Por: Jorge Arturo
Abello Gual.
Los delitos informáticos son sin
duda uno de los grandes cambios sociales a los cuales debe adaptarse el Derecho
penal. Como siempre se ha dicho, el derecho es una disciplina que se encarga de
regular los fenómenos sociales para mantener la convivencia pacífica en una
sociedad, y por eso tal vez se diga que un delito es una creación social.
En el caso de los delitos
informáticos es claro que la mayor parte de nuestro tiempo interactuamos con
otras personas a través de muchos aparatos que nos permiten conectarnos al
internet. Igualmente gran parte de nuestro trabajo queda en las bases de datos,
y en sistemas de información y de almacenamiento. Cada vez más la tecnología y
las redes sociales han venido transformando nuestras formas de interactuar con
empresas y personas. Igualmente, en el
sector público las autoridades estatales han implementado procedimientos de
atención a los ciudadanos a través de internet.
Así las cosas, todas las interacciones en redes de comunicación también
llevan riesgos inherentes. Así por ejemplo, una persona puede perder su puesto
si envía un correo con una información confidencial de la empresa a personas
diferentes a las autorizadas para conocerlas; o una pareja puede romper su
relación porque uno de los dos, revela un contenido de una comunicación privada.
Los riesgos de la tecnología son
muchísimos porque se han convertido en el principal medio con el cual se
realizan muchas actividades, y en estos tiempos quien maneja la información,
maneja mucho poder. La verdad es que no somos conscientes de los riesgos que se
corren a diario cuando se interactúa en las redes sociales o en otros medios de
comunicación que utilicen tecnología, y para ello daremos varios ejemplos a
continuación.
1.
RIESGOS
DEL USO DE LA TECNOLOGÍA.
Los riesgos del uso de la
tecnología se pueden ver en todo tipo de actividades, para dar algunos ejemplos
tomaremos algunos ámbitos de la vida diaria como son el privado, el empresarial y el gubernamental.
En el ámbito privado alguien
puede robarse la clave de nuestra cuenta de correo y destruir nuestra
información personal, haciendo imposible la recuperación de esa información importante. Igualmente, podría hacer un uso indebido de dicha información,
como publicar comunicaciones privadas, transferir información a personas que no
deben tenerla, o crearle problemas con las autoridades públicas. Otros ejemplos
podrían ser perder las claves en sus redes sociales, o más grave aún, perder la
clave de su cuenta bancaria. También es posible ser extorsionado, acosado o
injuriado si alguien utiliza indebidamente su información personal.
En el campo laboral, una empresa
puede verse seriamente afectada en su funcionamiento si su página de internet
queda bloqueada y nadie puede acceder a ella. Pensemos por ejemplo, cuánto dinero podría
perder un banco si en dos días su página web queda inhabilitada. ¿Qué le
ocurriría por ejemplo a una Universidad si perdiera la información de las notas de
sus estudiantes a mitad de un semestre? ¿Qué le pasaría a una empresa si la
lista de todos sus proveedores o sus compradores cae en manos de su
competencia? ¿Qué le ocurriría a una compañía si se le borra todos sus archivos
de facturación, o sus archivos de nómina o su sistema contable?
En el ámbito público, se podría
perder información de alta seguridad nacional, o los registros civiles de las personas,
o incluso se podría ganar unas elecciones al alterar los resultados con un
ataque informático. El departamento de seguridad de estados como Estados Unidos
o como Irán son víctimas de ataques cibernéticos dirigidos a obtener
información sobre operaciones y armamento militar. En otros ámbitos, se pueden
alterar expedientes electrónicos o borrar información de trámites ante las
oficinas gubernamentales.
2.
LOS
DELITOS INFORMÁTICOS EN EL CÓDIGO PENAL COLOMBIANO.
En el código penal colombiano se
ha creado el título denominado la protección de la información y de los datos, en el
cual se han creado varios tipos penales que buscan prevenir algunas de las
conductas que hemos reseñado anteriormente.
2.1. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.
El primero de los delitos es el
acceso abusivo a un sistema informático y se establece de la siguiente forma:
Artículo 269A:
Acceso abusivo a un sistema informático. El que, sin autorización o por fuera
de lo acordado, acceda en todo o en parte a un sistema informático protegido o
no con una medida de seguridad, o se mantenga dentro del mismo en contra de la
voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a
1.000 salarios mínimos legales mensuales vigentes.
En este delito se castiga a las
personas que acceden a páginas o a sistemas sin autorización, del dueño o
administrador del sitio. Hoy en día, cada vez más tanto las empresas, personas
o autoridades públicas, promocionan sus servicios por internet, o incluso
prestan dichos servicios a través de sus páginas web, el problema con ello es
que el acceso al manejo de estos sitios debe estar restringido para el dueño,
el administrador o a determinadas personas que éstos habiliten, de lo
contrario, cualquier persona podría alterar los contenidos de la página, el
valor de los productos o simplemente bloquear la página. Por eso en cada página web existe una parte que es de libre acceso para todo el público en general, y otra parte operativa que solo pueden manejar los administradores, dueños o personal
habilitado para administrar la página.
De esta manera, si alguien no
habilitado ingresa al sistema operativo de una página web incurriría en este
delito. El centro de la conducta delictiva es acceder o mantenerse en un
sistema informático protegido o no, en contra de la voluntad de las personas
que si tienen ese derecho. En este delito no importa si el intruso alteró la información o
manipuló el sistema operativo para causar un daño, lo verdaderamente importante es
el acceso a un sistema informático sin autorización. Este delito debe
entenderse como el allanamiento ilegal del domicilio físico de una persona,
porque es el solo hecho de estar dentro de la casa de una persona sin su
autorización, configura el delito, sin importar que rompa, dañe u oculte alguna
cosa. En uno y otro delito, lo importante es la autorización para acceder a un
sitio, si hay autorización desaparece el delito.
Así las cosas, si alguien envía
un correo con un virus, que le permite acceder al ordenador de una persona, solo
para leer o conocer lo que hace la víctima en su computador, sin necesidad de
dañar o alterar la información o hacer uso indebido de la misma, ya incurre en
dicho delito estudiado.
Si un ingeniero informático quiere demostrarle a su amigo que tiene las capacidades para acceder a la
página de una Universidad, con el solo hecho de acceder a la página de forma
clandestina e irregular, ya incurre en este delito.
2.2. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA
INFORMÁTICO O RED DE TELECOMUNICACIÓN.
El segundo delito del capítulo es
la obstaculización ilegítima de sistema informático o rede de telecomunicación,
establecido en la norma penal de la siguiente forma:
Artículo 269B:
Obstaculización ilegítima de sistema informático o red de telecomunicación. El
que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el
acceso normal a un sistema informático, a los datos informáticos allí
contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000
salarios mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.
Este delito fue creado para una
conducta muy específica en el mundo cibernético, y es el bloqueo de las páginas
web o de parte de ellas, por parte de personas no autorizadas para realizar este tipo de operación. Como
se dijo anteriormente, el dueño, el administrador o las personas autorizadas
para ello, entre los que hay que incluir a las autoridades públicas, pueden bloquear las páginas web, pero fuera
de estas personas, nadie podría restringir el derecho a divulgar el
contenido o a prestar su servicio o vender un producto a través de la redes
sociales.
Así por ejemplo si alguien quiere
censurar una noticia que publicó un periódico o una noticia que le desfavorece,
contrata a un hacker para que bloquee la página del periódico o revista, o sencillamente
para que bloquee la noticia, por esa sola conducta se incurre en el delito de
Obstaculización ilegítima de sistema informático o de red de telecomunicación. Igualmente
se configura dicho delito, cuando un empresario contrata a un grupo de hackers,
para bloquear la página web de su competidor, piénsese por ejemplo en el
bloqueo de una página donde se venda ropa, zapatos o inclusive en el caso del
bloqueo de una página de un banco. También se puede configurar este delito en el campo de la política, cuando un
candidato paga para que un grupo de hackers bloquee la página de su rival.
2.3. INTERCEPTACIÓN DE DATOS INFORMÁTICOS.
El siguiente delito es el de
interceptación de datos informáticos, que está consagrado de la siguiente
forma:
Artículo 269C:
Interceptación de datos informáticos. El que, sin orden judicial previa
intercepte datos informáticos en su origen, destino o en el interior de un
sistema informático, o las emisiones electromagnéticas provenientes de un
sistema informático que los transporte incurrirá en pena de prisión de treinta
y seis (36) a setenta y dos (72) meses.
En este delito lo que se busca es
proteger el derecho a la privacidad de la correspondencia, por lo tanto, lo que
se busca es que dentro de una comunicación sea conocida por el emisor y el
receptor, y de las personas que ellos autoricen. Este derecho solo queda
restringido cuando una autoridad judicial ordena revelar el contenido de la
comunicación.
Precisamente con el desarrollo de
las tecnologías, las personas utilizan este medio para enviar y recibir todo
tipo de mensajes, imágenes, documentos e información, pero el riesgo también
esta dado, porque existen personas con capacidad para interceptar esas
comunicaciones y revelar sin autorización dicha información. La protección de
la intimidad es el centro de este delito, y todo acto tendiente a revelar
información contenida en una comunicación privada, sería sancionado penalmente.
El delito solo se configura, cuando para la interceptación de las
comunicaciones se utilizan medios informáticos.
2.4. DAÑO INFORMÁTICO.
El siguiente delito es el daño informático y está regulado de la
siguiente forma:
Artículo 269D:
Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre,
deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de
información o sus partes o componentes lógicos, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios
mínimos legales mensuales vigentes.
Este delito fue creado para
aquellas personas que accedan a un sistema informático con o sin autorización,
pero que dañe, borre, deteriore, altere o suprima datos informáticos. Así
entonces si alguien accede al sistema de una universidad y borra una nota de un
estudiante o la cambia, no solamente incurre en el delito de acceso ilegal,
sino que además incurre en daño informático. Igualmente se configura este
delito, cuando alguien contrata a un hacker para sabotear el sistema contable o
la información de proveedores de su competencia. Ocurre lo mismo
cuando alguien altera un documento del computador de un amigo o altera el
contenido de una foto o imagen. La contracara de dicho delito, es ser el dueño
de la información, o estar autorizado para destruirla o modificarla, y eso es
el límite entre lo legal y lo ilegal.
2.5. USO DE SOFTWARE MALICIOSO.
El siguiente delito es el uso de software
malicioso, que se encuentra estipulado de la siguiente forma:
Artículo 269E:
Uso de software malicioso. El que, sin estar facultado para ello, produzca,
trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del
territorio nacional software malicioso u otros programas de computación de
efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa
y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales
vigentes.
En este delito lo que se sanciona
es la producción, tráfico, adquisición, distribución, venta, envío, importación
o exportación de software malicioso, es decir todo tipo de virus o programas
que produzcan efectos dañinos. Lo que se busca es evitar los daños que se
puedan realizar en el mundo cibernético a las personas a través de los virus, y por eso se prohíbe su producción o
tráfico. Sin embargo, queda por debatir que ocurre cuando se crean virus para
probar los sistemas de seguridad o los antivirus con fines académicos o en
desarrollo de sistemas de seguridad informática, pienso que estos casos, no se
configuraría el delito en mención.
2.6. VIOLACIÓN DE DATOS PERSONALES.
El siguiente delito es el de
violación de datos personales, que se regula en la ley penal de la siguiente
manera:
Artículo 269F:
Violación de datos personales. El que, sin estar facultado para ello, con
provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda,
intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases de datos o
medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
Muchas empresas, redes sociales y
autoridades públicas, tienen información personal de mucha gente para fines
comerciales, relaciones contractuales o actividades gubernamentales, pero su
uso se encuentra regulado por la ley y los contratos donde se impone el deber
de confidencialidad. Sin embargo, personas no autorizadas o hackers pueden
extraer las bases de datos e información personal de usuarios o ciudadanos para
fines diferentes a los establecidos en la ley o los contratos.
Así por ejemplo, si alguien
extrae la lista de los proveedores de su competidor, incurre en este delito. Igualmente,
incurre en este delito la farmacéutica que indebidamente accede a la lista de
usuarios de una EPS, para ofrecerles medicamentos costosos. También incurre en
este delito, el empleado que extrae la lista de clientes de la empresa en la
cual trabaja, para enviarle ofertas de otros productos que no han sido
autorizados por los usuarios.
2.7. SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR
DATOS PERSONALES.
El siguiente delito es la
suplantación de sitios web para capturar datos personales, que está regulado de
la siguiente manera:
Artículo 269G:
Suplantación de sitios web para capturar datos personales. El que con objeto
ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda,
ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes,
incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes,
siempre que la conducta no constituya delito sancionado con pena más grave.
En la misma
sanción incurrirá el que modifique el sistema de resolución de nombres de
dominio, de tal manera que haga entrar al usuario a una IP diferente en la
creencia de que acceda a su banco o a otro sitio personal o de confianza,
siempre que la conducta no constituya delito sancionado con pena más grave.
La pena
señalada en los dos incisos anteriores se agravará de una tercera parte a la
mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del
delito.
Este delito sanciona con pena a
aquellas personas que diseñan o crean páginas web iguales a otras con el objeto
de engañar a los usuarios, y así capturar los datos y contraseñas de estas
personas. También se configura este delito cuando se configura el sistema
original del sitio web, con el propósito de extraer los datos y contraseñas de
las personas con fines ilegales.
2.8. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES.
El delito que vamos a analizar a
continuación es el hurto por medios informáticos y semejantes que está regulado
de la siguiente forma:
Artículo 269I:
Hurto por medios informáticos y semejantes. El que, superando medidas de
seguridad informáticas, realice la conducta señalada en el artículo 239
manipulando un sistema informático, una red de sistema electrónico, telemático
u otro medio semejante, o suplantando a un usuario ante los sistemas de
autenticación y de autorización establecidos, incurrirá en las penas señaladas
en el artículo 240 de este Código.
Este delito castiga la conducta
de aquellas personas que se apoderen de dineros de terceros, luego de haber
accedido a sistemas informáticos de manera ilegal, hurtado claves de seguridad
o realizar pagos a través de transferencias bancarias sin autorización de la
víctima.
La necesidad de incluir este
delito por fuera del delito de hurto, fue adicionar conductas como quién accede
ilegalmente a un sistema bancario y realiza transferencias de varias cuentas a
sus cuentas privadas. O de quien luego de robar las claves de acceso de varias
personas accede a la cuenta de una de ellas y transfiere su dinero. El evento
central de esta conducta es la extracción del patrimonio económico de la
víctima, utilizando como medio algún acto fraudulento en un sistema
informático, pero de no haber afectación del patrimonio económico, no se
configuraría dicho delito, sino otro de los que ya se han explicado
anteriormente.
2.9. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.
El último de los delitos
informáticos creados en el Código Penal colombiano, es el de transferencia no
consentida de activos, y está regulado de la siguiente manera:
Artículo 269J:
Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose
de alguna manipulación informática o artificio semejante, consiga la
transferencia no consentida de cualquier activo en perjuicio de un tercero,
siempre que la conducta no constituya delito sancionado con pena más grave,
incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses
y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma
sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa
de computador destinado a la comisión del delito descrito en el inciso
anterior, o de una estafa.
Si la conducta
descrita en los dos incisos anteriores tuviere una cuantía superior a 200
salarios mínimos legales mensuales, la sanción allí señalada se incrementará en
la mitad.
A diferencia del hurto por medios
informáticos o la estafa informática, la transferencia no consentida significa,
que el sujeto activo realice una manipulación informática, y que se realice una
transferencia sin el consentimiento de la víctima. De esta forma, si el sujeto activo se apodera
del patrimonio de la víctima mediando una manipulación informática habría
hurto, así que para que exista transferencia se requiere que no se presente un
apoderamiento, pero pincluso el hurto incluye el apoderamiento a favor de un tercero.
Si la transferencia se realiza engañando a la víctima o haciéndola incurrir en
un error, habría estafa informática. La verdad es que el espectro de aplicación
práctica de este delito es muy pequeño, si además tenemos en cuenta que se
trata de un delito subsidiario, es decir se aplica si no se puede aplicar un
delito más grave. En todo caso, podría pensarse en alguien que cree un software
que manipule el sistema de pagos de una empresa y paga varias veces una misma
cuenta a un proveedor o paga varias veces la nómina, es claro que se trata de
una manipulación informática, que logró varias transferencias electrónicas no
consentidas por la víctima, sin embargo su efecto, que es el detrimento
patrimonial a favor de terceros, hace que el hurto informático también
concurse, y el debate para resolver el concurso estaría entre el criterio de
especialidad y el criterio de subsidiariedad.
ARTÍCULOS RELACIONADOS:
ASESORÍAS Y CONSULTORÍAS EN DERECHO PENAL Y EN DERECHO
DISCIPLINARIO.
RESPONSABILIDAD PENAL DEL EMPRESARIO: IMPUTACIÓN INDIVIDUAL
EN LAS ESTRUCTURAS EMPRESARIALES.
LA ADMINISTRACIÓN DESLEAL EN COLOMBIA: CASO DE INTERBOLSA.
EL HURTO AGRAVADO POR LA CONFIANZA Y EL ABUSO DE CONFIANZA.
RESPONSABILIDAD PENAL POR EL PRODUCTO
DERECHO PENAL EMPRESARIAL.
RESPONSABILIDAD PENAL DE LAS PERSONAS JURÍDICAS EN COLOMBIA.
MARCO JURÍDICO DE UN DERECHO PENAL TRIBUTARIO EN COLOMBIA.