Phishing y otros delitos del Internet

A modo de una breve introducción es necesario mencionar, ahora, y durante todo el artículo, en multiplicidad de actividades delictivas que se realizan por medio de estructuras electrónicas que van ligadas a un sin número de herramientas delictivas que buscan infringir y dañar todo lo que encuentren en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en la información (borrado, dañado, alteración o supresión de datacredito), mal uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de bancos, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información confidencial y muchos otros.El desarrollo de la tecnología informática ha permitido millones de posibilidades de delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida de la información que puede afectar la esfera de la privacidad, son algunos de los procedimientos relacionados con el procesamiento electrónico de datos mediante los cuales es posible obtener grandes beneficios económicos o causar importantes daños materiales o morales.1

Que es el phishingPhishing es un delito cometido por un medio electrónico, principalente el internet, es una especie de estafa, con el objetivo de intentar obtener de un usuario sus datos, claves, cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos los datos posibles" para luego ser usados de forma2

Obviamente el propósito de este delito es pata cometer diferentes de fraude, tales como robar dinero desde su cuenta, abrir nuevas cuentas en su nombre u obtener documentos oficiales mediante el uso de su identidad. 3

Es un tipo de suplantación de identidad, es un tipo de robo de identidad en línea. Usa el correo electrónico y sitios web fraudulentos diseñados para robar sus datos o información personal, como por ejemplo números de tarjetas de crédito, contraseñas, datos de cuentas u otra información. 4 En muchos casos sucede por medio de el envío de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo, entidades bancarias), intentan obtener datos confidenciales del usuario, que posteriormente son utilizados para la realización de algún tipo de fraude.

1 http://www.monografias.com/trabajos6/delin/delin.shtml2 http://seguridad.internautas.org/ www.seguridadenlared.org Asociación de Internautas.www.internautas.org3 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx4 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx

Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas. De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información solicitada que, en realidad, va a parar a manos del estafador.5

El mecanismo más empleado habitualmente es la generación de un correo electrónico falso que simule proceder de una determinada compañía, a cuyos clientes se pretende engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que imitan en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera que el receptor mantenga una relación comercial.Sin embargo, el canal de contacto para llevar a cabo estos delitos no se limita exclusivamente al correo electrónico, sino que también es posible realizar ataques de phishing a través de SMS, conocido como smishing, o de telefonía IP, conocido como vishing.

En el smishing el usuario recibe un mensaje de texto intentando convencerle de que visite un enlace fraudulento. En el vishing el usuario recibe una llamada telefónica que simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.6

OrígenesEl término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento de hacer que los usuarios "piquen en el anzuelo".  Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de esa compañía a través de números de tarjetas de crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL. En 1997 AOL reforzó su política respecto al phishing y fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería instantánea, una línea de texto que indicaba: "no one working at AOL will ask for your password or billing information" ("nadie que trabaje en AOL le pedirá a usted su contraseña o información de facturación"). Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en phishing, normalmente antes de que la víctima pudiera Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco o servicio, estudios recientes muestran que los phishers en un principio son capaces de establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos generales, esta variante hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente pesca con arpón). Los sitios de Internet con fines sociales también se han convertido en objetivos para los phishers, dado que mucha

5 http://es.wikipedia.org/wiki/Phishing6 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx

de la información provista en estos sitios puede ser utilizada en el robo de identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques phishing en redes sociales. A finales de 2006 un gusano informático se apropió de algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que apuntaran a una página web diseñada para robar información de ingreso de los usuarios7

¿Cómo lo realizan?El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente, y la más usada y conocida por los internautas, la recepción de un correo electrónico. Pueden existir mas formatos pero en estos momentos solo mencionamos los más comunes.La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares ). Puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página , cuando realmente el enlace envía al navegador a otra página (y al intentar entrar con el nombre de usuario de la pagina original, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer.8

 Otros intentos de phishing utilizan comandos en Java Scripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de

7 http://es.wikipedia.org/wiki/Phishing8 http://es.wikipedia.org/wiki/Phishing

la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizadoPágina web o ventana emergente; es muy clásica y bastante usada. En ella se simula suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios9

Una de las modalidades más peligrosas del phishing es el pharming. Esta técnica consiste en modificar el sistema de resolución de nombres de dominio (DNS) para conducir al usuario a una página web falsa.Esta técnica conocida como pharming es utilizada normalmente para realizar ataques de phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para obtener los datos privados del usuario, generalmente datos bancarios.A diferencia del phishing, el pharming no se lleva a cabo en un momento concreto, ya que la modificación del fichero HOSTS permanece en un ordenador, a la espera de que el usuario acceda a su servicio bancario.Cuando un usuario teclea una dirección en su navegador, esta debe ser convertida a una dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello se encargan los servidores DNS.Sin embargo, existen ejemplares de malware diseñados para modificar el sistema de resolución de nombres local, ubicado en un fichero denominado HOSTS.Este fichero permite almacenar de forma local esa resolución de nombres asociadas a direcciones IP. De esta manera, aunque el usuario introduzca en el navegador el nombre de una página web legítima, el ordenador primero consultará a ese fichero HOSTS si existe una dirección IP asociada a ese nombre. En caso de no encontrarla, lo consultará con el servidor DNS de su proveedor. 10

Fases para cometer el ilícito En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o

correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar determinados campos, tales como: Datos personales y número de cuenta bancaria.

Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (PHISHING) o con ataques específicos.

9 http://seguridad.internautas.org/html/1/425.html10 http://seguridad.internautas.org/html/1/425.html

El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).

Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.

Daños causados por el phishingLos daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más popular por la facilidad con que personas confiadas normalmente revelan información personal a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas acceder a sus propias cuentas.Robo de identidad y datos confidenciales de los usuarios. Esto puede conllevar pérdidas económicas para los usuarios o incluso impedirles el acceso a sus propias cuentas. Pérdida de productividad. Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo, etc.).

Lavado de dinero producto del phishingActualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto fraudulento de phishing.Para que una persona pueda darse de alta con esta clase de empresas debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se convierte automáticamente en lo que se conoce vulgarmente como mulero.Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por laseudo-empresa.Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando que este únicamente recibió una comisión.

Anti-Phishing¿Cómo protegernos?

Para protegernos es básico tener un programa antivirus instalado y actualizado con filtro anti-spam. La forma más segura para estar tranquilo y no ser estafado, es que NUNCA responda a NINGUNA solicitud de información personal a través de correo electrónico, llamada telefónica o mensaje corto (SMS). Las entidades u organismos NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos, en todo caso es usted el que los puede solicitar por olvido o pérdida y ellos se lo facilitarán. Ellos NUNCA se lo van a solicitar porque ya los tienen, es de sentido común.Para visitar sitios Web, teclee la dirección URL en la barra de direcciones. NUNCA POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la banca por internet. 11

Además, a continuación proporcionamos una serie de consejos que pueden ayudarle a reducir el riesgo de sufrir un ataque de phishing:

Verifique la fuente de información. No conteste automáticamente a ningún correo que solicite información personal o financiera.

Compruebe que la página web en la que ha entrado es una dirección segura. Para ello, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en la barra de estado de nuestro navegador.

Revise periódicamente sus cuentas para detectar transferencias o transacciones irregulares.

No olvide que las entidades bancarias no solicitan información confidencial a través de canales no seguros, como el correo electrónico.

Haga un análisis gratuito de su equipo y compruebe si está libre de phishing.12

Escriba direcciones directamente dentro de su Explorador o utilice sus marcadores personales.

Controle el certificado de seguridad del sitio antes de ingresar información personal o financiera dentro de un sitio web.

No ingrese información personal ni financiera dentro de ventanas emergentes. Mantenga su computadora actualizada con las últimas actualizaciones de

seguridad 13

¿Qué debo hacer si creo haber respondido a una estafa de suplantación de identidad? Siga estos pasos para minimizar todos los daños si sospecha que ha respondido a una estafa de suplantación de identidad con información personal o financiera o que ha ingresado esta información dentro de un sitio web falso.

11http://seguridad.internautas.org/ www.seguridadenlared.org Asociación de Internautas.www.internautas.org

12 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx13 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx

Cambie las contraseñas o PIN en todas sus cuentas en línea que podrían estar comprometidas, según su opinión.

Presente una alerta de fraude en sus informes crediticios. Hable con su banco o consejero financiero si no se siente seguro acerca de cómo realizar este paso.

Póngase en contacto directo con el banco o el comerciante en línea. No siga el vínculo que aparece en el correo electrónico fraudulento.

Si sabe de alguna cuenta a la cual se obtuvo acceso o que fue abierta de manera fraudulenta, ciérrela. 14

Revise sus estados bancarios y de tarjeta de crédito con regularidad por mes con el fin de descubrir cargos o solicitudes sin explicación que usted no inició. 15

¿Como lo denuncio?Cuando usted sea víctima de este tipo de intento de estafa informe a las autoridades competentes, en Costa Rica más adelante veremos que de acuerdo a la legislación se puede hacer la denuncia respectiva en el ministerio público, pero como es de esperarse no existen los medios para desmantelar este tipo de organizaciones delictivas, por lo que nunca habrá una reparación del daño causado, en la red hay una solución diferente, que al menos permite que exista una sanción y prevenga que le ocurra a otros usuarios del internet, esta solución es de la Asociación de Internautas, que creó hace varios meses un conducto a través del cual los internautas pueden denunciar los correos que simulan ser entidades bancarias, web falsas o cualquier tipo de estafa por medio del uso de phishing en internet.Para ello solo tiene que mandar un correo a phishing@internautas.org adjuntando el mail recibido o la web que intenta el robo de datos. Nosotros lo denunciamos a la empresa u organismo afectado y avisamos a las autoridades competentes.El propósito de la Asociación de Internautas es evitar y ERRADICAR DE UNA VEZ los posibles intentos de estafas realizado mediante el uso de phishing. 16

CombatirloUna estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los empleados de modo que puedan reconocer posibles ataques phishing.Muchas compañías, siempre se dirigen a sus clientes por su nombre de usuario en los correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera genérica como ("Querido miembro de ..") es probable que se trate de un intento de phishing.Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los navegadores web y clientes de correo electrónico como una barra de herramientas que muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger

14 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx15 http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspxhttp://

www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx16 http://seguridad.internautas.org/ www.seguridadenlared.org As

ociación de Internautas.www.internautas.org

a los usuarios de los phishers, ya que reducen el número de correos electrónicos relacionados con el phishing recibidos por el usuario.Muchas organizaciones han introducido la característica denominada pregunta secreta, en la que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las páginas de Internet también han añadido herramientas de verificación que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo. Estas y otras formas de autentificación mutua continúan siendo susceptibles de ataques.Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para cerrar páginas con contenido phishing.

Y legalmente se han combatido, mediante exhaustivas investigaciones, para cazar al estafador, en el  2004, la FTC (Federal Trade Commission, "Comisión Federal de Comercio") de Estados Unidos llevó a juicio el primer caso contra un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un diseño que aparentaba ser la página de America Online para poder robar números de tarjetas de crédito Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y arrestando a presuntos phishers.

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos casos a varios operadores de phishing de gran envergadura.

Legislación Costarricense sobre Delitos InformaticosEn Costa Rica hasta hace poco no se tipificaban los delitos asociados al derecho

informático, sin embargo a una reforma al código penal, vino a regularlo, a continuación esa reforma: DELITOS INFORMÁTICOS (COSTA RICA)COSTA RICA: LEY No. 8148LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICADecreta:ADICIÓN DE LOS ARTÍCULOS 196 BIS, 217 BIS Y 229 BIS AL CÓDIGO PENAL LEY Nº 4573, PARA REPRIMIR Y SANCIONAR LOS DELITOS INFORMÁTICOSArtículo único.-Adiciónanse al Código Penal, Ley Nº 4573, del 4 de mayo de 1970, los artículos 196 bis, 217 bis y 229 bis, cuyos textos dirán:"Artículo 196 bis.-Violación de comunicaciones electrónicas. Será reprimida con pena de prisión de seis meses a dos años, la persona que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere, accese, modifique, altere, suprima, intercepte, interfiera, utilice, difunda o desvíe de su destino, mensajes, datos e imágenes contenidas en soportes: electrónicos, informáticos, magnéticos y

telemáticos. La pena será de uno a tres años de prisión, si las acciones descritas en el párrafo anterior, son realizadas por personas encargadas de los soportes: electrónicos, informáticos, magnéticos y telemáticos.""Artículo 217 bis.-Fraude informático. Se impondrá pena de prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo, mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema.""Artículo 229 bis.-Alteración de datos y sabotaje informático. Se impondrá pena de prisión de uno a cuatro años a la persona que por cualquier medio accese, borre, suprima, modifique o inutilice sin autorización los datos registrados en una computadora.Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento de un programa de cómputo, una base de datos o un sistema informático, la pena será de tres a seis años de prisión. Si el programa de cómputo, la base de datos o el sistema informático contienen datos de carácter público, se impondrá pena de prisión hasta de ocho años."17

Otros delitosLos delitos informáticos, en general, son aquellos actos delictivos realizados con el uso de computadoras o medios electrónicos, cuando tales conductas constituyen el único medio de comisión posible -o el considerablemente más efectivo-, y los delitos en que se daña estos equipos, redes informáticas, o la información contenida en ellos, vulnerando bienes jurídicos protegidos. Es decir, son los delitos en que los medios tecnológicos o son el método o medio comisivo, o el fin de la conducta delictiva.18

Efectivamente, resulta oportuno afirmar que el desarrollo de esta nueva forma de comercio, ha constituido también un sustrato para el desarrollo de un “nuevo estilo de delitos”, que requieren para su comisión de un nivel de conocimiento específico, y su “iter”, en ocasiones, escapa a los alcances de las normas que definen los actuales tipos penales.La doctrina mundial ha definido este tipo de ilícitos como "delitos informáticos", que son aquellos “cuya acción u omisión típica, antijurídica y dolosa realizada por un ser humano, cause un perjuicio sin que necesariamente se beneficie el autor, o por el contrario, produzca un beneficio ilícito a su autor, aunque no perjudique de forma directa o indirecta a la víctima. Igualmente, aquellas conductas ilícitas susceptibles de ser sancionadas por el Derecho penal que hacen uso indebido de cualquier medio informático”.19

Los delitos más conocidos en el crimen electrónico según la doctrina son:

17 http://delitosinformaticos.com/legislacion/costarica.shtml18

19 http://www.informatica-juridica.com/anexos/anexo1390.asp

Tipificación Fraude

El fraude informático es inducir a otro a hacer o a restringirse en hacer alguna cosa de lo cual el criminal obtendrá un beneficio por lo siguiente:

1. Alterar el ingreso de datos de manera ilegal. Esto requiere que el criminal posea un alto nivel de técnica y por lo mismo es común en empleados de una empresa que conocen bien las redes de información de la misma y pueden ingresar a ella para alterar datos como generar información falsa que los beneficie, crear instrucciones y procesos no autorizados o dañar los sistemas.

2. Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil de detectar.3. Alterar o borrar archivos.4. Alterar o dar un mal uso a sistemas o software, alterar o reescribir códigos con

propósitos fraudulentos. Estos eventos requieren de un alto nivel de conocimiento.

Otras formas de fraude informático incluye la utilización de sistemas de computadoras para robar bancos, realizar extorsiones o robar información clasificada.Estas conductas consisten en la manipulación ilícita, a través de la creación de datos falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada con el objeto de obtener ganancias indebidas.Una característica general de este tipo de fraudes, interesante para el análisis jurídico, es que, en la mayoría de los casos detectados, la conducta delictiva es repetida varias veces en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una laguna o falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisión del hecho. Incluso, en los casos de "manipulación del programa", la reiteración puede ser automática, realizada por el mismo sistema sin ninguna participación del autor y cada vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a las manipulaciones en el programa, el autor podría irse de vacaciones, ser despedido de la empresa o incluso morir y el sistema seguiría imputando el pago de sueldos a los empleados ficticios en su cuenta personal.

Estafas electrónicas Se trataría en este caso de una dinámica comisiva que cumpliría todos los requisitos del delito de estafa, ya que además del engaño y el "animus defraudandi" existiría un engaño a la persona que compra o efectúa negocios por algún medio electronico. No obstante seguiría existiendo una laguna legal en aquellos países cuya legislación no prevea los casos en los que la operación se hace engañando al ordenador.

SpamEl Spam o los correos electrónicos, no solicitados para propósito comercial, es ilegal en diferentes grados. La regulación de la ley en cuanto al Spam en el mundo es relativamente nueva y por lo general impone normas que permiten la legalidad del Spam en diferentes niveles. El Spam legal debe cumplir estrictamente con ciertos requisitos como permitir que el usuario pueda escoger el no recibir dicho mensaje publicitario o ser retirado de listas de email.

Contenido obsceno u ofensivoEl contenido de un website o de otro medio de comunicación electrónico puede ser obsceno u ofensivo por una gran gama de razones. En ciertos casos dicho contenido

puede ser ilegal. Igualmente, no existe una normativa legal universal y la regulación judicial puede variar de país a país, aunque existen ciertos elementos comunes. Sin embargo, en muchas ocasiones, los tribunales terminan siendo árbitros cuando algunos grupos se enfrentan a causa de contenidos que en un país no tienen problemas judiciales, pero sí en otros. Un contenido puede ser ofensivo u obsceno, pero no necesariamente por ello es ilegal.Algunas jurisdicciones limitan ciertos discursos y prohíben explícitamente el racismo, la subversión política, la promoción de la violencia, los sediciosos y el material que incite al odio y al crimen.

Hostigamiento / AcosoEl hostigamiento o acoso es un contenido que se dirige de manera específica a un individuo o grupo con comentarios derogativos a causa de su sexo, raza, religión, nacionalidad, orientación sexual, etc. Esto ocurre por lo general en canales de conversación, grupos o con el envío de correos electrónicos destinados en exclusiva a ofender. Todo comentario que sea derogatorio u ofensivo es considerado como hostigamiento o acoso.

Tráfico de drogasEl narcotráfico se ha beneficiado especialmente de los avances del Internet y a través de éste promocionan y venden drogas ilegales a través de emails codificados y otros instrumentos tecnológicos. Muchos narcotraficantes organizan citas en cafés Internet. Como el Internet facilita la comunicación de manera que la gente no se ve las caras, las mafias han ganado también su espacio en el mismo, haciendo que los posibles clientes se sientan más seguros con este tipo de contacto. Además, el Internet posee toda la información alternativa sobre cada droga, lo que hace que el cliente busque por sí mismo la información antes de cada compra. También se utiliza para la transmisión de fórmulas para la fabricación de estupefacientes, para el blanqueo de dinero y para la coordinación de entregas y recogidas.Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la necesidad de medidas que permitan interceptar y descifrar los mensajes encriptados que utilizan los narcotraficantes para ponerse en contacto con los cárteles.

Sabotaje informáticoEl término sabotaje informático comprende todas aquellas conductas dirigidas a causar daños en el hardware o en el software de un sistema. Los métodos utilizados para causar destrozos en los sistemas informáticos son de índole muy variada y han ido evolucionando hacia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se puede diferenciar dos grupos de casos: por un lado, las conductas

Terrorismo virtualSe efectúan mediante el envió de mensajes anónimos aprovechados por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional.

Desde 2001 el terrorismo virtual se ha convertido en uno de los novedosos delitos de los criminales informáticos los cuales deciden atacar masivamente el sistema de ordenadores de una empresa, compañía, centro de estudios, oficinas oficiales, etcLa existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en anónimo ha podido ser aprovechado por grupos terroristas para remitirse consignas y planes de actuación a nivel internacional. De hecho, se han detectado mensajes con instrucciones para la fabricación de material explosivo.La difusión de noticias falsas en Internet (por ejemplo decir que va a explotar una bomba en el Metro), es considerado terrorismo informático y es procesable.20

Copia ilegal de software y espionaje informático.Infracción del Copyright de bases de datos: No existe una protección uniforme de las bases de datos en los países que tienen acceso a Internet. El sistema de protección más habitual es el contractual: el propietario del sistema permite que los usuarios hagan "downloads" de los ficheros contenidos en el sistema, pero prohibe el replicado de la base de datos o la copia masiva de información. Espionaje: Se ha dado casos de acceso no autorizado a sistemas informáticos gubernamentales e interceptación de correo electrónico del servicio secreto de los Estados Unidos, entre otros actos que podrían ser calificados de espionaje si el destinatario final de esa información fuese un gobierno u organización extranjera. Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas de fabricación y know how estratégico que posteriormente ha sido aprovechado en empresas competidoras o ha sido objeto de una divulgación no autorizada.

Uso ilegítimo de sistemas informáticos ajenos.Esta modalidad consiste en la utilización sin autorización de los ordenadores y los programas de un sistema informático ajeno. Este tipo de conductas es comúnmente cometida por empleados de los sistemas de procesamiento de datos que utilizan los sistemas de las empresas para fines privados y actividades complementarias a su trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las empresas en los casos de abuso en el ámbito del teleproceso o en los casos en que las empresas deben pagar alquiler por el tiempo de uso del sistema.Acceso no autorizado: La corriente reguladora sostiene que el uso ilegítimo de passwords y la entrada en un sistema informático sin la autorización del propietario debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a protegerse con la contraseña es lo suficientemente importante para que el daño producido sea grave. 21

Pornografía infantil La distribución de pornografía infantil por todo el mundo a través de la Internet está

en aumento. Durante los pasados cinco años, el número de condenas por transmisión o posesión de pornografía infantil ha aumentado de 100 a 400 al año en un país norteamericano. El problema se agrava al aparecer nuevas tecnologías, como la

20 http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico

21 www.microsoft.com/business/smb/es-es/legal/delitos_informaticos.mspxç

criptografía, que sirve para esconder pornografía y demás material "ofensivo" que se transmita o archive. Otros delitos: Las mismas ventajas que encuentran en la Internet los narcotraficantes pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas, proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que pueda ser trasladado de la vida real al ciberespacio o al revés.22

Situación en Costa Rica respecto a delitos informáticosCada día crece el número de denuncias a nivel internacional y nacional por la comisión de conductas ilícitas relacionadas con esta problemática, y en países como Alemania, Francia, España y Paraguay, se han incorporado nuevas figuras delictivas para penar las maniobras de fraude con tarjetas de crédito o débito de manera específica, incorporándolas a sus códigos penales o en leyes especiales.En otros países como Argentina y México, la situación es abordada de manera similar a nuestro país, donde estas conductas ilícitas son tipificadas y por ende sancionadas, dentro de los tipos penales contenidos en nuestra actual legislación como robo, estafa y asociación ilícita.Sin embargo, especialistas en el tema consideran que la aplicación de la legislación actual denominada "clásica", genera conflictos doctrinales y jurisprudenciales, acrecienta la inseguridad y facilita la actividad de grupos especializados en el fraude con tarjetas de crédito y débito y no resuelve el crecimiento de lo que también llaman "fraude informático".En Costa Rica las denuncias relacionadas son considerables y van en aumento.En los últimos tres años el Departamento de Estadística del Organismo de Investigación Judicial registra en el Sistema de Apoyo de Análisis Criminal, para el año 2004, 379 denuncias relacionadas con tarjetas de crédito o débito, por robo, falsificación, uso de Internet, manipulación de cajero y cargo por consentimiento, para el año 2005, 383, y para el año 2006 se han tramitado aproximadamente 338.La Oficina del Consumidor reporta información referida a tarjetas de crédito y débito, en cuanto al número de denuncias por robo, extracción, uso e inaplicabilidad por parte de las entidades bancarias de las pólizas y seguros que cubren las tarjetas de crédito y débito; de acuerdo a su base de datos, en el 2005, se denunciaron 26 casos, y hasta el 31 de agosto 2006, se reportan ingresos de 17 denuncias por las mismas razones.

Entidades bancarias como el Banco Popular y de Desarrollo Comunal contabilizaron en sus denuncias de julio a septiembre del 2006, 1.565 denuncias por bloqueo, sustracción y fraude en tarjetas de crédito y débito; mientras que el Banco Nacional recibió para este mismo año 41 denuncias en tarjetas de crédito de Visa y Master Card, 147 denuncias por robo, extravío y uso indebido de tarjetas de débito.

Este accionar delictivo, que afecta de manera directa los más variados escenarios del comercio y de la vida en general de las personas, requiere elementos objetivos y

22 http://www.monografias.com/trabajos6/delin/delin.shtml

subjetivos para su identificación y diferenciación de acuerdo al agente comisor, modo de operar y medios que utiliza. En el caso del fraude electrónico es requisito necesario el medio de procesamiento y la experiencia del actor, como elemento para su tipificación y, en consecuencia, su distinción con otro tipo de delito o fraude.

Las razones apuntadas me impulsan a presentarles a ustedes, señoras y señores diputados, una iniciativa de ley, que espero cuente con sus aportes y su voto, para combatir de manera más efectiva esta nueva forma de delinquir que nos producen profundos daños económicos como Nación.23

La sala tercera y los delitos informáticos.

En Costa Rica, bajo la nueva legislación que tutela delitos informáticos, ya han existido procesos o casos relacionados en los que se ha vislumbrado la tendencia jurisprudencial de la Sala III al respecto y la cual además ha proporcionado una serie de conceptos que de una u otra forma se encontraban en abstracto y demarca así el espacio de regulación..

En la resolución 763 del año 2006 en la que se resuelve el Recurso de casación interpuesto en el proceso de Paulina Mayela Barrantes por el delito de fraude informático en perjuicio de Hazel María Bermúdez Quesada Bermúdez, la Sala manifiesta lo siguiente en relación a la conceptualización de los delitos informáticos:

SALA TERCERA DE LA CORTE SUPREMA DE JUSTICIA.  San José, a las nueve horas veinte minutos del dieciocho de agosto de dos mil seis

“Al realizar el análisis jurídico penal, el Tribunal afirma que la encartada hizo uso indebido de la tarjeta – al sustraerla de la cartera de la ofendida – así como de los datos del sistema de cómputo para ingresar a su cuenta, sea la clave o pin de esa tarjeta. Esa acción la considera constitutiva del delito  contemplado en el artículo 217 bis del Código Penal, el cual dispone:  “Se impondrá prisión de uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra acción que incida en el proceso de los datos del sistema”. A juicio de esta Sala, la conducta tenida por probada – sustracción de la tarjeta de débito, obtención de la clave de ingreso, y uso de la tarjeta para conseguir en el cajero automático, dinero de la cuenta de la ofendida –, no es propia de dicha ilicitud, en vista de que Barrantes Barrantes no manipuló los datos del sistema, ni influyó en su procesamiento. Como se señaló en un caso similar: “En sentido amplio, el delito informático es cualquier ilícito penal en el que las computadoras, sus técnicas y funciones desempeñan un papel ya sea como medio o como fin; como medio en el caso del fraude informático, y como fin, en el sabotaje informático (artículo 229 bis del Código Penal).  “Por una parte, el National Center for Computer Crime Data indica que “el delito informático incluye todos los delitos perpetrados por medio del uso de ordenadores y todos los delitos en que se dañe a los ordenadores o a sus componentes”.  De igual forma, y siempre con ese carácter de generalidad y amplitud, la Organización para la Cooperación y Desarrollo Económico (OCDE) explica que el “delito informático es toda conducta ilegal, no ética o no autorizada, que involucra un proceso automático de datos y/o la transmisión de datos”. Asimismo, William Cashion – estadounidense experto en informática – señala que el “delito informático es cualquier acto inicuo que no puede ser cometido sin

23 http://www.informatica-juridica.com/anexos/anexo1390.asp

un ordenador o que no existiría sin un ordenador o su tecnología” (delitos informáticos, Carlos Chinchilla Sandí, Farben, 2004, página 27). Si bien para la comisión de un delito informático  se requiere un ordenador, ello no implica que siempre que en la comisión del hecho delictivo esté presente un computador, estaremos en presencia de un delito informático. 

Para mostrar un caso obvio, si se violenta un cajero automático para sustraer el dinero que guarda, no se cometerá un delito informático. De acuerdo a la redacción de la norma en el Código Penal vigente, la acción del sujeto activo consistirá en influir en el procesamiento o el resultado de los datos de un sistema de cómputo, a través de varias conductas que han de incidir en el proceso de los datos del sistema. Influir en el procesamiento o resultado de los datos será manipular la información, alimentar el sistema de forma irregular, actos que incidirán en el proceso de los datos, es decir, en la realización de las instrucciones de un sistema. Por ejemplo, en el proceso de pagar el salario a los empleados habrá una serie de pasos a seguir, que si alguno se altera fraudulentamente, incidirá en el resto del proceso. El usuario aparece al final de ese proceso, y en términos generales, no lo puede modificar. Para hacerlo, requiere el ingreso al sistema, y usualmente debe poseer ciertos conocimientos. Las personas que cometen delitos informáticos presentan algunas características que no tiene el común de las personas, como la destreza en el manejo de los sistemas informáticos, o una posición estratégica que le facilita el manejo de información restringida, o, en muchos casos, ambas ventajas. Por estos aspectos son considerados “delitos de cuello blanco”. Esto por cuanto, además de la tecnicidad en el manejo de los sistemas, éstos se encuentran protegidos por mecanismos de defensa cuya vulneración requiere, usualmente, de conocimientos técnicos: “Esta predisposición de medios defensivos en forma general y la limitación que se puso a los delitos electrónicos nos permite inducir en forma clara que para ingresar a cualquier sistema sin la debida autorización (para el caso la simple intrusión resultaría el delito subsidiario de otros más graves como hacking o robo de información, por citar algunos) implica necesariamente vencer una resistencia predispuesta del sistema colocada allí expresamente por razones de seguridad, - según expresan los programadores y constructores -.”  (Derecho Penal informático, Gabriel Cámpoli, Investigaciones Jurídicas S.A., 2003, página 28). Según indica el doctor Chinchilla Sandí, dentro de esas conductas destacan la manipulación de los datos de entrada: conocido también como sustracción de datos, es el más común en vista de la facilidad para la comisión y la dificultad en el descubrimiento. No requiere de conocimientos técnicos en informática y puede realizarlo cualquier persona que tenga acceso al procesamiento de datos en su fase de adquisición;   manipulación de programas: difícil de descubrir pues el sujeto activo ha de tener conocimientos técnicos concretos de informática. Consiste en modificar los programas existentes en el sistema de computadoras o en introducir nuevos programas o nuevas rutinas. Un método muy usado es el denominado “Caballo de Troya”, el cual consiste en implantar instrucciones de computadora en forma subrepticia en un programa informático para que realice una función no autorizada al mismo tiempo que la normal; manipulación de los datos de salida: se lleva a cabo fijando un objetivo al funcionamiento del sistema informático, como el fraude a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos, lo que se hacía con tarjetas bancarias robadas. Ahora se usa equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y en las tarjetas de crédito” (Sala Tercera, sentencia # 148-2006). Como se observa, el delito de fraude informático requiere algún manejo de los datos, o los programas, que afecta el proceso de los datos del sistema. Por su parte, la conducta tenida por acreditada, en el caso en estudio, es el apoderamiento ilegítimo de dinero ajeno, utilizando la tarjeta original, por medio de un ordenador, pero sin modificación, ni alteración de la información que éste contenía, de modo que indujera a error en el procesamiento o el resultado de los datos del sistema. La acción realizada es la misma que hubiera hecho la titular de la tarjeta de débito, para obtener el dinero, por lo cual la conducta tenida por cierta no se adecua al tipo penal  considerado por el Tribunal.

Podemos a partir de la valoración y conceptualización que en este caso se hizo por la Sala III de la Corte Suprema de Justicia determinar entonces que un delito

informático es aquel en que las computadoras, sus técnicas y funciones desempeñan un papel ya sea como medio o como fin; como medio en el caso del fraude informático, y como fin, en el sabotaje informático y por medio del cual se lesionan los derechos del titular del elemento informático, independientemente si se trata de software o hardware.

Partiendo de este concepto debemos también analizar los elementos subjetivos que surgen a raíz de la realización de la conducta enmarcada, análisis elemental para comprender la lectura integral de la sentencia objeto de este segmento.

La poca doctrina nacional ha indicado lo siguiente en relación al sujeto activo, no son delincuentes comunes. Por ello presentan características particulares, entre las que encontramos: Poseen importantes conocimientos de informática Ocupan lugares estratégicos de trabajo, en los cuales se maneja información de

carácter sensible. Por ello, se les ha denominado delitos ocupacionales ya que se comenten en la ocupación que se tiene y el acceso al sistema.

A pesar de las características anteriores debemos tener presente que puede tratarse de personas muy diferentes. No es lo mismo el joven que entra a un sistema informático por curiosidad, por investigar o con la motivación de violar el sistema de seguridad como desafío personal, que el empleado de una institución financiera que desvía fondos de las cuentas de sus clientes.

Son considerados delitos de cuello blanco, porque el sujeto que comete el delito tiene cierto estatus socio económico.

En lo que respecta al sujeto pasivo, va a estar representado por la persona o entidad sobre el cual recae la conducta que realiza el sujeto activo.

De esta manera a partir del análisis de la jurisprudencia nacional, específicamente de la Sala III logramos determinar el concepto de Delitos informáticos y de la doctrina extraemos las características de la figura en estudio. Es menester dejar claro que son tipos relativamente recientes y en cuanto a regulación son escasos por lo que es necesario ahondar en el tema de control y regulación de las actividades ilícitas realizadas a través de medios tecnológicos

LEGISLACIÓN EN DERECHO COMPARADOARGENTINA

ANTEPROYECTO DE LEY DE DELITOS INFORMATICOS  SOMETIDO A CONSULTA PÚBLICA POR LA SECRETARIA DE COMUNICACIONES POR RESOLUCIÓN No. 476/2001 DEL 21.11.2001

Acceso Ilegítimo Informático: 

Artículo 1.- Será reprimido con pena de multa de mil quinientos a treinta mil pesos, si no resultare un delito más severamente penado, el que ilegítimamente y a sabiendas accediere, por cualquier medio, a un sistema o dato informático de carácter privado o público de acceso restringido. La pena será de un mes a dos años de prisión si el autor revelare, divulgare o comercializare la información accedida ilegítimamente. 

En el caso de los dos párrafos anteriores, si las conductas se dirigen a sistemas o datos informáticos concernientes a la seguridad, defensa nacional, salud pública o la prestación de servicios públicos, la pena de prisión será de seis meses a seis años

Daño Informático Artículo 2.- Será reprimido con prisión de un mes a tres años, siempre que el hecho no constituya un delito más severamente penado, el que ilegítimamente y a sabiendas, alterare de cualquier forma, destruyere, inutilizare, suprimiere o hiciere inaccesible, o de cualquier modo y por cualquier medio, dañare un sistema o dato informático.Artículo 3.-En el caso del artículo 2º, la pena será de dos a ocho años de prisión, si mediara cualquiera de las circunstancias siguientes: 1) Ejecutarse el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de sus determinaciones; 2) Si fuera cometido contra un sistema o dato informático de valor científico, artístico, cultural o financiero de cualquier administración pública, establecimiento público o de uso público de todo género; 3) Si fuera cometido contra un sistema o dato informático concerniente a la seguridad, defensa nacional, salud pública o la prestación de servicios públicos. Sí del hecho resultaren, además, lesiones de las descritas en los artículos 90 o 91 del Código Penal, la pena será de tres a quince años de prisión, y si resultare la muerte se elevará hasta veinte años de prisión.Fraude Informático Artículo 5.- Será reprimido con prisión de un mes a seis años, el que con ánimo de lucro, para sí o para un tercero, mediante cualquier manipulación o artificio tecnológico semejante de un sistema o dato informático, procure la transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. En el caso del párrafo anterior, si el perjuicio recae en alguna administración publica, o entidad financiera, la pena será de dos a ocho años de prisión. 

Disposiciones Comunes Artículo 6.- 1) A los fines de la presente ley se entenderá por sistema informático todo dispositivo o grupo de elementos relacionados que, conforme o no a un programa, realiza el tratamiento automatizado de datos, que implica generar, enviar, recibir, procesar o almacenar información de cualquier forma y por cualquier medio. 2) A los fines de la presente ley se entenderá por dato informático o información, toda representación de hechos, manifestaciones o conceptos en un formato que puede ser tratado por un sistema informático. 3) En todos los casos de los artículos anteriores, si el autor de la conducta se tratare del responsable de la custodia, operación, mantenimiento o seguridad de un sistema o dato informático, la pena se elevará un tercio del máximo y la mitad del mínimo, no pudiendo superar, en ninguno de los casos, los veinticinco años de prisión. 

COLOMBIA :

Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información y de los datos”Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el

legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor.Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Al respecto es importante aclarar que la Ley 1266 de 2008 definió el término dato personal como “cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica”. Dicho artículo obliga a las empresas un especial cuidado en el manejo de los datos personales de sus empleados, toda vez que la ley obliga a quien “sustraiga” e “intercepte” dichos datos a pedir autorización al titular de los mismos.

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES.(PHISING) El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.    En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.    La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el agente ha reclutado víctimas en la cadena del delito.Es primordial mencionar que este artículo tipifica lo que comúnmente se denomina “phishing”, modalidad de estafa que usualmente utiliza como medio el correo electrónico pero que cada vez con más frecuencia utilizan otros medios de propagación como por ejemplo la mensajería instantánea o las redes sociales. Por su parte, el capítulo segundo establece:Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un

sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas señaladas en el artículo 240 del Código Penal, es decir, penas de prisión de tres (3) a ocho (8) años.Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte (120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes. La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de computador destindo a la comisión del delito descrito en el inciso anterior, o de una estafa.

ESPAÑA:España cuenta con determinadas normas que tipifican los delitos informáticos, así como

algunos órganos especiales dedicados a la persecución de los mismos.Delitos informáticos y el Código Penal; El Código penal español de 1995 (Ley Orgánica

10/1995, de 23 de Noviembre) no contempla directamente los delitos denominados "informáticos". No obstante, refleja las siguientes conductas delictivas descritas en el "Convenio sobre la Ciberdelincuencia", en las que los datos o sistemas informáticos son instrumentos de comisión o el objeto del delito:

Clasificación del delito

Articulo Derecho tutelado

Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos.

Art197Art 264.2 y 278.3Art278.1

Se tipifica en este artículo las conductas que llevan a apoderarse de mensajes de correo electrónico ajenos o accedan a documentos privados sin la autorización de sus titulares. La destrucción, alteración o daño de programas o documentos contenidos en ordenadores. Apoderarse o difundir documentos o datos electrónicos de empresas.

Delitos informáticos. Art 248.2Art 256

Estafas como consecuencia de alguna manipulación informática. Utilización no consentida de un ordenador sin la autorización de su dueño causándole un perjuicio económico superior a 300,50 €

Delitos relacionados con el contenido.

Art 186Art 189

La distribución entre menores de edad de material pornográfico. Distribución a través de Internet de material de pornografía infantil.

Delitos relacionados con infracciones de la propiedad intelectual y derechos afines.

Art 270

Art 270

Art 273

La copia no autorizada de programas de ordenador o de música.Fabricación, distribución o tenencia de programas que vulneran las medidas de protección anti-piratería de los programas .Comercio a través de Internet de productos patentados sin autorización del titular de la patente.Algunas conductas como el //spam// (envío de publicidad no deseada, normalmente a través del correo electrónico), escaneo de puertos, la apología del terrorismo a través de Internet o el blanqueo de capitales no están contemplados entre los delitos tipificados en el Código penal español. Debido a esta razón, su persecución penal se realiza conjuntamente con los delitos a los que los ordenadores o las redes sirven como la herramienta para su comisión, no siendo considerados delitos autónomos en sí mismos.

Delitos informáticos y el Cuerpo Nacional de Policía :

Art del 197 al 201

Uno de los organismos especiales creados en España para la investigación de los delitos informáticos es la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía (CNP). Este grupo mantiene la siguiente clasificación de delitos informáticos, con sus referencias al Código Penal. El texto que acompaña a cada artículo no se corresponde con su contenido, sino que es más bien una aclaración del delito [2]:Ataques que se producen contra el derecho a la intimidad

Delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos.

Art270 y otros

Art 386 y ss.Art 263 y otros

Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autorEspecialmente la copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas.FalsedadesConcepto de documento como todo soporte material que exprese o incorpore datos.Extensión de la falsificación de moneda a las tarjetas de débito y crédito.Fabricación o tenencia de programas de ordenador para la comisión de delitos de falsedad.Sabotajes informáticos

Delito de daños mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos.

Art 248 y ss.

Art 169 y ss. Artículos 205 y ss.

Fraudes informáticos Delitos de estafa a través de la manipulación de datos o programas para la obtención de un lucro ilícito.AmenazasRealizadas por cualquier medio de comunicación. Calumnias e injurias Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la radiodifusión.

Pornografía infantil Art 189 La producción, venta, distribución, exhibición, por cualquier medio, de material pornográfico en cuya elaboración hayan sido utilizados enores de edad o incapaces, aunque el material tuviere su origen en el extranjero o fuere desconocido.El facilitamiento de las conductas anteriores (El que facilitare la producción, venta, distribución, exhibición...).- La posesión de dicho material para la realización de dichas conductas..

Hemos estudiado en el derecho comparado algunos países europeos y americanos , nos llama la atención el trato que se le da en España a este tipo de delitos en el que incluye una gran cantidad de tipos penales y además la creación de un cuerpo policial que investigara este tipo de delitos. A nivel de América la legislación Colombia nos llama fuertemente la atención y es la que consideramos más completa en este continente. Sin embargo sigue siendo un problema la definición de la competencia territorial para los estados , ya que al ser internet una red mundial el control de los delitos y además la sanción del mismo se mantiene siendo un problema serio y a resolver en un futuro en cooperación con el resto del mundo