Download - Nueva Ley de Delitos Informaticos 2013
Guillermo Edward Gil Albarrán
1
Ingeniero de Sistemas e Informática – C.I.P. 61507 Abogado – C.A.S. 905
Conducta típica, antijurídica, culpable o dolosa y punible, en que se tiene a los equipos informáticos como instrumento o fin
La realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software
29/11/2013 4
Características: Rapidez y acercamiento, en tiempo y espacio su comisión. (Programación de retardos, accesos remotos, etc.) Facilidad para encubrir el hecho. (El mismo programa después de realizar el ilícito cambia la rutina dejando el archivo en su estado original) Facilidad para borrar las pruebas
29/11/2013 5
LOS HACKERS El estereotipo del hacker, nos induce a pensar en una persona relativamente joven, de clase media, autodidacta en informática y generalmente alineada contra las grandes compañías de software, que se mueven por fines de autorrealización de conocimiento, nunca provocan danos intencionados en las maquinas, y que comparten la información a la que acceden de forma gratuita y desinteresada. Generalmente vulneran la normativa de propiedad intelectual, pero no cabe atribuirles conductas dolosas que quizás no se merecen. LOS CRACKERS Generalmente son personas que se introducen en sistemas informáticos remotos con la intención de destruir datos, denegar el servicio a sus usuarios legítimos y en general, voluntariamente causar danos, robar información de trascendencia económica o provocar problemas que beneficiaran a terceros. Además muchos crackers, como delincuentes que son, obtienen información restringida de los sistemas a los que entran y luego la venden a quien les ha encargado el trabajo o al mejor postor. 29/11/2013 6
Como instrumento o medio. En esta categoría se encuentran las conductas criminales que se valen de las computadoras como método, medio o símbolo en la comisión del ilícito, por ejemplo: Falsificación de documentos vía computarizada (tarjetas de crédito, cheques, etc.) Variación de los activos y pasivos en la situación contable de las empresas. Planeamiento y simulación de delitos convencionales (robo, homicidio, fraude, etc.) Lectura, sustracción o copiado de información confidencial. Modificación de datos tanto en la entrada como en la salida. Aprovechamiento indebido o violación de un código para penetrar a un sistema introduciendo instrucciones inapropiadas. Variación en cuanto al destino de pequeñas cantidades de dinero hacia una cuenta bancaria apócrifa. Uso no autorizado de programas de computo. Introducción de instrucciones que provocan "interrupciones" en la lógica interna de los programas. Alteración en el funcionamiento de los sistemas, a través de los virus informáticos. Obtención de información residual impresa en papel luego de la ejecución de trabajos. Acceso a áreas informatizadas en forma no autorizada. Intervención en las líneas de comunicación de datos o teleproceso.
29/11/2013 7
Como fin u objetivo. En esta categoría, se enmarcan las conductas criminales que van dirigidas contra las computadoras, accesorios o programas como entidad física, como por ejemplo: Programación de instrucciones que producen un bloqueo total al sistema. Destrucción de programas por cualquier método. Daño a la memoria. Atentado físico contra la máquina o sus accesorios. Sabotaje político o terrorismo en que se destruya o surja un apoderamiento de los centros neurálgicos computarizados. Secuestro de soportes magnéticos entre los que figure información valiosa con fines de chantaje (pago de rescate, etc.).
29/11/2013 8
LEY Nº 27309
LEY QUE INCORPORA LOS DELITOS INFORMÁTICOS AL CÓDIGO PENAL
Incorporan Artículos 207-A, 207-B, 207-C y 208
Publicado a los quince días del mes de julio del año dos mil
29/11/2013 9
CAPÍTULO X - DELITOS INFORMÁTICOS Artículo 207-A.- Delito Informático El que utiliza o ingresa indebidamente a una base de datos, sistema o red de computadoras o cualquier parte de la misma, para diseñar, ejecutar o alterar un esquema u otro similar, o para interferir, interceptar, acceder o copiar información en tránsito o contenida en una base de datos, será reprimido con pena privativa de libertad no mayor de dos años o con prestación de servicios comunitarios de cincuentidós a ciento cuatro jornadas. Si el agente actuó con el fin de obtener un beneficio económico, será reprimido con pena privativa de libertad no mayor de tres años o con prestación de servicios comunitarios no menor de ciento cuatro jornadas. Artículo 207-B.- Alteración, daño y destrucción de base de datos, sistema, red o programa de computadoras El que utiliza, ingresa o interfiere indebidamente una base de datos, sistema, red o programa de computadoras o cualquier parte de la misma con el fin de alterarlos, dañarlos o destruirlos, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años y con setenta a noventa días multa. Artículo 207-C.- Delito informático agravado En los casos de los Artículos 207-A y 207-B, la pena será privativa de libertad no menor de cinco ni mayor de siete años, cuando: 1. El agente accede a una base de datos, sistema o red de computadora, haciendo uso de información privilegiada, obtenida en función a su cargo. 2. El agente pone en peligro la seguridad nacional." (*) (*) Capítulo incorporado por el Artículo Único de la Ley Nº 27309, publicado el 17-07-2000.
29/11/2013 10
• El espionaje o intrusismo informático sancionaba la utilización o ingreso subrepticio a una base de datos, sistema o red de computadoras o cualquier parte de la misma para diseñar, ejecutar o alterar un esquema u otro similar. La pena máxima eran 2 años de cárcel.
• El sabotaje informático sancionaba la utilización, ingreso o interferencia a una base de datos, sistema, red o programa de ordenador con la finalidad de alterarlos, dañarlos o destruirlos. La pena máxima eran 5 años de cárcel.
• Los agravantes sancionaban con 7 años de cárcel a quienes cometían espionaje o sabotaje informático cuando el agente ingresaba a la base de datos, sistema o red de computadoras haciendo uso de información privilegiada en función a su cargo o ponía en riesgo la seguridad nacional (pena máxima de 7 años de cárcel).
• El 19 de agosto de 2013 la Ley a Ley 30076, incorporó un nuevo delito, Articulo 207-D: el tráfico ilegal de datos sancionando a aquel que ”crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga, creando o no perjuicio”.
• Primera conclusión: No estamos frente a una nueva regulación de delitos informáticos. Desde el año 2000 ya teníamos dos tipos penales en nuestro Código Penal (espionaje o intrusismo informático y sabotaje informático). En agosto de 2013 se crea un nuevo delito informático (¿?) relacionado con el uso de bases de datos. 29/11/2013 11
29/11/2013 12
MEXICO :
Proyecto de Ley sobre Delitos Informáticos, presentado por
Francisco Suárez Tánori, Adalberto Balderrama Fernández. (Año
2000)
COSTA RICA :
Ley No. 8148. Adición de los artículos 196 Bis, 217 Bis y 229 Bis al
Código Penal (Ley No. 4573), para reprimir y sancionar los Delitos
Informáticos
VENEZUELA :
Ley Especial Contra los Delitos Informáticos
ECUADOR :
Titulo V. de la Ley de Comercio Electrónico, Firmas y Mensajes de
Datos. Ley No. 67. RO Sup 557 de 17 de Abril del 2002.
BRASIL :
. Ley de Modificación del Código Penal número 1768, de 10 de
marzo de 1.997
. Projeto de Lei do Senado Federal nº 76, de 2000 - Crimes na
Internet. Define e tipifica os delitos informáticos, e dá outras
providências.
PERU:
Ley Nº 27309. Ley que incorpora los delitos informáticos al Código
Penal
URUGUAY:
Código Penal, arts. 217, 236 y ss., 246 y ss. 296 y ss. 358 y ss.
CHILE :
Ley relativa a Delitos Informáticos. Ley No.:19223
ARGENTINA;
Anteproyecto de Ley de Delitos Informáticos. Sometido a Consulta
Pública por la Secretaria de Comunicaciones por Resolución No.
476/2001 del 21.11.2001
BOLIVIA:
Propuesta de Modificación del
Código Penal
Delitos Informáticos
Ley Nº 30096
LEY DE DELITOS INFORMATICOS
La LDI deroga TODOS los delitos informáticos vigentes y que hemos mencionado anteriormente y se
presentan nuevos tipos penales únicamente inspirados en la Convención de Budapest
Publicado el 22 de Octubre del 2013
29/11/2013 13
Ley Nº 30096
LEY DE DELITOS INFORMATICOS
El objeto de la ley (Articulo 1) es:
“Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas
mediante la utilización de tecnologías de la información o de la comunicación, con la
finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.”
29/11/2013 14
“El que accede sin autorización a todo o parte de un sistema informático, siempre que se realice con la vulneración de medidas de
seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con
treinta a noventa días multa.
Sera reprimido con la misma pena el que accede a un sistema informático excediendo lo autorizado”.
(¿recuerdan el delito de espionaje o intrusismo informático?). Se sanciona al que accede sin autorización a todo o parte de un sistema informático vulnerando las medidas de seguridad que hayan sido establecidas para
impedirlo. La clave parece estar en la vulneración de las medidas de seguridad sin embargo creemos que debió especificarse el peligro concreto
sancionable. Por ejemplo, peligro para la seguridad o confidencialidad. Ej.: el ingreso sin autorización a cuentas de correo electrónico vulnerando las
contraseñas.
29/11/2013 15
“el que, a través de las tecnologías de la información o de la comunicación, introduce, borra, deteriora, altera, suprime o hace
inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento
veinte días multa”.
(Ej.: el ingreso a un sistema informático para alterar información relativa a sueldos o información laboral de un trabajador)
29/11/2013 16
“el que, a través de las tecnologías de la información o de la comunicación, inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o
la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento
veinte días multa”.
(Ej.: un ataque DDoS) (¿recuerdan el delito de sabotaje informático?). Este tipo penal me recuerda mucho al daño simple que se encuentra regulado en el artículo 205 del Código Penal pero en su versión informática (“el que daña,
destruye o inutiliza un bien mueble o inmueble…”). Pudo afinarse la redacción y precisarse que el objetivo de las conductas no era otro que causar
un daño.
DDoS (de las siglas en inglés Distributed Denial of Service)
29/11/2013 17
“El que a través de las tecnologías de la información o de la comunicación, contacta con un menor de 14 años para solicitar u obtener de él material pornográfico, o para
llevar a cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme
a los numerales 1, 2 y 4 del articulo 36 del código penal.
Cuando la victima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e
inhabilitación conforme a los numerales 1, 2 y 4 del articulo 36 del código penal”.
Al respecto Eduardo Alcocer ha señalado que el sólo contacto no es ya bastante ambiguo sino que además “los tipos penales vigentes sobre
pornografía infantil, seducción o violación de menores resultan suficientes para sancionar aquellas conductas realmente lesivas (por ejemplo, cuando ya
se entabla una comunicación con el menor para obtener material pornográfico o tener relaciones sexuales), las que se entenderán como formas
de tentativa de dichos ilícitos penales”. 29/11/2013 18
“El que crea, ingresa o utiliza indebidamente una base de datos sobre una persona natural o jurídica, identificada o identificable, para comercializar,
traficar, vender, promover, favorecer o facilitar información relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral,
financiera u otro de naturaleza análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”.
ya estaba vigente, sin embargo se deroga y se vuelve a promulgar (¿?). No se encuentra consonancia entre la regulación administrativa sobre datos
personales y este nuevo tipo penal propuesto.
29/11/2013 19
“El que, a través de las TICs, intercepta datos informáticos en transmisiones no publicas, dirigidas a un sistema informático, originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones
electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con pena privativa de libertad no
menor de tres ni mayor de seis años.
La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o
confidencial de conformidad con las normas de la materia.
La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito comprometa la defensa, la seguridad o la soberanía nacionales”.
(no se encontraba regulado) (Pena máxima: 10 años de cárcel). Ésta es la versión informática de la interceptación telefónica.
29/11/2013 20
“El que, a través de las tic, procura para si o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado,
supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido
con pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días multa cuando se afecte el patrimonio del Estado
destinado a fines asistencias o a programas de apoyo social”.
(no se encontraba regulado). “El que a través de las tecnologías de la información o de la comunicación, procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración,
borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático”. (Pena
máxima: 8 años de cárcel)(Ej.: “Phishing”, es decir, envío de correos fraudulentos que nos dirigen a una página fraudulenta)
29/11/2013 21
“El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que dicha conducta resulte algún
perjuicio, materia o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”.
(no se encontraba regulado).”El que mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona
natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral” (Pena máxima de 5 años de cárcel) (Ej.: atribución de un identidad ajena a través de cualquier página de Internet o red social). No queda claro si la suplantación implica necesariamente la creación de una
cuenta falsa, pudo haberse incluido.
29/11/2013 22
“El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o mas mecanismos, programas informáticos, dispositivos,
contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa
días multa”.
(no se encontraba regulado). “El que fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene para su utilización uno o más
mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito” (Pena máxima de 4 años de cárcel).
No se incluye la excepción contenida en el Convenio de Budapest para permitir el “hacking ético”.
29/11/2013 23
“El Juez aumenta la pena privativa de la libertad hasta un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos
en la presente Ley cuando:
1. El agente comete el delito en calidad de integrante de una organización criminal.
2. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al
conocimiento de esta información en razón del ejercicio de un cargo o función.
3. El agente comete el delito con el fin de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia.
4. El delito compromete fines asistenciales, la defensa, la seguridad y la soberanía nacionales”.
29/11/2013 24
• Los nuevos tipos penales informáticos hacen referencia a diferentes bienes jurídicos, ya no sólo al patrimonio. La LDI debió ser más precisa en algunos casos. Se acerca bastante a la redacción del Convenio de Budapest pero no en todos los casos. Cabe precisar que, según lo establecido en el artículo 12
del Código Penal es necesario el dolo para que los delitos anteriores se configuren. ¿Qué es el dolo? La intención deliberada de cometer el delito.
• No estamos frente a nuevos tipos penales. Desde el año 2000 la interferencia telefónica, la pornografía infantil y la discriminación han
sido sancionadas drásticamente por nuestro Código Penal.
• Se incrementan las penas para la interceptación telefónica, la discriminación y la pornografía infantil reguladas en el Perú desde el año 2000. No habría mayor afectación a la libertad de información en el delito
de interferencia telefónica pues no se sanciona la difusión de lo interceptado. Se mantendría la potencial afectación a la libertad de
expresión en el caso del delito de discriminación vigente, aunque sería interesante saber cuántos casos desde el 2000 han aplicado éste artículo.
Tanto en el caso del delito de discriminación como el de pornografía infantil se establecen agravantes por el sólo uso de la tecnología cuando
debería sancionarse únicamente la conducta.
29/11/2013 25