¿Qué es el delito de Acceso Ilícito?

Ley especial deDelitos Informáticos

del Perú

Abril de 2014

Acceso Ilícito

“El que deliberada e ilegítimamente accede a todo o en parte de

un sistema informático, siempre que se realice con vulneración de

medidas de seguridad establecidas para impedirlo, será reprimido

con pena privativa de libertad no menor de uno ni mayor de cuatro

años y con treinta a noventa días-multa.

Será reprimido con la misma pena, el que accede a un sistema

informático excediendo lo autorizado.”

Fuente: Art. 2 de la Ley especial de Delitos Informáticos, aprobada por Ley 30096 y modificada por Ley 30171.

Análisis del tipo penal

Sujeto activo: Puede ser cualquiera.

Sujeto pasivo: Es quien ejerce la titularidad sobre el derecho de acceso al dato o al

sistema informático.

Bien jurídico tutelado: La confidencialidad, la integridad y la disponibilidad de los

datos y sistemas informáticos.

Elementos objetivos del tipo:Acceso a todo o en parte de un sistema informático;Vulneración de medidas de seguridad establecidas para impedir el acceso.Exceso que sobrepasa los límites de la autorización de acceso.

Elemento subjetivo del tipo:

Dolo. No existe el delito en su versión culposa.

Sanción penal:

1. Pena privativa de libertad no menor de 1 ni mayor de 4 años.

2- De 30 a 90 días multa.

Comentario

El tipo penal del acceso ilícito está incorporado dentro del capítulo

dedicado a los delitos que se cometen contra datos y sistemas

informáticos. Tutela el bien jurídico confidencialidad, integridad y

disponibilidad del dato (“seguridad de la información”) y del sistema

informático. La conducta que reprime consiste en acceder a todo o en

parte de un sistema informático (todo dispositivo aislado o conjunto de

dispositivos interconectados o relacionados entre sí, cuya función, o la de

alguno de sus elementos, sea el tratamiento automatizado de datos en

ejecución de un programa), siempre que el acceso se realice con

vulneración de las medidas de seguridad (códigos de acceso fijos o

dinámicos, firewalls, etc.) establecidas para impedirlo. Aparte, también se

reprime la conducta de quien deliberadamente sobrepasa los límites de la

autorización de acceso al sistema informático que haya recibido

legítimamente de parte del titular de los derechos sobre dicho sistema.

Comentario

Sanciona la violación de la confidencialidad de la información protegida por

medidas de seguridad diseñadas especialmente para evitar accesos no

autorizados.

Ejemplos: Acceder a cuentas ajenas de correo electrónico, mediante la

vulneración de la contraseña de seguridad; acceder a sistemas informáticos

en aprovechamiento de las debilidades inadvertidas de la programación o

backdoors, sin que exista un acuerdo previo con el titular de los derechos

sobre el sistema informático; entre otras conductas.

Comentario

El tipo penal no sanciona:

Accesos consentidos: Aquellos producidos dentro del marco de un

acuerdo previo entre el titular de los derechos sobre el sistema

informático y el proveedor de servicios de seguridad informática

(“hacker ético”), ya que en estos casos el acceso no es ilegítimo, se obra

en ejercicio legítimo de un oficio y con el consentimiento válido del

titular de los derechos sobre el sistema informático.

Accesos no consentidos: Aquellos accesos a sistemas informáticos que,

sin estar consentidos, no vulneran medidas de seguridad. En este caso,

el derecho penal opta por no incentivar la conducta negligente de aquel

que no adopta las mínimas medidas de seguridad para protegerse

frente al riesgo de perder la confidencialidad, integridad y

disponibilidad de sus datos o sistemas informáticos.

¿Qué dice el Convenio de Budapest contra el Cibercrimen – CETS 185?

El tipo penal de la ley peruana encuentra su antecedente en el Artículo 2 del

Convenio, bajo los términos siguientes:

“Acceso ilícito.- Cada Parte adoptará las medidas legislativas y de otro tipo

que resulten necesarias para tipificar como delito en su derecho interno el

acceso deliberado e ilegítimo a todo o parte de un sistema informático.

Las Partes podrán exigir que el delito se cometa infringiendo medidas de

seguridad, con la intención de obtener datos informáticos u otra intención

delictiva, o en relación con un sistema informático conectado a otro

sistema informático.”

El Perú ha optado por seguir las recomendaciones de la Convención de

Budapest, con la especificación de que, para el caso particular peruano,

únicamente existe delito de acceso ilícito cuando la conducta punible infringe

medidas de seguridad. Como se puede ver en este caso, si bien es cierto que la

Convención de Budapest promueve la estandarización mundial de las leyes

penales contra los ciberdelitos, también lo es que no todas las leyes

estandarizadas tienen que ser exactamente compatibles entre sí.