Este es el panorama de este nuevo fenómeno
científico tecnológico en las sociedades
modernas. Por ello ha llegado a sostenerse que la
Informática es hoy una forma de Poder Social.
Las facultades que el fenómeno pone a disposición
de Gobiernos y de particulares, con rapidez y ahorro
consiguiente de tiempo y
energía, configuran un cuadro de realidades de
aplicación y de posibilidades de juegos
lícito e ilícito, en donde es necesario el derecho
para regular los múltiples efectos de una
situación, nueva y de tantas potencialidades en el medio
social.
Los progresos mundiales de las computadoras, el
creciente aumento de las capacidades de almacenamiento y
procesamiento, la miniaturización de los chips de las
computadoras instalados en productos
industriales, la fusión
del proceso de la información con las nuevas
tecnologías de comunicación, así como la
investigación en el campo de la inteligencia
artificial, ejemplifican el desarrollo actual definido a menudo
como la "era de la información".
Esta marcha de las aplicaciones de la informática
no sólo tiene un lado ventajoso sino que plantea
también problemas de
significativa importancia para el funcionamiento y la seguridad de los
sistemas informáticos en los negocios, la
administración, la defensa y la
sociedad.
Debido a esta vinculación, el aumento del nivel
de los delitos relacionados con los sistemas informáticos
registrados en la última década en los Estados Unidos,
Europa
Occidental, Australia y Japón,
representa una amenaza para la economía de un país y también
para la sociedad en su conjunto.
De acuerdo con la definición elaborada por un
grupo de
expertos, invitados por la OCDE a París en mayo de 1983,
el término delitos relacionados con las computadoras se
define como cualquier comportamiento antijurídico, no
ético o no autorizado, relacionado con el procesado
automático de datos y/o transmisiones de datos. La
amplitud de este concepto es ventajosa, puesto que permite el uso
de las mismas hipótesis de trabajo para
toda clase de
estudios penales, criminólogos, económicos,
preventivos o legales.
En la actualidad la informatización se ha
implantado en casi todos los países. Tanto en la organización y administración de empresas y
administraciones públicas como en la investigación científica, en la
producción industrial o en el estudio e
incluso en el ocio, el uso de la informática es en
ocasiones indispensable y hasta conveniente. Sin embargo, junto a
las incuestionables ventajas que presenta comienzan a surgir
algunas facetas negativas, como por ejemplo, lo que ya se conoce
como "criminalidad informática".
El espectacular desarrollo de la tecnología
informática ha abierto las puertas a nuevas posibilidades
de delincuencia
antes impensables. La manipulación fraudulenta de los
ordenadores con ánimo de lucro, la destrucción de
programas o
datos y el acceso y la utilización indebida de la
información que puede afectar la esfera de la privacidad,
son algunos de los procedimientos
relacionados con el procesamiento electrónico de datos
mediante los cuales es posible obtener grandes beneficios
económicos o causar importantes daños materiales o
morales. Pero no sólo la cuantía de los perjuicios
así ocasionados es a menudo infinitamente superior a la
que es usual en la delincuencia tradicional, sino que
también son mucho más elevadas las posibilidades de
que no lleguen a descubrirse. Se trata de una delincuencia de
especialistas capaces muchas veces de borrar toda huella de los
hechos.
En este sentido, la informática puede ser el
objeto del ataque o el medio para cometer otros delitos. La
informática reúne unas características que
la convierten en un medio idóneo para la comisión
de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas,
apropiaciones indebidas, etc.). La idoneidad proviene,
básicamente, de la gran cantidad de datos que se acumulan,
con la consiguiente facilidad de acceso a ellos y la
relativamente fácil manipulación de esos datos.
La importancia reciente de los sistemas de datos, por su
gran incidencia en la marcha de las empresas, tanto
públicas como privadas, los ha transformado en un objeto
cuyo ataque provoca un perjuicio enorme, que va mucho más
allá del valor material
de los objetos destruidos. A ello se une que estos ataques son
relativamente fáciles de realizar, con resultados
altamente satisfactorios y al mismo tiempo procuran a los autores
una probabilidad
bastante alta de alcanzar los objetivos sin
ser descubiertos.
Características de los delitos
Según el mexicano Julio Tellez Valdez, los delitos
informáticos presentan las siguientes
características principales:
Son conductas criminales de cuello blanco (white collar
crime), en tanto que sólo un determinado número de
personas con ciertos conocimientos (en este caso técnicos)
puede llegar a cometerlas.
Son acciones
ocupacionales, en cuanto a que muchas veces se realizan cuando el
sujeto se halla trabajando.
Son acciones de oportunidad, ya que se aprovecha una
ocasión creada o altamente intensificada en el mundo de
funciones y
organizaciones
del sistema
tecnológico y económico.
Provocan serias pérdidas económicas, ya que casi
siempre producen "beneficios" de más de cinco cifras a
aquellos que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que en
milésimas de segundo y sin una necesaria presencia
física
pueden llegar a consumarse.
Son muchos los casos y pocas las denuncias, y todo ello debido
a la misma falta de regulación por parte del Derecho.
Son muy sofisticados y relativamente frecuentes en el
ámbito militar.
Presentan grandes dificultades para su comprobación,
esto por su mismo carácter técnico.
Tienden a proliferar cada vez más, por lo que requieren
una urgente regulación. Por el momento siguen siendo
ilícitos impunes de manera manifiesta ante la ley.
Sistemas y empresas con mayor riesgo.
Evidentemente el artículo que resulta más
atractivo robar es el dinero o
algo de valor. Por lo tanto, los sistemas que pueden estar
más expuestos a fraude son los
que tratan pagos, como los de nómina,
ventas, o
compras. En ellos
es donde es más fácil convertir transacciones
fraudulentas en dinero y
sacarlo de la empresa.
Por razones similares, las empresas constructoras, bancos y
compañías de seguros,
están más expuestas a fraudes que las
demás.
Los sistemas mecanizados son susceptibles de
pérdidas o fraudes debido a que:
Tratan grandes volúmenes de datos e interviene poco
personal, lo que impide verificar todas las partidas.
Se sobrecargan los registros
magnéticos, perdiéndose la evidencia auditable o la
secuencia de acontecimientos.
A veces los registros magnéticos son transitorios
y a menos que se realicen pruebas dentro
de un período de tiempo corto, podrían perderse los
detalles de lo que sucedió, quedando sólo los
efectos.
Los sistemas son impersonales, aparecen en un formato
ilegible y están controlados parcialmente por personas
cuya principal preocupación son los aspectos
técnicos del equipo y del sistema y que no comprenden, o
no les afecta, el significado de los datos que manipulan.
En el diseño
de un sistema importante es difícil asegurar que se han
previsto todas las situaciones posibles y es probable que en las
previsiones que se hayan hecho queden huecos sin cubrir. Los
sistemas tienden a ser algo rígidos y no siempre se
diseñan o modifican al ritmo con que se producen los
acontecimientos; esto puede llegar a ser otra fuente de
"agujeros".
Sólo parte del personal de proceso de datos
conoce todas las implicaciones del sistema y el centro de
cálculo
puede llegar a ser un centro de información. Al mismo
tiempo, el centro de cálculo procesará muchos
aspectos similares de las transacciones.
En el centro de cálculo hay un personal muy
inteligente, que trabaja por iniciativa propia la mayoría
del tiempo y podría resultar difícil implantar unos
niveles normales de control y
supervisión.
El error y el fraude son difíciles de equiparar.
A menudo, los errores no son iguales al fraude. Cuando surgen
discrepancias, no se imagina que se ha producido un fraude, y
la
investigación puede abandonarse antes de llegar a esa
conclusión. Se tiende a empezar buscando errores de
programación y del sistema. Si falla esta
operación, se buscan fallos técnicos y operativos.
Sólo cuando todas estas averiguaciones han dado resultados
negativos, acaba pensándose en que la causa podría
ser un fraude.
Los delitos pueden ser examinado desde dos puntos de vista
diferentes:
Los delitos que causan mayor impacto a las organizaciones.
Los delitos más difíciles de detectar.
Aunque depende en gran medida del tipo de organización,
se puede mencionar que los Fraudes y sabotajes son los delitos de
mayor incidencia en las organizaciones. Además, aquellos
que no están claramente definidos y publicados dentro de
la organización como un delito (piratería, mala utilización de la
información, omisión deliberada de controles, uso
no autorizado de activos y/o
servicios
computacionales; y que en algún momento pueden generar un
impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los
delitos de difícil detección, se deben situar a
aquellos producidos por las personas que trabajan internamente en
una organización y que conocen perfectamente la
configuración interna de las plataformas; especialmente
cuando existe una cooperación entre empleados,
cooperación entre empleados y terceros, o incluso el
involucramiento de la
administración misma.
Tipificación de
los delitos informáticos
Clasificación Según la Actividad
Informática
Sabotaje informático
El término sabotaje informático comprende todas
aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los
métodos
utilizados para causar destrozos en los sistemas
informáticos son de índole muy variada y han ido
evolucionando hacia técnicas
cada vez más sofisticadas y de difícil
detección. Básicamente, se puede diferenciar dos
grupos de
casos: por un lado, las conductas dirigidas a causar destrozos
físicos y, por el otro, los métodos dirigidos a
causar daños lógicos.
Conductas dirigidas a causar daños
físicos
El primer grupo comprende todo tipo de conductas destinadas a
la destrucción «física» del hardware y
el software de un sistema (por ejemplo: causar incendios o
explosiones, introducir piezas de aluminio
dentro de la computadora
para producir cortocircuitos, echar café o
agentes cáusticos en los equipos, etc. En general, estas
conductas pueden ser analizadas, desde el punto de vista
jurídico, en forma similar a los comportamientos
análogos de destrucción física de otra clase
de objetos previstos típicamente en el delito de daño.
Conductas dirigidas a causar daños
lógicos
El segundo grupo, más específicamente
relacionado con la técnica informática, se refiere
a las conductas que causan destrozos
«lógicos», o sea, todas aquellas conductas que
producen, como resultado, la destrucción,
ocultación, o alteración de datos contenidos en un
sistema informático.
Este tipo de daño a un sistema se puede alcanzar
de diversas formas. Desde la más simple que podemos
imaginar, como desenchufar el ordenador de la electricidad
mientras se esta trabajando con él o el borrado de
documentos o
datos de un archivo, hasta la
utilización de los más complejos programas
lógicos destructivos (crash programs), sumamente riesgosos
para los sistemas, por su posibilidad de destruir gran cantidad
de datos en un tiempo mínimo.
Estos programas destructivos, utilizan distintas
técnicas de sabotaje, muchas veces, en forma combinada.
Sin pretender realizar una clasificación rigurosa de estos
métodos de destrucción lógica,
podemos distinguir:
Bombas
lógicas (time bombs): En esta modalidad, la actividad
destructiva del programa comienza
tras un plazo, sea por el mero transcurso del tiempo (por ejemplo
a los dos meses o en una fecha o a una hora determinada), o por
la aparición de determinada señal (que puede
aparecer o puede no aparecer), como la presencia de un dato, de
un código,
o cualquier mandato que, de acuerdo a lo determinado por el
programador, es identificado por el programa como la señal
para empezar a actuar.
La jurisprudencia
francesa registra un ejemplo de este tipo de casos. Un empleado
programó el sistema de tal forma que los ficheros de la
empresa se destruirían automáticamente si su nombre
era borrado de la lista de empleados de la empresa.
Otra modalidad que actúa sobre los programas de
aplicación es el llamado «cáncer de
rutinas» («cancer
routine»). En esta técnica los programas
destructivos tienen la particularidad de que se reproducen, por
sí mismos, en otros programas, arbitrariamente
escogidos.
Una variante perfeccionada de la anterior modalidad es
el «virus
informático» que es un programa capaz de
multiplicarse por sí mismo y contaminar los otros
programas que se hallan en el mismo disco rígido donde fue
instalado y en los datos y programas contenidos en los distintos
discos con los que toma contact a través de una
conexión.
Fraude a través de computadoras
Estas conductas consisten en la manipulación
ilícita, a través de la creación de datos
falsos o la alteración de datos o procesos
contenidos en sistemas informáticos, realizada con el
objeto de obtener ganancias indebidas.
Los distintos métodos para realizar estas conductas se
deducen, fácilmente, de la forma de trabajo de un sistema
informático: en primer lugar, es posible alterar datos,
omitir ingresar datos verdaderos o introducir datos falsos, en un
ordenador. Esta forma de realización se conoce como
manipulación del input.
Ulrich Sieber, cita como ejemplo de esta modalidad el
siguiente caso tomado de la jurisprudencia alemana:
Una empleada de un banco del sur de
Alemania
transfirió, en febrero de 1983, un millón
trescientos mil marcos alemanes a la cuenta de una amiga –
cómplice en la maniobra – mediante el simple mecanismo de
imputar el crédito
en una terminal de computadora del banco. La operación fue
realizada a primera hora de la mañana y su falsedad
podría haber sido detectada por el sistema de seguridad
del banco al mediodía. Sin embargo, la rápida
transmisión del crédito a través de sistemas
informáticos conectados en línea (on line), hizo
posible que la amiga de la empleada retirara, en otra sucursal
del banco, un millón doscientos ochenta mil marcos unos
minutos después de realizada la operación
informática.
En segundo lugar, es posible interferir en el correcto
procesamiento de la información, alterando el programa o
secuencia lógica con el que trabaja el ordenador. Esta
modalidad puede ser cometida tanto al modificar los programas
originales, como al adicionar al sistema programas especiales que
introduce el autor.
A diferencia de las manipulaciones del input que,
incluso, pueden ser realizadas por personas sin conocimientos
especiales de informática, esta modalidad es más
específicamente informática y requiere
conocimientos técnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la
jurisprudencia alemana:
El autor, empleado de una importante empresa, ingresó
al sistema informático un programa que le permitió
incluir en los archivos de pagos de salarios de la
compañía a «personas ficticias» e
imputar los pagos correspondientes a sus sueldos a una cuenta
personal del autor.
Esta maniobra hubiera sido descubierta fácilmente por
los mecanismos de seguridad del banco (listas de control,
sumarios de cuentas, etc.)
que eran revisados y evaluados periódicamente por la
compañía. Por este motivo, para evitar ser
descubierto, el autor produjo cambios en el programa de pago de
salarios para que los «empleados ficticios» y los
pagos realizados, no aparecieran en los listados de control.
Por último, es posible falsear el resultado,
inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulación del output.
Una característica general de este tipo de fraudes,
interesante para el análisis jurídico, es que, en la
mayoría de los casos detectados, la conducta
delictiva es repetida varias veces en el tiempo. Lo que sucede es
que, una vez que el autor descubre o genera una laguna o falla en
el sistema, tiene la posibilidad de repetir, cuantas veces
quiera, la comisión del hecho. Incluso, en los casos de
"manipulación del programa", la reiteración puede
ser automática, realizada por el mismo sistema sin ninguna
participación del autor y cada vez que el programa se
active. En el ejemplo jurisprudencial citado al hacer referencia
a las manipulaciones en el programa, el autor podría irse
de vacaciones, ser despedido de la empresa o incluso morir y el
sistema seguiría imputando el pago de sueldos a los
empleados ficticios en su cuenta personal.
Una problemática especial plantea la posibilidad
de realizar estas conductas a través de los sistemas de
teleproceso. Si el sistema informático está
conectado a una red de
comunicación entre ordenadores, a través de las
líneas telefónicas o de cualquiera de los medios de
comunicación remota de amplio desarrollo en los
últimos años, el autor podría realizar estas
conductas sin ni siquiera tener que ingresar a las oficinas donde
funciona el sistema, incluso desde su propia casa y con una
computadora personal. Aún más, los sistemas de
comunicación internacional, permiten que una conducta de
este tipo sea realizada en un país y tenga efectos en
otro.
Respecto a los objetos sobre los que recae la
acción del fraude informático, estos son,
generalmente, los datos informáticos relativos a activos o
valores. En la
mayoría de los casos estos datos representan valores
intangibles (ej.: depósitos monetarios, créditos, etc.), en otros casos, los datos
que son objeto del fraude, representan objetos corporales
(mercadería, dinero en efectivo, etc.) que obtiene el
autor mediante la manipulación del sistema. En las
manipulaciones referidas a datos que representan objetos
corporales, las pérdidas para la víctima son,
generalmente, menores ya que están limitadas por la
cantidad de objetos disponibles. En cambio, en la
manipulación de datos referida a bienes
intangibles, el monto del perjuicio no se limita a la cantidad
existente sino que, por el contrario, puede ser
«creado» por el autor.
El autor, empleado del Citibank, tenía acceso a las
terminales de computación de la institución
bancaria. Aprovechando esta circunstancia utilizó, en
varias oportunidades, las terminales de los cajeros, cuando ellos
se retiraban, para transferir, a través del sistema
informático, fondos de distintas cuentas a su cuenta
personal.
Posteriormente, retiró el dinero en otra de las
sucursales del banco.
En primera instancia el Juez calificó los hechos como
constitutivos del delito de hurto en forma reiterada. La Fiscalía de Cámara solicitó
el cambio de calificación, considerando que los hechos
constituían el delito de estafa.
La Cámara del crimen resolvió:
«… y contestando a la teoría
fiscal, entiendo que le asiste razón al Dr. Galli en
cuanto sostiene que estamos en presencia del tipo penal de hurto
y no de estafa. Ello es así porque el apoderamiento lo
hace el procesado y no le entrega el banco por medio de un error,
requisito indispensable para poder hablar de estafa. El
apoderamiento lo hace el procesado directamente, manejando el
sistema de computación. De manera que no hay diferencia
con la maniobra normal del cajero, que en un descuido se apodera
del dinero que maneja en caja y la maniobra en estudio en donde
el apoderamiento del dinero se hace mediante el manejo de la
computadora…»
Como el lector advertirá, la resolución adolece
de los problemas de adecuación típica a que
hacíamos referencias más arriba.
En realidad, el cajero no realizó la conducta de
apoderamiento que exige el tipo penal del hurto ya que
recibió el dinero de manos del cajero. En el caso de que
se considere que el apoderamiento se produjo en el momento en el
que el autor transfirió los fondos a su cuenta, el escollo
de adecuación típica insalvable deriva de la falta
de la «cosa mueble» como objeto del apoderamiento
exigido por el tipo penal.
Estafas electrónicas: La
proliferación de las compras telemáticas permite
que aumenten también los casos de estafa. Se
trataría en este caso de una dinámica comisiva que cumpliría
todos los requisitos del delito de estafa, ya que además
del engaño y el "animus defraudandi" existiría un
engaño a la persona que
compra. No obstante seguiría existiendo una laguna legal
en aquellos países cuya legislación no prevea los
casos en los que la operación se hace engañando al
ordenador.
"Pesca" u "olfateo" de claves secretas: Los
delincuentes suelen engañar a los usuarios nuevos e
incautos de la Internet para que revelen
sus claves personales haciéndose pasar por agentes de la
ley o empleados del proveedor del servicio. Los
"sabuesos" utilizan programas para identificar claves de
usuarios, que más tarde se pueden usar para esconder su
verdadera identidad y
cometer otras fechorías, desde el uso no autorizado de
sistemas de computadoras hasta delitos financieros, vandalismo o
actos de terrorismo.
Estratagemas: Los estafadores utilizan diversas
técnicas para ocultar computadoras que se "parecen"
electrónicamente a otras para lograr acceso a algún
sistema generalmente restringido y cometer delitos. El famoso
pirata Kevin Mitnick se valió de estratagemas en 1996 para
introducirse en la computadora de la casa de Tsutomo Shimamura,
experto en seguridad, y distribuir en la Internet valiosos
útiles secretos de seguridad.
Juegos de azar: El juego
electrónico de azar se ha incrementado a medida que el
comercio
brinda facilidades de crédito y transferencia de fondos en
la Red. Los
problemas ocurren en países donde ese juego es un delito o
las autoridades nacionales exigen licencias. Además, no se
puede garantizar un juego limpio, dadas las inconveniencias
técnicas y jurisdiccionales que entraña su
supervisión.
Fraude: Ya se han hecho ofertas fraudulentas al
consumidor tales
como la cotización de acciones, bonos y valores o
la venta de equipos
de computadora en regiones donde existe el comercio
electrónico.
Blanqueo de dinero: Se espera que el comercio
electrónico sea el nuevo lugar de transferencia electrónica de mercancías o dinero
para lavar las ganancias que deja el delito, sobre todo si se
pueden ocultar transacciones.
Copia ilegal de software y espionaje
informático.
Se engloban las conductas dirigidas a obtener datos, en forma
ilegítima, de un sistema de información. Es
común el apoderamiento de datos de investigaciones,
listas de clientes,
balances, etc. En muchos casos el objeto del apoderamiento es el
mismo programa de computación (software) que suele tener
un importante valor económico.
Infracción de los derechos de autor: La
interpretación de los conceptos de copia,
distribución, cesión y
comunicación pública de los programas de ordenador
utilizando la red provoca diferencias de criterio a nivel
jurisprudencial.
Infracción del Copyright de bases de
datos: No existe una protección uniforme de las
bases de datos
en los países que tienen acceso a Internet. El sistema de
protección más habitual es el contractual: el
propietario del sistema permite que los usuarios hagan
"downloads" de los ficheros contenidos en el sistema, pero
prohibe el replicado de la base de datos
o la copia masiva de información.
Uso ilegítimo de sistemas informáticos
ajenos.
Esta modalidad consiste en la utilización sin
autorización de los ordenadores y los programas de un
sistema informático ajeno. Este tipo de conductas es
comúnmente cometida por empleados de los sistemas de
procesamiento de datos que utilizan los sistemas de las empresas
para fines privados y actividades complementarias a su trabajo.
En estos supuestos, sólo se produce un perjuicio
económico importante para las empresas en los casos de
abuso en el ámbito del teleproceso o en los casos en que
las empresas deben pagar alquiler por el tiempo de uso del
sistema.
Acceso no autorizado: La corriente reguladora
sostiene que el uso ilegítimo de passwords y la entrada en
un sistema informático sin la autorización del
propietario debe quedar tipificado como un delito, puesto que el
bien jurídico que acostumbra a protegerse con la
contraseña es lo suficientemente importante para que el
daño producido sea grave.
Delitos informáticos contra la
privacidad.
Grupo de conductas que de alguna manera pueden afectar la
esfera de privacidad del ciudadano mediante la
acumulación, archivo y divulgación indebida de
datos contenidos en sistemas informáticos
Esta tipificación se refiere a quién, sin estar
autorizado, se apodere, utilice o modifique, en perjuicio de
tercero, datos reservados de carácter personal o familiar
de otro que se hallen registrados en ficheros o soportes
informáticos, electrónicos o telemáticos, o
cualquier otro tipo de archivo o registro
público o privado.
Existen circunstancias agravantes de la
divulgación de ficheros, los cuales se dan en función
de:
El carácter de los datos: ideología, religión, creencias,
salud, origen
racial y vida sexual.
Las circunstancias de la víctima: menor de edad o
incapaz.
También se comprende la interceptación de las
comunicaciones, la utilización de
artificios técnicos de escucha, transmisión,
grabación o reproducción del sonido o de la
imagen o de
cualquier otra señal de comunicación, se piensa que
entre lo anterior se encuentra el pinchado de redes
informáticas.
Interceptación de e-mail: En este caso se
propone una ampliación de los preceptos que castigan la
violación de correspondencia, y la interceptación
de telecomunicaciones, de forma que la lectura de
un mensaje electrónico ajeno revista la
misma gravedad.
Pornografía infantil
La distribución de pornografía infantil por todo el mundo a
través de la Internet está en aumento. Durante los
pasados cinco años, el número de condenas por
transmisión o posesión de pornografía
infantil ha aumentado de 100 a 400 al año en un
país norteamericano. El problema se agrava al aparecer
nuevas
tecnologías, como la criptografía, que sirve para esconder
pornografía y demás material "ofensivo" que se
transmita o archive.
Clasificación
Según el Instrumento, Medio o Fin u Objetivo
Asimismo, TELLEZ VALDEZ clasifica a estos delitos, de acuerdo
a dos criterios:
Como instrumento o medio.
En esta categoría se encuentran las conductas
criminales que se valen de las computadoras como método,
medio o símbolo en la comisión del ilícito,
por ejemplo:
- Falsificación de documentos vía computarizada
(tarjetas de
crédito, cheques,
etc.) - Variación de los activos y pasivos en la
situación contable de las empresas. - Planeamiento y simulación de delitos convencionales
(robo, homicidio,
fraude, etc.) - Lectura, sustracción o copiado de información
confidencial. - Modificación de datos tanto en la entrada como en la
salida. - Aprovechamiento indebido o violación de un
código para penetrar a un sistema introduciendo
instrucciones inapropiadas. - Variación en cuanto al destino de pequeñas
cantidades de dinero hacia una cuenta bancaria
apócrifa. - Uso no autorizado de programas de computo.
- Introducción de instrucciones que provocan
"interrupciones" en la lógica interna de los
programas. - Alteración en el funcionamiento de los sistemas, a
través de los virus informáticos. - Obtención de información residual impresa en
papel luego de la ejecución de trabajos. - Acceso a áreas informatizadas en forma no
autorizada. - Intervención en las líneas de
comunicación de datos o teleproceso.
Como fin u objetivo.
En esta categoría, se enmarcan las conductas criminales
que van dirigidas contra las computadoras, accesorios o programas
como entidad física, como por ejemplo:
- Programación de instrucciones que producen un
bloqueo total al sistema. - Destrucción de programas por cualquier
método. - Daño a la memoria.
- Atentado físico contra la máquina o sus
accesorios. - Sabotaje político o terrorismo en que se destruya o
surja un apoderamiento de los centros neurálgicos
computarizados. - Secuestro de soportes magnéticos entre los que
figure información valiosa con fines de chantaje (pago
de rescate, etc.).
Clasificación según Actividades Delictivas
Graves
Por otro lado, la red Internet permite dar soporte para la
comisión de otro tipo de delitos:
Terrorismo: Mensajes anónimos aprovechados por grupos
terroristas para remitirse consignas y planes de actuación
a nivel internacional.
La existencia de hosts que ocultan la identidad del remitente,
convirtiendo el mensaje en anónimo ha podido ser
aprovechado por grupos terroristas para remitirse consignas y
planes de actuación a nivel internacional. De hecho, se
han detectado mensajes con instrucciones para la
fabricación de material explosivo.
Narcotráfico: Transmisión de fórmulas
para la fabricación de estupefacientes, para el blanqueo
de dinero y para la coordinación de entregas y recogidas.
Tanto el FBI como el Fiscal General de los Estados Unidos han
alertado sobre la necesidad de medidas que permitan interceptar y
descifrar los mensajes encriptados que utilizan los
narcotraficantes para ponerse en contacto con los
cárteles.
Espionaje: Se ha dado casos de acceso no autorizado a sistemas
informáticos gubernamentales e interceptación de
correo electrónico del servicio secreto de los Estados
Unidos, entre otros actos que podrían ser calificados de
espionaje si el destinatario final de esa información
fuese un gobierno u
organización extranjera. Entre los casos más
famosos podemos citar el acceso al sistema informático del
Pentágono y la divulgación a través de
Internet de los mensajes remitidos por el servicio secreto
norteamericano durante la crisis nuclear
en Corea del Norte en 1994, respecto a campos de pruebas de
misiles. Aunque no parece que en este caso haya existido en
realidad un acto de espionaje, se ha evidenciado una vez
más la vulnerabilidad de los sistemas de seguridad
gubernamentales.
Espionaje industrial: También se han dado casos de
accesos no autorizados a sistemas informáticos de grandes
compañías, usurpando diseños industriales,
fórmulas, sistemas de fabricación y know how
estratégico que posteriormente ha sido aprovechado en
empresas competidoras o ha sido objeto de una divulgación
no autorizada.
Otros delitos: Las mismas ventajas que encuentran en la
Internet los narcotraficantes pueden ser aprovechadas para la
planificación de otros delitos como el
tráfico de armas,
proselitismo de sectas, propaganda de
grupos extremistas, y cualquier otro delito que pueda ser
trasladado de la vida real al ciberespacio o al revés.
Infracciones que no Constituyen Delitos
Informáticos
Usos comerciales no éticos: Algunas
empresas no han podido escapar a la tentación de
aprovechar la red para hacer una oferta a gran
escala de sus
productos, llevando a cabo "mailings electrónicos" al
colectivo de usuarios de un gateway, un nodo o un territorio
determinado. Ello, aunque no constituye una infracción, es
mal recibido por los usuarios de Internet, poco acostumbrados,
hasta fechas recientes, a un uso comercial de la red.
Actos parasitarios: Algunos usuarios incapaces de
integrarse en grupos de discusión o foros de debate online,
se dedican a obstaculizar las comunicaciones ajenas,
interrumpiendo conversaciones de forma repetida, enviando
mensajes con insultos personales, etc.
También se deben tomar en cuenta las obscenidades que
se realizan a través de la Internet.
Un análisis de las legislaciones que se han promulgado
en diversos países arroja que las normas
jurídicas que se han puesto en vigor están
dirigidas a proteger la utilización abusiva de la
información reunida y procesada mediante el uso de
computadoras, e incluso en algunas de ellas se ha previsto formar
órganos especializados que protejan los derechos de los
ciudadanos amenazados por los ordenadores.
Desde hace aproximadamente diez años la mayoría
de los países europeos han hecho todo lo posible para
incluir dentro de la ley, la conducta punible penalmente, como el
acceso ilegal a sistemas de computo o el mantenimiento
ilegal de tales accesos, la difusión de virus o la
interceptación de mensajes informáticos.
En la mayoría de las naciones occidentales existen
normas similares a los países europeos. Todos estos
enfoques están inspirados por la misma de
preocupación de contar con comunicaciones
electrónicas, transacciones e intercambios tan confiables
y seguros como sea posible.
2- SITUACIÓN EN LA ARGENTINA
En la Argentina, aún no existe legislación
especifica sobre los llamados delitos
informáticos. Sólo están protegidas
las obras de bases de datos y de software, agregados a la
lista de ítems contemplados por la Ley 11.723 de propiedad
intelectual gracias al Decreto Nº 165/94 del 8 de febrero de
1994.
En dicho Decreto se definen:
Obras de software: Las producciones que se ajusten a las
siguientes definiciones:
Los diseños, tanto generales como detallados, del flujo
lógico de los datos en un sistema de
computación.
Los programas de computadoras, tanto en versión
"fuente", principalmente destinada al lector humano, como en su
versión "objeto", principalmente destinada a ser ejecutada
por la computadora.
La documentación técnica, con fines
tales como explicación, soporte o entrenamiento,
para el desarrollo, uso o mantenimiento de software.
Obras de base de datos: Se las incluye en la categoría
de "obras literarias", y el término define a las
producciones "constituidas por un conjunto organizado de datos
interrelacionados, compilado con miras a su almacenamiento,
procesamiento y recuperación mediante técnicas y
sistemas informáticos".
De acuerdo con los códigos vigentes, para que exista
robo o hurto debe afectarse una cosa, entendiendo como cosas
aquellos objetos materiales susceptibles de tener algún
valor, la energía y las fuerzas naturales susceptibles de
apropiación. (Código Civil, Art. 2311).
Asimismo, la situación legal ante daños
infligidos a la información es problemática:
El artículo 1072 del Código
Civil argentino declara "el acto ilícito ejecutado a
sabiendas y con intención de dañar la persona o los
derechos del otro se llama, en este Código, delito",
obligando a reparar los daños causados por tales
delitos.
En caso de probarse la existencia de delito de daño por
destrucción de la cosa ajena, "la indemnización
consistirá en el pago de la cosa destruida; si la
destrucción de la cosa fuera parcial, la
indemnización consistirá en el pago de la
diferencia de su valor y el valor primitivo" (Art.
1094).
Existe la posibilidad de reclamar indemnización cuando
el hecho no pudiera ser considerado delictivo, en los casos en
que "alguien por su culpa o negligencia ocasiona un daño a
otro" (Art. 1109).
Pero "el hecho que no cause daño a la persona que lo
sufre, sino por una falta imputable a ella, no impone responsabilidad alguna" (Art. 1111).
En todos los casos, el resarcimiento de daños
consistirá en la reposición de las cosas a su
estado
anterior, excepto si fuera imposible, en cuyo caso la
indemnización se fijará en dinero" (Art.
1083).
El mayor inconveniente es que no hay forma de determinar
fehacientemente cuál era el estado
anterior de los datos, puesto que la información en estado
digital es fácilmente adulterable. Por otro lado, aunque
fuera posible determinar el estado anterior, sería
difícil determinar el valor que dicha información
tenía, pues es sabido que el valor de la
información es subjetivo, es decir, que depende de cada
uno y del contexto.
Lo importante en este tema es determinar que por más
que se aplique la sanción del artículo 72 de la ley
11723, la misma resulta insuficiente a efectos de proteger los
programas de computación, los sistemas o la
información en ellos contenidos de ciertas conductas
delictivas tales como: el ingreso no autorizado, la
violación de secretos, el espionaje, el uso indebido, el
sabotaje, etc.
No obstante, existen en el Congreso Nacional diversos proyectos de ley
que contemplan esta temática; aunque sólo dos de
ellos cuentan actualmente con estado parlamentario. Los
presentados por los Senadores nacionales Eduardo Bauza y Antonio
Berhongaray, respectivamente.
Proyecto de Ley Penal y de Protección de la
Informática (Senador Eduardo Bauza).
El Senador Eduardo Bauza, señala en el artículo
24 de su proyecto, que la
alteración, daño o destrucción de datos en
una computadora, base de datos o sistema de redes, se realiza
exclusivamente mediante el uso de virus u otros programas
destinados a tal modalidad delictiva, y aunque existen otros
medios de comisión del delito, estos no fueron
incorporados al tipo legal por el legislador.
En cuanto al tipo penal de violación de secretos y
divulgación indebida se circunscribe al correo
electrónico, dejando de lado la figura de la
información obtenida de cualquier computadora o sistema de
redes. Asimismo, el Senador Bauza, incluye la apología del
delito y agrava la conducta en caso de ilícitos de
atentados contra la seguridad de la nación.
En materia de los
accesos no autorizados, el proyecto Bauzá, en el
artículo 20 prevé, para que se configure el tipo
penal, que la conducta vulnere la confianza depositada en
él por un tercero (ingreso indebido), o mediante
maquinaciones maliciosas (dolo) que ingresare a un sistema o
computadora utilizando una password ajeno. Asimismo, este
artículo, por su parte, prevé el agravante para
aquellos profesionales de la informática.
En materia de Uso indebido, este Proyecto en su
Artículo 21, incluye en el tipo legal a aquel que
vulnerando la confianza depositada en él por un tercero
(abuso de confianza), o bien por maquinaciones maliciosas
(conducta dolosa), ingresare a un sistema o computadora
utilizando una password ajena, con la finalidad de apoderarse,
usar o conocer indebidamente la información contenida en
un sistema informático ajeno (no incluye la
revelación). En tanto en el artículo 38 pena a toda
persona física o jurídica, de carácter
privado, que manipule datos de un tercero con el fin de obtener
su perfil, etc. y vulnere el honor y la intimidad personal o
familiar del mismo.
En materia de Sabotaje y daños, este Proyecto, en el
artículo 23, prevé prisión de uno a tres
años para aquél que en forma maliciosa, destruya o
inutilice una computadora o sistema de redes o sus partes, o
impida, obstaculice o modifique su funcionamiento. Se agrava la
pena en caso de afectarse los datos contenidos en la computadora
o en el sistema de redes. Se resalta que el tipo legal propuesto
requiere malicia en el actuar. El artículo 24
también incluye malicia (en el actuar) para alterar,
dañar o destruir los datos contenidos en una computadora,
base de datos, o sistemas de redes, con o si salida externa. El
medio utilizado, según la propuesta, es mediante el uso de
virus u otros programas destinados a tal modalidad delictiva.
En cuanto a la Interceptación ilegal/apoderamiento,
este proyecto aplica penas de prisión.
En materia de Violación de secretos
(Espionaje/Divulgación), este Proyecto propone gradualismo
en la aplicación de la pena, agravamiento por cargo e
inhabilitación para funcionarios públicos.
Además, impone multas por divulgación.
En lo relacionado con Estafa y defraudación, este
Proyecto reprime con pena de prisión al responsable de una
estafa mediante el uso de una computadora.
Proyecto de Ley Régimen Penal del Uso Indebido de la
Computación (Senador Antonio Berhongaray).
Este Proyecto de Ley, es abarcativo de muchas conductas
delictivas, agravando especialmente la pena, cuando la
destrucción fuera cometida contra datos pertenecientes a
organismos de defensa nacional, seguridad interior o
Inteligencia. (Art. 3º inc.2), contemplando
específicamente el espionaje.
En cuanto a la Violación de secretos
(espionaje/divulgación), el Proyecto BERHONGARAY, penaliza
las violaciones a la defensa nacional, a la seguridad interior y
a la Icia. extranjera, agravado por el resultado si ocurre un
conflicto
internacional. Además contempla el agravante por
espionaje. También pena la imprudencia, negligencia,
impericia o inobservancia de los reglamentos en la
comisión de delitos por parte de terceros.
El Proyecto del Senador Berhongaray, en su artículo 2,
requiere el acceso a una computadora o sistema de
computación, o almacenamiento de datos que no le
pertenezcan directamente o a través de otra computadora,
sin autorización del propietario o de un tercero facultado
para otorgarla o si estando autorizado, excediere los
límites de la misma. Basta para que se configure el tipo
legal el ingreso sin autorización o teniéndola, que
se exceda del marco de la misma.
En materia de Sabotajes y daños, BERHONGARAY, introduce
agravamiento cuando se afecte a organismos de la defensa
nacional, seguridad interior e Inteligencia, coinciden en aplicar
penas de prisión para este tipo de delitos.
En el artículo 5, pena a quien a través del
acceso no autorizado, o de cualquier otro modo, voluntariamente y
por cualquier medio, destruyere, alterare en cualquier forma,
hiciere inutilizables o inaccesibles o produjera o diera lugar a
la pérdida de datos informáticos. Aclara qué
se entiende por acción voluntaria, expresando que es
aquello que hubiera consistido en la introducción de programas de
computación aptos para destruir, alterar, hacer
inutilizables o inaccesibles datos, de cuya acción
proviniera el daño, ya fuera por computadora o sistema de
computación en lo que se hallaban los datos
dañados, o en cualquier otro.
El artículo 6, pena la destrucción o
inutilización intencional de los equipos de
computación donde se encontraban los datos afectados.
Agravando la pena, cuando la destrucción,
alteración o pérdida de datos trajera aparejadas
pérdidas económicas; o cuando fuera cometida contra
datos pertenecientes a organismos de defensa nacional, seguridad
interior o inteligencia.
Referente a usos indebidos, en el artículo 11, se
propone como tipo legal el acceso no autorizado y el uso
indebido, incorporando un móvil que es la ventaja
económica.
Finalmente, cabe destacar que en materia de los accesos no
autorizados, los Proyectos BAUZA y BERHONGARAY, son coincidentes
en cuanto a la aplicación de solamente penas de
prisión con agravantes por los accesos no autorizados. En
tanto, en lo relacionado con la Interceptación
ilegal/apoderamiento, los Proyectos BAUZA y BERHONGARAY,
coinciden aplicar penas de prisión.
En el contexto internacional, son pocos los países que
cuentan con una legislación apropiada. Entre ellos, se
destacan, Estados Unidos, Alemania, Austria, Gran Bretaña,
Holanda, Francia,
España
y Chile.
 Página anterior | Volver al principio del trabajo | Página siguiente  |