Guillermo Edward Gil Albarrán

1

Ingeniero de Sistemas e Informática – C.I.P. 61507 Abogado – C.A.S. 905

Realidad Postindustrial

29/11/2013 2

Realidad Actual

29/11/2013 3

Conducta típica, antijurídica, culpable o dolosa y punible, en que se tiene a los equipos informáticos como instrumento o fin

La realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software

29/11/2013 4

Características: Rapidez y acercamiento, en tiempo y espacio su comisión. (Programación de retardos, accesos remotos, etc.) Facilidad para encubrir el hecho. (El mismo programa después de realizar el ilícito cambia la rutina dejando el archivo en su estado original) Facilidad para borrar las pruebas

29/11/2013 5

LOS HACKERS El estereotipo del hacker, nos induce a pensar en una persona relativamente joven, de clase media, autodidacta en informática y generalmente alineada contra las grandes compañías de software, que se mueven por fines de autorrealización de conocimiento, nunca provocan danos intencionados en las maquinas, y que comparten la información a la que acceden de forma gratuita y desinteresada. Generalmente vulneran la normativa de propiedad intelectual, pero no cabe atribuirles conductas dolosas que quizás no se merecen. LOS CRACKERS Generalmente son personas que se introducen en sistemas informáticos remotos con la intención de destruir datos, denegar el servicio a sus usuarios legítimos y en general, voluntariamente causar danos, robar información de trascendencia económica o provocar problemas que beneficiaran a terceros. Además muchos crackers, como delincuentes que son, obtienen información restringida de los sistemas a los que entran y luego la venden a quien les ha encargado el trabajo o al mejor postor. 29/11/2013 6

Como instrumento o medio. En esta categoría se encuentran las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo: Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.) Variación de los activos y pasivos en la situación contable de las empresas. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude, etc.) Lectura, sustracción o copiado de información confidencial. Modificación de datos tanto en la entrada como en la salida. Aprovechamiento indebido o violación de un código para penetrar a un sistema introduciendo instrucciones inapropiadas. Variación en cuanto al destino de pequeñas cantidades de dinero hacia una cuenta bancaria apócrifa. Uso no autorizado de programas de computo. Introducción de instrucciones que provocan "interrupciones" en la lógica interna de los programas. Alteración en el funcionamiento de los sistemas, a través de los virus informáticos. Obtención de información residual impresa en papel luego de la ejecución de trabajos. Acceso a áreas informatizadas en forma no autorizada. Intervención en las líneas de comunicación de datos o teleproceso.

29/11/2013 7

Como fin u objetivo. En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, como por ejemplo: Programación de instrucciones que producen un bloqueo total al sistema. Destrucción de programas por cualquier método. Daño a la memoria. Atentado físico contra la máquina o sus accesorios. Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de los centros neurálgicos computarizados. Secuestro de soportes magnéticos entre los que figure información valiosa con fines de chantaje (pago de rescate, etc.).

29/11/2013 8

LEY Nº 27309

LEY QUE INCORPORA LOS DELITOS INFORMÁTICOS AL CÓDIGO PENAL

Incorporan Artículos 207-A, 207-B, 207-C y 208

Publicado a los quince días del mes de julio del año dos mil

29/11/2013 9

CAPÍTULO X - DELITOS INFORMÁTICOS Artículo 207-A.- Delito Informático El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas. Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas. Artículo 207-B.- Alteración, daño y destrucción de base de datos, sistema, red o programa de computadoras El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa. Artículo 207-C.- Delito informático agravado En los casos de los Artículos 207-A y 207-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años, cuando: 1. El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo. 2. El agente pone en peligro la seguridad nacional." (*) (*) Capítulo incorporado por el Artículo Único de la Ley Nº 27309, publicado el 17-07-2000.

29/11/2013 10

• El espionaje o intrusismo informático sancionaba la utilización o ingreso subrepticio a una base de datos, sistema o red de computadoras o cualquier parte de la misma para diseñar, ejecutar o alterar un esquema u otro similar. La pena máxima eran 2 años de cárcel.

• El sabotaje informático sancionaba la utilización, ingreso o interferencia a una base de datos, sistema, red o programa de ordenador con la finalidad de alterarlos, dañarlos o destruirlos. La pena máxima eran 5 años de cárcel.

• Los agravantes sancionaban con 7 años de cárcel a quienes cometían espionaje o sabotaje informático cuando el agente ingresaba a la base de datos, sistema o red de computadoras haciendo uso de información privilegiada en función a su cargo o ponía en riesgo la seguridad nacional (pena máxima de 7 años de cárcel).

• El 19 de agosto de 2013 la Ley a Ley 30076, incorporó un nuevo delito, Articulo 207-D: el tráfico ilegal de datos sancionando a aquel que ”crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio”.

• Primera conclusión: No estamos frente a una nueva regulación de delitos informáticos. Desde el año 2000 ya teníamos dos tipos penales en nuestro Código Penal (espionaje o intrusismo informático y sabotaje informático). En agosto de 2013 se crea un nuevo delito informático (¿?) relacionado con el uso de bases de datos. 29/11/2013 11

29/11/2013 12

MEXICO :

Proyecto de Ley sobre Delitos Informáticos, presentado por

Francisco Suárez Tánori, Adalberto Balderrama Fernández. (Año

2000)

COSTA RICA :

Ley No. 8148. Adición de los artículos 196 Bis, 217 Bis y 229 Bis al

Código Penal (Ley No. 4573), para reprimir y sancionar los Delitos

Informáticos

VENEZUELA :

Ley Especial Contra los Delitos Informáticos

ECUADOR :

Titulo V. de la Ley de Comercio Electrónico, Firmas y Mensajes de

Datos. Ley No. 67. RO Sup 557 de 17 de Abril del 2002.

BRASIL :

. Ley de Modificación del Código Penal número 1768, de 10 de

marzo de 1.997

. Projeto de Lei do Senado Federal nº 76, de 2000 - Crimes na

Internet. Define e tipifica os delitos informáticos, e dá outras

providências.

PERU:

Ley Nº 27309. Ley que incorpora los delitos informáticos al Código

Penal

URUGUAY:

Código Penal, arts. 217, 236 y ss., 246 y ss. 296 y ss. 358 y ss.

CHILE :

Ley relativa a Delitos Informáticos. Ley No.:19223

ARGENTINA;

Anteproyecto de Ley de Delitos Informáticos. Sometido a Consulta

Pública por la Secretaria de Comunicaciones por Resolución No.

476/2001 del 21.11.2001

BOLIVIA:

Propuesta de Modificación del

Código Penal

Delitos Informáticos

Ley Nº 30096

LEY DE DELITOS INFORMATICOS

La LDI deroga TODOS los delitos informáticos vigentes y que hemos mencionado anteriormente y se

presentan nuevos tipos penales únicamente inspirados en la Convención de Budapest

Publicado el 22 de Octubre del 2013

29/11/2013 13

Ley Nº 30096

LEY DE DELITOS INFORMATICOS

El objeto de la ley (Articulo 1) es:

“Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas

mediante la utilización de tecnologías de la información o de la comunicación, con la

finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.”

29/11/2013 14

“El que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con la vulneración de medidas de

seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con

treinta a noventa días multa.

Sera reprimido con la misma pena el que accede a un sistema informático excediendo lo autorizado”.

(¿recuerdan el delito de espionaje o intrusismo informático?). Se sanciona al que accede sin autorización a todo o parte de un sistema informático vulnerando las medidas de seguridad que hayan sido establecidas para

impedirlo. La clave parece estar en la vulneración de las medidas de seguridad sin embargo creemos que debió especificarse el peligro concreto

sancionable. Por ejemplo, peligro para la seguridad o confidencialidad. Ej.: el ingreso sin autorización a cuentas de correo electrónico vulnerando las

contraseñas.

29/11/2013 15

“el que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace

inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento

veinte días multa”.

(Ej.: el ingreso a un sistema informático para alterar información relativa a sueldos o información laboral de un trabajador)

29/11/2013 16

“el que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o

la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento

veinte días multa”.

(Ej.: un ataque DDoS) (¿recuerdan el delito de sabotaje informático?). Este tipo penal me recuerda mucho al daño simple que se encuentra regulado en el artículo 205 del Código Penal pero en su versión informática (“el que daña,

destruye o inutiliza un bien mueble o inmueble…”). Pudo afinarse la redacción y precisarse que el objetivo de las conductas no era otro que causar

un daño.

DDoS (de las siglas en inglés Distributed Denial of Service)

29/11/2013 17

“El que a través de las tecnologías de la información o de la comunicación, contacta con un menor de 14 años para solicitar u obtener de él material pornográfico, o para

llevar a cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme

a los numerales 1, 2 y 4 del articulo 36 del código penal.

Cuando la victima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e

inhabilitación conforme a los numerales 1, 2 y 4 del articulo 36 del código penal”.

Al respecto Eduardo Alcocer ha señalado que el sólo contacto no es ya bastante ambiguo sino que además “los tipos penales vigentes sobre

pornografía infantil, seducción o violación de menores resultan suficientes para sancionar aquellas conductas realmente lesivas (por ejemplo, cuando ya

se entabla una comunicación con el menor para obtener material pornográfico o tener relaciones sexuales), las que se entenderán como formas

de tentativa de dichos ilícitos penales”. 29/11/2013 18

“El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar,

traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral,

financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”.

ya estaba vigente, sin embargo se deroga y se vuelve a promulgar (¿?). No se encuentra consonancia entre la regulación administrativa sobre datos

personales y este nuevo tipo penal propuesto.

29/11/2013 19

“El que, a través de las TICs, intercepta datos informáticos en transmisiones no publicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones

electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con pena privativa de libertad no

menor de tres ni mayor de seis años.

La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o

confidencial de conformidad con las normas de la materia.

La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito comprometa la defensa, la seguridad o la soberanía nacionales”.

(no se encontraba regulado) (Pena máxima: 10 años de cárcel). Ésta es la versión informática de la interceptación telefónica.

29/11/2013 20

“El que, a través de las tic, procura para si o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado,

supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido

con pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días multa.

La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado

destinado a fines asistencias o a programas de apoyo social”.

(no se encontraba regulado). “El que a través de las tecnologías de la información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración,

borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático”. (Pena

máxima: 8 años de cárcel)(Ej.: “Phishing”, es decir, envío de correos fraudulentos que nos dirigen a una página fraudulenta)

29/11/2013 21

“El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que dicha conducta resulte algún

perjuicio, materia o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”.

(no se encontraba regulado).”El que mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona

natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral” (Pena máxima de 5 años de cárcel) (Ej.: atribución de un identidad ajena a través de cualquier página de Internet o red social). No queda claro si la suplantación implica necesariamente la creación de una

cuenta falsa, pudo haberse incluido.

29/11/2013 22

“El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o mas mecanismos, programas informáticos, dispositivos,

contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa

días multa”.

(no se encontraba regulado). “El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o más

mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito” (Pena máxima de 4 años de cárcel).

No se incluye la excepción contenida en el Convenio de Budapest para permitir el “hacking ético”.

29/11/2013 23

“El Juez aumenta la pena privativa de la libertad hasta un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos

en la presente Ley cuando:

1. El agente comete el delito en calidad de integrante de una organización criminal.

2. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al

conocimiento de esta información en razón del ejercicio de un cargo o función.

3. El agente comete el delito con el fin de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia.

4. El delito compromete fines asistenciales, la defensa, la seguridad y la soberanía nacionales”.

29/11/2013 24

• Los nuevos tipos penales informáticos hacen referencia a diferentes bienes jurídicos, ya no sólo al patrimonio. La LDI debió ser más precisa en algunos casos. Se acerca bastante a la redacción del Convenio de Budapest pero no en todos los casos. Cabe precisar que, según lo establecido en el artículo 12

del Código Penal es necesario el dolo para que los delitos anteriores se configuren. ¿Qué es el dolo? La intención deliberada de cometer el delito.

• No estamos frente a nuevos tipos penales. Desde el año 2000 la interferencia telefónica, la pornografía infantil y la discriminación han

sido sancionadas drásticamente por nuestro Código Penal.

• Se incrementan las penas para la interceptación telefónica, la discriminación y la pornografía infantil reguladas en el Perú desde el año 2000. No habría mayor afectación a la libertad de información en el delito

de interferencia telefónica pues no se sanciona la difusión de lo interceptado. Se mantendría la potencial afectación a la libertad de

expresión en el caso del delito de discriminación vigente, aunque sería interesante saber cuántos casos desde el 2000 han aplicado éste artículo.

Tanto en el caso del delito de discriminación como el de pornografía infantil se establecen agravantes por el sólo uso de la tecnología cuando

debería sancionarse únicamente la conducta.

29/11/2013 25

Eso es todo por ahora ....

29/11/2013 26

Seamos cada día mejores