jueves, 9 de marzo de 2017

LOS DELITOS INFORMÁTICOS EN EL DERECHO PENAL COLOMBIANO



Por: Jorge Arturo Abello Gual.

Los delitos informáticos son sin duda uno de los grandes cambios sociales a los cuales debe adaptarse el Derecho penal. Como siempre se ha dicho, el derecho es una disciplina que se encarga de regular los fenómenos sociales para mantener la convivencia pacífica en una sociedad, y por eso tal vez se diga que un delito es una creación social.

En el caso de los delitos informáticos es claro que la mayor parte de nuestro tiempo interactuamos con otras personas a través de muchos aparatos que nos permiten conectarnos al internet. Igualmente gran parte de nuestro trabajo queda en las bases de datos, y en sistemas de información y de almacenamiento. Cada vez más la tecnología y las redes sociales han venido transformando nuestras formas de interactuar con empresas y personas. Igualmente,  en el sector público las autoridades estatales han implementado procedimientos de atención a los ciudadanos a través de internet.

Así las cosas, todas  las interacciones en redes de comunicación también llevan riesgos inherentes. Así por ejemplo, una persona puede perder su puesto si envía un correo con una información confidencial de la empresa a personas diferentes a las autorizadas para conocerlas; o una pareja puede romper su relación porque uno de los dos, revela un contenido de una comunicación privada.

Los riesgos de la tecnología son muchísimos porque se han convertido en el principal medio con el cual se realizan muchas actividades, y en estos tiempos quien maneja la información, maneja mucho poder. La verdad es que no somos conscientes de los riesgos que se corren a diario cuando se interactúa en las redes sociales o en otros medios de comunicación que utilicen tecnología, y para ello daremos varios ejemplos a continuación.

       1.       RIESGOS DEL USO DE LA TECNOLOGÍA.

Los riesgos del uso de la tecnología se pueden ver en todo tipo de actividades, para dar algunos ejemplos tomaremos algunos ámbitos de la vida diaria como son el privado, el empresarial y el gubernamental.

En el ámbito privado alguien puede robarse la clave de nuestra cuenta de correo y destruir nuestra información personal, haciendo imposible la recuperación de esa información importante. Igualmente, podría hacer un uso indebido de dicha información, como publicar comunicaciones privadas, transferir información a personas que no deben tenerla, o crearle problemas con las autoridades públicas. Otros ejemplos podrían ser perder las claves en sus redes sociales, o más grave aún, perder la clave de su cuenta bancaria. También es posible ser extorsionado, acosado o injuriado si alguien utiliza indebidamente su información personal.

En el campo laboral, una empresa puede verse seriamente afectada en su funcionamiento si su página de internet queda bloqueada y nadie puede acceder a ella. Pensemos por ejemplo, cuánto dinero podría perder un banco si en dos días su página web queda inhabilitada. ¿Qué le ocurriría por ejemplo a una Universidad si perdiera la información de las notas de sus estudiantes a mitad de un semestre? ¿Qué le pasaría a una empresa si la lista de todos sus proveedores o sus compradores cae en manos de su competencia? ¿Qué le ocurriría a una compañía si se le borra todos sus archivos de facturación, o sus archivos de nómina o su sistema contable?

En el ámbito público, se podría perder información de alta seguridad nacional, o los registros civiles de las personas, o incluso se podría ganar unas elecciones al alterar los resultados con un ataque informático. El departamento de seguridad de estados como Estados Unidos o como Irán son víctimas de ataques cibernéticos dirigidos a obtener información sobre operaciones y armamento militar. En otros ámbitos, se pueden alterar expedientes electrónicos o borrar información de trámites ante las oficinas gubernamentales.
      
        2.       LOS DELITOS INFORMÁTICOS EN EL CÓDIGO PENAL COLOMBIANO.

En el código penal colombiano se ha creado el título denominado la protección de la información y de los datos, en el cual se han creado varios tipos penales que buscan prevenir algunas de las conductas que hemos reseñado anteriormente.
      
       2.1. ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO.

El primero de los delitos es el acceso abusivo a un sistema informático y se establece de la siguiente forma:

Artículo 269A: Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

En este delito se castiga a las personas que acceden a páginas o a sistemas sin autorización, del dueño o administrador del sitio. Hoy en día, cada vez más tanto las empresas, personas o autoridades públicas, promocionan sus servicios por internet, o incluso prestan dichos servicios a través de sus páginas web, el problema con ello es que el acceso al manejo de estos sitios debe estar restringido para el dueño, el administrador o a determinadas personas que éstos habiliten, de lo contrario, cualquier persona podría alterar los contenidos de la página, el valor de los productos o simplemente bloquear la página. Por eso en cada página web existe una parte que es de libre acceso para todo el público en general, y otra parte operativa que solo pueden manejar los administradores, dueños o personal habilitado para administrar la página.

De esta manera, si alguien no habilitado ingresa al sistema operativo de una página web incurriría en este delito. El centro de la conducta delictiva es acceder o mantenerse en un sistema informático protegido o no, en contra de la voluntad de las personas que si tienen ese derecho. En este delito no importa si el intruso alteró la información o manipuló el sistema operativo para causar un daño, lo verdaderamente importante es el acceso a un sistema informático sin autorización. Este delito debe entenderse como el allanamiento ilegal del domicilio físico de una persona, porque es el solo hecho de estar dentro de la casa de una persona sin su autorización, configura el delito, sin importar que rompa, dañe u oculte alguna cosa. En uno y otro delito, lo importante es la autorización para acceder a un sitio, si hay autorización desaparece el delito.

Así las cosas, si alguien envía un correo con un virus, que le permite acceder al ordenador de una persona, solo para leer o conocer lo que hace la víctima en su computador, sin necesidad de dañar o alterar la información o hacer uso indebido de la misma, ya incurre en dicho delito estudiado.

Si un ingeniero informático quiere demostrarle a su amigo que tiene las capacidades para acceder a la página de una Universidad, con el solo hecho de acceder a la página de forma clandestina e irregular, ya incurre en este delito.

   2.2. OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN.

El segundo delito del capítulo es la obstaculización ilegítima de sistema informático o rede de telecomunicación, establecido en la norma penal de la siguiente forma:

Artículo 269B: Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.  

Este delito fue creado para una conducta muy específica en el mundo cibernético, y es el bloqueo de las páginas web o de parte de ellas, por parte de personas no autorizadas para realizar este tipo de operación. Como se dijo anteriormente, el dueño, el administrador o las personas autorizadas para ello, entre los que hay que incluir a las autoridades públicas, pueden bloquear las páginas web, pero fuera de estas personas, nadie podría restringir el derecho a divulgar el contenido o a prestar su servicio o vender un producto a través de la redes sociales.

Así por ejemplo si alguien quiere censurar una noticia que publicó un periódico o una noticia que le desfavorece, contrata a un hacker para que bloquee la página del periódico o revista, o sencillamente para que bloquee la noticia, por esa sola conducta se incurre en el delito de Obstaculización ilegítima de sistema informático o de red de telecomunicación. Igualmente se configura dicho delito, cuando un empresario contrata a un grupo de hackers, para bloquear la página web de su competidor, piénsese por ejemplo en el bloqueo de una página donde se venda ropa, zapatos o inclusive en el caso del bloqueo de una página de un banco. También se puede configurar este delito  en el campo de la política, cuando un candidato paga para que un grupo de hackers bloquee la página de su rival.
     
       2.3. INTERCEPTACIÓN DE DATOS INFORMÁTICOS.

El siguiente delito es el de interceptación de datos informáticos, que está consagrado de la siguiente forma:

Artículo 269C: Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

En este delito lo que se busca es proteger el derecho a la privacidad de la correspondencia, por lo tanto, lo que se busca es que dentro de una comunicación sea conocida por el emisor y el receptor, y de las personas que ellos autoricen. Este derecho solo queda restringido cuando una autoridad judicial ordena revelar el contenido de la comunicación.

Precisamente con el desarrollo de las tecnologías, las personas utilizan este medio para enviar y recibir todo tipo de mensajes, imágenes, documentos e información, pero el riesgo también esta dado, porque existen personas con capacidad para interceptar esas comunicaciones y revelar sin autorización dicha información. La protección de la intimidad es el centro de este delito, y todo acto tendiente a revelar información contenida en una comunicación privada, sería sancionado penalmente. El delito solo se configura, cuando para la interceptación de las comunicaciones se utilizan medios informáticos.
     
     2.4. DAÑO INFORMÁTICO.

El siguiente delito es el  daño informático y está regulado de la siguiente forma:

Artículo 269D: Daño Informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Este delito fue creado para aquellas personas que accedan a un sistema informático con o sin autorización, pero que dañe, borre, deteriore, altere o suprima datos informáticos. Así entonces si alguien accede al sistema de una universidad y borra una nota de un estudiante o la cambia, no solamente incurre en el delito de acceso ilegal, sino que además incurre en daño informático. Igualmente se configura este delito, cuando alguien contrata a un hacker para sabotear el sistema contable o la información de proveedores de su competencia. Ocurre lo mismo cuando alguien altera un documento del computador de un amigo o altera el contenido de una foto o imagen. La contracara de dicho delito, es ser el dueño de la información, o estar autorizado para destruirla o modificarla, y eso es el límite entre lo legal y lo ilegal.
   
    2.5. USO DE SOFTWARE MALICIOSO.

El siguiente delito es el uso de software malicioso, que se encuentra estipulado de la siguiente forma:

Artículo 269E: Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

En este delito lo que se sanciona es la producción, tráfico, adquisición, distribución, venta, envío, importación o exportación de software malicioso, es decir todo tipo de virus o programas que produzcan efectos dañinos. Lo que se busca es evitar los daños que se puedan realizar en el mundo cibernético a las personas a través de los  virus, y por eso se prohíbe su producción o tráfico. Sin embargo, queda por debatir que ocurre cuando se crean virus para probar los sistemas de seguridad o los antivirus con fines académicos o en desarrollo de sistemas de seguridad informática, pienso que estos casos, no se configuraría el delito en mención.
  
     2.6. VIOLACIÓN DE DATOS PERSONALES.

El siguiente delito es el de violación de datos personales, que se regula en la ley penal de la siguiente manera:

Artículo 269F: Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

Muchas empresas, redes sociales y autoridades públicas, tienen información personal de mucha gente para fines comerciales, relaciones contractuales o actividades gubernamentales, pero su uso se encuentra regulado por la ley y los contratos donde se impone el deber de confidencialidad. Sin embargo, personas no autorizadas o hackers pueden extraer las bases de datos e información personal de usuarios o ciudadanos para fines diferentes a los establecidos en la ley o los contratos.

Así por ejemplo, si alguien extrae la lista de los proveedores de su competidor, incurre en este delito. Igualmente, incurre en este delito la farmacéutica que indebidamente accede a la lista de usuarios de una EPS, para ofrecerles medicamentos costosos. También incurre en este delito, el empleado que extrae la lista de clientes de la empresa en la cual trabaja, para enviarle ofertas de otros productos que no han sido autorizados por los usuarios.

      2.7. SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES.

El siguiente delito es la suplantación de sitios web para capturar datos personales, que está regulado de la siguiente manera:

Artículo 269G: Suplantación de sitios web para capturar datos personales. El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.

Este delito sanciona con pena a aquellas personas que diseñan o crean páginas web iguales a otras con el objeto de engañar a los usuarios, y así capturar los datos y contraseñas de estas personas. También se configura este delito cuando se configura el sistema original del sitio web, con el propósito de extraer los datos y contraseñas de las personas con fines ilegales.

      2.8. HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES.

El delito que vamos a analizar a continuación es el hurto por medios informáticos y semejantes que está regulado de la siguiente forma:

Artículo 269I: Hurto por medios informáticos y semejantes. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 de este Código.

Este delito castiga la conducta de aquellas personas que se apoderen de dineros de terceros, luego de haber accedido a sistemas informáticos de manera ilegal, hurtado claves de seguridad o realizar pagos a través de transferencias bancarias sin autorización de la víctima.

La necesidad de incluir este delito por fuera del delito de hurto, fue adicionar conductas como quién accede ilegalmente a un sistema bancario y realiza transferencias de varias cuentas a sus cuentas privadas. O de quien luego de robar las claves de acceso de varias personas accede a la cuenta de una de ellas y transfiere su dinero. El evento central de esta conducta es la extracción del patrimonio económico de la víctima, utilizando como medio algún acto fraudulento en un sistema informático, pero de no haber afectación del patrimonio económico, no se configuraría dicho delito, sino otro de los que ya se han explicado anteriormente.

      2.9. TRANSFERENCIA NO CONSENTIDA DE ACTIVOS.

El último de los delitos informáticos creados en el Código Penal colombiano, es el de transferencia no consentida de activos, y está regulado de la siguiente manera:

Artículo 269J: Transferencia no consentida de activos. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1.500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destinado a la comisión del delito descrito en el inciso anterior, o de una estafa.

Si la conducta descrita en los dos incisos anteriores tuviere una cuantía superior a 200 salarios mínimos legales mensuales, la sanción allí señalada se incrementará en la mitad.


A diferencia del hurto por medios informáticos o la estafa informática, la transferencia no consentida significa, que el sujeto activo realice una manipulación informática, y que se realice una transferencia sin el consentimiento de la víctima.  De esta forma, si el sujeto activo se apodera del patrimonio de la víctima mediando una manipulación informática habría hurto, así que para que exista transferencia se requiere que no se presente un apoderamiento, pero pincluso el hurto incluye el apoderamiento a favor de un tercero. Si la transferencia se realiza engañando a la víctima o haciéndola incurrir en un error, habría estafa informática. La verdad es que el espectro de aplicación práctica de este delito es muy pequeño, si además tenemos en cuenta que se trata de un delito subsidiario, es decir se aplica si no se puede aplicar un delito más grave. En todo caso, podría pensarse en alguien que cree un software que manipule el sistema de pagos de una empresa y paga varias veces una misma cuenta a un proveedor o paga varias veces la nómina, es claro que se trata de una manipulación informática, que logró varias transferencias electrónicas no consentidas por la víctima, sin embargo su efecto, que es el detrimento patrimonial a favor de terceros, hace que el hurto informático también concurse, y el debate para resolver el concurso estaría entre el criterio de especialidad y el criterio de subsidiariedad. 



Entrada destacada

LA ADMINISTRACIÓN DESLEAL EN EL CÓDIGO PENAL COLOMBIANO. EL CASO DE INTERBOLSA.

1Por: Jorge Arturo Abello Gual.      C ontactanos: georabello@hotmail.com  VER  TAMBIÉN VIDEO: DELITOS CONTRA EL PATRIMONIO ECONOMICO, HU...