1

DERECHO PENAL ESPECIAL

Ciclo IV

DOCENTE: Abog. César Vásquez Arana Tutor Piura: Abog. Elvis Guidino Valderrama

Alumno: WALTER PURIZACA CASTRO Código 2004183358

LOS DELITOS INFORMATICOS (Monografía)

ACTIVIDAD No.02

UNIVERSIDAD ALAS PERUANAS

PIURA- PERU

2

DELITOS INFORMÁTICOS INDICE CAP. I. DELITOS INFORMATICOS –CONTEXTO MUNDIAL 1. Introducción. 2. Objetivos 3. Conceptualización y consideraciones. 4.- Características de los delitos 5. Tipificación de los delitos informáticos 6. Estadísticas Sobre Delitos Informáticos. 7. Impacto de los delitos informáticos 8. Seguridad contra los delitos informáticos. 9. Legislación sobre delitos informáticos CAP. II. DELITOS INFORMATICOS EN EL PERU 1. Introducción 2. Derecho penal como expresión del control social de las nuevas formas delictivas. 3. Delimitación del tema 4. - Elementos distintivos 5. - Características del delito informático 6. - Nueva tipología del ilícito penal informático 7. - Crisis de los conceptos tradicionales frente al delito Informático. 8. - análisis jurídico del delito informático 9. - el caso peruano en relación a los delitos informáticos 10. Legislación en el Perú 11. Conclusiones 12. Bibliografía 13. Referencias.

3

CAP. I. DELITOS INFORMATICOS –CONTEXTO MUNDIAL 1. Introducción. Veamos esta nota de prensa; Fraude por correo afectó a 23 cuentas del BCP “Mensaje bamba. Reproducción del mensaje que la mañana del martes cautivó a 23 clientes del Banco de Crédito. Una nueva modalidad de fraude circula entre los cibernautas peruanos. Por ello recurrió a su página Web para informar a sus clientes que detrás de este ardid hubo alguien que registró el dominio Viobcp.com (con la dirección Internet 216.119.71.129/Redirect.asp) que estuvo activa hasta el martes por la noche. La información simulada estuvo alojada en un servidor ubicado en el extranjero (Ns2webcontrolcenter.com.). Yépez explicó a El Comercio que dentro de este dominio (Viobcp.com) se creó una estructura similar a la del Web del Banco de Crédito (Viabcp.com) y así se copiaron las cabeceras, colores, tipo de letra, plantilla, eslogans, gráficos, etc., Edgardo Llosa, gerente de canales de atención al cliente del Banco de Crédito, reveló que en este caso los timadores enviaron sus mensajes a todo un grupo de personas, pero no todos eran clientes del banco. "No han usado la base de datos de nuestros clientes para enviar el falso mensaje. Los estafadores no pudieron sacar dinero en efectivo del banco, solo hicieron transferencias virtuales hacia las cuentas que tenían en la misma entidad financiera. Precisó que la ley de delitos informáticos estipula una pena no menor de dos años para los autores de este delito. El Comercio pudo obtener una copia del falso mensaje del Banco de Crédito. Títulos de mensajes engañosos como "Problemas con su cuenta", "A nuestros usuarios", "Actualización de su cuenta bancaria", "Por favor actualice su cuenta", "Notificación de seguridad", "Información oficial", "Tenemos problemas con su cuenta", "Actualización del servidor de seguridad", "Su información debe ser confirmada", entre otros son los que destacan en la impresionante base de datos que guarda en Internet. La revisión de la base de datos revela que existen dos modalidades para robar cuentas y números de tarjetas de crédito. En la primera, las víctimas potenciales reciben en su dirección de correo un mensaje simulando ser parte de una empresa seria. Yépez, quien desde hace tres años está a cargo de una empresa administradora de dominios en Internet, explicó que el dominio Viobcp.com está ahora bloqueado y no puede ser comprado. Sabían cómo era el tema de las transacciones financieras por Internet, pero dejaron rastros…” Y al mismo tiempo veamos la preocupación de una congresista de la República, quien haciendo uso de sus facultades presenta un proyecto de ley en contra de la pornografía infantil por Internet, al darse varios casos, tanto en la capital como en provincia, de individuos que graban a menores de edad de ambos sexos en situaciones fuera de la moral y venden estos videos o fotos vía Internet a toda parte del mundo, otros, como el de la niña de 13 años que se fugó de su casa para irse con su enamorado de 19 años a quien conoció por vía del Chat, y argumentando la congresista, que : “Los factores asociados a la explotación sexual comercial de la infancia son diversos.

4

En el ámbito de la explotación sexual comercial de menores, existen diversas modalidades que sé interrelacionan, reconociéndose las siguientes: prostitución infantil, pornografía infantil, turismo sexual y la venta o tráfico de niños. Avance significativo porque no obstante que el artículo 34 de la Convención sobre los Derechos de los Niños adoptada por la Asamblea de la ONU en 1989 - instrumento internacional ratificación casi universal, conmina a los Estados Parte a tomar medidas para proteger al niño contra todas las formas de explotación y abuso sexual -, la realidad es que en la mayoría de los países, no se ha cumplido con lo dispuesto en la Convención, por lo que los compromisos asumidos en Estocolmo instaron a los diferentes gobiernos a retomar la aplicación de la Convención sobre los Derechos del Niño, a fin de erradicar su explotación sexual comercial en todo el mundo. Ha incorporar a su derecho interno la Convención sobre los Derechos del Niño, al expedirse el Código del Niño y del Adolescente. Y termina señalando al Internet, avance tecnológico de enorme potencial en beneficio de la educación, puede ser empleado con magníficos resultados, pero que desafortunadamente es utilizado también para promocionar la pornografía infantil. Tipo penal que deberá sancionar el uso de un sistema de cómputo o de cualquier otro mecanismo de archivo de datos con la finalidad de exhibir a menores de edad realizando actos de exhibicionismo corporal, lascivos, agregándose el término pornográfico, por considerarse más aplicable. Debe ser considerados también dentro del tipo penal las conductas de elaboración, producción, ofrecimiento, distribución y de accesibilidad del material pornográfico a través de un sistema de cómputo o cualquier otro mecanismo de archivo de datos”. Otro caso palpable es el de unos delincuentes internacionales que robaban dinero mediante unas tarjetas especiales, este delito lo habían cometido en países como Venezuela y Colombia, y al desarrollarlo en nuestro país fueron detenidos, luego de estafar por varios miles de dólares a usuarios y a varios entidades bancarias...

Nadie escapa a la enorme influencia que ha alcanzado la informática en la vida diaria de las personas y organizaciones, y la importancia que tiene su progreso para el desarrollo de un país. Las transacciones comerciales, la comunicación, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son todos aspectos que dependen cada día más de un adecuado desarrollo de la tecnología informática.

5

Junto al avance de la tecnología informática y su influencia en casi todas las áreas de la vida social, ha surgido una serie de comportamientos ilícitos denominados, de manera genérica, delitos informáticos. Para lograr una investigación completa de la temática se establece la conceptualización respectiva del tema, generalidades asociadas al fenómeno, estadísticas mundiales sobre delitos informáticos, el efecto de éstos en diferentes áreas, como poder minimizar la amenaza de los delitos a través de la seguridad y aspectos de legislación informática. Vemos en el presente trabajo un amplio detalle de lo que significa el Delito Informático en un contexto global, la clase de Delitos Informáticos, sus diferentes conductas el Impacto sobre todo a nivel social, que es lo que mas nos interesa, sobre su seguridad contra los delitos informáticos, y la Legislación comparada. Tratamos con este trabajo de desarrollar y comparar el Delito Informático de conocimiento General a un conocimiento nacional, notar que en esta materia nos encontramos todavía muy retrasados en normatividad, apenas hay unos artículos referidos a este tipo de delitos y sus penalidades, en comparación a otros países que aun con sus avances en esta materia , continúan en la lucha para hacer una legislación mas globalizada y unilateral, en vista que este fenómeno es mayormente internacional, que para cometer un delito no hay que estar en el mismo lugar sino que puede darse desde otro país. 2. Objetivos Específicos.

� Conceptualizar la naturaleza de los Delitos Informáticos � Estudiar las características de este tipo de Delitos � Tipificar los Delitos de acuerdo a sus características principales � Investigar el impacto de éstos actos en la vida social y tecnológica de la

sociedad � Analizar las consideraciones oportunas en el tratamiento de los Delitos

Informáticos � Mencionar las empresas que operan con mayor riesgo de ser víctimas de ésta

clase de actos � Analizar la Legislatura que enmarca a ésta clase de Delitos, desde un contexto

Nacional e Internacional. � Definir el rol del auditor ante los Delitos Informáticos � Presentar los indicadores estadísticos referentes a éstos actos delictivos

3. Conceptualización y consideraciones. a. Conceptualización Según el ilustre penalista CUELLO CALON, los elementos integrantes del delito son: a) El delito es un acto humano, es una acción (acción u omisión) b) Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés jurídicamente protegido. c) Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto típico. d) El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción es imputable cuando puede ponerse a cargo de una determinada persona e) La ejecución u omisión del acto debe estar sancionada por una pena.

6

Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado, culpable y sancionado por una pena. Se podría definir el delito informático como: toda acción (acción u omisión) culpable realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en el entorno informático y está sancionado con una pena. De esta manera, el autor mexicano Julio TELLEZ VALDEZ señala que los delitos informáticos son "actitudes ilícitas en que se tienen a las computadoras como instrumento o fin (concepto atípico) o las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin (concepto típico)". Por su parte, el tratadista penal italiano Carlos SARZANA, sostiene que los delitos informáticos son "cualquier comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo". Por otra parte, Nidia Callegari (México) define al delito informático como “aquel que se da con la ayuda de la informática o de técnicas anexas”. De otro lado, Rafael Fernández Calvo (España) lo describe como “la realización de una acción que, reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo utilizando el elemento informático o telemático contra los derechos y libertades de los ciudadanos”. Asimismo, el Departamento de Investigación de la Universidad de México califica de delitos informáticos a “todas aquellas conductas ilícitas, susceptibles de ser sanciona-das por el Derecho Penal, que hacen uso indebido de cualquier medio informático”. Para Camacho el delito informático es toda acción dolosa que provoca un perjuicio a persona o entidades, sin que necesariamente conlleve un beneficio material para su autor o que, por el contrario produce un beneficio ilícito a su autor aun cuando no perjudique de forma directa o inmediata a la víctima y en cuya comisión interviene necesariamente de forma activa dispositivos habitualmente utilizados en las actividades informáticas. Por su parte Da Costa señala que debe equiparase con el fraude informática consistente en cualquier acción u omisión encaminada a eludir las disposiciones legales (fiscales, penales o civiles) siempre que con ello se produzcan perjuicios contra el Estado o contra terceros. Correa afirma que es el delito instrumentado mediante el uso del computador. La Organización para la Cooperación Económica y el Desarrollo ha definido al delito informática como cualquier conducta ilegal, no ética, o no autorizada que involucra el procesamiento automático de datos y o la transmisión de datos. Para Salt es la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Tiedemann lo define como aquel acto antijurídico que para su comisión se emplea un sistema automático de procesamiento de datos o de transmisión de datos. CONCEPTO: El delito informático es toda acción consciente y voluntaria que provoca un perjuicio a persona natural o jurídica sin que necesariamente conlleve a un

7

beneficio material para su autor, o que por el contrario produce un beneficio ilícito para su autor aun cuando no perjudique de forma directa o inmediata a la víctima, y en cuya comisión interviene indispensablemente de forma activa dispositivos normalmente utilizados en las actividades informáticas. b. Algunas consideraciones. El entorno en que se produce este delito el cual nos permitirá además darnos una idea de porque es tan complejo detectar los hechos ilícitos y cuyas características lo hacen un tipo de delito nuevo y diferente. La informática esta hoy presente en casi todos los campos de la vida moderna. Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos, y comienzan a utilizar los sistemas de Información para ejecutar tareas que en otros tiempos realizaban manualmente. El progreso cada día más importante y sostenido de los sistemas computacionales permite hoy procesar y poner a disposición de la sociedad una cantidad creciente de información de toda naturaleza, al alcance concreto de millones de interesados y de usuarios. Las más diversas esferas del conocimiento humano, en lo científico, en lo técnico, en lo profesional y en lo personal están siendo incorporadas a sistemas informáticos que, en la práctica cotidiana, de hecho sin limitaciones, entrega con facilidad a quien lo desee un conjunto de datos que hasta hace unos años sólo podían ubicarse luego de largas búsquedas y selecciones en que el hombre jugaba un papel determinante y las máquinas existentes tenían el rango de equipos auxiliares para imprimir los resultados. En la actualidad, en cambio, ese enorme caudal de conocimiento puede obtenerse, además, en segundos o minutos, transmitirse incluso documentalmente y llegar al receptor mediante sistemas sencillos de operar, confiables y capaces de responder casi toda la gama de interrogantes que se planteen a los archivos informáticos. Este es el panorama de este nuevo fenómeno científico tecnológico en las sociedades modernas. Por ello ha llegado a sostenerse que la Informática es hoy una forma de Poder Social. Las facultades que el fenómeno pone a disposición de Gobiernos y de particulares, con rapidez y ahorro consiguiente de tiempo y energía, configuran un cuadro de realidades de aplicación y de posibilidades de juegos lícito e ilícito, en donde es necesario el derecho para regular los múltiples efectos de una situación, nueva y de tantas potencialidades en el medio social. Los progresos mundiales de las computadoras, el creciente aumento de las capacidades de almacenamiento y procesamiento, la miniaturización de los chips de las computadoras instalados en productos industriales, la fusión del proceso de la información con las nuevas tecnologías de comunicación, así como la investigación en el campo de la inteligencia artificial, ejemplifican el desarrollo actual definido a menudo como la "era de la información". Esta marcha de las aplicaciones de la informática no sólo tiene un lado ventajoso sino que plantea también problemas de significativa importancia para el funcionamiento y la seguridad de los sistemas informáticos en los negocios, la administración, la defensa y la sociedad. Debido a esta vinculación, el aumento del nivel de los delitos relacionados con los sistemas informáticos registrados en la última década en los Estados Unidos, Europa Occidental, Australia y Japón, representa una amenaza para la economía de un país y también para la sociedad en su conjunto.

8

De acuerdo con la definición elaborada por un grupo de expertos, invitados por la OCDE a París en mayo de 1983, el término delitos relacionados con las computadoras se define como cualquier comportamiento antijurídico, no ético o no autorizado, relacionado con el procesado automático de datos y/o transmisiones de datos. La amplitud de este concepto es ventajosa, puesto que permite el uso de las mismas hipótesis de trabajo para toda clase de estudios penales, criminólogos, económicos, preventivos o legales. En la actualidad la informatización se ha implantado en casi todos los países. Tanto en la organización y administración de empresas y administraciones públicas como en la investigación científica, en la producción industrial o en el estudio e incluso en el ocio, el uso de la informática es en ocasiones indispensable y hasta conveniente. Sin embargo, junto a las incuestionables ventajas que presenta comienzan a surgir algunas facetas negativas, como por ejemplo, lo que ya se conoce como "criminalidad informática". El espectacular desarrollo de la tecnología informática ha abierto las puertas a nuevas posibilidades de delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales. Pero no sólo la cuantía de los perjuicios así ocasionados es a menudo infinitamente superior a la que es usual en la delincuencia tradicional, sino que también son mucho más elevadas las posibilidades de que no lleguen a descubrirse. Se trata de una delincuencia de especialistas capaces muchas veces de borrar toda huella de los hechos. En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La informática reúne unas características que la convierten en un medio idóneo para la comisión de muy distintas modalidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso a ellos y la relativamente fácil manipulación de esos datos. 4.- Características de los delitos Según el mexicano Julio Téllez Valdez, los delitos informáticos presentan las siguientes características principales: a.Son conductas criminales de cuello blanco (white collar crime), en tanto que sólo un determinado número de personas con ciertos conocimientos (en este caso técnicos) puede llegar a cometerlas. b.Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla trabajando. c.Son acciones de oportunidad, ya que se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico. d.Provocan serias pérdidas económicas, ya que casi siempre producen "beneficios" de más de cinco cifras a aquellos que las realizan. e.Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse. f.Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. g. Son muy sofisticados y relativamente frecuentes en el ámbito militar.

9

h.Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico. i.Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen siendo ilícitos impunes de manera manifiesta ante la ley. a. Sistemas y empresas con mayor riesgo. Evidentemente el artículo que resulta más atractivo robar es el dinero o algo de valor. Por razones similares, las empresas constructoras, bancos y compañías de seguros, están más expuestas a fraudes que las demás. Los sistemas mecanizados son susceptibles de pérdidas o fraudes debido a que:

� Tratan grandes volúmenes de datos e interviene poco personal, lo que impide verificar todas las partidas.

� Se sobrecargan los registros magnéticos, perdiéndose la evidencia auditable o la secuencia de acontecimientos.

� A veces los registros magnéticos son transitorios y a menos que se realicen pruebas dentro de un período de tiempo corto, podrían perderse los detalles de lo que sucedió, quedando sólo los efectos.

� Los sistemas son impersonales, aparecen en un formato ilegible y están controlados parcialmente por personas cuya principal preocupación son los aspectos técnicos del equipo y del sistema y que no comprenden, o no les afecta, el significado de los datos que manipulan.

� En el diseño de un sistema importante es difícil asegurar que se han previsto todas las situaciones posibles y es probable que en las previsiones que se hayan hecho queden huecos sin cubrir. Los sistemas tienden a ser algo rígidos y no siempre se diseñan o modifican al ritmo con que se producen los acontecimientos; esto puede llegar a ser otra fuente de "agujeros".

� Sólo parte del personal de proceso de datos conoce todas las implicaciones del sistema y el centro de cálculo puede llegar a ser un centro de información. Al mismo tiempo, el centro de cálculo procesará muchos aspectos similares de las transacciones.

� El error y el fraude son difíciles de equiparar. A menudo, los errores no son iguales al fraude. Cuando surgen discrepancias, no se imagina que se ha producido un fraude, y la investigación puede abandonarse antes de llegar a esa conclusión.

b. Delitos en perspectiva Los delitos pueden ser examinados desde dos puntos de vista diferentes:

� Los delitos que causan mayor impacto a las organizaciones. � Los delitos más difíciles de detectar.

Aunque depende en gran medida del tipo de organización, se puede mencionar que los Fraudes y sabotajes son los delitos de mayor incidencia en las organizaciones. Además, aquellos que no están claramente definidos y publicados dentro de la organización como un delito (piratería, mala utilización de la información, omisión deliberada de controles, uso no autorizado de activos y/o servicios computacionales; y que en algún momento pueden generar un impacto a largo plazo). Pero si se examina la otra perspectiva, referente a los delitos de difícil detección, se deben situar a aquellos producidos por las personas que trabajan internamente en una organización y que conocen perfectamente la configuración interna de las plataformas; especialmente cuando existe una cooperación entre empleados, cooperación entre empleados y terceros, o incluso el involucramiento de la administración misma.

10

5. Tipificación de los delitos informáticos 5.1. Clasificación Según la Actividad Informática 5.1.1. Sabotaje informático El término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos dirigidos a causar daños lógicos. 5.1.1.1. Conductas dirigidas a causar daños físicos El primer grupo comprende todo tipo de conductas destinadas a la destrucción «física» del hardware y el software de un sistema (por ejemplo: causar incendios o explosiones, introducir piezas de aluminio dentro de la computadora para producir cortocircuitos, echar café o agentes cáusticos en los equipos, etc. En general, estas conductas pueden ser analizadas, desde el punto de vista jurídico, en forma similar a los comportamientos análogos de destrucción física de otra clase de objetos previstos típicamente en el delito de daño. 5.1.1.2. Conductas dirigidas a causar daños lógicos El segundo grupo, más específicamente relacionado con la técnica informática, se refiere a las conductas que causan destrozos «lógicos», o sea, todas aquellas conductas que producen, como resultado, la destrucción, ocultación, o alteración de datos contenidos en un sistema informático. Este tipo de daño a un sistema se puede alcanzar de diversas formas. Desde la más simple que podemos imaginar, como desenchufar el ordenador de la electricidad mientras se esta trabajando con él o el borrado de documentos o datos de un archivo, hasta la utilización de los más complejos programas lógicos destructivos (crash programs), sumamente riesgosos para los sistemas, por su posibilidad de destruir gran cantidad de datos en un tiempo mínimo. Sin pretender realizar una clasificación rigurosa de estos métodos de destrucción lógica, podemos distinguir: a)Bombas lógicas (time bombs): En esta modalidad, la actividad destructiva del programa comienza tras un plazo, sea por el mero transcurso del tiempo (por ejemplo a los dos meses o en una fecha o a una hora determinada), o por la aparición de determinada señal (que puede aparecer o puede no aparecer), como la presencia de un dato, de un código, o cualquier mandato que, de acuerdo a lo determinado por el programador, es identificado por el programa como la señal para empezar a actuar. La jurisprudencia francesa registra un ejemplo de este tipo de casos. Un empleado programó el sistema de tal forma que los ficheros de la empresa se destruirían automáticamente si su nombre era borrado de la lista de empleados de la empresa. b) «cáncer de rutinas» («cáncer routine»). En esta técnica los programas destructivos tienen la particularidad de que se reproducen, por sí mismos, en otros programas, arbitrariamente escogidos. c)Una variante perfeccionada de la anterior modalidad es el «virus informático» que es un programa capaz de multiplicarse por sí mismo y contaminar los otros programas que se hallan en el mismo disco rígido donde fue instalado y en los datos y

11

programas contenidos en los distintos discos con los que toma contacto a través de una conexión. 5.1.2. Fraude a través de computadoras - Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas. Los distintos métodos para realizar estas conductas se deducen, fácilmente, de la forma de trabajo de un sistema informático: en primer lugar, es posible alterar datos, omitir ingresar datos verdaderos o introducir datos falsos, en un ordenador. Esta forma de realización se conoce como manipulación del input. Ulrich Sieber, cita como ejemplo de esta modalidad el siguiente caso tomado de la jurisprudencia alemana: Una empleada de un banco del sur de Alemania transfirió, en febrero de 1983, un millón trescientos mil marcos alemanes a la cuenta de una amiga - cómplice en la maniobra - mediante el simple mecanismo de imputar el crédito en una Terminal de computadora del banco. La operación fue realizada a primera hora de la mañana y su falsedad podría haber sido detectada por el sistema de seguridad del banco al mediodía. Sin embargo, la rápida transmisión del crédito a través de sistemas informáticos conectados en línea (on line), hizo posible que la amiga de la empleada retirara, en otra sucursal del banco, un millón doscientos ochenta mil marcos unos minutos después de realizada la operación informática. - En segundo lugar, es posible interferir en el correcto procesamiento de la información, alterando el programa o secuencia lógica con el que trabaja el ordenador. Esta modalidad puede ser cometida tanto al modificar los programas originales, como al adicionar al sistema programas especiales que introduce el autor. A diferencia de las manipulaciones del input que, incluso, pueden ser realizadas por personas sin conocimientos especiales de informática, esta modalidad es más específicamente informática y requiere conocimientos técnicos especiales. Sieber cita como ejemplo el siguiente caso, tomado de la jurisprudencia alemana: El autor, empleado de una importante empresa, ingresó al sistema informático un programa que le permitió incluir en los archivos de pagos de salarios de la compañía a «personas ficticias» e imputar los pagos correspondientes a sus sueldos a una cuenta personal del autor. Esta maniobra hubiera sido descubierta fácilmente por los mecanismos de seguridad del banco (listas de control, sumarios de cuentas, etc.) que eran revisados y evaluados periódicamente por la compañía. Por este motivo, para evitar ser descubierto, el autor produjo cambios en el programa de pago de salarios para que los «empleados ficticios» y los pagos realizados, no aparecieran en los listados de control. - Por último, es posible falsear el resultado, inicialmente correcto, obtenido por un ordenador: a esta modalidad se la conoce como manipulación del output. Una característica general de este tipo de fraudes, interesante para el análisis jurídico, es que, en la mayoría de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisión del hecho. Incluso, en los casos de “manipulación del programa”, la reiteración puede ser automática, realizada por el mismo sistema sin ninguna participación del autor y cada vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor

12

podría irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguiría imputando el pago de sueldos a los empleados ficticios en su cuenta personal. Una problemática especial plantea la posibilidad de realizar estas conductas a través de los sistemas de teleproceso. Si el sistema informático está conectado a una red de comunicación entre ordenadores, a través de las líneas telefónicas o de cualquiera de los medios de comunicación remota de amplio desarrollo en los últimos años, el autor podría realizar estas conductas sin ni siquiera tener que ingresar a las oficinas donde funciona el sistema, incluso desde su propia casa y con una computadora personal. Aún más, los sistemas de comunicación internacional, permiten que una conducta de este tipo sea realizada en un país y tenga efectos en otro. Respecto a los objetos sobre los que recae la acción del fraude informático, estos son, generalmente, los datos informáticos relativos a activos o valores. En la mayoría de los casos estos datos representan valores intangibles (ej.: depósitos monetarios, créditos, etc.), en otros casos, los datos que son objeto del fraude, representan objetos corporales (mercadería, dinero en efectivo, etc.) que obtiene el autor mediante la manipulación del sistema. En las manipulaciones referidas a datos que representan objetos corporales, las pérdidas para la víctima son, generalmente, menores ya que están limitadas por la cantidad de objetos disponibles. En cambio, en la manipulación de datos referida a bienes intangibles, el monto del perjuicio no se limita a la cantidad existente sino que, por el contrario, puede ser «creado» por el autor. Ejemplos: El autor, empleado del Citibank, tenía acceso a las terminales de computación de la institución bancaria. Aprovechando esta circunstancia utilizó, en varias oportunidades, las terminales de los cajeros, cuando ellos se retiraban, para transferir, a través del sistema informático, fondos de distintas cuentas a su cuenta personal. Posteriormente, retiró el dinero en otra de las sucursales del banco. En primera instancia el Juez calificó los hechos como constitutivos del delito de hurto en forma reiterada. La Fiscalía de Cámara solicitó el cambio de calificación, considerando que los hechos constituían el delito de estafa. La Cámara del crimen resolvió: «... y contestando a la teoría fiscal, entiendo que le asiste razón al Dr. Galli en cuanto sostiene que estamos en presencia del tipo penal de hurto y no de estafa. Ello es así porque el apoderamiento lo hace el procesado y no le entrega el banco por medio de un error, requisito indispensable para poder hablar de estafa. El apoderamiento lo hace el procesado directamente, manejando el sistema de computación. De manera que no hay diferencia con la maniobra normal del cajero, que en un descuido se apodera del dinero que maneja en caja y la maniobra en estudio en donde el apoderamiento del dinero se hace mediante el manejo de la computadora...» Como el lector advertirá, la resolución adolece de los problemas de adecuación típica a que hacíamos referencias más arriba. En realidad, el cajero no realizó la conducta de apoderamiento que exige el tipo penal del hurto ya que recibió el dinero de manos del cajero. En el caso de que se considere que el apoderamiento se produjo en el momento en el que el autor transfirió los fondos a su cuenta, el escollo de adecuación típica insalvable deriva de la falta de la «cosa mueble» como objeto del apoderamiento exigido por el tipo penal.

a) Estafas electrónicas: La proliferación de las compras telemáticas permite que aumenten también los casos de estafa. Se trataría en este caso de una dinámica comisiva que cumpliría todos los requisitos del delito de estafa, ya que además del engaño y el "animus defraudandi" existiría un engaño a la

13

persona que compra. No obstante seguiría existiendo una laguna legal en aquellos países cuya legislación no prevea los casos en los que la operación se hace engañando al ordenador.

b) "Pesca" u "olfateo" de claves secretas: Los delincuentes suelen engañar a los usuarios nuevos e incautos de la Internet para que revelen sus claves personales haciéndose pasar por agentes de la ley o empleados del proveedor del servicio. Los "sabuesos" utilizan programas para identificar claves de usuarios, que más tarde se pueden usar para esconder su verdadera identidad y cometer otras fechorías, desde el uso no autorizado de sistemas de computadoras hasta delitos financieros, vandalismo o actos de terrorismo.

c) Estratagemas: Los estafadores utilizan diversas técnicas para ocultar computadoras que se "parecen" electrónicamente a otras para lograr acceso a algún sistema generalmente restringido y cometer delitos. El famoso pirata Kevin Mitnick se valió de estratagemas en 1996 para introducirse en la computadora de la casa de Tsutomo Shimamura, experto en seguridad, y distribuir en la Internet valiosos útiles secretos de seguridad.

d) Juegos de azar: El juego electrónico de azar se ha incrementado a medida que el comercio brinda facilidades de crédito y transferencia de fondos en la Red. Los problemas ocurren en países donde ese juego es un delito o las autoridades nacionales exigen licencias. Además, no se puede garantizar un juego limpio, dadas las inconveniencias técnicas y jurisdiccionales que entraña su supervisión.

e) Fraude: Ya se han hecho ofertas fraudulentas al consumidor tales como la cotización de acciones, bonos y valores o la venta de equipos de computadora en regiones donde existe el comercio electrónico.

f) Blanqueo de dinero: Se espera que el comercio electrónico sea el nuevo lugar de transferencia electrónica de mercancías o dinero para lavar las ganancias que deja el delito, sobre todo si se pueden ocultar transacciones.

g) Copia ilegal de software y espionaje informático. Se engloban las conductas dirigidas a obtener datos, en forma ilegítima, de un sistema de información. Es común el apoderamiento de datos de investigaciones, listas de clientes, balances, etc. En muchos casos el objeto del apoderamiento es el mismo programa de computación (software) que suele tener un importante valor económico.

h) Infracción de los derechos de autor: La interpretación de los conceptos de copia, distribución, cesión y comunicación pública de los programas de ordenador utilizando la red provoca diferencias de criterio a nivel jurisprudencial.

i) Infracción del Copyright de bases de datos: No existe una protección uniforme de las bases de datos en los países que tienen acceso a Internet. El sistema de protección más habitual es el contractual: el propietario del sistema permite que los usuarios hagan "downloads" de los ficheros contenidos en el sistema, pero prohíbe el replicado de la base de datos o la copia masiva de información.

j) Uso ilegítimo de sistemas informáticos ajenos. Esta modalidad consiste en la utilización sin autorización de los ordenadores y los programas de un sistema informático ajeno. Este tipo de conductas es comúnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las empresas en los casos de abuso en el ámbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema.

k) Acceso no autorizado: La corriente reguladora sostiene que el uso ilegítimo de passwords y la entrada en un sistema informático sin la autorización del

14

propietario debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a protegerse con la contraseña es lo suficientemente importante para que el daño producido sea grave.

5.2 Delitos informáticos contra la privacidad. Grupo de conductas que de alguna manera pueden afectar la esfera de privacidad del ciudadano mediante la acumulación, archivo y divulgación indebida de datos contenidos en sistemas informáticos. Esta tipificación se refiere a quién, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o cualquier otro tipo de archivo o registro público o privado. Existen circunstancias agravantes de la divulgación de ficheros, los cuales se dan en función de: 1.El carácter de los datos: ideología, religión, creencias, salud, origen racial y vida sexual. 2. Las circunstancias de la víctima: menor de edad o incapaz. También se comprende la interceptación de las comunicaciones, la utilización de artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen o de cualquier otra señal de comunicación, se piensa que entre lo anterior se encuentra el pinchado de redes informáticas.

a) Interceptación de e-mail: En este caso se propone una ampliación de los preceptos que castigan la violación de correspondencia, y la interceptación de telecomunicaciones, de forma que la lectura de un mensaje electrónico ajeno revista la misma gravedad.

b) Pornografía infantil: La distribución de pornografía infantil por todo el mundo a través de la Internet está en aumento. Durante los pasados cinco años, el número de condenas por transmisión o posesión de pornografía infantil ha aumentado de 100 a 400 al año en un país norteamericano. El problema se agrava al aparecer nuevas tecnologías, como la criptografía, que sirve para esconder pornografía y demás material "ofensivo" que se transmita o archive.

5.3. Clasificación Según el Instrumento, Medio o Fin u Objetivo Asimismo, TELLEZ VALDEZ clasifica a estos delitos, de acuerdo a dos criterios: 5.3.1. Como instrumento o medio. En esta categoría se encuentran las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo: a. Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.) b. Variación de los activos y pasivos en la situación contable de las empresas. c. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude, etc.) d. Lectura, sustracción o copiado de información confidencial. e. Modificación de datos tanto en la entrada como en la salida. f.Aprovechamiento indebido o violación de un código para penetrar a un sistema introduciendo instrucciones inapropiadas. g.Variación en cuanto al destino de pequeñas cantidades de dinero hacia una cuenta bancaria apócrifa. h. Uso no autorizado de programas de cómputo. i.Introducción de instrucciones que provocan "interrupciones" en la lógica interna de los programas.

15

j. Alteración en el funcionamiento de los sistemas, a través de los virus informáticos. k.Obtención de información residual impresa en papel luego de la ejecución de trabajos. l. Acceso a áreas informatizadas en forma no autorizada. m. Intervención en las líneas de comunicación de datos o teleproceso. 5.3.2. Como fin u objetivo. En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, como por ejemplo: a. Programación de instrucciones que producen un bloqueo total al sistema. b. Destrucción de programas por cualquier método. c. Daño a la memoria. d. Atentado físico contra la máquina o sus accesorios. e.Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de los centros neurálgicos computarizados. f.Secuestro de soportes magnéticos entre los que figure información valiosa con fines de chantaje (pago de rescate, etc.). 5.4. Clasificación según Actividades Delictivas Graves Por otro lado, la red Internet permite dar soporte para la comisión de otro tipo de delitos:

a) Terrorismo: Mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. La existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en anónimo ha podido ser aprovechado por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. De hecho, se han detectado mensajes con instrucciones para la fabricación de material explosivo.

b) Narcotráfico: Transmisión de fórmulas para la fabricación de estupefacientes, para el blanqueo de dinero y para la coordinación de entregas y recogidas. Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la necesidad de medidas que permitan interceptar y descifrar los mensajes encriptados que utilizan los narcotraficantes para ponerse en contacto con los cárteles.

c) Espionaje: Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico del servicio secreto de los Estados Unidos, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Entre los casos más famosos podemos citar el acceso al sistema informático del Pentágono y la divulgación a través de Internet de los mensajes remitidos por el servicio secreto norteamericano durante la crisis nuclear en Corea del Norte en 1994, respecto a campos de pruebas de misiles. Aunque no parece que en este caso haya existido en realidad un acto de espionaje, se ha evidenciado una vez más la vulnerabilidad de los sistemas de seguridad gubernamentales.

d) Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.

e) Otros delitos: Las mismas ventajas que encuentran en la Internet los narcotraficantes pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revés.

16

5.5. Clasificación según un contexto general

a) Manipulación desde una Computadora a un Sistema de procesamiento de Datos.- Incluye comportamientos que registren cambio de datos o informaciones con la finalidad de obtener un beneficio económico, generalmente datos que representan activos, como por ejemplo depósitos de dinero, acreditaciones, créditos, o más bien relacionados a objetos físicos como por ejemplo la información sobre manejos de inventario. Su perpetración aumenta cuando se utilizan en mayor medida los llamados “cajeros automáticos” o los POS, que quiere decir puntos de venta.

b) Espiar, Fisgonear y Robar de Software.- Están relacionados a la obtención

de información de investigaciones, direcciones de clientes, proveedores, copiando programas y métodos para posteriormente ser entregadas a la competencia. La radiación electrónica que emite un Terminal de computadora puede ser captada y registrada sin mayor complicación desde cerca de un kilómetro del lugar de su instalación.

c) Sabotaje Informático.- Se refieren principalmente a la destrucción de datos y programas e inclusive de los equipos informáticos, así como la posibilidad de causar costos circuitos.

d) Robo de Servicios.- Se produce generalmente cuando los empleados o

dependientes utilizan sin autorización alguna las máquinas del empleador, para realizar trabajos para terceros o para beneficio particular. Según Tiedemann este es uno de los supuestos que requiere tipo penal específico.

e) Acceso No Autorizado a Sistemas de Procesamiento de Datos.- Se

produce cuando se entre a una base de datos ajena ya sea para obtención de información, destrucción de la misma, alterar por vía de artificio con el objeto de obtener dinero, bienes o información. De la misma forma también se incluye la modalidad que intercepta o interfiere alguna comunicación en la red de computadoras.

f) Defraudación en los negocios asistidos por un Computador.- Se refiere al

uso de computador para defraudar o desenmascarar acciones claramente punibles, como por ejemplo datos contables, planilla de sueldo de maestros, alteración o existencia o stock, etc.

5.6. Infracciones que no Constituyen Delitos Informáticos

a) Usos comerciales no éticos: Algunas empresas no han podido escapar a la tentación de aprovechar la red para hacer una oferta a gran escala de sus productos, llevando a cabo "mailings electrónicos" al colectivo de usuarios de un gateway, un nodo o un territorio determinado. Ello, aunque no constituye una infracción, es mal recibido por los usuarios de Internet, poco acostumbrados, hasta fechas recientes, a un uso comercial de la red.

b) Actos parasitarios: Algunos usuarios incapaces de integrarse en grupos de discusión o foros de debate online, se dedican a obstaculizar las comunicaciones ajenas, interrumpiendo conversaciones de forma repetida, enviando mensajes con insultos personales, etc. También se deben tomar en cuenta las obscenidades que se realizan a través de la Internet.

17

6. Estadísticas Sobre Delitos Informáticos. Desde hace cinco años, en los Estados Unidos existe una institución que realiza un estudio anual sobre la Seguridad Informática y los crímenes cometidos a través de las computadoras. Esta entidad es El Instituto de Seguridad de Computadoras (CSI), quien anunció recientemente los resultados de su quinto estudio anual denominado “Estudio de Seguridad y Delitos Informáticos” realizado a un total de 273 Instituciones principalmente grandes Corporaciones y Agencias del Gobierno. Este Estudio de Seguridad y Delitos Informáticos es dirigido por CSI con la participación Agencia Federal de Investigación (FBI) de San Francisco, División de delitos informáticos. El objetivo de este esfuerzo es levantar el nivel de conocimiento de seguridad, así como ayudar a determinar el alcance de los Delitos Informáticos en los Estados Unidos de Norteamérica. Entre lo más destacable del Estudio de Seguridad y Delitos Informáticos 2000 se puede incluir lo siguiente: Violaciones a la seguridad informática. Respuestas PORCENTAJE (%) No reportaron Violaciones de Seguridad 10% Reportaron Violaciones de Seguridad 90%

� 90% de los encuestados descubrió violaciones a la seguridad de las computadoras dentro de los últimos doce meses.

� �70% reportaron una variedad de serias violaciones de seguridad de las computadoras, y que el más común de estas violaciones son los virus de computadoras, robo de computadoras portátiles o abusos por parte de los empleados -- por ejemplo, robo de información, fraude financiero, penetración del sistema por intrusos y sabotaje de datos o redes.

Los resultados del estudio ilustran que esa amenaza del crimen por computadoras a las grandes corporaciones y agencias del gobierno viene de ambos lados dentro y fuera de sus perímetros electrónicos, confirmando la tendencia en años anteriores. Accesos no autorizados. 71% de los encuestados descubrieron acceso desautorizado por personas dentro de la empresa. Pero por tercer año consecutivo, la mayoría de encuestados (59%) mencionó su conexión de Internet como un punto frecuente de ataque, los que citaron sus sistemas interiores como un punto frecuente de ataque fue un 38%. Comercio electrónico. Por segundo año, se realizaron una serie de preguntas acerca del comercio electrónico por Internet. Aquí están algunos de los resultados: 1.93% de encuestados tienen sitios de WWW. 2.43% maneja el comercio electrónico en sus sitios (en 1999, sólo era un 30%). 3.19% experimentaron accesos no autorizados o inapropiados en los últimos doce meses. 4.32% dijeron que ellos no sabían si hubo o no, acceso no autorizado o inapropiado. 5.35% reconocieron haber tenido ataques, reportando de dos a cinco incidentes. 6.19% reportaron diez o más incidentes. 7.64% reconocieron ataques reportados por vandalismo de la Web.

18

8.8% reportaron robo de información a través de transacciones. 9.3% reportaron fraude financiero. Conclusión sobre el estudio csi: Las tendencias que el estudio de CSI/FBI ha resaltado por años son alarmantes. Los “Cyber crímenes” y otros delitos de seguridad de información se han extendido y diversificado. El 90% de los encuestados reportaron ataques. Además, tales incidentes pueden producir serios daños. Las 273 organizaciones que pudieron cuantificar sus pérdidas, informaron un total de $265,589,940. Claramente, la mayoría fueron en condiciones que se apegan a prácticas legítimas, con un despliegue de tecnologías sofisticadas, y lo más importante, por personal adecuado y entrenando, practicantes de seguridad de información en el sector privado y en el gobierno. Otras estadísticas:

a) La "línea caliente" de la Internet Watch Foundation (IWF), abierta en diciembre de 1996, ha recibido, principalmente a través del correo electrónico, 781 informes sobre unos 4.300 materiales de Internet considerados ilegales por usuarios de la Red. La mayor parte de los informes enviados a la "línea caliente" (un 85%) se refirieron a pornografía infantil. Otros aludían a fraudes financieros, racismo, mensajes maliciosos y pornografía de adultos.

b) Según datos recientes del Servicio Secreto de los Estados Unidos, se calcula

que los consumidores pierden unos 500 millones de dólares al año debido a los piratas que les roban de las cuentas online sus números de tarjeta de crédito y de llamadas. Dichos números se pueden vender por jugosas sumas de dinero a falsificadores que utilizan programas especiales para codificarlos en bandas magnéticas de tarjetas bancarias y de crédito, señala el Manual de la ONU.

c) Los delincuentes cibernéticos al acecho también usan el correo electrónico

para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Bárbara Jenson "Acecho cibernético: delito, represión y responsabilidad personal en el mundo online", publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada año.

d) En Singapur El número de delitos cibernéticos detectados en el primer

semestre del 2000, en el que se han recibido 127 denuncias, alcanza ya un 68 por ciento del total del año pasado, la policía de Singapur prevé un aumento este año en los delitos por Internet de un 38% con respecto a 1999.

e) En relación con Internet y la informática, la policía de Singapur estableció en

diciembre de 1999 una oficina para investigar las violaciones de los derechos de propiedad y ya ha confiscado copias piratas por valor de 9,4 millones de dólares.

7. Impacto de los delitos informáticos 7.1. Impacto a Nivel General A medida que se va ampliando la Internet, asimismo va aumentando el uso indebido de la misma. Los denominados delincuentes cibernéticos se pasean a su aire por el mundo virtual, incurriendo en delitos tales como el acceso sin autorización o "piratería informática", el fraude, el sabotaje informático, la trata de niños con fines pornográficos y el acecho. Los delincuentes de la informática son tan diversos como sus delitos; puede tratarse de estudiantes, terroristas o figuras del crimen organizado. Estos delincuentes pueden

19

pasar desapercibidos a través de las fronteras, ocultarse tras incontables "enlaces" o simplemente desvanecerse sin dejar ningún documento de rastro. Pueden despachar directamente las comunicaciones o esconder pruebas delictivas en "paraísos informáticos" - o sea, en países que carecen de leyes o experiencia para seguirles la pista. Otros delincuentes de la informática pueden sabotear las computadoras para ganarles ventaja económica a sus competidores o amenazar con daños a los sistemas con el fin de cometer extorsión. Los malhechores manipulan los datos o las operaciones, ya sea directamente o mediante los llamados "gusanos" o "virus", que pueden paralizar completamente los sistemas o borrar todos los datos del disco duro. Algunos virus dirigidos contra computadoras elegidas al azar; que originalmente pasaron de una computadora a otra por medio de disquetes "infectados"; también se están propagando últimamente por las redes, con frecuencia camuflados en mensajes electrónicos o en programas "descargados" de la red. Ej. En 1990, se supo por primera vez en Europa de un caso en que se usó a un virus para sonsacar dinero, cuando la comunidad de investigación médica se vio amenazada con un virus que iría destruyendo datos paulatinamente si no se pagaba un rescate por la "cura". Los delincuentes cibernéticos al acecho también usan el correo electrónico para enviar mensajes amenazantes especialmente a las mujeres. De acuerdo al libro de Bárbara Jenson "Acecho cibernético: delito, represión y responsabilidad personal en el mundo online", publicado en 1996, se calcula que unas 200.000 personas acechan a alguien cada año. Afirma la Sra. Jenson que una norteamericana fue acechada durante varios años por una persona desconocida que usaba el correo electrónico para amenazar con asesinarla, violar a su hija y exhibir la dirección de su casa en la Internet para que todos la vieran. Los delincuentes también han utilizado el correo electrónico y los "chat rooms" o salas de tertulia de la Internet para buscar presas vulnerables. Por ejemplo, los aficionados a la pedofilia se han ganado la confianza de niños online y luego concertado citas reales con ellos para explotarlos o secuestrarlos. El Departamento de Justicia de los Estados Unidos dice que se está registrando un incremento de la pedofilia por la Internet. Además de las incursiones por las páginas particulares de la Red, los delincuentes pueden abrir sus propios sitios para estafar a los clientes o vender mercancías y servicios prohibidos, como armas, drogas, medicamentos sin receta ni regulación y pornografía. 7.2. Impacto a Nivel Social La proliferación de los delitos informáticos ha hecho que nuestra sociedad sea cada vez más escéptica a la utilización de tecnologías de la información, las cuales pueden ser de mucho beneficio para la sociedad en general. Este hecho puede obstaculizar el desarrollo de nuevas formas de hacer negocios, por ejemplo el comercio electrónico puede verse afectado por la falta de apoyo de la sociedad en general. También se observa el grado de especialización técnica que adquieren los delincuentes para cometer éste tipo de delitos, por lo que personas con conductas maliciosas cada vez más están ideando planes y proyectos para la realización de actos delictivos, tanto a nivel empresarial como a nivel global.

20

También se observa que las empresas que poseen activos informáticos importantes, son cada vez más celosas y exigentes en la contratación de personal para trabajar en éstas áreas, pudiendo afectar en forma positiva o negativa a la sociedad laboral de nuestros tiempos. Aquellas personas que no poseen los conocimientos informáticos básicos, son más vulnerables a ser víctimas de un delito, que aquellos que si los poseen. En vista de lo anterior aquel porcentaje de personas que no conocen nada de informática (por lo general personas de escasos recursos económicos) pueden ser engañadas si en un momento dado poseen acceso a recursos tecnológicos y no han sido asesoradas adecuadamente para la utilización de tecnologías como la Internet, correo electrónico, etc. La falta de cultura informática puede impedir de parte de la sociedad la lucha contra los delitos informáticos, por lo que el componente educacional es un factor clave en la minimización de esta problemática. 7.3. Impacto en la Esfera Judicial Captura de delincuentes cibernéticos A medida que aumenta la delincuencia electrónica, numerosos países han promulgado leyes declarando ilegales nuevas prácticas como la piratería informática, o han actualizado leyes obsoletas para que delitos tradicionales, incluidos el fraude, el vandalismo o el sabotaje, se consideren ilegales en el mundo virtual. Singapur, por ejemplo, enmendó recientemente su Ley sobre el Uso Indebido de las Computadoras. Ahora son más severos los castigos impuestos a todo el que interfiera con las "computadoras protegidas" --es decir, las que están conectadas con la seguridad nacional, la banca, las finanzas y los servicios públicos y de urgencia-- así como a los transgresores por entrada, modificación, uso o intercepción de material computadorizado sin autorización. Hay países que cuentan con grupos especializados en seguir la pista a los delincuentes cibernéticos. Uno de los más antiguos es la Oficina de Investigaciones Especiales de la Fuerza Aérea de los Estados Unidos, creada en 1978. Otro es el de Investigadores de la Internet, de Australia, integrado por oficiales de la ley y peritos con avanzados conocimientos de informática. El grupo australiano recoge pruebas y las pasa a las agencias gubernamentales de represión pertinentes en el estado donde se originó el delito. Pese a estos y otros esfuerzos, las autoridades aún afrentan graves problemas en materia de informática. El principal de ellos es la facilidad con que se traspasan las fronteras, por lo que la investigación, enjuiciamiento y condena de los transgresores se convierte en un dolor de cabeza jurisdiccional y jurídico. Además, una vez capturados, los oficiales tienen que escoger entre extraditarlos para que se les siga juicio en otro lugar o transferir las pruebas --y a veces los testigos-- al lugar donde se cometieron los delitos. En 1992, los piratas de un país europeo atacaron un centro de computadoras de California. La investigación policial se vio obstaculizada por la doble tipificación penal --la carencia de leyes similares en los dos países que prohibían ese comportamiento-- y esto impidió la cooperación oficial, según informa el Departamento de Justicia de los Estados Unidos. Con el tiempo, la policía del país de los piratas se ofreció a ayudar, pero poco después la piratería terminó, se perdió el rastro y se cerró el caso.

21

Asimismo, en 1996 el Servicio de Investigación Penal y la Agencia Federal de Investigación (FBI) de los Estados Unidos le siguió la pista a otro pirata hasta un país sudamericano. El pirata informático estaba robando archivos de claves y alterando los registros en computadoras militares, universitarias y otros sistemas privados, muchos de los cuales contenían investigación sobre satélites, radiación e ingeniería energética. Los oficiales del país sudamericano requisaron el apartamento del pirata e incautaron su equipo de computadora, aduciendo posibles violaciones de las leyes nacionales. Sin embargo, los dos países no habían firmado acuerdos de extradición por delitos de informática sino por delitos de carácter más tradicional. Finalmente se resolvió la situación sólo porque el pirata accedió a negociar su caso, lo que condujo a que se declarara culpable en los Estados Unidos. Destrucción u ocultación de pruebas Otro grave obstáculo al enjuiciamiento por delitos cibernéticos es el hecho de que los delincuentes pueden destruir fácilmente las pruebas cambiándolas, borrándolas o trasladándolas. Si los agentes del orden operan con más lentitud que los delincuentes, se pierde gran parte de las pruebas; o puede ser que los datos estén cifrados, una forma cada vez más popular de proteger tanto a los particulares como a las empresas en las redes de computadoras. Tal vez la criptografía estorbe en las investigaciones penales, pero los derechos humanos podrían ser vulnerados si los encargados de hacer cumplir la ley adquieren demasiado poder técnico. Las empresas electrónicas sostienen que el derecho a la intimidad es esencial para fomentar la confianza del consumidor en el mercado de la Internet, y los grupos defensores de los derechos humanos desean que se proteja el cúmulo de datos personales archivados actualmente en ficheros electrónicos. Las empresas también recalcan que la información podría caer en malas manos, especialmente en países con problemas de corrupción, si los gobiernos tienen acceso a los mensajes en código. "Si los gobiernos tienen la clave para descifrar los mensajes en código, esto significa que personas no autorizadas --que no son del gobierno-- pueden obtenerlas y utilizarlas", dice el gerente general de una importante compañía norteamericana de ingeniería de seguridad. 7.4. Impacto en la Identificación de Delitos a Nivel Mundial. Las dificultades que enfrentan las autoridades en todo el mundo ponen de manifiesto la necesidad apremiante de una cooperación mundial para modernizar las leyes nacionales, las técnicas de investigación, la asesoría jurídica y las leyes de extradición para poder alcanzar a los delincuentes. Ya se han iniciado algunos esfuerzos al respecto. En el Manual de las Naciones Unidas de 1977 se insta a los Estados a que coordinen sus leyes y cooperen en la solución de ese problema. El Grupo de Trabajo Europeo sobre delitos en la tecnología de la informática ha publicado un Manual sobre el delito por computadora, en el que se enumeran las leyes pertinentes en los diversos países y se exponen técnicas de investigación, al igual que las formas de buscar y guardar el material electrónico en condiciones de seguridad. El Instituto Europeo de Investigación Antivirus colabora con las universidades, la industria y los medios de comunicación y con expertos técnicos en seguridad y asesores jurídicos de los gobiernos, agentes del orden y organizaciones encargadas de proteger la intimidad a fin de combatir los virus de las computadoras o "caballos de Troya". También se ocupa de luchar contra el fraude electrónico y la explotación de datos personales.

22

En 1997, los países del Grupo de los Ocho aprobaron una estrategia innovadora en la guerra contra el delito de "tecnología de punta". El Grupo acordó que establecería modos de determinar rápidamente la proveniencia de los ataques por computadora e identificar a los piratas, usar enlaces por vídeo para entrevistar a los testigos a través de las fronteras y ayudarse mutuamente con capacitación y equipo. También decidió que se uniría a las fuerzas de la industria con miras a crear instituciones para resguardar las tecnologías de computadoras, desarrollar sistemas de información para identificar casos de uso indebido de las redes, perseguir a los infractores y recabar pruebas. El Grupo de los Ocho ha dispuesto ahora centros de coordinación abiertos 24 horas al día, siete días a la semana para los encargados de hacer cumplir la ley. Estos centros apoyan las investigaciones de otros Estados mediante el suministro de información vital o ayuda en asuntos jurídicos, tales como entrevistas a testigos o recolección de pruebas consistentes en datos electrónicos. Un obstáculo mayor opuesto a la adopción de una estrategia del tipo Grupo de los Ocho a nivel internacional es que algunos países no tienen la experiencia técnica ni las leyes que permitirían a los agentes actuar con rapidez en la búsqueda de pruebas en sitios electrónicos --antes de que se pierdan-- o transferirlas al lugar donde se esté enjuiciando a los infractores. Casos de Impacto de los Delitos Informáticos Zinn, Herbert, Shadowhack. Herbert Zinn, (expulsado de la educación media superior), y que operaba bajo el seudónimo de “Shadowhawk”, fue el primer sentenciado bajo el cargo de Fraude Computacional y Abuso en 1986. Zinn tenia 16 y 17 cuando violo el acceso a AT&T y los sistemas del Departamento de Defensa. Fue sentenciado el 23 de enero de 1989, por la destrucción del equivalente a US $174,000 en archivos, copias de programas, los cuales estaban valuados en millones de dólares, además publico contraseñas y instrucciones de cómo violar la seguridad de los sistemas computacionales. Zinn fue sentenciado a 9 meses de cárcel y a una fianza de US$10,000. Se estima que Zinn hubiera podido alcanzar una sentencia de 13 años de prisión y una fianza de US$800,000 si hubiera tenido 18 años en el momento del crimen. Smith, David. Programador de 30 años, detenido por el FBI y acusado de crear y distribuir el virus que ha bloqueado miles de cuentas de correo, “Melissa”. Entre los cargos presentados contra él, figuran el de “bloquear las comunicaciones publicas” y de “dañar los sistemas informáticos”. Acusaciones que en caso de demostrarse en el tribunal podrían acarrearle una pena de hasta diez años de cárcel. Por el momento y a la espera de la decisión que hubiese tomado el juez, David Smith esta en libertad bajo fianza de 10.000 dólares. Melissa en su “corta vida” había conseguido contaminar a más de 100,000 ordenadores de todo el mundo, incluyendo a empresas como Microsoft, Intel, Compaq, administraciones públicas estadounidenses como la del Gobierno del Estado de Dakota del Norte y el Departamento del Tesoro. En España su “éxito” fue menor al desarrollarse una extensa campaña de información, que alcanzo incluso a las cadenas televisivas, alertando a los usuarios de la existencia de este virus. La detención de David Smith fue fruto de la colaboración entre los especialistas del FBI y de los técnicos del primer proveedor de servicios de conexión a Internet de los Estados Unidos, América On Line. Los ingenieros de América On Line colaboraron activamente en la investigación al descubrir que para propagar el virus,

23

Smith había utilizado la identidad de un usuario de su servicio de acceso. Además, como otros proveedores el impacto de Melissa había afectado de forma sustancial a buzones de una gran parte de sus catorce millones de usuarios. Fue precisamente el modo de actuar de Melissa, que remite a los cincuenta primeros inscritos en la agenda de direcciones del cliente de correo electrónico “Outlook Express”, centenares de documentos “Office” la clave para encontrar al autor del virus. Los ingenieros rastrearon los primeros documentos que fueron emitidos por el creador del virus, buscando encontrar los signos de identidad que incorporan todos los documentos del programa ofimático de Microsoft “Office” y que en más de una ocasión han despertado la alarma de organizaciones en defensa de la privacidad de los usuarios. Una vez desmontado el puzzle de los documentos y encontradas las claves se consiguió localizar al creador de Melissa. Sin embargo, la detención de Smith no significa que el virus haya dejado de actuar. Compañías informáticas siguen alertando que aún pueden quedar miles de usuarios expuestos a sus efectos, por desconocimiento o por no haber instalado en sus equipos sistemas antivíricos que frenen la actividad de Melissa u otros virus, que han venido apareciendo últimamente como Happy99 o Papa. Poulsen Kevin, Dark Dante. Diciembre de 1992 Kevin Poulsen, un pirata infame que alguna vez utilizo el alias de "Dark Dante" en las redes de computadoras es acusado de robar órdenes de tarea relacionadas con un ejercicio de la fuerza aérea militar americana. Se acusa a Poulsen del robo de información nacional bajo una sección del estatuto de espionaje federal y encara hasta 10 años en la cárcel. Siguió el mismo camino que Kevin Mitnick, pero es más conocido por su habilidad para controlar el sistema telefónico de Pacific Bell. Incluso llegó a "ganar" un Porsche en un concurso radiofónico, si su llamada fuera la 102, y así fue. Poulsen también crackeó todo tipo de sitios, pero él se interesaba por los que contenían material de defensa nacional. Esto fue lo que lo llevó a su estancia en la cárcel, 5 años, fue liberado en 1996, supuestamente "reformado". Que dicho sea de paso, es el mayor tiempo de estancia en la cárcel que ha comparecido un hacker. Holland, Wau y Wenery, Steffen. De visita en la NASA “Las dos de la madrugada, Hannover, ciudad Alemana, estaba en silencio. La primavera llegaba a su fin, y dentro del cuarto cerrado el calor ahogaba. Hacía rato que Wau Holland y Steffen Wernery permanecían sentados frente a la pantalla de una computadora, casi inmóviles, inmersos en una nube de humo cambiando ideas en susurros. - Desde acá tenemos que poder llegar. –murmuró Wau. - Mse. Hay que averiguar cómo –contestó Steffen. - Probemos algunos. Siempre eligen nombres relacionados con la astronomía, ¿No? - Tengo un mapa estelar: usémoslo. Con el libro sobre la mesa, teclearon uno a uno y por orden, los nombres de las diferentes constelaciones. - "Acceso Denegado" –leyó Wau-; maldición, tampoco es este - Quizá nos esté faltando alguna indicación. Calma. Pensemos. "set" y "host" son imprescindibles... -obvio; además, es la fórmula. Probemos de nuevo ¿Cuál sigue? - Las constelaciones se terminaron. Podemos intentar con las estrellas. A ver... ¿Castor, una de las dos más brillantes de Géminis? - Set Host Castor deletreó Wau mientras tecleaba.

24

Cuando la computadora comenzó a ronronear, Wau Holland y Steffen Wernery supieron que habían logrado su objetivo. Segundos más tarde la pantalla mostraba un mensaje: "Bienvenidos a las instalaciones VAX del cuartel general, de la NASA". Wau sintió un sacudón y atinó a escribir en su cuaderno: "Lo logramos, por fin... Sólo hay algo seguro, la infinita inseguridad de la seguridad". El 2 de mayo de 1987, los dos hackers alemanes, de 23 y 20 años respectivamente, ingresaron sin autorización al sistema de la central de investigaciones aerospaciales más grande del mundo.- ¿Por qué lo hicieron? –Preguntó meses después un periodista norteamericano. - Porque es fascinante. En este mundo se terminaron las aventuras. Ya nadie puede salir a cazar dinosaurios o a buscar oro. La única aventura posible –respondió Steffen, está en la pantalla de un ordenador. Cuando advertimos que los técnicos nos habían detectado, les enviamos un telex: "Tememos haber entrado en el peligroso campo del espionaje industrial, el crimen económico, el conflicto este-oeste y la seguridad de los organismos de alta tecnología. Por eso avisamos, y paramos el juego". - El juego puede costar muchas vidas...- ¡Ni media vida! La red en que entramos no guarda información ultrasecreta; en este momento tiene 1,600 subscriptores y 4,000 clientes flotantes. Con esos datos, Steffen anulaba la intención de presentarlos como sujetos peligrosos para el resto de la humanidad". (Hackers, la guerrilla informática - Raquel Roberti). Murphy Ian, Captain Zap. En julio de 1981 Ian Murphy, un muchacho de 23 años que se autodenominaba “Captain Zap”, gana notoriedad cuando entra a los sistemas en la Casa Blanca, el Pentágono, BellSouth Corp. TRW y deliberadamente deja su currículum. En 1981, no había leyes muy claras para prevenir el acceso no autorizado a las computadoras militares o de la casa blanca. En ese entonces Ian Murphy de 24 años de edad, conocido en el mundo del hacking como "Captain Zap,". Mostró la necesidad de hacer mas clara la legislación cuando en compañía de un par de amigos y usando una computadora y una línea telefónica desde su hogar viola los accesos restringidos a compañías electrónicas, y tenía acceso a órdenes de mercancías, archivos y documentos del gobierno. "Nosotros usamos los a la Casa Blanca para hacer llamadas a líneas de bromas en Alemania y curiosear archivos militares clasificados" Explico Murphy. "El violar accesos nos resultaba muy divertido”. La Banda de hackers fue finalmente puesta a disposición de la ley". Con cargos de robo de propiedad, Murphy fue multado por US $1000 y sentenciado a 2 ½ años de prueba. Morris Robert. En noviembre de 1988, Morris lanzo un programa “gusano” diseñado por el mismo para navegar en Internet, buscando debilidades en sistemas de seguridad, y que pudiera correrse y multiplicarse por sí solo. La expansión exponencial de este programa causó el consumo de los recursos de muchísimas computadoras y que más de 6000 sistemas resultaron dañados o fueron seriamente perjudicados. Eliminar al gusano de sus computadoras causo a las víctimas muchos días de productividad perdidos, y millones de dólares. Se creo el CERT (Equipo de respuesta de emergencias computacionales) para combatir problemas similares en el futuro. Morris fue condenado y sentenciado a tres años de libertad condicional, 400 horas de

25

servicio comunitario y US $10,000 de fianza, bajo el cargo de Fraude computacional y abuso. La sentencia fue fuertemente criticada debido a que fue muy ligera, pero reflejaba lo inocuo de las intenciones de Morris más que el daño causado. El gusano producido por Morris no borra ni modifica archivos en la actualidad. 8. Seguridad contra los delitos informáticos. 8.1. Seguridad en Internet Las agencias de gobierno y los bancos tienen gran preocupación en dar información confidencial a personas no autorizadas. Las corporaciones también se preocupan en dar información a los empleados, quienes no están autorizados al acceso de esa información o quien trata de curiosear sobre una persona o empleado. Las organizaciones se preocupan que sus competidores tengan conocimiento sobre información patentada que pueda dañarlos. Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del término de la seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar "algo seguro ". "Algo" puede ser un objeto, tal como un secreto, mensaje, aplicación, archivo, sistema o una comunicación interactiva. "Seguro" los medios son protegidos desde el acceso, el uso o alteración no autorizada. Para guardar objetos seguros, es necesario lo siguiente: •La autenticación (promesa de identidad), es decir la prevención de suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser. •La autorización (se da permiso a una persona o grupo de personas de poder realizar ciertas funciones, al resto se le niega el permiso y se les sanciona si las realizan). •La privacidad o confidencialidad, es el más obvio de los aspectos y se refiere a que la información solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicación de los datos. La transmisión a través de un medio presenta múltiples oportunidades para ser interceptada y copiada: las líneas "pinchadas" la intercepción o recepción electromagnética no autorizada o la simple intrusión directa en los equipos donde la información está físicamente almacenada. Son los requerimientos básicos para la seguridad, que deben proveerse de una manera confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se está asegurado. La importancia de lo que se está asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar niveles más altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino también para el mundo físico. En la tabla siguiente se presenta una relación de los intereses que se deben proteger y sus requerimientos relacionados: Intereses Requerimientos Fraude Autenticación Acceso no Autorizado Autorización Curiosear Privacidad Alteración de Mensaje Integridad de Datos Desconocido No - Rechazo

26

8.2. Medidas de seguridad de la red. Existen numerosas técnicas para proteger la integridad de los sistemas. Lo primero que se debe hacer es diseñar una política de seguridad. En ella, definir quiénes tienen acceso a las diferentes partes de la red, poner protecciones con contraseñas adecuadas a todas las cuentas, y preocuparse de hacerlas cambiar periódicamente (Evitar las passwords "por defecto" o demasiado obvias). a. Firewalls. Existen muchas y muy potentes herramientas de cara a la seguridad de una red informática. Una de las maneras drásticas de no tener invasores es la de poner murallas. Los mecanismos más usados para la protección de la red interna de otras externas son los firewalls o cortafuegos. Estos tienen muchas aplicaciones, entre las más usadas está:

o Packet filter (filtro de paquetes). Se basa en el tratamiento de los paquetes IP a los que aplica unas reglas de filtrado que le permiten discriminar el tráfico según nuestras indicaciones. Normalmente se implementa mediante un router. Al tratar paquetes IP, los filtros que podremos establecer serán a nivel de direcciones IP, tanto fuente como destino.

o Cortafuegos filtro de paquetes ejemplarizado en un router. La lista de filtros

se aplican secuencialmente, de forma que la primera regla que el paquete cumpla marcará la acción a realizar (descartarlo o dejarlo pasar). La aplicación de las listas de filtros se puede hacer en el momento de entrada del paquete o bien en el de salida o en ambos. La protección centralizada es la ventaja más importante del filtrado de paquetes. Con un único enrutador con filtrado de paquetes situado estratégicamente puede protegerse toda una red.

b. Firma digital. El cifrado con clave pública permite generar firmas digitales que hacen posible certificar la procedencia de un mensaje, en otras palabras, asegurar que proviene de quien dice. De esta forma se puede evitar que alguien suplante a un usuario y envíe mensajes falsos a otro usuario, por la imposibilidad de falsificar la firma. Además, garantizan la integridad del mensaje, es decir, que no ha sido alterado durante la transmisión. La firma se puede aplicar a un mensaje completo o puede ser algo añadido al mensaje. Las firmas son especialmente útiles cuando la información debe atravesar redes sobre las que no se tiene control directo y, en consecuencia, no existe posibilidad de verificar de otra forma la procedencia de los mensajes. Existen varios métodos para hacer uso de la firma digital, uno de ellos es el siguiente: “quien envía el mensaje lo codifica con su clave privada. Para descifrarlo, sólo puede hacerse con la clave pública correspondiente a dicha persona o institución. Si efectivamente con dicha clave se descifra es señal de que quien dice que envió el mensaje, realmente lo hizo”. Firma digital formada encriptando con la clave privada del emisor: Firma Digital y Autentificación E: Encriptar / D: Desencriptar. KP : Encriptación utilizando la Clave Privada. KV : Encriptación utilizando la Clave Pública. M : Mensaje.

27

c. Seguridad en WWW. ¿Es posible hacer un formulario seguro? Para hacer un formulario se debe tener un servidor seguro. En primer lugar los formularios pueden tener "agujeros" a través de los que un hacker hábil, incluso poco hábil, puede "colar" comandos. La red es totalmente pública y abierta, los paquetes pasan por máquinas de las que no se tiene conocimiento y a las que puede tener acceso la gente que le guste husmear el tráfico de la red. Si es así (y no tienen que ser necesariamente hackers malintencionados, algunos proveedores de servicio lo hacen) sólo se puede recurrir a encriptar el tráfico por medio, en WWW, de servidores y clientes seguros. 9. Legislación sobre delitos informáticos a. Panorama general La legislación sobre protección de los sistemas informáticos ha de perseguir acercarse lo más posible a los distintos medios de protección ya existentes, creando una nueva regulación sólo en aquellos aspectos en los que, basándose en las peculiaridades del objeto de protección, sea imprescindible. Si se tiene en cuenta que los sistemas informáticos, pueden entregar datos e informaciones sobre miles de personas, naturales y jurídicas, en aspectos tan fundamentales para el normal desarrollo y funcionamiento de diversas actividades como bancarias, financieras, tributarias, previsionales y de identificación de las personas. Y si a ello se agrega que existen Bancos de Datos, empresas o entidades dedicadas a proporcionar, si se desea, cualquier información, sea de carácter personal o sobre materias de las más diversas disciplinas a un Estado o particulares; se comprenderá que están en juego o podrían ha llegar a estarlo de modo dramático, algunos valores colectivos y los consiguientes bienes jurídicos que el ordenamiento jurídico institucional debe proteger. No es la amenaza potencial de la computadora sobre el individuo lo que provoca desvelo, sino la utilización real por el hombre de los sistemas de información con fines de espionaje. No son los grandes sistemas de información los que afectan la vida privada sino la manipulación o el consentimiento de ello, por parte de individuos poco conscientes e irresponsables de los datos que dichos sistemas contienen. La humanidad no esta frente al peligro de la informática sino frente a la posibilidad real de que individuos o grupos sin escrúpulos, con aspiraciones de obtener el poder que la información puede conferirles, la utilicen para satisfacer sus propios intereses, a expensas de las libertades individuales y en detrimento de las personas. Asimismo, la amenaza futura será directamente proporcional a los adelantos de las tecnologías informáticas. La protección de los sistemas informáticos puede abordarse tanto desde una perspectiva penal como de una perspectiva civil o comercial, e incluso de derecho administrativo. Estas distintas medidas de protección no tienen porque ser excluyentes unas de otras, sino que, por el contrario, éstas deben estar estrechamente vinculadas. Por eso, dadas las características de esta problemática sólo a través de una protección global, desde los distintos sectores del ordenamiento jurídico, es posible alcanzar una cierta eficacia en la defensa de los ataques a los sistemas informáticos. Análisis legislativo

28

En la mayoría de las naciones occidentales existen normas similares a los países europeos. Todos estos enfoques están inspirados por la misma preocupación de contar con comunicaciones electrónicas, transacciones e intercambios tan confiables y seguros como sea posible. Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aún cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes. El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encontrarse en un empleado del sector de procesamiento de datos. Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los "delitos informáticos", los estudiosos en la materia los han catalogado como "delitos de cuello blanco" término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943. Efectivamente, este conocido criminólogo señala un sinnúmero de conductas que considera como "delitos de cuello blanco", aún cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos, y dentro de las cuales cabe destacar las "violaciones a las leyes de patentes y fábrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasión de impuestos, las quiebras fraudulentas, corrupción de altos funcionarios, entre otros". Asimismo, este criminólogo estadounidense dice que tanto la definición de los "delitos informáticos" como la de los "delitos de cuello blanco" no son de acuerdo al interés protegido, como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. Entre las características en común que poseen ambos delitos tenemos que: “El sujeto activo del delito es una persona de cierto status socioeconómico, su comisión no puede explicarse por pobreza ni por mala habitación, ni por carencia de recreación, ni por baja educación, ni por poca inteligencia, ni por inestabilidad emocional”. Es difícil elaborar estadísticas sobre ambos tipos de delitos. Sin embargo, la cifra es muy alta; no es fácil descubrirlo y sancionarlo, en razón del poder económico de quienes lo cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad; la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a sí mismos "respetables" otra coincidencia que tienen estos tipos de delitos es que, generalmente, “son objeto de medidas o sanciones de carácter administrativo y no privativos de la libertad”.

29

Por su parte, el “Manual de la Naciones Unidas para la Prevención y Control de Delitos Informáticos” señala que cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informáticos constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional concertada. Asimismo, la ONU resume de la siguiente manera a los problemas que rodean a la cooperación internacional en el área de los delitos informáticos:

� Falta de acuerdos globales acerca de que tipo de conductas deben constituir delitos informáticos.

� Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas.

� Falta de especialización de las policías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos.

� Falta de armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos.

� Carácter transnacional de muchos delitos cometidos mediante el uso de computadoras.

� Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.

b. Legislación - contexto internacional De esta manera se da tratamiento en la legislación comparada: En el contexto internacional, son pocos los países que cuentan con una legislación apropiada. Entre ellos, se destacan, Estados Unidos, Alemania, Austria, Gran Bretaña, Holanda, Francia, España, Argentina y Chile. Dado lo anterior a continuación se mencionan algunos aspectos relacionados con la ley en los diferentes países, así como con los delitos informáticos que persigue. Estados Unidos. Este país adoptó en 1994 el Acta Federal de Abuso Computacional que modificó al Acta de Fraude y Abuso Computacional de 1986. Con la finalidad de eliminar los argumentos hipertécnicos acerca de qué es y que no es un virus, un gusano, un caballo de Troya y en que difieren de los virus, la nueva acta proscribe la transmisión de un programa, información, códigos o comandos que causan daños a la computadora, a los sistemas informáticos, a las redes, información, datos o programas. La nueva ley es un adelanto porque está directamente en contra de los actos de transmisión de virus. Asimismo, en materia de estafas electrónicas, defraudaciones y otros actos dolosos relacionados con los dispositivos de acceso a sistemas informáticos, la legislación estadounidense sanciona con pena de prisión y multa, a la persona que defraude a otro mediante la utilización de una computadora o red informática. En el mes de Julio del año 2000, el Senado y la Cámara de Representantes de este país -tras un año largo de deliberaciones- establece el Acta de Firmas Electrónicas en el Comercio Global y Nacional. La ley sobre la firma digital responde a la necesidad de dar validez a documentos informáticos -mensajes electrónicos y contratos establecidos mediante Internet- entre empresas (para el B2B) y entre empresas y consumidores (para el B2C).

30

En el Estado de California en 1992 se adoptó la Ley de Privacidad en la que se contempla los delitos informáticos. Alemania. En Alemania, para hacer frente a esta problemática el 15 de mayo de 1986, se adoptó la Segunda Ley contra la Criminalidad Económica, la misma que contempla la incorporación de los siguientes delitos: 1. - Espionaje de datos (art. 202) 2. - Estafa Informática (art. 263) 3. - Falsificación de datos probatorios (art. 269) 4. - Alteración de datos (art. 303 a.): Considera ilícito cancelar inutilizar o alterar datos. Considera punible la tentativa. 5. - Sabotaje informático (art. 303 b.): Considera la destrucción de base de datos con especial significado. La destrucción, deterioro, inutilización eliminación o alteración de un sistema de datos. Igualmente es punible la tentativa. 6. - Utilización abusiva de cheque o tarjeta de crédito (art. 266 b.) Austria. Se ha reformado el Código Penal el 22 de Diciembre de 1987, la ley de reforma incluye los siguientes delitos: 1. - Destrucción de datos (art. 126) Se incluyen en la regulación no solo los datos personales sino también los considerados no personales y los programas. 2. - Estafa Informática (art. 148) En este artículo se sanciona a aquellos que con dolo causen un perjuicio patrimonial a un tercero incluyendo la confección de programas, la introducción o cancelación o alteración de datos. Además contempla agravantes para quienes cometen este hecho poseyendo información especializada por razón de su profesión. Gran Bretaña. Debido a un caso de hacking en 1991, comenzó a regir en este país la Computer Misuse Act (Ley de Abusos Informáticos). Mediante esta ley el intento, exitoso o no, de alterar datos informáticos es penado con hasta cinco años de prisión o multas. Esta ley tiene un apartado que específica la modificación de datos sin autorización. Holanda. El 1º de Marzo de 1993 entró en vigencia la Ley de Delitos Informáticos, en la cual se penaliza los siguientes delitos:

� El hacking. � El preacking (utilización de servicios de telecomunicaciones evitando el pago

total o parcial de dicho servicio). � La ingeniería social (arte de convencer a la gente de entregar información que

en circunstancias normales no entregaría). � La distribución de virus.

Francia. La Ley No. 88-19 del 05 de Enero de 1988 sobre Fraude Informático tipificó a si mismo los siguientes delitos: 1. Acceso Fraudulento a un Sistema de Elaboración de Datos (art. 462-2). 2. Sabotaje Informático (art. 462-3): Se sancione a quien impida o falsee el funcionamiento automático de datos. 3. Destrucción de Datos (art. 462-4).

31

4. Falsificación de Documentos Informatizados (art. 465): Se sanciona a quien de cualquier modo falsifique documentos informatizados con intención de causar un perjuicio a otros. 5. Uso de Documentos Informatizados Falsos (art. 462-6). España. En el Nuevo Código Penal de España, se establece que al que causare daños en propiedad ajena, se le aplicará pena de prisión o multa. En lo referente a:

� La realización por cualquier medio de destrucción, alteración, inutilización o cualquier otro daño en los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos.

� El nuevo Código Penal de España sanciona en forma detallada esta categoría delictual (Violación de secretos/Espionaje/Divulgación), aplicando pena de prisión y multa.

� En materia de estafas electrónicas, el nuevo Código Penal de España, solo tipifica las estafas con ánimo de lucro valiéndose de alguna manipulación informática, sin detallar las penas a aplicar en el caso de la comisión del delito.

Chile. Chile fue el primer país latinoamericano en sancionar una Ley contra delitos informáticos, la cual entró en vigencia el 7 de junio de 1993. Esta ley se refiere a los siguientes delitos:

� La destrucción o inutilización de los de los datos contenidos dentro de una computadora es castigada con penas de prisión. Asimismo, dentro de esas consideraciones se encuentran los virus.

� Conducta maliciosa tendiente a la destrucción o inutilización de un sistema de tratamiento de información o de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento.

� Conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información.

32

CAP. II. DELITOS INFORMATICOS EN EL PERU 1. Introducción El avance vertiginoso de la tecnología permite en mayor proporción horizontes inimaginables que duda cabe, bastaría con mencionar sólo a tres ejemplos de nuestro tiempo: el facsímil, la televisión por cable o los teléfonos celulares. Pero en realidad son con las computadoras que las cosas cambiaron para siempre. El uso frecuente de computadoras y de la posibilidad de su interconexión a nivel global da lugar a un verdadero fenómeno de nuevas dimensiones denominado: El Delito Informático. Los tipos penales tradicionales resultan en muchos países inadecuados para encuadrar estas nuevas formas delictivas, tal como sucedería en el caso de interferencia en una red bancaria para obtener mediante una orden electrónica un libramiento ilegal de fondos o la destrucción de determinados antecedentes de crédito o la supresión de datos contables por ejemplo para citar algunos casos. El tema plantea complejas aristas para el derecho y para los hombres dedicados a la creación, interpretación y aplicación de las leyes pues parece no haber sido suficientemente considerado. Bastaría para realizarlo tener una computadora conectada a una red de transmisión de datos, compuesta por un puerto serie, un emulador Terminal, un módem -dispositivo que proviene de la contracción de las palabras modulador demodulador - un periférico electrónico que facilita la comunicación entre computadoras por vía telefónica y descubrir aunque sea a veces, por casualidad la clave de acceso a la información ingresando de esta manera indebidamente a un sistema informático para así consumar el delito, -sin contar claro -con la ayuda de los numerosos manuales de navegantes piratas. En toda instalación informática se dan inexorablemente las circunstancias idóneas para la comisión de los delitos informáticos Esta ilícitos penales se pueden realizar ya sea por transferencia electrónica de fondos, banca domiciliaria, cajeros automáticos o puntos de venta. En el caso de la transferencia electrónica de fondos ha sido contemplado parcialmente en el Código Penal, no así en los otros casos en los cuales como se verá más adelante, a pesar de contarse con el Número de Identificación Personal o NIP, el ilícito es completamente posible. 2. Derecho penal como expresión del control social de las nuevas formas delictivas. El derecho penal -no exclusivamente- asume la misión de proteger bienes jurídicos frente a la eventualidad de ser lesionados, violados, o ante la posibilidad de ponerlos en peligro. Se persigue por consiguiente, proteger bienes jurídicos que la sociedad considera valiosos como por ejemplo la vida, la libertad, la salud, la seguridad, el patrimonio recogiendo por medio de la prohibición plasmada en el “texto” de la norma las conductas socialmente prohibidas. Más aún, el bien jurídico es calificado como todo valor de vida humana protegido por el derecho. También existen valores no solo individuales sino sociales que alcanzan protección debida. Con la finalidad de poder convivir con los demás dentro de la comunidad

33

confiando en que se respete la propia libertad de manera que se respete la de los demás. Nuevos bienes jurídicos supraindividuales, colectivos aparecen en escena estimulando naturalmente al Estado a que amplíe su intervención enriqueciéndola y mejorándola precisando los nuevos valores protegidas que de lo contrario quedaran impunes. En realidad esto hace que una convivencia sea pacífica en sociedad y por ello protegidas por el poder coactivo del Estado a través de sanción por intermedio de la pena. Es imposible pensar una sociedad que renuncie al control social. No cabe por lo tanto la posibilidad de la impunidad de las conductas como norma general para los que infringen la norma social. El derecho penal ingresa de esta manera con sus características propias, e instrumentos a completar el control social de forma subsidiaria donde los controles sociales no han funcionado. Es entonces la única institución que dispone sanciones para los que violan las normas graduándolas además, de acuerdo a los niveles de la infracción la protección de intereses humanos ante la agresión por conductas graves o intolerables, de infractores de las normas, nuevas formas de delito que atacan bienes colectivos que menoscaban el sistema y de derechos colectivos. 3. Delimitación del tema La informática es la ciencia tanto teórica como práctica en el tratamiento de la información. Nos permite elaborar, conservar y recuperar la información en forma significativa. La informática permite manejar gran volumen de información procesando en forma rápida aquello que es repetitivo, simplificando el trabajo del hombre. Los delitos informáticos pueden dividirse a su vez en tres grandes grupos: a) Aquellos que se cometen con el uso indebido o manipulación fraudulenta de elementos informáticos de cualquier tipo. b) Acciones físicas que atenta contra la integridad de los equipos informáticos destinado a causar un perjuicio no sólo por destrucción de activos sino para paralizar sus actividades. c) Los delitos relacionados con la propiedad intelectual o copia indebida de programas informáticos generalmente de manera informal. Las conductas de la primera clasificación es decir, aquellas que se refieren al uso indebido de elementos informáticos de cualquier tipo, las cuales deberían ser adecuadamente tipificadas en especial por incrementarse el uso de computadoras cada vez más sofisticadas, cajeros automáticos modernos, o los llamados puntos de venta automatizados llenando de esta manera una laguna legal que en las circunstancias actuales gozan de total impunidad. 4. - Elementos distintivos Consideramos tres: 1. - El Sujeto.- El autor de la conducta ilícita o delictiva. 2. - El Medio.- El sistema informática por medio del cual se lleva a cabo la acción. 3. - El Objeto.- El bien que produce el beneficio económico o ilícito.

34

5. - Características del delito informático 5.1. Acumulación de la Información.- La tendencia generalizada de centralizar y consolidar la información corporativa en grandes bases de datos, sobre la cual interactúan numerosos usuarios, posibilita considerablemente el acceso a cualquier tipo de información, una vez que se han penetrado las medidas de seguridad o control de acceso. 5.2. Inexistencia de Registros Visibles.- La información grabada se registra en impulsos eléctricos sobre soportes magnéticos que son ilegibles para el ojo humano. Con lo cual la posibilidad de descubrir un hecho delictivo por simple inspección ocular resulta nula e imposible. 5.3. Falta de Evidencias en la Alteración de Datos y Programas.- La alteración de programas y datos pregrabados en soportes magnéticos pueden hacerse sin dejar rastro alguno, ya que no existirán indicios del ingreso de un extraño al sistema. 5.4. Eliminación de las Pruebas.- Es sumamente fácil en caso de ser descubierto, desaparecer programas manipulados o ficheros completos de datos alterados desde el teclado de una computadora tan sólo pulsando una tecla o enviando una instrucción de borrado lo cual puede posteriormente reportarse como error fortuito. 5.5. Especialidad del Entorno Técnico.- Incluso los sistemas más sencillos presentan gran complejidad en términos de la capacidad técnica y en el tiempo necesario para entender en detalle lo que realiza el sistema y de la forma como lo ejecuta. Generalmente y después de corto tiempo los usuarios comienzan a aceptar la integridad del sistema sin cuestionárselo, sobre todo si ha sido diseñado para que la intervención humana sea cada vez más mínima. 5.6. Dificultad para Proteger Ficheros o Archivos.- La protección de la información almacenada en soportes magnéticos es muy compleja. 5.7. Concentración de Funciones.- La separación de funciones incompatibles generalmente no existe en los centros de procesos de datos, especialmente en los de dimensiones mediana y pequeña en los que predominan los conceptos de funcionalidad y versatilidad del personal sobre la seguridad. 5.8. Falta de Controles Internos de Seguridad.- La inexistencia del desarrollo de programas de software de medidas de control interno y pistas de auditoría en las nuevas aplicaciones posibilita las manipulaciones fraudulentas. 5.9. Carencia de Controles del Personal Técnico.- La mayoría de los controles establecidos para la aplicación de los ficheros pueden ser fácilmente burlados por técnicos informáticos con cierta calificación. 5.10. Dispersión Territorial de los Puntos de Entrada al Sistema.- La mayoría de los sistemas informáticos están diseñados sobre el concepto de una marcada descentralización de la información que permita acceder a la información de manera cómoda desde donde está el usuario o donde se producen los datos de entrada, y justamente mientras se establecen medidas de control centralizados estas suelen ser inexistentes en la práctica pues los puntos remotos de entrada permiten el acceso al sistema. 5.11. Interdependencia de Redes de Transmisión.- Los sistemas informáticos generalmente se basan en una red de comunicaciones para su funcionamiento y se prevé que la tendencia es que la totalidad de las comunicaciones se harán por las redes públicas que son compartidas por múltiples usuarios y que adicionalmente no es posible establecer medidas de control sobre ellas.

35

6. - Nueva tipología del ilícito penal informático Las diferentes formas que pueda adoptar el delito informático son de tal dimensión que para un profano prácticamente serían inimaginables limitados quizás únicamente por la astucia del autor, su capacidad técnica y las deficiencias de control existentes en la instalación invadida. Para darnos una idea del ámbito del problema conozcamos las diversas formas en las que el delito informático puede producirse sin que ello suponga de ninguna manera que estamos ante una lista cerrada sino tan sólo de una relación enumerativa de las situaciones más frecuentes. Veamos algunas de ellas: 6.1. Introducción de datos falsos o data diddling Consiste en manipular las transacciones de entrada al computador con el fin de ingresar movimientos falsos total o parcialmente, o eliminar transacciones verdaderas que deberían haberse introducido. Es un método al alcance de muchas personas que desarrollan tareas en los servicios informáticos para lo cual no es necesario poseer conocimientos técnicos especiales sino tan sólo haber percibido las deficiencias de control que muestre un determinado sistema. Un antecedente muy publicitado es el Caso Blair, conocido por un delito cometido en Maryland en mayo de 1980. Janeth Blair, empleada de las oficinas de seguridad social, ingresaba desde su Terminal informática, que se encontraba conectado con un computador central, transacciones falsas para producir la emisión de cheques fraudulentos, consiguiendo por este procedimiento apropiarse de cerca de Ciento Doce mil Dólares. Este delito fue descubierto de manera casual por el empleado del banco a cuyo nombre eran girados los cheques quien sospechó al verificar la existencia de gran cantidad de cheques con el mismo número de afiliación a la seguridad social pero expedida a diferentes titulares. La Sra. Janeth Blair fue acusada de 43 cargos de falsificación y desfalco y fue condenada a ocho años de prisión con una multa de Quinientos Dólares. 6.2. El caballo de Troya o “ trojan horse ” Inspirado en las épicas hazañas contadas por Homero en su obra “La Ilíada” que narra toma de Ciudad de Troya. Ulises mandó construir un enorme caballo de madera vacío el cual obsequió a los troyanos en señal de paz, sin embargo, en su interior ocultaba gran cantidad de soldados y pertrechos militares de la época, los cuales permanecieron ocultos hasta que se diera la orden a fin de sitiar la ciudad. Los habitantes de Troya al creer que habían ganado la guerra, introdujeron el caballo en la ciudad y celebraron el triunfo con una gran fiesta, pero durante la noche, cuando todos dormían confiados bajo los efectos del alcohol, los soldados de Ulises salieron del caballo y abrieron las puertas de la ciudad ingresando los soldados enemigos tomando la ciudad sin que los troyanos opusieran mayor resistencia. Por esta razón, la denominación “Caballo de Troya” se aplica a algo que en apariencia es inofensivo para tranquilidad de la víctima, pero cuando desencadena su dañino potencial causa verdaderos estragos. Luego de esta breve referencia mitológica que nos explica la razón de su nombre podemos precisar que este método consiste en la inclusión de instrucciones dentro del programa de uso habitual una rutina para que realice un conjunto de funciones desde luego, no autorizadas, para que dicho programa ejecute en ciertos casos de una forma distinta a como estaba previsto. Puede tratarse en determinados casos de la ejecución de cálculos erróneos por ejemplo aumentando el importe de la lista de un empleado, desviando ingresos hacia cuentas ficticias, etc. También puede presentarse cuando se imprimen documentos no autorizados o inclusive no imprimir documentos reales, por ejemplo emitir cheques a

36

proveedores fantasmas o no imprimir cheques a proveedores reales cuando previamente se les ha cancelado su deuda, ya que se ha alterado la forma de pago transfiriendo los fondos a una cuenta que pertenece al defraudador. Un procedimiento usualmente utilizado en la banca es por ejemplo introducir una modificación al programa del tratamiento de cuentas corrientes para que siempre que se consulte un saldo lo multiplique por diez, por cien, por mil, por cien mil etc. con lo que es posible autorizar pagos, transferencias superiores a lo real. Por sus características es necesario poseer una capacidad técnica suficiente al menos saber programar y además tener acceso al programa para poder manipularlo. Es importante agregar que en todo este tipo de ilícitos el programa manipulado ha estado en funcionamiento habitual desde hace un buen tiempo y casi nunca se trataba de programa de nueva creación. El motivo es muy simple, los programas nuevos suelen ser sometidos a procesos de revisión y chequeo para detectar cualquier anomalía que puedan afectarlos. Sin embargo un programa que ha estado en funcionamiento correctamente durante un prolongado tiempo no se cuestiona, y salvo casos absolutamente excepcionales, jamás sus resultados son sometidos a comprobación. Debido a ello la modalidad de Caballo de Troya es una de las más peligrosas y al mismo tiempo difíciles de detectar. Un ejemplo claro de este método es un caso real sucedido en una entidad de crédito al cual no se le dio publicidad y del que se desconoce incluso el nombre del autor. Este caso ocurrió a fines de 1984 y el procedimiento utilizado por el autor, aparentemente un ex empleado de centro de cómputo de la entidad, fue el introducir una rutina en el programa de tratamiento de cuentas corrientes para que un determinado día, aproximadamente seis meses después de haber dejado su trabajo, y a una hora nocturna predeterminada se autorizase el pago a un talón de una cuenta corriente sin consultar el saldo. Posteriormente la misma rutina borraba parte del programa modificado con lo cual se eliminaba el rastro de la comisión del delito. Otro caso similar en sucedió en 1985 en una importante entidad bancaria cuando en una oportunidad tres personas, supuestamente antiguos empleados de la institución, manipularon el sistema informático abriendo dos cuentas en diferentes oficinas de la ciudad con nombres distintos y falsos, lo que les permitió disponer de talonarios de cheques al mismo tiempo que las cuentas ingresaran al sistema del banco. Pues bien, después de unos días de funcionamiento normal y sin que se haya explicación alguna, en las cuentas se hicieron asientos falsos por un total de 24 millones de dólares. Los malos elementos fueron detenidos al ser descubiertos después de haber cobrado cinco cheques y en posesión de documentos falsos que identificaban a las personas en cuyo nombre estaban abiertas las cuentas. 6.3. El salame, redondeo de cuentas o “rounding down”. Es tal vez la técnica más sencilla de realizar y la que menos probabilidades tiene de ser descubierta. La modalidad consiste en introducir o modificar unas pocas instrucciones de los programas para reducir sistemáticamente una cantidad transfiriéndola a una cuenta distinta o proveedor ficticio que se abre con nombre supuesto y que obviamente la controla el defraudador.

37

Por ejemplo puede darse el caso de disminuir constantemente en unos céntimos las cuentas corrientes de un cliente bancario, pequeños saldos de proveedores, reducir los talones de impresión para el pago a acreedores, transfiriendo luego estas pequeñas cantidades a la cuenta particular del autor. También se suele aplicar esta modalidad cuando se calculan los intereses de cuentas corrientes bancarias, de libretas de ahorro, de depósitos a plazo o bien cuando se elabora el cálculo de la planilla de los trabajadores de una empresa, procediéndose a eliminar el criterio generalizado de redondeo de céntimos a la alza o a la baja de dinero en montos exactos y a cambiarlo por la eliminación total de dichos céntimos que son transferidos a una determinada cuenta o a nombre de un empleado real o ficticio. La razón principal por la que es tan difícil descubrir este tipo de hechos es porque las cuentas o el importe total del listado, siguen estando “cuadrados” por lo que no se deduce ninguna señal de alarma que pueda indicar lo que está sucediendo. Por ejemplo se da el caso al redondear cuentas bancarias y acreditar los montos resultantes a una cuenta determinada repitiendo automáticamente la operación sin intervención posterior del autor. Un caso real se dio en los Estados Unidos donde un programador tenía bajo su responsabilidad el sistema mecanizado de personal en el cual introdujo pequeñas modificaciones en los cálculos del plan de inversiones corporativas. La empresa había acordado con sus trabajadores que les retendría una pequeña cantidad de sus salarios para invertirlos en valores. Lo que realizó el programador fue retirar pequeñas cantidades de lo descontado cada empleado para transferirlo a su propia cuenta. 6.4. Uso indebido de programas o “superzapping” Es el uso no autorizado de un programa de utilidad para alterar, borrar, copiar, insertar o utilizar cualquier forma no permitida los datos almacenados en el computador o en los soportes magnéticos. El nombre proviene de un programa llamado “Superzap” y es una especie de llave que permite abrir cualquier rincón de una computadora por más protegida que pueda estar. Estos programas pertenecen al grupo de los llamados “Programas de Acceso Universal” de uso imprescindible en cualquier instalación de ciertas dimensiones cuando fallan los procedimientos normales para recuperar o reiniciar “el sistema”. Efectivamente, cuando un sistema informático almacena gran cantidad de información se hace necesario disponer de un mecanismo de emergencia que permita entrar a cualquier punto del sistema en caso que se produzca alguna avería o lo que normalmente se ha denominado “caída del sistema”. Es por esta razón que se justifica la existencia de los llamados “Programa de Acceso Universal” (PAU) herramientas imprescindibles en cualquier instalación de ciertas proporciones cuando fallan los procedimientos normales para “recuperar” o “reiniciar” el sistema. Los programas de utilidad son una herramienta valiosa y muchas veces imprescindible en los casos de caída del sistema pero igualmente un arma peligrosísima cuando se encuentra al alcance de personas que lo utilizarán con otras intenciones. No es necesario insistir que su acceso debe ser restringido y con adecuados controles.

38

No obstante suelen estar archivados en las librerías de producción junto con el resto de programas de uso común y generalizado, con lo cual cualquier técnico podría tener la posibilidad de utilizarlo indebidamente. Con la modalidad de superzaping es posible alterar los registros de un fichero sin que quede constancia de tal modificación lo cual hace sumamente difícil descubrir y detectar el autor de tales eventos. Aparentemente se suelen registrar los ingresos a un sistema y las transacciones que se han procesado en una determinada operación actualizando los registros con un dato específico como por ejemplo la hora de ingreso. Sin embargo los programas de acceso universal -permiten modificar directamente la información sin activar los programas de actualización ni introducir ninguna operación al computador. Aún más, sin dejar rastro si la persona que lo está usando sabe como realizarlo. Bastaría con hacer coincidir el momento de la modificación no autorizada con el comienzo o el final de la ejecución del programa verdadero de actualización y algún error intencionado en el sistema que requiera la utilización del programa de acceso universal. En ese preciso momento tendremos cargado en el sistema el fichero que queremos modificar y el programa que nos permite modificar no registrándose por lo tanto su utilización no justificada ni del fichero, ni del programa de utilidad. Cuando se descubran las alteraciones de los datos se pensará que ha sido un funcionamiento erróneo del programa de actualización, un funcionamiento inadecuado del computador o una transacción errónea y en esas direcciones se encaminará la investigación las cuales seguramente no abordarán a ningún puerto. En el mejor de los casos si se descubre como se realizó la alteración de datos será muy difícil probarlo. Un conocido caso con el método del superzaping ocurrió New Jersey en donde el autor comenzó a desviar fondos desde las cuentas de diferentes clientes hacia la de unos amigos sin que quedara en el sistema ninguna evidencia de las modificaciones efectuadas en los saldos de cuenta corriente. El delito se descubrió por los reclamos efectuados por uno de los afectados lo cual motivó una investigación que culminó con la detención del sujeto. 6.5. Puertas falsas o “traps doors” Es una costumbre en el desarrollo de aplicaciones complejas que los programas permitan introducir interrupciones en la lógica de los desarrollos del mismo, con el objeto de chequear por medio de los procesos informáticos si los resultados intermedios son correctos, producir salidas de emergencia y de control a fin de guardar resultados parciales en ciertas áreas del sistema para comprobarlos después. Inclusive algunas veces este procedimiento se enlaza con rutinas del sistema operativo para facilitar una "puerta de entrada al programa” que no estaba prevista, pero de esta manera facilitan la labor de desarrollo y prueba de programas. El problema radica en tener la seguridad de que cuando los programas entran en proceso de producción normal todas esas “puertas falsas” hayan desaparecido. Y aunque parezca mentira, las puertas creadas no se eliminan, permitiendo a su paso puertas de acceso al programa con el agravante que por ser elementos temporales creados por la computadora no constan en la documentación del sistema.

39

Es de uso frecuente para posibles recuperaciones en caso de “Caída del Sistema” a mitad de un proceso ir grabando en cinta resultados intermedios o copia de las transacciones procesadas, o incluso ciertas áreas de memoria para la recuperación más rápida y sencilla. Las puertas falsas son: Por personas que no las crearon, pero que una vez descubiertas se aprovechan de ella sin necesidad de poseer una formación informática profunda. Tal es el caso de unos ingenieros en una fábrica de automóviles en Detroit que descubrieron una puerta falsa en una red de servicio publico de time- sharing de Florida. Después de una serie de intentos consiguieron ingresar con una llave de ingreso de alto nivel, según parece la del propio presidente ejecutivo de la compañía y utilizándola pudieron apoderarse de diferentes programas clasificados de carácter reservado y archivados en el computador bajo la denominación de secreto comerciales, al mismo tiempo que utilizaban la red sin cargo económico alguno. 6.6. Bombas lógicas o “logic bombs”. Previamente debe señalarse que este tipo de delito se ejecuta para producir daños sin otro beneficio que el placer de perjudicar. El método consiste en introducir en un programa un conjunto de instrucciones no autorizadas para que en una fecha o circunstancia predeterminada se ejecuten automáticamente desencadenando el borrado o la destrucción de información almacenada en el computador, distorsionando el funcionamiento del sistema o paralizaciones intermitentes. Un conocido caso de bomba lógica se presentó en setiembre de 1981 y tuvo como protagonista un programador de computadoras de 26 años de edad que trabajaba para el departamento de defensa en Washington D.C. en los Estados Unidos de Norteamérica. Resulta que el programador se sintió frustrado y discriminado al no recibir una promoción que supuestamente le correspondía, por lo que decidió vengarse. El trabajo de este empleado consistía en el mantenimiento de las nóminas del sistema de personal lo que le permitía tener acceso a todos los programas y a la información contenida en la base de datos de dicho sistema. Decidido a vengarse escribió unas rutinas para incluir en los programas que a cierta señal se borren y destruyan gran parte de la información que él procesaba en los sistemas. Posteriormente comenzó a buscar otro trabajo para lo cual solicitó vacaciones en su empleo siendo así que consiguió un nuevo trabajo. Unos días después que recibió la confirmación de su nuevo empleo, y en ese mismo momento aprovechando la hora del almuerzo, introdujo la rutina que tenía programada, incluyendo un control que se activaría seis meses desde la fecha de su salida de su anterior empleo. En efecto, seis meses después de haber abandonado a su anterior trabajo cuando se estaban procesando las nóminas de personal la rutina introducida por él funcionó como había previsto su autor, borrando la mayor parte de información de los registros de personal. Dada que el programa había estado funcionando largo tiempo y nadie dudaba de su funcionamiento se volvieron a probar con las copias de seguridad las que también resultaron dañadas. El descubrir el motivo de los daños al sistema y recomponer la información requirió gran esfuerzo de personal y de tiempo lo que puede dar una idea del costo que se supuso, pero no fue posible probar la autoría del hecho, aunque las sospechas

40

recayeron sobre su verdadero autor, el que nunca fue acusado formalmente ni juzgado ni castigado. Esta modalidad es una forma bastante extendida, utilizada por muchos fabricantes de paquetes de software con el fin de asegurar el importe de los mismos. Consiste en programar una instrucción que revisa la fecha del día, lo que permite una fecha de caducidad oculta que ha introducido el fabricante del software al instalarlo en el computador del cliente y que no será eliminada o prorrogada hasta que el cliente pague los nuevos derechos. Esto constituye una verdadera forma de coacción ilegal pero que es utilizada por una falta de protección adecuada de sus derechos de autor. 6.7. Ataques asincronicos o “asynchronic attacks” Los sistemas informáticos en la mayoría de casos funcionan ejecutando más de dos comandos u órdenes a la vez o en otras circunstancias una instrucción sucesiva de la otra en forma secuencial. Cabe recordar que el sistema operativo es el conjunto de programas que controlan el funcionamiento del computador y todos sus dispositivos periféricos (discos, cintas, impresoras), la entrada de los datos procesados por el programa, la ejecución de los programas de las diferentes aplicaciones y la salida de la información elaborada hacia los dispositivos exteriores. El sistema operativo es imprescindible para el funcionamiento del equipo y su desarrollo es responsabilidad del fabricante. Una de las principales funciones del sistema operativo de las computadoras es controlar la ejecución simultánea de varios programas a la vez. Otra función fundamental del sistema operativo es optimizar la ocupación de memoria central reasignando áreas en función de las necesidades de cada uno de los programas que están ejecutando en cada momento. De otro lado el sistema operativo asigna a los programas otras funciones de clasificación, intercambio, etc. Por lo tanto el sistema operativo es quien controla y maneja todos los errores que pueden producirse tanto en la computadora como en los programas que se están ejecutando, avisando al operador por medio de mensajes de cualquier situación anormal que se produzca. Pues bien, los programas funcionan en forma sincrónica, es decir, ejecutando sus instrucciones en un orden fijo predeterminado de nivel en nivel, en tanto que el sistema operativo funciona en forma asincrónica es decir ejecutando sus órdenes de manera independiente, en función de una gran cantidad de factores ajenos a él. Esto produce rigurosidad en los programas en ejecución conformando las llamadas “Colas de Espera” que se van a ir desbloqueando en función de la disponibilidad de los datos o comandos que estaban esperando. Uno de los típicos casos en el que puede producirse es en los llamados puntos de recuperación del sistema. Cuando se procesan programas complejos y de larga duración se establecen puntos de recuperación cada cinco o diez minutos por ejemplo gravando en soporte magnético externo (diskettes) el estado del programa, lo que implica que si el sistema “SE CAE “, es decir, que se interrumpa el proceso por una situación de error no recuperable, por ejemplo falta de energía eléctrica no es necesario retroceder desde el principio del programa sino bastará hacerlo desde el último punto de recuperación ya que todo se encuentra grabado, reiniciando de esta manera el proceso.

41

Pues bien, si entre dos puntos de recuperación se provoca voluntariamente una “caída del sistema” y en el intermedio se manipula los parámetros en que se va a apoyar el sistema operativo para reiniciar resulta obvio que las condiciones en que se ejecuten serán distintas a las originales por lo que sus resultados serán por lo menos diferentes, fraudulentos o erróneos. 6.8. Recojo de información residual o “scavenging”. Este procedimiento se basa en aprovechar los descuidos de los usuarios ya que la información ha sido abandonada sin ninguna protección como residuo de un trabajo real efectuado con la debida autorización. La denominación proviene del anglicismo “to scavenge” que significa recoger la basura. Simplemente se va aprovechando las finalizaciones de los trabajos reales en el computador para obtener la información residual que ha quedado en la memoria. La modalidad más frecuente es la “Impresión Diferida” preparando la unidad para que posteriormente imprima sin ningún tipo de protección siendo fácilmente recuperable sin necesidad de utilizar ninguna clave de acceso. Tiene dos formas bien definidas: scavenging físico y scavenging electrónico. a) El Scavenging Físico: Consiste en recoger el material de desecho que se abandona en las papeleras, encima de las mesas, en el suelo, etc., y que frecuentemente incluye listados de pruebas de programas, documentos conteniendo información de entrada a un programa de la computadora, copias de apoyo que no han sido repartidas, etc. b) El Scavenging Electrónico: Consiste en aprovechar las finalizaciones de las ejecuciones de los programas realizados en el computador para obtener la información residual que ha quedado en la memoria o en soportes magnéticos. Una de las formas más simples del scavenging electrónico es cuando se ordena la impresión diferida ya que en la computadora queda preparada la información que posteriormente se imprimirá sin ningún tipo de protección, siendo sumamente fácil recuperar la información sin la necesidad de utilizar ningún tipo de clave o cualquier procedimiento de seguridad. El caso más célebre de scavening ocurrió en Los Ángeles por un estudiante de ingeniería eléctrica. El estudiante simultáneamente trabajaba como vendedor de equipos de comunicaciones lo cual le permitió adquirir un conocimiento bastante profundo de como operaban los sistemas mecanizados de la empresa. Al haber recogido cada mañana los papeles que depositaban en el exterior del centro de procesamiento de datos de la compañía. El estudiante simulando ser un publicista convenció a los directivos de la empresa para lanzar un boletín que reforzaría considerablemente la imagen de la compañía. Esto le permitió recopilar información, añadida a la compra de una camioneta en una subasta de la propia compañía. El estudiante pidió telefónicamente mercadería para una empresa que había seleccionado previamente. Para ser despachada por la noche por la cantidad de 30 mil dólares, lo que hizo fue recoger la mercadería y distribuirla a diferentes compradores. El estudiante fue descubierto al ser denunciado por su ayudante a quien se negó a aumentar el dinero que le pagaba por sus servicios especiales. El estudiante fue acusado de varios delitos y el 5 de julio de 1972 fue condenado por el Juez M. Deal a dos meses en una correccional, 500 dólares de multa y tres años de libertad vigilada.

42

6.9. Divulgación no autorizada de datos o data leakcage Consiste en sustraer información confidencial almacenada en un computador central desde un punto remoto, accediendo a ella, recuperándola y finalmente enviándola a una unidad de computador personal, copiándola simultáneamente. La sustracción de información confidencial es quizás uno de los cánceres que con mayor peligro acechan a los grandes sistemas informáticos. Se ha empleado también bajo la denominación de espionaje industrial, pues sería particularmente débiles al sustraerse aspectos claves de su actividad empresarial, como por ejemplo estrategias de mercado, nuevos productos, fórmulas de producción, etc. Inclusive hay cierto tipo de empresas que dependen de la privacidad de su información como las empresas de publicidad directa en donde tiene ficheros completos de su público objetivo. 6.10. Acceso a áreas no autorizadas o piggyn baking Pese a no tener una traducción específica consiste en acceder a áreas restringidas dentro de la computadora o de sus dispositivos periféricos como consecuencia de puertas abiertas o dispositivos desconectados. Se da también cuando el usuario que está trabajando en un Terminal en un nivel autorizado que le permite realizar ciertas funciones reservadas deja el Terminal conectado, con lo que cualquier otra persona puede continuar trabajando sin necesidad de identificarse pudiendo efectuar operaciones que en condiciones normales no le estarían permitidas. 6.11. Suplantación de la personalidad o impersonation Puede ser entendida como la suplantación de personalidad fingiendo ser una persona que no es imitándola e inclusive remedándola. Algunos sistemas requieren la identificación con una clave para acceder al sistema. Más adelante se ha requerido la posesión de algo pudiendo ser una llave o tarjeta magnética. Y aún podríamos complicarlo aun más si adicionamos dispositivos de reconocimiento biométrico como identificación con la palma de la mano o dactilográfica, scanners de retina o del iris, reconocimiento de voz, etc. Un caso muy frecuente de Impersonation o suplantación de personalidad se da en el robo de las tarjetas de crédito y de cajeros automáticos. Los autores del delito se hacen pasar por un empleado de la central de tarjetas de crédito, llamando telefónicamente al titular para solicitarle que con el objeto de anular la posibilidad de utilización fraudulenta de la tarjeta robada le revele su clave secreta o personal. Como es fácil advertir, una vez descubierta la clave a la persona desconocida que las ha llamado utilizan la tarjeta para sacar el dinero de los cajeros automáticos hasta su límite máximo de crédito. Otro caso célebre es el que hicieron los estudiantes de una universidad norteamericana al mandar una carta en papel oficial a todos los usuarios de computadoras de la universidad advirtiéndoles que el número de conexión al sistema había sido cambiado, solicitándoles su número anterior. Posteriormente y debido a que lo primero pedía el sistema al conectarse era la clave de identificación, los estudiantes recogieron la clave e indicaron que hasta nueva orden volvieran a usar su número antiguo, obteniendo así el número clave de todos los usuarios del sistema, descubriendo todos los secretos de los estudiantes de la universidad. Una vez descubierto el procedimiento todas las claves fuero cambiadas.

43

6.12. Pinchado de líneas informáticas wiretapping Se trata de pinchar o interferir líneas de transmisión de datos y recuperar la información que circula en ellas, generalmente se produce en el mismo origen de la transmisión. No es necesario tener equipo sofisticado, sólo se requerirá un pequeño cassette, una grabadora, una radio portátil AM-FM, un módem para demodular las señales telefónicas analógicas y convertirlas en digitales, y una pequeña impresora para listar la información que se hubiera captado. La forma de realizarlo depende del sujeto que lo ejecuta. 6.13. Hurto de tiempo Se da cuando los empleados utilizan sin autorización las horas de la máquina del empleador por ejemplo para realizar trabajos particulares hurtando el tiempo del computador o del servicio de procesamiento de datos y por tanto incrimina un uso no autorizado. 6.14. Simulación e imitación de modelos o simulation and Modeling. Se trata del uso de la computadora para simular y planificar la comisión de un delito antes de realizarlo. La utilización de la computadora se realiza de forma mediata para conseguir un fin ilícito como ejemplos podemos señalar desde la simulación del robo de una bóveda de un banco hasta el contador que contrató los servicios contables de una empresa para estudiar detenidamente las repercusiones de los asientos fraudulentos que pensaba realizar para sustraer una cantidad importante de dinero. Aquí se difiere de los anteriores tipos de delitos informáticos pues el computador que puede ser usado para simular situaciones previsibles o efectuar modelos que representen el comportamiento previsible de una empresa, una fábrica, una inversión, es utilizado equivocadamente con fines delictivos. No obstante lo mencionado consideramos que este tipo en particular por la finalidad distinta al uso normal de la computadora así como la escasez de los delitos cometidos por este método no sería recomendable su tipificación. 6.15. Piratas o “hackers”. Conocido también como “Pirateo Informático”, consiste en entrar sin autorización a una computadora y explorar su interior. No existe aparentemente límite pudiendo acceder por vía remota a servicios de noticias, servicios financieros, información financiera, instalaciones universitarias, correo electrónico, computadoras oficiales. 6.16. Crackers Es el típico Hacker que no ingresa al sistema por curiosidad o porque le represente un reto para entender el funcionamiento de cualquier sistema. En realidad nos referimos a la persona que conscientemente ingresa a un sistema con la finalidad de destruir información. Existen dos vertientes: a) El que ingresa en un sistema informático y roba información produciendo destrozos en el mismo. b) El que se dedica a desproteger todo tipo de programas, tanto para hacerlas plenamente operativas como para los programas que presentan anticopias. 6.17. Phreakers Es el especialista en telefonía. Se le podría llamar el pirata de los teléfonos, sobre todo emplea sus conocimientos para poder utilizar las telecomunicaciones gratuitamente. Los principales perjudicados son los usuarios nacionales e internacionales y las compañías telefónicas. Existen muchos softwares que hacen posible la comunicación

44

por computadora a un teléfono como el “Net2Phono” creado por IDT Corporation que permite realizar llamadas internacionales desde una computadora personal a un teléfono fijo o celular a cualquier parte del mundo. El sistema se basa en la transmisión de la voz vía Internet. El software o programa digitaliza la voz para que viaje a través de la red. Esta nueva modalidad de comunicarse por teléfono se ha desatado con fuerza en los países donde la tecnología se encuentra en mayor desarrollo esta posibilidad estará disponible en mayor volumen en la medida que la tecnología derivada se extienda a otros, lo que permite comunicarse de una PC hacia un teléfono o de una PC hacia otra PC. Los usuarios no necesitan coordinar con su interlocutor la hora y el día para estar en línea en el momento de la llamada. Quien efectúa la llamada sólo necesita una PC con conexión a Internet para comunicarse con otra persona. 6.18. Los virus Son una serie de claves programáticas que pueden adherirse a otros programas, propagarse a otros sistemas informáticos. Un virus puede ingresar por una pieza de soporte lógico que se encuentre infectado desde una forma remota ingresando al programa. 6.19. Gusanos Se fabrica en forma análoga al virus con miras a infiltrarlo en programas normales de procesamiento de datos o para modificar o destruir la información, pero se diferencia del virus porque no puede regenerarse. Si se asimilara a la medicina podría decirse que es una especie de tumor benigno. Ahora las consecuencias del ataque de un gusano pueden ser tan peligroso como el de un virus. 6.20. Delitos de connotación sexual por Internet.- De la misma manera deben considerarse las conductas que ponen a disposición de menores de edad imágenes de contenido altamente sexual explícito y que ponen en riesgo su formación integral ocasionando trastornos en normal desenvolvimiento de su personalidad. Se debería controlar esto mediante el acceso a estas páginas Web con doble clave. Así mismo evitar casos de prostitución infantil por esta vía. 7. - Crisis de los conceptos tradicionales frente al delito Informático. 7.1. - Ausencia del tipo con relación a otras figuras delictivas: a) Con el Delito de Estafa.- Requiere de un engaño, un ardid, que determine el error en la persona, en la víctima requisito indispensable. Por este motivo, en la estafa se da por la suma del engaño o ardid o el error y la disposición patrimonial voluntaria de la víctima. Parte de la doctrina sostiene que en los casos en que el autor manipula directamente el sistema de computación causando un perjuicio pero sin inducir error a ninguna persona, sino a una computadora, debido a ello, su conducta no será típica. En otras palabras, el apoderamiento, la adquisición de bienes pertenecientes a otra persona por medio del engaño sin ninguna intención de devolverlos. En los delitos informáticos se presenta el gran problema de delimitar la actitud delictiva del autor, pues para que se configure el delito como estafa hay que engañar o inducir a error a una persona a través de un computador. El problema surge realmente cuando queramos responder la siguiente pregunta. ¿Se estafa a una Persona o a un Computador?

45

Como vemos el tipo legal se desvanece como el agua entre los dedos de las manos. b) Con el Delito de Daños.- En este caso lo que pretende es destruir o inutilizar un bien. Procurando la destrucción del valor patrimonial del bien malogrando el material con que ha sido fabricado. Destruir implica disminución de su valor o la utilidad que tenía e inutilizar significa dejar de funcionar como debía. Se trata de una destrucción parcial de bien, es decir, disminuir sus calidades o posibilidades de utilización. El delito de daños sólo protege un determinado tipo de conductas quedando fuera otras como el acceso no autorizado sin causar daños a la base de datos. De manera que la persona que ingresa y no destruye información sino que la copia o simplemente se retira sin causar daño no entrara en este tipo legal. En los delitos informáticos el autor altera o destruye archivos almacenados en banco de datos. c) Con el Delito de Falsedad De Documentos.- Consiste en reproducir o copiar un documento para imitar el original con ánimo de enriquecerse perjudicando a un tercero. En este caso el tipo tradicional choca al saber si los datos almacenados en un banco de datos pueden considerarse o no documentos, si los datos almacenados de la computadora son de la persona a la que se hace referencia en la información o son por el contrario de la máquina. Por lo tanto se hace necesario delimitar lo matices del grado de responsabilidad de estas acciones. d) Con el Delito de Hurto De Uso.- Se requiere que el autor se apropie de una cosa mueble ajena esto genera “algunos inconvenientes “para el encuadramiento típico de las conductas que se describen, teniendo en cuenta que el dinero contable no es cosa mueble en el sentido de la Ley Penal sino, más bien un crédito. Es por lo tanto, la acción de apoderarse de los bienes ajenos sin que medie intimidación o violencia. La informática para optimizar sus fines se ha fusionado con la telemática, conllevando a que varios centros de información estén interconectados, con terminales a larga distancia. La TEF o transferencia electrónica de fondos, los cajeros automáticos, los puntos de venta remota, la banca virtual a domicilio son algunos de los casos en los cuales se plasma esta conducta. e) Con el Delito de Apropiación Ilícita.- Consiste en apoderarse de una cosa que es de otro y por lo tanto aparentemente tiene puntos en común con el hurto y la estafa. La diferencia radica en que en este delito el infractor era depositario de esos bienes y no los devuelve o se niega ha haberlos recibido. Se incluye cualquier cosa mueble que se hubiera recibido en depósito, comisión o administración o por cualquier título que produzca la obligación de entregar o devolver los bienes. No es el caso en los delitos informáticos.

46

8. - análisis jurídico del delito informático Delimitación típica legal Dada la complejidad del delito informático y que además vulnera varios valores o bienes jurídicos protegidos por la sociedad, el tipo básico debería contener la delimitación precisa de lo que está penado con una pena privativa de la libertad o inhabilitación para acceder al servicio informático por un determinado plazo de tiempo. Como se ha visto en el capítulo tercero sobre nuevas tipologías, el espectro es amplio y en mucho de los casos no ingresan en el tipo penal vigente por el Código Penal que nos rige. Bien jurídico protegido: (a) El Patrimonio, (b) el Orden Económico y (c) el Sistema Informático: DELITO INFORMATICO: VULNERA (a) + (b) +(c) La acción u omisión del delito puede recaer en valores protegidos por la sociedad, de esta manera pueden ser motivo de protección el patrimonio, el orden económico, la intimidad. En el caso y en el caso especial de la destrucción de datos informáticos pueden catalogarse contra el sistema informática en su conjunto al poner en grave riesgo la información disponible en la red nacional o internacional de computadoras. Pueden tratarse de delitos contra el patrimonio cuando se sustrae dinero o documentos que lo representen, mercaderías al adulterar inventarios, sustracción de valores negociables, etc. requiriendo que el autor se apropie de cosa mueble ajena generando algunos inconvenientes serios si se considera que muchas veces se trata de dinero contable, que en realidad es un crédito. También puede vulnerar aspectos que atenta contra la libertad de la persona y a su intimidad como cuando se ingresa sin autorización al archivo documentario de una persona natural o jurídica con la finalidad de conocer información que por la calificación de la víctima la va ha considerar reservada. Sería un error por lo tanto tipificar esta nueva figura como un agravante del delito de hurto, cuando en realidad están en peligro bienes jurídicos protegidos tan importantes como del orden económico y personal como la intimidad. Parece ser que lo que en realidad vulnera esta novedosa tipología es una violación mixta de valores jurídicos que en algunos casos compromete tanto al patrimonio como la libertad de las personas o el sistema informático y la protección de datos, no sólo se vulneran valores de carácter económico sino de carácter tan valioso y personal como la intimidad, lo que hace imposible negar su existencia. El derecho a la intimidad de las personas Como se ha revisado en la tipología esta clase de ilícitos atentan contra la intimidad de la persona e inclusive puede darse el caso de que la misma vea violada su intimidad sino que puede ser sustituida su identidad. Tipicidad objetiva La acción u omisión que afecte los componentes de la computadora tanto de hardware como del software, como medio o instrumento para perpetrar el delito. Sujeto activo Las personas que cometen este tipo de delitos son aquellas que poseen ciertas características que no presenta un delincuente común.

47

Es decir, el denominador común es que poseen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos de manejo de información de carácter sensible, o más bien son hábiles en el uso de los programas informáticos aunque no desarrollen actividades laborales, de manera que el sujeto activo está dado por la persona que “entra” a un sistema informática con intenciones delictivas, por ejemplo cuando desvía fondos de las cuentas bancarias de sus clientes. Son personas listas, decididas y motivadas, dispuestas a aceptar el reto tecnológico, muchas veces un empleado del sector de procesamiento de datos. Sin embargo estudiosos en la materia lo han catalogado como “delitos de cuello blanco” término introducido por el criminólogo norteamericano Edwin Sutherland en 1943, cuando señala un sin número de conductas no tipificadas en los ordenamientos como delitos, como por ejemplo la violación de leyes de patentes, los derechos de autor, el contrabando o mercado negro, corrupción de funcionarios, evasión de impuestos, etc. Para el criminólogo norteamericano, el delito informática es cometido por un sujeto de cierto status socio- económico y su comisión se explica no por carencia económica sino por ambición Pueden ser por ejemplo, los operadores, programadores, analistas de sistemas, analistas en comunicaciones, supervisores, personal técnico y de servicio, funcionarios, auditores, bibliotecarios, personal de custodia o vigilancia, así como usuarios en general. Sujeto pasivo En primer término tenemos que distinguir al sujeto pasivo de la víctima, que es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo. En el caso de las víctimas pueden ser individuos, instituciones crediticias, gobiernos, que usan sistemas automatizados de información, generalmente conectados a otros sistemas .En este caso se encuentran personas naturales. De otro lado las personas jurídicas pueden constituirse como parte civil en el proceso así como parte agraviada, entre las que podemos citar bancos, compañías, etc. Tipicidad subjetiva – dolo En el caso de este tipo de conductas tanto por acción como por omisión deben realizarse en forma consciente y voluntariamente con el objeto de conseguir un provecho determinado. Consumación y tentativa En este tipo de delitos no nos parece que debe perseguirse la tentativa, más si la consumación. 9. - El caso peruano en relación a los delitos informáticos 9.1. La autoridad policial ante el delito informático El 17 de julio del año 2000 se publicó en el Diario Oficial ‘El Peruano’ la Ley Nº 27309, que incorporó al Código Penal Peruano los delitos informáticos dentro de la figura genérica de los Delitos Contra el Patrimonio. Debido a la importancia del caso, y a pesar del tiempo transcurrido desde su promulgación, es bueno saber sobre los delitos informáticos y la trascendencia de la ley que los reprime, pues compromete la participación de la Policía Nacional del Perú en las tareas de prevención e investigación de los mismos, lo que requiere de una

48

adecuada preparación, especialización y capacitación del personal policial en este aspecto. Veamos como analiza la Policía Nacional este Delito. a. Concepto del delito informático A nivel internacional no existe una definición propia del delito informático, pero se han formulado algunos conceptos en mérito a la realidad de los países afectados. Así, hasta antes de la promulgación de la mencionada ley, el Código Penal Peruano hacía alusión a una modalidad de hurto agravado, tipificado en el Art. 186. O, que podía catalogarse como una figura de delito informático, configurado cuando el hurto se cometía mediante la utilización de sistemas de transferencia electrónica de fondos; de la telemática, en general; o, se violaban claves secretas. El Código Penal Peruano, al incorporar la figura del delito informático, no establece una definición genérica del mismo, ergo, lo conceptualiza en forma típica como: “las conductas típicas, antijurídicas y culpables, en que se tiene a las computadoras como instrumento o fin”; y, atípica, entendiendo que los delitos informáticos son “las actitudes ilícitas en que se tiene a las computadoras como instrumento o fin”. b. Clasificación de los delitos informáticos La ley que incorpora los delitos informáticos al Código Penal Peruano ha considerado únicamente dos tipos genéricos, de los que se desprende una serie de modalidades. Para ello, el legislador se ha basado en el criterio del uso de la computadora como instrumento o medio y en el de su utilización como fin u objetivo. El primer tipo genérico lo encontramos en el Art. 207. o -A, que des-cribe una conducta criminógena que se vale de la computadora para la comisión del ilícito penal. Un ejemplo de ello lo constituyen los fraudes cometidos en perjuicio de las instituciones bancarias o de cualquier empresa por personal del área de sistemas que tiene acceso a los tipos de registros y programas utilizados. También se encuadra el fraude efectuado por manipulación informática, es decir, cuan-do se accede a los programas establecidos en un sistema de información y se les manipula para obtener una ganancia monetaria. Otras modalidades son la falsificación informática, que consiste en la manipulación de la información arrojada por una operación de consulta en una base de datos; el acceso no autorizado a sistemas o servicios; la reproducción no autorizada de programas informáticos de protección legal, conocida como piratería; entre otras. El segundo tipo genérico lo encontramos en el Art. 207. o -B, donde se enmarcan las conductas criminó-genas dirigidas a la utilización, interferencia o ingreso indebido a una base de datos con el fin de alterarla, dañarla o destruirla. c. Labor de prevención e investigación de los delitos informáticos Con la finalidad de cumplir con eficacia y eficiencia la tarea de prevenir e investigar los delitos informáticos, la Policía Nacional del Perú requerirá del concurso de verdaderos ‘Policías virtuales’, al igual que en otros países, como Estados Unidos de Amé-rica, Francia y Gran Bretaña. Para cumplir con su misión, nuestros ‘Policías virtuales’ deberán reemplazar las tradicionales técnicas de prevención e investigación, las fatigosas tareas de vigilancia y seguimiento y sustituir el arma de fuego por el arma electrónica; pues casi toda la investigación la realizarán a través de INTERNET y sentados frente a una computadora.

49

Para ello, seguramente se creará una Sección, un Departamento o una División de Investigación de Delitos Informáticos, cuyos integrantes ‘patrullarán la red’ con el objeto de detectar los ilícitos que proliferan a través de la misma. Algunas veces lo harán a requerimiento de las instituciones o personas afectadas, y otras por expreso pedido de la Justicia. Asimismo, deberán crearse grupos especiales que investiguen los casos de sabotaje informático cuando se crea que los equipos de una empresa han sido infectados a propósito con virus. Por último, debemos señalar que para lograr una defensa eficaz y tener una prevención efectiva contra la criminalidad informática se requiere de un análisis objetivo de las necesidades de protección y de las fuentes de peligro, que sola-mente los especialistas de la Policía Nacional del Perú podrán establecer mediante un estudio concienzudo de la legislación y de las diferentes modalidades que suelen presentarse. Igualmente, tendrá que motivarse a la población afectada a denunciar estos ilícitos porque solamente así podremos ir dándonos cuenta de las variaciones e incidencias de este fenómeno delictivo. Con la finalidad de cumplir con eficacia y eficiencia la tarea de prevenir e investigar los delitos informáticos, la Policía Nacional del Perú requerirá del concurso de verdaderos ‘Policías virtuales’. 9.2. Inadecuado Tratamiento del delito informático en el Código Penal.

Consolidación de la “Información” como Bien Jurídico Penal.

Resulta claro que en cada nueva incriminación penal surge una aparente contradicción con los principios de exclusiva protección de bienes jurídicos del Derecho Penal, entendido como ultima ratio, sin embargo, creo imprescindible dejar constancia, para los efectos de lograr una identificación correcta de los alcances del principio de intervención mínima, que éste “se sustenta en un conjunto de procesos de entrada y de salida, de criminalización y desincriminación” , resultado de la normal y obligada evolución social que genera la sustitución de bienes jurídicos, los nuevos intereses sociales suplen a los bienes jurídicos que por variación temporal de las necesidades político criminales se han convertido en poco dignos de tutela penal.

El principio de exclusiva protección de bienes jurídicos se encuentra previsto, de manera implícita, en el art. IV del título preliminar del C.P. peruano que señala: “La pena, necesariamente, precisa de la lesión o puesta en peligro de bienes jurídicos tutelados por la ley”, sin embargo, pese a la postura del legislador peruano, las recientes reformas en el ámbito penal llevan a reflexionar sobre la verdadera aplicación de dicho principio.

La presencia de un interés social vital no acredita per se la existencia de un bien jurídico penalmente relevante, es necesario también que éste reúna los requisitos de merecimiento ó importancia social y necesidad de protección en sede penal, propios de una concepción del bien jurídico penal de índole político criminal como la que propugnamos, debiéndose deslindar su presencia para la posterior confirmación de nuestra tesis.

Respecto a la valoración del merecimiento de protección o importancia social del interés debe tenerse en claro que éste se refiere - como dice Rodríguez Mourullo - a la generalidad de los componentes del grupo social y no sólo a la minoría o un sector

50

social determinado, no obstante, la valoración de aquellos intereses que, como la información, tienen un inmanente carácter colectivo, debe abordarse en función a su trascendencia para los individuos, lo que se correspondería a los lineamientos propios del modelo de Estado Social y Democrático de Derecho, de esta manera, como señala Mir Puig, “la valoración de la importancia de un determinado interés colectivo exigirá la comprobación del daño que cause a cada individuo su vulneración”, es decir, no resulta suficiente para la comprobación del merecimiento de protección que el interés social trascienda a la generalidad, es preciso que su lesión o puesta en peligro posean entidad para provocar daño en los individuos integrantes del grupo social.

Si la cuestión se hubiese planteado algunos años atrás hubiese resultado, por decir lo menos, cuestionable afirmar la existencia de merecimiento de protección penal en el interés social “información”, sin embargo, la situación resulta hoy en día menos complicada, el fenómeno informático en el que todas nuestras sociedades se hallan inmersas ubica al interés vital aquí planteado en una posición de absoluto y comprensible merecimiento de resguardo en sede penal, superándose de este modo el primer obstáculo.

Debe dejarse constancia sin embargo que ésta valoración no debe ser efectuada desde una óptica cuantitativa, lo que traería consigo negar la presencia de merecimiento de protección atendiendo a las estadísticas existentes sobre la materia, en las cuales se observa, por ejemplo, que el 75 % de los peruanos nunca ha usado una computadora, que tan sólo el 5 % de los internautas se encuentran en Latinoamérica (EE.UU. 57%, Asia 20%, Europa 16%, África y Medio Oriente 1% cada uno), que tan sólo el 7% de personas en nuestro país posee un ordenador en su casa (EE.UU. 65%, América Latina 16 %) o que, sobre una base de 55 países, el Perú ocupe el lugar 49, según la Information Society Index (índice de la sociedad de información) . La cuestión debe ser abordada atendiendo a la importancia cualitativa del interés propuesto, sólo basta preguntarse ¿que campo de la vida social no ha sucumbido al fenómeno informático?, la respuesta es evidente: ninguno.

Sin duda, responder a la cuestión de si el interés social “información” se encuentra necesitado de protección penal es en extremo delicado, a pesar de ello trataremos de esbozar una respuesta.

La necesidad de tutela penal habrá de calificarse en atención a la eficacia de los demás medios de control social, en efecto, un interés social requerirá de protección en sede penal cuando los demás medios con los que disponen las otras ramas del Derecho hayan fracasado pues, como bien subraya Berdugo, el Derecho Penal es sólo uno de los tantos instrumentos de control social existentes y posiblemente no sea el más importante de ellos.

Se puede decir que la informática y la información, como valor económico, no tienen regulación específica en nuestro país, a diferencia de lo que ocurre en el derecho comparado, no obstante, existen normas que de alguna u otra forma hace referencia a ellas, así por ejemplo, la Ley de Derechos de Autor (Dec. Leg. nº 822) dedica dos capítulos específicos a la protección de los programas de ordenador (Título VI- disposiciones especiales para ciertas obras, capítulo II- de los programas de ordenador, Art. 69 a 77) y de las bases de datos (Título VI- disposiciones especiales para ciertas obras, capítulo III- de las bases de datos, art. 78), en este caso, la protección jurídica se centra en los derechos intelectuales inmanentes a la creación de estos.

51

La Información encuentra resguardo en el ámbito del Derecho Industrial siempre que este referida a un secreto de carácter industrial, por lo que la restricción en el radio de acción de la Ley de Propiedad Industrial (Dec. Leg. nº 823- Art. 116 a 127) la hace insuficiente para afirmar la existencia de protección puntual de la información.

Otra vía a la cual se ha pretendido recurrir ha sido la garantía constitucional del “habeas data”, prevista en el art. 200.3 constitucional y que procede contra cualquier autoridad, funcionario o persona que vulnere o amenace los derechos contenidos en el art. 2.5 y 2.6 de la Carta Magna, sin embargo, como precisa García Belaunde, dicha acción ha sido parcamente utilizada, limitándose a la obtención de información que se guarda en la administración pública y que ésta no desea entregar. Sin embargo, tampoco creo que por ésta vía pueda afirmarse la existencia de tutela específica de la información como valor económico, la protección que el “habeas data” brinda está dirigida a la “libertad informática”, que pretende mantener a salvo a los ciudadanos, utilizando términos de Pérez-Luño, de “la omnipresente vigilancia informática de nuestra existencia habitual”.

En ésta línea de argumentación, la ausencia de protección extra penal no evidencia, por si misma, la carencia de necesidad de protección penal, empero, debemos tener en cuenta – y con esto ya planteó mi aceptación a la necesidad de protección penal respecto al bien “información” al que habría que elevar a la categoría de bien jurídico penal – que existe necesidad de protección punitiva cuando “en el caso concreto no existe ningún otro medio disponible que sea eficaz y menos aflictivo”.

El fracaso de los medios de control social y la dañosidad social propia de este tipo de conductas hace necesaria la regulación punitiva de comportamientos que afecten el bien jurídico aquí propuesto, al menos esa es la tendencia que se observa en la legislación comparada.

De esta manera nos alejamos del sector doctrinal que considera que detrás del delito informático no existe un bien jurídico específico, tratándose tan sólo de formas de ejecución de delitos que afectan bienes jurídicos de protección penal ampliamente reconocida. Quienes sostienen esto confunden los delitos informáticos con los delitos computacionales, estos últimos se tratarían – como precisa Herrera Bravo – “sólo de ilícitos convencionales que ya están regulados en el Código Penal”, dejando en claro que los delitos informáticos son conductas nuevas que por su singular naturaleza no se subsumen en la descripción típica de los delitos convencionales.

De las conductas lesivas al Bien Jurídico Penal Propuesto.

En principio, es claro que ciertos comportamientos realizados a través de medios informáticos afectan bienes jurídicos tradicionales como el Hurto, la Estafa o las Falsedades Documentales, sin embargo, al admitir la existencia de un bien jurídico propio y previniendo éstos lesiones a bienes jurídicos de distinta índole, como el Patrimonio o la Fe Pública, no corresponde a éste capítulo hacer referencia a la utilización de medios informáticos para la comisión de delitos convencionales, sino tan sólo ha aquellos que lesionen o pongan en peligro el bien jurídico “información”.

Las conductas lesivas a la información son, según el Consejo de Europa y el XV Congreso Internacional de Derecho, entre otras:

1. Fraude en el campo de la informática. 2. Falsificación en materia informática. 3. Sabotaje informático y daños a datos computarizados o programas informáticos.

52

4. Acceso no autorizado. 5. Intercepción sin autorización. 6. Reproducción no autorizada de un programa informático protegido. 7. Espionaje informático. 8. Uso no autorizado de una computadora. 9. Tráfico de claves informáticas obtenidas por medio ilícito. 10. Distribución de virus o programas delictivos.

En primer, debe dejarse en claro que de todas estas conductas, algunas de ellas pueden ser abordadas a través de los tipos penales tradicionales (fraude en el campo de la informática, falsificación en materia informática, sabotaje informático y daños a datos computarizados o programas informáticos, reproducción no autorizada de un programa informático protegido y distribución de virus o programas delictivos), motivo por el cual no serán materia de análisis en el presente trabajo.

En base a lo expuesto y acogiéndonos a la clasificación hecha por Adamski es que vamos a abordar el análisis de las conductas lesivas al bien jurídico propuesto. Adamski, ha creído más conveniente analizar los atentados contra la “información” a partir de las propiedades que les son inmanentes: confidencialidad, integridad y disponibilidad.

La confiabilidad y la integridad de la información son propiedades referidas, básicamente, a impedir la revelación, alteración o delación de la información contenida en ficheros de ordenador. La confiabilidad de la información cobra sus matices más importantes, por ejemplo, en el ámbito de la información médica, estrategias mercantiles, investigaciones científicas, entre otros. En cambio, la integridad resulta vital en el control de tráfico aéreo, la transferencia electrónica de fondos, etc.

Por otra parte, la disponibilidad de la información resulta ser el atributo más importante de los servicios comerciales que dependen de la información, actividades como el “spamming” o el “electronic-mail bombing” pueden generar que el disco duro del sistema de información afectado se bloquee y deje de operar.

En éste orden de ideas, los ilícitos informáticos pueden ser clasificados en: a) conductas lesivas a la confidencialidad de la información, b) conductas lesivas a la integridad de la información, y, c) conductas lesivas a la disponibilidad de la información, así será llevado en adelante el análisis.

La Prohibición de la Analogía. Las clásicas figuras delictivas recogidas en el Código Penal Peruano vigente han quedado completamente obsoletas. Ante esta situación el legislador debe crear nuevos tipos penales donde se incluyan las conductas desarrolladas en la nueva tipología del delito informática. No debe optarse en ningún caso por modificaciones parciales de las conductas delictivas tipificadas, pues dan posibilidad a que no se aplique el tipo penal específico o no se adapte el caso al supuesto de hecho de la norma. Existe una pluralidad de bienes jurídicos afectados. No es cierto, por lo tanto, que no exista un bien jurídico protegido, por el contrario se ven afectados diversos valores tan importantes como la intimidad, el patrimonio la economía u orden económico, el sistema informático nacional regentado por el INEI, las bases de datos personales, en consecuencia hay pues, una pluralidad de bienes jurídicos afectados.

53

Los nuevos tipos penales hacen que se desmaterialice el apoderamiento físico de los bienes lo que implica de manera impresionante como no puede aplicarse el código a los supuestos trabajados. 9.3. Necesidad de Modificación del Código Penal en materia de delitos informáticos. Pena Accesoria: Inhabilitación. Por el análisis efectuado no cabe duda que el camino que el legislador deberá seguir es la modificación del Código Penal vigente para adaptarse a estos nuevos tipos legales lo cual puede hacerse con la creación de un título especial que contemple los Delitos Informáticos. Cabe preguntarse entonces ¿si nos sirve realmente de algo el Código Penal para regular los delitos informáticos? ¿Responde el Código Penal a este tipo de ilícitos? Basados en las premisas anteriores la legislación ha quedado rezagada porque no estuvo preparada para el avance de la informática. Se han cuestionado los modelos tradicionales del delito y la salida legislativa del Código Penal de 1,991. Una propuesta de solución es la de permitir la reforma del Código con relación a este aspecto que incorpore las nuevas figuras sobre todo por su sofisticada forma en que se realiza y que permite identificarlo ya con un tipo de penal independiente. Es un delito especial y su delincuencia es sui generis por lo tanto requiere de un título especial que regule y sancione este tipo de delitos, coherente con una política legislativa que incorpore los fenómenos tecnológicos que al igual que en otros países se encuentra adecuadamente legislado. Estas nuevas formas delictivas que se realizan por medio de computadoras tienen como su principal blanco la actividad bancaria que ha sido pionera en el uso de tecnología de punta, esto ha llevado a reflexionar sobre la represión de estos delitos que pueden ser considerados como la otra cara de la moneda de los beneficios ampliamente reconocidos de la informática. Ante este fenómeno existirían dos opciones, crear un acápite especial como en el caso francés o ampliar y modificar los tipos penales existentes. 9.4. Propuesta Legislativa De acuerdo a la Constitución Política la iniciativa legislativa es facultad de los congresistas, quienes para ello deben elaborar un proyecto de ley y presentarlo al Congreso, el cual dependiendo de la materia que pretenda regular o modificar pasará a una de las comisiones. En este caso debe pasar a la Comisión de Justicia del Congreso debido a que se trata del Código Penal. En esta comisión deberá ser analizado el proyecto de ley por los congresistas, recogiendo también la opinión de especialistas en esta área del derecho y expertos en informática, para analizar y avaluar una propuesta legislativa con el aporte de los sectores involucrados teniendo en cuenta el aumento acelerado de la informática. La penalidad propuesta debe incluir penas privativas de la libertad si el agente no cumple con ciertas normas de conducta o es reincidente. Pero lo ideal serían sanciones como la confiscación o la inhabilitación en el uso de computadoras. La ley debe ponerse al día con la tecnología.

54

9.5. Costo - beneficio En caso de no regularse puede ocasionar perjuicios económicos de ingentes cantidades de dinero no solo a nivel económico sino por el tipo de y información de carácter irrecuperable. Por lo tanto es conveniente legislar por cuanto ahorraría ingentes cantidades de dinero y recursos como una forma de prever este tipo de conductas. 10. Legislación en el Perú 10.1. Generalidades:

a. La protección de la propiedad intelectual. La propiedad intelectual comprende la propiedad en las siguientes áreas: Literaria, Artística, Industrial y Científica (donde se sitúa la informática). El derecho de propiedad exclusivo se conoce como ‘derecho de autor’, en este sentido cualquier tipo de violación dará lugar a reparación del daño e indemnización de perjuicios. Dentro de las categorías de obras científicas protegidas por esta ley se pueden mencionar los programas de ordenador y en general cualquier obra con carácter de creación intelectual o personal, es decir, original.

b. La sustracción de información clasificada. Se considera secreto industrial o

comercial, toda información que guarde un apersona con carácter confidencial, que le signifique obtener o mantener una ventaja competitiva o económica frente a terceros, en la realización de actividades económicas y respecto de la cual haya adoptado los medios o sistemas razonables para preservar su confidencialidad y el acceso restringido a la misma. Ahora bien, para la protección de la información secreta, la ley establece que toda persona que con motivo de su trabajo, empleo, cargo, puesto, desempeño de su profesión o relación de negocios tenga acceso a un secreto a un secreto industrial o comercial del cual se le haya prevenido sobre su confidencialidad, deberá abstenerse de utilizarlo para fines comerciales propios o de revelarlo sin causa justificada y sin consentimiento de la persona que guarde dicho secreto, o de su usuario autorizado, en caso contrario será responsable de los daños y perjuicios ocasionados. También será responsable el que por medio ilícito obtenga información que contemple un secreto industrial o comercial.

c. Efectos de la inexistencia de legislatura informática. La inexistencia de una

ley informática imposibilita que la persecución y castigo de los autores de delitos informáticos sea efectiva. Por lo que todo tipo de acción contra los delincuentes informáticos quedaría prácticamente en las manos de la organización que descubre un delito y el tipo de penalización sería más administrativa que de otro tipo (si el delito proviene de fuentes internas).

10.2. Legislación a. Ley 27309 que incorpora al código penal del Perú los delitos informáticos (Promulgada el 15 de julio del año 2000) b. Ley 27291 - Modifica el código civil permitiendo la utilización de los medios electrónicos para la comunicación de la manifestación de voluntad y la utilización de la firma electrónica. (Promulgada el 23.6.2000 Y Publicada el 24.6.2000) c. Ley 27419 del Perú sobre notificación por correo electrónico (Promulgada el 6.2.2001 y Publicada el 7.2.2001)

55

d. Ley 27444 - Artículo 20° inciso 20.1 numeral 20.1.2 Regula el uso del correo electrónico como medio de notificación en los procedimientos administrativos en el Perú (Promulgada el 10 de Abril de 2001 y Publicada el 11de Abril de 2001) e. Ley 28493 - Regula el uso del correo electrónico comercial no solicitado (spam) del 18 de marzo de 2005 : Artículo 2.- Definiciones Para efectos de la presente Ley se entiende por: a) Correo electrónico: Todo mensaje, archivo, dato u otra información electrónica que se transmite a una o más personas por medio de una red de interconexión entre computadoras o cualquier otro equipo de tecnología similar. También se considera correo electrónico la información contenida en forma de remisión o anexo accesible mediante enlace electrónico directo contenido dentro del correo electrónico. b) Correo electrónico comercial: Todo correo electrónico que contenga información comercial publicitaria o promocional de bienes y servicios de una empresa, organización, persona o cualquier otra con fines lucrativos. c) Proveedor del servicio de correo electrónico: Toda persona natural o jurídica que provea el servicio de correo electrónico y que actúa como intermediario en el envío o recepción del mismo. d) Dirección de correo electrónico: Serie de caracteres utilizado para identificar el origen o el destino de un correo electrónico. Artículo 3.- Derechos de los usuarios Son derechos de los usuarios de correo electrónico: a) Rechazar o no la recepción de correos electrónicos comerciales. b) Revocar la autorización de recepción, salvo cuando dicha autorización sea una condición esencial para la provisión del servicio de correo electrónico. c) Que su proveedor de servicio de correo electrónico cuente con sistemas o programas que filtren los correos electrónicos no solicitados. Artículo 4.- Obligaciones del proveedor Los proveedores de servicio de correo electrónico domiciliados en el país están obligados a contar con sistemas o programas de bloqueo y/o filtro para la recepción o la transmisión que se efectúe a través de su servidor, de los correos electrónicos no solicitados por el usuario. Artículo 5.- Correo electrónico comercial no solicitado Todo correo electrónico comercial, promocional o publicitario no solicitado, originado en el país, debe contener: a) La palabra "PUBLICIDAD", en el campo del "asunto" (o subject) del mensaje. b) Nombre o denominación social, domicilio completo y dirección de correo electrónico de la persona natural o jurídica que emite el mensaje. c) La inclusión de una dirección de correo electrónico válido y activo de respuesta para que el receptor pueda enviar un mensaje para notificar su voluntad de no recibir más correos no solicitados o la inclusión de otros mecanismos basados en Internet que permita al receptor manifestar su voluntad de no recibir mensajes adicionales. Artículo 6.- Correo electrónico comercial no solicitado considerado ilegal El correo electrónico comercial no solicitado será considerado ilegal en los siguientes casos: a) Cuando no cumpla con alguno de los requisitos establecidos en el artículo 5 de la presente Ley. b) Contenga nombre falso o información falsa que se oriente a no identificar a la

56

persona natural o jurídica que transmite el mensaje. c) Contenga información falsa o engañosa en el campo del asunto (o subject), que no coincida con el contenido del mensaje. d) Se envíe o transmita a un receptor que haya formulado el pedido para que no se envíe dicha publicidad, luego del plazo de dos (2) días. Artículo 7.- Responsabilidad Se considerarán responsables de las infracciones establecidas en el artículo 6 de la presente Ley y deberán compensar al receptor de la comunicación: 1. Toda persona que envíe correos electrónicos no solicitados conteniendo publicidad comercial. 2. Las empresas o personas beneficiarias de manera directa con la publicidad difundida. 3. Los intermediarios de correos electrónicos no solicitados, tales como los proveedores de servicios de correos electrónicos. Artículo 8.- Derecho a compensación pecuniaria El receptor de correo electrónico ilegal podrá accionar por la vía del proceso sumarísimo contra la persona que lo haya enviado, a fin de obtener una compensación pecuniaria, la cual será equivalente al uno por ciento (1%) de la Unidad Impositiva Tributaria por cada uno de los mensajes de correo electrónico transmitidos en contravención de la presente Ley, con un máximo de dos (2) Unidades Impositivas Tributarias. f. Proyecto de Ley no.2825-2000/CR (en materia de pornografía infantil en Internet) Fórmula Legal/ TEXTO DEL PROYECTO La Congresista de la República que suscribe, ENITH CHUQUIVAL SAAVEDRA, integrante del Grupo Parlamentario Perú Posible (PP), en ejercicio del derecho de iniciativa legislativa conferido por el artículo 107° de la Constitución Política del Estado, concordante con el Artículo 75° del reglamento del Congreso de la República, presenta el siguiente Proyecto de Ley: ADICIONENCE LOS ARTICULOS 183-B y 183-C AL CODIGO PENAL, EN MATERIA DE PORNOGRAFIA INFANTIL EN INTERNET ARTICULO 1°. - Adicionase los artículos 183-B y 183-C al Capítulo XI -Ofensas al Pudor Público- del Código Penal, con el siguiente texto: "Artículo 183-B. - Al que procure o facilite por cualquier medio el que uno o más menores de dieciocho años, con o sin su consentimiento, lo o los obligue o induzca a realizar actos de exhibicionismo corporal, lascivos, o pornográficos con el objeto y fin de videograbarlos, fotografiarlos o exhibirlos mediante medios impresos, electrónicos o de un sistema de datos a través de cómputo o de cualquier otro mecanismo de archivos de datos, con o sin el fin de obtener un lucro, se le impondrán la pena privativa de libertad no menor de cinco ni mayor de doce años y con trescientos sesenticinco días multa". "Al que fije, grabe, imprima actos de exhibicionismo corporal, lascivos o pornográficos, en que participen uno o más menores de dieciocho años, se le impondrá la pena de cinco a doce años de pena privativa de la libertad y de trescientos sesenticinco días multa. La misma pena se impondrá a quien con fines de lucro o sin él, elabore, produzca, reproduzca, ofrezca, venda, arriende, exponga, publicite, haga accesible, distribuya o trasmita a través de un sistema de computo o cualquier otro mecanismo de archivo de datos, el material a que se refiere el presente artículo".

57

"Artículo 183-C. - Para los efectos de estos artículos se entiende por pornografía infantil, toda representación de un menor de edad dedicado a actividades explícitas reales o simuladas de carácter sexual, realizada a través de escritos, objetos, medios audiovisuales, electrónicos, sistemas de cómputo o cualquier medio que pueda utilizarse para la comunicación y que tienda a excitar sexualmente a terceros, cuando esta representación no tenga valor artístico, literario, científico o pedagógico." Artículo 2°. - La presente ley entrará en vigencia al día siguiente de su publicación en el Diario Oficial "El Peruano". 10.3. - Ultimas modificaciones en la legislación peruana Podremos decir a manera de premisa que existen muchos tipos legales que no estaban desarrollados al momento en el que el legislador optó por tipificar ciertas conductas como delitos. El desarrollo incesante de la informática estimulado básicamente por la competencia y las nuevas expectativas de los usuarios hace necesaria la protección del sistema informático que prevenga básicamente a nivel administrativo en primer lugar y no castigue futuras acciones delictivas que ya se empiezan a observar y que atenta contra lo que podemos llamar el sistema informático. Por la forma como avanza la comisión de actos ilícitos y por los múltiples bienes jurídicos involucrados, no se encuadra en los delitos tradicionales por lo cual hace necesario de manera subsidiaria una nueva tipificación con sus agravantes ya que la legislación vigente resulta por lo menos insuficiente. Latinoamérica y el Perú en particular se convierte en un blanco de fácil acceso al no estar contemplado de manera adecuada estas conductas y no es posible estirar el tipo pena como si se tratara de una goma de mascar para que no se realicen cambios que la realidad de la globalización aconseja. Y para terminar ¿Sería necesario que se determine de manera objetiva el ilícito pena o será necesario probar el dolo? La problemática de los delitos informáticos requiere un estudio especial con vistas a determinar la medida en que las leyes penales vigentes constituyen un cuerpo normativo insuficiente para prevenir y reprimir este tipo de conductas elaborado por expertos y de carácter multidisciplinario que aborde los retos que no hagan de la ley un Tótem. 10.4. - incorporación de los delitos informáticos Mediante Ley No. 27309 publicada el 17/07/00 se han incorporado los delitos informáticos a la Legislación Penal. Efectivamente, se ha vuelto a modificar el Código Penal, esta vez para adicionar cuatro artículos modificatorios. De esta manera, se incorpora el articulo 207o. -A que señala que aquella persona que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en base de datos, será reprimida con pena privativa de la libertad no mayor de dos años o con prestación de servicio comunitarios de cincuenta y dos a ciento cuatro jornadas. Así mismo, se ha incorporado el articulo 207o.- B que a la letra estipula: “El que utiliza, ingresa o interfiriere indebidamente una base de datos, sistema o red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de la libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa.

58

10.5. Exención de pena También se ha incorporado el artículo 207o. - C que establece que en los casos del los artículos 207-A y 207-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años cuando: 1.- El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo. 2. - El agente pone en peligro la seguridad nacional. El artículo 208o. ha sido modificado, estableciendo ahora que no son reprimibles, sin perjuicio de la reparación civil los hurtos, apropiaciones, defraudaciones o daños que causen: 1. - Los cónyuges, concubinos, ascendientes, descendientes y afines en línea recta. 2. - El consorte viudo, respecto de los bienes de su difunto cónyuge, mientras no hayan pasado a poder de tercero. 3. - Los hermanos y cuñados si viviesen juntos. Como podemos apreciar ha sido un avance pero existen varios supuestos que se escapan al tipo legal de la norma que deben ser corregidos. 11. Conclusiones

o Un análisis de las legislaciones que se han promulgado en diversos países arroja que las normas jurídicas que se han puesto en vigor están dirigidas a proteger la utilización abusiva de la información reunida y procesada mediante el uso de computadoras.

o Desde hace aproximadamente diez años la mayoría de los países europeos

han hecho todo lo posible para incluir dentro de la ley, la conducta punible penalmente, como el acceso ilegal a sistemas de computo o el mantenimiento ilegal de tales accesos, la difusión de virus o la interceptación de mensajes informáticos.

o Este nivel de criminalidad se puede explicar por la dificultad de reprimirla en

forma internacional, ya que los usuarios están esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande de que el agresor y la víctima estén sujetos a leyes nacionales diferentes. Además, si bien los acuerdos de cooperación internacional y los tratados de extradición bilaterales intentan remediar algunas de las dificultades ocasionadas por los delitos informáticos, sus posibilidades son limitadas.

o Es destacable que la delincuencia informática se apoya en el delito

instrumentado por el uso de la computadora a través de redes telemáticas y la interconexión de la computadora, aunque no es el único medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo creciente aún en países latinoamericanos, conlleva también a la posibilidad creciente de estos delitos; por eso puede señalarse que la criminalidad informática constituye un reto considerable tanto para los sectores afectados de la infraestructura crítica de un país, como para los legisladores, las autoridades policiales encargadas de las investigaciones y los funcionarios judiciales.

o Debido a la naturaleza virtual de los delitos informáticos, puede volverse

confusa la tipificación de éstos ya que a nivel general, se poseen pocos conocimientos y experiencias en el manejo de ésta área. Desde el punto de vista de la Legislatura es difícil la clasificación de estos actos, por lo que la creación de instrumentos legales puede no tener los resultados esperados,

59

sumado a que la constante innovación tecnológica obliga a un dinamismo en el manejo de las Leyes relacionadas con la informática.

o La falta de cultura informática es un factor crítico en el impacto de los delitos

informáticos en la sociedad en general, cada vez se requieren mayores conocimientos en tecnologías de la información, las cuales permitan tener un marco de referencia aceptable para el manejo de dichas situaciones.

o Nuevas formas de hacer negocios como el comercio electrónico puede que no

encuentre el eco esperado en los individuos y en las empresas hacia los que va dirigido ésta tecnología, por lo que se deben crear instrumentos legales efectivos que ataquen ésta problemática, con el único fin de tener un marco legal que se utilice como soporte para el manejo de éste tipo de transacciones.

o La ocurrencia de delitos informáticos en las organizaciones alrededor del

mundo no debe en ningún momento impedir que éstas se beneficien de todo lo que proveen las tecnologías de información (comunicación remota, Interconectividad, comercio electrónico, etc.); sino por el contrario dicha situación debe plantear un reto a los profesionales de la informática, de manera que se realicen esfuerzos encaminados a robustecer los aspectos de seguridad, controles, integridad de la información, etc. en las organizaciones.

o Podremos decir a manera de conclusión que existen muchos tipos legales que

no estaban desarrollados al momento en el que el legislador optó por tipificar ciertas conductas como delitos.

o El desarrollo incesante de la informática estimulado básicamente por la

competencia y las nuevas expectativas de los usuarios hace necesaria la protección del sistema informático que prevenga básicamente a nivel administrativo en primer lugar y no castigue futuras acciones delictivas que ya se empiezan a observar y que atenta contra lo que podemos llamar el sistema informático.

o Por la forma como avanza la comisión de actos ilícitos y por los múltiples

bienes jurídicos involucrados, no se encuadra en los delitos tradicionales por lo cual hace necesario de manera subsidiaria una nueva tipificación con sus agravantes ya que la legislación vigente resulta por lo menos insuficiente, determinando de manera objetiva enfatizando en el dolo.

o La problemática de los delitos informáticos requiere un estudio especial y

multidisciplinario con vistas a determinar la medida en que las leyes penales vigentes constituyen un cuerpo normativo suficiente para prevenir y reprimir este tipo de conductas elaborado por expertos y de carácter multidisciplinario que aborde el reto que nos plantean los Delitos Informáticos.

12. Bibliografía - BLOSSIERS MAZZINI, Juan José. “Descubriendo los Delitos Informáticos” En: Normas Legales, Legislación, Jurisprudencia y Doctrina. tomo 280 Setiembre 1,999 - BLOSSIERS MAZZINI, Juan José. “Delitos Informáticos” En: Diario Oficial El Peruano, Mayo, 1998 - CORREA, Carlos María. “El Derecho Informático en América Latina” En: Derecho y Tecnología Informática. Bogotá: Themis, 1990. - GUIBOURG, Ricardo “La Administración de Justicia frente a la Informática” En: Publicación de Plenarios de las Primeras Jornadas Internacionales de Informática al Servicio del derecho, Junio de 1,985, Mercedes.

60

- HUET, Jerome. “Derecho de la Informática: La Libertad Documental y sus Límites, los Bancos de Datos y los Derechos de Autor” En: Recueil dallos Sirey. No. 21 Año 1984. - MEHRINGS, Ver. ”Information und Dokumentation” “GRUR”, 1983. - MOHRENSCHLAGER, Manfred. “El Nuevo Derecho Penal Informático en Alemania” En: Delincuencia Informática. Barcelona, PPU, 1992. - MUÑOZ CONDE, Francisco. “Introducción al Derecho Penal” Barcelona: Bosch, 1975. - SALT G. Marcos,”Delitos Informáticos de Carácter Económico” En: Delitos No Convencionales Bs. As. Ed. Del Puerto, 1994. - SIEBER, Uhrlich. “The International Handbook on Computer Crime” Ed.John Wiley &Sohn, 1986. - TIEDEMANN, Klaus. “Criminaltá da Computer” En: Política del Diritto, Año XV, No. 4 Dic. 1984. - ZAFFARONI, Eugenio Raúl. “Tratado de Derecho Penal” Buenos Aires: Ed. Ediar, 1983. - “LOS DELITOS INFORMÁTICOS EN LA BANCA”, PUBLICACIÓN POR LA INTERAMERICAN BAR ASSOCIATION. Juan José Blossiers Manzini y Sylvia B. Calderón García. Perú. 13. Referencias. Algunos sitios consultados por Internet http://members.nbci.com/segutot/delitos.htm http://www.fas.org/irp/congress/1996_hr/s960605l.htm http://digitaldesign.bariloche.net.ar/xiijovenab/ComDerPen%20-%20DelitosInfor.htm http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml http://www.govnews.org/mhonarc/gov/us/fed/congress/gao/reports/_msg00533.html http://www.dtj.com.ar/publicaciones.htm http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html http://www.ecomder.com.ar http://www.bilbaoweb.com/hackuma/guidel1.htm http://arnal.es/free/noticias/free2_08.html#T12 http://margay.fder.uba.ar/centro/juridicas/Juridica11/salt.html http://www.monografias.com/trabajos/legisdelinf/legisdelinf.shtml http://legal.infosel.com/Legal/EnLinea/Articulos/articulo/0001/ http://www.inei.gob.pe/cpi/bancopub/cpi008.htm Alumno: Walter Purizaca Castro Código 2004183358 Derecho- Sem.IV. UAP-Piura-Perú Docente: Dr. César Vásquez Arana.