÓN DE INFORMACIONES RESIDUALES (SCAVENGING), es el aprovechamiento de la información abandonada sin ninguna protección como residuo de un trabajo previamente autorizado. To scavenge, se traduce en recoger basura. Puede efectuarse físicamente cogiendo papel de desecho de papeleras o electrónicamente, tomando la información residual que ha quedado en memoria o soportes magnéticos.
PARASITISMO INFORMÁTICO (PIGGYBACKING) Y SUPLANTACIÓN DE PERSONALIDAD (IMPERSONATION), figuras en que concursan a la vez los delitos de suplantación de personas o nombres y el espionaje, entre otros delitos. En estos casos, el delincuente utiliza la suplantación de personas para cometer otro delito informático. Para ello se prevale de artimañas y engaños tendientes a obtener, vía suplantación, el acceso a los sistemas o códigos privados de utilización de ciertos programas generalmente reservados a personas en las que se ha depositado un nivel de confianza importante en razón de su capacidad y posición al interior de una organización o
4.5. - El acceso no autorizado a servicios informáticos:
LAS PUERTAS FALSAS (TRAP DOORS), consiste en la práctica de introducir interrupciones en la lógica de los programas con el objeto de chequear en medio de procesos complejos, si los resultados intermedios son correctos, producir salidas de control con el mismo fin o guardar resultados intermedios en ciertas áreas para comprobarlos más adelante.
PIRATAS INFORMÁTICOS O HACKERS. El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema.
5.- EL DELITO INFORMÁTICO EN EL CÓDIGO PENAL PERUANO
Los delitos informáticos han sido recientemente regulados en nuestra legislación peruana, comprende tres artículos 2O7°-A (Intrusismo informático), 207°-B (Sabotaje informático) y 207º-C (formas agravadas), lo que emerge palmariamente como un intento de actualizar nuestra legislación interna en relación a los nuevos avances de la tecnología, y sobre todo teniendo en cuenta que estamos dentro de una era informática, la cual no puede soslayarse, en sus efectos y consecuencias.
· Acceso indebido a base de datos, sistema o red de computadoras – Art. 207-A:
«El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar. O para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuenta y dos a ciento cuatro jornadas.»
«Si el agente actúo con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas».
Este delito es conocido también por la doctrina internacional como «Hacking» o «Hacking lesivo».
Ahora bien, podríamos señalar que el bien jurídico protegido en este delito es el patrimonio, la intención del legislador pareciera haber sido la configuración de un delito de peligro abstracto. Sin embargo, de la descripción del tipo penal se puede denotar que el bien jurídico protegido en este delito no es el patrimonio, sino más bien, preliminarmente, la intimidad. Ello a consecuencia que en el tipo no se exige que el sujeto tenga la finalidad de obtener un beneficio económico, este requisito sine quanon es constitutivo de la modalidad agravada, más no de la conducta delictiva descrita en el tipo básico, ya que el legislador considera el mero ingreso no autorizado como afectación a la intimidad.
Empero, el bien jurídico protegido en el tipo penal del artículo 207-A, es la seguridad informática, ya que la conducta descrita se refiere a la utilización o ingreso indebido a una base de datos, sistema o red de computadoras, lo cual está en relación a la afectación de la seguridad informática y no el patrimonio o la intimidad, en cuanto se lesiona una de sus manifestaciones como es el acceso o su utilización indebido.
En tal sentido, el objeto material de la conducta realizada (no la que tiene eurísticamente el agente) es la base de datos, sistema o redes informáticas. A partir de esta óptica, debemos dejar en claro que el bien jurídico: seguridad informática, no implica que los delitos que se configuran para protegerlo hayan de vincularse en su construcción típica con aquellos bienes jurídicos individuales, sino de aquellas condiciones que permiten garantizar en el caso concreto su indemnidad como objeto diferenciado y anticipado de tutela y única forma posible de prevenir su lesión en la red y en los sistemas informáticos. Con relación a la conducta típica, ésta comprende el hecho de utilizar o ingresar indebidamente a una base de datos, sistema o red de ordenadores.
Ergo, el término «indebidamente» debe ser entendido como el ingreso o la utilización de manera indebida o ilícitamente. El vocablo «indebido» se refiere a lo injusto, ilícito y falto de equidad. El carácter indebido adjetiviza las conductas de ingresar o utilizar una base de datos, sistema o red de computadoras, deplorablemente el legislador penal no ha tomado en la promulgación de la ley y el hecho que aún no se ha regulado los ingresos indebidos a la red, por lo que se encuentra un vacío de contenido material en este artículo, ya que no se ha dicho nada al respecto; sin embargo, podemos señalar que una de las características del carácter indebido de la conducta será la falta de autorización para el ingreso o utilización de la red o sistemas informáticos.
Por su parte, Luís Alberto Bramont-Arias hace una descripción de los verbos típicos que se encuentran comprendidos en el artículo 207-A. Así, el verbo ingresar esta referido a entrar a una base de datos, sistema o red de computadoras. El verbo utilizar, por su parte, hace referencia al uso de la base de datos, sistema o red de computadoras.
Este caso se aplicará cuando el sujeto activo no ingresa indebidamente a la base de datos o red de las computadoras, ya que en estos casos se aplica el supuesto anterior, sino cuando el sujeto activo se encuentra ya dentro de la base de datos o red y comienza a utilizarla sin autorización, verbigracia, la persona, en un descuido de un trabajador de la empresa que ha dejado encendida su computadora porque se ha ido a refrigerio, se aprovecha para utilizar la base de datos o el sistema. En dichos casos, se requiere que no se tenga la autorización debida, ya que el tipo penal señala «el que utiliza o ingrese indebidamente».[
Por lo tanto, se trata de un delito de mera actividad, siendo suficiente la realización de las conductas descritas en la norma sin que concurra un resultado externo. Ello no es óbice a que señalemos que con relación al bien jurídico: seguridad informática las conductas descritas en el artículo 207°-A, producen su lesión, por que afirmamos que se trata de un tipo penal de lesión y no de puesta en peligro. En suma, para la afectación de la seguridad informática sería suficiente que el agente haya ingresado o utilizado indebidamente una base de datos o sistemas informáticos sin la necesidad de otro tipo de ánimo con que cuente el agente.
Sin embargo, la descripción típica del artículo 207°-A, en cuanto el legislador vincula la norma a la protección de bienes jurídicos individuales como la intimidad y el patrimonio, para lo cual configura el tipo penal como delito de peligro abstracto, lo cual pensamos que no es necesario a partir de reconocer a la seguridad informática como bien jurídico protegido en el delito de acceso indebido a base de datos, sistema o red de computadoras.
Por lo tanto, se trata de un delito doloso, se requiere que el agente actúe con conciencia y voluntad de ingresar o utilizar el elemento informático indebidamente. El sujeto ha de ser consiente del carácter indebido de la conducta, ya que éste es el sustento central de la conducta prohibida.
En el artículo 207°-A, si bien es punible la utilización o ingreso indebido a una base de datos o sistema informático, con la finalidad de diseñar, ejecutar, interferir, interceptar, existirán problemas para distinguir el denominado «Hacking Blanco», más aún, cuando el propio legislador concibe como finalidad del ingreso el acceso, luego no puede darse una conducta de ingresar para acceder. Sin embargo, debemos aclarar que en cuanto al aspecto subjetivo, el primer párrafo del numeral 207-A, exige las finalidades antes descritas como elementos subjetivos de intención trascendente, no siendo necesaria su realización material.
Al considerarse dentro del carácter indebido de la conducta el hecho de no contar con autorización, el consentimiento del titular del sistema, base de datos o red de computadoras constituye causa de atipicidad.
Recordemos que el segundo párrafo del artículo 207°-A, contempla una modalidad agravada del acceso indebido de datos, sistema o red de computadoras, en la medida que sanciona el ingreso o utilización indebida de una base de datos o sistema informático con el fin de obtener un beneficio económico.
Con relación a los sujetos activos de esta figura penal, Luis Alberto Bramont-Arias opina «que cualquier persona puede cometer este ilícito penal y que no requiere tener grandes conocimientos de informática».
En efecto, el sujeto activo puede ser cualquier persona mientras que el sujeto pasivo puede ser una persona natural y en el supuesto del último párrafo del artículo 207°-A, una persona natural y una persona jurídica.
En el aspecto subjetivo necesariamente en este tipo de delito exige el dolo del sujeto activo, ya que se requiere en el sujeto conciencia y voluntad de utilizar ingresar indebidamente a una base de datos o sistema informático. Para la modalidad agravada se ha de exigir además del dolo, la concurrencia de una finalidad económica en la realización de la conducta.
En el artículo en exégesis, el legislador acude a la fórmula de los elementos subjetivos de intención trascendente, los cuales establecen una finalidad específica cuya realización material no es exigida por el tipo penal, bastando sólo que el sujeto la persiga. Lo cual está acorde con la elaboración por parte del legislador nacional de los delitos informáticos como delitos de peligro abstracto.
Se parte que las acciones de ejecutar, alterar, interceptar, interferir o copiar la información o la de obtener un beneficio económico, no son exigidas en cuanto a su realización material, basta que constituyan las finalidades queridas por el autor.
Prosigue, Luís Alberto Bramont-Arias que la relación existente entre el artículo 207°-A, segundo párrafo y el artículo 186°, inciso 3, en la modalidad agravada en el caso de una persona que descubre el password de otra, e ingresa al sistema, copia información y luego la vende a una empresa de la competencia obteniendo un provecho económico, generaría un concurso de delitos. Este autor considera que en estos casos, el tipo penal sería el delito de hurto agravado en la medida que entre ambos existe un concurso aparente de leyes, el cual se solucionaría a través de las reglas de la consunción dado que, en este caso, el delito es de resultado, vale decir, el hurto agravado, subsume al delito de peligro, y al delito informático.
Desde la óptica de la seguridad informática como bien jurídico protegido en el delito informático, se ha de precisar que no se deberá acudir al empleo de elementos subjetivos de intención trascendente que pretendan vincular la conducta realizada con los bienes jurídicos intimidad y patrimonio, ya que los comportamientos objetivamente descritos en el artículo 207°-A, son suficientes para su lesión. Somos de la opinión de la eliminación de tales elementos subjetivos y la configuración del delito de acceso a base de datos, sistema o red de computadoras, vinculado a la afectación de la seguridad informática, ejerciendo así una protección antelada de los mencionados bienes jurídicos individuales. Ello no es óbice para que se pueda configurar tipos penales específicos que sancionan la lesión del patrimonio o la intimidad a través de medios informáticos.
Por último, siendo un tipo de resultado material, es posible la configuración de la tentativa, con las dificultades ya expresadas para la consumación y prueba del ilícito, por la especialidad del delito en análisis. Asimismo, dada su característica típica, la instigación y la complicidad es perfectamente posible. El que financia, el que induce, el que presta los equipos, el que aporta los datos o claves necesarias, etc.
Sabotaje Informático: Art. 207-B
«El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadora o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa».[
El delito de «sabotaje informático» es conocido también con el nombre de daño informático. Pensamos que en principio, el artículo 207-B, ha sido adecuadamente comprendido en los delitos contra el patrimonio, ya que la conducta es la de ingresar o utilizar un sistema para dañarlo o alterarlo, por lo tanto, el bien jurídico protegido es en este caso el patrimonio, representado por el valor económico que encierra un sistema o programa de computadoras.
Al igual que en el artículo 207°-A, El ánimo del legislador ha sido configurar este delito como delito de peligro abstracto, en cuyo caso, para una mejor configuración típica del mismo, deberá sancionarse la lesión efectiva al patrimonio, de esta forma se hallaría una mayor armonía con los principios de lesividad y proporcionalidad.
En la descripción típica literal del artículo 207°-B, el bien jurídico protegido resulta ser la seguridad informática, pues las conductas descritas son las mismas que las del artículo 207°A, salvo el caso de la interferencia, variando únicamente la intención trascendente exigida al autor.
En efecto, el delito de sabotaje informático comprende las conductas de utilizar, ingresar o interferir (una nueva conducta a diferencia del artículo 207°-A) indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el único ánimo de alterarlos, dañarlos o destruirlos.
El verbo que se adiciona a diferencia del artículo 207°’A, es el «interferir», es decir, la persona que no permite la utilización o comunicación adecuada dentro del programa o sistema informático.
En cuanto al empleo del término «indebidamente», resulta aquí de aplicación los comentarios expuestos con relación al artículo 207°-A.
El sujeto activo, al igual que el artículo 207°-A, puede ser cualquier persona natural, así como el sujeto pasivo será el titular del bien afectado. Asimismo, en el aspecto subjetivo tenemos al dolo sumado al ánimo de dañar, destruir o alterar la base de datos o sistema informático constituye un elemento subjetivo de intención trascendente, cuya realización material no es exigida por el tipo penal.
Luís Alberto Bramont Arias, aclara que la diferencia entre los artículos 207°-A y 207°- B, versan en torno al aspecto subjetivo, esto es, la finalidad que tienen el sujeto activo al momento de realizar su conducta, ya que si la persona es detenida en el instante que está utilizando sin autorización una base de datos, para poder determinar que tipo penal se aplicaría, habría que preguntarse cuál es su animus en ese momento, vale decir, si el agente quiere destruir se le aplicará el artículo 207°-B, en caso contrario, habría que demostrar alguna de las finalidades previstas en el artículo 207°-A.
No obstante, respecto de este delito existirá la dificultad acerca de los elementos de prueba para determinar el animus del delincuente informático, ya que si no se puede determinar la intención del sujeto activo, estaremos ante un delito de mero intrusismo informático con una pena no mayor de dos años, de lo contrario, nos encontraríamos en el caso del delito de daño informático, con una pena no mayor de cinco años. Con relación a este tema, pensamos que el legislador ha debido determinar la alteración, daño o destrucción de sistemas informáticos como consumación del delito.
Entendemos que para estos supuestos fácticos es perfectamente de aplicación el artículo 205° del Código Penal, en la medida que el objeto material es amplio y no excluye a los sistemas informáticos, redes o programas de computadoras. Desde este orden de ideas, sería suficiente el tipo penal del artículo 207° A que recoge las conductas de utilizar e ingresar, añadiéndose la de interferir, pues todas ellas lesionan la seguridad informática penal del delito de daños, previsto en el artículo 205 del Código Penal para una lesión efectiva del patrimonio representado por el valor económico que contienen las redes o sistemas informáticos y los programas de computadoras.
Acabaríamos, advirtiendo que el concurso de delitos que se daría desde esta perspectiva, entre el delito de Acceso indebido a base de datos, sistema o red de computadoras y el delito de daños del artículo 205 del Código Penal, en la medida que para la realización de la conducta de daños se haya llevado a cabo un acceso o utilización indebida. Entonces, estaríamos frente a un concurso real de delitos debido a tratarse de hechos independientes y a la afectación de dos bienes jurídicos distintos.
Es ineludible precisar que en cuanto a la pena que se establece en este delito. Luís Miguel Reyna Alfaro opina que «en el presente supuesto el legislador ha debido incluir la inhabilitación como pena principal». No obstante, para el mencionado autor, esta posibilidad queda abierta para que en una sentencia, el Juez Penal fije la inhabilitación como pena accesoria según lo dispuesto por el artículo 39 del Código Penal.
Circunstancias Agravantes Art. 207-C
Conforme a lo dispuesto por el artículo 207- C, el tipo se agrava cuando:
a) El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo.
b) El agente pone en peligro la seguridad nacional.
La pena aplicable, en la figura simple, es privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa y el tipo agravado no menor de cinco ni mayor de siete años.
En el artículo 207 –C, de nuestro Código Penal se describen dos agravantes; la primera con relación al cargo que posee el sujeto activo, la segunda, en razón a la seguridad nacional.
Asimismo, se señala como agravante si el agente se aprovecha de la información que obtiene por la función que desempeña. Dicha agravación se encuentra en relación a la confianza depositada en la persona del autor y en el manejo de determinada información, como pueden ser claves de acceso, passwords, etc.
Evidentemente, en esta descripción típica resulta de aplicación la exigencia de tipos penales de los artículos 207-A y 207-B, acerca del carácter indebido de la conducta, el mismo que no ha de verificarse respecto de la obtención de la información privilegiada, ya que ello no es lo prohibido por el artículo 207°-C, pues se sanciona su abuso o aprovechamiento, sino de las propias conductas descritas en las mencionadas fórmulas penales.
Al respecto Luís Alberto Bramont-Arias, manifiesta que las agravantes descritas en el artículo 207- C, parten de la afectación a la seguridad informática. Estamos convencidos que aquí se incurriría en una confusión, creándose un concurso de delitos respecto del delito de abuso de información privilegiada tipificado en el artículo 251-A, de nuestro catalogo punitivo.
De ahí encontramos que los puntos de coincidencia entre el tipo penal del artículo 251-A y los delitos informáticos sólo se tornarían con relación al segundo párrafo del artículo 207-A, en cuanto que el agente actúa con el fin de obtener un beneficio económico; considerando el principio de especialidad se debería optar por el tipo penal del artículo 207-A, en aquellos casos que se hubiera realizado la conducta mediante la utilización o ingreso indebido a una base de datos, sistema o red de computadoras.
Con relación al aspecto subjetivo, dicha agravante deberá comprender el dolo previsto para los artículos 207-A o 207-B y, adicionalmente, el ánimo del agente respecto del prevalecimiento de la función que desempeña. Consecutivamente, el segundo inciso del artículo 207-C, el tipo penal agravado parte de la realización de las conductas descritas en los artículos 207-A y 207-B, estas son, utilizar, ingresar o interferir indebidamente una base de datos, sistema, red o programas de computadoras, tales conductas han de estar vinculadas a la seguridad nacional, ya que lo punible se atribuye a su puesta en peligro.
Frente a este panorama, podríamos considerar que en cuanto a la realización de las conductas materiales previstas por los artículos 207-A y 207-B, están todas aquellas normas que regulan y protegen la seguridad nacional, tanto desde la Constitución Política , como leyes especiales y reglamentos Sobre el aspecto subjetivo de la conducta, el dolo del autor deberá circunscribirse a la conciencia y voluntad de poner en peligro la seguridad nacional. De otro lado, dentro de las características ya anotadas en el presente estudio, la tentativa si es posible. Igualmente, la participación es configurable en el tipo precedente.
Ahora bien, corresponde en éste apartado dar algunos alcances de las conductas que son reprimidas por la norma penal respecto a los formas de manifestarse u objetivarse los delitos informáticos, estando de la siguiente manera:
5.1.- Intrusismo informático:
Esta modalidad de comisión del delito informático comprende aquellas conductas delictivas que atienden al modo operativo que se ejecuta y que pueden consistir en al apoderamiento indebido (apropiarse de la información), uso indebido (usar la información para cualquier fin) o conocimiento indebido de la información, cometidos interfiriendo, interceptando o meramente accediendo al sistema de tratamiento de datos.
Es pues dicho comportamiento una introducción o penetración a sistemas de información o computadoras infringiendo medidas de seguridad destinadas a proteger los datos contenidos en ella. Vemos que, aunque en ocasiones se afecten los datos computarizados o programas informáticos, ello no es determinante para la configuración del injusto, basta tan sólo el ingreso subrepticio a la información (con valor económico de empresa) para la concreción del comportamiento. En ese sentido, no compartimos la opinión que es mantenida por el Dr. Luis Reyna Alfaro cuando señala, que no basta para la configuración del delito de intrusismo informático, el mero hecho de haber utilizado o ingresado a una base de datos, sistema o red de computadoras, sino que es necesario que ello se haga para diseñar, ejecutar o alterar un esquema u otro similar (…), sostenemos ello en razón a que cuando un individuo con conocimientos en informática o no, accede a un sistema o base de datos lo hace pues a sabiendas que ésta violentando dicho acceso, ello aunado a que la experiencia tecnológica nos dice, que se empieza accediendo por "curiosidad" a un sistema informático - hackers- y se termina destruyendo o dañando dichos sistemas – crackers-. De otro lado la norma in comento, en torno a los sujetos del delito, no exige en la posición de sujeto agente, que éste sea un tipo cualificado para su perpetración, pudiendo ser realizado por cualquier persona natural, y en tanto el sujeto pasivo son pues tanto las personas naturales o jurídicas, titulares de la información afectada. Por su parte el tipo penal exige en su aspecto subjetivo que el comportamiento sea realizado con dolo, es decir, conciencia y voluntad de cometer algunos de los actos constitutivos del delito, además, en el caso del supuesto propios del segundo párrafo se exige en el sujeto activo un elemento subjetivo adicional como es el animus lucrandi, destinado a la obtención de beneficio económico; debiendo reforzarse la idea que la consumación del presente delito, se da cuando se utiliza o ingresa indebidamente al sistema informático, no requiriéndose la producción de algún daño o especial resultado lesivo, siendo la pena aplicable no mayor de dos años de pena privativa de libertad o alternativamente la de prestación de servicios comunitarios de cincuenta y dos a ciento cuatro jornadas.
Sabotaje informático:
Doctrinariamente, es el acto de borrar, suprimir o modificar sin autorización, funciones o datos del sistema informático (hardware y/o software) con intención de obstaculizar el funcionamiento normal del sistema, considerándose que dichas conductas delictivas, están enfocadas al objeto que se afecta o atenta con la acción delictual, y que puede ser un sistema de tratamiento de la información o de sus partes componentes, el funcionamiento de un sistema de tratamiento de la información y/o de los datos contenidos en un sistema automatizado de tratamiento de información, siendo ostensible dicho atentado por medio de la destrucción, inutilización, obstaculización o modificación. Como se vislumbra en la doctrina, se nos da las pistas acerca de que se considera sabotaje informático, con el añadido que dentro de ésta modalidad delictiva también estarían englobados los llamados virus informáticos (programas secuenciales de efectos previsibles, con capacidad de reproducción en el ordenador ,y su expansión y contagio a otros sistemas informáticos, conllevando a la alteración o daño de archivos), las bombas lógicas (programa informático que tiene una fecha y hora de activaciones, luego de la cual empieza a dañar e inutilizar los componentes del ordenador), entre otras forma de sabotaje informático. De lo reseñado hasta aquí en este punto, es menester abordar sincopadamente lo que nuestra norma preconiza en su artículo, debiendo partir que en el sabotaje informático se busca el dañar el sistema informático o banco de datos, diferenciándose con ello del intrusismo, que es pues el simple acceso indebido a los sistemas de información, es decir mientras el sabotaje causa daños considerables, por así decirlo, el intrusismo o hacking es una mera intrusión o fisgoneo de los sistemas, que en algunas veces conlleva alteraciones menores, ello a la luz de los pensamientos doctrinarios dados en la materia.
En ese de orden de ideas, el sabotaje o daño informático para nuestra legislación, tiene el sujeto activo y pasivo, las mismas características mencionadas para la modalidad de intrusismo, siendo la diferencia palmaria la referida a los actos materiales de ejecución, ello en razón a que como se ha expresado, en esta modalidad se busca el alterar, dañar o destruir el sistema informático o partes del mismo, obviamente mediante el acceso a éste. Con todo ello se puede observar, que un sabotaje informático conllevaría implícito un intrusismo informático, contrario sensu, un intrusismo informático no siempre tiene como correlato inicuo un sabotaje. Un punto saltante que se tiene de la norma sub examine, es lo correspondiente a la pena, dado a que se agrava la situación del sujeto activo al incrementarle las penas, que van desde los tres años hasta los cinco años, con el añadido de los días multa.
.- Modalidad agravada:
En cuanto a la modalidad agravada, el artículo 207-C del Código Penal, es muy diáfano en prescribir, que la pena se agrava cuando el sujeto agente quien desarrolla el tipo penal, es quien tiene una vinculación o cercanía al sistema informático por razones de la función que desempeña, es decir por la facilidad que tiene el sujeto en el uso de sus funciones, de acceder a los bancos de datos o sistemas de información, lo cual lo coloca en una posición privilegiada –y manejo de información de la misma cualidad- frente a otros sujetos, siendo ésta una de las razones de la norma para sancionar con penas mucho mayores a las previstas para los delitos de intrusismo y sabotaje informático simplemente. Un punto importante en este respecto, es el relativo al inciso 02 del artículo bajo análisis, en el cual el sujeto agente, puede ser cualquier persona natural, ello considerando que lo que se pone en peligro es la seguridad nacional. En cuanto a los demás elementos de la norma, son los mismos a los cuales nos hemos referido precedentemente.
CONCLUSIONES
El acceso al conocimiento de la información es uno de los derechos constitucionales básicos que gozan los ciudadanos y es una forma de control público que es parte del sistema democrático. Si bien es cierto que el Estado se esfuerza para que esta información llegue a quien la solicite, aún es insuficiente, pues cotidianamente somos espectadores y a veces protagonistas disconformes, de cómo se administran estos servicios por lo que su manejo oficial no es satisfactorio para la colectividad, lo que origina el obsequio de una sombra de opacidad al desempeño gubernamental, lo que deja mucho que desear, por el sentimiento generalizado que exige, luego de la secuela dejada por la dictadura en la década anterior, que toda gestión refleje transparencia.
El progreso de la informática es una de las características primordiales y destacadas de este milenio, por lo que su utilización comprende un abanico de posibilidades que es indispensable delimitar a fin de combatir los excesos que se vienen apreciando. Por lo que ante esta situación, es natural la aparición de renovadas disposiciones penales en salvaguarda de los bienes jurídicos que urgen de protección. La sociedad debidamente organizada, a través de sus instituciones preclaras y los obligados a legislar, tiene la palabra para establecer propuestas que permitan su control y consecuente sanción.
El delito informático en el Código Penal peruano ha sido previsto como una modalidad de hurto agravado, lo cual trae inconvenientes, teniendo en cuenta la forma tradicional de comprender los elementos del delito de hurto.
Asimismo, existen conductas vinculadas a los delitos informáticos que, en algunos casos, pueden configurar otro tipo de delitos, como por ejemplo, el delito de daños.
A manera de recomendación, sería conveniente la creación de un tipo autónomo que sancione las conductas vinculadas al delito informático.
YESENIA CARRASCO ALEJO
No hay comentarios:
Publicar un comentario