universidad regional autÓnoma de los andes uniandes - dspace en...
TRANSCRIPT
1
UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES
UNIANDES
FACULTAD DE JURISPRUDENCIA
ESCUELA DE DERECHO
TESIS DE GRADO PREVIA LA OBTENCIÓN DEL TÍTULO DE
MAGISTER EN DERECHO PENAL Y CRIMINOLOGÍA
TEMA:
“EL DELITO INFORMÁTICO DE PHISHING”
MAESTRANTE:
AB. JUAN CARLOS VALLE MATUTE. ESP.
ASESOR:
AB. RAÚL HERRÁEZ QUEZADA
QUEVEDO-ECUADOR
AÑO-2013
2
CERTIFICACIÓN DEL TUTOR
Abogado Raúl Herráez Quezada, tutor de la tesis cuyo tema es: “EL DELITO
INFORMÁTICO DE PHISHING”, presentado por el Ab. Juan Carlos Valle Matute,
Esp., estudiante de Postgrado de la Universidad Regional Autónoma de los Andes,
UNIANES-QUEVEDO, certifico que ha sido revisado en toda sus partes, por lo tanto
reúne todos los requisitos de fondo y forma exigidos por la Universidad, se
recomienda continuar con el trámite respectivo.
AB. RAÚL HERRÁEZ QUEZADA
3
CERTIFICACIÓN DE AUTORÍA
Ab. Juan Carlos Valle Matute Esp., estudiante de Postgrado de la Universidad
Regional Autónoma de los Andes, UNIANES-QUEVEDO, declaro que el tema “EL
DELITO INFORMÁTICO DE PHISHING” es original, por lo tanto de mi autoría, son
de mi exclusiva responsabilidad todos los temas tratados en la tesis
AB. JUAN CARLOS VALLE MATUTE ESP.
4
DEDICATORIA
Dedico este trabajo en primer lugar a Dios por brindarme la oportunidad de cumplir
con una meta más en mi vida, a toda mi familia, pero especialmente a mi padre que
ha sido siempre una gran inspiración y modelo a seguir, y a mis hermanos Andy y
Abel, que desde el lugar en donde estén, me siguen cuidando y sé que estarán
orgullosos por este nuevo logro.
AB. JUAN CARLOS VALLE MATUTE ESP.
5
AGRADECIMIENTO
Principalmente a Dios por otorgarme salud, sabiduría, paciencia, optimismo, que me
ha permitido culminar con éxito todo reto que me propongo y gracias a Él termino
esta etapa tan importante de la misma.
Agradezco a mi familia, en especial a mis hijas, que son mi impulso y motivación a
seguir adelante con todos los proyectos de mi vida, por la paciencia tenida a lo largo
de esta travesía. Y agradezco también a todos mis maestros que aportaron a mi
formación durante esta maestría.
AB. JUAN CARLOS VALLE MATUTE ESP.
6
ÍNDICE
RESUMEN EJECUTIVO ............................................................................................ 12
EXECUTIVE SUMMARY ........................................................................................... 13
INTRODUCCIÓN ....................................................................................................... 14
CAPÍTULO I ............................................................................................................... 15
EL PROBLEMA .......................................................................................................... 15
1.1.- Planteamiento del problema. ............................................................................. 15
1.1.1.- Formulación del problema. .......................................................................... 23
1.1.2.- Delimitación del problema. .......................................................................... 23
1.2.- Objetivos ............................................................................................................ 24
1.2.1.- Objetivo General ......................................................................................... 24
1.2.2.- Objetivos Específicos .................................................................................. 24
1.3.- Justificación. ...................................................................................................... 24
CAPÍTULO II .............................................................................................................. 26
MARCO TEÓRICO .................................................................................................... 26
2.1.- Antecedentes Investigativos .............................................................................. 26
2.2. Fundamentación Científica: Esquema de Contenidos. ....................................... 26
2.2.1. Legislación y Delitos Informáticos, Otros Tipos de Delitos Informáticos ....... 26
2.2.2. El Delito del Phishing .................................................................................... 30
2.2.2.1 Origen .................................................................................................... 30
7
Phishing ..................................................................................................................... 30
2.2.2.2 Tipos de Phishing ................................................................................... 32
2.2.2.3. Clasificación del Phishing según la participación de la víctima y la
complejidad de la Tecnología de la Estafa ......................................................... 45
2.2.2.4. Fases del Phishing ................................................................................. 46
2.2.2.5 Definiciones ........................................................................................... 49
2.2.3. Criminología del Phishing ............................................................................. 52
2.2.3.1 El Ciberterrorismo. .................................................................................. 52
2.2.3.2 La Falsificación Electrónica ..................................................................... 53
2.2.3.3 La Estafa Informática y la Apropiación Ilícita (Aplicado al Phishing) ....... 54
2.2.4 Sistemas de Seguridad Informática ............................................................... 55
2.2.4.1 Seguro informático .................................................................................. 55
2.2.4.2 Seguridad de la Banca en Línea ............................................................. 57
2.2.5 Legislación comparada .................................................................................. 60
2.2.5.1 Legislación y Delitos Informáticos - Alemania ......................................... 61
2.2.5.2 Legislación y Delitos Informáticos - Austria ............................................. 62
2.2.5.3 Legislación y Delitos Informáticos - China .............................................. 62
2.2.5.4 Legislación y Delitos Informáticos - Francia ............................................ 63
2.2.5.5 Legislación y Delitos Informáticos - Holanda .......................................... 63
2.2.5.6 Legislación y Delitos Informáticos - Inglaterra ......................................... 65
8
2.2.5.7 Legislación y Delitos Informáticos - Chile................................................ 65
2.2.5.8 Legislación y Delitos Informáticos - España ............................................ 66
2.2.5.9 Legislación y Delitos Informáticos - Estados Unidos ............................... 67
2.2.5.10 Legislación en el Ecuador ..................................................................... 69
2.2.5.11 La Constitución del Ecuador ................................................................. 79
2.2.5.12 Análisis del Código Integral Penal ........................................................ 81
TÉRMINOS BÁSICOS.- ............................................................................................. 84
NEOCONSTITUCIONALISMO .................................................................................. 88
ORALIDAD ................................................................................................................. 89
REFORMA ................................................................................................................. 90
TECNOLOGIAS DE LA INFORMACIÓN Y COMUNICACIÓN (TIC´S) ...................... 91
FUNDAMENTOS FILOSÓFICOS Y AXIOLÓGICOS DE LA UNIANDES .................. 92
2.3.- Idea a defender .................................................................................................. 93
2.4.- Variables ............................................................................................................ 93
CAPÍTULO III ............................................................................................................. 94
MARCO METODOLÓGICO ....................................................................................... 94
3.1. Modalidad de Investigación. ................................................................................ 94
3.2. Tipos de Investigación ........................................................................................ 94
3.2.1 Por su diseño ................................................................................................. 94
3.2.2 Por su alcance ............................................................................................... 95
9
3.3. Población y Muestra. ........................................................................................... 95
3.4.- Métodos, Técnicas e Instrumentos de la Investigación. ..................................... 96
3.4.1.- Métodos....................................................................................................... 96
MÉTODO HISTÓRICO-LÓGICO .......................................................................... 102
MÉTODO LÓGICO INDUCTIVO .......................................................................... 102
MÉTODO ANALÍTICO-SINTÉTICO ...................................................................... 103
MÉTODOS MATEMÁTICOS Y ESTADÍSTICOS .................................................. 104
3.4.2.- Técnicas .................................................................................................... 104
3.4.3 Instrumentos ................................................................................................ 105
3.5.- Interpretación de Resultados ........................................................................... 108
3.5.1. Encuesta a los Operadores de Justicia de la Corte Provincial de Justicia del
Guayas ................................................................................................................. 108
3.5.2. Encuesta a los Abogados en Libre Ejercicio Profesional ............................ 111
3.5.3. Encuesta a los Socios de la Cámara de Comercio de Guayaquil............... 114
CAPÍTULO IV ........................................................................................................... 117
MARCO PROPOSITIVO .......................................................................................... 117
TÍTULO: ................................................................................................................... 117
REFORMA AL CÓDIGO PENAL PARA TIPIFICAR Y SANCIONAR EL DELITO DE
PHISHING. ............................................................................................................... 117
4.1 Desarrollo de la propuesta. ................................................................................ 117
4.1.1 Caracterización de la propuesta .................................................................. 117
10
4.1.2 Incidencia de la propuesta en la solución del problema. ............................. 117
4.2 Presentación detallada de la propuesta. ............................................................ 118
4.2.1 Exposición de Motivos ................................................................................. 118
REPÚBLICA DEL ECUADOR .............................................................................. 118
FUNCIÓN LEGISLATIVA ..................................................................................... 118
ASAMBLEA NACIONAL ....................................................................................... 118
EL PLENO DE LA COMISIÓN LEGISLATIVA Y DE FISCALIZACIÓN. ............... 118
CONSIDERANDO: ............................................................................................... 118
En ejercicio de sus atribuciones constitucionales expide la siguiente: ................. 119
LEY REFORMATORIA AL CÒDIGO PENAL QUE TIPIFICA EL DELITO DE
PHISHING. ........................................................................................................... 119
4.3 Validación en la Propuesta. ............................................................................... 120
4.4 Por qué sancionar el delito de Phishing. ............................................................ 120
4.4.1. Comentario ................................................................................................. 121
4.4.2. Mecanismos para la aplicación de esta reforma: ........................................ 122
4.4.2.1 Búsqueda de respuestas a las tendencias recientes ............................ 123
4.4.2.2 Aplicación de la Ley .............................................................................. 123
4.4.2.3 Fomento de la Capacidad ..................................................................... 124
4.4.2.4 Capacitación ......................................................................................... 124
4.5 Conclusiones y Recomendaciones .................................................................... 125
11
4.5.1 Conclusiones ............................................................................................... 125
4.5.2 Recomendaciones ....................................................................................... 126
BIBLIOGRAFIA ........................................................................................................ 128
LEGISGRAFIA ......................................................................................................... 129
LINCOGRAFIA ......................................................................................................... 130
12
RESUMEN EJECUTIVO
El presente proyecto tiene como objetivo brindar una visión global del estado de los
delitos informáticos en el Ecuador, por cuanto hay varias maneras en que los
ciudadanos pueden ser víctimas de un fraude a través de las redes informáticas, es
por eso que existe la necesidad de dar a conocer los distintos tipos de delitos
frecuentes en estas redes, en especial uno de los más innovadores como es el delito
de phishing, su forma de ejecución y la finalidad que tienen las personas que realizan
este ilícito.
La sociedad ecuatoriana, día a día se desenvuelve cada vez más en el mundo
tecnológico, las compras, ventas, transacciones bancarias, pagos, etc, se pueden
realizar a través del internet y estas facilidades del comercio hacen que la sociedad
dependa de la tecnología y haga uso frecuente de ella, lo cual se torna peligroso
porque existen mayores probabilidades que los ciudadanos sean víctimas de fraude
informático por parte de personas que suelen pasar desapercibidos, sabotean las
computadores y se apropian indebidamente de lo que no les corresponde.
13
EXECUTIVE SUMMARY
This project aims to provide a global view of the state of the computer crime in
Ecuador, as there are several ways in which citizens can be victims of a fraud through
computer networks, that's why there is a need to publicize the various types of
offenses frequent in these networks, in particular one of the most innovative as it is
the crime of phishing, its form of execution and purpose that have the people who
make this illegal.
The Ecuadorian society, day to day lives are increasingly in the technological world,
purchases, sales, banking transactions, payments, etc, can be performed via the
internet and these facilities of the trade make the society depends on the technology
and make frequent use of it, which becomes dangerous because there are more likely
than citizens are victims of computer-related fraud on the part of persons that are
often overlooked, sabotaged the computers and misappropriate what not theirs.
14
INTRODUCCIÓN
La presente tesis de grado, fundamentalmente tiene como objetivo brindar una visión
en lo que respecta el delito informático de phishing en el Ecuador, en cuanto a su
forma de utilización, su regulación, así como también identificar lo más relevante que
debe regular el Ecuador para el tratamiento del mismo.
En el Capítulo I se abordará el problema en sí que engloba el delito informático de
phishing, el objetivo que se tiene al realizar el presente proyecto investigativo, dando
a conocer que efectivamente la sociedad ecuatoriana carece de la protección judicial
del Estado Ecuatoriano; que las autoridades judiciales, están obligados a conocer,
investigar y resolver, estas situaciones que pueden presentarse en la sociedad
ecuatoriana.
En el Capítulo II se expondrá el marco conceptual del delito de phishing, su historia,
la criminalidad informática, así como también las leyes relacionadas que se
encuentran establecidas en la legislación ecuatoriana.
En el Capítulo III se desarrollará el análisis e interpretación de los resultados
obtenidos a través de la encuesta realizada sobre la reforma a la legislación
ecuatoriana respecto a incrementar la tipificación específica al delito de phishing.
Cada una de las preguntas realizadas, se analizó para obtener los resultados
correspondientes, para poder tener un mejor entendimiento de los datos obtenidos,
cada gráfico o tabla a mostrar tendrá una explicación de los resultados.
Por último en el Capítulo IV, se expondrá la propuesta de reformar el marco legal
ecuatoriana, para poder hacer frente a estas conductas delictivas que hacen uso de
las nuevas tecnología, como propuestas iniciales y recomendaciones externas para
el tratamiento de los delitos informáticos
15
CAPÍTULO I
EL PROBLEMA
1.1.- Planteamiento del problema.
El delito informático implica actividades criminales que los países han tratado de
encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos,
fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse
que el uso de las técnicas informáticas han creado nuevas posibilidades del uso
indebido de las computadoras lo que ha creado la necesidad de regulación por parte
del derecho.
Se considera que no existe una definición formal y universal de delito informático
pero se han formulado conceptos respondiendo a realidades nacionales concretas:
"no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su
misma denominación alude a una situación muy especial, ya que para hablar de
"delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en
textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté
consignada en los códigos penales, lo cual en nuestro país, al igual que en otros
muchos no han sido objeto de tipificación aún." 1
En 1983, la Organización de Cooperación y Desarrollo Económico (OCDE) inicio un
estudio de las posibilidades de aplicar y armonizar en el plano internacional las leyes
penales a fin de luchar contra el problema del uso indebido de los programas
computacionales.
En 1992 la Asociación Internacional de Derecho Penal, durante el coloquio celebrado
en Wurzburgo (Alemania), adoptó diversas recomendaciones respecto a los delitos
1 TÉLLES VALDEZ, Julio. Derecho Informático. 2° Edición. Mc Graw Hill. México. 1996 Pág. 103-104
16
informáticos, entre ellas que, en la medida que el Derecho Penal no sea suficiente,
deberá promoverse la modificación de la definición de los delitos existentes o la
creación de otros nuevos, si no basta con la adopción de otras medidas como por
ejemplo el "principio de subsidiariedad".
Se entiende Delito como: "acción penada por las leyes por realizarse en perjuicio de
algo o alguien, o por ser contraria a lo establecido por aquéllas". 2
Finalmente la OCDE publicó un estudio sobre delitos informáticos y el análisis de la
normativa jurídica en donde se reseñan las normas legislativas vigentes y se define
Delito Informático como "cualquier comportamiento antijurídico, no ético o no
autorizado, relacionado con el procesado automático de datos y/o transmisiones de
datos." 3
"Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas
informáticos, pero tienen como objeto del injusto la información en sí misma". 4
Adicionalmente, la OCDE elaboró un conjunto de normas para la seguridad de los
sistemas de información, con la intención de ofrecer las bases para que los distintos
países pudieran erigir un marco de seguridad para los sistemas informáticos.
1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen
y borrar toda huella de los hechos, resultando, muchas veces, imposible de
deducir como es como se realizó dicho delito. La Informática reúne
características que la convierten en un medio idóneo para la comisión de
nuevos tipos de delitos en que en gran parte del mundo ni siquiera han podido
ser catalogados.
2 MOLINER, María. Diccionario de María Moliner Edición Digital. Copyright© 1996 Novel Inc.; Copyright © 1996 María Moliner. 3 Definición elaborada por un Grupo de Expertos, invitados por la OCDE a París en Mayo de 1993. 4 CARRION, Hugo Daniel. Tesis "Presupuestos para la Punibilidad del Hacking". Julio 2001.
17
2. La legislación sobre sistemas informáticos debería perseguir acercarse lo más
posible a los distintos medios de protección ya existentes, pero creando una
nueva regulación basada en los aspectos del objeto a proteger: la información.
En este punto debe hacerse un punto y notar lo siguiente:
No es la computadora la que atenta contra el hombre, es el hombre el que
encontró una nueva herramienta, quizás la más poderosa hasta el momento,
para delinquir.
No es la computadora la que afecta nuestra vida privada, sino el
aprovechamiento que hacen ciertos individuos de los datos que ellas
contienen.
La humanidad no está frente al peligro de la informática sino frente a
individuos sin escrúpulos con aspiraciones de obtener el poder que significa el
conocimiento.
Por eso la amenaza futura será directamente proporcional a los adelantos de
las tecnologías informáticas.
La protección de los sistemas informáticos puede abordarse desde distintos
perspectivas: civil, comercial o administrativa.
Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y,
todo lo contrario, lograr una protección global desde los distintos sectores para
alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.
Julio Téllez Valdez clasifica a los delitos informáticos en base a dos criterios:
1. Como instrumento o medio: se tienen a las conductas criminales que se valen
de las computadoras como método, medio o símbolo en la comisión del ilícito.
18
Ejemplos:
Falsificación de documentos vía computarizada: tarjetas de créditos, cheques,
etc.
Variación de la situación contable.
Planeamiento y simulación de delitos convencionales como robo, homicidio y
fraude.
Alteración el funcionamiento normal de un sistema mediante la introducción de
código extraño al mismo: virus, bombas lógicas, etc.
Intervención de líneas de comunicación de datos o teleprocesos.
2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas
en contra de la computadora, accesorios o programas como entidad física.
Ejemplos:
Instrucciones que producen un bloqueo parcial o total del sistema.
Destrucción de programas por cualquier método.
Atentado físico contra la computadora, sus accesorios o sus medios de
comunicación.
Secuestro de soportes magnéticos con información valiosa, para ser utilizada
con fines delictivos.
Este mismo autor sostiene que las acciones delictivas informáticas presentan las
siguientes características:
19
1. Sólo una determinada cantidad de personas (con conocimientos técnicos por
encima de lo normal) pueden llegar a cometerlos.
2. Son conductas criminales del tipo "cuello blanco": no de acuerdo al interés
protegido (como en los delitos convencionales) sino de acuerdo al sujeto que
los comete. Generalmente este sujeto tiene cierto status socioeconómico y la
comisión del delito no puede explicarse por pobreza, carencia de recursos,
baja educación, poca inteligencia, ni por inestabilidad emocional.
3. Son acciones ocupacionales, ya que generalmente se realizan cuando el
sujeto atacado se encuentra trabajando.
4. Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el
atacante.
5. Provocan pérdidas económicas.
6. Ofrecen posibilidades de tiempo y espacio.
7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de
regulación y por miedo al descrédito de la organización atacada.
8. Presentan grandes dificultades para su comprobación, por su carácter técnico.
9. Tienden a proliferar, por lo se requiere su urgente regulación legal.
María Luz Lima, por su parte, presenta la siguiente clasificación de "delitos
electrónicos" 5:
1. Como Método: conductas criminales en donde los individuos utilizan métodos
electrónicos para llegar a un resultado ilícito.
5 LIMA de la LUZ, María. Criminalia N° 1-6 Año L. Delitos Electrónicos. Ediciones Porrua. México. Enero-Julio 1984.
20
2. Como Método: conductas criminales en donde los individuos utilizan métodos
electrónicos para llegar a un resultado ilícito.
3. Como Medio: conductas criminales en donde para realizar un delito utilizan
una computadora como medio o símbolo.
4. Como Fin: conductas criminales dirigidas contra la entidad física del objeto o
máquina electrónica o su material con objeto de dañarla.
Los ciudadanos comunes que acceden a los portales de internet, como la banca en
línea o pagos de sus cuentas o transacciones que realizan a través de los distintos
portales de internet ecuatorianos y que son víctimas del delito informático del
phishing carecen de la protección judicial del Estado Ecuatoriano; esta protección
que es tan invocada en los Principios del Derecho Penal, en la Constitución y en el
mismo Código Penal, que las autoridades judiciales, están obligados a conocer,
investigar y resolver, estas situaciones que pueden presentarse en la sociedad
ecuatoriana.
El objetivo del engaño es adquirir información confidencial del usuario como
contraseñas, tarjetas de crédito o datos financieros y bancarios, podríamos
considerar como una estafa con sus elementos, características y victimología
diferentes a las ya establecidas en el Código Penal Ecuatoriano.
Al no existir la tutela efectiva de los derechos de los ciudadanos que por agilitar sus
procesos internos y de sus actividades propias en una era tecnológica que permite
que desde cualquier lugar en que se encuentren, por ser las comunicaciones móviles
fáciles y rápidas para generar transacciones o pagos en línea, se debe de garantizar
su protección en cuanto a la identidad del ciudadano y datos que son consignados o
almacenados en las distintas redes bancarias y financieras del país sujetas al control
de la Superintendencia de Bancos, además de la seguridad que el Estado debe de
aplicar para que los ciudadanos no sigan estando desprotegidos e indefensos ante
21
estos actos producidos por las entidades financieras y de las demás redes que
tienen sus portales en internet.
Los sujetos que perpetran el delito informático de phishing buscan e identifican a la
víctima, con el objetivo de que el delito que van a cometer no sea fácilmente
detectable, porque al extraer las claves de los ciudadanos que acceden a estos
portales de la banca en línea, no sólo que vulneran la confidencialidad sino que
además efectúan débitos y son depositados a cuentas bancarias de terceros en otros
bancos o realizan pagos electrónicos de diversos servicios que no tienen ninguna
relación con la víctima, perjudicando gravemente a las víctimas, porque una vez
registrada la transacción sea éste débito o crédito no existe el mecanismo legal para
determinar que ha sido víctima, el proceso del retroceso de las transacciones
efectuadas y consecuentemente, del resarcimiento de los daños y perjuicios
ocasionados en su contra.
El delito informático de phishing puede producirse de varias formas, desde un simple
mensaje a su teléfono móvil, una llamada telefónica, una web que simula una
entidad, una ventana emergente, y la más usada y conocida por los internautas, la
recepción de un correo electrónico. Pueden existir más formatos pero en estos
momentos solo mencionamos los más comunes;
- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos
personales.
- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor
suplanta a una entidad privada o pública para que usted le facilite datos privados. Un
ejemplo claro es el producido el 2005 con la Agencia Tributaria de España, ésta
advirtió de que algunas personas están llamando en su nombre a los contribuyentes
para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles
cargos monetarios.
22
- Página web o ventana emergente; es muy clásica y bastante usada. En ella se
simula suplantando visualmente la imagen de una entidad oficial, empresas, etc
pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos
privados. La más empleada es la "imitación" de páginas web de bancos, siendo el
parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con
señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario
novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de
Internautas y denunciado a las fuerzas del Estado españolas.
Los efectos del delito informático “phishing”, son resultado de la consecución de
actos repetitivos pudiendo ser de variadas las formas ejecutadas por un experto en
informática, no relacionado con la víctima en la gran mayoría de los casos y que
ocasiona que la víctima con su consentimiento cede a ingresar a estos sitios y
proporcionar sus datos confidenciales.
Nuestro país carece de una legislación referente al delito informático de phishing,
donde los causantes de este tipo de delitos informático no son sancionados, los
derechos de los ciudadanos quedan lesionados tanto psicológicamente y
económicamente, porque al otorgar a los delincuentes los datos de sus claves de sus
sitios, éstos tienen acceso a toda la información que pudiere existir y de los lugares
que frecuenta la víctima, pudiendo dar lugar a que exista la concurrencia de otros
delitos posterior al cometimiento del delito informático del phishing como los delitos
contra a la propiedad.
Es lamentable decir, que si continúan realizándose este tipo de delito informático de
phishing en contra de las personas naturales o jurídicas, tendremos además del
perjuicio económico, el detrimento de las imágenes corporativas de las entidades
financieras que en lugar de ofrecer el servicio de banca en línea como un servicio de
ayuda y que facilite al cliente va a ser el camino a que los delincuentes que se
encuentran en el internet acechen en contra de los clientes de estas entidades.
23
Para mejor explicación de nuestro problema, utilizamos una herramienta muy
práctica como es el árbol de problemas (Anexo 1), el mismo que a continuación
analizamos la relación causa-problema-efectos:
La legislación ecuatoriana no se encuentra actualizada, por lo tanto, la nueva
modalidad (delito informático) ocasiona la impunidad, porque en la ley penal el Juez
se remite solamente a la letra de la ley.
Los valores de vida son un conjunto de elementos de vida que están ligados
íntimamente en nuestro ser, son de gran importancia en cualquier persona y que son
la base para el entendimiento y progreso, por lo que el delito informático actualmente
es parte de la crisis de valores en la sociedad.
El mal uso de las TIC´s o la mala interacción web, es lo que provoca problemas, lo
que lleva a un uso indiscriminado e inadecuado de los medios y recursos
tecnológicos, en este caso el hackeo informático.
La crisis económica hace que la delincuencia sea día a día una mayor amenaza
contra la integridad de las personas y un obstáculo para el desarrollo
socioeconómico de los países, la misma que ha evolucionado a través de diversos
métodos de apropiación indebida de dinero, como es el presente caso de estudio, (el
phishing), fenómeno que afecta cada vez más a los ciudadanos, especialmente los
que hacen uso de las Tecnologías de Información y Comunicación.
1.1.1.- Formulación del problema.
La legislación penal ecuatoriana no consagra el Delito informático del Phishing como
institución con sentido punitivo, lo que ha generado impunidad de estos actos ilícitos
y perjuicio al derecho de la propiedad.
1.1.2.- Delimitación del problema.
Objeto de estudio.- Derecho Penal
24
Campo de acción.- Delito Informático
Lugar: Corte Provincial de Justicia del Guayas
Año: 2013
Línea de Investigación: Administración de Justicia
1.2.- Objetivos
1.2.1.- Objetivo General
Diseñar una reforma a la normativa jurídica vigente respecto al delito informático de
phishing, para que se evite la impunidad de estos actos ilícitos, y se garantice el
derecho a la propiedad, para lo cual se efectuará una investigación profunda acerca
del fenómeno de las infracciones informáticas, obteniendo resultados que permitan la
adopción de medidas de precaución en la administración de justicia, para una mejor
interpretación de la reforma a realizar.
1.2.2.- Objetivos Específicos
1. Elaborar las bases teóricas de la tesis en base a la consulta de los diferentes
autores nacionales y extranjeros que tienen relación con el tema de investigación
2. Utilizar los métodos, técnicas e instrumentos de la investigación científica
3. Diseñar las estrategias de la propuesta.
4. Validación de la propuesta por la vía de los expertos
1.3.- Justificación.
La motivación de la selección de este tema radica esencialmente en el incremento de
los casos denunciados en las Fiscalías Provinciales del Ecuador, siendo la prueba
esencial el peritaje informático esencial en estos casos, pero que no existiendo el tipo
25
penal específico en el Código Penal se origina que la gran mayoría de casos no se
logre el resultado que la víctima espera, puesto que los elementos que concurren
este delito son asimilados a una especie de estafa pero éste tiene sus características
propias y distintas a las ya determinadas en el Código Penal Ecuatoriano.
La investigación es necesaria, con el objetivo de determinar la criminología, la
victimología y conociendo esta realidad determinar las sanciones punitivas
correspondientes que se plasmará en el Anteproyecto de Ley correspondiente.
La trascendencia del delito informático de phishing, se debe a que en la actualidad la
cantidad de usuarios del internet se ha incrementado notablemente lo que ocasiona
que acceden a los distintos sitios y la cantidad de víctimas cada día se incrementan,
quienes siendo afectados por el cometimiento de este delito no sólo que están
perjudicados sino que además punitivamente están en estado de indefensión.
Con el avance tecnológico en la sociedad a nivel mundial, es necesario efectuar el
análisis de las conductas que participan en la participación de este delito informático
del phishing, el cual nuestro país no debe de ser la excepción, porque las
transacciones bancarias en línea cada día son más frecuentes, muchos usuarios
acceden a efectuar estas transacciones con el objetivo de optimizar tiempo y
recursos, por ello es necesario e imprescindible proteger a la sociedad y sancionar a
los ciudadanos que adecuen su conducta a este delito informático de phishing.
26
CAPÍTULO II
MARCO TEÓRICO
2.1.- Antecedentes Investigativos
Una vez realizada una visita a la biblioteca de la Universidad Regional Autónoma de
los Andes “UNIANDES” se puede establecer que no existen trabajos sobre delitos
informáticos en general, mucho más sobre el phishing, una nueva modalidad de
apropiación indebida de recursos.
Serrahima Joaquim, en su obra “La Amenaza Digital” año 2010, Editor Bresca
Editorial. ISBN 8496998258, 9788496998254. Barcelona – España 6, analiza y
previene al mundo sobre una nueva forma de apropiación indebida de los recursos
en red, la tecnología avanza tan acelerada y junto con ello el delito, comparado con
la legislación, ésta última, está muy distinta, está atrasada y no permite procesar,
sancionar, este tipo de delitos. Los países desarrollados han precautelado este tipo
de delitos como es el phishing, que está tipificada en la legislación española, que nos
avisa a aquellos países que aún no despertamos a la tecnología y sus riesgos por la
utilización, el uso y el abuso nos está llevando al delito y es urgente que nuestra
legislación tome correctivos.
2.2. Fundamentación Científica: Esquema de Contenidos.
2.2.1. Legislación y Delitos Informáticos, Otros Tipos de Delitos Informáticos
La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos
informáticos:
6. SERRAHIMA Joaquim. (2010). “La Amenaza Digital”. Editor Bresca Editorial. ISBN 8496998258, 9788496998254. Barcelona – España
27
1. Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: este tipo de fraude informático conocido
también como sustracción de datos, representa el delito informático más
común ya que es fácil de cometer y difícil de descubrir.
La manipulación de programas: consiste en modificar los programas
existentes en el sistema o en insertar nuevos programas o rutinas. Es muy
difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente
tiene conocimientos técnicos concretos de informática y programación.
Manipulación de los datos de salida: se efectúa fijando un objetivo al
funcionamiento del sistema informático. El ejemplo más común es el fraude
del que se hace objeto a los cajeros automáticos mediante la falsificación de
instrucciones para la computadora en la fase de adquisición de datos.
Fraude efectuado por manipulación informática: aprovecha las repeticiones
automáticas de los procesos de cómputo. Es una técnica especializada que se
denomina "técnica del salchichón" en la que "rodajas muy finas" apenas
perceptibles, de transacciones financieras, se van sacando repetidamente de
una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es
igual a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.
2. Manipulación de los datos de entrada
Como objeto: cuando se alteran datos de los documentos almacenados en
forma computarizada.
Como instrumento: las computadoras pueden utilizarse también para efectuar
falsificaciones de documentos de uso comercial.
28
3. Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización
funciones o datos de computadora con intención de obstaculizar el
funcionamiento normal del sistema.
Acceso no autorizado a servicios y sistemas informáticos: estos acceso se
pueden realizar por diversos motivos, desde la simple curiosidad hasta el
sabotaje o espionaje informático.
Reproducción no autorizada de programas informáticos de protección legal:
esta puede entrañar una pérdida económica sustancial para los propietarios
legítimos. Algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones modernas. Al
respecto, se considera, que la reproducción no autorizada de programas
informáticos no es un delito informático debido a que el bien jurídico a tutelar
es la propiedad intelectual.
Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de
Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser
objeto la información.
Ellas son:
"Fraude en el campo de la informática.
Falsificación en materia informática.
Sabotaje informático y daños a datos computarizados o programas
informáticos.
Acceso no autorizado.
Intercepción sin autorización.
Reproducción no autorizada de un programa informático protegido.
29
Espionaje informático.
Uso no autorizado de una computadora.
Tráfico de claves informáticas obtenidas por medio ilícito.
Distribución de virus o programas delictivos." 7
Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por
nuestra parte, a los postulados de la ONU sobre los delitos informáticos, con el fin de
unificar la legislación internacional que regule la problemática de la cibernética y su
utilización tan generalizada en el mundo.
Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia
de una norma que tipifique los delitos señalados, son un factor criminógeno que
favorece la multiplicación de autores que utilicen los medios electrónicos para
cometer delitos a sabiendas que no serán alcanzados por la ley.
No solo debe pensarse en la forma de castigo, sino algo mucho más importante
como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de
legislar por el carácter intangible de la información.
"Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes
específicas para la tecnología. El fraude es el fraude, se realice mediante el correo
postal, el teléfono o Internet. Un delito no es más o menos delito si se utilizó
criptografía (...). Y el chantaje no es mejor o peor si se utilizaron virus informáticos o
fotos comprometedoras, a la antigua usanza. Las buenas leyes son escritas para ser
independientes de la tecnología. En un mundo donde la tecnología avanza mucho
más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy
en día. Mejores y más rápidos mecanismos de legislación, juicios y
sentencias...quizás algún día." 8
7 CARRION, Hugo Daniel. Tesis "Presupuestos para la Punibilidad del Hacking". Julio 2001.
8 SCHNEIER, Bruce. Secrets & Lies.Página 28-29.
30
2.2.2. El Delito del Phishing
2.2.2.1 Origen
Phishing
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión
al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le
llama phisher. También se dice que el término phishing es la contracción
de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto
probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente
utilizada por hackers para sustituir la f, como raíz de la antigua forma
de hacking telefónico conocida como phreaking.
La primera mención del término phishing data de enero de 1996. Se dio en el grupo
de noticias de hackers alt.2600, aunque es posible que el término ya hubiera
aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600
Magazine. El término phishing fue adoptado por quienes intentaban "pescar" cuentas
de miembros de AOL.
El phishing es una técnica de ingeniería social utilizada por los delincuentes para
obtener información confidencial como nombres de usuario, contraseñas y detalles
de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.
El escenario de Phishing generalmente está asociado con la capacidad de duplicar
una página web para hacer creer al visitante que se encuentra en el sitio web
original, en lugar del falso. El engaño suele llevarse a cabo a través de
correoelectrónico y, a menudo estos correos contienen enlaces a un sitio web falso
con una apariencia casi idéntica a un sitio legítimo. Una vez en el sitio falso, los
usuarios incautos son engañados para que ingresen sus datos confidenciales, lo que
le proporciona a los delincuentes un amplio margen para realizar estafas y fraudes
con la información obtenida.
31
La principal manera de llevar adelante el engaño es a través del envío de spam
(correo no deseado) e invitando al usuario a acceder a la página señuelo. El objetivo
del engaño es adquirir información confidencial del usuario como contraseñas,
tarjetas de crédito o datos financieros y bancarios. A menudo, estos correos llegan a
la bandeja de entrada, disfrazados como procedentes de departamentos de recursos
humanos o tecnología o de áreas comerciales relacionadas a transacciones
financieras.
Otra forma de propagación, menos común, pueden ser el fax y los mensajes SMS a
través del teléfono móvil. En algunos casos se proclamen grandes premios y
descuentos en la venta de productos. También se debe destacar que el destinatario
de los mensajes es genérico y los mensajes son enviados en forma masiva para
alcanzar una alta cantidad de usuarios, sabiendo que un porcentaje (aunque sea
mínimo) caerá en la trampa e ingresará al sitio falso, donde se le robará la
información.
Algunas de las características más comunes que presentan este tipo de
mensajes de correo electrónico son:
Uso de nombres de compañías ya existentes. En lugar de crear desde cero el
sitio web de una compañía ficticia, los emisores de correos con intenciones
fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de
una empresa existente, con el fin de confundir aún más al receptor del
mensaje.
Utilizar el nombre de un empleado real de una empresa como remitente del
correo falso. De esta manera, si el receptor intenta confirmar la veracidad del
correo llamando a la compañía, desde ésta le podrán confirmar que la persona
que dice hablar en nombre de la empresa trabaja en la misma.
Direcciones web con la apariencia correcta. Como hemos visto, el correo
fraudulento suele conducir al lector hacia sitios web que replican el aspecto de
32
la empresa que está siendo utilizada para robar la información. En realidad,
tanto los contenidos como la dirección web (URL) son falsos y se limitan a
imitar los contenidos reales. Incluso la información legal y otros enlaces no
vitales pueden redirigir al confiado usuario a la página web real.
Factor miedo. La ventana de oportunidad de los defraudadores es muy breve,
ya que una vez se informa a la compañía de que sus clientes están siendo
objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y
sirve para la recogida de información se cierra en el intervalo de unos pocos
días. Por lo tanto, es fundamental para el defraudador el conseguir una
respuesta inmediata por parte del usuario. En muchos casos, el mejor
incentivo es amenazar con una pérdida, ya sea económica o de la propia
cuenta existente, si no se siguen las instrucciones indicadas en el correo
recibido, y que usualmente están relacionadas con nuevas medidas de
seguridad recomendadas por la entidad.
2.2.2.2 Tipos de Phishing
El Instituto Nacional de Tecnologías de la Comunicación (INTECO) de España hace
un estudio sobre la práctica fraudulenta conocida como phishing, sobre usuarios,
entidades públicas y privadas afectadas por la práctica fraudulenta de este delito,
estudio publicado en Octubre de 2007, en el cual nos da un análisis sobre los tipos
de phishing, y sus fases evolutivas para su realización:
La rapidez de evolución de este tipo de delitos complica también la tarea de realizar
un análisis exhaustivo de todas las variantes que se pueden incluir bajo esta
denominación común, más aún si tenemos en cuenta que, a menudo, se lanzan
ataques combinados que implican el concurso de varias de las técnicas que
pretendemos exponer.
33
Lógicamente, no existe una única clasificación de los delitos de phishing. Una de las
más acertadas proporciona las distintas “fotografías” del modus operandi de estos
delincuentes, describiendo seis tipos de phishing:
1.- Phishing engañoso – Deceptive Phishing
Esta es la forma primitiva de phishing. Aunque en sus inicios (cuando el objetivo
básico era la captura de cuentas de AOL) la herramienta de comunicación utilizada
eran las aplicaciones de mensajería instantánea, en la actualidad la forma más
habitual de desarrollar este tipo de delito (o al menos de iniciarlo) es mediante el
correo electrónico. Precisamente, un típico ataque de esta variedad de phishing
comienza cuando el phisher envía un correo electrónico falso.
Observatorio de la Seguridad de la Información
La dirección IP está formada por una serie numérica de cuatro grupos entre 0 y 255
separados por puntos y que identifica un ordenador conectado a Internet.
Obviamente, este sistema no se utiliza para la navegación por las dificultades que
supondría recordar esta serie de memoria. En su lugar, el DNS (Domain Name
System o Sistema de Nombres de Dominio) traduce esos números a direcciones
web, tal y como normalmente las utilizamos en los navegadores, que son fáciles de
reconocer y recordar.
El procedimiento es relativamente sencillo. Consiste, básicamente, en el envío,
generalmente masivo, de un correo electrónico en el que es suplantada una empresa
o institución legítima y de confianza para el receptor, por lo que este atendiendo una
“llamada a la acción” incluida en dicha comunicación electrónica pulsará en el enlace
contenido en el correo electrónico siendo desviado, de manera inconsciente, a un
sitio web fraudulento.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
34
Los ejemplos de llamada a la acción son muy diversos: desde la existencia de algún
tipo de problema en la cuenta bancaria del destinatario, invitándole a entrar en algún
sitio web para subsanarlo, la comunicación de algún tipo de riesgo por fraude, un
aviso ficticio de compra acompañado de un enlace (link) cuyo destino es la página en
la que puede cancelarse, la comunicación de un cambio no autorizado en la cuenta
corriente del destinatario, etc.
En cualquiera de estos casos, el paso siguiente siempre es similar. Los destinatarios
que son víctimas del engaño, acceden a un sitio web en el que se les requiere todo
tipo de información confidencial para “subsanar” el problema que se les había
comunicado previamente. Una vez recogidos esos datos, el phisher ya está en
condiciones de realizar el fraude que previamente había planeado.
La variedad en este sentido también es muy amplia: desde la simple venta de esos
datos para que otro realice el fraude a la transferencia de fondos de la cuenta
bancaria del destinatario, la solicitud de una hipoteca en su nombre, la realización de
compras por Internet, etc.
Dentro de esta tipología de phishing existen también distintas variantes. Una de ellas,
relativamente común, es enviar mensajes de correo electrónico que, a través de
HTML, replican con más o menos precisión la pantalla de autenticación de la entidad
a la que están suplantando, evitando, de esta forma, que el usuario tenga que pulsar
un link y utilizar el navegador web para realizar la acción. Mediante esta técnica se
hace más difícil que el destinatario detecte el engaño.
No obstante, para evitar este último detalle que puede dar al traste con la estafa, los
delincuentes utilizan distintas técnicas para ocultar la dirección web en la que están
navegando atentos, en todo momento, a los objetivos del timo. Las técnicas
comprenden desde el uso de la dirección IP numérica en lugar del nombre de
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
35
dominio23, al uso de pequeñas rutinas realizadas mediante lenguaje de
programación (ej. en JavaScript) que esconden la barra de direcciones del
navegador, pasando por el uso de lo que se denomina el “ataque de un dominio
primo”, esto es, el registro de un nombre de dominio similar al de la organización a la
que se está suplantando para realizar la estafa (por ejemplo,
“www.entidadfinanci.era.es” en lugar de “www.entidadfinanciera.es”.
Otra variante dentro del ataque a través de correo electrónico consiste en mensajes
tengan como finalidad la instalación de algún tipo de software malicioso. Este se
ejecutaría en el ordenador del destinatario cuando este ingresa en el sitio web falso y
confunda, de alguna forma, al usuario. No obstante, esta categoría entraría dentro
del siguiente tipo de phishing, que se analizará seguidamente.
Conviene realizar un análisis más pormenorizado de la naturaleza de estos
mensajes, con el objeto de identificar los rasgos que los caracterizan:
a) Suplantación de empresas con buena reputación para conseguir la necesaria
confianza de sus víctimas.
Utilizan la imagen de la compañía (logotipo, colores, tipos de letra…).
Introducen enlaces al sitio web legítimo de la compañía junto al enlace
fraudulento para confundir a los potenciales estafados.
El correo electrónico parece proceder de la compañía suplantada.
b) La dirección de respuesta es diferente de la identidad que hace el envío.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
36
c) Crean un motivo plausible: la imaginación de los delincuentes es prolija, pero,
básicamente, existen tres fuentes principales de estímulo:
el miedo (a ser objeto de un fraude)
la codicia (la posibilidad de aprovechar una buena oportunidad)
la curiosidad (acceder a algún contenido novedoso).
d) Requieren respuesta rápida: el fraude no puede prolongarse mucho tiempo.
e) Recolección de información vía correo electrónico (cada vez menos habitual).
f) Enlaces a dominios con nombres o grafías similares al del dominio legítimo.
g) El texto del enlace (link) en el correo electrónico difiere del enlace (link) de destino.
También es interesante analizar la segunda parte del engaño que, de forma más
habitual, utiliza un sitio web como cebo. Las principales argucias utilizadas por este
tipo de estafadores en los sitios web fraudulentos son:
En ocasiones los estafadores programan sus webs de tal forma que si el usuario
utiliza un navegador que no tiene la vulnerabilidad que se pretende explotar,
redireccionan al usuario a la web legítima, evitando ser descubiertos.
Camuflarse a la hora de suplantar la web legítima de la compañía. Incluso, muchos
sitios web fraudulentos simulan el proceso de envío de los datos, tal y como
sucedería en la versión legítima, y redireccionan al usuario a la página de la empresa
suplantada una vez que los datos han sido facilitados. De esta manera las víctimas
no saben que han sido objeto de un fraude.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
37
Uso de certificados SSL falsos: una URL que comienza con el protocolo “https://”, en
lugar de “http://”, indica que la información está siendo transmitida a través de una
conexión segura y que la compañía está provista de un certificado Secure Sockets
Layer (SSL). Algunos sitios web fraudulentos utilizan este protocolo y suele
combinarse con la utilización de direcciones IP en lugar de la URL habitual.
Curiosamente, los navegadores suelen desplegar mensajes en los que se avisa al
usuario de que el certificado es inválido o que no coincide con el nombre del sitio. Sin
embargo, la mayoría de usuarios suelen ignorar estos mensajes, pensando que es
un error de su navegador y caen en la trampa.
Uso de una barra de dirección falsa, que puede contener la dirección legítima del
sitio, pero sin ningún efecto sobre la web que se está visitando.
Uso de ventanas emergentes: el sitio fraudulento redirecciona al usuario a la web
real de la institución suplantada y, simultáneamente, despliega una ventana,
fraudulenta, que solicita y recoge los datos. Por ello, resulta de gran utilidad activar
los bloqueadores de pop-ups que incorporan la mayoría de los navegadores
actuales.
Deshabilita el botón derecho del ratón, el cual, despliega un menú que permite, entre
otras cuestiones, verificar las propiedades de las web visitada. Introducir mensajes
para evitar que el usuario entre en la web suplantada, obteniendo así el tiempo
suficiente para completar el fraude. Los delincuentes más avanzados
tecnológicamente utilizan aplicaciones software para bloquear el acceso del usuario
(al menos desde el ordenador infectado) al sistema.
Estos son algunos de los ardides más utilizados por estos estafadores. Sin embargo,
continuamente aparecen nuevas herramientas orientadas a mejorar las tácticas de la
estafa, así como nuevos y más imaginativos argumentos para confundir al usuario.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
38
Como hemos podido comprobar este tipo de phishing basa su éxito
fundamentalmente en las técnicas de ingeniería social, es decir, el papel del
destinatario del fraude es fundamental: sin su “cooperación” no hay posibilidad de
éxito.
Dentro de este primer tipo de phishing deben incluirse dos variantes que se
diferencian por el medio de comunicación que es utilizado para iniciar la estafa: el
Vishing y el Smishing.
El vishing utiliza el teléfono como herramienta. Se basa en el uso de un tipo de
software denominado “war dialers” cuya función es realizar la marcación de teléfonos
desde un ordenador, utilizando la tecnología de telefonía sobre IP. Una vez que el
usuario atacado descuelga se activa una grabación que trata de convencerle o bien
de que visite un sitio web para dar sus datos personales o bien de que directamente
“confirme” sus datos en la misma llamada. El verdadero problema de este tipo de
ataques es la confianza que la población tiene en el teléfono y en el uso que
tradicionalmente han hecho de él las empresas legítimas.
El smishing, del mismo modo, trata de embaucar a los usuarios, pero esta vez a
través de mensajes de texto a móviles. El primer caso se dio en China: “un
ciudadano de Pekín, recibió un mensaje en su móvil informándole que el banco le
había cargado la compra de objetos valorados en más de 2.000 euros. El mensaje
adjuntaba un número de teléfono al que llamar. Una vez hecho, una voz grabada le
pidió los datos de su cuenta. Horas después la habían vaciado”.
Este phishing telefónico ya ha evolucionado desde ese primer caso. En estos
momentos, el mensaje (SMS) que recibe la víctima le informa que alguien le ha dado
de alta en algún servicio de pago para recibir, por ejemplo, determinados contenidos.
Si la víctima desea darse de baja, deberá hacerlo a través de una web, en la cual
una vez haya accedido, se le instalará un software de captura de datos.
39
El problema de esta técnica es que el envío de SMS resulta relativamente caro, lo
que limita las posibilidades de actuación de los delincuentes, si bien es cierto que se
han anunciado ya formas de conseguir, a través de malware, que sean otros los que
corran con estos costes, lo que sin duda puede ser un indicio claro de su posible
propagación.
2.- Phishing basado en software malicioso – Malware-Based Phishing
Con este tipo de phishing nos referimos de forma general a cualquier variante de
este delito que implique la ejecución de un software malicioso en el ordenador de la
víctima.
La propagación de este tipo de phishing puede depender tanto de las técnicas de
ingeniería social como de la explotación de una vulnerabilidad del sistema. En el
primero de los casos, el ataque debe conseguir, como paso previo, que el usuario
realice alguna acción que permita la ejecución del malware en su máquina: abrir el
archivo adjunto de un correo electrónico, visitar una web y descargar el programa.
Las técnicas sociales para conseguir que el usuario actúe de este modo son, al igual
que en el caso anterior, muy diversas, si bien este método suele inclinarse más por la
promesa de algún contenido llamativo para el destinatario.
En lo que se refiere a la explotación de vulnerabilidades del sistema, la amenaza es
mucho más difícil de combatir, ya que existen variantes en las que la actuación del
usuario es mucho menor. Así, aunque muchas de las estafas se basan en que sea el
usuario el que, de una u otra manera, introduzca la aplicación en su máquina,
también es posible que los delincuentes aprovechen fallos en la seguridad del
sistema de un sitio web legítimo para introducir software malicioso que les permita
llevar a cabo su objetivo.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
40
Con independencia de cuál sea la técnica empleada para conseguir la ejecución del
código malicioso en el ordenador personal del atacado, podemos distinguir distintos
tipos de programas diseñados para robar datos confidenciales:
Keyloggers y Screenloggers. Los keyloggers son programas cuya función es el
registro de las pulsaciones que se realizan en el teclado. La aplicación en el ámbito
del phishing es evidente: estas aplicaciones suelen estar programadas para ponerse
en funcionamiento cuando la máquina en la que están instaladas accede a alguna
web registrada por el programa (entidad financiera, subasta online). En ese
momento, graba todo lo que se teclea en el ordenador y, posteriormente, lo envía al
delincuente que de esta forma consigue su propósito de robar información
confidencial.
Existen versiones más avanzadas que también capturan los movimientos de ratón.
Algunas entidades, conscientes de la existencia de este tipo de programas y de su
posible aplicación delictiva han introducido contramedidas como la disposición de
teclados en pantalla para evitar las pulsaciones de teclado en la introducción de
contraseñas.
Los screenloggers realizan la misma función pero, en lugar de capturar pulsaciones
de teclado, capturan imágenes de la pantalla que son remitidos al atacante.
Secuestradores de sesión (Session Hijackers). Este tipo de aplicaciones operan una
vez que el usuario ha accedido a alguna web registrada por el software, esto es, no
roba datos, sino que directamente actúa cuando la victima ya ha accedido a su
cuenta corriente su sesión en una subasta. Estos programas suelen ir “disfrazados”
como un componente del propio navegador. Esta forma de phishing puede realizarse
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
41
tanto mediante la instalación del malware en el ordenador del destinatario de la
estafa, como mediante la técnica del “man in the middle” o intermediario.
Troyanos web (web Trojans). Son programas maliciosos que aparecen
inesperadamente, en forma de ventanas emergentes, sobre las pantallas de
validación de páginas web legítimas, con el objetivo de conseguir datos
confidenciales. En este caso, la finalidad que persiguen es hacer creer al usuario que
está introduciendo la información en el sitio web real, cuando en realidad lo que está
haciendo es introducirlo en este software que, posteriormente, remite los datos al
delincuente, con las consabidas consecuencias. El phishing parece la aplicación
“natural” de este tipo de programas fraudulentos.
Ataques de reconfiguración de sistema (System Reconfiguration Attacks). Este
tipo de ataques se efectúan a través de la modificación de los parámetros de
configuración del ordenador del usuario. Existen diversas formas de realizar estas
acciones. Una de ellas consiste en modificar el sistema de nombres de dominio, tal
como se explicaba en el caso anterior. Otra posibilidad al alcance de los delincuentes
es la instalación de lo que se denomina un “proxy”, a través del cuál se canalice toda
la información que sale y entra de la máquina del usuario. Esta forma de ataque se
corresponde también con la técnica del “man in the middle” (MitM).
Robo de datos (Data Theft). También existen códigos maliciosos cuya finalidad
consiste en recabar información confidencial almacenada dentro de la máquina en la
que se instalan y remitirla al delincuente (direcciones, números de identidad, claves).
3.- Phishing basado en el DNS o “Pharming” (DNS-Based Phishing)
Dentro de esta rúbrica se incluyen todas aquellas formas de phishing que se basan
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
42
en la interferencia del proceso de búsqueda del nombre de dominio (la traducción de
la dirección introducida en el navegador a la dirección IP). Sin duda, el pharming,
denominación habitual de esta forma de llevar a cabo este tipo de delito, supone un
peligro aún mayor que algunas de las otras variantes que se han analizado, ya que la
colaboración de la víctima es menor y, además, el disfraz empleado por los
delincuentes parece más real.
Como se señalaba al hablar de ciertos tipos de código malicioso, cuando un usuario
navega por la Red recurre a la utilización de direcciones URL, relativamente fáciles
de recordar (por ejemplo, www.inteco.es). Sin embargo, estas direcciones tienen que
ser traducidas a lo que se denominan direcciones IP. Esa traducción se realiza, en
los sistemas operativos de diversas formas. Por un lado, existen los denominados
Servidores de Nombres de Dominio (Domain Name Server o DNS) que cumplen
explícitamente esta función. Cuando un usuario desea acceder a un sitio web envía
una petición a uno de estos servidores que transforman la URL introducida en la
barra de direcciones del navegador en la dirección IP. El proceso es transparente
para el usuario.
Otra forma de llevar a cabo esa transformación es mediante el fichero hosts. Este
fichero -incluido en el sistema operativo, almacena la información de las páginas que
el usuario ya ha visitado- con el fin de evitar la consulta al servidor DNS y acelerar el
proceso. Además, en esta misma línea, la memoria caché del navegador también
conserva información de las webs visitadas, siempre con el fin de reducir el tiempo
de respuesta para la navegación.
4.- Phishing mediante introducción de contenidos (Content-Injection Phishing).
Esta modalidad consiste en introducir contenido malicioso dentro de un sitio web
legítimo. Dicho contenido puede tener diversas modalidades: redirigir a los visitantes
a otra página, instalar algún tipo de malware en el ordenador de los usuarios, etc.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
43
Básicamente, existen tres categorías principales de phishing mediante introducción
de contenidos, a partir de las cuales surgen un número indefinido de variantes:
Asalto al servidor legítimo por parte de hackers que se aprovechen de una
vulnerabilidad para modificar o introducir contenido malicioso en el sitio web.
Introducción de contenido malicioso en el sitio a través de lo que se denomina una
vulnerabilidad de “cross-site scripting”, también conocido como XSS. El cross-site
scripting es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado en
los campos de entrada y permiten el ingreso y envío de datos sin validación alguna,
aceptando el envió de scripts completos, pudiendo generar secuencias de comandos
maliciosas que impacten directamente en el sitio o en el equipo de un usuario.
Este tipo de vulnerabilidad puede afectar tanto a la aplicación web como a los
usuarios que activen esa secuencia de comandos de forma involuntaria.
• Acciones maliciosas que pueden ser llevadas a cabo en un sitio a través de una
vulnerabilidad de introducción de SQL (SQL injection vulnerability). Esta es una
forma de provocar que sean ejecutados comandos de bases de datos en un servidor
remoto que conlleven la filtración de datos confidenciales. Al igual que en el caso
anterior, esta vulnerabilidad se debe a la ausencia de filtros adecuados en el servidor
que impiden dicha ejecución.
5.- Phishing mediante la técnica del intermediario (Man-in-the-middle Phishing
o MitM)
Aunque en muchas de las clasificaciones consultadas se considera ésta como una
categoría dentro de los tipos de phishing, en realidad se trata de una técnica para
efectuar el ataque. Como su propia denominación indica, implica el posicionamiento
del phisher entre el ordenador del usuario y el servidor web legítimo. De este modo el
delincuente se hace con la capacidad de filtrar, leer, e incluso modificar la
44
información que se transfiere desde el puesto del atacado al servidor y viceversa, sin
que las partes sean conscientes de la violación de su seguridad.
Las consecuencias de esta actuación pueden ser tanto el robo de información
confidencial, para su uso o venta posterior, o, directamente, el secuestro de la sesión
(session hijacking), en cuyo caso podrá o no robar esa información. Nuevamente, el
problema de esta variante es que el usuario no puede detectar que está siendo
víctima de un delito ya que, aparentemente, todo funciona de forma correcta.
La utilización de esta técnica para desarrollar distintos tipos de phishing admite
diferentes modalidades. Ya se comentaron los ataques tipo proxy, que son los que
más habitualmente se realizan a través de este procedimiento. Sin embargo otras
variedades pueden llevarse a cabo utilizando tipos como el ataque basado en DNS y
basado en el engaño, categorías también analizadas con anterioridad.
6.- Phishing de motor de búsqueda (Search Engine Phishing)
Nuevamente más que un tipo de phishing es, en sí mismo, uno de los ardides
empleados por los delincuentes para hacer que el usuario caiga en su trampa.
Losdelincuentes crean páginas web para productos o servicios falsos, las introducen
en los índices de los motores de búsqueda y esperan a que los usuarios visiten las
páginas para realizar compras y, por tanto, proporcionen información confidencial o
directamente realicen transferencias bancarias.
Normalmente las falsas ofertas tienen condiciones sensiblemente mejores a las
ofrecidas por empresas legítimas, con el objetivo de atraer al máximo número de
víctimas posible.
En este ámbito han tenido mucho éxito los fraudes en los que los phishers se han
hecho pasar por bancos que ofrecen tipos de interés muy superiores a los ofrecidos
por las entidades financieras reales. Las víctimas encuentran estos falsos bancos
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
45
online a través de buscadores y, ante tal oferta, no dudan en abrir una nueva cuenta
e introducir sus datos bancarios para realizar una transferencia.
La clasificación presentada (como se reconoce en su introducción y como se ha ido
mostrando en su descripción), adolece de algunos defectos, entre los que destaca la
falta de criterio de distinción entre unos tipos de delito y otros, y la existencia de
zonas comunes entre las categorías consideradas. Sin embargo, también se ha de
reconocer una virtud importante: la descripción prácticamente exhaustiva de
variantes de phishing.
2.2.2.3. Clasificación del Phishing según la participación de la víctima y la
complejidad de la Tecnología de la Estafa
La clasificación del Phishing, según la participación de la víctima y la complejidad de
la Tecnología de la Esafa, es una visión del tipo de problemas al que los usuarios se
enfrentan y, por lo que se propone los criterios útiles en el ámbito de la propuesta de
medidas para atajar estas actividades, en donde se distinguen tres niveles de
colaboración por parte del usuario:
Alto, Medio, Bajo.
En lo que se refiere a la complejidad tecnológica, lógicamente, cuanto mayor es ésta
menos necesaria es la participación de la víctima para llevar a cabo la estafa. Así,
encontramos una relación directa entre ambos criterios, reflejado en el Anexo 9.
Se observa cómo la mayor parte de los casos se encuentran en los cuadrantes que
formarían la diagonal secundaria del esquema, esto es, las combinaciones inversas
entre los dos factores considerados y el punto intermedio tanto de complejidad
tecnológica como de “colaboración” del estafado. Sólo hay un caso que se considera
que se aleja de esta pauta: el phishing de motor de búsqueda. En este caso, la
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
46
implicación del usuario es relativamente alta.
Se observa cómo la mayor parte de los casos se encuentran en los cuadrantes que
formarían la diagonal secundaria del esquema, esto es, las combinaciones inversas
entre los dos factores considerados y el punto intermedio tanto de complejidad
tecnológica como de “colaboración” del estafado. Sólo hay un caso que se considera
que se aleja de esta pauta: el phishing de motor de búsqueda. En este caso, la
implicación del usuario es relativamente alta.
2.2.2.4. Fases del Phishing
Diversas investigaciones han observado la existencia de un conjunto de pautas más
o menos estable en los ataques realizados por este tipo de delincuentes. El análisis
de estas etapas puede constituir una valiosa información en la lucha contra los
phishers.
La existencia de distintas variantes de esta estafa implica que, en muchas ocasiones,
las fases pueden cambiar en cuanto a su profundidad, extensión y dificultad, al igual
que respecto a los agentes que deben intervenir y cuál es el papel que deben jugar.
Seis son las fases principales que se completan en todo ataque de phishing
1. PLANIFICACIÓN.
Durante esta etapa, el phisher, toma las principales decisiones que va a llevar
a cabo: a quién va dirigido el ataque, cómo y dónde se va a realizar, qué tipo
de argucia se va a utilizar, cuál es el objetivo del fraude, qué medios
necesitará para hacerlo, etc. Obviamente, esta etapa es común a cualquiera
de los tipos de phishing analizados.
Se puede hacer una división de las tareas que se llevan a cabo en este primer
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
47
estadio del fraude y reflexionar sobre quiénes son los implicados y cuál es su
papel, teniendo en cuenta la clasificación de los tipos de phishing que se
propuso con anterioridad, según el contenido tecnológico y el nivel necesario
de participación de la víctima.
En el Anexo 10 se distinguen quiénes son los principales implicados en la
realización de las tareas y qué tareas han de desarrollarse. Se diferencian
entre tareas comunes a los tres tipos de phishing y actividades específicas.
2. PREPARACIÓN.
Los delincuentes deben conseguir el software, los datos de contacto, localizar
los destinos de sus ataques, preparar sus equipos, construir los sitios web
diseñados para efectuar el fraude y otras tareas, teniendo en cuenta las
necesidades de cada tipo de delito que sí son diferentes, tal y como se apuntó
al describir la fase de planificación.
En ocasiones, los delincuentes realizan ataques muy localizados dirigidos a
personas u organizaciones muy concretas, lo que requiere el envío de correos
mucho más elaborados que los que se utilizan en envíos masivos. Lo
interesante de este tipo de ataques es su estudiada segmentación en la
búsqueda de objetivos y preparación del engaño.
Si bien, en general, no existen grandes diferencias entre los tipos de phishing,
estas sí pueden apreciarse cuando se analizan tareas de creación y
consecución de cada uno de ellos, como se aprecia en el Anexo 11.
3. ATAQUE
En este momento, las estafas que implican una participación “media” o “alta”
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
48
de las víctimas requieren de su concurso, ya que acciones como abrir un
correo electrónico, visitar una página web o realizar una búsqueda, son
acciones necesarias para que el ataque se consuma.
Tal como se establece en el Anexo 12, en el primer caso el ataque se centra
en el servidor de la empresa o institución objetivo, mientras que en los otros
dos tipos se trata de comunicar o preparar las trampas para las víctimas,
utilizando distintos medios
4. RECOLECCIÓN
La fase de recogida de datos se anticipó esta fase en la descripción de la
etapa anterior para el tipo de delito que implica niveles medios de complejidad
y “colaboración”. Los otros dos tipos restantes implican la espera de víctimas
que entren en el servidor atacado, que respondan al mensaje enviado o que
visiten la web fraudulenta. Adicionalmente, en el caso de ataque a un servidor,
normalmente una vez instalado el código en la fase anterior es necesaria su
ejecución para conseguir los datos, tarea más propia de esta fase. (Anexo 13)
5. FRAUDE
Una vez recogidos los datos, el siguiente paso efectuado por los delincuentes
es la realización de la estafa, bien de forma directa o bien vendiendo los datos
robados para que otros estafadores consuman el delito.
En el Anexo 14 se recogen, como en casos anteriores, los implicados y las
tareas que, en este caso, son comunes a los tres tipos de delito, con alguna
excepción. La variedad en esta ocasión dependerá de los datos apropiados
ilegalmente.
Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)
49
6. POST-ATAQUE
La última fase, denominada de post-ataque, como se aprecia en el Anexo 15,
tendría para el delincuente la finalidad de eliminar las pistas que hayan
quedado. En este sentido, todos los implicados en el ataque pueden ser
susceptibles de participar en el proceso.
2.2.2.5 Definiciones
Se tratará de exponer algunas definiciones de los Delitos informáticos dados a
conocer por algunos medios y autores.
Luciano Salellas y Argibay Molina, expresan, que los Delitos informáticos son todas
aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que
hacen uso indebido de cualquier medio Informático. 9
Según Lic. Marta Valdés Domínguez, Casa Consultora DISAIC, podemos definir los
delitos informáticos como acciones u omisiones antijurídicas, socialmente
peligrosas, directamente vinculadas al uso de las tecnologías de la información y las
comunicaciones (TIC) y susceptibles de ser sancionadas penalmente, que se
caracterizan por el uso indebido el sistema informático como objeto o medio para la
comisión del hecho delictivo. 10
En las condiciones actuales se hace prácticamente imposible determinar el
verdadero alcance de este tipo de conducta generalmente conocida como"delitos
informáticos" o "delito electrónico". Las causas son diversas, pero podemos
mencionar algunas entre las que se encuentran las siguientes:
No existe una adecuada preparación para abordar el tratamiento jurídico.
9. Salellas Luciano. – "Delitos informáticos – Ciberterrorismo"
10. Valdés Domínguez. "Criminalidad Informática, un fenómeno de fin de siglo"
50
Muchos de estos delitos no son descubiertos.
No existen aún leyes que protejan a las víctimas.
Muchas empresas no se atreven a denunciar estos hechos por temor a sus
posibles consecuencias negativas.
Como parte de las acciones que se han venido tomando en el ámbito
internacional para dar los primeros pasos en la compleja pero indispensable
tarea de establecer regulaciones al Ciberespacio, las Naciones Unidas han
reconocido un grupo de conductas ilícitas dentro de los llamados delitos
informáticos, las que pasaremos a detallar a continuación:
· Fraudes
Este grupo de conductas incluye la manipulación de datos de entrada y salida así
como la manipulación de programas. Este es uno de los delitos más difíciles de
detectar. Una de las acciones más comunes la constituye la manipulación de datos
de entrada conocida también como "sustracción de datos". Su autor no requiere de
conocimientos técnicos especializados para realizarla y solo tener acceso a las
funciones normales de procesamiento de datos en tanto que la manipulación de
programas sí requiere que el comisor posea determinados conocimientos en
informática ya que esta acción consiste en modificar los programas existentes en el
sistema de computadoras o insertar nuevos programas o rutinas.
· Falsificación
En este caso puede ser como objeto o como instrumento. El primero se produce
cuando se alteran datos de los documentos almacenados en la computadora ó
servidores; el segundo es cuando se utilizan las computadoras para efectuar
falsificaciones de documentos comerciales. Por medio de las fotocopiadoras
computarizadas en color a partir de rayos láser surgió la posibilidad de una nueva
51
variante de falsificaciones o alteraciones fraudulentas ya que con aquellas se
pueden modificar documentos o crear documentos falsos sin tener que recurrir a un
original y su calidad es tal que sólo un experto puede diferenciarlos de los
documentos auténticos.
· Daños y Modificaciones de Programas y Bases Datos.
Estos daños se refieren a borrar, suprimir o modificar sin autorización funciones o
datos de computadora con el propósito de obstaculizar el funcionamiento normal del
sistema por lo que podemos considerar que estas conductas son de carácter
intencional y para alcanzar su objetivo emplean las siguientes técnicas entre las que
podemos mencionar: los virus, gusanos, bombas lógicas o cronológicas, el acceso
no autorizado a servicios o sistemas, los piratas informáticos o hackers y la
reproducción no autorizada de programas informáticos de protección legal.
El Convenio de Cyber-delincuencia del Consejo de Europa 11, define a los delitos
informáticos como “los actos dirigidos contra la confidencialidad, la integridad y la
disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el
abuso de dichos sistemas redes y datos”
Conviene destacar entonces, que diferentes autores y organismos han manifestado
diferentes apreciaciones para señalar las conductas ilícitas en las que se utiliza la
computadora, esto es “delitos informáticos”, “delitos electrónicos”, “delitos
relacionados con la computadora”, “crímenes por computadora”, “delincuencia
relacionada con el computador”. Tal como podemos notar en las definiciones
establecidas por autores anteriores, no existe una definición de carácter universal
propia de delito informático.
11. Convenio de Cyber-delincuencia del Consejo de Europa Estados miembros del Consejo de
Europa y otros Estados – Budapest 2001
52
Es preciso señalar que la última definición brindada por el Convenio de Cyber-
delincuencia del Consejo de Europa 12 anota especial cuidado en los pilares de la
seguridad de la información: la confidencialidad, integridad y disponibilidad.
El delito informático involucra acciones criminales que en primera instancia los
países han tratado de poner en figuras típicas, tales como: robo, fraudes,
falsificaciones, estafa, sabotaje, entre otros, por ello, es primordial mencionar que el
uso indebido de las computadoras es lo que ha creado la necesidad imperante de
establecer regulaciones por parte de la legislación.
2.2.3. Criminología del Phishing
2.2.3.1 El Ciberterrorismo.
En los años 80, Barry Collin, un investigador senior del Institute for Security and
Intelligence en California acuñó el término cyberterrorism para referirse a "la
convergencia del ciberespacio con el terrorismo"13. Mark Pollit, un agente del FBI que
se dedicó a estudiar el tema, desarrolló la siguiente definición operativa: "El
ciberterrorismo es el ataque premeditado y políticamente motivado contra
información, sistemas computacionales, programas de computadoras y datos que
puedan resultar en violencia contra objetivos no combatientes por parte de grupos
subnacionales o agentes clandestinos".
Ataques que deriven en muertes o personas heridas, explosiones, colisiones de
aviones, contaminación de agua o severas pérdidas económicas pueden ser
ejemplos válidos. Serios ataques contra la infraestructura crítica de un país podrían
ser actos de ciberterrorismo, dependiendo de su impacto. Los ataques que
interrumpen servicios no esenciales o que son básicamente una molestia costosa no
12. Carlo Sarzana Criminalitá e Tecnología en Computer Crime Rasaggna Penitenziaria e Criminalitá – Roma 1979.
13. En el siguiente sitio se pueden leer algunas declaraciones de Barry Collin: http://www.af.mil/news/Feb1998/n19980206_980156.html
53
entran en esta categoría". 14 Esa definición de Denning es la que se decidió adoptar
con fines operativos para esta tesis. Por lo tanto, en el presente trabajo quedan
excluidas del concepto de ciberterrorismo las siguientes prácticas:
• El hackeo de sitios web y la modificación de sus contenidos.
Los “ataques de negación de servicio”, destinados a paralizar durante unas horas las
operaciones de un sitio, aunque sin causarle daño alguno.
La intromisión no autorizada en redes privadas o gubernamentales, aún cuando esas
intromisiones se produzcan en organismos vinculados a la seguridad, como el
Pentágono, el FBI o la Fuerza Aérea.
• La intromisones en redes con propósitos delictivos: espionaje industrial, robo de
bases de datos, robo de números de tarjetas de crédito, etcétera. Estas prácticas se
podrían incluir en la categoría de ciberdelito (cybercrime).
• La diseminación de virus informáticos.
• La saturación deliberada de casillas de e-mail (e-mail bombs).
• La utilización de Internet por grupos terroristas con fines informativos o doctrinarios.
2.2.3.2 La Falsificación Electrónica
El Dr. Juan Vizueta Ronquillo, nos indica en su obra “DELITOS INFORMÁTICOS EN
EL ECUADOR”, respecto a la Falsificación Electrónica, incorporada en el Art. 60 de
la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos e incluida
en el Código Penal, se encuentra en el Capítulo III, “De las Falsificaciones de
Documentos en General”, que forma parte del Título IV, “De los Delitos contra la Fé
Pública”
14. Extracto del testimonio prestado por Dorothy E. Denning ante el Special Oversight Panel on Terrorism, Committee on Armed Services, de la cámara baja estadounidense, 23 de mayo de 2000. Ver texto completo en http://www.cs.georgetown.edu/~denning/infosec/cyberterror.html
54
Manipulación de los datos de salida
Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo
más común es el fraude de que se hace objeto a los cajeros automáticos mediante la
falsificación de instrucciones para la computadora en la fase de adquisición de datos.
Tradicionalmente esos fraudes se hacían a partir de tarjetas bancarias robadas, sin
embargo, en la actualidad se usan ampliamente equipos y programas de
computadora especializados para codificar información electrónica falsificada en las
bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
· La manipulación de programas
Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente
debe tener conocimientos técnicos concretos de informática. Este delito consiste en
modificar los programas existentes en el sistema de computadoras o en insertar
nuevos programas o nuevas rutinas. Un método común utilizado por las personas
que tienen conocimientos especializados en programación informática es el
denominado Caballo de Troya, que consiste en insertar instrucciones de
computadora de forma encubierta en un programa informático para que pueda
realizar una función no autorizada al mismo tiempo que su función normal.
2.2.3.3 La Estafa Informática y la Apropiación Ilícita (Aplicado al Phishing)
El Dr. Juan Vizueta Ronquillo, nos indica en su obra “DELITOS INFORMÁTICOS EN
EL ECUADOR”, respecto a la Apropiación ilícita, nos indica que es la sexta infracción
informática incorporada en el Art. 62 de la Ley de Comercio Electrónico, Firmas
Electrónicas y Mensajes de Datos, que consta en el Código Penal, se encuentra en
el Capítulo II, “Del robo” y forma parte del Título X “De delitos contra la propiedad”
La séptima infracción informática anotada en el Art. 63 de la Ley de Comercio
Electrónico, Firmas Electrónicas y Mensajes de Datos e incorporada en el Código
Penal, se encuentra en el Capítulo V “De las Estafas y otras defraudaciones”, que
55
forma parte del Título X “De los Delitos Contra la Propiedad”
Para efectos de estudiar el bien jurídico protegido, se debe considerar el patrimonio
en general o exclusivamente la propiedad, la posesión.
A diferencia de nuestra legislación, en varios países se ha incluido este tipo de
delitos dentro del capítulo de los delitos económicos, por considerarse que perjudica
no solo el interés jurídico individual, sino también por lesionar al Estado y agentes
comerciales, y con ello finalmente al propio orden económico.
El objetivo que persigue la estafa es la entrega de bienes por parte de la víctima,
circunstancia esta que es motivada por error provocado por el agente, al que fue
conducida la víctima, y que resulta de relevante importancia para su consumación, es
decir en el caso del phishing, intenta adquirir información confidencial de forma
fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas
de crédito u otra información bancaria), haciéndose pasar por una institución o
agente de confianza, duplicando páginas web para lograr su cometido.
2.2.4 Sistemas de Seguridad Informática
2.2.4.1 Seguro informático
La inteligencia, como término eufemístico del espionaje tiene muchos métodos y
tácticas para lograr sus objetivos. Igualmente podemos decir que dentro de los
esquemas de espionaje existen diversos tipos de actuación y una de ellas es la
infiltración de "activos" dentro de una organización, que solo entran en acción cuando
se le requiere.
Los sistemas militares y de inteligencia norteamericanos ya cuentan con redes tipo
Internet paralelas para garantizar la privacidad de sus comunicaciones.
Estados unidos estableció una política de seguridad en el ciberespacio y creó un
Departamento especializado en seguridad Informática que depende del Departament
56
of Homeland Security (DHS), cuyos objetivos fundamentales son la identificación
rápida y efectiva de peligros en el ciberespacio y la reparación de daños en caso de
que ocurran. Dentro de las políticas fundamentales establecidas, se encuentran: a)
El desarrollo de una arquitectura para responder a nivel nacional contra ciber
ataques. b) La difusión inmediata de ciber alertas e información de incidentes para el
manejo de crisis de seguridad en el ciberespacio. c) Mejorar la difusión pública y
privada sobre ciber ataques, amenazas y vulnerabilidades informáticas.
En base a estas políticas, fue creado en Septiembre de 2003 el United States
Computer Emergency Readiness Team (US-CERT), que no es más que una alianza
entre el DHS y otros sectores públicos y privados de ese país del norte, con la
finalidad de coordinar la defensa y las respuestas contra los ciber ataques para
proteger Internet.
La Informática Forense, es una disciplina criminalística, que tiene por objeto, la
investigación en sistemas de Tecnologías de Información de hechos con relevancia
jurídica o para simple investigación privada y por supuesto incluye dentro de su
alcance la Investigacióndel Ciberterrorismo.
Para conseguir sus objetivos, la Informática Forense, desarrolla técnicas idóneas
para ubicar, reproducir y analizar evidencia digital. La evidencia digital puede ser
ubicada también en una amplia gama de equipos electrónicos como teléfonos
móviles, agendas electrónicas, fax, dispositivos móviles de almacenamiento, Discos
Compactos, Flash Cards y otro tipo de dispositivos de almacenamiento de
información digital.
En principio, todo hecho acaecido en un sistema informático incluyendo los
ciberterroristas puede ser objeto de estudio y análisis y por ende puede ser utilizado
en tribunales internacionales o militares como medio probatorio. Los peritos en la
materia, utilizan entre otros el método de reconstrucción relacional, es decir, la
ubicación en los ordenadores de los datos vinculados al caso tomando en
57
consideración su secuencia de producción, teniendo como meta establecer el tiempo
y concatenación de estos hechos a efectos de dar a conocer los elementos básicos
de la investigación policial, como lo son: ¿Qué?, ¿Cómo?, ¿Cuándo?, ¿Dónde? y el
¿Por pué? de los hechos.
Los expertos en informática forense pueden hacer investigaciones sobre páginas
Web, sus autores y servidores de todo tipo. Los análisis sobre imágenes digitales,
archivos y la recuperación de datos borrados también entran dentro de la
especialidad. El uso de computadores y redes puede ser reconstruido con fines de
defensa y prevención de ataques o bien para establecer responsabilidades.
2.2.4.2 Seguridad de la Banca en Línea
El auge de la banca online ya es un hecho real, cada día hay más personas que
acceden y usan este servicio para realizar sus transferencias bancarias, pagos,
consultas etc. Por este motivo no tenemos que bajar la guardia en cuanto a
"proteger" nuestras operaciones bancarias de posibles manipulaciones, de posibles
robos de nuestras finanzas y salvaguardar nuestros datos, tal y como hacemos
diariamente en la vida normal o "no virtual".
El hecho de estar sentado tranquilamente en su casa no le exhibe de cualquier hurto
"informático" y usted ha de tomar precauciones tal y como haría por ejemplo al sacar
dinero de un cajero automático o al pagar con una tarjeta de crédito. Vamos a
intentar romper con el posible miedo que se tiene a la hora de acceder al banco por
internet, a pagar por ordenador usando su conexión de internet, o a ir de compra por
la red, ya que tan solo hay que tener un poco de cautela.
No hay más peligro en el mundo informático en cuanto al dinero que en el "mundo
real", el único problema es el desconocimiento y tomando las precauciones
adecuadas es incluso comparativamente más seguro. Igual que no se nos ocurre
perder de vista nuestra tarjeta de crédito cuando compramos, o que miramos bien
58
antes de sacar dinero de un cajero automático y tenemos cuidado de que nadie vea
nuestra clave al teclearla en esos terminales, etc. pues lo mismo ocurre con las
transacciones a través de internet. Debemos por tanto quitarnos ese "miedo" y tomar
como rutina una serie de pasos para que podamos estar seguros y nuestro dinero a
salvo de ladrones.
1.- El primer consejo es más una obligación; Evitar en lo máximo posible acceder a tu
Banca por internet o llevar a cabo transacciones financieras en lugares PÚBLICOS
donde el acceso a Internet está disponible para muchas personas como por ejemplo
Ciber-Cafés, Universidades, Colegios, Oficinas etc. Estos ordenadores podrían tener
algún sistema para "capturar" tus datos personales o la información de tus cuentas.
Si en caso de una posible "urgencia" se ven forzados a acceder al servicio de banca
por internet, para llevar a cabo alguna transacción en un lugar público, evite que
haya personas muy cerca y cierre el navegador al finalizar sus operaciones. A
continuación, o lo antes posible, cambie las claves de acceso de seguridad desde su
ordenador personal.
2.- Acceder a los consejos de seguridad que le ofrece su entidad bancaria. La
mayoría de ellas cuentan con este servicio.
3.- Tener su navegador actualizado para tener los protocolos de seguridad en regla.
4.- Observar si la dirección comienza con https: en lugar de solo http:
Compruebe que la navegación es segura y el sitio web bancario transmite su
información encriptada por medio del protocolo de seguridad SSL (Secure Sockets
Layer) que garantiza la comunicación entre el servidor y el cliente evitando que otros
capturen o vean los datos intercambiados y garantizando la autenticidad del servidor
al que nos conectamos y evitando que éste sea suplantado por un tercero.
59
Una prueba rápida para comprobar la veracidad de la web de nuestro banco y no ser
engañados por algunas web creadas para robar datos, es dar un "doble click" sobre
el candado amarillo que aparece en la parte inferior/derecha de nuestro navegador,
una vez realizado nos saldrá el certificado de autenticidad que asegura la identidad
de nuestro Banco.
5.- El Banco NUNCA le solicitará que informe de sus claves o datos a través del
correo electrónico.
6.- Guarde sus claves de acceso en secreto. Nunca las revele a nadie ni las anote en
lugares visibles o de fácil acceso, como la pantalla, teclados, ni hacer un documento
que ponga "claves-bancarias.txt".
7.- Use claves aleatorias y cambie sus claves periódicamente y siempre que intuya
que pueden ser conocidas por otras personas o fueron utilizadas en lugares públicos.
8.- Si realiza alguna operación monetaria guarde una copia o imprima la información,
la mayoría de web bancarias tienen esta función.
9.- Apuntar y comprobar (si no usa mucho la Banca por Internet) la fecha de la última
vez que accedió a sus cuentas por internet, esta opción no está disponible en todos
los bancos, deberíamos exigirla al Banco como medida de seguridad.
10.- Cuando esté accediendo a la Banca por Internet no desatienda sus operaciones
distrayéndose con otras cosas, es mejor bloquear el ordenador o apagarlo.
11.- Cierre la sesión cuando termine de operar con su oficina virtual.
12.- Borre la caché de su navegador al finalizar la sesión.
13.- Instale algún programa antivirus en su equipo y manténgalo actualizado.
60
14.- Siempre que tenga alguna duda pregunte en su sucursal bancaria, le informarán
y aconsejarán detalladamente de cómo acceder a su "oficina virtual" y de posibles
cambios que se realicen en seguridad.
2.2.5 Legislación comparada
Los fundamentos de Derecho es donde se apoyará el proyecto de manera legal, ya
que necesariamente debe existir una construcción de normas de carácter obligatorio,
las mismas que imponen una serie de deberes y derechos que tenemos como
ciudadanos del Siglo XXI y el acceso que debemos tener a estas Tecnologías de la
Información y Comunicación; es decir son el sustento jurídico de nuestro proyecto.
Es por ello que se considera de mayor importancia observar los siguientes artículos
tanto de la Constitución de la República del Ecuador, La Ley de Comercio
Electrónico, El Código Penal y los posibles artículos a incorporarse en el Nuevo
Código Integral Penal y las leyes vigentes que se encuentran en los diferentes
países del mundo.
Desde los años ochenta, las Naciones Unidas han venido promoviendo por medio de
la Uncitral (CNUDMI – Comisión de las Naciones Unidas para el Derecho Mercantil
Internacional) una adecuación de las diferentes legislaciones mundiales a sus leyes
modelos, entre los documentos aprobados por dicha comisión están: la Ley Modelo
sobre Comercio Electrónico 15 y la Ley Modelo sobre Firmas Electrónicas.
En Sudamérica, el primer país que se preocupó por estos temas fue Colombia, ya
que en 1999 publica su ley 527, la misma que regula el comercio electrónico, firmas
digitales y las entidades de certificación, luego en el mes de mayo del año 2000 Perú
publica la ley 27269, sobre Ley de Firmas y Certificados Digitales. Luego, le siguen
en el 2001 Argentina y Venezuela en el año 2001, luego Chile y Ecuador en el año
2002.
15. Ley Modelo sobre Comercio Electrónico, CNUDMI – Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, 1996 complementada por la Comisión en 1998.
61
Gerberth Adín Ramírez Rivera 16, expresa “para que todo lo realizado en la
informática forense sea exitoso, es necesario que se tengan regulaciones jurídicas
que penalicen a los atacantes y que pueda sentenciárseles por los crímenes
cometidos. Cada país necesita reconocer el valor de la información de sus habitantes
y poder protegerlos mediante leyes. De manera que los crímenes informáticos no
queden impunes”.
2.2.5.1 Legislación y Delitos Informáticos - Alemania
En Alemania, para hacer frente a la delincuencia relacionada con la informática, el 15
de mayo de 1986 se adoptó la Segunda Ley contra la Criminalidad Económica.
Esta ley reforma el Código Penal (art. 148 del 22 de diciembre de 1987)
Espionaje de datos (202a).
Estafa informática (263a).
Falsificación de datos probatorios (269) junto a modificaciones
complementarias del resto de falsedades documentales como el engaño en el
tráfico jurídico mediante la elaboración de datos, falsedad ideológica, uso de
documentos falsos (270, 271, 273).
Alteración de datos (303a) es ilícito cancelar, inutilizar o alterar datos e
inclusive la tentativa es punible.
Sabotaje informático (303b).
Destrucción de datos de especial significado por medio de deterioro,
inutilización, eliminación o alteración de un sistema de datos. También es
punible la tentativa.
Utilización abusiva de cheques o tarjetas de crédito (266b).
Por lo que se refiere a la estafa informática, el perjuicio patrimonial que se
comete consiste en influir en el resultado de una elaboración de datos por
16. Ley Modelo sobre Firmas Electrónicas, CNUDMI – Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, 2001.
62
medio de una realización incorrecta del programa, a través de la utilización de
datos incorrectos o incompletos, mediante la utilización no autorizada de datos
o a través de una intervención ilícita. Esta solución fue también adoptada en
los Países Escandinavos y en Austria.
2.2.5.2 Legislación y Delitos Informáticos - Austria
Según la Ley de reforma del Código Penal del 22 de diciembre de 1987, se
contemplan los siguientes delitos:
Destrucción de datos (art. 126) no solo datos personales sino también los no
personales y los programas.
Estafa informática (art. 148) se sanciona a aquellos que con dolo causen un
perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración
de datos automática a través de la confección del programa, por la
introducción, cancelación o alteración de datos o por actuar sobre el
procesamiento de datos. Además contempla sanciones para quienes cometen
este hecho utilizando su profesión.
2.2.5.3 Legislación y Delitos Informáticos - China
El Tribunal Supremo Chino castigará con la pena de muerte el espionaje desde
Internet, según se anunció el 23 de enero de 2001.
Todas las personas "implicadas en actividades de espionaje", es decir que "roben,
descubran, compren o divulguen secretos de Estado" desde la red podrán ser
condenadas con penas que van de diez años de prisión hasta la muerte. ¿Castigo
ejemplar?.
La corte determina que hay tres tipos de actividades donde la vigilancia será
extrema: secretos de alta seguridad, los secretos estatales y aquella información que
dañe seriamente la seguridad estatal y sus intereses. Se consideran actividades
63
ilegales la infiltración de documentos relacionados con el Estado, la defensa, las
tecnologías de punta, o la difusión de virus informático.
El Tribunal ha hecho especial énfasis al apartado del espionaje desde la red. A los
llamados "criminales", además de tener asegurada una severa condena (la muerte),
también se les puede... ¡confiscar los bienes!.
2.2.5.4 Legislación y Delitos Informáticos - Francia
Aquí, la Ley 88/19 del 5 de enero de 1988 sobre el fraude informático contempla:
Acceso fraudulento a un sistema de elaboración de datos. Se sanciona tanto
el acceso al sistema como al que se mantenga en él y aumenta la sanción si
de ese acceso resulta la supresión o modificación de los datos contenidos en
el sistema o resulta la alteración del funcionamiento del sistema.
Sabotaje Informático. Falsear el funcionamiento de un sistema de tratamiento
automático de datos.
Destrucción de datos. Se sanciona a quien intencionalmente y con
menosprecio de los derechos de los demás introduzca datos en un sistema de
tratamiento automático de datos, suprima o modifique los datos que este
contiene o los modos de tratamiento o de transmisión.
Falsificación de documentos informatizados. Se sanciona a quien de cualquier
modo falsifique documentos informatizados con intención de causar un
perjuicio a otro.
2.2.5.5 Legislación y Delitos Informáticos - Holanda
Hasta el día 1 de marzo de 1993, día en que entró en vigencia la Ley de Delitos
Informáticos, Holanda era un paraíso para los hackers. Esta ley contempla con
artículos específicos sobre técnicas de Hacking.
64
El mero hecho de entrar en una computadora en la cual no se tiene acceso legal ya
es delito y puede ser castigado hasta con seis meses de cárcel. Si se usó esa
computadora hackeada para acceder a otra, la pena sube a cuatro años aunque el
crimen, a simple vista, no parece ser peor que el anterior. Copiar archivos de la
máquina hackeada o procesar datos en ella también conlleva un castigo de cuatro
años en la cárcel. Publicar la información obtenida es ilegal si son datos que debían
permanecer en secreto, pero si son de interés público es legal.
El daño a la información o a un sistema de comunicaciones puede ser castigado con
cárcel de seis meses a quince años, aunque el máximo está reservado para quienes
causaron la muerte de alguien con su accionar. Cambiar, agregar o borrar datos
puede ser penalizado hasta con dos años de prisión pero, si se hizo vía remota
aumenta a cuatro.
Los virus están considerados de manera especial en la ley. Si se distribuyen con la
intención de causar problemas, el castigo puede llegar hasta los cuatro años de
cárcel; si simplemente se "escapó", la pena no superará el mes.
El usar el servicio telefónico mediante un truco técnico (Phreacking) o pasando
señales falsas con el objetivo de no pagarlo puede recibir hasta tres años de prisión.
La venta de elementos que permitan el Phreaking se castiga con un año de prisión
como tope y si ese comercio es el modo de ganarse la vida del infractor, el máximo
aumenta a tres. La ingeniería social también es castigada con hasta tres años de
cárcel.
Recibir datos del aire es legal (transmisiones satelitales), siempre y cuando no haga
falta un esfuerzo especial para conseguirlos; la declaración protege datos
encriptados, como los de ciertos canales de televisión satelital. Falsificar tarjetas de
crédito de banca electrónica y usarlas para obtener beneficios o como si fueran las
originales está penado con hasta seis años. Aunque hacerlas y no usarlas parece ser
legal.
65
2.2.5.6 Legislación y Delitos Informáticos - Inglaterra
Luego de varios casos de hacking surgieron nuevas leyes sobre delitos informáticos.
En agosto de 1990 comenzó a regir la Computer Misuse Act (Ley de Abusos
Informáticos) por la cual cualquier intento, exitoso o no de alterar datos informáticos
con intención criminal se castiga con hasta cinco años de cárcel o multas sin límite.
El acceso ilegal a una computadora contempla hasta seis meses de prisión o multa
de hasta dos mil libras esterlinas.
El acta se puede considerar dividida en tres partes: hackear (ingresar sin permiso en
una computadora), hacer algo con la computadora hackeada y realizar alguna
modificación no autorizada.
El último apartado se refiere tanto al hacking (por ejemplo, la modificación de un
programa para instalar un backdoor), la infección con virus o, yendo al extremo, a la
destrucción de datos como la inhabilitación del funcionamiento de la computadora.
Bajo esta ley liberar un virus es delito y en enero de 1993 hubo un raid contra el
grupo de creadores de virus. Se produjeron varios arrestos en la que fue considerada
la primera prueba de la nueva ley en un entorno real.
2.2.5.7 Legislación y Delitos Informáticos - Chile
Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos
Informáticos. La ley 19223 publicada en el Diario Oficial (equivalente del Boletín
Oficial argentino) el 7 de junio de 1993 señala que la destrucción o inutilización de un
sistema de tratamiento de información puede ser castigado con prisión de un año y
medio a cinco.
66
Como no se estipula la condición de acceder a ese sistema, puede encuadrarse a los
autores de virus. Si esa acción afectara los datos contenidos en el sistema, la prisión
se establecería entre los tres y los cinco años.
El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de
apoderarse, usar o conocer de manera indebida la información contenida en éste,
también es pasible de condenas de hasta cinco años de cárcel; pero ingresar en ese
mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito.
Dar a conocer la información almacenada en un sistema puede ser castigado con
prisión de hasta tres años, pero si el que lo hace es el responsable de dicho sistema
puede aumentar a cinco años. Esta ley es muy similar a la inglesa aunque agrega la
protección a la información privada.
2.2.5.8 Legislación y Delitos Informáticos - España
Este país quizás sea el que mayor experiencia ha obtenido en casos de delitos
informáticos, en Europa.
Su actual Ley Orgánica de Protección de Datos de Carácter Personal (LOPDCP)
aprobada el 15 de diciembre de 1999, la cual reemplaza una veintena de leyes
anteriores de la misma índole, contempla la mayor cantidad de acciones lesivas
sobre la información.
Se sanciona en forma detallada la obtención o violación de secretos, el espionaje, la
divulgación de datos privados, las estafas electrónicas, el hacking maligno o militar,
el phreacking, la introducción de virus, etc.; aplicando pena de prisión y multa,
agravándolas cuando existe una intención dolosa o cuando el hecho es cometido por
parte de funcionarios públicos.
67
Así mismo su nuevo Código Penal establece castigos de prisión y multas "a quien
por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los
datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o
sistemas informáticos".
2.2.5.9 Legislación y Delitos Informáticos - Estados Unidos
El primer abuso de una computadora se registró en 1958 mientras que recién en
1966 se llevó adelante el primer proceso por la alteración de datos de un banco de
Mineapolis. En la primera mitad de la década del 70, mientras los especialistas y
criminólogos discutían si el delito informático era el resultado de una nueva
tecnología o un tema específico, los ataques computacionales se hicieron más
frecuentes. Para acelerar las comunicaciones, enlazar compañías, centros de
investigación y transferir datos, las redes debían (y deben) ser accesibles, por eso el
Pentágono, la OTAN, las universidades, la NASA, los laboratorios industriales y
militares se convirtieron en el blanco de los intrusos.
Pero en 1976 dos hechos marcaron un punto de inflexión en el tratamiento policial de
los casos: el FBI dictó un curso de entrenamiento para sus agentes acerca de delitos
informáticos y el Comité de Asuntos del Gobierno de la Cámara presentó dos
informes que dieron lugar a la Ley Federal de Protección de Sistemas de 1985.
Esta ley fue la base para que Florida, Michigan, Colorado, Rhode Island y Arizona se
constituyeran en los primeros estados con legislación específica, anticipándose un
año al dictado de la Computer Fraud y Abuse Act de 1986.
Este se refiere en su mayor parte a delitos de abuso o fraude contra casas
financieras, registros médicos, computadoras de instituciones financieras o
involucradas en delitos interestatales. También especifica penas para el tráfico de
claves con intención de cometer fraude y declara ilegal el uso de passwords ajenas o
68
propias en forma inadecuada. Pero sólo es aplicable en casos en los que se
verifiquen daños cuyo valor supere el mínimo de mil dólares.
En 1994 se adoptó el Acta Federal de Abuso Computacional, modificando el Acta de
1986. Aquí se contempla la regulación de los virus (computer contaminant)
conceptualizándolos aunque no los limita a los comúnmente llamados virus o
gusanos sino que contempla a otras instrucciones designadas a contaminar otros
grupos de programas o bases de datos.
Modificar, destruir, copiar, transmitir datos o alterar la operación normal de las
computadoras, los sistemas o las redes informáticas es considerado delito. Así, esta
ley es un acercamiento real al problema, alejado de argumentos técnicos para dar
cabida a una nueva era de ataques tecnológicos.
El aumento en la cantidad de casos de hacking y la sensación de inseguridad
permanente que generaron (fomentada por la difusión de los hechos en programas
especiales de televisión y artículos de revistas especializadas), cambiaron la
percepción de las autoridades con respecto a los hackers y sus ataques. Los casos
que demostraron ese cambio fueron los del "Cóndor" Kevin Mitnicky y los de
"ShadowHawk" Herbert Zinn hijo.
El FCIC (Federal Computers Investigation Commitee), es la organización más
importante e influyente en lo referente a delitos computacionales: los investigadores
estatales y locales, los agentes federales, abogados, auditores financieros,
programadores de seguridad y policías de la calle trabajan allí comunitariamente. El
FCIC es la entrenadora del resto de las fuerzas policiales en cuanto a delitos
informáticos, y el primer organismo establecido en el nivel nacional.
Además existe la Asociación Internacional de Especialistas en Investigación
Computacional (IACIS), quien investiga nuevas técnicas para dividir un sistema en
sus partes sin destruir las evidencias. Sus integrantes son "forenses de las
69
computadoras" y trabajan, además de los Estados Unidos, en el Canadá, Taiwán e
Irlanda.
2.2.5.10 Legislación en el Ecuador
En la legislación del Ecuador bajo el contexto de que la información es un bien
jurídico a proteger, se mantienen leyes y decretos que establecen apartados y
especificaciones acorde con la importancia de las tecnologías, tales como:
1) Ley Orgánica de Transparencia y Acceso a la Información Pública.
2) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
3) Ley de Propiedad Intelectual.
4) Ley Especial de Telecomunicaciones.
5) Ley de Control Constitucional (Reglamento Habeas Data).
1) Ley Orgánica de Transparencia y Acceso a la Información Pública.
La Ley Orgánica de Transparencia y Acceso a la Información Pública (Lotaip),
publicada en el Registro Oficial Suplemento # 337 del 18 de mayo del 2004, fue
expedida con la finalidad de llevar a la práctica la disposición contenida en el Art. #
81 de la Constitución Política de 1998, en la que se señala que “la información es un
derecho de las personas que garantiza el Estado”.
La ley establece que todas las instituciones del sector público pongan a disposición
de la ciudadanía, el libre acceso a la información institucional (estructura orgánica,
bases legales, regulaciones, metas, objetivos, presupuestos, resultados de
auditorías, etc.), a través de sus sitios web, bajo este mismo contexto las
70
disposiciones contenidas en la Constitución Política del Ecuador vigente, en su
capítulo tercero de las Garantías Jurisdiccionales de sus secciones cuarta y quinta
de los Art. 91 y 92 sobre la acción de acceso a la información pública y acción de
Habeas Data, también se establece dichas garantías.
De acuerdo a un estudio realizado por el Grupo Faro 17, en marzo del 2007. Los
Ministerios Ecuatorianos cumplen, en un promedio del 49% de lo dispuesto en la Ley
Orgánica de Transparencia y Acceso a la Información.
Otro organismo que vigila, analiza, realiza controles permanentes y se encarga del
cumplimiento de la Ley Orgánica de Transparencia y Acceso a la Información
Pública, es la Defensoría del Pueblo, quienes a través de un informe, publicado en el
Diario El Telégrafo 18, del 27 de octubre del 2008, revelaron los siguientes datos con
respecto del monitoreo de la ley:
1. De 380 instituciones públicas, 291 cumplen publicando su información de acuerdo
a lo dispuesto en la Ley.
2. A 89 instituciones se les notificó para que cumplan con la Ley.
3. 72 instituciones solicitaron una prórroga para completar y cumplir con las
disposiciones de la Ley.
4. 70 instituciones cumplieron luego de haber recibido la notificación.
5. 17 instituciones no remitieron ninguna respuesta acerca de la notificación.
6. 12 instituciones respondieron la notificación indicando que las páginas se
encuentran en fase de construcción.
17. Grupo Faro, Acción Colectiva para el Bienestar Público, Cumplimiento de la Ley Lotaip, 2007, http://www.grupofaro.org/
18. Diario el Telégrafo, Edición N° 45119, Transparencia en la Información Pública, Página 4 y 5, Publicación Octubre 27 del 2008.
71
7. Por último 7 instituciones no cumplen con las disposiciones de la Ley.
El mismo informe revela que en el caso de la Provincia del Guayas la Defensoría del
Pueblo suscribió un convenio con Participación Ciudadana que promueve el
cumplimiento de la Ley, el cual inicio el mes de junio del 2008.
2) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos
La Ley de Comercio Electrónico, Firmas Digitales y Mensaje de Datos (LCElec.) fue
publicada en el Registro Oficial N° 557 del 17 de Abril del 2002 en el que se dispone
que los mensajes de datos tendrán, igual valor jurídico que los documentos escritos.
La Ley de Comercio Electrónico, Firmas Digitales y Mensaje de Datos está
conformada por cinco títulos conteniendo cada uno varios capítulos y artículos
1) Título Preliminar.
2) De las Firmas electrónicas, certificados de firmas electrónicas, entidades de
certificación de información, organismos de promoción de los servicios electrónicos, y
de regulación y control de las entidades de certificación acreditadas.
3) De los servicios electrónicos, la contratación electrónica y telemática, los derechos
de los usuarios, e instrumentos públicos.
4) De la prueba y notificaciones electrónicas.
5) De las infracciones informáticas.
La Ley contiene los principios jurídicos que regirán las transmisiones de los mensajes
de datos. Se le concede pleno valor y eficacia jurídica a los mensajes de datos, tanto
a su información como a su contenido general; la interpretación de la Ley y el
ejercicio de la Propiedad Intelectual se rigen por la legislación ecuatoriana y por los
tratados internacionales incorporados al cuerpo legal ecuatoriano. Se protege la
confidencialidad de los mensajes de datos en sus diversas formas, señalando lo que
se entenderá por tal concepto y su violación. Se equipara el documento escrito con el
72
documento electrónico para el caso en que se requiera la presentación de un
documento escrito, procediendo de igual manera con el documento original y la
información contenida en él, siempre y cuando exista garantía de su conservación
inalterable.
Como punto esencial, se establece que la firma electrónica tendrá validez cuando
conste como un requisito de legalidad documental. Además se protege las bases de
datos creadas u obtenidas por transmisión electrónica de un mensaje de datos,
concediendo al titular de dichos datos el poder para autorizar la disposición de su
información, sea que dichos datos fueron obtenidos como usuario de un servicio o
sea que fueron obtenidos en el intercambio de mensajes de datos. Se ratifica la
defensa legal mediante el Derecho Constitucional de Habeas Data.
Se busca que especialmente en los negocios relacionados con el comercio
electrónico las notificaciones sean por medio de correo electrónico, estableciéndose
obligatoriedad de notificar por éste medio y por el tradicional para el caso de
resoluciones sometidas a Tribunales de Arbitraje. El documento electrónico será
considerado como medio de prueba con todos sus efectos legales. Para que existan
presunciones legales sobre la veracidad de un documento, éste deberá cumplir los
principios de integridad e identidad, para justificar la voluntad contractual de obligarse
por dicho documento. Aquella parte que niegue la validez de un documento
electrónico deberá probar que este no cumple con los requisitos técnicos
mencionados anteriormente. Se establecen varios requisitos para la correcta
aplicación de la prueba en estos casos, entre ellos señalamos:
1) La presentación de los soportes necesarios en papel del documento electrónico y
los mecanismos para la lectura y verificación de la firma.
2) La presentación del certificado validado por un proveedor de servicios de
certificación.
73
3) Los demás mensajes de datos deberán guardar especial atención con la
integridad de su contenido. Las pruebas serán juzgadas y valoradas de acuerdo con
“la seguridad y fiabilidad con la cual se la verificó, envió, archivó y recibió”. Para una
mejor apreciación de la prueba el juzgador contará con el asesoramiento de un perito
en la materia, es decir un perito informático.
El organismo facultado para autorizar a las entidades de certificación de información
es el Consejo Nacional de Telecomunicaciones, según lo dispuesto en la Ley de
Comercio Electrónico, Firmas Digitales y Mensaje de Datos y el Reglamento
expedido por el Presidente de la República, mediante Decretos Ejecutivos 3496 (31
de julio del 2002) y 1356 (29 de Septiembre del 2008) en los que se establecen el
modelo de Resolución para la Acreditación como Entidad de Certificación y
Información y Servicios Relacionados, tal como lo establece el Art. 29 del Capítulo II
de la ley.
Las funciones y responsabilidades otorgadas por el Consejo Nacional de
Telecomunicaciones, a las entidades de certificación de información y servicios
relacionados, es que dichas entidades se encargan de la generación, gestión,
administración, custodia y protección de las claves y los certificados de firma
electrónica, así como la validación de la identidad e información de los usuarios o
solicitantes de firmas electrónicas, mediante el uso de infraestructura y recurso
humano capacitado para operar dicha infraestructura con absoluta pericia y
confidencialidad. Uno de los organismos que obtuvo la autorización del Consejo
Nacional de Telecomunicaciones como Entidad de Certificación es el Banco Central
del Ecuador para emitir certificados a personas naturales, jurídicas y funcionarios
públicos.
3) Ley de Propiedad Intelectual
La Ley de Propiedad Intelectual (Lpint.), publicada en el Registro Oficial N° 320 del
19 de Mayo de 1998, nace con el objetivo de brindar por parte del Estado una
adecuada protección de los derechos intelectuales y asumir la defensa de los
74
mismos, como un elemento imprescindible para el desarrollo tecnológico y
económico del país.
El organismo nacional responsable por la difusión, y aplicación de las leyes de la
Propiedad Intelectual en el Ecuador es el INSTITUTO ECUATORIANO DE
PROPIEDAD INTELECTUAL (IEPI), el mismo que cuenta con oficinas en Quito,
Guayaquil y Cuenca. Es una persona jurídica de derecho público, con patrimonio
propio, autonomía administrativa, económica, financiera, y operativa, con sede en la
ciudad de Quito.
Dar a conocer la importancia que tiene la Propiedad Intelectual en el Ecuador y su
debida aplicación en los sectores económico, industrial, intelectual y de investigación,
debe ser tarea no sólo del profesional del derecho, sino de los industriales y
empresarios, de las instituciones públicas y privadas, de los centros superiores de
estudios e inclusive del propio estado ecuatoriano.
Conocer la propiedad intelectual es también conocer, que uno de los principales
problemas que enfrenta esta rama del derecho moderno, es la piratería y falsificación
de las obras del intelecto humano, las cuales traen graves consecuencias
económicas y sociales; a más de los perjuicios de los titulares de derechos de
propiedad intelectual, pues esta pérdida no solo afecta a los fabricantes de los
productos falsificados, sino a la reducción de ingresos tributarios e inclusive la
pérdida de empleos, debido a los efectos negativos resultantes de la mano de obra
clandestina, de las labores creativas y de investigación, perjudicando la vitalidad
cultural y económica de un país.
Es importante resaltar que la ley incluye en su codificación la protección de bases de
datos que se encuentren en forma impresa u otra forma, así como también los
programas de ordenador los cuales son considerados como obras literarias.
Las iniciativas dadas para la protección y respeto de las especificaciones de la Ley
de Propiedad Intelectual, así como los Derechos de Autor se han desarrollado por
75
campañas de la Business Software Alliance (BSA) tales como “Marca el Límite”,
“Anímate 2007”, “Buenos Negocios”, “Evite riesgos, use software legal” como
acciones puntuales que impulsan el uso de software legal.
El estudio de piratería mundial de software 19, que corresponde al año 2007,
realizado por la International Data Corporation (IDC), publicado por la Business
Software Alliance, establece que Ecuador mantiene una tasa de piratería de un 66%,
que constituyen pérdidas por aproximadamente 33 millones de dólares y representan
un incremento del 10% con respecto a la última medición (30 millones de dólares).
Otro proyecto impulsado por la BSA es la habilitación del portal “Reporte
confidencial sobre piratería de software”, que permite denunciar de manera
confidencial la piratería del software en América Latina.
4) Ley Especial de Telecomunicaciones
La Ley Especial de Telecomunicaciones fue publicada en el Registro Oficial N° 996
del 10 de Agosto de 1992, en el que se declara que es indispensable proveer a los
servicios de telecomunicaciones de un marco legal acorde con la importancia,
complejidad, magnitud tecnología y especialidad de dichos servicios, así como
también asegurar una adecuada regulación y expansión de los sistemas
radioeléctricos, y servicios de telecomunicaciones a la comunidad que mejore de
forma permanente la prestación de los servicios existentes.
La Ley Especial de Telecomunicaciones tiene por objeto normar en el territorio
nacional la instalación, operación, utilización y desarrollo de toda transmisión,
emisión o recepción de signos, señales, imágenes, sonidos e información de
cualquier naturaleza por hilo radioelectricidad, medios ópticos y otros sistemas
electromagnéticos.
19. Business Software Alliance BSA, 5ta Estudio Anual Global de la Pirateria de Software por BSA e IDC, 2007 /
76
5) Ley Orgánica de Control Constitucional
La Ley Orgánica de Control Constitucional (LocConst.), fue publicada en el Registro
Oficial N° 99 del 2 de Julio de 1997 y fue calificada con Jerarquía y carácter de Ley
Orgánica, por resolución Legislativa, publicado en Registro Oficial 280 del 8 de
Marzo del 2001.
La Ley Orgánica de Control Constitucional, en su Capítulo II del Habeas Data
establece que “las personas naturales o jurídicas, nacionales o extranjeras, que
desean tener acceso a documentos, bancos de datos e informes que sobre si misma
o sus bienes están en poder de entidades públicas, de personas naturales o jurídicas
privadas, así como conocer el uso y finalidad que se les haya dado o se les este por
dar, podrán imponer el recurso de Habeas Data para requerir las respuestas y exigir
el cumplimiento de las medidas tutelares prescritas en esta ley, por parte de las
personas que posean tales datos o informaciones”.
En la Constitución Política del Ecuador vigente (2008), en su capítulo tercero de las
Garantías Jurisdiccionales de su sección quinta Art. 92 sobre la acción de Habeas
Data, también se establece recurso jurídico de Habeas Data.
De acuerdo a la especificación contemplada en la Ley de Comercio Electrónico,
Firmas Digitales y Mensajes de Datos, en su título quinto de las infracciones
informáticas, los delitos informáticos que se tipifican, mediante reformas al Código
Penal, se muestran a continuación:
1. Artículo 58: Delitos contra la Información Protegida (Artículo 202
del Código Penal)
SANCIÓN CARCELARIA SANCIÓN PECUNIARIA
1.- Violentando claves o
sistemas.
6 meses – 1 año US$ 500 – US$ 1000
77
2.- Información obtenida
sobre la Seguridad
Nacional, secretos
comerciales o
industriales.
3 años US$ 1000 – US$ 1500
3.- Divulgación o
utilización fraudulenta
de los rubros anteriores.
3 – 6 años US$ 2000 – US$ 10000
4.- Divulgación o
utilización por
funcionarios a cargo de
dicha información.
6 – 9 años US$ 2000 – US$ 10000
5.- Obtención y uso no
autorizados de datos
personales para cederla
o utilizarla.
2 meses – 2 años US$ 1000 – US$ 2000
2. Artículo 59: Destrucción Maliciosa de Documentos por
Funcionarios de Servicio Público (Artículo 262 del Código Penal)
SANCIÓN CARCELARIA SANCIÓN PECUNIARIA
3 – 6 años --------
3. Artículo 60: Falsificación Electrónica según el siguiente detalle y
con ánimo de lucro con perjuicio a terceros (Artículo 363 del
Código Penal)
78
SANCIÓN CARCELARIA
1.- Alterar un mensaje de
datos.
6 años
2.- Simulación de
mensajes.
6 años
3.- Suposición de
intervención en actos,
declaraciones, etc.
6 años
4. Artículo 61: Daños Informáticos (Artículo 415 del Código Penal)
SANCIÓN CARCELARIA SANCIÓN PECUNIARIA
1.- Daño doloso de
información contenida
en un sistema.
6 meses – 3 años US$ 60 – US$ 150
2.- Cometido por
funcionario público o
vinculado a la defensa
nacional.
3 – 5 años US$ 200 – US$ 600
3.- Si no se tratare de un
delito mayor, la
destrucción, alteración o
inutilización de
infraestructura para la
transmisión.
8 meses – 4 años US$ 200 – US$ 600
79
5. Artículo 62: Apropiación ilícita (Artículo 553.1 del Código Penal)
SANCIÓN CARCELARIA SANCIÓN PECUNIARIA
1.- Uso fraudulento o
ilícito para apropiación
de un bien ajeno, etc.
6 meses – 3 años US$ 500 – US$ 1000
2.- Uso fraudulento
mediante los siguientes
medios: 1) Inutilización
de sistemas de alarma;
2) Descubrimiento
descifrado de claves
secretas; 3) Las tarjetas
magnéticas; 4) De
controles o
instrumentos; 5)
Violación de
seguridades.
1 – 5 años US$ 1000 – US$ 2000
6. Artículo 63: Estafa a través de medios electrónicos (Artículo 563
del Código Penal)
SANCIÓN CARCELARIA SANCIÓN
PECUNIARIA
1 – 5 años US$ 500 – US$ 1000
2.2.5.11 La Constitución del Ecuador
Todas las personas, en forma individual o colectiva, tienen derecho a:
80
1. Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos
los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua
y con sus propios símbolos.
2. El acceso universal a las tecnologías de información y comunicación.
3. La creación de medios de comunicación social, y al acceso en igualdad de
condiciones al uso de las frecuencias del espectro radioeléctrico para la gestión de
estaciones de radio y televisión públicas, privadas y comunitarias, y a bandas libres
para la explotación de redes inalámbricas.
4. El acceso y uso de todas las formas de comunicación visual, auditiva, sensorial y a
otras que permitan la inclusión de personas con discapacidad.
5. Integrar los espacios de participación previstos en la Constitución en el campo de
la comunicación.
El Estado garantizará la asignación, a través de métodos transparentes y en igualdad
de condiciones, de las frecuencias del espectro radioeléctrico, para la gestión de
estaciones de radio y televisión públicas, privadas y comunitarias, así como el
acceso a bandas libres para la explotación de redes inalámbricas, y precautelará que
en su utilización prevalezca el interés colectivo.
Todas las personas tienen derecho a buscar, recibir, intercambiar, producir y difundir
información veraz, acceder libremente a la información generada en entidades
públicas, o en las privadas que manejen fondos del Estado o realicen funciones
públicas.
El sistema nacional de ciencia, tecnología, innovación y saberes ancestrales, en el
marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberanía,
tendrá como finalidad:
1. Generar, adaptar y difundir conocimientos científicos y tecnológicos.
81
2. Recuperar, fortalecer y potenciar los saberes ancestrales.
3. Desarrollar tecnologías e innovaciones que impulsen la producción nacional,
eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan a la
realización del buen vivir.
Será responsabilidad del Estado:
1. Facilitar e impulsar la incorporación a la sociedad del conocimiento para alcanzar
los objetivos del régimen de desarrollo.
2. Promover la generación y producción de conocimiento, fomentar la investigación
científica y tecnológica, y potenciar los saberes ancestrales, para así contribuir a la
realización del buen vivir, al Sumak Kawsay.
3. Asegurar la difusión y el acceso a los conocimientos científicos y tecnológicos, el
usufructo de sus descubrimientos y hallazgos en el marco de lo establecido en la
Constitución y la Ley.
2.2.5.12 Análisis del Código Integral Penal
Mientras se reforma el Código Penal, en Ecuador se trabaja actualmente con leyes
supletorias:
Código Penal, en especial el artículo 202
Ley de Comercio electrónico, firmas electrónicas y bases de datos
Resolución 55/63 aprobada por la Asamblea de la ONU de la Lucha contra la
utilización de la tecnología de la información con fines delictivos.
Convenio de Cibercriminalidad de Budapest, del cual podremos ser signatarios
una vez que contemos con una normativa legal específica para estos delitos,
y;
82
Reglamento 124/7 de la Interpol para el tratamiento de datos.
El martes 28 de enero de 2013, la Asamblea Nacional de la República del Ecuador,
aceptando 69 de 73 observaciones u objeciones parciales, emitidas por el señor
Presidente Constitucional de la República, promulgó el CÓDIGO ORGANICO
INTEGRAL PENAL, publicado ya en el Registro Oficial, en el que se compendia en
un mismo cuerpo normativo los códigos sustantivo, adjetivo y de ejecución penal,
todos ellos de trascendental importancia para el funcionamiento del sistema penal.
La nueva normativa penal, está compuesta por la Exposición de Motivos, en la que
se destaca su dimensión histórica, ya que el Ecuador desde su época republicana,
ha promulgado cinco Códigos Penales en 1837, 1872, 1889, 1906 y 1938 y la
codificación de 1971, produciéndose en cuarenta años, desde 1971 hasta mayo de
2010, cuarenta y seis reformas, sin contar más de doscientas normas no penales que
tipifican infracciones; tornándolo antiguo, incompleto, disperso y retocado, ya que fue
permanentemente modificado, incluyendo tipos penales que socialmente
demandaban su expedición.
En materia procesal penal, el Ecuador ha contado con cinco leyes, encontrándose
vigente la expedida en el año 2000, con el que se introdujo un cambio fundamental,
con relación al adjetivo penal de 1983, pasando del sistema inquisitivo, al actual
sistema acusatorio oral, pero para su aplicación se implementaron múltiples
modificaciones, reformándolo en forma aislada en catorce oportunidades.
Por mandato constitucional, era indispensable expedir una nueva normativa penal,
para garantizar la dignidad del ser humano, adecuándola formal y materialmente a la
Constitución de 2008 y a los tratados internacionales, surgiendo de esta forma la
necesidad de actualizar el derecho penal, como ha ocurrido con la expedición del
Código Orgánico Integral Penal.
83
Pero para que entre en vigor este nuevo Código Orgánico, la Asamblea Nacional,
con la objeción parcial del señor Presidente de la República, ha señalado en la parte
final del articulado, cuatro Disposiciones Generales; veintitrés Disposiciones
Transitorias; catorce Disposiciones Reformatorias; veintiséis Disposiciones
Derogatorias; y, una Disposición Final, que dice:
“El Código Orgánico Integral Penal, entrará en vigencia en ciento ochenta días
contados a partir de su publicación en el Registro Oficial, con excepción de
las disposiciones reformatorias al Código Orgánico de la Función Judicial, que
entrarán en vigencia a partir de la publicación de este Código en el Registro
Oficial.”
La nueva ley, en proceso de entrar en vigencia, traerá cambios significativos para el
tratamiento del delito informático. El capítulo que tendría en este Código sería el de
“Delitos contra los derechos del buen vivir”.
Asimismo, en este nuevo Código se incorporaría al Código de Procedimiento Penal,
en el capítulo pertinente a las pruebas, la evidencia digital como otro elemento de
convicción y posterior prueba en la etapa de juicio, para su respectivo cómputo
forense.
El delito de phishing como bien se ha definido en el presente proyecto, no consta
establecido como tal, ni la naturaleza del mismo se encuentra en el Código Penal, e
intenta ser tipificado en el Código Orgánico Integral Penal.
En el Código Orgánico Integral Penal, en su Capítulo Tercero.- Delitos contra los
derechos del buen vivir.- Sección Tercera.- Delitos contra la seguridad de los activos
de los sistemas de información y comunicación, en sus Arts. 229, 230, 231, 232, 233
y 234, refiere la tipificación y sanción en los casos de relevación ilegal de base de
84
datos, interceptación ilegal de base de datos, transferencia electrónica de activo
patrimonial, ataque a la integridad de sistemas informáticos y los delitos contra la
información pública reservada, pero no tipifica al delito de phishing, o la denominada
“estafa informática” y en concreto, abordar la problemática referida al phishing,
conociendo que el núcleo del tipo penal de estafa consiste en el engaño, donde el
sujeto activo del delito se hace entregar un bien patrimonial, por medio del engaño;
es decir, haciendo creer la existencia de algo que en realidad no existe
Si bien el COIP, intenta establecer una serie de directrices dirigidas a la previsión de
conductas criminales como, la realización o provocación de transferencias o valores
monetarios no consentidos, la introducción, supresión, alteración o borrado de datos
informáticos; entre otros.
Es necesario tipificar el phishing, específicamente, sancionar en un artículo a quien
con ánimo de lucro y valiéndose de alguna manipulación informática o artificio
semejante, logre adquirir información confidencial de forma fraudulenta, haciéndose
pasar por una persona o empresa de confianza, interactuando con el cibernauta, ya
sea mediante correo electrónico, mensajería instantánea, llamadas telefónicas,
engaños en páginas web y consigan una transferencia no consentida de cualquier
activo patrimonial en perjuicio de otro, fabricaren, introdujeren, poseyeren o
facilitaren programas informáticos, y utilizando tarjetas de crédito o débito, o cheques
de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de
cualquier clase en perjuicio de su titular o de un tercero.
TÉRMINOS BÁSICOS.-
Cliente (Client): Computadora o programa que se conecta a servidores para obtener
información. Un cliente sólo obtiene datos, no puede ofrecerlos a otros clientes sin
depositarlos en un servidor. La mayoría de las computadoras que las personas
utilizan para conectarse y navegar por Internet son clientes.
85
Cliente/Servidor (Client/Server): Sistema de organización de interconexión de
computadoras según el cual funciona Internet, así como otros tantos sistemas de
redes. Se basa en la separación de las computadoras miembros en dos categorías:
las que actúan como servidores (oferentes de información) y otras que actúan como
clientes (receptores de información).
Cookies (galletitas): Pequeños archivos con datos que algunos sitios Web
depositan en forma automática en las computadoras de los visitantes. Lo hacen con
el objetivo de almacenar allí información sobre las personas y sus preferencias. Por
ejemplo, la primera vez que un navegante visita un site y completa algún formulario
con sus datos y perfil, el sistema podrá enviarle una cookie al asignarle una
identificación. Cuando el usuario retorne, el sitio Web pedirá a la computadora cliente
la cookie y, a través de ella, lo reconocerá.
Cracker: Individuo con amplios conocimientos informáticas que desprotege/piratea
programas o produce daños en sistemas o redes.
Criminología.- Ciencia social que estudia las causas y circunstancias de los distintos
delitos, la personalidad de los delincuentes y el tratamiento adecuado para su
represión.
Dirección electrónica (electronic address): Serie de caracteres que identifican
unívocamente un servidor (por ejemplo, grafikacr.com), una persona (
[email protected] ) o un recurso (un sitio Web como http://www.grafikacr.com ) en
Internet. Se componen de varias partes de longitud variable. Las direcciones son
convertidas por los DNS en los números IP correspondientes para que puedan viajar
por la Red.
DNS Sistema de nombres de Dominio (Domain Name System).: Base de datos
distribuida que gestiona la conversión de direcciones de Internet expresadas en
lenguaje natural a una dirección numérica IP. Ejemplo: 121.120.10.1
86
Dominio (Domain): Sistema de denominación de Hosts en Internet. Los dominios
van separados por un punto y jerárquicamente están organizados de derecha a
izquierda. ejemplo: arrakis.es
E-mail (electronic mail o correo electrónico): Servicio de Internet que permite el
envío de mensajes privados (semejantes al correo común) entre usuarios. Basado en
el SMTP. Más rápido, económico y versátil que ningún otro medio de comunicación
actual. También utilizado como medio de debate grupal en las mailing lists.
Firewall.- Literalmente " Muro de Fuego". Se trata de cualquier programa que
protege a una red de otra red. El firewall da acceso a una maquina en una red local a
Internet pero Internet no ve mas alla del firewall.
Hacker.- Experto en informática capaz de de entrar en sistemas cuyo acceso es
restringido. No necesariamente con malas intenciones.
Host.- Ordenador conectado a Internet. Ordenador en general. Literalmente anfitrión.
Internauta.- Es un neologismo resultante de la combinación de los términos Internet
y del griego ναύτης (nautes, navegante), utilizado normalmente para describir a los
usuarios habituales de Internet. En esencia denomina a una persona que navega en
Internet visitando páginas web y, por extensión, a cualquier persona que haciendo
uso de una aplicación en una computadora obtiene información de Internet, o
interactúa con otras personas: correo electrónico, compartir archivos, discusiones en
foros, etc. Se cree que el término se originó en Francia.
Internet.- Red informática mundial, descentralizada, formada por la conexión directa
entre computadoras u ordenadores mediante un protocolo especial de comunicación.
Internic.- Entidad administrativa de Internet que se encarga de gestionar los
nombres de dominio en EEUU. Centro de información que almacena documentos de
Internet: RFCs y borradores de documentos. Organismo que se ocupa de otorgar
grupos de números IP y direcciones electrónicas a cada organización que desee
87
conectarse a Internet, garantizando que sean únicas. Más datos en
http://www.internic.net/ .
IP Protocolo de Internet (Internet Protocol).- Bajo este se agrupan los protocolos
de internet. También se refiere a las direcciones de red Internet.
Login.- Proceso de seguridad que exige que un usuario se identifique con un nombre
(user-ID) y una clave, para poder acceder a una computadora o a un recurso.
Navegador.-Aplicado normalmente a programas usados para conectarse al servicio
WWW.
Phishing.- Es un término informático que denomina un tipo de delito encuadrado
dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un
tipo de ingeniería social caracterizado por intentar adquirir información confidencial
de forma fraudulenta (como puede ser una contraseña o información detallada sobre
tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher,
se hace pasar por una persona o empresa de confianza en una aparente
comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema
de mensajería instantánea o incluso utilizando también llamadas telefónicas.
Victimología.- Es una ciencia que estudia científicamente a la víctima y su papel en
el hecho delictivo.
World Wide Web o W3 o WWW: Conjunto de servidores que proveen información
organizada en sites, cada uno con cierta cantidad de páginas relacionadas. La Web
es una forma novedosa de organizar toda la información existente en Internet a
través de un mecanismo de acceso común de fácil uso, con la ayuda del hipertexto y
la multimedia. El hipertexto permite una gran flexibilidad en la organización de la
información, al vincular textos disponibles en todo el mundo. La multimedia aporta
color, sonido y movimiento a esta experiencia. El contenido de la Web se escribe en
lenguaje HTML y puede utilizarse con intuitiva facilidad mediante un programa
88
llamado navegador. Se convirtió en el servicio más popular de la Red y se emplea
cotidianamente para los usos más diversos: desde leer un diario de otro continente
hasta participar de un juego grupal.
NEOCONSTITUCIONALISMO
Nuestra constitución del 2008, proclama que el Ecuador es un Estado constitucional
de derechos y justicia (Artículo 1), en tanto que en la constitución de 1998 se
expresaba que el Ecuador era un Estado de Derecho. Antes de la Constitución
vigente no había modo o mecanismo para reclamar por la violación a garantías del
derecho al debido proceso, con el manido argumento de la independencia y
autonomía de la función judicial – a lo que se agregaba – que con la Corte
Constitucional se pretendería crear una instancia judicial superior, que afectaría a la
intangibilidad de la cosa juzgada, a la seguridad jurídica, y en definitiva a la sabiduría
de los jueces, pues es inadmisible un control de constitucionalidad que afectare a la
cosa juzgada.
Luis Prieto Sanchís nos ilustra al manifestar que con la expresión,
neoconstitucionalismo, constitucionalismo contemporáneo, o a veces simplemente
constitucionalismo, se alude a una presunta nueva cultura jurídica, y que se pueden
identificar cuatro acepciones principales.20
En éste ámbito conceptual el neoconstitucionalismo presenta una faz estructural,
presupuesto esencial de dicho modelo, que persigue los siguientes elementos
caracterizadores:
1) Carácter normativo o fuerza vinculante de la constitución;
2) Supremacía de la constitución dentro del sistema de fuentes;
3) Eficacia o aplicación directa de la ley fundamental;
20. LUIS PRIETO SANCHÍS, Justicia Constitucional y derechos fundamentales, Ob. cit. p. 101- 102.
89
4) Garantía judicial;
5) Presencia de un denso contenido normativo que tiene como destinatarios a los
ciudadanos en sus relaciones con el poder y con los particulares, integrados por
principios, derechos y directrices más o menos precisos;
6) Rigidez constitucional, cuanto más costosa sea la posibilidad de alterar el texto
fundamental por mayoría legislativa, mayor fortaleza tendrá el modelo constitucional.
El neoconstitucionalismo como teoría del derecho describe o explica los elementos
caracterizantes del modelo y puede sintetizarse evolutivamente en:
1) Más principios que reglas. Corresponde señalar que tanto los principios como las
reglas son normas porque señalan lo que debe ser. Pero los principios son normas
abiertas que presentan un condicionante fáctico– mandatos de optimización-
fragmentado o indeterminado y que necesariamente serán cerrados por la justicia
constitucional mediante los procesos de interpretación y ponderación. Los derechos
fundamentales presentan, en general, la estructura de los principios, y posibilita que
los procesos de determinación o delimitación de sus contenidos contemplen –en
sentido plural- la mayor cantidad de opciones, visiones o planes de vida de los
integrantes de una sociedad.21
2) Más ponderación que subsunción. En un estado de derecho, todos los derechos
fundamentales poseen a priori y en abstracto la misma jerarquía, caso contrario no
habría que ponderar ya que se impondría el de mayor importancia. Es buscar la
mejor decisión cuando en la argumentación concurren razones justificadoras
conflictivas del mismo valor.22, para que un ordenamiento jurídico sea considerado
como impregnado por disposiciones constitucionales.
21 Ver ANDRES GIL DOMÍNGUEZ, Neoconstitucionalismo y derechos colectivos, p. 54, Ediar,
2005, Buenos Aires.
22 LUIS PRIETO SANCHÍS, Justicia Constitucional y derechos fundamentales, p. 189, Trotta
España 2003.
90
ORALIDAD
El principio de la oralidad es definido como el predomino de la palabra sobre la
escritura. Constituye una garantía para la efectiva vigencia de otros principios
procesales como son la inmediación, contradicción y celeridad. Coincidimos con
cierta parte de la doctrina que contempla a la oralidad como un mecanismo que
facilita un sistema de comunicación más eficaz entre los sujetos procesales y los
medios probatorios.
Indiscutiblemente, con el nuevo modelo procesal penal, la etapa del juicio oral es
pública y contradictoria con los correspondientes registros auditivos; sin embargo, las
etapas de investigación preparatoria e intermedia tienen marcos de escrituralidad
El sistema acusatorio es un modelo procesal contrapuesto al condenable sistema
inquisitorio. El nombre del sistema se justifica por la importancia que él adquiere la
acusación, siendo que ella resulta indispensable para que se inicie el proceso, pues
el imputado debe conocer detalladamente los hechos por los cuales se les somete a
juicio. En este sentido, al juez que debe ser imparcial e independiente, le toca decidir
teniendo como sustento las pruebas aportadas tanto por la parte acusadora como
por la defensa en un plano de paridad.
Precisamente, una de las características del sistema procesal acusatorio es la
oralidad.
REFORMA
Una reforma supone la modificación de la Ley de un Estado. La Reforma tiene por
objeto una revisión parcial de una Ley y la sustitución de una o varias de sus normas
que no modifiquen la estructura y principios fundamentales del texto.
91
TECNOLOGIAS DE LA INFORMACIÓN Y COMUNICACIÓN (TIC´S)
Las Tecnologías de la Información y la Comunicación son un conjunto de servicios,
redes, software y aparatos que tienen como fin la mejora de la calidad de vida de las
personas dentro de un entorno, y que se integran a un sistema de información
interconectado y complementario. Esta innovación servirá para romper las barreras
que existen entre cada uno de ellos.
VENTAJAS:
Brindar grandes beneficios y adelantos en salud y educación.
Desarrollar a las personas y actores sociales a través de redes de apoyo e
intercambio y lista de discusión.
Apoyar a las personas empresarias, locales para presentar y vender sus
productos a través de la Internet.
Permitir el aprendizaje interactivo y la educación a distancia.
Repartir nuevos conocimientos para la empleabilidad que requieren muchas
competencias.
Ofrecer nuevas formas de trabajo, como teletrabajo
Dar acceso a la salida de conocimientos e información para mejorar las vidas
de las personas.
Facilidades
Exactitud
Menores riesgos
Menores costos
DESVENTAJAS:
Falta de privacidad
Aislamiento
Fraude
92
Pérdida los puestos de trabajo
FUNDAMENTOS FILOSÓFICOS Y AXIOLÓGICOS DE LA UNIANDES
El Modelo Educativo de la UNIANDES se fundamenta en un conjunto de ideas,
enfoques y criterios de orden filosófico, y axiológico, que se exponen a continuación:
La función social de la Universidad radica en el principio de del Dr. Gustavo Álvarez
Gavilanes, “Educar para la vida”, es decir en la responsabilidad de aportar a la
construcción de un vínculo entre la universidad, el estado y la sociedad para la
búsqueda de soluciones inter y transdisciplinarias a los grandes problemas sociales
como la pobreza, la violencia, la intolerancia, el analfabetismo, el deterioro del
ambiente entre otros y responder a las necesidades de desarrollo del Ecuador, a la
demanda social y profesional que justifique la oferta de la carrera con prospectiva de
desarrollo científico, humanístico , tecnológico y de diversidad cultural.
La UNIANDES en su misión considera la producción de conocimiento y formación
profesional, enmarcados en la formación del ser humano.
En estas dimensiones están implícitas en "formación integral" de los seres humanos,
formar la personalidad integralmente, significa que todos los agentes socializadores y
formativos y en particular la institución escolar en cualquier nivel de enseñanza
diseñe un proceso docente - educativo donde se optimice el uso de todas las
potencialidades educativas que tienen los diferentes escenarios de formación de los
niños y jóvenes.
Sobre estas consideraciones filosóficas y pedagógicas la Universidad Regional
Autónoma de los Andes, UNIANDES, está incursionando en una nueva cultura de
formación e investigación, para lo cual se direcciona con responsabilidad la meta de
la formación de profesionales humanistas, con capacidad crítica, con pensamiento
93
estratégico en función de los intereses del conjunto de la población, es decir
sensibles al contexto, lo que se traduce en la apropiación de la problemática social,
en la exigencia de establecer relaciones de confianza con las comunidades, en la
búsqueda de nuevos esquemas de la profesión, ligados al mundo del trabajo, es
decir una formación integral del estudiante con predominio de lo humano a lo
cognoscitivo, de lo procedimental que consolide sus competencias específicas para
el desempeño laboral y en relación con los valores, la ética social, el sentido de
pertinencia, de la equidad social y el vínculo social.
No hay duda que los nuevos escenarios de la formación profesional en un mundo
incierto exigen a las carreras un cambio profundo en su estructura y en el
pensamiento de los docentes y estudiantes para adaptarse, adecuarse e integrarse a
una formación profesional crítica, capaz de incidir, participar, acompañar y liderar los
cambios políticos, sociales, económicos y culturales del entorno.
2.3.- Idea a defender
Con la reforma al Código Penal, que tipifique el delito informático de phishing, se
evitará la impunidad y se garantizará el derecho a la propiedad.
2.4.- Variables
Variable Independiente
Reforma al Código Penal, en el que se tipifique el delito informático del phishing en el
Ecuador.
Variable Dependiente
Se evitara la impunidad y se garantizará el derecho a la propiedad.
94
CAPÍTULO III
MARCO METODOLÓGICO
3.1. Modalidad de Investigación.
La investigación es de tipo cuali-cuantitativa: Cualitativa, al tratarse de una
investigación de carácter social la interpretación de los hechos y acciones quedan al
arbitrio del investigador a través de la utilización de la amplia bibliografía que se
utiliza para explicar el problema; y, Cuantitativa, pues para interpretar los
fenómenos sociales utilizamos fórmulas matemáticas y estadísticas viables para la
selección de la muestra e interpretación de los datos, comportamiento de la
población frente al problema.
3.2. Tipos de Investigación
3.2.1 Por su diseño
TIPOS DE DISEÑOS MODALIDAD PARADIGMÁTICA CUALITATIVA
Teoría
Fundamentada
Son estudios predominantemente teóricos. Su propósito es
desarrollar la teoría en base a datos empíricos obtenidos en la
propia investigación, más que en estudios previos.
Investigación-
Acción
Su finalidad es resolver problemas cotidianos e inmediatos y
mejorar prácticas concretas. Como propósito fundamental está
aportar información que guíe la toma de decisiones para
programas, procesos y reformas estructurales. La investigación-
acción construye el conocimiento por medio de la práctica diaria
en la que se desenvuelven los sujetos que son analizados.
95
3.2.2 Por su alcance
Exploratoria Tienen por objeto esencial la familiarización con un
fenómeno o concepto desconocido o poco estudiado.
Descriptiva Para analizar cómo es y cómo se manifiesta un fenómeno y sus
componentes
Explicativa Dirigidas a encontrar las causas que provocan determinados
fenómenos o procesos.
3.3. Población y Muestra.
La población que se establece para la presente investigación, es decir el universo se
compone de Operadores de Justicia del Cantón Guayaquil, Abogados en Libre
Ejercicio Profesional y los Usuarios o Socios de la Cámara de Comercio Guayaquil.
POBLACIÓN NÚMERO
OPERADORES DE JUSTICIA 20
ABOGADOS EN LIBRE EJERCICIO EN
LA CIUDAD DE GUAYAQUIL
30
USUARIOS O SOCIOS DE LA
CÁMARA DE COMERCIO DE
GUAYAQUIL
15
TOTAL 65
Por ser la población menor de 100, la encuesta se aplica a la totalidad.
96
3.4.- Métodos, Técnicas e Instrumentos de la Investigación.
3.4.1.- Métodos
Los métodos se clasifican en métodos del nivel empírico y métodos del nivel teórico y
matemáticos.
a) MÉTODOS DEL NIVEL EMPÍRICO DEL CONOCIMIENTO
Estos métodos constituyen un conjunto de acciones prácticas que realiza el
sujeto investigador con el objeto, para determinar sus rasgos y regularidades
sobre la base senso-perceptual, algunos son:
Observación Científica
La observación es la acción y efecto de observar (examinar con atención,
mirar con recato, advertir). Se trata de una actividad realizada por los seres
vivos para detectar y asimilar información. El término también hace referencia
al registro de ciertos hechos mediante la utilización de instrumentos.
La observación forma parte del método científico ya que, junto a la
experimentación, permite realizar la verificación empírica de los fenómenos.
La mayoría de las ciencias se valen de ambos recursos de manera
complementaria.
Medición
Una medición es el resultado de la acción de medir. Este verbo, con origen en
el término latino metiri, se refiere a la comparación que se establece entre una
cierta cantidad y su correspondiente unidad para determinar cuántas veces
dicha unidad se encuentra contenida en la cantidad en cuestión.
97
Experimento
Experimento es la acción y efecto de experimentar (realizar acciones
destinadas a descubrir o comprobar ciertos fenómenos). El procedimiento es
muy habitual en el marco de la labor científica para tratar de ratificar una
hipótesis.
Recolección De Información
Entre los métodos de recolección de información, se encuentran:
o La entrevista
La Entrevista es la comunicación interpersonal establecida entre investigador y
el sujeto de estudio a fin de obtener respuestas verbales a los interrogantes
planteados sobre el tema propuesto.
EL ENTREVISTADO deberá ser siempre una persona que interese a la
comunidad. El entrevistado es la persona que tiene alguna idea o alguna
experiencia importante que transmitir.
EL ENTREVISTADOR es el que dirige la Entrevista debe dominar el dialogo,
presenta al entrevistado y el tema principal, hace preguntas adecuadas y
cierra la Entrevista.
o La encuesta
Para obtener datos estadísticos de los diferentes aspectos a estudiarse.
La encuesta es un instrumento exploratorio que ayuda a identificar variables
como tipos de información, tipos de diseño y sus relaciones para sugerir
hipótesis.
98
Con esta técnica se conoce lo que opinan o piensan los encuestados
mediante preguntas escritas sin la presencia del encuestador.
La investigación por encuesta tiene 3 fases:
Fase teórico conceptual: consiste en tener definido el objetivo y el correcto
diseño del estudio.
Fase Metodológica: El propósito debe ser motivador, coherente y alcanzable;
es decir no demasiado extremo o sencillo.
Fase de Estadística- Conceptual: Si la población es numerosa se realiza un
muestreo representativo que permita generalizar resultados.
o Criterio de expertos
La evaluación de expertos se emplea para comprobar la calidad y efectividad
de los resultados de las investigaciones, tanto en su concepción teórica como
en su aplicación en la práctica social, es decir, el impacto que se espera
obtener con la aplicación de los resultados teóricos de la investigación en la
práctica, cuando resulta imposible o muy difícil realizar las mediciones
por métodos más precisos, como puede ser el experimento, o cuando se
desea la valoración de los expertos antes de realizar un experimento para
prever posibles factores de fracaso.
En la presente investigación, se aplicarán los siguientes métodos de nivel empírico
del conocimiento:
LA ENCUESTA
En nuestro proyecto elaboramos encuestas dirigidas a los estudiantes para:
1. Conocer si realmente saben qué es el delito de phishing.
99
2. Si consideran necesario la implementación de la tipificación en el
Código Penal.
CRITERIO DE EXPERTOS
Con el cual se obtiene información de parte de los funcionarios del Ministerio Público,
funcionarios judiciales y abogados en el libre ejercicio profesional para comprobar
la calidad y efectividad de los resultados de las investigaciones, tanto en su
concepción teórica como en su aplicación en la práctica social, es decir, el impacto
que se espera obtener con la aplicación de este proyecto.
b) MÉTODOS DE NIVEL TEÓRICO DE CONOCIMIENTO
Son aquellos que permiten revelar las relaciones esenciales del objeto de
investigación; son fundamentales para la comprensión de los hechos y para la
formulación de la hipótesis de investigación. El investigador se centra en el
estudio y análisis de las imágenes o modelos que reflejan esencialmente los
componentes y relaciones del fenómeno.
El método general por excelencia es el método científico el cual, además de
ayudar al investigador a comprender la estructura y la dinámica del objeto, le
permite descubrir la contradicción que es la fuente del automovimiento y
desarrollo del fenómeno.
Entre los métodos teóricos de investigación se encuentran los siguientes:
Histórico-Lógico;
Estudia la trayectoria real de los fenómenos y acontecimientos en el de
cursar de su historia.
Las primeras directrices son:
100
o La heurística (localización y recopilación de las fuentes
documentales que son la materia prima del historiador).
o La crítica que se refiere al trabajo con las fuentes documentales.
Consiste en inferir de la semejanza de algunas características
entre dos objetos, la probabilidad de que las características
restantes sean también semejantes. Los razonamientos
analógicos no son siempre validos.
o Crítica externa (quien lo produjo, donde, cuando y la
procedencia)
o Crítica interna (es la credibilidad es decir que su contenido sea
creíble)
Analítico-Sintético
Consiste en la extracción de las partes, se distinguen los elementos y
se revisa cada uno por separado para ver su relación.
El análisis de un objeto se realiza a partir de la relación que existe entre
los elementos que conforman el objeto como un todo. La Síntesis se
produce sobre la base de los resultados.
El análisis de un objeto significa comprender sus características a
través de las partes que lo integran, es hacer una separación de sus
componentes y observar periódicamente cada uno de ellos, al fin de
identificar tanto su dinamia particular como las relaciones de
correspondencia que guardan entre sí y dan origen a las características
generales que se quiere conocer.
El sintético se manifiesta en forma contraria al analítico, pues parte
reuniendo los elementos del todo, previamente separados,
101
descompuestos por el análisis. Es labor de volver a reunir las partes
divididas por el análisis, ya previamente examinadas.
Inductivo-Deductivo
Es el razonamiento que parte de un caso particular a uno general.
Para los proponentes de este esquema la ciencia se inicia con
observaciones individuales, a partir de las cuales se plantean
generalizaciones cuyo contenido rebasa el de los hechos inicialmente
observados. Las generalizaciones permiten hacer predicciones cuya
confirmación las refuerza y cuyo fracaso las debilita y puede obligar a
modificarlas o hasta rechazarlas.
El método inductivo-deductivo acepta la existencia de una realidad
externa y postula la capacidad del hombre para percibirla a través de
sus sentidos y entenderla por medio de su inteligencia. Para muchos
partidarios de este esquema, también nos permite explotarla en nuestro
beneficio
Hipotético-Deductivo
El método hipotético-deductivo es el procedimiento o camino que sigue
el investigador para hacer de su actividad una práctica científica. El
método hipotético-deductivo tiene varios pasos
esenciales: observación del fenómeno a estudiar, creación de una
hipótesis para explicar dicho fenómeno, deducción de consecuencias o
proposiciones más elementales que la propia hipótesis, y verificación o
comprobación de la verdad de los enunciados deducidos
comparándolos con la experiencia. Este método obliga al científico a
combinar la reflexión racional o momento racional (la formación de
102
hipótesis y la deducción) con la observación de la realidad o momento
empírico (la observación y la verificación).
Modelación
Método mediante el cual se crean abstracciones con vistas a explicar la
realidad. El modelo como sustituto del objeto de investigación. En el
modelo se revela la unidad de lo objetivo y lo subjetivo.
Se dice que la modelación es el método que opera en forma práctica o
teórica con un objeto y no en forma directa utilizando para ello cierto
sistema intermedio, auxiliar, natural o artificial.
Enfoque Sistémico.
La Metodología Sistémica como nuevo enfoque que, con el enfoque
de sistemas y la intertransdisciplina, forman los tres conjuntos que
interactúan formando un sistema que integra los conceptos básicos
fundamentales para el desarrollo del estudio y aplicación de sistemas.
La presente investigación, se basará en los siguientes métodos de nivel teórico del
conocimiento:
MÉTODO HISTÓRICO-LÓGICO
Se aplica este método para realizar una comparación entre los años pasados
respecto al análisis de la evolución de las tecnologías tanto sus ventajas, como el
acceso de información; y como desventajas podemos encontrar los delitos
informáticos que están en todo su apogeo en la actualidad.
MÉTODO LÓGICO INDUCTIVO
En este proyecto se estudiaron los elementos que forman el objeto de la
investigación estos el conocimiento sobre el delito de phishing, su importancia para la
tipificación en el nuevo Código Integral Penal
103
MÉTODO ANALÍTICO-SINTÉTICO
Para este proyecto realizamos el análisis en cuanto a conocimiento con ayuda
tecnológica, puesto que hoy en día es muy necesaria la aplicación de las TICS en la
educación y en el ejercicio de la profesión. Luego relacionamos los elementos que
conforman el objeto estos son: operadores de justicia, profesionales, usuarios.
c) MÉTODOS MATEMÁTICOS
Matemáticos
En ciencias aplicadas, un Modelo matemático es uno de los tipos de modelos
científicos, que emplea algún tipo de formulismo matemático para expresar
relaciones, proposiciones sustantivas de hechos, variables, parámetros,
entidades y relaciones entre variables y/o entidades u operaciones, para
estudiar comportamientos de sistemas complejos ante situaciones difíciles de
observar en la realidad.
En concreto en matemáticas se trabajan con modelos formales. Un modelo
formal para una cierta teoría matemática es un conjunto sobre el que se han
definido un conjunto de relaciones unarias, binarias y trinarias, que satisface
las proposiciones derivadas del conjunto de axiomas de la teoría. La rama de
la matemática que se encarga de estudiar sistemáticamente las propiedades
de los modelos es la teoría de modelos.
Estadísticos
La estadística es una ciencia formal que estudia la recolección, análisis e
interpretación de datos de una muestra representativa, ya sea para ayudar en
la toma de decisiones o para explicar condiciones regulares o irregulares de
algún fenómeno o estudio aplicado, de ocurrencia en
forma aleatoria o condicional.
104
Sin embargo, la estadística es más que eso, es decir, es la herramienta
fundamental que permite llevar a cabo el proceso relacionado con
la investigación científica.
La presente investigación, se basará en los métodos matemáticos y estadísticos:
MÉTODOS MATEMÁTICOS Y ESTADÍSTICOS
Para realizar un estudio sobre si es viable o no la reforma al Código Penal, se
aplican cuando se necesita un valor numérico como solución a un problema, en este
caso, conocer si el delito de phishing se debería introducir en el Código Penal, donde
dichos resultados se interpretarán mediante gráficos estadísticos.
d) OTROS MÉTODOS
Dependiendo del tema de investigación, del conocimiento del investigador, del
tipo de problema planteado, y de las necesidades, se pueden utilizar otros
métodos, entre ellos el Triángulo de Pascal, que es una representación de los
coeficientes binomiales ordenados en forma triangular.
3.4.2.- Técnicas
a) FICHAJE
El fichaje es una técnica auxiliar de todas las demás técnicas empleada en
investigación científica; consiste en registrar los datos que se van obteniendo en los
instrumentos llamados fichas, las cuales, debidamente elaboradas y ordenadas
contienen la mayor parte de la información que se recopila en una investigación por
lo cual constituye un valioso auxiliar en esa tarea, al ahorrar mucho tiempo, espacio y
dinero.
105
b) TABULACIÓN DE DATOS
El proceso de tabulación consiste en el recuento de los datos que están contenidos
en los cuestionarios. En este proceso incluimos todas aquellas operaciones
encaminadas a la obtención de resultados numéricos relativos a los temas de estudio
que se tratan en los cuestionarios. Se requiere una previa codificación de las
respuestas obtenidas en los cuestionarios. Realizamos tabulación, codificación y
diseño de gráficos con datos biográficos, de consumo o de opinión. Los resultados
serán presentados en tablas y/o mapas gráficos que expliquen las relaciones
existentes entre las diversas variables analizadas.
La presente investigación, se basará en la siguiente técnica de investigación:
TABULACIÓN DE DATOS
En el presente caso, al utilizar como técnica de recolección de datos la encuesta
dirigida a los Administradores de Justicia, Abogados en Libre Ejercicio, y Socios de la
Cámara de Comercio, para poder analizar los mismos, se debe aplicar la tabulación
para poder realizar un análisis e interpretación de los resultados obtenidos.
3.4.3 Instrumentos
a) GUÍA DE ENTREVISTA
El protocolo es una ayuda de memoria para el entrevistador, tanto en un sentido
temático (ayuda a recordar los temas de la entrevista) como conceptual (presenta los
tópicos de la entrevista en un lenguaje cotidiano, propio de las personas
entrevistadas).
b) FORMULARIO DE ENCUESTA
Es una pieza de papel que contiene datos y espacios en blanco para registrar
información variable, el cuál tendrá diferente utilización según el área funcional a la
cual pertenezca. Puede considerarse también como un instrumento de trabajo cuyo
106
objetivo es transportar información para simplificar y facilitar el desarrollo de los
procedimientos.
Los formularios presentan una visión ordenada de múltiple información sobre algo, y
son útiles para llenar bases de datos.
c) FICHAS BIBLIOGRÁFICAS
Las fichas bibliográficas contienen los datos de identificación de un libro o de algún
documento escrito sobre el objeto de estudio. Estas fichas se hacen para todos los
libros o artículos que pueden ser útiles a la investigación, no solo para los que se han
leído. En ellas se registran las fuentes encontradas, por ejemplo, en el catálogo de
una biblioteca, en una bibliografía, en colecciones de publicaciones. (Anexo 8).
Requiere los siguientes datos:
1. Autor
2. Título
3. Editorial
4. Año de edición
d) FICHAS NEMOTÉCNICAS
Son aquellas que sirven para anexar los aspectos más importantes del contenido de
un libro, de una revista o de un artículo periodístico tales como: conceptos.- Las
fichas nemotécnicas sirven para retener aspectos dentro de la fuente de información,
que se utilizarán en el desarrollo del trabajo escrito y la investigación en general.
(Anexo 9).
La presente investigación, se basará en los siguientes instrumentos de investigación:
107
CUESTIONARIOS.
En la realización y esquematización de temas y subtemas de gran importancia en la
realización del presente proyecto acerca del derecho del defensa del procesado y
sus garantías constitucionales.
GUÍA DE ENTREVISTA.
Con las cuales se obtiene información de parte de los funcionarios del Ministerio
Público, funcionarios judiciales y abogados en el libre ejercicio profesional.
108
3.5.- Interpretación de Resultados
3.5.1. Encuesta a los Operadores de Justicia de la Corte Provincial de Justicia
del Guayas
1.- ¿Sabe usted qué es el delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 17 85
No 3 15
20 100%
INTERPRETACIÓN:
17 de los Operadores de Justicia de Guayaquil, que representan al 85% de la
población encuestada respondieron que si a la pregunta.
3 de los Operadores de Justicia de Guayaquil, que representan al 15% de la
población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Operadores
de Justicia conocen sobre el delito de phishing, por lo tanto es viable la propuesta.
109
2.- ¿En el Código Penal se encuentra tipificado y sancionado el delito de
phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 2 10
No 18 90
20 100%
INTERPRETACIÓN:
2 de los Operadores de Justicia de Guayaquil, que representan al 10% de la
población encuestada respondieron que si a la pregunta.
18 de los Operadores de Justicia de Guayaquil, que representan al 90% de la
población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Operadores
Justicia indican que no se encuentra tipificado y sancionado el delito de phishing, por
lo tanto es viable la propuesta.
110
3.- ¿Considera que se debe reformar el Código Penal para incluir la sanción
del delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 18 90
No 2 10
20 100%
INTERPRETACIÓN:
18 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
90% de la población encuestada respondieron que si a la pregunta.
2 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
10% de la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Abogados
en libre ejercicio profesional considerar necesario reformar el Código Penal para que
se tipifique el delito de phishing, por lo tanto es viable la propuesta.
111
3.5.2. Encuesta a los Abogados en Libre Ejercicio Profesional
1.- ¿Sabe usted qué es el delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 18 60
No 12 40
30 100%
INTERPRETACIÓN:
18 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
60% de la población encuestada respondieron que si a la pregunta.
12 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
40% de la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Abogados
en libre ejercicio profesional conocen sobre el delito de phishing, por lo tanto es
viable la propuesta.
112
2.- ¿En el Código Penal se encuentra tipificado y sancionado el delito de
phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 5 16,66
No 25 83,33
30 100%
INTERPRETACIÓN:
5 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
17% de la población encuestada respondieron que si a la pregunta.
25 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
83% de la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Abogados
en libre ejercicio profesional indican que no se encuentra tipificado y sancionado el
delito de phishing, por lo tanto es viable la propuesta.
113
3.- ¿Considera usted que se debe reformar el Código Penal para incluir la
sanción del delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 27 90
No 3 10
30 100%
INTERPRETACIÓN:
27 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
60% de la población encuestada respondieron que si a la pregunta.
3 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
40% de la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Abogados
en libre ejercicio profesional están de acuerdo en que se debe reformar el Código
Penal para que se tipifique el delito de phishing, por lo tanto es viable la propuesta.
114
3.5.3. Encuesta a los Socios de la Cámara de Comercio de Guayaquil
1.- ¿Sabe usted qué es el delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 3 20
No 12 80
15 100%
INTERPRETACIÓN:
3 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 80% de
la población encuestada respondieron que si a la pregunta.
12 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 80%
de la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Abogados
en libre ejercicio profesional no conocen sobre el delito de phishing.
115
2.- ¿El Comercio ha sido afectado por el nuevo delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 13 87
No 2 13
15 100%
INTERPRETACIÓN:
13 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 87%
de la población encuestada respondieron que si a la pregunta.
2 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 13% de
la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Socios de
la Cámara de Comercio de Guayaquil indican que no se encuentra tipificado y
sancionado el delito de phishing, por lo tanto es viable la propuesta.
116
3.- ¿Considera usted que se debe reformar el Código Penal para incluir la
sanción del delito de phishing?
ANALISIS CUANTITATIVO
RESPUESTA NÚMERO PORCENTAJE
Si 11 73
No 4 27
15 100%
INTERPRETACIÓN:
11 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 73%
de la población encuestada respondieron que si a la pregunta.
4 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al
27% de la población encuestada respondieron que no a la pregunta.
De los resultados obtenidos, nos damos cuenta que de la mayoría de los Socios de
la Cámara de Comercio de Guayaquil, consideran necesario reformar el Código
Penal para que se tipifique el delito de phishing, por lo tanto es viable la propuesta.
117
CAPÍTULO IV
MARCO PROPOSITIVO
TÍTULO:
REFORMA AL CÓDIGO PENAL PARA TIPIFICAR Y SANCIONAR EL DELITO DE
PHISHING.
4.1 Desarrollo de la propuesta.
4.1.1 Caracterización de la propuesta
Se propone a reforma al Código Penal para agregar un artículo que deba tipificar y
sancionar el delito de phishing; lo que es necesario por la dinámica natural de la
sociedad, conociendo que su accionar no es estático, y que con el tiempo cambia al
igual que el comportamiento del individuo y también las ciencias y tecnologías de la
información, por ende es necesario la actualización de Código Adjetivo Penal, y de
paso a la tipificación y sanción a esta nueva era de delitos que se han creado por los
nuevos adelantos sociales y tecnológicos.
La ley siempre debe ser acorde a los tiempos que se viven, a los nuevos delitos,
evitando siempre la impunidad de los mismos.
4.1.2 Incidencia de la propuesta en la solución del problema.
Con esta reforma al Código Penal, los Administradores de Justicia, podrán juzgar el
delito de phishing con base en la normativa penal, más que todo, no quedarán en la
impunidad la creciente ola de delitos informáticos a través de la modalidad de
phishing que se han generado en el país, y que los mismos no han podido ser
sancionados porque no existía una ley que lo tipifique y reprima, citando entre ellos
algunos casos emblemáticos, como a la página web de la Presidencia, y demás
118
entidades públicas, tarjetas clonadas con perjuicios en alrededor de US$
6´000.000,oo, por lo que la propuesta que se ofrece con este proyecto, elaborando
un artículo para que sea introducido al Código Penal, deberá contar con previa
aprobación de la Asamblea Nacional para su posterior publicación en el Registro
Oficial.
4.2 Presentación detallada de la propuesta.
4.2.1 Exposición de Motivos
Se debe realizar una reforma al Código Penal existente porque no cubre las
necesidades actuales de convivencia social.
Porque algunas veces existen malas praxis legales de los operadores de justicia
(Policía, Fiscalía, Juzgados y Tribunales)
Porque es necesario actualizar el accionar de las instituciones por sus dinámicas
naturales.
REPÚBLICA DEL ECUADOR
FUNCIÓN LEGISLATIVA
ASAMBLEA NACIONAL
EL PLENO DE LA COMISIÓN LEGISLATIVA Y DE FISCALIZACIÓN.
CONSIDERANDO:
Que el artículo 3 de la Constitución de la República, indica que son deberes
primordiales del Estado, garantizar sin discriminación alguna el efectivo goce de los
derechos establecidos en la Constitución y en los instrumentos internacionales.
119
Que el artículo 18 de la Constitución de la República, establece el derecho a la
información, de que todas las personas, en forma individual o colectiva, tienen
derecho a acceder libremente a la información generada en entidades públicas, o en
las privadas que manejen fondos del Estado o realicen funciones públicas.
Que el artículo 66, en su numeral 19, de la Constitución de la República,
establece el derecho a la protección de datos de carácter personal, que incluya el
acceso y decisión sobre información y datos de este carácter, así como su
correspondiente protección. La recolección, archivo, procesamiento, distribución o
difusión de estos datos o información, requerirán la autorización del titular o el
mandato de la ley
En ejercicio de sus atribuciones constitucionales expide la siguiente:
LEY REFORMATORIA AL CÒDIGO PENAL QUE TIPIFICA EL DELITO DE
PHISHING.
Agréguese luego del artículo innumerado que sigue a continuación del artículo 553
del Código Penal, dentro del Título X de los delitos contra la propiedad del Capítulo II
del robo, el siguiente artículo:
Artículo innumerado.- Quien mediante el uso de un tipo de ingeniería social,
intente, logre adquirir información confidencial de forma fraudulenta, como puede ser
una contraseña o información detallada sobre tarjetas de crédito, cuentas corrientes,
claves de acceso a la banca virtual de cualquier entidad bancaria, haciéndose pasar
por una persona o empresa de confianza, realizando comunicación electrónica con el
cibernauta, ya sea mediante correo electrónico, mensajería instantánea, llamadas
telefónicas, falsedad de páginas institucionales, con el ánimo de apropiación de un
bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o
derechos de una persona en perjuicio de esta o de un tercero, será sancionado con
pena privativa de libertad de seis meses a cinco años de prisión correccional.
120
Artículo Final.- Esta ley entrará en vigencia, a partir de su publicación en el Registro
Oficial.
4.3 Validación en la Propuesta.
La presente propuesta ha sido puesta en consideración de los especialistas, (Anexos
6 y 7) los mismos que concuerdan de que la propuesta constituye un aporte
significativo para la Administración de Justicia, dado que el phishing es una nueva
modalidad del delito informático y que no está estipulado en nuestra legislación
actual.
4.4 Por qué sancionar el delito de Phishing.
El hecho de que el delito cibernético ocupe un lugar destacado en la sociedad, la
misma debe informarse sobre las formas de prevención del delito y en el caso de ser
víctimas del mismo conocer que la Justicia Penal actualmente pone de relieve la
gran importancia que sigue teniendo este tema y los serios retos que plantea, y la
gran necesidad de incorporación al mismo dentro de la normativa penal.
En los últimos 50 años se han examinado y elaborado diversas soluciones para
hacer frente a la cuestión del delito cibernético. En parte, el tema sigue siendo
problemático porque la tecnología evoluciona constantemente y los métodos
utilizados para cometer esos delitos también cambian.
Actualmente se encuentro en todo auge la manipulación informática, el espionaje de
datos, por lo que el Ecuador necesita hacer frente a nuevos actos, tales como el
phishing, para los que no hay legislación penal.
La presente propuesta se enfoca en la elaboración de una respuesta jurídica, que
tiene el siguiente objetivo:
121
Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos
informáticos y otros bienes de relevancia penal, cometido mediante la
utilización de las tecnologías de la información (TIC’s) con la finalidad de
garantizar la lucha eficaz contra el delito de phishing.
EL DELITO INFORMÁTICO, es el que a través de las TIC´s, procura para sí un
provecho ilícito o para otro un provecho ilícito. Mediante:
Diseño de DI
Introducción de DI
Alteración de DI
Borrado de DI
Supresión de DI
Clonación de DI
O mediante:
Interferencia en el funcionamiento de un sistema informátic
Manipulación en el funcionamiento de un sistema informático
En perjuicio de un tercero
4.4.1. Comentario
El presente artículo sanciona la afectación de datos informáticos en su interacción
con un sistema informático o la alteración del normal funcionamiento del sistema
informático para la obtención de un provecho ilícito en perjuicio de un tercero.
Ejemplos:
La clonación de tarjetas; el uso de tarjetas de crédito en una página web; el traspaso
de fondos de una cuenta bancaria a otra.
122
4.4.2. Mecanismos para la aplicación de esta reforma:
La falta de una legislación adecuada que dé seguridad al comercio electrónico; La
falta de conocimiento de los beneficios del INTERNET, y; La implementación de fibra
óptica y escaso acceso al INTERNET han conseguido que en nuestro país exista una
incertidumbre respecto a la aplicación del comercio electrónico, que solamente se ha
desarrollado con el diseño de páginas web y la publicidad de productos o servicios
que las empresas ofrecen.
Pero el pueblo ecuatoriano ha entendido que ha llegado la hora de tomar el camino
del desarrollo, y todos y cada uno de los habitantes está consciente de querer
mejores días en base del esfuerzo conjunto.
Actualmente, la elaboración de leyes sobre el delito cibernético tiene lugar
principalmente a nivel internacional, la ley que actualmente regula los mensajes de
datos, las firmas electrónicas, los servicios de certificación, la contratación
electrónica y telemática a través de redes de información, incluido el comercio
electrónico y la protección de usuarios a estos sistemas, es la Ley de Comercio
Electrónico, Firmas Electrónicas y Mensajes de Datos, donde la misma netamente se
radica en impulsar el comercio tradicional y no tradicional mediante la aplicación de
nuevas tecnologías que permiten interrelacionar a comerciantes nacionales e
internacionales, en donde menciona que las infracciones informáticas se
considerarán las de carácter administrativo y las que se tipifican mediante el Código
Penal.
El Código Penal actual, no tipifica el delito de phishing, es por eso necesario el uso
de herramientas jurídicas que validen las transacciones realizadas por medios
electrónicos son fundamentales al momento de buscar seguridad para los negocios,
y las transacciones personales que se realizan.
123
4.4.2.1 Búsqueda de respuestas a las tendencias recientes
El delito cibernético evoluciona constantemente. Cuando se elaboraron instrumentos
como la Ley de Comercio Electrónico, Firmas Electrónicas y Mensaje de Datos, los
ataques de redes zombi, el “phishing” y el uso terrorista de Internet en gran escala no
se conocían, o no tenían la importancia que tienen hoy. Por consiguiente, esos
delitos no se tratan en disposiciones específicas.
Existe la necesidad de combatir esos nuevos fenómenos, en lo que respecta al
derecho penal sustantivo, esos fenómenos pueden tratarse aplicando las
disposiciones sobre la interferencia de sistemas o la falsificación informática, la
aplicación de los instrumentos procesales contenidos en los instrumentos existentes
es mucho más difícil, especialmente porque las tecnologías y los servicios que se
ofrecen en Internet (las redes sociales, por ejemplo) han cambiado
considerablemente.
La interceptación de las comunicaciones que utilizan la tecnología VoIP, la
admisibilidad de las pruebas digitales en las causas penales, los procedimientos para
investigar los casos en que se ha utilizado tecnología de cifrado o los medios de
comunicación anónima son problemas que, pese a ser urgentes, no se están
abordando a nivel nacional.
Es importante que se estudien estos asuntos, porque los instrumentos de
investigación tradicionales no suelen servir para investigar los delitos cibernéticos.
4.4.2.2 Aplicación de la Ley
Además de necesitar instrumentos jurídicos, la aplicación de la ley depende en gran
medida de la disponibilidad de instrumentos de investigación tales como programas
informáticos forenses (para reunir pruebas, registrar las pulsaciones de teclado y
124
descifrar o recuperar ficheros suprimidos) y programas informáticos o bases de datos
de gestión de la investigación (por ejemplo, con valores “hash” para imágenes de
pornografía infantil conocidas).
4.4.2.3 Fomento de la Capacidad
El delito cibernético es un problema no sólo en los países desarrollados sino también
en los países en desarrollo.
Un mayor apoyo podría ayudar a los organismos encargados de hacer cumplir la ley
a prepararse para los delitos que puedan cometerse cuando un mayor número de
usuarios disponga de acceso de banda ancha en el mundo en desarrollo.
4.4.2.4 Capacitación
Puesto que investigar los delitos cibernéticos y enjuiciar a las personas involucradas
en ellos plantea dificultades especiales, es importante impartir capacitación a los
funcionarios encargados de hacer cumplir la ley, los fiscales y los jueces. Como se
apreció en las encuestas realizadas en el presente proyecto un gran número de
Abogados, Jueces y Usuarios de la Cámara de Comercio de Guayaquil desconocen
lo que es el delito de phishing, el cuál es uno de los tantos delitos cibernéticos que
actualmente existen.
Investigar los delitos cibernéticos y enjuiciar a sus autores es difícil para todas las
instituciones que intervienen en ello. Habida cuenta de la complejidad de la cuestión
y del constante desarrollo técnico, la capacitación sostenida y cada vez más amplia
de todas las autoridades interesadas sigue siendo un aspecto crucial.
A fin de eliminar este tipo de delitos, se debería prestarse atención a colmar las
lagunas en la legislación vigente y promover la cohesión, la coherencia y la
compatibilidad de las leyes. Habida cuenta de la
125
Importancia de armonizar la legislación, estableciendo normas en relación con la
prevención del delito y la justicia penal.
4.5 Conclusiones y Recomendaciones
4.5.1 Conclusiones
Los sujetos o personas que realizan o cometen los delitos informáticos, en este caso
específico el delito de phishing, son los Hackers o criminales informáticos, que
aprovechan sus conocimientos (experto) de la informática (redes, programación, etc.)
para utilizar la vulnerabilidad de un sistema con un fin, obtener información privada.
Del análisis realizado a los diferentes tipos de delitos informáticos, el phishing es
una actividad es sumamente lucrativa, y en la gran mayoría de legislaciones
internacionales se la considera ilegal, la misma que no se encuentra establecida en
nuestra normativa penal.
Ecuador ha dado sus primero pasos con respecto a las leyes existentes, en las que
se contemplan especificaciones de la información y la informática, lo que se
considera un avance importante ante el desarrollo tecnológico que se ha tenido en
los últimos años en el país, pero es evidente que aún falta mucho por legislar, para
asegurar que no queden en la impunidad los actos que se comentan relacionados
con las tecnologías.
Frente a esta falencia legal, hay que agregar que este tipo de infracciones son
difíciles de descubrir o perseguir, debido a que los sujetos activos actúan
sigilosamente con herramientas capaces de borrar toda huella de intrusión o de la
consumación del delito; se debe ya impulsar estos avances tecnológicos que son
realidades sociales y para las cuales los ecuatorianos estamos casi indefensos.
126
4.5.2 Recomendaciones
En el caso del delito de phishing, es considerado dentro de la categoría de los delitos
contra la intimidad personal sea que se cometa por medio de las redes sociales o a
través de cualquier medio virtual: Correos, propaganda o publicidad, el cual no está
tipificados y con alcance transfronterizo, por ende es necesario que los profesionales,
usuarios en general que utilizan medios tecnológicos, se mantengan a la vanguardia
de conocer los avances que se den de ésta índole, y de esta manera mantenerse
preparados y reaccionar de manera adecuada ante los actos cometidos por la
delincuencia informática.
Aún el camino por conseguir una ley que realmente sirva como instrumento para
combatir estas nuevas modalidades delictivas es largo, sin embargo lo importante es
la prevención, mientras más rápido se desmaterializan nuestras actividades
cotidianas, más vulnerables somos si no nos educamos.
La Fiscalía General del Estado conjuntamente con la Superintendencia de Bancos y
la Asociación de Bancos Privados del Ecuador deberían apoyar esta propuesta de
reformar al Código Penal, con el afán de combatir los delitos informáticos en las
instituciones bancarias.
Más allá del delito de phishing, existen muchos más delitos informáticos como el
pharming, phreaking, que deben ser estudiados minuciosamente, y así obtener en el
Ecuador un marco regulatorio que permita sancionar todas las clases de delitos
informáticos.
Así mismo, el sector bancario del país debería dar más seguridades a todos sus
usuarios y clientes, debido a que ellos son los más afectados por el delito informático
de phishing, por ende los bancos deberían preocuparse mucho más por dar
seguridad a sus clientes de manera obligatoria, no esperando que el usuario
127
adquiera ese beneficio a través de un valor determinado, el mismo que debe ser de
manera gratuita, ya que así lo garantiza la actual Constitución de la República del
Ecuador.
La problemática planteada debe provocar nuevas propuestas por parte de los
estudiantes de postgrado en Derecho Penal y Criminología, las mismas que deben
ser apoyadas por parte de la Universidad a través de asignación de recursos para la
investigación de esta nueva ola de delitos informáticos.
Este tipo propuestas realizadas por parte de los estudiantes de Postgrado de la
UNIANDES, deben ser consideradas por los asambleístas de nuestro país, quienes
deben realizar de manera inmediata la incorporación de estos nuevos tipos penales
con el fin de crear leyes de protección de datos, privacidad de la información, datos
personales, autenticidad de páginas, etc, con el fin de que la persona que utiliza la
tecnología para realización de actividades ya sean comerciales o no, no se
encuentren siempre perjudicadas por personas que el único uso que le dan al
conocimiento que tienen sobre la tecnología sea el daño a un tercero para su
beneficio económico.
128
BIBLIOGRAFIA
1.- Télles Valdez, J. (1996): “Derecho Informático” (Segunda Edición). Edición Mc
Graw Hill. México.
2.- Moliner Ruiz, M. (1996): “Diccionario de María Moliner” (Edición Digital).
Copyright© Novel Inc.
3.- Definición elaborada por un Grupo de Expertos (1993): Invitados por la OCDE a
París.
4.- Carrión, H. (2001): "Presupuestos para la Punibilidad del Hacking". Tesis
5.- Lima de Luz, M. (1984): “Delitos Electrónicos” (Ediciones Porrúa). México.
6.- Serrahima, Joaquim. (2010): “La Amenaza Digital”. (Editor Bresca). España-
Barcelona.
7.- Schnier, B. (2000): “SECRETS & LIES Digital Security in a Networked World”
(Editorial: John Wiley & Sons - Díaz de Santos) USA-New York.
8.- Salellas, L. (2012): "Delitos informáticos-Ciberterrorismo" (Sr Hadden Security
Consulting Group) USA-New York.
10.- Valdés Domínguez, M. (2006): "Criminalidad Informática, un fenómeno de fin de
siglo" Cuba.
11.- Miembros del Consejo de Europa y otros Estados. (2001): “Convenio de Cyber-
delincuencia”. Budapest.
12.- Sarzana, C. (1979): “Criminalitá e Tecnología en Computer Crimer Asaggna
Penitenziaria e Criminalitá”. Roma.
13.- Ramírez, G. (2006): “Informática Forense”. Publicación Universidad San Carlos
de Guatemala
129
14.- Grupo Faro (2007): “Acción Colectiva para el Bienestar Público”. Cumplimiento
de la Ley LOTAIP. Ecuador.
15.- Diario el Telégrafo. (2008): “Transparencia en la Información Pública” (Edición
N° 45119). Ecuador.
16.- BSA e IDC (2007): Business Software Alliance BSA 5to Estudio Anual Global de
la Piratería.
17.- Gil Domínguez, A. (2005): Neoconstitucionalismo y Derechos colectivos
(Edición Ediar) Argentina-Buenos Aires.
18.- Sanchis, L. (2003): “Justicia Constitucional y derechos fundamentales”. España-
Trotta.
19.- Instituto Nacional de Tecnologías de la Comunicación. INTECO (2007): “Estudio
sobre la práctica fraudulenta conocida como pishing”. España
LEGISGRAFIA
1.- Constitución de la República del Ecuador
2.- Código Penal
3.- Código de Procedimiento Civil
4.- Ley Orgánica de Transparencia y Acceso a la Información Pública.
5.- Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
6.- Ley de Propiedad Intelectual.
7.- Ley Especial de Telecomunicaciones.
8.- Ley de Control Constitucional (Reglamento Habeas Data).
130
9.- Ley Modelo sobre Firmas Electrónicas, CNUDMI – Comisión de las Naciones
Unidas para el Derecho Mercantil Internacional, 2001,
LINCOGRAFIA
1.- Seguridad de la información http://www.segu-info.com.ar/legislacion/
2.- Barry Collin: http://www.af.mil/news/Feb1998/n19980206_980156.html
3.- Dorothy E. Denning: Special Oversight Panel on Terrorism, Committee on Armed
Services, de la cámara baja estadounidense:
http://www.cs.georgetown.edu/~denning/infosec/cyberterror.html