Derecho Penal Informa tico PONTIFICIA UNIVERSIDAD CATO LICA DEL ECUA DOR
Derecho Penal Informático Una visión general del Derecho Informático en el Ecuador con énfasis en las infracciones informáticas, la informática forense y la evidencia digital Dr. Santiago Acurio Del Pino 16/05/2017
El estudio de las implicaciones de la informática en el fenómeno delictivo resulta una cuestión apasionante para quien observa el impacto de las nuevas tecnologías en el ámbito social. Efectivamente, el desarrollo y masificación de las nuevas tecnologías de la información han dado lugar a cuestiones tales como el análisis de la suficiencia del sistema jurídico actual para regular las nuevas posiciones, los nuevos escenarios, en donde se debaten los problemas del uso y abuso de la actividad informática y su repercusión en el mundo contemporáneo, en especial en el Jurídico.
Dr. Santiago Acurio del Pino
Pa gina 1
Derecho Penal Informa tico DR. SANTIAGO ACURIO DEL PINO Profesor de Derecho Informático de la PUCE Profesor de Marco Jurídico de la Seguridad de la ESPOL Juez de la Corte Provincial de Pichincha – Sala Penal
Introducción Primera Par te: Derecho e Informática 1. La Informática. ----------------------------------------------------------------1.1. Qué es la Informática. ................................................................. 1.2. Invasión de la Informática en los últimos tiempos. ........................ 1.3.- Las bases de datos o bancos de datos ........................................... 2. Relaciones entre la Informática y el Derecho. ----------------------------2.1. Informática Jurídica .................................................................... 2.1.1. Clasificación de la Informática Jurídica ............................... 2.2. Derecho Informático ................................................................... 2.2.1. Características del Derecho Informático .............................. 2.2.2. Contenido del Derecho Informático. ....................................
16 16 17 20 21 21 22 23 24 25
Segunda Par te: Aspectos legales del Comercio Telemático 1. Introducción al Comercio Telemático --------------------------------------- 29 2. Aspectos preliminares --------------------------------------------------------- 30 2.1. La revolución digital. .................................................................. 30 2.2. Concepto .................................................................................... 32 2.3. Clases de Comercio Telemático .................................................... 37 2.4. Principios reguladores del Comercio Telemático. ........................... 38 2.5. Características del Comercio Telemático. ...................................... 40 2.6. Proceso de promoción del Comercio Telemático ............................ 41 2.7. Ventajas del comercio telemático. ................................................ 41 3.- Contenido de la Ley de Comercio Electrónico del Ecuador. ------------- 42 3.1.- Introducción y ámbito de aplicación: ........................................... 43 3.2.- Los mensajes de datos. ............................................................... 43 3.3. De las firmas electrónicas, certificados de firma electrónica, entidades de certificación y organismo de promoción de los servicios electrónicos, y de regulación y control de las entidades de certificación acreditadas. .. 44 3.4. De los servicios electrónicos, la contratación electrónica y telemática, los derechos de los usuarios e instrumentos públicos. ......................... 49 3.5. De la prueba y notificacion es electrónicas .................................... 49 3.6. De Las Infracciones Informáticas ................................................. 50 3.7. Disposiciones generales ............................................................... 50 Tercera Par te: Generalidades de los Delitos Informáticos 1.- Delimitación del Fenómeno de la Delincuencia Informática. ------------ 51 Dr. Santiago Acurio Del Pino
Pa gina 2
Derecho Penal Informa tico 1.1.- Generalidades ............................................................................ 51 1.2.- Campo de acción de la criminalidad informática .......................... 52 1.2.1.- Delincuencia informática y Abuso Informático .................... 53 1.2.2.- Criminalidad informática .................................................. 53 1.3.- Definición y el concepto de Delitos Informáticos. ....................... 54 1.4.- Factor Criminógeno y Proliferación de esta clase de ilícitos ......... 59 1.4.1.- Desconocimiento de los nuevos sistemas de tratamiento de información. ...................................................................................... 60 1.4.2.- La inexistencia y precariedad de los sistemas de seguridad. . 60 1.4.3.- La Falta de leyes y normativas especiales ........................... 61 1.5.- Porque es atractivo el Delito Informático .................................... 61 2. – Sujetos del Delito Informático --------------------------------------------- 62 2.1.- Sujeto Activo ............................................................................ 62 2.1.1.- Conociendo al Enemigo ..................................................... 65 2.1.2.- Los Hackers y los Crackers ............................................... 66 2.1.2.1.- ANONYMOUS: del ciberactivismo al hactivismo. ......... 71 A.- Operación Cóndor Libre ...................................................................................................... 73 B.- Operación Justicia ............................................................................................................... 73 C.- Recomendaciones en materia de Ciberseguridad .............................................................. 73
2.1.2.2.- El EcuCERT. .............................................................. 75 Propósitos del EcuCERT ............................................................................................................ 75
2.1.3.- Motivaciones de los Delincuentes Informáticos ................... 76 2.1.4.- Triangulo de la Intrusión ................................................... 76 2.1.5.- Casos de Referencia .......................................................... 77 2.1.5.1.- Mark Abene “PHIBER OPTIK ” .................................... 77 2.1.5.2.- Wladimir Levin .......................................................... 77 2.1.5.3.- Kevin Mitnick ............................................................ 79 2.1.5.4.- Robert T. Morris ......................................................... 80 2.1.5.4.- Kevin Poulson ............................................................ 80 2.1.5.5.- CHEN ING-HAU ........................................................ 82 2.1.5.6.- Jérome Karviel ........................................................... 82 2.1.5.7.- Gary McKinnon .......................................................... 83 2.1.5.8.- Albert González .......................................................... 85 2.1.5.9.- David Kernell, alias “RUBICo” ................................... 86 2.1.5.10.- Christopher Chaney “El Hakeraczi” ............................ 86 2.2 - Sujeto Pasivo ............................................................................ 3. - Bien Jurídico Protegido ----------------------------------------------------3.1.- Los bienes jurídicos protegidos por los delitos informáticos. ........ 4. – Tipos de Delitos informáticos ----------------------------------------------4.1. - Los fraudes .............................................................................. Dr. Santiago Acurio Del Pino
87 88 89 92 92
Pa gina 3
Derecho Penal Informa tico 4.1.1.- Noción de Fraude y Defraudación. ..................................... 94 4.1.2. En cuanto al carácter “Informático ” del Fraude. ................... 95 4.1.3- Tipos de Fraudes ............................................................... 96 4.2. - El sabotaje informático: ........................................................... 100 4.3. - El espionaje informático y piratería del software: ...................... 104 4.4.- Derecho a la intimidad .............................................................. 104 4.4.1.- Contenido y alcance del derecho a la intimidad .................. 107 4.4.2. Datos personales públicos, nominativos, confidenciales, y sensibles ........................................................................................... 108 4.4.2.1.- Marco normativo ...................................................... 109 4.5. - El robo de servicios: ................................................................ 111 4.6. - El acceso no autorizado a servicios informáticos: ....................... 112 5.- Situación Internacional ----------------------------------------------------- 113 5.1.- Organización de Estados Americanos. ........................................ 117 5.2.- La Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional ................................................................ 120 5.3.- Convenio de Cibercriminalidad de la Unión Europea ................... 121 5.4.- Nuevos retos en materia de seguridad ......................................... 124 5.5.- Seguridad Informática y Normativa ............................................ 126 6.- El Delito Informático y su realidad penal en el Ecuador ---------------- 128 6.1.- Tipos de Delitos Informáticos existentes en el Código Penal anterior. - 130 6.1.1.- Delitos contra la Información Protegida: Violación de claves o sistemas de seguridad ........................................................................ 130 6.1.2.- Delitos contra la Información Protegida: Destrucción o supresión de documentos, programas. ................................................. 132 6.1.3.- Falsificación Electrónica .................................................. 133 6.1.4.- Daños Informáticos .......................................................... 133 6.1.5.- Fraude Informático .......................................................... 135 6.1.6.- Violaciones al Derecho a la Intimidad (Contravención) ...... 136 6.1.7.- Pornografía Infantil ......................................................... 136 6.1.8.- Interceptación de comunicaciones ..................................... 137 7.- Tipos Penales en el COIP --------------------------------------------------- 138 7.1.- Pornografía Infantil .................................................................. 138 7.2.- Acoso sexual “Grooming” .......................................................... 139 7.3.- Ofertas de servicios sexuales a través de medios electrónicos ...... 140 7.4.- Delitos contra el derecho a la intimidad ..................................... 140 7.5.- Estafa ...................................................................................... 141 7.6.- Aprovechamiento de servicios públicos ...................................... 142 7.7.- Apropiación fraudulenta por medios electrónicos ........................ 143 7.8.- Delitos referentes a terminales móviles y su información de identificación ................................................................................. 144 7.9.- Delitos contra la identidad ........................................................ 146 7.10.- Revelación ilegal de información en base de datos .................... 146 7.11.- Interceptación ilegal de datos ................................................... 147 7.12.- Fraude Informático y muleros .................................................. 149 7.13.- Daños Informáticos, Malware, ataques de DoS y DDoS .............. 150 Dr. Santiago Acurio Del Pino
Pa gina 4
Derecho Penal Informa tico 7.14.- Delitos contra la información pública reservada ........................ 151 7.15.- Acceso no autorizado a sistemas informáticos, telemáticos o de telecomunicaciones ......................................................................... 151 8.- Problemas de Persecución. -------------------------------------------------- 152 8.1.- Problemática con la concep ción tradicional de tiempo y espacio. . 152 8.1.1.- Principios de extraterritorialidad ...................................... 155 A.- Principio de la nacionalidad o personalidad. ....................... 155 B.- Principio de la defensa. - .................................................. 155 C.- Principio de la universalidad y justicia mundial. ................. 156 8.2. Anonimato del Sujeto Activo. ...................................................... 157 9.- Temas Pendientes ------------------------------------------------------------ 157 9.1.- Proyecto de Reforma que se propuso para que fuera incluido en el COIP --- 157 Cuar ta Par te: Investigación, Informática Forense y Evi dencia Digital 1.- Introducción ------------------------------------------------------------------ 163 2.- La Investigación y la Prueba de los Delitos Informáticos -------------- 166 2.1.- Investigación Penal ................................................................... 168 2.1.1- Características de la Investigación Penal ............................ 169 2.1.2.- Extensión del término ...................................................... 171 2.2.- Rol del Sistema Informático en el ITER CR IMINIS ..................... 172 2.2.1.- Hardware o Elementos Físicos .......................................... 173 2.2.2.- Información .................................................................... 173 3.- Las Ciencias Forenses ------------------------------------------------------- 174 4.- La Informática Forense ----------------------------------------------------- 175 5.- Evidencia Digital ------------------------------------------------------------ 177 5.1.- Fuentes de la Evidencia Digital ................................................. 178 5.1.1.- Incautación de Equipos Informáticos o Electrónicos ........... 180 5.1.1.1.- Derechos a tener en cuenta durante la incautación y registro de equipos tecnológicos. ............................................................. 181 5.1.1.2.
Interceptación de Comunicaciones ............................. 182
5.1.2.- Teléfonos inalámbricos, celulares, inteligentes, Cámaras Digitales ........................................................................................... 184 5.1.3.- Máquinas de Fax .............................................................. 186 5.1.4.- Dispositivos de Almacenamiento ....................................... 186 5.2.- Evidencia Digital Constante y Volátil ......................................... 186 5.3.- La Dinámica de la Evidencia ..................................................... 187 6.- Relevancia de la Evidencia Digital el Proceso Penal Ecuatoriano ----- 190 6.1.- Entendimiento de la Evidencia Digital ........................................ 190 6.2.- Relevancia y Admisibilidad de la Evidencia Digital .................... 192 6.3.- Legislación Procesal ................................................................. 204 6.3.1.- Código de Procedimiento Penal ........................................ 204 6.3.2.- Normas del Código Orgánico Integral Penal ...................... 207 6.4.- Valides de la Evidencia Digital (Código Orgánico Integral Penal, Le y de Comercio Electrónico y Código Orgánico de la Función Judicial) ... 212 Dr. Santiago Acurio Del Pino
Pa gina 5
Derecho Penal Informa tico 7.- Claves para hacer efectivo el Testimonio experto. ----------------------- 215 7.1.- Primer paso: Calibrar el nivel de conocimientos del Fiscal en temas de Delitos Informáticos. ....................................................................... 216 7.2.- Segundo Paso: discutir el caso con el Fiscal. .............................. 217 7.3.- Tercer Paso: Calibrar a la Defensa. ............................................ 217 7.4.- Cuarto Paso: Revisar los Informes ............................................. 218 7.5.- Quinto Paso: Preséntese usted mismo como un testigo confiable. . 218 7.5.1.- Examinación Directa ........................................................ 218 7.5.2.- El contra examen ............................................................. 219 7.6.- Sexto Paso: Que el árbol no les impida ver el bosque. ................. 220 7.7.- Corolario ................................................................................. 220 8.- Roles en la Investigación --------------------------------------------------- 221 8.1.- Peritos Informáticos .................................................................. 223 9.- Incidentes de Seguridad ----------------------------------------------------- 227 9.1.- Amenazas deliberadas a la seguridad de la información ............... 230 9.2.- Ataques pasivos ........................................................................ 232 9.3.- Ataques activos ........................................................................ 232 10.- Procedimiento de Operaciones Estándar --------------------------------- 233 10.1.- Investigación en la Escena del Delito. ...................................... 235 10.2.- Reconstrucción de la Escena del Delito .................................... 237 11.- Fases de la Investigación Forense. --------------------------------------- 238 11.1.- Recolección ............................................................................ 238 11.2.- Preservación ........................................................................... 238 11.3.- Filtrado .................................................................................. 238 11.4.- Presentación ........................................................................... 239 12.- Metodología de búsqueda y resguardo de la Evidencia Digital ------- 239 12.1.- Introducción ........................................................................... 239 12.2.- Metodología de procesamiento de Evidencia ............................. 241 12.3.- Análisis en profundo ............................................................... 243 12.3.1.- Identificación de los medios digitales .............................. 244 12.3.2.- Minimizar la escena priorizando los dispositivos de almacenamiento relevantes ................................................................. 245 12.3.3.- Recolectar todos los dispositivos de medios digitales ....... 245 12.3.4.- Asegurar los dispositivos de medios digitales .................. 245 12.3.5.- Se debe jalar el cable de poder o no se debe hacerlo ......... 245 12.4.- Enfoque progresivo de búsqueda y recuperación de la evidencia digital ............................................................................................ 246 13.- Manual de Manejo de Evidencias Digitales y Entornos Informáticos 249 14.- Rastreo del Correo Electrónico ------------------------------------------- 251 14.1.- ¿Por dónde va un correo electrónico? ....................................... 252 14.2.- Encabezamientos del Correo Electrónico .................................. 254 14.2.1.- Direcciones IP y Nombres de Dominio ............................ 254 14.2.1.- Encabezado General ....................................................... 257 14.2.2.-Encabezado Técnico ........................................................ 258 14.3.- Para que puede ser usado el correo electrónico .......................... 259 14.3.1.- Como instrumento: ......................................................... 259 14.3.2.-Como objeto del delito .................................................... 259 Dr. Santiago Acurio Del Pino
Pa gina 6
Derecho Penal Informa tico 14.3.3.- Como medio de prueba: .................................................. 259 15.- Glosario de Términos: ----------------------------------------------------- 260 16.- Bibliografía ----------------------------------------------------------------- 263
Dr. Santiago Acurio Del Pino
Pa gina 7
Derecho Penal Informa tico
Introduccion “Si Ud. piensa que la tecnología puede resolver sus problemas de seguridad, entonces Ud. no entiende los problemas de seguridad y tampoco entiende la tecnología” SCHNEIER
Investigar el delito desde cualquier perspectiva es una tarea compleja; de eso no hay duda. Las dificultades que surgen al tratar de aplicar el método científico a la delincuencia t ransnacional y al crimen organizado en buena parte ya fueron establecidas en estudios anteriore s, pero enfrentar este tipo de delincuencia a todo nivel es la tarea a la que se ve avocada la Fiscalía General del Estado por mandato constitucional y por disposición legal. Ahora bien, el fenómeno descrito en los últimos tiempos ha tenido un avance significativo tomando en cuenta la manifestación de la globalización, la cual no solo ha tenido beneficios, sino también ha contribuido a la masificación de esta clase de delitos y tecnificad o a otra clase de ilícitos cómo son los llamados delitos Informáticos o cibercrimenes. Como escribe Albanese , citado por Carlos Resa 1, "el crimen organizado no existe como tipo ideal, sino como un “grado” de actividad criminal o como un punto del 'espectr o de legitimidad ". En este contexto es el crimen organizado que a través de los años se ha ido transnacionalizando su ac tividad y por ello se habla de delincuencia t ransnacional. Dentro de esta definición de crimen organizado, la gama de actividades que puede ejecutar un determinado grupo de crimen organizado puede ser extensa, variando en cada caso según diversas variables internas y externas a la organización, y combinar uno o más mercados, expandiéndose asimismo por un 1 RESA NESTARES CARLOS : Crimen Organizado Transnacional: Definición, Causas Y Consecuencias, Editorial Astrea, 2005.
Dr. Santiago Acurio Del Pino
Pa gina 8
Derecho Penal Informa tico número más o menos limitado de paí ses, aunque en tiempos recientes existe una fuerte tendencia a la concentración empresarial en cada vez menos grupos de un mayor número de campos de la ilegalidad. Su repertorio de actividad es incluye el delito de cuello blanco y el económico (en donde se encontrarían los Delitos Informáticos), pero supera a éste último en organización y control, aunque los nexos de unión entre ambos modelos de delincuencia tienden a fusionarse y el terrorismo y el ciberterrorismo pueden llegar a formar parte de sus accione s violentas en ciertas etapas o momentos. En un inventario amplio, las actividades principales de las organizaciones criminales, en suma, abarcan la provisión de bienes y servicios ilegales, ya sea la producción y el tráfico de drogas, armas, niños, órgano s, inmigrantes ilegales, pornografía infantil, materiales nucleares, el juego, la usura, la falsificación, el asesinato a sueldo o la prostitución; la comercialización de bienes lícitos obtenidos por medio del hurto, el robo o el fraude, en especial vehícu los de lujo, animales u obras de arte , el robo de identidad, duplicación de tarjetas de crédito ; la ayuda a las empresas legítimas en materias ilegales, como la vulneración de las normativas medioambientales o laborales; o la utilización de redes legales p ara actividades ilícitas, como la gestión de empresas de transporte para el tráfico de drogas o las inversiones inmobiliarias para el blanqueo de dinero. Entre aquellas organizaciones que pueden considerarse como típicamente propias del crimen organizado, practicando algunas de estas actividades, se encuentran, dentro de un listado más o menos extenso, las organizaciones dedicadas casi exclusivamente al tráfico de drogas a gran escala, ya sean propias de los países europeas o se generen en países latinoamer icanos, del sudeste y el sudoeste asiático, la Mafia italiana en su proceso de expansión mundial que ya se inició hace décadas, las YAKUZA japonesas, las TRIADAS chinas y, en última instancia, ese magma que constituye el crimen organizado en Rusia y en otros países del Este europeo , y ahora existo otro grupo que ha entrado a la escena del crimen organizado transnacional son los llamados CRAKERS, los verdaderos piratas informáticos, que a través del cometimiento de infracciones informáticas, han causado la p erdida de varios millones de dólares, a empresas, personas y también a algunos estados. Ahora en bien en el tema que nos interesa, en la actualidad las computadoras se utilizan no solo como herramientas auxiliares de apoyo a diferentes actividades humanas , sino como medio eficaz para obtener y conseguir información, lo que las ubica también como un nuevo medio de comunicación. Según el diccionario de la Real Academia de la Lengua Española, informática es el “conjunto de técnicas empleadas para el tratamien to automático de la información por medio de sistemas computacionales ”. La informática y la TICS 2 están hoy present es en casi todos los campos 2 Las siglas TICS significan “tecnologías de la información y comunicación”; es decir que esto se relaciona con toda la tecnología como la radio, la televisión, computadora, internet, correo electrónico, etc. también es un instrumento y proceso utilizado para así poder recuperar, almacenar, organizar, manejar, producir, presentar e intercambiar información por medios electrónicos. Las TICS tienen la principal función en el manejo de la información y el desarrollo de la comunicación. Ya que nos permiten actuar sobre cierta información y generar un mayor conocimiento e inteligencia. Pueden abarcar distintos ámbitos de la experiencia humana. Podemos encontrarlas en todas partes como: el trabajo, las formas de estudiar,
Dr. Santiago Acurio Del Pino
Pa gina 9
Derecho Penal Informa tico de la vida moderna. Con mayor o menor rapidez todas las ramas del saber humano se rinden ante los progresos tecnológicos, y comienzan a utilizar los sistemas de información, para ejecutar tareas que en otros tiempos realizaban manualmente. Vivimos en un mundo que cambia rápidamente. Antes, podíamos tener la certeza de que nadie podía acceder a información sobre nuestras vidas privadas. La información era solo una forma de llevar registros. Ese tiempo ha pasado, y con él, lo que podemos llamar intimidad 3. La información sobre nuestra vida personal se está volviendo un bien muy cotizado por las compañías del merca do actual. La explosión de las industrias computacionales y de comunicaciones ha permitido la creación de un sistema, que puede guardar grandes cantidades de información de una persona y transmitirla en muy poco tiempo. Cada vez más y más personas tienen acceso a esta información, sin que las legislaciones sean capaces de regularlos , ahora se encuentran en e l debate el derecho al olvido, el alcance de la red profunda y donde están alojados nuestros datos dentro de la llamada nube . Los progresos mundiales de las computadoras, el creciente aumento de l a capacidad de almacenamiento y procesamiento, la miniaturización de los chips de las computadoras instalados en productos industriales, la fusión del proceso de la información con las nuevas tecnologías de com unicación, así como la investigación en el campo de la inteligencia artificial, ejemplifican el desarrollo actual definido a menudo como la “era de la información ” 4, a lo que con más propiedad, podríamos decir que más bien estamos frente a la “E RA DE L A I N F O RM Á T I C A ”. Y actualmente en la llamada “Sociedad de la Información ”. Las enormes potencialidades que se abren para el tratamiento automatizado de datos, tienen un reverso que son los riesgos que se introducen para la facilitación de hechos criminógenos, hacen que algunos autores denominen a estas acciones como delitos de riesgo informático y de la información 5. Es decir, la informática se presenta como un factor criminógeno, pues permite el acceso y manejo de bases de datos, programas de cualquier género de forma lesiva para los intereses básicos de las personas y de la sociedad, siendo más costosa la averiguación del autor y de la prueba de los hechos esto debido a la naturaleza de
las modalidades para comprar y vender, los trámites, el aprendizaje y el acceso a la salud, entre otros. Tomado de http://tecnoblogytics.bligoo.com.mx/concepto -y-caracteristicas -de-las-tics#.VykmWYThDIU 3 Intimidad es un derecho perteneciente a la personalidad del hombre, es inherente a la calidad de ser humano, y comprende no solo el derecho a estar solo sino también todas aquellas manifestaciones de la personalidad individual, laboral y familiar, cuyo co nocimiento o desarrollo quedan reservadas a su titular, las cuales no pueden quedar expuestas, sin razones legítimas, a la curiosidad ajena, a la indiscreción o a la publicidad ya sea de terceras personas o del propio Estado. El Autor. 4 Algunos autores se han referido al proceso de desarrollo de la influencia la tecnología informática como la «segunda revolución industrial» que sus efectos pueden ser aún más transformadores que los de la industrial del siglo XIX. Referencia Ulrich Sieber, “Documentación Pa ra Aproximación Al Delito Informático”, publicado en Delincuencia, Editorial. PPU, Barcelona, España, 1992, Pág. 65. 5 Sobre este asunto Enrique Rovira del Canto manifiesta: “ podemos afirmar que la existencia del delito
informático como manifestación globa l y genérica de la criminalidad informática, es originada por el riesgo propio del uso y utilización de la informática y de la información en nuestra actual sociedad ”. Delincuencia Informática y Fraude Informático de la Editorial COMARES
Dr. Santiago Acurio Del Pino
Pa gina 10
Derecho Penal Informa tico procedimiento informático 6. Efectivamente, abordar el estudio de las impl icaciones de la informática en el fenómeno delictivo resulta una cuestión apasionante para quien observa el impacto de las nuevas tecnologías en el ámbito social. Efectivamente, el desarrollo y masificación de las nuevas tecnologías de la información han d ado lugar a cuestiones tales como el análisis de la suficiencia del sistema jurídico actual para regular las nuevas posiciones, los nuevos escenarios, en donde se debaten los problemas del uso y abuso de la actividad informática y su repercusión en el mund o contemporáneo. Es por esta razón, que paralelamente al avance de la tecnología informática y su influencia en casi todas las áreas de la vida social, han surgido una serie de comportamientos disvaliosos antes impensables y en algunos casos de difícil tipificación en las normas penales tradicionales, sin recurrir a aplicaciones analógicas prohibidas por el principio de legalidad. El llamado principio de legalidad o tipicidad según el tratadista italiano A L E S S A N D R O B A R AT TA 7, en su análisis de un derecho p enal mínimo, lo sistematiza en los siguientes términos:
1.-
RESERVA DE LEY O LEGALIDAD EN SENTIDO ES TRICTO. Se debe reubicar a la pena dentro del ámbito y bajo el control de la ley, de esta manera, se limita la función punitiva sólo a las acciones previstas por la ley como delito, atendiendo al ya consagrado: “ NULLA POENA SINE LEGE”. Por consiguiente, el único órgano apto para crear delitos es el legislativo. 2.- TAXATIVIDAD . La pena es aplicable sólo en los casos que señala la ley, la que debe definir todos los elementos descriptivos y normativos conducentes a su aplicación. Se excluye así la interpretación analógica de la norma penal, que debe ser expresamente prohibida por la ley. Exige asimismo que la técnica legislativa sea de tal manera perfecta que conduzca a una clara aplicación de las normas de parte del órgano judicial, que no exija apreciaciones subjetivas o reenvíos a valoraciones sociales, ni se traduzca en cláusulas generales. 3.- IRRETROACTIVIDAD. Supone la no aplicación de penas o sus equivalentes, ni d e cualquier condición que agrave la situación del imputado, que no haya sido prevista por la ley con anterioridad a la comisión del hecho. Principio que comprende al sistema procesal y al de ejecución, a fin de asegurar la previsibilidad de las consecuenci as negativas de la realización de una determinada conducta. 4.- PRIMADO DE LA LEY PE NAL SUSTANCIAL. Este principio impide superar las restricciones previstas taxativamente por la ley penal, respecto 6 MATA Y MARTIN RICARDO, Delincuencia Informática y Derecho Penal, EDISOFER, Madrid 2001. 7
BARATTA Alessandro: “Derecho Penal Mínimo” Editorial Temis S.A. Santa Fe de Bogotá, Colombia, 1999
Dr. Santiago Acurio Del Pino
Pa gina 11
Derecho Penal Informa tico del sujeto de que pueda ser sospechoso, imputado o condenado. Proscribe la aplicación de hecho o de derecho, por los órganos de policía, procesales o de ejecución, de medidas que vulneran sus derechos que no sean estrictamente necesarias para la correcta y segura aplicación del derecho penal sustancial. Entre sus co nsecuencias están la tutela de los derechos de libertad frente a los órganos del Estado, la consagración de los derechos del imputado, procesado y condenado, la independencia e inamovilidad de los jueces penales, el respeto del principio de la prueba y la limitación de las consecuencias negativas para el imputado en la definición de la verdad procesal, la limitación del poder disciplinario de los órgan os propuestos para la ejecución, y finalmente la proscripción del derecho penal de autor. 5.- PRINCIPIO DE LA REPRESENTACIÓN POPULAR. Exige que al momento de generarse el órgano legislativo (único legitimado para crear tipos) se hayan respetado los presupuestos mínimos de un Estado de Derecho en cuanto a la representatividad de los distintos sectores políticos y sociales, asimismo, al momento de generarse la norma, debe haber un funcionamiento regular de la asamblea legislativa, que asegure a la comunidad su legitimidad. Por ello para la tipificación de los llamados delitos informáticos es necesaria la aplicación d el principio de legalidad en el marco del derecho penal mínimo como señala nuestra Constitución, tomando en consideración la necesaria protección de los derechos humanos y el principio de lesividad. De otro lado, l a doctrina ha denominado a este grupo de comportamientos, de manera genérica, «delitos informáticos, criminalidad mediante computadoras, delincuencia informática, criminalidad informática ». En efecto, tratándose del sistema punitivo, se ha suscitado una ingente discusión en cuanto a la vocación de los tipos existentes para regir las nuevas situaciones, que el uso y abuso de los sistemas computacionales han logrado con los llamados delitos informáticos o también llamada criminalidad informática. Lo anterior tiene especial relevancia si consideramo s los principios informadores del derecho penal, los que habrán de tenerse a la vista en todo momento. En efecto, no basta en este caso la “intuición ” en cuanto a que se estima que una determinada conducta podría ser punible, el derecho penal exige una sub sunción exacta de la conducta en la norma penal para que recién se esté en presencia de un “hecho que reviste carácter de delito ” 8, que autoriza su investigación. En nuestro país nos encontramos con que el ordenamiento jurídico en materia penal, no ha av anzado en estos últimos tiempos a diferencia de otras legislaciones, para darnos cuenta de esto simplemente debemos recordar que nuestro anterior código penal era del año de 1938 y que de esa fecha a la actualidad han pasado más de 70 años, hasta la resien te promulgación del Código Orgánico 8 DONOSO ABARCA, Lorena, Análisis del tratamiento de las figuras Relativas a la Informática tratadas en el título XIII del Código Penal Español de 1995.
Dr. Santiago Acurio Del Pino
Pa gina 12
Derecho Penal Informa tico Integral Penal. Es de destacar que en nuestro país los delitos informáticos aparecieron con la reforma al Código Penal por parte de la Ley de Comercio Electrónico del año 2002, con dicha reforma se incluía en el catálogo penal delitos como el fraude informático mal llamado “apropiación ilícita ”, la falsificación informática, el acceso no autorizado a sistemas de información, la utilización de datos personales sin autorización legal, los daños informáticos y una contraven ción referente al derecho a la intimidad. Con el COIP actualmente los operadores de justicia ya pueden enfrentar a la llamada criminalidad informática ya que los tipos penales tradicionales en alguna medida ya han sido remozados y actualizados para consol idar la seguridad jurídica en el Ecuador, ya que el avance de la informática y su uso en casi todas las áreas de la vida social, posibilita, cada vez más, el uso de la computación como medio para cometer delitos. Esta clase de conductas reprochables result aban en la mayoría de los casos impunes como el caso de la posesión de pornografía infantil o el ciberacoso, que no se encontraba regulada en el Código Penal anterior. También hay que tomar en cuenta que muchos de los operadores de justicia no se encuentr an preparados para enfrentar esta clase de criminalidad debido a la falta de conocimiento y preparación, además no poseen las herramientas adecuadas para investigar y perseguir esta clase de infracciones. En este orden de ideas, y al verse la posibilidad , que por medio del uso indebido de los sistemas informáticos o telemáticos se dé paso a la manipulación de sistemas de hospitales, aeropuertos, parlamentos, sistemas de seguridad, sistemas de administración de justicia, etc. También puede suceder que este tipo de conductas se cometan por negligencia, es decir cuando por ejemplo una persona encargada de verificar la seguridad de un sitio web o de un sistema informático, señala que no existe defecto alguno en el mismo, y posteriormente un atacante se aprovecha de alguna vulnerabilidad en dicho sistema o sitio web, logrando una intromisión efectiva, la misma que podría haberse evitado, con la debida diligencia del encargado de verificar la seguridad. Lo dicho, nos permite imaginar incontables posibilidades de ejecución y de comisión por omisión de conductas delictivas de distintas características, por eso es necesario que la Fiscalía General del Estado 9 en cumplimiento de su deber constitucional y legal instruya y facilite las herramientas necesarias a los Fisc ales Provinciales, Fiscales y personal de a poyo a fin de combatir esta clase de comportamientos delictivos que afectan directamente a la sociedad ecuatoriana en su co njunto, en especial al Sistema Especializado Integral de Investigación, de Medicina Legal y Ciencias Forenses 10. 9 La Fiscalía General del Estado, como institución debe asimilar el uso de los nuevos sistemas de comunicación e información (Internet, correo electrónico), las bases de datos, las nue vas tecnologías de la información y las comunicaciones, y el documento electrónico o mensaje de datos, como herramientas en la investigación de los delitos no solamente informáticos. 10 A r t . 4 4 8 d e l C ó d i g o I n t e g r a l P e n a l . E s l a e n t i d a d q u e p r e s t a r á s e r v i c i o s e s p e c i a l i z a d o s d e a p o y o t é c n i c o y científico a la administración de justicia.
Dr. Santiago Acurio Del Pino
Pa gina 13
Derecho Penal Informa tico Esta dependencia de la Sociedad de la Información 11 a las nuevas tecnologías de la información y de las comunicaciones ( TICS), hace patente el grave daño que los llamados delitos informáticos o la delincuencia informática pueden causar a nuestro nuevo estilo de vida, la importancia que cobra la seguridad con la que han de contar los equipos informáticos y las redes telemáticas con el fin de poner obstáculos y luchar con dichas conductas delictivas, y la necesidad de tipificar y reformar determinadas conductas, a fin de que esta sean efectiva y positivamente perseguidas y castigadas en el ámbito penal. Es en este orden de cosas que Augusto Bequai 12, en su intervención sobre los Crímenes relacionados con las computadoras en el Consej o de Europa señala que: “Si prosigue el desorden político mundial, las redes de cómputo globales y los sistemas de telecomunicaciones atraerán seguramente la ira de terroristas y facinerosos. … Las guerras del mañana serán ganadas o perdidas en nuestros centros de cómputo, más que en los campos de batalla. ¡La destrucción del sistema central de una nación desarrollada podría conducir a la edad del oscurantismo! … En 1984, de Orwell, los ciudadanos de Oceanía vivían bajo la mirada vigilante del Hermano Grand e y su policía secreta. En el mundo moderno, todos nos encontramos bajo el ojo inquisidor de nuestros gigantes sistemas computacionales. En occidente, la diferencia entre el Hermano Grande y nuestra realidad es la delicada fibra política llamada democracia ; de colapsarse ésta, el edificio electrónico para una implantación dictatorial ya existe. … La revolución de la electrónica y la computación ha dado a un pequeño grupo de tecnócratas un monopolio sobre el flujo de información mundial. En la sociedad infor matizada, el poder y la riqueza están convirtiéndose cada vez más en sinónimos de control sobre los bancos de datos. Somos ahora testigos del surgimiento de una elite informática”. La reseña casi profética hecha por Bequai, es una visión aterradora que de lo que podría suceder y de hecho está sucediendo en estos momentos, por lo tanto, si los países y las naciones no se preparan adecuadamente para contrarrestar a la criminalidad info rmática, podrían sucumbir ante el avance incontrolable de este fenómeno. A este respecto el Profesor español Miguel Ángel Davara señala que: “La intangibilidad de la información como valor fundamental de la nueva sociedad y bien jurídico a proteger; el desvanecimiento de teorías jurídicas tradicionales como la relación entre acción, tiempo y espacio; el anonimato que protege al delincuente informático; la dificultad de recolectar pruebas de los hechos 11 E s u n a s o c i e d a d e n l a q u e l a c r e a c i ó n , d i s t r i b u c i ó n y m a n i p u l a c i ó n d e l a i n f o r m a c i ó n f o r m a n p a r t e importante de las actividades culturales y económicas, es decir es un estadi o del desarrollo social caracterizado por la capacidad de los ciudadanos, el sector público y el empresarial para compartir, generar, adquirir y procesar cualquier clase de información por medio de las tecnologías de la información y la comunicación, a fin de incrementar la productividad y competitividad de sus miembros, y así reducir las diferencias sociales existentes contribuyendo a un mayor bienestar colectivo e individual. 12 C O M I S I O N D E L A S C O M U N I D A D E S E U R O P E A S . D e l i t o s r e l a t i v o s a l a s C o m p u t a d o r a s . B r u s e l a s , 21.11.1996 COM (96) 607 final.
Dr. Santiago Acurio Del Pino
Pa gina 14
Derecho Penal Informa tico delictivos de carácter universal del delito informáti co; las dificultades físicas, lógicas, y jurídicas del seguimiento, procesamiento y enjuiciamiento en estos hechos delictivos; la doble cara de la seguridad, como arma de prevención de la delincuencia informática y, a su vez, como posible barrera en la col aboración con la justicia. Todas ellas son cuestiones que caracterizan a este nuevo tipo de delitos y que requieren –entre otras - respuestas jurídicas. Firmes primeros pasos ya que se están dando a niveles nacionales, quedando pendiente una solución univer sal que, como todo producto farmacológico que se precie, se encuentra en su fase embrionaria de investigación y desarrollo ” 13. Nuestro país en este sentido no puede quedar a la saga de los otros países y debe empezar a tomar todas las acciones y todas las medidas necesarias, y prepararse para el futuro y así no quedar al margen de situaciones que podrían en forma definitiva terminar con la sociedad de la información ecuatoriana, en este sentido el presente trabajo pretende ser un aporte a la escasa o inexis tente doctrina, que en el campo del derecho informático y especial del derecho penal informático existe en nuestro país .
13 D A V A R A , M i g u e l Á n g e l , F a c t B o o k d e l C o m e r c i o E l e c t r ó n i c o , E d i c i o n e s A r a z a n d i , S e g u n d a E d i c i ó n . 2 0 0 2 .
Dr. Santiago Acurio Del Pino
Pa gina 15
Derecho Penal Informa tico
Primera Parte: Derecho e Informatica 1. La Informática. 1.1. Qué es la Informática. La palabra informática proviene del francés informatique (“información”) y de automatique (“automática”) y puede definirse como “el conjunto de conocimientos científicos y de técnicas que hacen posible el tratamiento automático de la información por medio de computadoras. La informática combina los aspec tos teóricos y prácticos de la ingeniería, electrónica, teoría de la información, matemáticas, lógica y comportamiento humano 14.” Esta palabra apareció por primera vez en Francia y fue acuñada por Philippe Dreyfus en 1962, posteriormente en 1966, la Academia Francesa de la Lengua aprobó un concepto de informática, que hoy es generalmente aceptado. Se define la informática como “la ciencia del tratamiento sistemático y lógico, especialmente por medio de máquinas automáticas, de la información, entendid a por ésta como el soporte de los conocimientos y de las comunicaciones humanas en su contexto económico social .” Para Daniel Altmark la informática es concebida en términos amplios, como “la ciencia que estudia y tiene como objeto el tratamiento automati zado o electrónico de la información 15.” También cita - el autor mencionado -, el concepto adoptado por el Centre de Recherches Informatiques et Droit des Facultés Universitaires de Namur , al decir que “son los aspectos de la ciencia y la tecnología esp ecíficamente aplicables al tratamiento de la información y, en particular, al tratamiento automático de datos”. En un sentido similar Guastavino entiende por informática “el tratamiento automático de la información a través de elaboradores electrónicos basados en las reglas de la cibernética ” 16, y define a esta última como la rama de la ciencia que estudia los sistemas de control y especialmente de autocontrol en organismos y máquinas. Para Orlando Solano, la Informática es “una teoría de la información qu e 14 E n c i c l o p e d i a M i c r o s o f t E n c a r t a , C o r p o r a c i ó n M i c r o s o f t 1 9 9 8 – 1 9 9 9 , T o d o s l o s D e r e c h o s R e s e r v a d o s . 15 A L T M A R K D a n i e l , L a E t a p a p r e c o n t r a c t u a l e n l o s C o n t r a t o s I n f o r m á t i c o s , e n l a p u b l i c a c i ó n I n f o r m á t i c a y Derecho: Aportes a la Doctrina Internacional, Buenos Aires Argentina, Citado Por Claudio Magliona y Macarena López, Delincuencia y Fraude Informático, Editorial Ju rídica de Chile 1999 16 G U A S T A V I N O , E l í a s P . , R e s p o n s a b i l i d a d C i v i l y o t r o s p r o b l e m a s j u r í d i c o s e n c o m p u t a c i ó n , E d i c i o n e s L a Rocca, Buenos Aires, 1987
Dr. Santiago Acurio Del Pino
Pa gina 16
Derecho Penal Informa tico la aborda desde un punto de vista racional y automático, a fin de transformar la información en símbolos y, mediante una serie de mecanismos electrónicos para aplicarla a la mayor cantidad de actividades 17.” De todas las definiciones dadas, encontramos q ue todas ellas se refieren a la información, que, según el diccionario de la Real Academia de la lengua española en su sexta acepción, nos dice que es “la comunicación o adquisición de conocimientos que permiten ampliar o precisar los que se poseen sobre u na materia determinada”. Para Vitorio Frosini, la información se puede definir sintéticamente como “la capacidad de acumulación, elaboración y distribución de la experiencia humana por medio de un lenguaje que puede ser oral, mímico o simbólico, es decir que puede valerse de las facultades humanas del oído, de la vista de la abstracción 18.” Por lo dicho anteriormente podemos decir que el hombre a través de su historia ha tenido siempre la inclinación de buscar información relevante para usarla posteriorment e. Este fenómeno no constituye un hecho nuevo, sin embargo, lo peculiar de hoy en día es la automatización que se adhiere a la información, a este respecto el escritor noruego Jon Ving nos dice “la computadora ha puesto en libertad a la información ”, ya que con las modernas tecnologías informáticas se ha logrado poner a disposición de la sociedad contemporánea un caudal inmenso de datos e informaciones, lo que ha convertido a la información como un bien primario para el hombre contemporáneo.
1.2. Invasión de la Informática en los últimos tiempos. Hoy en día enfrentan lo que se ha dado en llamar la “segunda revolución industrial ”, la revolución de lo informático. Esta nueva tecnología está remplazando algunas de las funciones intelectuales desarrolladas por el hombre. Este fenómeno constituye una transformación radical como la propia revolución del siglo XIX, que sustituyó el trabajo físico del hombre por máquinas 19. El progreso cada día más importante y sostenido de los sistemas computacionales permite hoy p rocesar y poner a disposición de la sociedad una cantidad creciente de información de toda naturaleza, al alcance concreto de millones de interesados y de usuarios. Las más diversas esferas del conocimiento humano, en lo científico, en lo técnico, en lo pr ofesional y en lo personal están siendo incorporadas a sistemas informáticos que, en la práctica cotidiana, de hecho y sin limitaciones, entregan con facilidad a quien lo desee un conjunto de datos que hasta hace unos años sólo podían ubicarse luego de lar gas búsquedas y selecciones en que el hombre jugaba un papel determinante y las máquinas 17 S O L A N O B Á R C E N A S , O r l a n d o , M a n u a l d e I n f o r m á t i c a J u r í d i c a , E d i c i o n e s J u r í d i c a s G u s t a v o I b á ñ e z , Bogotá, Colombia, 1997. 18 F R O S I N I V i t o r i o , I n f o r m á t i c a y D e r e c h o , E d i t o r i a l T e m i s , B o g o t á , C o l o m b i a , 1 9 8 8 . 19 M A G L I O N A M A R K O V I C T H C l a u d i o P a ú l , L Ó P E Z M E D E L M a c a r e n a , D e l i n c u e n c i a y F r a u d e I n f o r m á t i c o, Editorial Jurídica de Chile. 1999
Dr. Santiago Acurio Del Pino
Pa gina 17
Derecho Penal Informa tico existentes tenían el rango de equipos auxiliares para imprimir los resultados. En la actualidad, en cambio, ese enorme caudal de conocimiento puede obtenerse, en segundos o minutos, y además transmitirse incluso documentalmente y llegar al receptor mediante sistemas sencillos y rápidos de operar, confiables y capaces de responder a casi toda la gama de interrogantes que se planteen a los archivos informáticos. Dada la irrupción del fenómeno en todos los ámbitos de la vida de una sociedad, es evidente que el mismo no puede quedar al margen del control del derecho que regula y da las directivas de la actividad humana en las relaciones sociales. Debemos recalcar que la i nformática esta hoy presente en casi todos los campos de la vida moderna. Es por eso que es tan importante su influencia en la vida diaria de las personas y la magnitud que tiene su progreso para el desarrollo de un país. Por tal razón hoy en día las trans acciones comerciales, la comunicación, los procesos industriales, las investigaciones, la seguridad, la sanidad, etc. son todos aspectos que dependen cada día más de un adecuado desarrollo de la tecnología informática. Puede sostenerse que hoy por hoy las perspectivas de la informática no tiene un límite previsible y que ésta aumenta cada vez más, en forma que aún puede impresionar a muchas personas. A decir de Vitorio Frosini “Con el advenimiento de la tecnología de la información, que la hizo posible la computadora. La información pasó a ser informática, tomó caracteres nuevos y ha planteado nuevos problemas sociales, económicos y jurídicos ” 20. Estos nuevos problemas que la informática ha causado y en especial los jurídicos son los que han marcado la impo rtancia que tiene ésta en el mundo contemporáneo, ya que, si miramos a nuestro alrededor, y observamos notaremos que todo funciona alrededor de la informática. En tal razón el desafío para los hombres del derecho consiste en aprehender estos problemas jurí dicos y buscar las soluciones adecuadas para las cuestiones no reguladas o con una regulación deficiente en el sistema legal vigente. En este sentido Isidoro Goldenberg 21, en su libro titulado Impacto Tecnológico y masificación social en el derecho privado sostiene que este desfase entre los instrumentos normativos y la realidad normada no es algo novedoso, por el contrario, constituye una constante en la historia del derecho, por la continua y vertiginosa movilidad de los hechos sociales que la norma debe regular. También afirma que no existe área de la juridicidad que haya permanecido incólume ante el impacto tecnológico y que la incidencia del mismo, no se verifica sólo en el derecho privado, sino que se proyecta hacia las restantes disciplinas jurídicas y también a 20 O b . C i t a 1 1 . 21 G O L D E M B E R G , I s i d o r o H . , I m p a c t o t e c n o l ó g i c o y m a s i f i c a c i ó n s o c i a l e n e l d e r e c h o p r i v a d o , L . L . 1 9 8 8 E - 872.
Dr. Santiago Acurio Del Pino
Pa gina 18
Derecho Penal Informa tico otras ciencias del campo cultural como la antropología, la sociología, la economía. Este es el panorama de este nuevo fenómeno científico -tecnológico en las sociedades modernas. Por ello ha llegado a sostenerse que la i nformática es hoy una forma de Poder Social. Las facultades y recursos que el fenómeno pone a disposición de Gobiernos y de particulares, con rapidez y ahorro consiguiente de tiempo y energía, configuran un cuadro de realidades de aplicación y de posibilidades de juegos lícito e ilícito, en donde es necesario insistimos, el derecho para regular los múltiples efectos de una situación, nueva y de tantas potencialidades en el medio social. Sin embargo, y sin desconocer aquellos beneficios que la tecnología puede proporcionar, el tratamiento computarizado de información puede llegar a constituir en algunos casos una verdadera invasión al derecho a la intimidad y demás libertades individuales relacionadas con ellas. Por tanto, a decir de Carlos Saltor, “El poder informático se refleja en el poder que tienen las computadoras de acumular información en cantidad ilimitada, sobre cualquier aspecto de la vida cotidiana. Esta información, que es proporcionada por los mismos individuos a bancos de datos públicos y privados para razones determinadas, puede ser utilizada sin autorización para fines no establecidos previamente, invadiendo así la zona de reserva del individuo y por consiguiente afectando su derecho a la intimidad ” 22. Según el tratadista peruano Luis Miguel Reyna Alfaro 23 esta situación tiene como causa tres fenómenos: 1. E L D E S A R R O L L O T E CN OL Ó GI C O . - que se manifiesta en la modernidad de sus compon entes, lo que permite unidades de hardware y s oftware más eficientes y veloces e n el manejo de la información, solo basta con ver la enorme evolución operada en unos pocos años; de los ordenadores de dimensiones macroscópicas a los ordenadores portátiles , y los llamados teléfonos inteligentes dotados de convergencia digital . 2. L A G L OB A L I ZA CI ÓN DE M E RC AD O S Y E CO N OM Í A S . - causa que ha permitido el intercambio mercantil y económico fluido y constante entre naciones geográficamente lejanas y modelos económicos dispares, en virtud del aporte de elementos como las redes de interconexión qu e permiten un intercambio comercial adecuado. 3. L A M A S I FI C A C I ÓN DE L A I NF O RM ÁT I C A .- como respuesta al enunciado fenómeno de globalización es que surge la necesidad de aplicar la informática para la obtención de eficientes resultados en materia financiera y de negocios, teniendo en cuenta que el avance tecnológico 22
S A L T O R C a r l o s , L o s B a n c o s d e D a t o s f r en t e a l d er ec h o a l a i n t i m i d a d d e l a s p e r so n a s. R e v i s t a Quinta Generación. 1998. 23 R E Y N A A L F A R O L u i s M i g u e l , F u n d a m en t o s p a r a l a pr o t ec c i ó n p en a l d e l a i n f o r m a c i ó n c o m o v a l o r e c o n ó m i c o d e l a e m pr e s a . P u b l i c a c i ó n h ec h a e n i n t e r n et en w w w . d er c h o . o r g. p e.
Dr. Santiago Acurio Del Pino
Pa gina 19
Derecho Penal Informa tico permite adquirir unidades hardware y s oftware a precios cada vez menores, encontramos que esta disciplina se viene convirtiendo más que en un lujo o un elemento accesorio, en una herramienta necesaria, en un elemento de trabajo, lo que implica su mayor utilización y por ende su m asificación, como muestra de ello podemos apreciar que se ha convertido en un importante elemento logístico de ayuda al aparato jurisdiccional, función plasmada en el COIP y el COGEP, al referirse al expediente electrónico y al uso de las TICs en la admini stración de justicia en el Ecuador. De lo dicho podemos afirmar que las modernas herramientas informáticas permiten al hombre acumular una gran cantidad de información, pero no solo eso las computadoras hoy en día pueden realizar, búsquedas sistemáticas, analizar, ordenar, sintetizar la información contenida en sus bases de datos lo que da la medida que en muy pocos segundos la computadora puede dar un perfil completo de una persona cualquiera, solamente relacionando lo que se ha dado en llamar “ D ATO S N OM I N AT I V O S 24”, los cuales son la información personal tratada por medios informáticos.
1.3.- Las bases de datos o bancos de datos Las bases o bancos de datos son el conjunto completo de ficheros informáticos que reúnen informaciones generales o temáticas, que generalmente están a disposición de numerosos usuarios. Para el tratadista argentino Carlos Alberto Villalva 25, los bancos de datos son depósitos electrónicos de datos y de información. Una base de datos tiene como objetivo principal el almacenar en forma sistemática y ordenada datos e informaciones de cualquier índole con el fin de ser recuperados posteriormente para su revisión y consulta. Los límites a la explotación de una base de datos deben estar perfectamente definidos, ya sea en un contrato o en l a ley como norma supletoria. Por tanto, el usuario de la base de datos debe estar debidamente autorizado para su uso el cual debe ser racional y honesto ya que el uso no autorizado o más allá de este puede ser considerado como una violación a los derechos autor o al Código Orgánico Integral Penal . Los bancos de datos no son un invento de la era informática. El fichero de un consultorio médico es un banco de datos. Un fichero de recetas de cocina también lo es. Se puede prescindir del concepto informático y seguirán existiendo bancos de datos. Pero entonces, cabe preguntar por qué toman tanta relevancia los 24
J I J E N A L E I V A , R e n a t o , C h i l e : P r o t ec c i ó n P en a l a l a I n t i m i d a d y l o s D el i t o s I n f o r m á t i c o s, Editorial Jurídica de Chile, 1993. 25 V I L L A L V A C a r l o s A l b e r t o , L a p r o p i e d a d I n t e l e c t u a l d e l o s B a n c o s d e D a t o s s o b r e s u s p r o p i o s d a t o s . Editorial LL, Río de Janeiro – Brasil, 1998.
Dr. Santiago Acurio Del Pino
Pa gina 20
Derecho Penal Informa tico bancos de datos en la era informática. Como ya se mencionó en líneas anteriores, el almacenamiento manual de los datos en ficheros depende necesariamente del espacio físico que se cuente, igualmente la búsqueda y recuperación de la información de forma manual es una tarea ardua y demorada. Todas esta situaciones cambian radicalmente con el uso de bases de datos informatizadas ya que por ejemplo en el tema del almacenamiento el concepto de espacio no se aplica ya que por ejemplo en un solo disco duro se pueden almacenar datos e informaciones de varias bibliotecas muy pobladas; en cuanto a la recuperación y búsqueda de la información almacenada en una base da tos informatizada es bastante rápido, por ejemplo el internet que puede considerarse como la base de datos más grande del mundo, nos permite por medio de los buscadores o navegadores localizar cualquier clase de información en cualquier parte del mundo . Se habla ahora de la web semántica, y la utilización de motores de base de datos relacionales .
2. Relaciones entre la Informática y el Derecho. Para el tratadista Argentino Federico Fumis 26, en un primer momento, hacia la década de 1970, el interés se centraba en las nuevas posibilidades de investigación y aplicación práctica que la informática ofrecía a los operadores de derecho. Con posterioridad la atención se fue desplazando sobre las nuevas perspectivas de elaboración doctrinal de los institutos ju rídicos surgidos del nuevo mundo social de las computadoras, intentando solucionar la importante y compleja problemática que el fenómeno tecnológico acarreaba. Entonces , diremos que entre la informática y el derecho existen dos tipos de relaciones. Si con cebimos la informática al servicio del derecho, como un instrumento, una herramienta, nos encontramos en el campo de la informática jurídica. En cambio, si consideramos la informática como objeto del derecho, estamos en el ámbito del derecho informático.
2.1. Informática Jurídica “En términos conceptuales entendemos por informática jurídica a la técnica interdisciplinaria que tiene por propósito la aplicación de la informática (entiéndase computadoras) para la recuperación de información jurídica, así como la elaboración y aprovechamiento de los instrumentos de análisis y tratamiento de dicha información necesarios para la toma de decisión con repercusiones jurídicas” 27. Para Guastavino 28, la informática jurídica surge cuando se aplican los instrumentos infor máticos a los fenómenos del derecho, se refiere a la informática como una avanzada herramienta técnica que proporciona auxilio y servicio a las diversas actividades relacionadas con el derecho. 26 F U M I S F e d e r i c o , I n f o r m á t i c a y D e r e c h o d e D a ñ o s , B o l e t í n H i s p a n o a m e r i c a n o d e I n f o r m á t i c a y D e r e c h o, 1998, Buenos Aires, Argentina. URL: Http//ww.ulpiano.com 27 T É L L E Z V A L D É S , J u l i o , D e r e c h o I n f o r m á t i c o , U n i v e r s i d a d A u t ó n o m a d e M é x i c o , M é x i c o , 1 9 9 1 . 28 G U A S T A V I N O , E l í a s P . , R e s p o n s a b i l i d a d C i v i l y o t r o s p r o b l e m a s j u r í d i c o s e n c o m p u t a c i ó n , E d i c i o n e s L a Rocca, Buenos Aires, 1987.
Dr. Santiago Acurio Del Pino
Pa gina 21
Derecho Penal Informa tico En sentido coincidente puede ser definida como el ámbito de l a informática al servicio del derecho, es decir como instrumento que en el ámbito del derecho permite optimizar la labor del abogado, el jurista y el juez. Esta aplicación concreta de la informática al derecho se traduce en distintas formas de captar su utilidad, lo que ha dado lugar a la subdivisión en distintas especialidades; informática jurídica documental, informática jurídica de gestión e informática jurídica decisional. 2.1.1. Clasificación de la Informática Jurídica 29 I N F O R M Á T I C A J U R Í D I CA D O CUM E NTA L : Es aquella que tiene por objeto el almacenamiento de datos (leyes, decretos, fallos judiciales, resoluciones u otros documentos jurídicos, asimismo referencias sobre éstos o información bibliográfica) y su clasificación, de acuerdo con criterios adecuados para su recuperación rápida y oportuna. I N F O R M Á T I C A J U R Í D I CA DE G E S T I ÓN : Tiene como propósito elaborar nuevos datos a partir de los que se almacenan, y presentarlos bajo una nueva forma, con el fin de cumplir necesidades o funciones jurídicas. Se orienta a la administración y control de la información de tipo jurídico. I N F O R M Á T I C A J U R Í D I CA DE CI S ORI A : Constituye el tema central desde la aparición de los computadores de quinta generación, y se refiere a la aplicación de los computadores a la mecanizació n del proceso de razonamiento jurídico. Es aquella que busca proponer o bien adoptar soluciones apropiadas para casos concretos que se introduzcan en el computador, analizando los datos de cada problema, y comparándolos con los criterios de decisión de que se haya provisto al computador. Su análisis conlleva el adentrarse en temas como la inteligencia artificial (imitación por medio de programas computacionales de algunas funciones del cerebro humano) y los sistemas expertos, es decir, programas capaces de realizar operaciones sobre una materia específica con un alto nivel de eficiencia. “Pero la idea de que un montón de chatarra electrónica adopte por sí misma decisiones que invadan el augusto privilegio humano de hacer justicia no solo parece a muchos utópica, sino además inadmisible, herética y fuente de los más grandes peligros, el primero de los cuales es la deshumanización
29 G U I B O U R G R i c a r d o A . , A L E N D E J o r g e O . , C A M P A N E L L A E l e n a M . M a n u a l d e I n f o r m á t i c a J u r í d i c a , E d i t o r i a l Astrea, 1996, Buenos Aires, Argentina .
Dr. Santiago Acurio Del Pino
Pa gina 22
Derecho Penal Informa tico del derecho y la actividad jurídica ” 30. En este sentido el jurista italiano Antonio Martino nos explica que esta parte de la inf ormática jurídica comienza a ocuparse del campo de la toma de decisiones de los operadores jurídicos, con el auxilio de estos “sistemas expertos”, no siendo necesario que el sistema tome la decisión, puede ser simplemente - como generalmente lo es - una ayuda a la decisión que se puede dar en varios planos y en varios ámbitos. Esto mismo ha llevado a que la informática decisoria se presente como una colección de métodos medios y propuestas para auxiliar al juez o jurista en su tare a, antes que para remplaz arlos.
2.2. Derecho Informático La verdad es que, como se ha dicho, entre derecho e informática existen dos grandes tipos de relaciones: la informática jurídica, ya tratada, que impli ca las ciencias de la informática aplicadas al campo de lo jurídico, y e l derecho informático que pasaremos a examinar, pero que a priori otorga la idea de regulación normativa del fenómeno informático, o mejor dicho, siguiendo al profesor peruano Salazar Cano, como la informática objeto del derecho. El autor mexicano Julio T éllez nos entrega un concepto del derecho informático, definiéndolo como: “el conjunto de leyes normas y principios aplicables a los hechos y actos derivados de la informática ” 31. El tratadista describe el contenido de su definición de derecho informático de la siguiente forma 32: En primer lugar, señala que lo configura como un conjunto de leyes , porque existen algunos ordenamientos jurídicos que aluden específicamente al fenómeno informático, de normas, en virtud de que ellas integran la política informátic a y de principios, en función de aquellos postulados emitidos por, jueces magistrados, tratadistas y estudiosos de este tema. Daniel Altmark nos entrega un concepto similar al anterior ya que define al derecho informático como el “conjunto de normas, prin cipios e instituciones que reglan las relaciones jurídicas emergentes de la actividad informática ” 33. En una misma orientación, aunque agregando a la definición un elemento teleológico y un tinte más descriptivo, Parellada lo define como “el conjunto de normas, reglas y principios jurídicos que tiene por objeto evitar que la tecnología pueda conculcar derechos fundamentales del hombre; que se ocupa de la 30 O b . C i t a a n t e r i o r . 31 O b . C i t a 1 6 32 O b . C i t a a n t e r i o r . 33 A L T M A R K D a n i e l , L a E t a p a p r e c o n t r a c t u a l e n l o s C o n t r a t o s I n f o r m á t i c o s , e n l a p u b l i c a c i ó n I n f o r m á t i c a y Derecho: Aportes a la Doctrina Internacional, Buenos Aires Argentina, Citado Por Claudio Magl iona y Macarena López, Delincuencia y Fraude Informático, Editorial Jurídica de Chile 1999.
Dr. Santiago Acurio Del Pino
Pa gina 23
Derecho Penal Informa tico regulación de lo relativo a la instrumentación de las nuevas relaciones jurídicas derivadas de la producción, uso y comercialización de los bienes informáticos, así como de la transmisión de los datos ” 34. Para los autores chilenos Huerta y Líbano el derecho informático es desde un punto de vista restringido, “aquella rama del derecho que tie ne por objeto la protección de los productos del ingenio humano, los cuales, traducidos en información automática, se convierten en bienes jurídicos de incalculable valor 35”. El profesor Hajna Riffo describe el Derecho Informático como un hecho social provocado por una realidad empíricamente observable, que es anterior y condiciona el contenido de las normas escritas que integran los textos legales. Así, caracteriza el derecho informático como “un conjunto indisoluble de normas de derecho público y de dere cho privado; por ser imperfecto, al tener normas y principios que no arrancan exclusivamente de la ciencia jurídica, sino que son inherentes a la dinámica del desarrollo tecnológico; por ser dinámico, y en consecuencia, estar en constante evolución ” 36. 2.2.1. Características del Derecho Informático 37 A) Se trata de un orden normativo particularmente nuevo si se compara con otras disciplinas jurídicas. Baste pensar en los escasos años de vida de la informática como ciencia para entender el aún más nimio desarrollo del derecho de la informática. B) Se trata de un derecho en permanente cambio. Lo anterior queda con dicionado a la propia novedad que este derecho representa, así como fundamentalmente a los avances tecnológicos de la informática y los cada vez más sofisticados sistemas de perpetración de delitos por los sujetos activos, lo que lo convierte en un derecho necesariamente evolutivo. Debido a esto, es que se presenta el problema de determi nar si se requieren normas para cada situación o tipo delicti vo, o bien, la creación de normas generales de carácter envolvente. C) Se trata de un derecho que se ubica en un sinnúmero de actividades tanto sociales como económicas, lo que lo convierte en un derecho de carácter general. D) Siguiendo al profesor Sala zar Cano, la unidad del derecho informá tico 34 P A R E L L A D A , C a r l o s A l b e r t o , D a ñ o s e n l a a c t i v i d a d j u d i c i a l e i n f o r m á t i c a d e s d e l a r e s p o n s a b i l i d a d profesional, Ed. Astrea, Buenos Aires, 1990. 35 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a C o n o Sur. 36 H A J N A R , E d u a r d o , L a E n s e ñ a n z a d e l D e r e c h o i n f o r m á t i c o e n l o s e s t u d i o s d e l D e r e c h o , p o n e n c i a presentada en el I Congreso Iberoamérica de Informática Jurídica, citado po r JIJENA LEIVA, Renato Javier, Chile, la Protección Penal de la Intimidad y el Delito Informático . 37 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a C o n o Sur.
Dr. Santiago Acurio Del Pino
Pa gina 24
Derecho Penal Informa tico proviene de la originalidad técnica que ha impuesto el fenómeno informático, para el cual, en muchos casos, las soluciones jurídicas tradicionales no tenían respuesta. E) Asimismo, es sin lugar a dudas un derec ho complejo, toda vez que se interrelaciona con el derecho económico, mercantil, civil, penal, etc. 2.2.2. Contenido del Derecho Informático. Al respecto del contenido del Derecho Informático, considero que la descripción ofrecida por los autores chilenos Claudio Magliona y Macarena López es el más adecuada para tratar esta materia, y está compuesto principalmente por los siguientes: C O N T R ATA C I ÓN I N F ORM ÁT I CA : La contratación informática, es la rama del Derecho Informático que se encarga de regular los der echos y obligaciones que provienen de los contratos informáticos en cada una de sus fases 38. Para el profesor colombiano Abelardo Rivera Llano, el contrato informático “es todo acuerdo entre las partes, en virtud del cual se creen, conserven, modifiquen o extingan obligaciones relativas a los sistemas o elementos destinados al tratamiento automatizado de la información 39” Para el tratadista argentino Pablo Barbieri, los contratos informáticos son “aquellas relaciones jurídicas contractuales suscritas entr e un proveedor y un usuario mediante las cuales el primero suministra al segundo un determinado servicio relativo a la utilización y mantenimiento de computadoras y sus programas, de conformidad con las especificaciones prácticas exigidas por el usuario y los conocimientos técnicos proporcionados por el proveedor ” 40. En nuestro concepto entenderemos por contratación informática, aquella cuyo objeto sea un bien o un servicio informático - o amboso que una de las prestaciones de las partes tenga por objeto ese bien o servicio informático.
Bienes informáticos: son todos aquellos elementos que forman el sistema (computador) en cuanto al hardware, ya sea la unidad central de proceso o sus periféricos, así como todos los equipos que tienen una relación directa de uso con respecto a ellos y que,
38 E l A u t o r 39 R I V E R A L L A N O , A b e l a r d o , D i m e n s i o n e s d e l a I n f o r m á t i c a e n e l D e r e c h o , E d i c i o n e s J u r í d i c a s R a d a r , Bogotá, Colombia. 1995. 40 B A R B I E R I P a b l o , C o n t r a t o s d e E m p r e s a , E d i t o r i a l U n i v e r s i d a d , B u e n o s A i r e s , A r g e n t i n a , 1 9 9 8 .
Dr. Santiago Acurio Del Pino
Pa gina 25
Derecho Penal Informa tico en conjunto, conform an el soporte físico del elemento informático. Asimismo, se consideran bienes informáticos los bienes inmateriales que proporcionan las ordenes, datos, procedimientos e instrucciones, en el tratamiento automático de la información y que, en su conjunto, co nforman el soporte lógico del elemento informático. Servicios informáticos: Son todos aquellos servicios que sirven de apoyo y complemento a la actividad informática en una relación de afinidad directa con ella. P R OT E C C I Ó N A L S O FT WA RE : La palabra softwa re significa soporte lógico, y son las instrucciones responsables de que el hardware (la máquina) realice su tarea. La protección del software en nuestro país se la hace mediante la Ley de Propiedad Intelectual (Ley 83) publicada en el Registro Oficial 320, del 19 de mayo de 1 998, la mima que fue reemplazada con el Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación, llamado Código Ingenios, publicado en el RO -S 899 de 9 de diciembre del 2016. T R A N S FE R E N C I A E L E CT R Ó NI C A D E F ON DO S : Son sistemas diseñados fundamentalmente para eliminar el flujo de papeles entre bancos y clientes, y para prestar servicios fuera de las oficinas bancarias. Algunos autores delimitan este campo exigiendo que para ésta se constituya intervenga un computador; otros exigen que se traslade una suma de dinero de una cuenta bancaria a otra a través de un sistema informático y mediante el uso de órdenes de crédito y débito. Se refiere al valor y los efectos jurídicos de las transferencias operadas por vía informática 41. D O C U M E N T O E L E C T RÓ NI C O O I NF O RM Á T I C O : Es la representación en forma electrónica de hechos jurídicamente relevantes susceptibles de ser presentados en una forma humanamente comprensible 42. Para Giannantonio 43 el documento electrónico es un sentido estricto, el que queda almacenado en la memoria de un computador y no puede llegar al conocimiento del hombre sino mediante el empleo de la tecnología informática, por otro lado, el documento electrónico en 41 M A G L I O N A M A R K O V I C T H C l a u d i o P a ú l , L Ó P E Z M E D E L M a c a r e n a , D e l i n c u e n c i a y F r a u d e I n f o r m á t i c o, Editorial Jurídica de Chile. 1999 42 D e f i n i c i ó n d a d a p o r E D I F O R U M . ( F o r o d e I n t e r c a m b i o E l e c t r ó n i c o d e D a t o s ) 43 G I A N N A N T O N I O , V a l o r p r o b a t o r i o d e l D o c u m e n t o E l e c t r ó n i c o . I n f o r m á t i c a y D e r e c h o , E d i t o r i a l D e P a l ma Vol. 1. Citado por GUIBOURG Ricardo A., ALENDE Jorge O., CAMPANELLA Elena M. Manual de Informática Jurídica, Editorial Astrea, 1996, Buenos Aires, Argentina.
Dr. Santiago Acurio Del Pino
Pa gina 26
Derecho Penal Informa tico sentido amplio, es el que es procesado por el computador por medio de periféricos de salida y se torna así susceptible de conocimiento por el hombre. La tecnología informática ha llevado a evolucionar el estricto formalismo jurídico basado en la preeminencia del documento escrito. 44 C O M E R C I O T E L E M Á T I C O : Es toda transacción telemática de información realizada mediante el uso de mensajes de datos, de carácter gratuito u oneroso entre dos o más personas que da como resultado una relación comercial, civil, financiera o de cualquier otra índole c onsistente en la adquisición de bienes tangibles, intangibles, o la prestación de un servicio 45. D E L I T OS I N F O R M Á T I C OS : Como señala Camacho Losa, “En todas las facetas de la actividad humana existen el engaño, las manipulaciones, la codicia, el ansia de ven ganza, el fraude, en definitiva, el delito. Desgraciadamente es algo consustancial al ser humano y así se puede constatar a lo largo de la historia 46.” Entonces el autor se pregunta ¿ y por qué la informática habría de ser diferente? De acuerdo a los autores chilenos Marcelo Huerta y Claudio Líbano definen los delitos informáticos como “todas aquellas acciones u omisiones típicas, antijurídicas y dolosas, trátese de hechos aislados o de una serie de ellos, cometidos contra personas naturales o jurídicas, real izadas en uso de un sistema de tratamiento de la información y destinadas a producir un perjuicio en la víctima a través de atentados a la sana técnica informática, lo cual, generalmente, producirá de manera colateral lesiones a distintos valores jurídicos , reportándose, muchas veces, un beneficio ilícito en el agente, sea o no de carácter patrimonial, actúe con o sin ánimo de lucro ” 47. Debo decir que con el transcurso de los años dada la necesidad especialmente con el avance de la tecnología se debe agrega r un contenido más dentro del derecho informático, en especial en el estudio de los Delitos Informáticos, como es la INFORMÁTICA FORENSE, que es parte de la criminalística, ciencia que se ocupa de la utilización de los métodos científicos aplicables a la i nvestigación de los delitos, en este caso en particular a los Informáticos donde se utiliza el análisis forense de las evidencias digitales consideradas como campos magnéticos y pulsos electrónicos que pueden ser recogidos y analizados usando técnicas y he rramientas especiales , en 44 O b . C i t a 2 1 . 45 E l A u t o r 46 C A M A C H O L O S A L u i s , E l D e l i t o I n f o r m á t i c o , M a d r i d , E s p a ñ a , 1 9 8 7 . 47 O b . C i t a A n t e r i o r .
Dr. Santiago Acurio Del Pino
Pa gina 27
Derecho Penal Informa tico fin toda información o datos que se guardan en una computadora. En conclusión, diremos que Informática Forense es “la ciencia Criminalística que se encarga de la preservación, identificación, extracción, documentación e interpretación de la evidencia digital ” 48. F L U J O D E D AT OS T R ANS F R ONT E RI ZO : Según el Consejo Económico de la Naciones Unidas (ONU), es “la circulación de datos e información a través de las fronteras nacionales para su procesamiento, almacenamiento y recup eración 49”. Todo esto, según la opinión mayoritaria de la doctrina constituye el contenido del derecho informático.
48 E l A u t o r 49 C O R R E A C a r l o s Y O t r o s , D e r e c h o I n f o r m á t i c o , c i t a d o p o r C l a u d i o M a g l i o n a y M a c a r e n a L ó p e z , Delincuencia y Fraude Informático, Editorial Jurídica de Chile 1999.
Dr. Santiago Acurio Del Pino
Pa gina 28
Derecho Penal Informa tico
Segunda Parte: Aspectos legales del Comercio Telematico 1. Introducción al Comercio Telemático La necesidad de un marco seguro de transmisión de la información fue puesta de manifiesto por primera en USA, concretamente en UTAH en 1996. El éxito de esta iniciativa provocó su incorporación al Código de Comercio de USA (Uniform Comercial Code), que estableció las bases para que las rela ciones comerciales pudieran desarrollarse en este marco. En 1997, a iniciativa de UNC ITRAL se aprobó la Ley Modelo de Comercio E lectrónico, que ha servido de base al desarrollo normativo en este ámbito. En nuestro país se usó como modelo para nuestro proye cto de Ley presentado en 1999, hasta su aprobación de forma definitiva en abril del 2002, a pesar de lo cual, en el Ecuador, los llamados negocios virtuales, recién se están desarrollando, y esto se debe principalmente a dos situaciones: 1. La carencia de in formación de los beneficios del Internet, no ha sido una política de estado durante algún tiempo; y 2. El aún escaso acceso a la red de redes por parte de toda la población del país (aunque en los últimos años ha mejorado la conectividad). En varias publicaciones se afirma que una transacción por Internet es mucho más accesible (15 veces menor tiempo) que utilizar mecanismos tradicionales como la banca y otras redes similares, pero para ello hace falta una sólida estructura legal que clarifique los pagos al m omento de comprar y vender con solo hacer un “clic” en la pantalla de su computador. El Art. 387 de la Constitución de la República , menciona en su segundo inciso que: será responsabilidad del Estado: 2.- Promover la generación y producción de conocimient o fomentar la investigación científica y tecnológica…. El Art. 16.2 de la Constitución menciona : Todas las personas, en forma individual o colectiva, tienen derecho a: El acceso universal a las tecnologías de información y comunicación. De la lectura de estos dos artículos de la C onstitución podemos inferir que, es un deber constitucional del Estado, el fomentar el avance de la ciencia y la tecnología especialmente para mejorar la productividad, y la competitividad, y una forma de lograr este objetivo es poniendo en claro las re glas del juego de los llamados negocios v irtuales, asumiendo esto como una política de Estado, así como todo lo relacionado con el Internet y la llamada Sociedad de la Información, la cual debe ser integradora y orientada al desarrollo como manifiesta el Convenio Dr. Santiago Acurio Del Pino
Pa gina 29
Derecho Penal Informa tico Mundial sobre la Sociedad de la Información y su declaración de principios 50, con el fin de que el sector p roductivo pueda incrementar su productividad y ampliar sus mercados en forma espectacular. De otro lado el acceso ubicuo a las tecnologías de la información y la comunicación es un derecho para los ecuatorianos, la mejora de la conectividad y la eliminación de la brecha digital, cada vez más nos va acercando a la llamada sociedad del conocimiento, donde la información ya no está en pocas manos, sino que, gracias a los medios masivos de comunicación, como el internet, la información está llegando a más personas.
2. Aspectos preliminares 2.1. La revolución digital. En estos últimos años hemos asistido a lo que alguna s personas han llamado como la revolución digital como se dijo en la primera parte de este texto . Esta revolución se caracteriza porque las tecnologías y el conocimiento constituyen un sistema en el que interactúan y se potencian mutuamente, logrando la creación de un nuevo activo la información, considerada esta como la capacidad de acumulación, elaboración y distribución de la experiencia humana por medio de un lenguaje que puede ser oral, mímico o simbólico, es decir que puede valerse de las facultades humanas del oído, de la vista y de la abstrac ción 51. El hombre a través de su historia ha tenido siempre la inclinación de buscar información relevante para usarla posteriormente. Este fenómeno no constituye un hecho nuevo, sin embargo lo peculiar de hoy en día es la automatización y digitalización q ue se adhiere a la información, a este respecto el escritor noruego Jon Ving nos dice “la computadora ha puesto en libertad a la información”, ya que con las modernas tecnologías informáticas se ha logrado poner a disposición de la sociedad contemporánea u n caudal inmenso de datos e informaciones, lo que ha convertido a la información como un bien primario para el hombre contemporáneo. La revolución d igital se basa en el avance y la concurrencia de tres grandes sectores: • • •
La electrónica Los programas de computador o s oftware Las telecomunicaciones
El primero de ellos, la electrónica ha contribuido en el desarrollo del equipamiento necesario para el procesamiento de la información (hardware). El software es un conjunto de programas, documentos, procedimientos, y rutinas asociados con la operación de un sistema de cómputo. Distinguiéndose de los componentes físicos llamados hardware. Comúnmente a los programas de computación se les llama softwar e; este asegura que el programa o sistema cumpla 50 V e r h t t p : / / w w w . i t u . i n t / n e t / w s i s / d o c s / g e n e v a / o f f i c i a l / d o p - e s . h t m l 51 F R O S I N I V i t t o r i o , I n f o r m á t i c a y D e r e c h o , E d i t o r i a l T e m i s , B o g o t á , C o l o m b i a , 1 9 8 8 .
Dr. Santiago Acurio Del Pino
Pa gina 30
Derecho Penal Informa tico por completo con sus objetivos, opera con eficiencia, está adecuadamente documentado, y suficientemente sencillo de operar. En este punto cabe señalar que el diseño de los programas de cómputo en los últimos tiempos, ha tenido una tendencia muy marcada, la cual la podríamos definir como el “dotar de amigabilidad ” al software y así conseguir que la interfaz entre el usuario y máquina sea lo más fácil y amigable posible, logrando así un juego intuitivo entre ambos, que le permitirá al usuario descubrir el funcionamiento y la utilidad de aplicaciones tales como los procesadores de textos, hojas de cálculo, programas de diseño, etc. Creando entonces una relación productiva y satisfactoria, la misma que con los añ os ha mejorado totalmente la interfaz de comunicaciones entre usuario y sistema informático, siendo ahora las plataformas informáticas más intuitivas que en el pasado De otro lado las telecomunicaciones han logrado la interconexión entre computadoras, posibilitando el uso y acceso en los hogares, a las modernas redes de información (como el Internet), anteriormente reservadas únicamente para grandes laboratorios, universidades y complejos militares. Con la convergencia de estos sectores se ha desarrollado la llamada revolución digital, revolución que ha generad o lo que hoy se conoce como la nueva economía del conocimiento y esta a su vez al comercio t elemático o electrónico lo que finalmente desembocara en la llamada Sociedad de la Información 52. Pero ant es de llegar a ella la sociedad se ha transformado y se ha logrado el tránsito de la sociedad industrial donde las personas vivían de los productos producidos por otros a la sociedad post -industrial donde las personas vivían de los servicios producidos por otros, actualmente en la sociedad de la información y el conocimiento la gente vive la de la información producida por otros.
52
Es una sociedad en la que la creación, distribución y manipulación de la información forman parte importante de las actividades culturales y económicas, es decir es un estadio del desarrollo social caracterizado por la capacidad de los ciudadanos, el sect or público y el empresarial para compartir, generar, adquirir y procesar cualquier clase de información por medio de las tecnologías de la información y la comunicación, a fin de incrementar la productividad y competitividad de sus miembros, y así reducir las diferencias sociales existentes contribuyendo a un mayor bienestar colectivo e individual.
Dr. Santiago Acurio Del Pino
Pa gina 31
Derecho Penal Informa tico
El desarrollo de la Sociedad de la información y la difusión de sus efectos positivos que de ella se derivan exige la general ización de la confianza de la ciudadanía en las comunicaciones telemáticas. No obstante, los datos más recientes señalan que aún existe desconfianza por parte de los intervinientes en las transacciones telemáticas y, en general, en las comunicaciones que l as nuevas tecnologías permiten a la hora de transmitir información, constituyendo esta falta de confianza un freno para el desarrollo de la sociedad de la información, en particular la administración y el comercio telemático 53. La infraestructura de la soc iedad de la información tiene como base lo que se conoce como redes de telecomunicaciones en nuestro caso el llamado Internet. El concepto de redes de telecomunicaciones va mucho más allá de lo que es Internet, extendiéndose al medio de transmisión (satéli te, radio wifi, fibra óptica, cable, etc.), al medio de recepción (computador, teléfono, televisión, etc.), a los tipos de contenidos que transmiten (audio, video, multimedia, texto) y a los objetivos que impulsan a los actores de la transmisión (ocio -entretenimiento, investigación, negocios, etc.) 54.
2.2. Concepto Antes de comenzar a reseñar los conceptos sobre e l llamado comercio telemático es necesario ubicarnos en la forma en que usualmente se hacen las cosas, dentro del comercio tradicional por ejemplo se usa como siempre la documentación sobre soporte papel y la firma manuscrita, que no es otra cosa que la estampada de puño y letra por la persona que interviniendo en la negociación, con ese acto demuestra que está conforme a lo pactado y que lo pactado con otra parte de esa negociación, es lo escrito, ni más ni menos. La necesidad de contar con un medio
53
MARTINEZ NADAL A, Comercio Electrónico, certificados y autoridades de certificación, Madrid 1998.
54
BOTANA GARCIA, Gema, Noción de Comercio Electrónico, en la obra Comercio Electrónico y protección a los consumidores, Editorial La Ley, Madrid España, 2002.
Dr. Santiago Acurio Del Pino
Pa gina 32
Derecho Penal Informa tico probatorio 55 de lo convenido torna preciso que las partes dispongan de los documentos idénticos, uno para cada una, de esa convención o contrato civil o mercantil 56. A continuación, unos conceptos básicos sobre las obligaciones y los contratos. Conceptos Básicos de Derecho Civil Obligaciones y Contratos La obligación es un vínculo jurídico que liga a dos o más personas, en virtud del cual una de ellas queda sujeta a realizar una prestación que consiste en dar, Obligación: hacer o no hacer algo, prestación que debe tener una Definición causa lícita y que, en caso de incumplimien to por alguna de las partes, pueda ser exigida por medios coercitivos. Sujetos de la relación jurídica.
Los sujetos o partes de la obligación son dos acreedores y deudores .
Elementos de la Obligación: 1) Sujetos de la relación jurídica (sujeto activo y sujeto pasivo) 2) Objeto o prestación 3) Vinculo jurídico 4) La causa.
Las partes o sujetos de la obligación han de estar determinados de manera personal y directa al establecerse el vínculo. La prestación.
Es el contenido u objeto de la obligación, y está constituida por la conducta en cuya observancia estriba el deber obligado. La prestación ha de satisfacer un interés del acreedor, digno de protección, y puede consistir en dar, hacer, o no hacer algo. Debe ser posible, absoluta, lícita, determinada y valorable en dinero. Vínculo Jurídico.
Es el ligamen o sujeción que impone al deudor la obligación contraída para que realice a favor del acreedor la prestación a la que este tiene Derecho y está destinada a satisfacer un legítimo interés, quedando así const ruida la obligación como una relación de P ER S ONA A P ER S O NA . 55
El Código Civil ecuatoriano en su artículo 1753 menciona que “Deberán constar por escrito los actos o contratos que contienen la entrega o promesa de una co sa que valga más de dos mil sucres”, y además señala que “No será admisible la prueba de testigos en cuanto adicione o altere de algún modo lo que se exprese en el acto o contrato, ni sobre lo que se alegue haberse dicho antes, al tiempo o después de su otorgamiento, aun cuando en alguna de estas adiciones o modificaciones se trate de una cosa cuyo valor no alcance a la referida suma” 56
VAZQUEZ IRUZUBIETA, Carlos, Manual de Derecho Informático, DIJUSA, Madrid, España, 2002.
Dr. Santiago Acurio Del Pino
Pa gina 33
Derecho Penal Informa tico Conceptos Básicos de Derecho Civil Obligaciones y Contratos La Causa.
La causa es la razón de ser del deber de cumplir la obligación que tiene el deudor. Si falta esta razón de ser jamás llegará a establecerse el vínculo jurídico. Fuentes de las Obligaciones El Art. 1453 del Código Civil menciona que: “Las obligaciones nacen, ya del concurso real de las voluntades de dos o más personas, como en los contratos o convenciones; ya de un hecho voluntario de la persona que se obliga, como en la aceptación de una herencia o legado y en todos los cuasicontratos; ya a consecuencia de un hecho que ha inferido injuria o daño a otra persona, como en los delitos y cuasidelitos; ya por disposición de la ley, como entre los padres y los hijos de familia ”. Este artículo hace referencia como fuentes de las obligaciones, a los contratos y convenciones, a los hechos voluntarios, a los daños y a las relaciones de familiares. Podemos decir clasificación más de las fuentes obligaciones es
que la reciente de las la que
Autonomía de la Voluntad.
Que quiere que cada uno se ligue por las promesas que haga libremente, es decir las obligaciones que nacen de los contratos y de ciertos comp romisos unilaterales derivan de la autonomía de la voluntad 58. Equivalencia.
Este principio se refiere a que nadie se enriquezca injustamente a expensas de otro, y que si se ha recibido sin causa alguna cosa en detrimento suyo le rinda el equivalente. Las obligaciones que nacen de este principio son las del pago de lo no debido y del enriquecimiento sin causa (clasificadas ordinariamente entre los cuasi contratos). Responsabilidad de las Faltas.
Este principio se refiere a que obliga a reparar el perjuicio causado a otro en virtud de culpa, de este principio se derivan los delitos y los cuasidelitos. Riesgo Creado.
Este principio exige en ciertos casos que aquél que hace actuar en provecho suyo fuerzas susceptibles de ser peligrosas, tome a su cargo los da ños que ellas puedan producir, como por ejemplo las obligaciones que obligan a un amo a reparar los daños causados por sus domésticos, a un patrono los accidentes de trabajo sufridos por los obreros. El Interés Social.
Este principio se refiere a que en a lgunos casos se
58 E l c o n t r a t o c o n s t i t u y e l a p r i n c i p a l f u e n t e d e l a s o b l i g a c i o n e s ; a s í l o c o n s i d e r a e l C ó d i g o C i v i l , e n s u Art. 2184, cuando distingue entre obligaciones que nacen de la convención y l as que nacen sin convención, es decir, entre obligaciones contractuales y las demás; y tiene tanta importancia, porque el sistema de derecho privado se ha basado en la vigencia plena del principio de libertad de contratación, consecuencia del de autonomía privada, el cual a su vez es “un aspecto del derecho de la persona al libre desarrollo de su personalidad” así lo menciona Jaime Santo Briz en su libro de Derecho Civil, sobre la Parte General
Dr. Santiago Acurio Del Pino
Pa gina 34
Derecho Penal Informa tico Conceptos Básicos propone Savatier 57, quien apunta que la ley deriva las obligaciones de cinco principios. Contrato: Definición
Elementos constitutivos del Contrato
de Derecho Civil Obligaciones y Contratos justifica la intervención de un texto legal que obligue a una persona una prestación en favor de otra. Como por ejemplo las obligaciones derivadas de las relaciones de vecindad, de la tutela, de las relaciones familiares. El Art. 1454 del Código Civil, dice que “Contrato o convención es un acto por el cual una parte se obliga para con otra a dar, hacer o no hacer alguna cosa. Cada parte puede ser una o muchas personas ”. Los elementos del contrato son de tres clases: de la esencia, de la naturaleza y accidentales; según lo manifiesta el Art. 1487 del Código Civil. De acuerdo a lo estipulado en este artículo son de la esencia del contrato “AQUELLAS COSAS SIN LAS CUALES O NO PRODUCE EFECTO ALG UNO O DEGENERA EN OTRO CON TRATO DIFERENTE ,” Ejemplo: en la compraventa, la cosa y el precio, son de la esencia. Son de la naturaleza del contrato “LAS QUE NO SIENDO DE LAS ESENCIALES EN ÉL SE ENTIENDEN PERT ENECERLE, S IN NECES IDAD DE UNA CLÁUSULA ESPECIAL”, Ejemplo: el saneamiento por evicción a que queda obligado el vendedor, porque siempre se entiende sin necesidad de una cláusula especial, también la cláusula resolutoria tácita que se encuentra en todo contrato. Son cosas accidentales del contrato “AQUELLAS QUE NI ESEN C IAL NI NATURALMENTE LE PERT ENECEN, Y QUE SE LE AGREGAN POR MEDIO DE C LÁUSULAS ESPECIALES ” Ejemplo: que el precio se pague en tal o cual moneda, al contado o a plazo, porque eso no afecta a la naturaleza del contrato el cu al pertenece el mismo con o sin esa estipulación . Para que los contratos tengan existencia en el mundo del derecho y surtan efectos legales, es necesario que concurran los elementos de la esencia, los que constituyen, pues verdaderos requisitos para la existencia y la validez de los contratos: son los elementos constitutivos del contrato. De conformidad con lo que disponen los Arts. 1461 y 1718 del Código Civil, estos elementos constitutivos son:
57 C i t a d o p o r S A N T O S B R I Z , J a i m e . D e r e c h o C i v i l , P a r t e G e n e r a l , E d i t o r i a l d e D e r e c h o R e u n i d a s S . A . , 1 9 7 8 .
Dr. Santiago Acurio Del Pino
Pa gina 35
Derecho Penal Informa tico Conceptos Básicos de Derecho Civil Obligaciones y Contratos • • • • •
Capacidad de las partes; Consentimiento libre de vicios; Objeto real y lícito; Causa real y lícita: y Solemnidades, en las especies que la ley las exige.
A decir de Fernando Hernández 59 las tecnologías a la información y la comunicación han influenciado al ordenamiento jurídico a saber: la rapidez e inmediatez de las comunicaciones; la seguridad, confidencialidad y autenticación; y el carácter transnacional de las transacciones telemátic as. Estos aspectos condicionan la eficacia y la aplicación del derecho sustantivo que rige las transacciones comerciales, de la aplicación del derecho civil de las obligaciones a los contratos telemáticos y justifican en ocasiones la necesidad de regulació n de estos aspectos, siempre tomando en cuenta los principios básicos de la libertad de contratación y el de autonomía de la voluntad de las partes. En ese orden de ideas es necesario dar un concepto claro y preciso de lo que es el comercio telemático, a fin de tener un punto de partida conceptual de lo que se ha llamado la nueva economía. En el comercio telemático las partes se sirven de programas y aplicaciones de ese carácter para llevar adelante sus negocios, sustituyendo el papel por el soporte elect rónico y la firma manuscrita por la firma electrónica. Ahora bien, precisaremos cual es el concepto de comercio electrónico. Para Renato Jijena Leiva 60 el comercio electrónico es: el intercambio telemático de información entre personas que da lugar a una r elación comercial, consistente en la entrega en línea de bienes intangibles o en un pedido electrónico de bienes tangibles. Para otros autores el concepto de comercio electrónico puede ser visto de diferentes maneras, una restrictiva: “el pago electrónico dentro de Internet, de un bien adquirido por Internet ”, una amplia, que indica que: “el comercio electrónico, es el intercambio de bienes y servicios por medios electrónicos, siendo su pago posible también por dicho medio ”, pasando por la propuesta por la WTO (Organización Mundial del Comercio): “the distribution, marketing, sale or delivery of goods and services by electronic means .” 61. 59
HERNANDEZ JIMÉNEZ-CASQUET, Fernando, El Marco Jurídico del Co mercio y la Contratación Electrónica. En Principios del Derecho de Internet, Valencia 2005, Editorial Tirant Lo Blanch. 60
JIJENA LEIVA Renato, Chile: Comercio Electrónico y Derecho, La problemática jurídica del Comercio Electrónico. Artículo Publicado en I nternet 61
IRIARTE AHON Erick, Comercio Electrónico en América Latina y el Caribe Perspectivas y realidades.
Dr. Santiago Acurio Del Pino
Pa gina 36
Derecho Penal Informa tico Para la OCDE, "el comercio telemático se refiere a transacciones comerciales, envolviendo organizaciones e individuos, b asadas en el proceso y transmisión de datos digitalizados, incluyendo texto, sonido e imágenes visuales que son transmitidas por redes abiertas como Internet o redes cerradas" . Otra definición indica que el comercio telemático es: "la capacidad para compradores y vendedores de conducir negocios y/o intercambiar informaciones en tiempo real en interacciones humanas" 62 La OMC (Organización Mundial de Comercio) define al Comercio Telemático como: "La distribución, comercialización, venta o entrega de bienes y servicios por medios electrónicos" 63 En la Ley de Comercio Electrónico de nuestro país en su glosario de términos encontramos la definición de comercio electrónico: es toda transacción, comercial realizada en parte o en su totalidad a través de re des electrónicas de información. En definitiva, diremos que Comercio Telemático es: “Es toda transacción telemática de información realizada mediante el uso de mensajes de datos, de carácter gratuito u oneroso entre dos o más personas que da como resultad o una relación comercial, civil, financiera, bursátil o de cualquier otra índole consistente en la adquisición de bienes tangibles, intangibles, o la prestación de un servicio.” 64.
2.3. Clases de Comercio Telemático El Comercio Telemático de divide en: C O M E R C I O T E L E M Á T I C O D I RE CTO E I ND I RE CT O . Directo es aquel que el bien o servicio se recibe inmediatamente; el indirecto aquel que se recibe después de un lapso de tiempo. Pero ello nos lleva a una división dentro de cada una de estas opciones, C O M E R C I O E L E C T R Ó NI C O C OM P L E TO E I NC OM PL E T O . Hablaremos de Comercio Telemático Completo cuando el pago se realice directamente por medio del sistema electrónico utilizado, mientras que el incompleto será aquel en donde el pago del bien o servicio adquirido, se lo hace fuera del sistema electrónico. Según Erick Iriarte 65 se deben tomar en cuenta cuatros aspectos que Artículo Publicado en Internet 62
OCDE. Policy Brief Electronic Commerce, No. 1 - 1997
63
Chakraborty, Simanta, Sapient Corp.| 18.11.1998
64
El Autor.
65
IRIARTE AHON Erick, Comercio Electrónico en América Latina y el Caribe Perspectivas y realidades.
Dr. Santiago Acurio Del Pino
Pa gina 37
Derecho Penal Informa tico surgen dentro de las relaciones que produce el comercio telemático así el primero de ellos, el que más éxito tiene, Business to Business , el negocio a negocio, entre una empresa y sus proveedores, el de mayor éxito y de mayor eficacia, seguirá siendo el de mayor desarrollo. El que se espera sea el de un desarrollo notable, el segundo de ellos, el Business to Consumer, por el cual la mayoría de empresas están apostando en un futuro próximo (sobre todo las pequeñas y medianas empresas). El tercer aspecto es el Business to Government , desarrollado en una escala menor, pero que podría ser de enorme utilidad en el futuro c onsiderando que, en la mayoría de los países de Latinoamérica, por legislación está estipulado que una cantidad de los bienes adquiridos por el estado tienen que ser a las pequeñas y medianas empresas, siendo el uso del comercio electrónico en este aspecto el más útil para este fin. Finalmente, el cuarto aspecto del comercio electrónico estará dado por el Government to Citizen, es decir la figura que el ciudadano y el estado entran en una relación por medio electrónico, para pago de tributos, pagos de segur idad social, entre otros temas, este desarrollo se deberá impulsar en un futuro próximo en Latinoamérica, considerando los grados de burocratización existentes. En sentido estricto se puede decir que, en el Ecuador, se da el comercio telemático, tanto del tipo directo como del indirecto, pero en la mayoría de los casos este resulta siendo incompleto, fundamentalmente por la inseguridad del pago por medio de tarjetas de crédito.
2.4. Principios reguladores del Comercio Telemático. Una primera pregunta que n os debemos hacer es ¿Cómo debemos actuar para que funcione efectivamente el comercio telemático? Para ello en primer lugar consideramos necesario contar con tecnologías seguras y con un marco jurídico e institucional que sirva de apoyo a estas tecnologías. Dado el carácter transnacional del fenómeno, algunos países del mundo prevén trabajar activamente para lograr el diálogo internacional con la participación de los gobiernos y la industria, en los foros multilaterales adecuados, así como de forma bilateral , con sus principales socios comerciales. Debemos además incluir aquí la cooperación internacional en la lucha contra la delincuencia informática que actúa en las redes telemáticas. En lo que tiene que ver con el marco regulador se considera necesaria la creación de un marco legal favorable que genere confianza, garantice el pleno acceso al mercado interno y un marco regulador coherente en el que se desarrollen las políticas horizontales adecuadas. El enfoque regulador debe ser global y abarcar, d esde la creación de una compañía, [evitando que las reglamentaciones nacionales (profesiones reguladas, servicios financieros sujetos a autorización) coarten la libertad de establecimiento para prestar servicios transfronterizos, al fomento y la prestación de actividades de comercio telemático, por ejemplo, regulando aspectos complejos como las comunicaciones comerciales o los servicios financieros; pasando por la Artículo Publicado en Internet
Dr. Santiago Acurio Del Pino
Pa gina 38
Derecho Penal Informa tico negociación y conclusión de contratos, estableciendo un nivel mínimo de protección al consumid or, la validez y la posibilidad de hacer cumplir los contratos electrónicos; incidiendo en la adaptación de normas sobre contabilidad y auditoría, para permitir la verificación electrónica sin documentos papel o la existencia de facturas electrónicas y; ab arcando la realización de pagos electrónicos, ya que el comercio telemático no se desarrollará sin sistemas de pago eficientes y seguros, así como de fácil uso.. Además, parece necesario tomar medidas para evitar la falsificación y el uso fraudulento de es tos instrumentos, mejorando su seguridad.
Los principios del marco regulador deberían ser los siguientes: •
•
•
•
NO REGULAR POR REGUL AR, al considerar que la libre circulación de servicios en el comercio telemático puede conseguirse de manera efectiva mediante el reconocimiento mutuo de normas nacionales y códigos adecuados de autorregulación. Ello supone que las empresas que lleven a cabo actividades en este sector puedan trabajar con arreglo a la legislación del país de origen. Cualquier reglamentació n debe basarse en las LIBERTADES DEL MERCADO y ha de tener en cuenta las realidades comerciales. En tal sentido, la legislación debe facilitar las transacciones a lo largo de toda la cadena comercial (establecimiento, promoción, venta entrega, asistencia) No tiene sentido derribar barreras sólo en una parte de la cadena. Toda reglamentación debe satisfacer los OBJETIVOS DE INTERÉS GENERAL de manera efectiva y eficaz: derecho a la intimidad, protección del consumidor, o amplia accesibilidad a las redes. Sin una protección de este tipo se corre el riesgo de que subsistan barreras nacionales, al procurar salvaguardar los Estados intereses legítimos de sus ciudadanos. PRINCIPIO DE EQUIVAL ENCIA FUNCIONAL, basado en un análisis de los objetivos y funciones del r equisito tradicional de la presentación de un escrito consignado sobre papel con miras a determinar la manera de
Dr. Santiago Acurio Del Pino
Pa gina 39
Derecho Penal Informa tico
•
•
satisfacer los objetivos y funciones del comercio telemático, es decir es la función jurídica que cumple la instrumentación escrita y autógrafa respecto a todo acto jurídico, o su expresión oral, la cumple de igual forma la instrumentación electrónica a través de un mensaje de datos, con independencia del contenido, extensión, alcance y finalidad del acto así instrumentado ” 66. En otras palabras, la equivalencia funcional permite aplicar a los soportes informáticos un principio de no discriminación respecto de las declaraciones de voluntad, independientemente de la forma en que hayan sido expresadas: los mismos efectos que surte la manifestación de la voluntad instrumentada a través de un documento en papel, deben producirse independientemente del soporte utilizado en su materialización 67 PRINCIPIO DE INALTER ACIÓN DEL MARCO NORMATIVO, Los elementos esenciales del negocio jurídico no deben modificarse cuando el contrato se perfecciona por vía telemática, ya que solo se trata de un nuevo medio de representar la voluntad del negocio . Las obligaciones de las partes que contratan a través de medios telemáticos, en principio deben ser las mismas que éstas as umen si se tratase del mismo contrato celebrado verbalmente o a través de un documento soportado en papel 68. PRINCIPIO DE NEUTRAL IDAD TECNOLÒGICA, este principio consiste en que el marco normativo general que se aplique dentro del comercio telemático no deb e optar por un tipo de tecnología en particular, ya que esto supondría que dicho marco general pierda su vigencia en el corto o mediano plazo ya que la tecnología informática cambia constantemente. Es así que las normas jurídicas por su naturaleza deben se r generales, en tal sentido deben abarcar las tecnologías que reglamentan y las que posteriormente estén por desarrollarse a fin de que no se conviertan en obsoletas con el transcurso del tiempo y el avance de la tecnología.
2.5. Características del Comer cio Telemático. El Comercio Telemático por su naturaleza es: A) MULTISECTORIAL: Incluye a todos los sectores relacionados dentro de la actividad comercial y demás servicios de soporte comercial, tales como: Banca, Seguros, Transporte, Aduanas, Telecomunic aciones. B) INTERDISCIPLINARIO: Comprende todas las dimensiones relevantes de la realidad nacional, las mismas que incluyen tanto al Gobierno, Legisladores, reguladores, educadores, así como también a representantes comerciales. C) GLOBAL: no conoce fronte ras ya que existe y se maneja dentro de una sola red a nivel mundial. 66
RINCON CARDENAS, Erick. Manual de Derecho y Comercio Electrónico en Internet. Centro Editorial de la Universidad del Rosari o. 2006. Bogotá Colombia. 67
ILLESCAS ORTIZ, Rafael. La Equivalencia funcional como Principio elemental del derecho del comercio electrónico en “Derecho y Tecnología”. Universidad Católica de Táchira No. 1 julio y diciembre 2002. 68
RICO CARRILLO, Mariliana. Aspectos Jurídicos de la Contratación Electrónica en Derecho de las nuevas tecnologías. Ediciones La Rocca. Argentina 2007.
Dr. Santiago Acurio Del Pino
Pa gina 40
Derecho Penal Informa tico 2.6. Proceso de promoción del Comercio Telemático
2.7. Ventajas del comercio telemático. -
-
-
Las operaciones se realizan por vía electrónica o digital Se prescinde del lugar donde se encuentran las partes No quedan registros en papel (Ej. facturas) La importación del bien no pasa por las aduanas (en el comercio telemático directo); Se reducen drásticamente los intermediarios o incluso se eliminan por completo, por ejemplo, en la venta de productos en soporte electrónico (textos, imágenes, videos, música, programas, etc.) ya que estos se pagan y entregan directamente a través de la red. Se efectivizan más rápidamente las transacciones. Permite hacer más eficientes las actividades de cada empresa, así como establecer nuevas formas, más dinámicas, de cooperación entre empresas. Reduce las barreras de acceso a los mercados actuales, en especial para pequeñas y medianas empresas, y abre oportunidades de ex plotar nuevos mercados. Para el consumidor, amplía su capacidad de acceder a prácticamente cualquier producto y de comparar ofertas, permitiéndole además convertirse en proveedor de información. A su vez el Comercio Telemático le permite al empresario:
Dr. Santiago Acurio Del Pino
Pa gina 41
Derecho Penal Informa tico -
Desaparecer los límites geográficos para su negocio. Estar disponible las 24 horas del día, 7 días a la semana, todos los días del año. Reducción de un 50% en costos para la puesta en marcha de su negocio dentro del Comercio Telemático, en comparación c on el comercio tradicional. Hacer más sencilla la labor de los negocios con sus clientes. Reducción considerable de inventarios. Agilitar las operaciones del negocio. Proporcionar nuevos medios para encontrar y servir a clientes. Incorporar internacio nalmente estrategias nuevas de relaciones entre clientes y proveedores. Menor inversión en los presupuestos publicitarios. Reducción de precios por el bajo costo del uso de Internet en comparación con otros medios de promoción, lo cual implica mayor comp etitividad. Cercanía a los clientes y mayor interactividad y personalización en las ofertas. Desarrollo de ventas electrónicas. Globalización y acceso a mercados potenciales de millones de clientes. Implantar tácticas en la venta de productos para crea r fidelidad en los clientes. Enfocarse hacia un comercio sin el uso del papel, lo cual es posible a través del EDI. Rápida actualización en información de productos y servicios de la empresa (promociones, ofertas, etc.). Obtener nuevas oportunidades de negocio, con su sola presencia dentro del mercado digital. Reducción del costo real al hacer estudios de mercado.
Además, el Comercio Telemático brinda grandes ventajas y oportunidades al cliente como: -
Ser un medio que permite al consumidor elegir en un mercado global acorde a sus necesidades. Brinda información preventa y posible prueba del producto antes de la compra. Recibir los pedidos inmediatamente. Servicio pre y post -venta ON LINE. Reducción de la cadena de distribución, lo que le permite adquirir un producto a un mejor precio. Mayor interactividad y personalización de la demanda. Información inmediata sobre cualquier producto, y disponibilidad de acceder a la información en el momento que a sí lo requiera.
3.- Contenido de la Ley de Comercio Electrónico del
Dr. Santiago Acurio Del Pino
Pa gina 42
Derecho Penal Informa tico Ecuador. 3.1.- Introducción y ámbito de aplicación: Como ya se mencionó en la introducción, desde finales de 1999 un grupo de profesionales nos vimos inmersos en la tarea de diseñar los pa rámetros para el surgimiento de la Ley de Comercio Electrónico del Ecuador para lo cual y tomando como guía la Ley Modelo del UNC ITRAL, se creó el proyecto de ley que se puso en consideración del Congreso Nacional, el mismo que después de casi más de dos años de discusión vio la luz en Abril del 2002 dando así por fin un marco jurídico mínimo a las transacciones realizadas por medios informáticos. Así, pues, gracias a la Ley de Comercio Electrónico, nuestro país se pone a tono con las modernas tendencias del derecho internacional privado, una de cuyas principales manifestaciones ha sido la adopción de legislaciones que llenen los vacíos normativos que dificultan el uso de los medios de comunicación modernos, pues, ciertamente la falta de un régimen específ ico que avale y regule el intercambio electrónico de informaciones y otros medios conexos de comunicación de datos, origina incertidumbre y dudas sobre la validez jurídica de la información cuyo soporte es informático, a diferencia del soporte documental q ue es el tradicional. En lo que tiene que ver con el ámbito de aplicación el artículo uno menciona: Artículo 1. - Objeto de la Ley. - Esta Ley regula los mensajes de datos, la firma electrónica, los servicios de certificación, la contratación electrónica y telemática, la prestación de servicios electrónicos, a través de redes de información, incluido el comercio electrónico y la protección a los usuarios de estos sistemas. De lo dispuesto en este artículo se desprende la Ley de Comercio Electrónico, Mens aje de Datos y Firmas Electrónicas no se restringe solamente a las operaciones comerciales, sino que hace referencia en forma genérica al acceso y uso de los mensajes, lo que obliga a una comprensión sistemática de sus disposiciones con el conjunto de norm as que se refieren a este tema dentro de nuestro ordenamiento jurídico. Por tanto, sería errada la concepción que tienen algunas personas y entidades del Estado en creer que esta ley solamente es aplicable en el campo comercial.
3.2.- Los mensajes de datos. La ley trabaja sobre definiciones de equivalentes funcionales a escrito, original y firma manuscrita. Los mensajes de datos son todo lo que se transmita por una red informática. Incluye los correos electrónicos , documentos, aplicaciones en sitios Web, etc. Todo se agrupa bajo esta definición. Se reconoce la validez de Dr. Santiago Acurio Del Pino
Pa gina 43
Derecho Penal Informa tico estas formas electrónicas en cualquier actividad, ya sea para conformar contratos perfectamente válidos o como prueba para un juicio. Dentro de las características esenciales del mensaje de datos encontramos que: • • •
•
Es una prueba de la existencia y naturaleza de la voluntad de las partes de comprometerse; Es un documento legible que puede ser presentado ante las Entidades públicas y los Tribunales; Admite su almacenamiento e inalterabilida d en el tiempo; facilita la revisión y posterior auditoria para los fines contables, impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los intervinientes y, Es accesible para su ulterior consulta, es decir, que la información en forma de datos computarizados es susceptible de leerse e interpretarse.
En resumen, lo que se busca con este título es el equivalente funcional en el medio electrónico a papel, escrito, original. Se trabaja de modo general de forma que una vez que el documento electrónico es válido, a través de los reglamentos respectivos se le otorgarán las condiciones y requisitos a cumplir para que por ejemplo sea una factura electrónica, un baucher electrónico, una declaración de aduanas electrónica, etc. La validez del documento se extiende incluyendo a los anexos por ejemplo cuando adjuntamos a un mail un archivo que puede contener una oferta, contrato, etc. Para efectos legales, el documento firmado es el v álido. En este caso el mensaje de datos al cual se le ha asociado una firma electrónica.
3.3. De las firmas electrónicas, certificados de firma electrónica, entidades de certificación y organismo de promoción de los servicios electrónicos, y de regulación y control de las entidades de certificación acreditadas. Este título establece el equivalente funcional a la firma manuscrita. Se establecen las condiciones a cumplir y las obligaciones del firmante. Actualmente, la firma manuscrita permite certificar el reconocimiento, la conformidad o el acuerdo de voluntades sobre un documento por parte de cada firmante, aspecto de gran importancia desde un punto de vista legal. La firma manuscrita tiene un reconocimiento particularmente alto pese a que pueda ser falsificada, ya que tiene peculiaridades que la hacen fácil de realizar, de comprobar y de vincular a quién la realiza. Para intentar conseguir los mismos efectos que la firma manuscrita se requiere el uso de la criptografía y el empleo de algoritmos Dr. Santiago Acurio Del Pino
Pa gina 44
Derecho Penal Informa tico matemáticos 69. El problema fundamental que plantean las transacciones a través de internet, desde un punto de vista jurídico se puede resumir en cuatro grandes puntos, que han sido puestos de manifiesto por numerosos expertos en la materia: • • • •
Autenticidad; Integridad; Confidencialidad; y No repudio.
La INTEGR IDAD, hace referencia al hecho de que la información no pueda ser manipulada en el proceso de envío. La AUTENTICIDAD, significa que la información sea enviada por quien aparece como emisor y recibida por aquel a quien va dirigida. El NO RECHAZO, viene a asegurar que no se pueda negar la autoría del mensaje enviado. Por último, la CONFIDENC IALIDAD, asegura el secreto de las comunicaciones contenidas en los mensajes. Estos cuatro elementos son cubierto s por la utilización de la firma electrónica y especialmente po r la llamada firma digital, siendo necesario distinguir los conceptos de firma electrónica y de firma digital. La primera corresponde a la noción de signo o código de acceso, mientras que la se gunda revela la existencia de un mecanismo de criptografía del mensaje. La criptografía es un mecanismo conocido desde la anti güedad, que sirve para cifrar la información, utilizando códigos y cifras. Se trata de un componente importante de la seguridad de la información y de los sistemas de comunicación, así como una tecnología esencial para el desarrollo del comercio electrónico. Como tal, desarrolla métodos para la transformación de datos con la finalidad de ocultarlos, permitir el establecimiento de su autenticidad, conservar su integridad impidiendo transformaciones e impedir usos no autorizados. Simultáneamente, durante el almacenamiento y el tránsito de los datos por las redes, protege su confidencialidad. De esta manera, la cifra asegura el contenido y la firma digital verifica la integridad de los datos o la autenticidad de quien envía el mensaje. La firma digital es un mecanismo de protección de la autoría de un mensaje determinado que circula de un emisor a un receptor, que opera como un identificador electrónico, adherido al documento electrónico. Para los contratos telemáticos, además de las otras transacciones comerciales realizadas en línea, la importancia reside en permitir una identificación no equívoca del proponente y del aceptante. Al reci bir un correo electrónico protegido por el sistema de llaves asimétricas, se asegura el reconocimiento inequívoco del remitente. Para garantizar que la llave pública, disponible en la red, corresponde a la persona física o jurídica que es su titular, han s urgido las Autoridades Certificadoras, que atestiguan la identidad del dueño de las llaves. De esa forma, junto con el mensaje, se envía un 69
CARRION, Hugo Daniel, Análisis Comparativo De La Legislación Y Proyectos A Nivel Mundial Sobre Firmas Y Certificados Digitales, Argentina 2002. www.informatica-juridica.com
Dr. Santiago Acurio Del Pino
Pa gina 45
Derecho Penal Informa tico certificado digital que contiene el nombre del remitente, su llave pública e informaciones adicionales. Así definid a la firma digital, es conveniente realizar algunas precisiones de naturaleza técnica: a diferencia de la firma manuscrita, física, materializada en trazos hechos por el individuo en general sobre papel, la digital consiste en el agregado de un apéndice al texto original, de forma criptográfica 70. con las garantías que sea difícilmente falsificable por un tercero, mediante la modalidad de un secreto no compartido. Este sistema criptográfico utiliza dos claves diferentes, una para cifrar y otra para descifrar. Una clave es pública y puede ser conocida por cualquier persona y una segunda clave es privada, del autor. Las dos claves son generadas simultáneamente con un algoritmo matemático y para poder descifrar es necesario utilizar ambas. La clave privada es im prescindible para descifrar criptogramas y para firmar digitalmente, mientras que la clave pública debe usarse para cifrar mensajes dirigidos al propietario de la clave privada y para verificar su firma. Tanto fundamentales:
la
firma
ológrafa
como
la
digital
tienen
dos
funciones
1. Servir como medio de expresión de la voluntad y 2. Determinar la autoría de quien realiza un determinado acto jurídico, buscando además la última garantizar la inalterabilidad del documento suscripto. E NU N C I A D O S
Firma
Firma Digital
M É TO D O
Cualquiera
Clave Pública (PKI 71) Art. 15 • Única • Verificable • Control Exclusivo de la clave • Está ligada a la
R E QU I S I TO S
• •
Identificación de iniciador Método tanto confiable como apropiado
Firma Digital + Certificado Clave Pública (PKI) Art. 20 Certificación emitida por una entidad de Certificación Está de acuerdo con los usos del certificado
70 L a c r i p t o g r a f í a e s a q u e l l a c i e n c i a q u e h a c e u s o d e m é t o d o s y h e r r a m i e n t a s m a t e m á t i c a s c o n e l o b j e t o principal de cifrar, y por tanto proteger, un mensaje o archivo por medio de un algoritmo, usando para ello dos o más claves, con lo que se logra en alguno s casos la confidencialidad, en otros la autenticidad, o bien ambas simultáneamente. RAMIO AGUIRRE, Jorge. http://www.criptored.upm.es/crypt4you/temas/criptografi aclasica/leccion2.html 71 E s t a s s i g l a s c o r r e s p o n d e n a l c o n c e p t o d e P U B L I C K E Y I N F R A S T R U C T U R E e n i n g l é s . E n e s p a ñ o l s e traduce como Infraestructura de Llave (clave) Pública y están basadas en un artículo de 1976 creado por los matemáticos WHITFIELD DIFFIE y MARTIN HELLMAN. La idea que imaginaron fue crear un sistema de cifra basado no en una clave sino en dos: una pública y una privada. La primera la puede conocer cualquiera mientras que la segunda solo puede saberla aquel que la utiliza. Esta herramienta es imprescindible para algunos elementos que actualmente se utilizan en diferentes trámites gubernamentales y públicos como es la firma digital en las resoluciones judiciales, boletas de encarcelamiento y excarcelación, mediante el uso del sistema SATJE en l os diferentes Juzgados y Cortes Provinciales en el Ecuador.
Dr. Santiago Acurio Del Pino
Pa gina 46
Derecho Penal Informa tico E NU N C I A D O S
E QU I VA L E N C I A
Firma
Firma Digital
Firma
información • De acuerdo a la ley y la reglamentación Firma Manuscrita
Firma Digital + Certificado Certificado es válido Firma Digital Firma Manuscrita
Tabla de Equivalencia 72 Los certificados de firma permiten a un tercero de confianza dar fe de la pertenencia de una firma electrónica. Se establecen las condiciones para el trabajo de las empresas de certificación y sus requisitos y obligaciones. Debe notarse que en este título se regula la operación de las certificadoras acreditadas, es decir aquellas que libre y voluntariamente se inscriben en el organismo de regulación. Los Certificados Digitales solucionan el problema de la autenticación proveyendo los medios electrónicos para verificar la identidad de cualquier persona. • •
Utilizados en conjunción con el cifrado de la información, los certificados digitales proveen una solución completamente invulnerable, asegurando la identidad de todas las partes involucradas en una transacción. Un certificado digital provee un medio electrónico para probar su identidad, de la misma forma que la cédula de identidad.
La función central del certificado es, efectivamente, vincular un dato de verificación de firma (una clave pública, en el caso de la criptografía asimétrica) a una persona determinada. Por ello, es esencial la confirmación y verificación de identidad del titu lar de tal elemento. Así mismo es necesario que el proveedor de servicios de certificación asuma la responsabilidad por ello 73. En otras palabras, la misión fundamental de los certificados es permitir la comprobación de que la clave pública de un usuario, c uyo conocimiento es imprescindible para autenticar su firma electrónica, pertenece realmente a ese usuario, ya que así lo hace constar en el certificado una autoridad que da fe de ello. Representan además una forma conveniente de hacer llegar la clave públ ica a otros usuarios que deseen verificar sus firmas 74. Se deja abierto el campo para que el proceso de certificación se desarrolle con la participación de terceros como es normal en los sistemas de Infraestructura de Clave Pública (PKI) donde un tercero p uede ser por ejemplo una Cámara de Comercio, puede actuar como entidad de registro y verificación, es decir para 72
Tomada y adaptada de RINCON CARDENAS, Erick. Manual de Derecho y Comercio Electrónico en Internet. Centro Editorial de la Universidad del Rosario. 2006. Bogotá Colombia 73
MARTINEZ NADAL A, Comercio Electrónico, certificados y autoridades de certificación, Madrid 1998.
74
Ver cita No. 17
Dr. Santiago Acurio Del Pino
Pa gina 47
Derecho Penal Informa tico trabajar directamente con el usuario final y solicitarle y verificar los datos para emitir el certificado. Estos datos son luego remitidos a la entidad de certificación quien emite el certificado. Esta entidad de certificación pue de o no estar localizada en el país pues los costos e inversiones necesarias son altos. Respecto de las entidades de certificación, se establecen los procedimientos en general, operativos y de sanción en relación a la Ley de Telecomunicaciones. En el caso de la justicia ecuatoriana, el Consejo de la Judicatura desde el año 2014 es Entidad de Certificación. https://www.icert.fje.gob.ec/ En la Sentencia de la Corte Constitucional Colombiana No. C -662 del 2000, se menciona que “La actividad de certificación es un servicio de índole eminentemente técnico que tiene que ver con la confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos empleados para realizar un cierto acto o negocio y en el comercio electrónico, la cual básicamente comprende: la inobjetabilidad de origen; la integridad de contenido, la integridad de secuencia, la inobjetabilidad de recepción, la confidencialidad, la unicidad de fin y la temporalidad. Ello se logra a través de una entidad reconocida por un grupo de usuarios, quien certifica sobre el iniciador en quien se originó la información, que su contenido no ha sufrido alteraciones ni modificaciones y que fue recibida por su destinatario ”. “La firma electrónica, basada en la criptografía de clave pública, constituye el elemento tecnológico y legal que posibilitará la realización de transacciones comerciales s eguras a través de las autopistas de la información y requiere ser regulada. Su implementación permitirá firmar contratos a través de la red, adquirir bienes y servicios, realizar pagos, inclusive sufragar o cualquier otra actividad donde se requiera ident ificación de autoría ” 75. Para que una firma electrónica sea equiparada a una firma manuscrita es necesario que dicha firma posea las siguientes características: • • •
Posibilite la identificación de la persona física con la cual se hace el negocio; Sea un refl ejo de la expresión de voluntad de la persona física y, Garantice la integridad del contrato o acuerdo.
A estas tres características debemos agregar la certificación que de la firma electrónica proporciona una Entidad Certificadora. En suma, cuando una firma electrónica reúne estas cuatro características esa firma causará todos los efectos jurídicos como cualquier firma manuscrita, claro siempre y cuando se establezca esta validez en una norma legal.
75
PALAZI Pablo, El Comercio electrónico en el MERCOSUR, Publicación hecha en Internet www.ulpiano.com
Dr. Santiago Acurio Del Pino
Pa gina 48
Derecho Penal Informa tico 3.4. De los servicios electrónicos, la contratación elec trónica y telemática, los derechos de los usuarios e instrumentos públicos. Este título trata de todos los servicios que se pueden prestar a través de redes electrónicas incluido el c omercio electrónico y los denomina servicios electrónicos, sean o no comerciales o con fines de lucro. Entonces podemos hablar de operaciones financieras o bursátiles en la red, tele educación, comercio electrónico, servicios diversos, etc. Es muy importante notar que no se requieren nuevas calificaciones para desarrollar actividades en la red, de forma parcial o total, amén de los requisitos técnicos y los requisitos ya contemplados en las legislaciones respectivas. Así, para prestar servicios bancarios en Internet no serán necesarios registros adicionales de ningún tipo a más de los que se requiere para esta actividad por supuesto y los relacionados con las respectivas seguridades en este nuevo medio. Se reconoce la validez electrónicos.
de los contratos
realizados por medios
En Internet, los contratos pueden ser elabora dos básicamente por dos medios: a través del intercambio de correos electrónicos o mediante el ofrecimiento de propuestas colocadas en un sitio, por ejemplo, en una página WEB y la aceptación de la otra parte, en una fórmula de contrato de adhesión, utiliz ada en general para las relaciones de consumo con destino a un comprador final. Citando a Fernando Hernández, y a fin que exista claridad conceptual ha y entre la contratación informática o de bienes y servicios informáticos y la telemática o electrónica. El término contratación telemática, puede englobar a los contratos informáticos, siempre y cuando el servicio o el bien informático negociado se realice a través de la red. En este caso la venta de software, la conexión a internet o el alojamiento de las p áginas web, en los que la contratación puede y se efectúa a través de medios telemáticos, sin los elementos usuales de documentación escrita y presencia física de las partes 76. Se establecen muy concretamente los derechos de los usuarios y sus privilegios al recibir servicios por medios electrónicos. Se reconoce igualmente que los instrumentos públicos podrán ser electrónicos.
3.5. De la prueba y notificaciones electrónicas Este título trata sobre os procedimientos de la prueba en procesos judiciales y la validez de lo electrónico para este fin. Se establece la posibilidad de notificaciones a casilleros electrónicos en 76
Ver Cita No 4
Dr. Santiago Acurio Del Pino
Pa gina 49
Derecho Penal Informa tico procesos. Esto actualmente está regulado por el Código Orgánico General de Procesos en materias no penales y el Código Orgánico Integral Pe nal en el ámbito penal.
3.6. De Las Infracciones Informáticas Estas fueron derogadas por el Código Orgánico Integral Penal
3.7. Disposiciones generales Esta es un aparte muy importante. Se establece: 1. Que no porque exista esta ley es obligatorio aceptar la validez de lo informático. Esto siempre es prerrogativa del usuario. 2. La norma para que no se discrimine ninguna tecnología presente o futura en el tratamiento legal (Principio de Neutralidad Tecnológica) . 3. La declaratoria de no obligación de registro para las certificadoras. 4. La prohibición de exigir nuevos requisitos para actividades a desarrollarse en la red. 5. La obligación del CONATEL (ahora ARCOTEL) de precautelar los intereses del usuario y de terceros respecto de las entidades de certificación. 6. La validez de los certificados extranjeros.
Dr. Santiago Acurio Del Pino
Pa gina 50
Derecho Penal Informa tico
Tercera Parte: Generalidades de los Delitos Informaticos 1.- Delimitación del Fenómeno de la Delincuencia Informática. 1.1.- Generalidades El aspecto más importante de la informática radica en que la información ha pasado a convertirse en un valor económico de primera magnitud. Desde siempre el hombre ha buscado guardar información relevante para usarla después 77. Como señala Camacho Losa, “En todas las facetas de la actividad humana existen el engaño, las manipulaciones, la codicia, el ansia de venganza, el fraude, en definitiva, el delito. Desgraciadamente es algo consustancial al ser humano y así se puede constatar a lo largo de la historia 78.” Entonces el autor se pregunta ¿ y por qué la informática habría de ser diferente? A decir de Romeo Casabona, la incorporación de las TICS al mundo empresarial, financiero y económico, ha supuesto ya hace algunos años la oportunidad de que delincuentes se aprovechen de sus vulnerabilidades o características como la automatización y el flujo de información entre las redes de comunicaciones, para cometer delitos de índole patrimonial y socio económica que han causados varios daños. Existe un consenso general entre los diversos estudiosos de la materia, en considerar que el nacimiento de esta clase de criminalidad se encuentra íntimamente asociada al desarrollo tecnológico informático. Las computadoras han sido utilizadas para muchas clases de crímenes, incluyendo fraude, robo, espionaje, sabotaje y hasta asesinato. Los primeros casos fueron reportados en 1958. Para el profesor Manfred Mohrenschlager 79 este fenómeno ha obligado al surgimiento de medidas legislativo penales en los Estados Industriales donde hay conciencia de que, en los últimos años, ha estado presente el fenómeno delictivo informático. En nuestro país, el fenómeno de la criminalidad informática o de los llamados delito s informáticos, están alcanzado alguna importancia, en razón de que el estado ha procurado con sus políticas de apertura a las telecomunicaciones una 77 M A G L I O N A M A R K O V I C T H C l a u d i o P a ú l , L Ó P E Z M E D E L M a c a r e n a , D e l i n c u e n c i a y F r a u d e I n f o r m á t i c o, Editorial Jurídica de Chile. 1999 78 C A M A C H O L O S A L u i s , E l D e l i t o I n f o r m á t i c o , M a d r i d , E s p a ñ a , 1 9 8 7 . 79 M O H R E N S C H L A G E R , M a n f r e d . E l N u e v o D e r e c h o P e n a l i n f o r m á t i c o e n A l e m a n i a ” ( P á g s . 9 9 a 1 4 3 ) . “Delincuencia Informática”. (1992, Ed. P.P.U., Colección IU RA -7). Tendencias de Política Jurídica en la lucha contra la Delincuencia “(PÁGS. 47 a 64). “Delincuencia Informática”. (1992, Ed. P.P.U., Colección IURA-7). Citado por Marcelo Huerta y Claudio Líbano, Los Delitos Informáticos. Editorial Cono Sur.
Dr. Santiago Acurio Del Pino
Pa gina 51
Derecho Penal Informa tico reducción en la brecha digital , esto ha hecho que se masifique el uso de las TICS, además de la actual dependencia i nformática, A continuación, se intentará dar una delimitación de este fenómeno de la criminalidad informática
1.2.- Campo de acción de la criminalidad informática Un primer problema está en delimitar el campo de acción de la llamada criminalidad informátic a. En primer lugar, existe a decir de Claudio Magliona y Macarena López, una confusión terminológica y conceptual presente en todos los campos de la informática, especialmente en lo que dice relación con sus aspectos criminales, es por eso que es menester desenmarañar el intrincado debate doctrinario acerca del real contenido de lo que se ha dado en llamar los delitos informáticos. Desde esta perspectiva, debe reinar la claridad más absoluta respecto de las materias, acciones y omisiones sobre las que debe recaer la seguridad social que aporta el aparato punitivo del estado. La mayúscula trascendencia inherente a los delitos informáticos merece que toda persona que opere en el mundo del derecho se detenga a meditar sobre el lugar conceptual del espacio de l o jurídico-criminal en que tales agresiones se suceden 80. En ese orden de ideas y siguiendo al profesor español Romeo Casabona el cual señala que “En la literatura en lengua española se ha ido imponiendo la expresión de delito informático, que tiene la ven taja de su plasticidad, al relacionarlo directamente con la tecnología sobre o a través de la que actúa. Sin embargo, en puridad no puede hablarse de un delito informático, sino de una pluralidad de ellos, en los que encontramos como única nota común su vi nculación de alguna manera con los computadores, pero ni el bien jurídico protegido agredido es siempre de la misma naturaleza ni la forma de comisión del -hecho delictivo o merecedor de serlo - presenta siempre características semejantes... el computador es en ocasiones el medio o el instrumento de la comisión del hecho, pero en otras es el objeto de la agresión en sus diversos componentes (el aparato, el programa, los datos almacenados). Por eso es preferible hablar de delincuencia informática o delincuen cia vinculada al computador o a las tecnologías de la información 81.” Para Ricardo Mata, la expresión “Delito Informático ” posee un cierto atractivo por su inmediata relación con la voz inglesa “Computer Crime ”, pero para este autor “en realidad se trata de un concepto ambiguo que no se corresponde en sentido estricto con ninguna categoría jurídico -penal… 82.”. En este sentido el profesor español Dá vara Rodríguez, en concordancia 80 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a C o n o Sur. 81 R O M E O C A S A B O N A , C a r l o s M a r í a , P o d e r I n f o r m á t i c o y S e g u r i d a d J u r í d i c a , F u n d e s c o , M a d r i d , E s p a ñ a , 1987. 82 V e r C i t a N o . 4
Dr. Santiago Acurio Del Pino
Pa gina 52
Derecho Penal Informa tico con lo que manifiesta el profesor mexicano Julio Telles Valdés, menciona que n o le parece adecuado hablar de delito informático ya que, como tal, no existe, si atendemos a la necesidad de una tipificación en la legislación penal para que pueda existir un delito. “Ni el nuevo Código Penal español de 1995 introduce el delito informático, ni admite que exista como tal un delito informático, si bien admite la expresión por conveniencia, para referirse a determinadas acciones y omisiones dolosas o imprudentes, penadas por la Ley, en las que ha tenido algún tipo de relación en su comisión, directa o indirecta, un bien o servicio informático 83”. De ahí que se hable más bien de criminalidad informática que de delitos informáticos propiamente tales. Es por eso que resulta extremadamente complejo buscar un concepto técnico que comprenda todas l as conductas ilícitas vinculadas a los medios o procedimientos informáticos, tanto por la diversidad de supuestos, como de los bienes jurídicos afectados. Ahora bien, dicho lo anterior, es necesario decir que además dentro de este fenómeno existe una plur alidad de acepciones y conceptos sobre delincuencia informática, criminalidad informática, lo que ha constituido en un tema de debate también dentro de la doctrina, a continuación, se expondrán brevemente algunas de estas acepciones o conceptos: 1.2.1.- Delincuencia informática y Abuso Informático La define Gómez Perals como conjunto de comportamientos dignos de reproche penal que tienen por instrumento o por objeto a los sistemas o elementos de técnica informática, o que están en relación significativa con ésta, pudiendo presentar múltiples formas de lesión de variados bienes jurídicos. Ruiz Vadillo recoge la definición que adopta el mercado de la OCDE en la Recomendación número R (81) 12 del Consejo de Europa indicando que abuso informático “es todo comportamiento ilegal o contrario a la ética o no autorizado que concierne a un tratamiento automático de datos y/o transmisión de datos ”. La misma definición aporta Correa incidiendo en la Recomendación (89) 9. Del Comité de Ministros del Consejo de Europa considerando que la delincuencia informática suele tener carácter transfronterizo que exige una respuesta adecuada y rápida y, por tanto, es necesario llevar a cabo una armonización más intensa de la legislación y de la práctica entre todos los países resp ecto a la delincuencia relacionada con el computador. 1.2.2.- Criminalidad informática Baón Ramírez define la criminalidad informática como la realización de un tipo de actividades que, reuniendo los requisitos que delimitan el concepto de delito, sean llevadas a cabo utilizando un elemento informático (mero instrumento del crimen) o vulnerando los derechos de l titular de un elemento informático, ya 83 D A V A R A R O D R Í G U E Z , M i g u e l Á n g e l , A n á l i s i s d e l a L e y d e F r a u d e I n f o r m á t i c o , R e v i s t a d e D e r e c h o d e UNAM. 1990.
Dr. Santiago Acurio Del Pino
Pa gina 53
Derecho Penal Informa tico sea hardware o software (en éste caso lo informático es finalidad). Tiedemann 84 considera que con la expresión “criminalidad mediante computadoras ”, se alude a todos los actos, antijurídicos según la ley penal vige nte realizados con el empleo de un equipo automático de procesamiento de datos. Como el mismo autor señala, el concepto abarca el problema de la amenaza a la esfera privada del ciudadano, y, por otra parte, se refiere además a los daños patrimoniales pro ducidos por el abuso de datos procesados automáticamente. Para Carlos Sarzana, en su obra Criminalità e tecnología, los crímenes por computadora comprenden “cualquier comportamiento criminógeno en el cual la computadora ha estado involucrada como material o como objeto de la acción criminógena, o como mero símbolo ”
1.3.- Definición y el concepto de Delitos Informáticos. Nidia Callegari 85 define al delito informático como “aquel que se da con la ayuda de la informática o de técnicas anexas ”. Este concepto tiene la desventaja de solamente considerar como medio de comisión de esta clase de delitos a la informática, olvidándose la autora que también que lo informático puede ser el objeto de la infracción. Davara Rodríguez 86 define al Delito informático como, la realización de una acción que, reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o s oftware. Julio Téllez Valdés 87 conceptualiza al delito informático en forma típica y atípica, entendiendo por la primera a “las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin ” y por las segundas “actitudes ilícitas en que se tienen a las computadoras como instrumento o fin”. Como ya se señaló anteriormente, determinados enfoques doctrinales subrayarán que el delito informático, más que una forma específica de delito, supone una pluralidad de modalid ades delictivas vinculadas, de algún modo con los computadores, a este respecto el profesor Romeo Casabona señala que el término Delito Informático debe usarse en su forma plural, en atención a que se utiliza para designar una multiplicidad de conductas il ícitas y no una sola de carácter general. Se hablará de delito informático cuando nos estemos refiriendo a 84 T I E D E M A N N , K l a u s , P o d e r i n f o r m á t i c o y d e l i t o , B a r c e l o n a , E s p a ñ a . 1 9 8 5 . 85 C A L L E G A R I , N i d i a , C i t a d a p o r J u l i o T e l l e s V a l d é s . O b . C i t a . 86 D A V A R A , M i g u e l Á n g e l , F a c t B o o k d e l C o m e r c i o E l e c t r ó n i c o , E d i c i o n e s A r a z a n d i , S e g u n d a E d i c i ó n . 2 0 0 2 . 87 T E L L E Z V A L D É S , J u l i o . “ L o s D e l i t o s i n f o r m á t i c o s . S i t u a c i ó n e n M é x i c o ” , I n f o r m á t i c a y D e r e c h o N º 9 , 1 0 y 11, UNED, Centro Regional de Extremadura, Mérida, 1996.
Dr. Santiago Acurio Del Pino
Pa gina 54
Derecho Penal Informa tico una de estas modalidades en particular. Para el autor español en algunos casos el computador y sus aplicaciones constituyen el objeto material del delito (sobre el que recae físicamente la acción) y en otros un mero instrumento para cometer hechos generalmente tipificados en los Códigos Penales. Por eso la doctrina alemana define a estos supuestos como el conjunto de actos (punibles o dignos de incri minación) en los cuales el computador (o el procesamiento automatizado de datos) es instrumento u el objeto de comisión 88. Parker define a los delitos informáticos como “todo acto intencional asociado de una manera u otra a los computadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo autor ha o habría podido obtener un beneficio” 89, Parker además entrega una tabla en que la que se definen los delitos informáticos de acuerdo a los propósitos que se persiguen: 1. Propósito de investigación de la seguridad: abuso informático es cualquier acto intencional o malicioso que involucre a un computador como objeto, sujeto, instrumento o símbolo donde una víctima sufrió o podría haber sufrido una pérdida y el perpetrador obtuvo o pudo haber obtenido una ganancia (Parker, Nycum and Oura, 1973). 2. Propósito de investigación y acusación: delito informático es cualquier acto ilegal cuya perpetración, investigación o acusación exige poseer conocimientos de tecnología informática (Departamen to de Justicia de Estados Unidos). 3. Propósito legal: delito informático es cualquier acto tal como está especificado en una ley sobre delito informático en la jurisdicción en que la norma se aplica. 4. Otros propósitos: abuso informático (sea cual sea su objetivo), es cualquier delito que no puede ser cometido sin computador. Con respecto a la definición entregada por Parker, y en concordancia con lo que piensan los autores chilenos Marcelo Huerta y Claudio Líbano consi dero que tales definiciones parten de una hipótesis equivocada, la cual es estimar que el propósito al cual se dirige la definición es relevante para los efectos de conceptuar los delitos informáticos. Pienso que los delitos informáticos siguen siendo tale s, independientemente de los propósitos que se persigan al definirlos, y, por lo tanto, no se justifica la diversidad de definiciones para una sustancia de entidad única, además como dice Carlos María Casabona esta definición restringe a esta clase de 88 V e r C i t a N o . 1 4 89 P A R K E R , D . B , C i t a d o p o r R o m e o C a s a b o n a C a r l o s M . P o d e r I n f o r m á t i c o y S e g u r i d a d J u r í d i c a . M a d r i d , 1987
Dr. Santiago Acurio Del Pino
Pa gina 55
Derecho Penal Informa tico delitos solamente al ámbito de lo patrimonial, lo que ofrece una visión parcial del problema, ya que debemos tomar en cuenta que con estas conductas no solo se puede afectar al patrimonio, sino que también pueden ser objeto de aflicción otros bienes jurídicos protegidos como lo son la intimidad personal hasta afectar bienes colectivos como es la seguridad nacional , pero eso se menciona que esta clase de infracciones son pluriofensivas. María Cinta Castillo y Miguel Ramallo entienden que "delito informático es toda acción dolosa que provoca un perjuicio a personas o entidades en cuya comisión intervienen dispositivos habitualmente utilizados en las actividades informáticas" 90. Podemos decir además que a estas definiciones de una manera u otra son vagas en cuanto no entregan una concreta delimitación de las fronteras en la que pueden producirse los delitos informáticos, desde un punto de vista estrictamente jurídico, también no establecen con claridad los efectos susceptibles de punibilidad de los delitos informát icos, toda vez que se establecen conductas del agente sin referencia precisa a la necesidad o no de resultados y cuales serían éstos 91. Antonio E. Pérez Luño señala que quienes se han preocupado del tema, atendiendo a la novedad de la cuestión y el vertigi noso avance de la tecnología, han debido hacer referencia no sólo “a las conductas incriminadas de lege lata, sino a propuestas de lege ferenda, o sea, a programas de política criminal legislativa sobre aquellos comportamientos todavía impunes que se estim a merecen la consiguiente tipificación penal ” 92. Lo anterior, máxime si consideramos que parte importante de la doctrina estima que no necesariamente estamos frente a nuevos “delitos”, sino más bien ante una nueva forma de llevar a cabo los delitos tradi cionales, razón por la cual no cabe individualizarnos de una manera específica, correspondiendo al legislador introducir las modificaciones legales pertinentes a fin de permitir la adecuación de los tipos tradicionales a las nuevas circunstancias , a un nuevo espacio, que sería el que las redes interconectadas nos brindan, ese lugar llamado ciberespacio . El término ciberespacio fue popularizado por el autor estadounidense de ficción científica William Gibson en su libro Neuromante (1984). El otro aspecto de l ciberespacio se refleja en esta cita: el de un sistema para organizar las ingentes cantidades de datos almacenados en los ordenadores o computadoras y para acceder a esos datos. 90 C A S T I L L O J I M E N E Z , M a r í a C i n t a , R A M A L L O R O M E R O , M i g u e l . E l d e l i t o i n f o r m á t i c o . F a c u l t a d d e D e r e c h o de Zaragoza. Congreso sobre Derecho Informático. 22 -24 junio 1989. 91 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a C o n o Sur. 92 P É R E Z L U Ñ O , A n t o n i o E n r i q u e . “ M a n u a l d e i n f o r m á t i c a y d e r e c h o ” , E d i t o r i a l A r i e l S . A . , B a r c e l o n a , 1 9 9 6 .
Dr. Santiago Acurio Del Pino
Pa gina 56
Derecho Penal Informa tico Actualmente, Internet, y en particular la parte de Internet conocida como World Wide Web, es el principal sistema para clasificar el inmenso volumen de datos electrónicos y acceder a ellos. En el auténtico ciberespacio los datos se representarían de forma tridimensional y el usuario podría interactuar con los objetos verbal o incluso físicamente No obstante, a esta discusión doctrinaria para algunos tratadistas como el Ingeniero Alfredo Sneyers 93, siguiendo el pensamiento del español José María Romeo Casabona y manifiesta que el asumir el término delitos informáticos, en oposición a otros como abusos informáticos, fraudes, delitos de procesos de datos, etc., es el que ofrece la ventaja de su plasticidad al relacionarlo directamente con la tecnología en la que actúa. Asimismo, es un término omnicomprensivo de todas las figuras qu e habitualmente se utilizan, especialmente en los Estados Unidos, nación en la que los delitos informáticos han experimentado el desarrollo mayor. Para el autor Rovira Del Canto 94 el concepto de delito informático “No debe venir referido a la realización d e una conducta ilícita a través de elementos o medios informáticos, sino constituirse en torno a la afectación de la información como bien jurídico protegido, primordial y básico, que no exclusivo, pues para su diferente tipología deberá tenerse presente a simismo si resultan afectados otros bienes jurídicos, normalmente tradicionales ” Pero a quien le corresponde entregar la definición de los llamados Delitos Informáticos al respecto los autores chilenos Marcelo Huerta y Claudio Líbano en su libro titulado “Los Delitos Informáticos ” señalan que “Debido a que el concepto a definir es un concepto inmerso en el derecho, no nos cabe duda que son precisamente los expertos de este mundo -ciencia los llamados irrefutablemente a diseñar la definición de los delitos i nformáticos. El derecho es una ciencia llamada a regular todos los tópicos de la vida en sociedad y especialmente a salvaguardaría, sobre principios de justicia, de los atentados a la normal y pacífica convivencia. Desde esta perspectiva, el derecho debe e ntregar la definición del Derecho Informático y por ende de sus delitos, en relación de continente a contenido. Se podrá decir que el jurista no está capacitado para indagar en los fenómenos de la informática y que por lo tanto la definición debe provenir de aquellos que han abrazado ciencias relacionadas con ella. Sin ánimo de polemizar, decimos que el Derecho como expresión normativa de la Justicia regula todos los aspectos de la convivencia social, incluida la actividad informática que se aplica en toda actividad humana, con tanta trascendencia social y económica. Para tan alta empresa, el derecho, muchas veces se auxilia en los 93 S N E Y E R S , A l f r e d o . E l f r a u d e y o t r o s d e l i t o s i n f o r m á t i c o s . E d i c i o n e s T . G . P . T e c n o l o g í a s d e G e r e n c i a y producción, 1990 94R O V I R A D E L C A N T O , E n r i q u e . “ D e l i n c u e n c i a I n f o r m á t i c a y F r a u d e s I n f o r m á t i c o s ” . E d i t . G r a n a d a . B i l b a o Madrid España 2002.
Dr. Santiago Acurio Del Pino
Pa gina 57
Derecho Penal Informa tico conocimientos propios de otras ciencias, a los cuales les aplica su sello distintivo constructor de normas y principios jurídico s. Pensar lo contrario, implicaría imposibilitar al mundo del derecho de normar sobre la medicina forense, las ingenierías, las ciencias que abarcan la expresión pública, etc. Aún más grave, se pondría al juez, que es un abogado, en la imposibilidad de adm inistrar justicia en materias ajenas al derecho 95.” De lo señalado por los tratadistas chilenos, coincido plenamente en el sentido, de que son los abogados y juristas quienes deberían conceptuar esta serie de conductas disvaliosas para la sociedad, por cuan to es misión de éstos contribuir al desarrollo y renovación constante del Derecho, además de ser uno de los pilares donde éste se asienta y fortalece, y que tendrá como fin último la realización de la justicia como valor intrínseco de las Ciencias Jurídicas y especialmente de las Penales. En este panorama, los mismos autores chilenos Marcelo Huerta y Claudio Líbano definen los delitos informáticos como “todas aquellas acciones u omisiones típicas, antijurídicas y dolosas, trátese de hechos aislados o de una serie de ellos, cometidos contra personas naturales o jurídicas, realizadas en uso de un sistema de tratamiento de la información y destinadas a producir un perjuicio en la víctima a través de atentados a la sana técnica informática, lo cual, generalme nte, producirá de manera colateral lesiones a distintos valores jurídicos, reportándose, muchas veces, un beneficio ilícito en el agente, sea o no de carácter patrimonial, actúe con o sin ánimo de lucro ” 96. Esta definición tiene la ventaja de ser omnicomprensiva de las distintas modalidades delictivas. En conclusión, para poder delimitar el contenido de este fenómeno, optamos primero por una D E N OM I N AC I Ó N GE NÉ RI C A , F L E XI B L E , acerca del mismo como sería delincuencia informática o criminalidad inform ática. Sin circunscribirnos así a términos rígidos, como sería por ejemplo delitos informáticos, en tal razón diremos que “D E L I N CUE NC I A I NF ORM ÁT I CA E S T OD O ACT O O C O N D U C TA I L Í C I TA E I L E G AL QUE PUE DA S E R CO NS I DE RA DA C OM O CRI M I NA L , D I R I GI D A A A LT E R A R , S O CAVA R , DE S T R UI R , O M A N I PUL A R , C UAL Q UI E R S I S T E M A I N F OR M Á T I C O O A L G UNA DE S U S PA RT E S C OM P O NE NT E S , Q UE T E N GA C OM O FI N AL I D A D C A U S A R U N A L E S I Ó N O P ON E R E N P E L I G R O UN B I E N J URÍ D I C O CU AL QU I E R A ”. 97
En segundo lugar, debemos decir que la justificación y los detalles característicos de la criminalidad informática se encuentran precisamente en su carácter de informática es decir la E S PE CI FI CI D AD , cuyas notas características “las aporta el computador junto con sus funciones propias más importantes: el procesamiento y transmisión automatizados de datos y la confección y/o utilización de programas para tales fines. Cualquier conducta que no opere sobre la base de 95 V e r C i t a N o . 1 7 96 V e r c i t a a n t e r i o r . 97 E l A u t o r .
Dr. Santiago Acurio Del Pino
Pa gina 58
Derecho Penal Informa tico estas funciones, aunque pueda resultar delictiva (o merecedora de sanción penal en su caso), no poseerá ya la especificidad (como sucede con la mayoría de agresiones al hardware) y debería ser, por tanto, apartada del estudio de la delincuencia vinculada a la informática o tecnologías de la información. En este sentido, es irrelevante que el computador sea instrumento u objetivo de la conducta, y que ésta esté criminalizada o merezca serlo por consideraciones político criminales 98.”
1.4.- Factor Criminógeno y Proliferación de esta clase de ilícitos La informática y sus aplicaciones se han convertido en factores criminógenos, ya que proporcionan grandes posibilidades de cometer hechos ya punibles o merecedores de una pena, convirtiéndose el procesamiento informático de datos en un relevante factor criminógeno, además de que l a mayor facilidad del acceso y conocimiento de la información procesada por parte de los sujetos activos facilita su comisión . Se trata entonces de hechos en donde lo característico es la permanencia y el automatismo, dado esto por las especiales particularidades de los sistemas informáticos y telemáticos, ya que cuando se procesan datos es posible repetir dicho procesamie nto cuantas veces sea necesario, situación que puede producir una lesividad excesiva, además producen efectos con gran expansión debido a que no tienen los límites físicos de los delitos clásicos. Ahora bien, al procesamiento de datos hay que sumar también la transaccionalidad que estos producen en el internet o a través de este, creando ahora un espacio virtual de datos personales almacenados en la nube, por ejemplo, en las redes sociales, de datos o información económica de las transacciones en línea del comercio telemático mundial, la información de las búsquedas y navegación por la sup ercarretera de la información. En fin, ahora la interacción del ser humano con la tecnología genera una ingente cantidad de información, que puede ser aprovechada por personas inescrupulosas con fines ajenos al bien común. Sobre la proliferación de esta c lase de ilícitos y de acuerdo a lo dicho por el profesor Rovira del Canto 99 hacemos la siguiente clasificación:
98 R O M E O C A S A B O N A , C a r l o s M a r í a . “ P o d e r i n f o r m á t i c o y S e g u r i d a d j u r í d i c a ” . E d i t o r i a l F u n d e s c o 1 9 8 7 99 R O V I R A D E L C A N T O , E n r i q u e . “ D e l i n c u e n c i a I n f o r m á t i c a y F r a u d e s I n f o r m á t i c o s ” . E d i t . G r a n a d a . B i l b a o Madrid España 2002.
Dr. Santiago Acurio Del Pino
Pa gina 59
Derecho Penal Informa tico
1.4.1.- Desconocimiento de los nuevos sistemas de tratamiento de información. Se debe a que los usuarios de sistemas informáticos, cada vez eran mayores y estos no se percataron sobre el riesgo que se corría al manejar el computador. Rovira del Canto define este estado como el nacimiento de la Sociedad Global del Riesgo y de la Información, en donde a parece la necesidad diaria e imprescindible de crear sistemas de seguridad con el fin de proteger la información que una persona maneja ya que puede ser utilizada por otras personas con finalidades diferentes. A este punto deberíamos también incluir el tratamiento de información a través de medios telemáticos co mo lo que sucede en el Internet, ya que el inadecuado tratamiento de la información origina brechas de seguridad que generan serias implicaciones para las organizaciones expresadas generalmente en pérdidas económicas, sanciones legales y pér dida de reputación 100. 1.4.2.- La inexistencia y precariedad de los sistemas de seguridad. Consiste en el desconocimiento en lo relativo al po tencial y riesgo del computador, esto en la forma de retener y materializar la información dentro de las computadoras era muy vulnerable, lo que facilitaba la intromisión desmesurada de personas no autorizadas. Con el tiempo fueron apareciendo nuevos sistemas y nuevos computadores, así como el acceso por medio de redes, de esta manera los sistemas de seguridad existent es resultaron ineficientes ante el avance de la tecnología. Es por eso necesario asumir una posición de constante renovación y 100 C A N O , J e i m y , A p u n t e s s o b r e l a c u l t u r a o r g a n i z a c i o n a l d e s e g u r i d a d d e l a i n f o r m a c i ó n , R e f l e x i o n e s conceptuales de un ejercicio de construcción colectiva y prácticas individuales. Diciembre 2014, http://insecurityit.blogspot.com/search?updated -min=2014-01-01T00:00:00-05:00&updated -max=201501-01T00:00:00-05:00&max-results=10
Dr. Santiago Acurio Del Pino
Pa gina 60
Derecho Penal Informa tico revolución de los sistemas informáticos, de tal manera que conforme avance la tecnología, la información pueda ser protegida po r nuevos sistemas y modelos de seguridad 101. 1.4.3.- La Falta de leyes y normativas especiales Esto disminuyó la capacidad de las autoridades judiciales para investigar y sancionar este tipo de conductas, ya que no tienen respaldo en ley alguna y en caso de haber leyes al respecto, su sanción era poco severa. En algunos países no se creyó necesario contar con cuerpos normativos especiales sobre materia informática por la falsa creencia que los tipos tradicionales podían subsumir estas conductas.
1.5.- Porque es atractivo el Delito Informático 102 1. DEPENDENCIA DE LA TE CNOLOGÍA: la relación estrecha con la tecnología hace que los usuarios se conviertan en dependientes de ella. 2. ANONIMATO Y SUPLANTA CIÓN DE IDENTIDAD: la relativa facilidad para “desaparecer” en el mundo virtual dificulta el rastreo de los responsables de acciones maliciosas u ilegales. Además, es sencillo para el atacante hacerse pasar por quien no es o encubrir su identidad. 3. FACILIDAD DE ADAPTAC IÓN: las herramientas pueden ser modificadas fácilmente para adaptarse al medio y a las dificultades encontradas durante su empleo. 4. ESCALABILIDAD: un solo programa dañino (o ataque o transacción) puede generar grandes ingresos (más por menos). 5. UNIVERSALIDAD DE ACC ESO: cualquiera puede convertirse en un delincuente porque las herramientas “están al alcance de todos ”, al igual que las víctimas. 6. PROLIFERACIÓN DE HER RAMIENTAS Y CÓDIGOS: este ítem se encuentra relacionado directamente con el punto anterior, ya que Internet provee las herramientas necesarias para que c ualquier persona con escasos conocimientos pueda llevar adelante un delito informático. 7. DIFICULTAD PARA PERS EGUIR A LOS CULPABLE S: las jurisdicciones internacionales son un escollo difícil para establecer caminos legales y llegar a un atacante. 8. INTANGIBILI DAD DE LAS PRUEBAS: teniendo en cuenta que este tipo de delitos se llevan a cabo en el mundo virtual, obtener pruebas válidas y lograr que la corte las comprenda y considere reviste una cierta dificultad. 9. GRUPOS DE DELINCUENT ES PROFESIONALES: miles de grupos integrados por distintos personajes con diversos niveles de conocimiento técnico, legal y financiero (trabajo interdisciplinario) logran una profesionalización del cibercrimen difícil de imaginar. 10.ESCASA CONCIENCIA PO R PARTE DEL USUARIO: el mismo suele utilizar cualquier tipo de tecnología sin recibir capacitación al respecto. 101 P a r a m a y o r i n f o r m a c i ó n s o b r e e s t e t e m a r e v i s a r e l B l o g d e J e y m y C a n o 102 B O R G H E L L O , C r i s t i a n , C r i m e n w a r e : E l C r i m e n d e l s i g l o X X I , E S E T L a t i n o a m é r i c a , 2 0 0 9
Dr. Santiago Acurio Del Pino
Pa gina 61
Derecho Penal Informa tico 2. – Sujetos del Delito Informático En derecho penal, la ejecución de la conducta punible supone la existen cia de dos sujetos, a saber, un sujeto activo y otro pasivo. Estos, a s u vez, pueden ser una o varias personas naturales o jurídicas. De esta suerte, el bien jurídico protegido será en definitiva el elemento localizador de los sujetos y de su posición frente al delito. Así, el titular del bien jurídico lesionado será el suje to pasivo, quien puede diferir del sujeto perjudicado, el cual puede, even tualmente, ser un tercero. De otra parte, quien lesione el bien que se protege, a través de la realización del tipo penal, será el ofensor o sujeto activo 103.
2.1.- Sujeto Activo De acuerdo al profesor chileno Mario Garrido Montt 104, se entiende por tal quien realiza toda o una parte de la acción descrita por el tipo penal. Las personas que cometen los “Delitos Informáticos ” son aquellas que poseen ciertas características que no presen tan el denominador común de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible, o bien son hábiles en el uso de los sistemas informatizados, aun cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. De esta forma, la persona que “entra” en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que “desvía fondos ” de las cuentas de sus clientes. Outsiders 10% Insiders 90%
Delitos Informáticos Insiders
Outsiders
Cuadro 1: Porcentaje de los delitos informáticos cometidos en contra de empresas Al respecto, según un estudio publicado en el Manual de las Naciones 103 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a Cono Sur. 104 G A R R I D O M O N T T , M A R I O . N o c i o n e s F u n d a m e n t a l e s d e l a T e o r í a d e l D e l i t o E d i t . J u r í d i c a d e C h i l e , 1992. Citado por Jijena Leiva Renato, Los Delitos Informáticos y la Protección Penal a la Intimidad, Editorial Jurídica de Chile, 1993
Dr. Santiago Acurio Del Pino
Pa gina 62
Derecho Penal Informa tico Unidas para la prevención y control de delitos informáticos (Nros. 43 y 44), el 90% de los delitos realizados mediante la computadora fueron ejecutados por empleados de la propia empresa afectada ( Insiders). Asimismo, otro reciente estudio realizado en América del Norte y Europa indi có que el 73% de las intrusiones informáticas cometidas eran atribuibles a fuentes interiores y solo el 23% a la actividad delictiva externa (Outsiders ). El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pudieran encont rarse en un empleado del sector de procesamiento de datos. Sin embargo, teniendo en cuenta las características ya mencionadas de las personas que cometen los “delitos informáticos ”, estudiosos en la materia los han catalogado como “delitos de cuello blan co” término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943. Efectivamente, este conocido criminólogo señala un sinnúmero de conductas que considera como “delitos de cuello blanco ”, aun cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos, y dentro de las cuales cabe destacar las “violaciones a las leyes de patentes y fábrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasión de im puestos, las quiebras fraudulentas, corrupción de altos funcionarios, entre otros ”. Asimismo, este criminólogo estadounidense dice que tanto la definición de los “delitos informáticos ” como la de los “delitos de cuello blanco ” no están de acuerdo al inte rés protegido, como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. Entre las características en común que poseen ambos delitos tenemos que: “el sujeto activo del delito es una persona de cierto status socioeconómico, su comisión no puede explicarse por pobreza ni por mala habitación, ni por carencia de recreación, ni por baja educación, ni por poca inteligencia, ni por inestabilidad emocional .” 105 Tiedemann, frente a esta definición nos dice “De manera creciente, en la nueva literatura angloamericana sobre estos temas se emplea el término “hecho penal profesional ” (Occupational Crime). Con esta referencia al papel profesional y a la actividad económica, la caracterización del delito económico se fundamenta ahora menos en la respetabilidad del autor y su pertenencia a la capa social alta y más en la peculiaridad del acto (modus operandi) y en el objetivo del comportamiento”. Además, el profesor de la Universidad de Friburgo señala que “respecto a la personalidad de los autores de estas manipulaciones se puede anotar que casi siempre se trata de principiantes o de autores casuales, quienes, 105 S U T H E R L A N D E d w i n , C i t a d o p o r T i e d e m a n n K l a u s , P o d e r E c o n ó m i c o y D e l i t o .
Dr. Santiago Acurio Del Pino
Pa gina 63
Derecho Penal Informa tico contrariamente al punto de vista sostenido principalmente por la doctrina norteamericana, no son en modo alguno personas con una inteligencia superior a la media. En especial las frecuentes manipulaciones del input o del output por parte de empleados técnicos, no suponen conocimientos previos de computación. Por otro lado, el mencionado grupo de jóvenes, quienes por razones casi deportivas intentan penetrar las grandes computadoras comerciales, constituye un nuevo tipo criminológico ” 106. . A este respecto Marcelo Huerta y Claudio Líbano dicen que “en lo relativo a tratarse de “Ocupacional Crimes”, es cierto que muchos de los delitos se cometen desde dentro del sistema por personas que habitualmente lo operan y que tienen autorizado los accesos (Insiders). Sin embargo, las tendencias modernas apuntan hacia el campo de la teleinformática a través del mal uso d el ciberespacio y las supercarreteras de la información o redes de telecomunica ciones. Es decir, cada día gana más terreno el delito informático a distancia . (Outsiders).” 107 Es difícil elaborar estadísticas sobre ambos tipos de delitos (delitos de cuello blanco y delitos informáticos). La “cifra negra ” es muy alta; no es fácil descubrirlo y sancionarlo, en razón del poder económico de quienes los cometen, pero los daños económicos son altísimos; existe una gran indiferencia de la opinión pública sobre los daños ocasionados a la sociedad; la sociedad no considera delincuentes a los sujetos que cometen este tipo de delitos, no los segrega, no los desprecia, ni los desvaloriza, por el contrario, el autor o autores de este tipo de delitos se considera a sí mis mos “respetables ”. Esto en el caso de los delitos informáticos tiene relación con lo que se ha dado a llamar el síndrome de “Robin Hood” es decir a “la creencia en cierto modo patológica de que mientras que robar a una persona física que tiene sus problema s y necesidades materiales como todo hijo de vecino es un hecho inmoral e imperdonable, robar a una institución como la banca que gana decenas de miles de millones al año es casi un acto social que contribuye a una más justa distribución de la riqueza ” 108. Como sostiene Gutiérrez Francés, “con carácter general, la delincuencia mediante computadoras se inscribe dentro de las formas de criminalidad de “Cuello Blanco”, propias de la delincuencia económica, por lo cual, desde el punto de vista criminológico, pre sentan las mismas peculiaridades que ésta, con las notas específicas que aporta lo informático ” 109. Por mi parte, considero que a pesar de que los “delitos informáticos ” no poseen todas las características de los “delitos de cuello blanco ”, si coinciden en 106 T I E D E M A N N , K l a u s , P o d e r E c o n ó m i c o y D e l i t o , N u e v o F o r o P e n a l N ° 3 0 , o c t u b r e - d i c i e m b r e 1 9 8 5 , p . 481 – 492 Supervisión de la traducción española a cargo de la Dra. Amelia Mantilla viuda de Sandoval 107 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a Cono Sur. 108 C A M A C H O L O S A , L u i s , E l D e l i t o I n f o r m á t i c o . 109 G U T I É R R E Z F R A N C É S , M a r í a L u z , F r a u d e I n f o r m á t i c o y e s t a f a .
Dr. Santiago Acurio Del Pino
Pa gina 64
Derecho Penal Informa tico un número importante de ellas, por ello, diremos que la cualificación del sujeto activo no es un elemento determinante en la delincuencia informática. Sólo algunos delitos, como los cometidos por los hackers propiamente dichos, podrán considerarse como realizados por un sujeto altamente calificado. Los más, no requieren, en cuanto al sujeto, calificación, ya que pueden cometerse por personas que recién se inician en la informática o por niños que están aprendiendo individualmente en sus hogares, en ese con texto, los delincuentes informáticos o tecnológicos responden a diferente tipos de perfiles de individuos o grupos que tienen en común un gusto y pasión por las tecnologías y sus posibilidades, que aprovechándose del desconocimiento por parte de los ciudadanos comunes, diseñan estrategias (Ingeniería Social 110) para lograr sus objetivos ilícitos, vulnerando los derechos y garantías propias de los nacionales en el uso de las tecnologías de información. A este respecto el jurista mexicano Jorge Lara Rivera, en un artículo publicado en Internet 111 nos dice que “Tradicionalmente se ha considerado que este tipo de delitos se encuadra dentro de los llamados “delitos de cuello blanco ” debido a que se requiere que el sujeto activo tenga un conocimiento especi alizado en informática. Ahora bien, no podemos negar que la especialización informática facilita a los sujetos a incidir criminalmente por medio de las computadoras. Sin embargo, el mundo de la computación se va convirtiendo paulatinamente en un área común y corriente, gracias a la facilidad con la que los modernos sistemas y programas pueden ser controlados. Dentro de poco tiempo la operación de un sistema electrónico será tan fácil como manejar una televisión, por ejemplo. De esta manera, se puede ubicar como sujeto activo de un delito cibernético a un lego en la materia o a un empleado de un área no informática que tenga un mínimo conocimiento de computación. Por no hablar del problema que se plantea con los llamados “niños genio” que son capaces no sólo de dominar sistemas electrónicos básicos, sino que pueden incluso intervenir exitosamente en operaciones de alto grado de dificultad técnica, acarreando más problemas al tambaleante concepto de la impunidad para el caso de que alguno de estos menores logre cometer estragos importantes a través de los medios computacionales que maneje ”. 2.1.1.- Conociendo al Enemigo Podemos decir que n o existe una definición concreta o perfil exacto sobre los delincuentes informáticos. Se habla de características como solita rios, orientados por las tecnologías y sus avances, inestabilidad emocional y con problemas para definir los límites de sus actuaciones e impactos. En este sentido, cualquiera persona puede llegar a ser un delincuente informático, basta una motivación, una creencia racionalizada, el medio (generalmente tecnológico) y el momento para actuar. Para los Autores chilenos Marcelo Huerta y Claudio Líbano el acceso no 110 E s e l c o n j u n t o d e t é c n i c a s y t r u c o s e m p l e a d a s p o r i n t r u s o s y h a c k e r s p a r a e x t r a e r i n f o r m a c i ó n s e n s i b l e de los usuarios del sistema informático. 111 L A R A R I V E R A , J o r g e , L o s D e l i t o s I n f o r m á t i c o s . w w w . j u s r i s m á t i c a . c o m .
Dr. Santiago Acurio Del Pino
Pa gina 65
Derecho Penal Informa tico autorizado o indebido a los sistemas informáticos es denominado hacking (delito cometido por hackers). Estos autores clasifican al hacking en directo e indirecto. El hacking directo consiste en “acceder de manera indebida, sin autorización o contra derecho a un sistema de tratamiento de la información, con el fin de obtener una satisfacción de ca rácter intelectual por el desciframiento de los códigos de acceso o passwords, no causando daños inmediatos y tangibles en la víctima, o bien por la mera voluntad de curiosear o divertirse de su autor ” 112. De otro lado el hacking indirecto es el acceso indebido a los sistemas informáticos como medio para la comisión de otros delitos informáticos como el fraude, sabotaje, y el espionaje. En mi opinión, el sujeto activo en esta clase de infracciones puede ser cualquier persona, pero para algunos autores como los chilenos Huerta y Líbano se ha querido proponer para esta clase de infracciones a sujetos calificados denominados Piratas Informáticos (Hackers o Crackers), para mi dicha posición es muy restringida e imprecisa ya que ellos de una manera a priori señalan c omo sujetos activos de esta clase de infracciones a sujetos calificados, dejando de lado a las demás personas que no tienen estas características pero que por su posición ya sea laboral u operativa podrían cometer tales delitos. 2.1.2.- Los Hackers y los C rackers “Los piratas ya no tienen un parche en su ojo ni un garfio en reemplazo de la mano. Tampoco existen los barcos ni los tesoros escondidos debajo del mar. Llegando al año 2000, los piratas se presentan con un cerebro desarrollado, curioso y con muy pocas armas: una simple computadora y una línea telefónica. Hackers 113”. Con este párrafo empieza un artículo del periodista argentino Leandro Zanoni. El autor describe la realidad acerca de los mal llamados piratas informáticos, ya que en estricto sentido n os les calza dicho apelativo porque de acuerdo al Diccionario de la Real Academia de la Lengua, Pirata es ladrón que roba en el mar, es una persona cruel y despiadada es un estafador. La palabra Hacker viene del término anglosajón “HACK” que significa golp ear con un hacha. Todos los calificativos que trae la acepción del diccionario de la Real Academia de la Lengua, me hacen pensar que tales, no van con la personalidad o la actividad que los hackers desarrollan, ya que los hackers básicamente lo que buscan es el conocimiento y la información contenida en millones bases de dato s alrededor del mundo, por consiguiente el LEIV MOTIV que les impulsa a violar las seguridades, a penetrar de forma no autorizada a sistemas de tratamiento de información, a desmantela r una y otra vez los sistemas de seguridad implementados tanto en la esfera pública como en la privada, es el conocimiento , el saber, o simplemente probar que lo que ellos saben es la llave para abrir cualquier puerta, aunque lo que está detrás de esta no siempre sea algo a lo que tengan autorización 112 H U E R T A M I R A N D A , M a r c e l o y L Í B A N O M A N Z U R C l a u d i o , L o s D e l i t o s I n f o r m á t i c o s , E d i t o r i a l J u r í d i c a Cono Sur. 113 Z A N O N I L e a n d r o , L a V e r d a d e r a c a r a d e l o s P i r a t a s d e l f i n d e S i g l o , A r t í c u l o p u b l i c a d o e n e l P e r i ó d ic o La Nación de Buenos Aires. 1999
Dr. Santiago Acurio Del Pino
Pa gina 66
Derecho Penal Informa tico esto es conocido como JOY RIDING. A los hackers no les importa que, en ese proceso de aprehensión de la información, se violen leyes, reglamentos, derechos de terceros, o cualquier regla que norme el acceso a dicha información. Para ellos el fin justifica los medios , su principal objetivo no es convertirse en delincuentes sino “pelear contra un sistema injusto que no les permite el acceso a toda la información que ellos necesitan ” utilizando como arma al propi o sistema. Su guerra es silenciosa, pero muy convincente. Los hackers son individuos que poseen una cierta ideología plasmada en lo que ellos mismos han denominado los Diez Mandamientos del Hacker: I. Nunca destroces nada intencionalmente en la Computado ra que estés crackeando. II. Modifica solo los archivos que hagan falta para evitar tu detección y asegurar tu acceso futuro al sistema. III. Nunca dejes tu dirección real, tu nombre o tu teléfono en ningún sistema. IV. Ten cuidado a quien le pasas info rmación. A ser posible no pases nada a nadie que no conozcas su voz, número de teléfono y nombre real. V. Nunca dejes tus datos reales en un BBS, si no conoces al SYSOP, déjale un mensaje con una lista de gente que pueda responder de ti. VI. Nunca hackees en computadoras del gobierno. El gobierno puede permitirse gastar fondos en buscarte mientras que las universidades y las empresas particulares no. VII. No uses BLUEBOX 114 a menos que no tengas un servicio local o un 0610 al que conectarte. Si se abusa de la BLUEBOX, puedes ser cazado. VIII. No dejes en ningún BBS mucha información del sistema que estas crackeando. Di sencillamente "estoy trabajando en un UNIX o en un COSMOS …" pero no digas a quien pertenece ni el teléfono. IX. No te preocupes en pregunt ar, nadie te contestara, piensa que, por responderte a una pregunta, pueden cazarte a ti, al que te contesta o a ambos. X. Punto final. Puedes pasearte todo lo que quieras por la WEB, y mil cosas más, pero hasta que no estés realmente hackeando, no sabrás lo que es. Como podemos observar, la misión de un hacker nunca es la de destruir, causar daños o beneficiarse económicamente de la información, que de forma no autorizada logra apoderarse, esto más bien es característica de los llamados Crackers, que en mi concepto son los verdaderos piratas informáticos. 114 E l B L U E B O X o c a j a a z u l e s u n a p a r a t o e l e c t r ó n i c o q u e e m i t e d i v e r s o s t o n o s p o r l a l í n e a t e l e f ó n i c a y que se utiliza para realizar phone phreaking o hacking telefónico. El tono básico es un silbido de 2600 Hz que fue imitado por JOHN DRAPER con un silbato que regalaban en cajas de cereal, lo cual le hizo famoso. http://es.wikipedia.org/wiki/Caja_azul
Dr. Santiago Acurio Del Pino
Pa gina 67
Derecho Penal Informa tico Los crackers 115 por otro lado son aquellas personas que siempre buscan molestar a otros, piratear software protegido por leyes, destruir sistemas muy complejos mediante la transmisión de poderosos virus, etc. Esos son los crackers. Adolescentes inquietos que aprenden rápidamente este complejo oficio. Se diferencian con los Hackers porque no poseen ningún tipo de ideología cuando realizan sus “trabajos”. Las motivaciones que mueven tanto a un hacker como a un cracker pueden ser variadas 116: A) S OC I A L E S : Tratan de ganar la aceptación de su propio grupo social. Aquí se confunden el sentimiento de superioridad con el poder de control sobre los demás, compitiendo y a su vez cooperando entre ellos. B) T É C N I C A S : El fin perseguido es demostrar las fallas de los s istemas que, según ellos, fueron dejadas intencionalmente. A la vez que ellos mismos aprenden, exponen las puertas abiertas halladas luego de su “investigación científica ”. Ayudan al progreso de la tecnología, forzando a la industria tecnológica a mejorar sus productos. Estos son los menos y muchos tratan de esconderse tras esta excusa. Así por ejemplo se organizan concursos por parte de empresas multinacionales como Microsoft o Linux, las cuales ofrecen como premio las máquinas o ingentes cantidades de din ero a las personas que vulneren la seguridad o traten de entrar a un sistema protegido o resguardado por un programa desarrollado por dichas compañías, (Windows 2000, XP, VISTA, Windows 7, 8, y 10 en el caso de la Microsoft y Red Hat, UMBUTU, en el de Linu x). C) P OL Í T I C A S 117: Son los que tienen firmes convicciones políticas. Así lo confirman las intrusiones a los sitios de Palacio de Planalto y del Supremo Tribunal Federal brasileño en Julio de 1998, o al Centro de Investigaciones Atómicas de Bombay durante los incidentes indopakistaníes, para dejar sus manifiestos políticos en las páginas web, el caso registrado en Estonia en el 2008 o el caso más cercano es el del periodista Argentino José Luis Cabezas asesinado supuestamente por un agente de la policía argent ina, cuando se cumplió dos años de su muerte hackers intervinieron la página web de la Corte Suprema de Argentina y colocaron una foto con la leyenda “dos años de impunidad”, ante este ataque se dijo que los hackers golpearon las puertas cibernéticas de la Justicia. Las operaciones del grupo 115 L a p a l a b r a C r a c k e r v i e n e d e l t é r m i n o a n g l o s a j ó n c r a c k q u e s i g n i f i c a “ r o m p e r ” , t a m b i é n e s e l a c r ó n i m o de “Criminal Hacker” 116 F Í G O L I P A C H E C O , A n d r é s . E l A c c e s o N o A u t o r i z a d o a S i s t e m a s I n f o r m á t i c o s , U r u g u a y 1 9 9 8 , P u b l i c a c i ón hecha en Internet, www.derecho.org. 117 E n e s t e p u n t o p o d e m o s o b s e r v a r l a s e r i e d e a t a q u e s o W E B D E F A C E M E N T r e a l i z a d a s a p á g i n a s d e l estado ecuatoriano, por ejemplo, la de la Asamblea Constituyente, la página de Google Ecuador, la de la Prefectura del Oro, la del ISSFA. Todas recogidas en el sitio web www.zone-h.com
Dr. Santiago Acurio Del Pino
Pa gina 68
Derecho Penal Informa tico ANONIMUS en nuestro país por el caso de diario “El Universo ” Generalmente, la amplia difusión periodística es lo que ayuda a propagar su causa. Para Andrés Fíjoli esto es lo que se llama hacktivismo 118 político, pudiendo derivar en ciberterrorismo. D) E C O N ÓM I C A S : Se aprecia en el fraude y el espionaje informático tanto por parte de empresas competidoras, como por aquellos que se valen del chantaje para no revelar secretos o sabotear el sistema vulnerado. Como ejemplo de esto podemos ver lo sucedido con Jerome Karviel, conocido como el Trader Loco, que logro que e l Banco Francés Société Générale perdiera 4.900 millones de euros , usurpando los códigos de acceso informático de los operadores de la instancia de control, donde est uvo empleado antes de pasar a ser 'broker', en 2005. E) L A B OR A L E S : Comprende a aquellos que buscan un empleo demostrando que son mejores que los que diseñaron el sistema de seguridad que vulneran. También abarca a los que son contratados o bajo promesa de una recompensa ponen a prueba las nuevas medidas de seguridad de los sistemas informáticos. Aquí podemos señalar el caso de la llamada Legión del Mal (Legion of Doom LoD), en un paralelismo de la llamada Liga de la Justicia de los populares personajes de DC comics, los cuales causaban una serie de ataques a varias compañías, uno de sus miembros llamado CONTROL C, fue contratado por una compañía telefónica de Estados Unidos, esto provoco que los demás miembros de LoD dejarán de atacarla por el respeto a su antiguo camarada. F) G U B E R N A M E N TAL E S : Son los cometidos por un gobierno contra otro. Fue el caso de la guerra del Golfo y la reciente guerra de los Balcanes , también los ataques de China contra Google descubiertos recientemente. Es lo que se llama “INFORMATION WARFARE”, como el espionaje por parte de los servicios de inteligencia. Por supuesto, que estos casos raramente salen a la luz. Un rasgo que ha caracterizado al hacker en estos últimos años es la buena comunicación que muchas veces se mantiene entre el los. Uno de mejores canales usados es el IRC (Internet Relay Chat) y ahora a través de las redes sociales como Facebook o twitter. Allí, es donde pueden recibir las primeras lecciones, conocer otras personas para formar grupos e intercambiar información. E l hacker nunca quiere revelar su verdadera identidad ni tampoco quiere ser rastreado, por ello crean seudónimos, se ocultan tras VPNS privadas, usan la red THOR de comunicaciones, proxis públicos, etc. Según Leandro Zanoni, “la cultura popular define a lo s hackers como aquellos que, con ayuda de sus conocimientos informáticos consiguen acceder a los ordenadores de los bancos y de los negociados del gobierno. Bucean por 118 P a r a m u e s t r a p o d e m o s v e r a l g r u p o d e H a c k e r s d e i z q u i e r d a l l a m a d o T H E L A T I N H A C K T E A M e n www.zone-h.com o los llamados ANONIMOUS, que ocupan un lugar más adelante en este trabajo.
Dr. Santiago Acurio Del Pino
Pa gina 69
Derecho Penal Informa tico información que no les pertenece, roban software caro y realizan transacciones de una cuenta bancaria a otra ” 119. Los criminalistas, por otra parte, describen a los hackers en términos menos halagadores. Donn B. Parker los denomina “violadores electrónicos 120” y August Bequai los describe como “vándalos electrónicos 121”. Hay otros que los considera n como los autores de lo que no se encuentra en el manual de uso de programas y equipos informáticos. Estos autores hacen una clara distinción entre el hacker que realiza sus actividades por diversión y el empleado que de repente decide hacer algo malo. Po r tanto, parece que tenemos una definición en la que caben dos extremos: por un lado, el moderno ladrón de bancos y por otro el inquieto buscador de la información de alguien más . Ambas actividades (y todas las intermedias) son calificadas con el mismo tér mino. Difícilmente se podría considerar esto como un ejemplo de conceptualización precisa. Una gran parte de esta ambigüedad puede seguirse desde el origen durante estos aproximadamente 20 años de vida del mencionado término. El término comenzó a usarse ap licándolo a un grupo de pioneros de la informática del MIT, a principios de la década de 1960. Desde entonces, y casi hasta finales de la década de 1970, un hacker era una persona obsesionada por conocer lo más posible sobre los sistemas informáticos. Los diseñadores del ordenador Apple, J OB S y W O ZN I A C K , pueden considerarse hackers (recordando que ambos vendían las llamadas cajas azules para financiar su compañía AP LE COMPUTERS) en este sentido de la palabra, hasta el ahora multimillonario B I L L G AT E S podría en ese entonces ser considerado un hacker. Pero a principios de la década de 1980, influidos por la difusión de la película Juegos de Guerra, y el ampliamente publicado arresto de una “banda de hackers ” conocida como la 414, los hackers pasaron a ser cons iderados como chicos jóvenes capaces de violar sistemas informáticos de grandes empresas y del gobierno. “Desgraciadamente, los medios de información y la comunidad científica social no han puesto mucho esfuerzo por variar esta definición ” 122. El problema pa ra llegar a una definición más precisa radica, tanto en la poca información que hay sobre sus actividades diarias, como en el hecho de que lo que se conoce de ellos no siempre cabe bajo las etiquetas de los delitos conocidos. Es decir, no hay una definició n legal que sea aplicable a los hackers, ni todas sus actividades conllevan la violación de las leyes. Esto lleva a que la aplicación del término varíe según los casos, dependiendo de los cargos que se puedan imputar y no a raíz de un claro entendimiento d e lo que el término significa. Este problema, y la falta de entendimiento de lo que significa ser un hacker, convierten a esta en una etiqueta excesivamente utilizada para aplicar a muchos tipos de intrusiones informáticas. De todo lo dicho es necesario dejar en claro que los hackers son personas interesadas en conseguir el conocimiento por cualquier medio sea este legal o ilegal y que sus trabajos siempre van inspirados por una ideología determinada, ya sea de 119 V e r c i t a a n t e r i o r 120 P A R K E R , D . B , C i t a d o p o r R O M E O C A S A B O N A C a r l o s M . P o d e r I n f o r m á t i c o y S e g u r i d a d J u r í d i c a . 121 B E Q U A I A u g u s t , C i t a d o p o r R O M E O C A S A B O N A C a r l o s M . P o d e r I n f o r m á t i c o y S e g u r i d a d J u r í d i c a . 122 M E R L A T , M á x i m o , S e g u r i d a d I n f o r m á t i c a : L o s H a c k e r s , B u e n o s A i r e s A r g e n t i n a , 1 9 9 9 , P u b l i c a c i ó n h e c h a en Internet. www.monografías.com
Dr. Santiago Acurio Del Pino
Pa gina 70
Derecho Penal Informa tico contenido social, político, laboral, etc. Mi entras el cracker que en mi concepto es el verdadero pirata informático , realiza sus trabajos principalmente con una ánimo de lucro por ejemplo en el caso del espionaje informático, los fraudes etc. y a veces con un animus nocendi en el caso de la fabricac ión de virus , troyanos , bombas lógicas, pero en definitiva la línea que separa a un hacker de un cracker siempre será muy delgada, y el jurista debe siempre saber cuándo esa línea se ha cruzado a efectos de sancionar con mayor o menor rigor este tipo de co nductas. Para finalizar diremos que este tipo de conductas dolosas si bien en su mayoría pueden ser cometidas por sujetos calificados dígase Hackers o Crackers, no es menos cierto también que dado el avance de la tecnología y la facilidad que se tiene ahora de encontrar cualquier tipo de información, que cualquier persona puede cometer esta clase de ilícitos ya sea que recién se inician en la informática o sean unas personas expertas. En la red ahora se pueden encontrar varios recursos, como manuales c omo el llamado libro negro del hacker, cursos tutoriales en la plataforma de YOUTUBE (ejemplo de esto es el programa LOIC), cursos en línea donde se enseña a hackear, es decir las fuentes de información son variadas, por lo que, el sujeto activo de esta clase de conductas puede ser cualquier persona, que tenga el motivo, la oportunidad y las herramientas para hacerlo.
2.1.2.1.- ANONYMOUS: del ciberactivismo al h activismo. Nacen en el año 2004, b ajo la denominación de ANONYMOUS, colectivo de personas que deciden mantenerse anónimas 123 y que bajo el formato de colmena o HIVE se unen para realizar protestas contra cuestiones de muy diverso ámbito, desde las leyes antipiratería hasta la cienciología o en contra de los gobiernos opresores de muchos países de Orient e Medio. Su objetivo es el hactivismo 124 y la protesta social a través de redes sociales 125, así como el uso de técnicas de Denegación de Servicio Distribuido DDoS 126.
123 E l a n o n i m a t o , e s l a r e n u n c i a a i d e n t i f i c a r s e e n l a i n t e r a c c i ó n e n f o r o s o g r u p o s d e d i s c u s i ó n e n internet, considerado ese acto como la principal característica que hace de esos espacios virtuales un lugar colectivo, donde el sujeto se disuelve en la participación. 124 E l H A C K T I V I S M O e s l a f u s i ó n d e l h a c k i n g y e l a c t i v i s m o , l a u t i l i z a c i ó n d e l a s t é c n i c a s h a c k e r s p a r a una causa política. 125 D e n t r o d e s u « p e n s a m i e n t o » m a n i f i e s t a n l a a u s e n c i a d e l í d e r e s v i s i b l e s y p r o c u r a n l a m o v i l i z a c i ó n mediante la convocatoria en redes sociales como FACEBOOK, y TWITTER. 126 E s t o s a t a q u e s s e b a s a n e n u t i l i z a r l a m a y o r c a n t i d a d p o s i b l e d e r e c u r s o s d e l s i s t e m a o b j e t i v o , d e manera que nadie más pueda usarlos, perjudicando así seria mente la actuación del sistema, especialmente si debe dar servicio a mucho usuarios Ejemplos típicos de este ataque son: El consumo de memoria de la máquina víctima, hasta que se produce un error general en el sistema por falta de memoria, lo que la deja fuera de servicio, la apertura de cientos o miles de ventanas, con el fin de que se pierda el foco del ratón y del teclado, de manera que la máquina ya no responde a pulsaciones de teclas o de los botones del ratón, siendo así totalmente inutilizada, en máq uinas que deban funcionar ininterrumpidamente, cualquier interrupción en su servicio por ataques de este tipo puede acarrear consecuencias desastrosas. PÁEZ, Juan José y ACURIO DEL PINO, Santiago. Derecho y Nuevas Tecnologías, Corporación de Estudios y Publicaciones, ISBN No. 978 -9978-86-920-8-18, Año 2010, Quito Ecuador.
Dr. Santiago Acurio Del Pino
Pa gina 71
Derecho Penal Informa tico
Se comunican a través de canales de chat/ IRC desde donde coordinan sus protestas, en estos canales existen los siguientes roles jerárquicos:
~ & @ %
Tipos de Usuarios Administrador o creador del Canal Sucesor Operadores Usuarios
Los ataques en este formato tienen el mismo concepto de la utilización de redes robot o páginas web donde se alojan Blogs para realizar ataques de denegación de servicio, para lo cual utilizan una herramienta denominada LOIC (Low Orbit Ion Cannon) esta aplicación realiza este ataque enviando una gran cantidad de paquetes TCP, paquetes UDP o peticiones HTTP con objeto de determinar cuál es la cantidad de peticiones por segundo que puede resolver la red objetivo antes de dejar de funcionar 127.
127 h t t p : / / e s . w i k i p e d i a . o r g / w i k i / L o w _ O r b i t _ I o n _ C a n n o n
Dr. Santiago Acurio Del Pino
Pa gina 72
Derecho Penal Informa tico
A.- Operación Cóndor Libre Esta operación realizada por el colectivo ANONYMOUS en el Ecuador tiene como finalidad reivindicar la Libertad de Expresión y el Derecho de Opinión que según este grupo se ha violentado con la sentencia en contra del Diario el Universo y los ataques generalizados del Presidente Rafael Correa a la prensa en nuestro país. Para ello han lanzado un comunicado haciendo referencia a lo que dispone el Art. 19 de la Declaración de los Derechos Humanos, así como han colgado varios videos en el sitio de YOUTUBE 128, para advertir de la realización de la operación y las razones de la misma. Esta operación estaba prevista para el 10 de agosto del 2011 cuando el Presidente Correa de su informe a la nación en la Asamblea Nacional. Una vez conocida esta información la Secretaria Nacional de Inteligencia evaluó la posible acción de este grupo hactivista y realizo el correspondiente informe al Presidente de la República a fin de que se tomen las medidas más adecuadas para proteger la i nformación pública y el derecho de los ciudadanos a acceder a las tecnologías de la información y la comunicación como señala la Constitución.
B.- Operación Justicia Luego de realizada la operación Cóndor Libre el colectivo Anonimous, lanzó una ofensiva contra las páginas de la Función Judicial, el Consejo de la Judicatura y la Fiscalía General del Estado a través de un comunicado colocado en el sitio web de YOUTUBE 129, esto fue lanzado el día 30 de septiembre del 2011 donde a través de ataques de Denegación de Servicio (DoD) atacaron a las páginas mencionadas.
C.- Recomendaciones en materia de Ciberseguridad 128 h t t p : / / w w w . y o u t u b e . c o m / w a t c h ? v = B v a L J V y 8 x c A 129 h t t p : / / w w w . y o u t u b e . c o m / w a t c h ? v = k R Z V - z 0 O D 6 w & f e a t u r e = r e l a t e d
Dr. Santiago Acurio Del Pino
Pa gina 73
Derecho Penal Informa tico 1. Se debe recomendar a las autoridades competentes para que se realice un inventario de las Infraestructuras Críticas 130 del Estado Ecuatoriano. Son infraestructuras críticas las siguientes: Administración (servicios básicos, instalaciones, redes de información, y principales activos y monumentos del patrimonio nacional); Instalaciones del Espacio; Industria Química (producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc.); Agua (embalses, almacenamiento, tratamiento y redes); Centrales y Redes de energía (producción y distribución); Tecnologías de la Información y las Comunicaciones (TIC); Salud (sector e infraestructura sanitaria); Transportes (aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico, etc.); Alimentación (producción, almacenamiento y distribución); y Sistema Financiero y Tributario (entidades bancarias, información, valores e inversiones) 131. 2. Se debe transformar el concepto de seguridad tradicional y dar paso a una nueva función del Estado que es la defensa de su soberanía en el espacio digital y la protección de los derechos de sus ciberciudadanos frente a las amenazas emergentes en el escenario de una vida más digital y gobernada por la información. 3. El estado debe empezar a articular el plan de ciberseguridad 132 del país, en el que necesariamente debemos considerar las acciones básicas que debe desarrollar una nación como el Ecuador para proteger de manera coherente, sistemática y sistémica los activos de información crítica, distribuidos en toda su infraestructura y cómo ellos impactan en las operaciones del Estado Ecuatoriano. 4. El estado ecuatoriano debe conformar su propio CERT 133 para así poder contrarrestar las posibles emergencias en Ciberseguridad que nuestro país
130 S o n a q u e l l a s i n s t a l a c i o n e s , r e d e s , s e r v i c i o s y e q u i p o s f í s i c o s y d e t e c n o l o g í a d e l a i n f o r m a c i ó n c u y a interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las instituciones del Estado y de las Administraciones Públicas . Concepto de la Direc tiva No. 2008/114/CE de la Comunidad E uropea. 131 M a n u e l S á n c h e z G ó m e z - M e r e l o , I n f r a e s t r u c t u r a s C r í t i c a s y C i b e r s e g u r i d a d . 2 0 1 1 132 “ L a c i b e r s e g u r i d a d e s e l c o n j u n t o d e h e r r a m i e n t a s , p o l í t i c a s , c o n c e p t o s d e s e g u r i d a d , s a l v a g u a r d a s de seguridad, dir ectrices, métodos de gestión de riesgos, acciones, formación, prácticas idóneas, seguros y tecnologías que pueden utilizarse para proteger los activos de la organización y los usuarios en el ciberentorno”. Manuel Sánchez Gómez -Merelo, Infraestructuras Críticas y Ciberseguridad. 2011 133 C o m p u t e r E m e r g e n c y R e s p o n s e T e a m
Dr. Santiago Acurio Del Pino
Pa gina 74
Derecho Penal Informa tico está propenso , por la masificación de las tecnologías de la información y la comunicación 134.
2.1.2.2.- El EcuCERT 135. El EcuCERT es el Centro de Respuesta a Incidentes Informáticos de la Agencia de Regulación y Control de las Telecomunicaciones del Ecuador. Su compromiso radica en contribuir a la seguridad de las redes de telecomunicaciones de todo el país y así como del uso de la red de Internet; para esto ofrecerá productos relevantes, servicios de calidad a nuestros mandantes y cooperará con otros equipos CSIRT dentro y fuera del Ecuador. Su principal resultado será lograr masificar el uso de In ternet, las tecnologías de la información y los sistemas de telecomunicaciones en todo nuestro país, mediante la coordinación, nacional e internacional de acciones técnicas destinadas a lograr usos más seguros de las redes, que satisfagan la confianza de la comunidad que las utiliza.
Propósitos del EcuCERT 1. Establecer criterios generales y específicos para garantizar la seguridad de los servicios de telecomunicaciones, la información transmitida y la invulnerabilidad de la red; mediante la coordinación de l a gestión de vulnerabilidades e incidentes de seguridad de la información entre el EcuCERT de la Agencia de Regulación y Control de las Telecomunicaciones, ARCOTEL, y los prestadores de servicios de telecomunicaciones del país, que han sido reportados por: la comunidad objetivo, los Centros de Respuesta a Incidentes Informáticos reconocidos y, por propia gestión. 2. Controlar que los prestadores de servicios de telecomunicaciones adopten las medidas técnicas y de gestión adecuadas o la incorporación de equipa miento para preservar la seguridad de las redes de telecomunicaciones de todo el país. 3. Liderar actividades de capacitación, educación y entrenamiento sobre el buen uso de las tecnologías de la información y comunicación a las Instituciones del Estado Ecua toriano, empresas del sector de las telecomunicaciones y ciudadanía en general. 4. Cooperar y ser el punto de contacto con otros equipos de respuesta nacionales e internacionales para la resolución de vulnerabilidades e incidentes informáticos. 5. Promover la creación de Equipos de Respuesta a Incidentes Informáticos (CS IRT) para la gestión de los incidentes de seguridad informática en el sector de las telecomunicaciones. 134 E s t o p u e d e c a m b i a r c o n e l p l a n d e c i b e r d e f e n s a q u e l l e v a a d e l a n t e e l M i n i s t e r i o d e D e f e n s a d e l E c u a d or 135 h t t p s : / / w w w . e c u c e r t . g o b . e c / n o s o t r o s . h t m l
Dr. Santiago Acurio Del Pino
Pa gina 75
Derecho Penal Informa tico Impulsar la conformación de un Comité de Ciberseguridad dentro del cual se desarrollará y promoverá guías de buenas prácticas y recomendaciones en seguridad de la información. 2.1.3.- Motivaciones de los Delincuentes Informáticos Es así que el delincuente informático o el intruso debe tener una serie de motivaciones para realizar sus acciones sobre un sistema informático, éstas pueden ser: CLASE DE MOTIVACIÓN
MOTIVACIONES ECONÓMI CAS
AUTORREALIZACIÓN
DIVERSIÓN
IDEOLOGÍA
EXPLICACIÓN El llevar a cabo operaciones fraudulentas; como el robo de información confidencial la cual es después vendida a terceros, o sirve para realizar extorciones. Realización de fraudes informáticos con ganancias de millones de dólares La búsqueda del reconocimiento social y la autorrealización personal, que da el reconocimiento de cierto status en el grupo de usuarios. Algunos usuarios de internet realizan estos ataques como forma de pasar el rato en su computador Son ataques realizados contra determinadas organizaciones, empresas y páginas Web gubernamentales, con contenido claramente político
2.1.4.- Triangulo de la Intrusión Dr. Santiago Acurio Del Pino
Pa gina 76
Derecho Penal Informa tico Para la comisión de cualquier cales de infracción es necesario que exista en el atacante o intruso una MOTIVACIÓN, una OPORTUNIDAD y LOS MEDIOS NECESARIOS (Motivation, Opportunity, Means, según sus siglas en inglés), por lo tanto, cualquier situación que propicie alguna de estas tres variables será de potencial éxito para el atacante, así mismo un delito comprende un objetivo perseguido, los instrumentos para cometerlo y el material necesario ( targets, tools, material, las tres T, según sus siglas en inglés). De lo dicho se desprende que, para poder llevar a cabo un ata que informático, los intrusos deben disponer de los medios técnicos, los conocimientos y las herramientas adecuadas, deben también contar con una determinada motivación o finalidad, y además una determinada oportunidad que facilite el desarrollo del ataque. Esto es lo que configura el llamado triángulo de la intrusión. 2.1.5.- Casos de Referencia
2.1.5.1.- Mark Abene “PHIBER OPTIK ”
NOMBRE VERDADERO: Mark Abene DELITOS: Acceso no autorizado a computadoras por medio de la ejecución de programas que violentaron los sistemas de seguridad. (Hackear) AFECTADOS: Computadoras de WNET, uno de los principales canales de televisión de la ciud ad de Nueva York SENTENCIA: 10 meses de prisión en EUA.
2.1.5.2.- Wladimir Levin
Dr. Santiago Acurio Del Pino
Pa gina 77
Derecho Penal Informa tico
NOMBRE : Wladimir Levin DELITOS: Robo de más de US$ 10’000.000, de cuentas corporativas del Citibank-Rusia AFECTADOS: Citibank-Rusia. Es el inventor de la técnica del salami SENTENCIA: 3 años de prisión. El Servicio Secreto de EUA, recuperó $240.000. El resto no ha sido recuperado.
Dr. Santiago Acurio Del Pino
Pa gina 78
Derecho Penal Informa tico 2.1.5.3.- Kevin Mitnick NOMBRE : Kevin Mitnick, Alias “El Cóndor”, por la película los tres días del Cóndor DELITOS: Ingresos a servidores, robo de información, y publicación en Internet de miles de números de tarjetas de crédito. AFECTADOS: Visa, Motorola, Nokia, Novell, Sun Microsystems, FBI, Pentágono. SENTENCIA: Fue sentenciado en agosto del 99 a pasar 46 meses en una prisión federal y a pagar 4.125 dólares por daños. Salió de la cárcel en enero del 2000 con 36 años de edad y con la prohibición expresa de tocar un ordenador o dispositivo que le permita conectarse a Internet durante tres años a partir de su puesta en libertad. Es mejor representante del uso de la ingeniería social como método de ataque. Relata todas sus técnicas y métodos en dos libros que se han convertido en un éxito como son el Arte del Engaño y la Decepción y el Arte de la Intrusión. Se presentó en Quito en el año 2011 en el Campus Party, donde asombro a los presentes con sus impresionantes técnicas que cuando fue detenido lo hicieron el hombre más peligroso de Estados Unidos, conocido como el fantasma de los cables. Logro su libertad condicional haciendo un trat o con el Gobierno Americano, y poniéndose al servicio de las Agencias de Seguridad de Estados Unidos.
Dr. Santiago Acurio Del Pino
Pa gina 79
Derecho Penal Informa tico 2.1.5.4.- Robert T. Morris NOMBRE : Robert Tampan Morris , hijo de Robert Morris quien colaboro con el desarrollo del Internet DELITOS: Difundió el primer Virus Gusano a través de ARPANET, logrando infectar 6,000 terminales conectadas a la red. AFECTADOS: 6.000 terminales de las 60.000 existentes en ARPANET SENTENCIA: 4 años de prisión y el pago de US $ 10,000 de multa y 400 horas de servicio comunit ario Su ataque inicio la conciencia de la inseguridad en la red.
El origen de los “gusanos” deriva de los años 60, cuando en los laboratorios AT&T Bell se originó el juego “CORE WARS ” o guerra de núcleos de ferrita. La memoria de núcleo de ferrita contenía tanto conjunto de instrucciones como de datos. El juego consistía en crear un programa que al reproducirse fuera ocupando toda la memoria, al tiempo que borraba de ella al programa del contrincante. El jugador cuyo programa conseguía hacerse con toda la memoria, o que tras transcurrido un tiempo tenía mayor número de reproducciones, ganaba la partida.
2.1.5.4.- Kevin Poulson NOMBRE : Kevin Poulson, conocido pirata telefónico o phreker DELITOS: Interceptación de Comunicaciones, Fraude Informático AFECTADOS: Logro intervenir la central de conmutación para que su línea telefónica se seleccionada como la ganadora en multitud de concursos y ofertas telefónicas, mientras bloqueaba las de otros usuarios. BENEFICIOS ILÍCITOS : consiguió ganar 2 automóviles deportivo s Porsche, 2 viajes a Hawai, y más de 22.000 dólares en efectivo. Dr. Santiago Acurio Del Pino
Pa gina 80
Derecho Penal Informa tico
Dr. Santiago Acurio Del Pino
Pa gina 81
Derecho Penal Informa tico 2.1.5.5.- CHEN ING-HAU NOMBRE : Chen Ing Hau DELITOS: Creador del virus C IH, Chernobyl , Destrucción y Daños Informáticos AFECTADOS: Afecto miles de máquinas, siendo el primer virus en atacar el hardware y dando importantes problemas en las Tarjetas Madre (BIOS) SENTENCIA: Sentenciado a 3 años de prisión, además de daños y perjuicios reclamados por posibles víctimas
2.1.5.6.- Jérome Karviel NOMBRE : Jérome Karviel, Alias el “Trader Loco ” DELITOS: Fraude Informático, uso de información privilegiada, Insider Trading AFECTADOS: El Banco Francés Société Générale con una pérdida de 4.900 millones de euros. TECNICA UTILIZADA: Según la Société Générale, Jérome Kerviel usurpó los códigos de acceso informático de los operadores de la instancia de control, donde estuvo empleado antes de pasar a ser 'broker', en 2005
Dr. Santiago Acurio Del Pino
Pa gina 82
Derecho Penal Informa tico Sentenciado a 5 años de prisión, Karviel es el hombre más pobre de Europa debido a su condena de pagar los 4600 millones de euros.
2.1.5.7.- Gary McKinnon El caso de Gary Mackinnon, es especial ya que es el primer sujeto al que se le aplica lo dispuesto en el Convenio del Cibercrimen del Consejo de Europa del 2001, acusado por los Estados Unidos de haber perpetrado “el mayor asalto informático a un sistema militar de todos los tiempos ”, ha luchado durante 6 años contra la extradición a los Estados unidos, donde arriesga entre 60 y 70 años de cárcel y al pago de una indemn ización de 2 millones de dólares por intrusión informática en el período de febrero de 2001 a marzo de 2002.
NOMBRE : Gary Mackinnon, Alias “SOLO” DELITOS: Robar archivos, dañar sistemas protegidos, causar interferencias en equipos de navegación marítima y dejar inoperativa la red militar de Washington, causando unos daños de 700.000 dólares. AFECTADOS: Los sistemas informáticos del Servicio S ecreto, el ejército y la NASA . EXTRADICIÓN : El 28 de agosto del 2009, agotaba su última oportunidad cuando el Tribunal de Derechos Humanos de Estrasburgo denegaba también la petición y lo convertía en el primer hacker británico extraditado a Estados Unidos La personalidad y motivaciones de McKinnon, de 42 años, han convertido su caso en uno de estudio. Anali sta de sistemas desempleado, sufre una forma de autismo llamada síndrome de Asperger, que le predispone al comportamiento obsesivo y carencia de empatía. Aficionado a los ovnis y las teorías conspiración , decidió buscar información secreta sobre estos tema s en los computadores militares norteamericanos. Actuaba desde el piso de la tía de su novia, donde vivía, armado con un computador, un módem, programas de seguridad fácilmente disponibles y altas dosis de marihuana 136. El caso llegó en apelación a la Cámara de los Comunes en el año 2012, en donde se encuentra bloqueada, debido a que la extradición de Makinnon podría generar un alto riesgo de que él termine con su vida. De manera que la extradición 136 P a r a m á s i n f o r m a c i ó n s o b r e e l c a s o d e G a r y M a K i n n o n v e r l a p á g i n a h t t p : / / f r e e g a r y . o r g . u k /
Dr. Santiago Acurio Del Pino
Pa gina 83
Derecho Penal Informa tico de esta persona sería i ncompatible con los derechos humanos .
Dr. Santiago Acurio Del Pino
Pa gina 84
Derecho Penal Informa tico 2.1.5.8.- Albert González NOMBRE : Albert González , También es conocido con los alias de “Jaguar”, “Segvec, y Soupnazi “ DELITOS: Acceso no autorizado a ordenadores, de cometer fraude en relación con éstos, de dañarlos y de conspiración para cometer fraude informático. Robo de información de tarjetas de Crédito y Débito AFECTADOS: Bancos y Tarjetas de Crédito, con un perjuicio de más de 130 millones de dólares, podría llegar a 263 millones de dólares. SENTENCIA: Sentenciado a 70 años de Prisión. El 18 de marzo del 2010
Dr. Santiago Acurio Del Pino
Pa gina 85
Derecho Penal Informa tico 2.1.5.9.- David Kernell, alias “RUBICo” NOMBRE: David Kernell, alias “RUBICo” DELITOS: Intervenir en el Correo Electrónico de la candidata a vicepresidenta de Estados Unidos Sara Palin, AFECTADA: Sara Palin, Candidata vicepresidenta de los Estados Unidos SENTENCIA: Sentenciado a un año y un día de cárcel. MÉTODO: El método es calificado por las agencias de noticias como "un magistral ataque cibernético". La verdad es que simplemente se usó el servicio de recuperación de contraseña, la Wikipedia y Google para acertar la pregunta secreta y poder acceder a los emails.
2.1.5.10.- Christopher Chaney “El Hakeraczi” • •
• •
•
NOMBRE VERDADERO: Christopher Chaney PERJUIC IO CAUSADO: intervenido las cuentas electrónicas de varias celebridades de Holl ywood, entre ellas las de SCARLETT JOHANSSON, M ILA KUNIS y CHRISTINA AGUILERA. De 35 años, fue arrestado en Jacksonville, Florida (sureste), tras 11 meses de investigaciones. DELITOS INVESTIGADOS: acceso y daño de computadores, escuchas telefónicas y suplantación de identidad. SENTENC IADO: 10 años de prisión y a pagar de 76 000 dólares a Johansson, Christina Ag uilera y Renee Olstead.
Los C IBERATAQUES a famosos se hicieron públicos en septiembre último, luego de que una página web publique fotos de SCARLETT JOHANSSON desnuda. El portal TMZ.com informó que las imágenes habían sido robadas del teléfono celular de la actriz. Dr. Santiago Acurio Del Pino
Pa gina 86
Derecho Penal Informa tico Estos ataques no son sorpresa, A finales de febrero de 2005, se publicó el contenido del teléfono móvil de Paris Hilton. En un principio se baraja la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final se hace público que el método empleado es mucho más sencillo, bastaba con contestar a la pregunta ¿cuál es el nombre de su mascota favorita , el resultado es que a hoy todavía se puede descargar todo el contenido del móvil de Paris Hilton. En él, se encontraban los teléfonos personales de otras famosas además de fotos personales (subidas de tono) realizadas con el móvil. En 2011 vuelve a ocurrir, Christopher Chaney, utiliza las redes so ciales para recabar información y finalmente consigue hacerse con la contraseña del correo de SCARLETT. A partir de ahí, se hace con nuevos datos no solo de Johansson sino de otras famosas, hasta que llega a la información contenida en su teléfono móvil. Chaney también ingresó al correo de Miley C yrus en la página de inicio de Gmail y respondió la pregunta de seguridad: el nombre de uno de sus novios. Cuando el Hacker vio eso, no lo podía creer, cuando se percató que había logrado entrar al correo de la ar tista. Otro problema que ha surgido recientemente es la vulneración de la seguridad de sitios web que mantienen información en la nube como IC LOUD que recientemente ha sido atacado, dejando al descubierto fotografías de varias personalidades en posiciones comprometedoras, atentando así contra su intimidad y privacidad de sus datos e imágenes.
2.2 - Sujeto Pasivo El sujeto pasivo es la persona titular del bien jurídico que el legislador protege y sobre la cual recae la actividad típica del sujeto activo. En primer término, tenemos que distinguir que sujeto pasivo o víctima del delito es el ente sobre el cual recae la conducta de acción u omisión que realiza el sujeto activo, y en el caso de los “delitos informáticos ” las víctimas pueden ser individuos, instituciones crediticias, gobiernos, etcétera que usan sistemas automatizados de información, generalmente conectados a otros. El sujeto pasivo del delito que nos ocupa, es sumamente importante para el estudio de los “delitos informáticos ”, ya que mediante él podemos conocer los diferentes ilícitos que cometen los delincuentes informáticos, con objeto de prever las acciones antes mencionadas debido a que muchos de los delitos son descubiertos casuísticamente por el desconocimiento del modus operandi de los sujetos activos. Dado lo anterior, “ha sido imposible conocer la verdadera magnitud de los “delitos informáticos ”, ya que la mayor parte de los delitos no son descubiertos Dr. Santiago Acurio Del Pino
Pa gina 87
Derecho Penal Informa tico o no son denunciados a las autoridades responsables ” y si a esto se suma la falta de leyes que protejan a las víctimas de estos delitos; La falta de preparación por parte de las autoridades para comprender, investigar y aplicar el tratamiento jurídico adecuado a esta problemática; el temor por parte de las empresas de denunciar este tip o de ilícitos por el desprestigio que esto pudiera ocasionar a su empresa y las consecuentes pérdidas económicas, entre otros más, trae como consecuencia que las estadísticas sobre este tipo de conductas se mantenga bajo la llamada “cifra oculta” o “cifra negra”. Por lo anterior, se reconoce que para conseguir una prevención efectiva de la criminalidad informática se requiere, en primer lugar, un análisis objetivo de las necesidades de protección y de las fuentes de peligro. Una protección eficaz contra la criminalidad informática presupone ante todo que las víctimas potenciales conozcan las correspondientes técnicas de manipulación, así como sus formas de encubrimiento. En el mismo sentido, podemos decir que mediante la divulgación de las posibles conductas ilícitas derivadas del uso de las computadoras, y alertando a las potenciales víctimas para que tomen las medidas pertinentes a fin de prevenir la delincuencia informática, y si a esto se suma la creación de una adecuada legislación que proteja los in tereses de las víctimas y una eficiente preparación por parte del personal encargado de la procuración, administración y la impartición de justicia para atender e investigar estas conductas ilícitas, se estaría avanzando mucho en el camino de la lucha cont ra la delincuencia informática, que cada día tiende a expandirse más. Además, se debe destacar que los organismos internacionales han adoptado resoluciones similares en el sentido de que “educando a la comunidad de víctimas y estimulando la denuncia de l os delitos se promovería la confianza pública en la capacidad de los encargados de hacer cumplir la ley y de las autoridades judiciales para detectar, investigar y prevenir los delitos informáticos ”. Este nivel de criminalidad se puede explicar por la dif icultad de reprimirla en forma internacional, ya que los usuarios están esparcidos por todo el mundo y, en consecuencia, existe una posibilidad muy grande de que el agresor y la víctima estén sujetos a leyes nacionales diferentes. Además, si bien los acuer dos de cooperación internacional y los tratados de extradición bilaterales intentan remediar algunas de las dificultades ocasionadas por los delitos informáticos, sus posibilidades son limitadas, además de que en algunos países como el nuestro no existe legislación alguna sobre esta clase de conductas ilícitas lo que empeora más la situación de las víctimas de estas conductas ilícitas.
3. - Bien Jurídico Protegido El objeto jurídico es el bien lesionado o puesto en peligro por la conducta del sujeto activo. Jamás debe dejar de existir –ya que constituye la razón de ser del delito – y no suele estar expresamente señalado en los tipos penales. Dr. Santiago Acurio Del Pino
Pa gina 88
Derecho Penal Informa tico La finalidad del derecho penal en un estado constitucional de derechos y justicia es la de brindar seguridad jurídica en sus dos aspectos: 1 - el objetivo consistente en la preservación de ciertos bienes que posibilitan su realización, 2 el subjetivo que significa la posibilidad de disponer de esos bienes. Según el autor Jescheck el punto de partida y pensamiento rector de la formación del tipo es el bien jurídico. Los bienes jurídicos son intereses vitales de la comunidad a los que el derecho penal otorga su protección. De este modo como señala la Profesora Donoso Abarca, un bien será jurídico cuando el derecho, a travé s de sus órganos legisladores le atribuya un carácter social valioso. Sin embargo, este bien o valor jurídico que se estima valioso por el derecho debe ser salvaguardado y conservado en su integridad. Por ello, en acuerdo con el profesor Alfredo Etcheberr y, tal bien debe protegerse por el legislador a través de la prohibi ción de ciertas conductas atentatorias al bien jurídico y la adecuación, encau samiento y regulación de otras, tendientes a conservarlo y fortalecerlo 137.
3.1.- Los bienes jurídicos protegidos por los delitos informáticos. Dentro de los delitos informáticos, podemos decir que la tendencia es que la protección a los bienes jurídicos, se le haga desde la perspectiva de los delitos tradicionales (tradición europea continental) , con una re-interpretación teleológica de los tipos penales ya existentes, para subsanar las lagunas originadas por los novedosos comportamientos delictivos. Esto sin duda da como regla general que los bienes jurídicos protegidos, serán los mismos que los delitos r einterpretados teleológicamente o que se les ha agregado algún elemento nuevo para facilitar su persecución y sanción por parte del órgano jurisdiccional competente. De otro lado otra vertiente doctrinaria supone que la emergente Sociedad de la Informaci ón hace totalmente necesaria la incorporación de valores inmateriales y de la INFORMACIÓN misma como bienes jurídicos de protección , esto tomando e n cuenta las diferencias existentes por ejemplo entre la propiedad tangible y la intangible . Esto por cuanto la información no puede a criterio de Pablo Palazzi ser tratad a de la misma forma en que se aplica la legislación actual a los bienes corporales, si bien dichos bienes tienen un valor intrínseco compartido , que es su valoración económica, por ende, la información y otros intangibles son objetos de propiedad, la cual está constitucionalmente protegida. En fin, la protección de la información como bien jurídico protegido debe tener siempre en cuenta el principio de la necesaria protección de los bienes jurídicos que señala que la penalización de conductas se desenvuelva en el marco del principio de “dañosidad” o “lesividad”. Así, una conducta sólo puede conminarse con una pena cuando resulta del todo incompatible con los presupuestos de una vida en común pací fica, libre y materialmente asegurada. Así inspira tanto a la criminalización como a descriminalización de conductas. Su origen directo es 137 D O N O S O A B A R C A , L o r e n a , A n á l i s i s d e l t r a t a m i e n t o d e l a s f i g u r a s R e l a t i v a s a l a I n f o r m á t i c a t r a t a d a s en el título XIII del Código Penal Español de 1995.
Dr. Santiago Acurio Del Pino
Pa gina 89
Derecho Penal Informa tico la teoría del contrato social, y su máxima expresión se encuentra en la obra de B E CC AR I A “Los Delitos y las Penas ” (1738-1794). Se define como un bien vital, “bona vitae”, estado social valioso, perteneciente a la comunidad o al individuo, que, por su significación, es garantizada, a través del poder punitivo del Estado, a todos en igual forma. Antiguamente se concebía como bien jurídico protegido aquel que emanaba del propio Código Penal. Actualmente, en un régimen constitucional de derechos y justicia como proclama nuestra Constituci ón, sólo puede ser un bien jurídico aquel que ha sido reconocido como un derecho funda mental. No obstante, no todo derecho constitucional debe estar penalmente protegido, sino cuando el sistema administrativo o civil no tienen capacidad de solucionar el conflicto , siguiendo principio de oportunidad y de mínima intervención del derecho penal . Es por ello a decir de profesor español Romeo Casabona 138 que no siempre es necesario recurrir al Derecho Penal, para lograr los propósitos de protección de los bienes jurídicos vinculados a los ataques con la ayuda de las Tecnologías de la Información y la Comunicación (TICS) o alguna de sus partes componentes, siendo que no puede pretenderse que desde el derecho penal nazca la ordenación jurídica de las redes de comunicaciones, si no que es tas deben ser organizadas y reguladas preferentemente por acciones y medidas extrajurídicas (Seguridad Informática Técnica), así como a la configuración de un conjunto normativo extrapenal (Seguridad Informática Normativa). En conclusión, podemos decir qu e el bien jurídico protegido de acuerdo con nuestra Constitución es la llamada Libertad Informática la misma que consiste, como expresión de la libertad del individuo, en el derecho de utilizar lícita y libremente, con los límites constitucionales y leg ales la tecnología informática. Esto está dado en el reconocimiento de nuestra Constitución del acceso universal a las TICS y por ende a su uso libre 139. De forma que los delitos informáticos pueden verse como violación de esa libertad informática, como infra cción de las distintas libertades a las que puede extenderse el empleo de estas tecnologías y en especial a la generación de la información, pero está considerada en diferentes formas, ya sea como un valor económico, como uno valor intrínseco de la person a, por su fluidez y tráfico jurídico, y finalmente por los sistemas que la procesan o automatiza n, en fin como un producto de la llamada Sociedad de la Información ; condiciones que se equiparan a los bienes jurídicos protegidos tradicionales , tales como: EL
PAT R I M ON I O , en el caso de la amplia gama de fraudes informáticos y las manipulaciones de datos que da a lugar. L A RE S E RVA , L A I N T I M I D A D Y CO N F I DE NC I AL I D AD DE L OS D ATOS , en el caso de las agresiones informáticas a la esfera de la intimidad en forma gener al, 138 R O M E O C A S A B O N A , C a r l o s M a r í a . E l C i b e r c r i m e n , n u e v o s r e t o s J u r í d i c o s P e n a l e s , n u e v a s r e s p u e s t a s político-criminales. Editorial COMARES, Granada, España, 2006. 139 V e r A r t í c u l o 1 6 n u m e r a l 2 d o d e l a C o n s t i t u c i ó n d e l 2 0 0 8
Dr. Santiago Acurio Del Pino
Pa gina 90
Derecho Penal Informa tico especialmente en el caso de los bancos de datos. L A S E G U R I D A D O FI A B I L I D A D DE L T RÁ FI C O J U RÍ D I C O Y P R OB ATORI O , en el caso de falsificaciones de datos o documentos probatorios vía medios informáticos. E L DE R E C H O D E P R O PI E D A D , en este caso sobre la inform ación o sobre los elementos físicos, materiales de un sistema informático, que es afectado por los de daños y el llamado terrorismo informático. Por tanto, el bien jurídico protegido, acoge a la confidencialidad, integridad, disponibilidad de la informaci ón y de los sistemas informáticos donde esta se almacena o transfiere. Para los autores chilenos Claudio Magliona y Macarena López, sin embargo, los delitos informáticos tienen el carácter de pluriofensivos o complejos, es decir “que se caracterizan porqu e simultáneamente protegen varios intereses jurídicos, sin perjuicio de que uno de tales bienes está independientemente tutelado por otro tipo ” 140. En conclusión, no se afecta un solo bien jurídico, sino una diversidad de ellos. Es así que podemos decir que esta clase de delincuencia no solo afecta a un bien jurídico determinado, sino que la multiplicidad de conductas que la componen afecta a una diversidad de ellos que ponen en relieve intereses colectivos, en tal sentido de María Luz Guti érrez Francés, respecto de la figura del fraude informático nos dice que: “las conductas de fraude informático presentan indudablemente un carácter pluriofensivo. En cada una de sus modalidades se produce una doble afección: la de un interés económico (ya sea micro o macro social), como la hacienda pública, el sistema crediticio, el patrimonio, etc., y la de un interés macro social vinculado al funcionamiento de los sistemas informáticos” 141. En ese sentido diremos que el surgimiento de esta novísima tecnología, está proporcionando nuevos elementos para atentar contra bienes jurídicos ya existentes (intimidad, seguridad nacional, patrimonio, etc.), sin embargo han ido adquiriendo importancia nuevos bienes jurídicos, como sería la calidad, pureza e idoneidad de la información en cuanto tal y de los productos de que ella se obtengan; la confianza en los sistemas informáticos; nuevos aspectos de la propiedad en cuanto recaiga sobre la información personal registrada o sobre la información nominativa 142. En tal razón considero que este tipo de conductas criminales son de carácter netamente pluriofensivo. Un ejemplo que puede aclarar esta situación, es el de un hacker que ingresa a un sistema informático con el fin de vulnerar la seguridad éste y averiguar la información que más pueda sobre una determinada persona, esto en primer lugar 140 R E Y E S E C H A N D Í A , A l f o n s o , L a T i p i c i d a d , U n i v e r s i d a d d e E x t e r n a d o d e C o l o m b i a , 1 9 8 1 . 141 G U T I É R R E Z F R A N C É S , M a r í a L u z , F r a u d e I n f o r m á t i c o y e s t a f a . 142 M A G L I O N A M A R K O V I C T H C l a u d i o P a ú l , L Ó P E Z M E D E L M a c a r e n a , D e l i n c u e n c i a y F r a u d e I n f o r m á t i c o, Editorial Jurídica de Chile. 1999
Dr. Santiago Acurio Del Pino
Pa gina 91
Derecho Penal Informa tico podríamos decir que el bien jurídico lesionado o atacado es el derecho a la intimidad que posee esa persona al ver que su información personal es vista por un tercero extraño que sin au torización ha vulnerado el sistema informático donde dicha información está contenida. Pero detrás de ese bien jurídico encontramos otro un bien colectivo que conlleva a un ataque a la confianza en el funcionamiento de los sistemas informáticos . Es decir, de intereses socialmente valiosos que se ven afectados por estas nuevas figuras, y que no solo importan la afección de bienes jurídicos clásicos.
4. – Tipos de Delitos informáticos Existen muchos tipos de delitos informáticos, la diversidad de comportamientos constitutivos de esta clase de ilícitos es inimaginable, a decir de Camacho Losa, el único límite existente viene dado por la conjugación de tres factores: la imaginación del autor, su capacidad técnica y las deficiencias de control existentes en las instalaciones informáticas , por tal razón y siguiendo la clasificación dada por el estadounidense Don B. Parker más la lista mínima de ilícitos informáticos señalados por las Naciones Unidas, he querido lograr una clasificación que desde el punto de vista objetivo sea lo más didáctica posible al momento de tratar esta clase de conductas delictivas, por lo expuesto anteriormente y sin pretender agotar la multiplicidad de conductas que componen a esta clase de delincuencia y como señala Gutiérrez Francés, es probable que al escribir estas líneas ya hayan quedado sobrepasada las listas de modalidades conocidas o imaginables, que ponemos a consideración del lector en forma breve en qué consiste cada una de estas conductas delictivas:
4.1. - Los fraudes Romeo Casabona 143 a señala que la incorporación de las TIC al mundo empresarial, financiero y económico, supuso ya hace algunos decenios, la apertura de la delincuencia de índole patrimonial y socioeconómica, causando profundas repercusiones en estos ámbitos. Por tanto, podemos decir siguiendo a Chóclan Montalvo, que las nuevas tecnologías y los modernos sistemas de información y comunicación pueden favorecer determinados atentados contra la propiedad y el patrimonio, estos avances se han convertido en un important e factor criminógeno. Lo característico de la Criminalidad Patrimonial es la lesión de un patrimonio que tiene lugar por una intervención del sujeto activo en un sistema informático logrando a través de la manipulación fraudulenta 144 de este, la transferencia no consentida de un activo patrimonial, para beneficio del sujeto activo o de un tercero 145. 143 R O M E O C A S A B O N A , C a r l o s M a r í a , E l C i b e r c r i m e n : N u e v o s R e t o s J u r í d i c o P e n a l e s , n u e v a s r e s p u e s t a s político criminales. Madrid, Editorial COMARES, 2005, Pág. 7. 144 C H O C L A N M O N T A L V O , J u a n A n t o n i o . E l C i b e r c r i m e n : N u e v o s R e t o s J u r í d i c o P e n a l e s , n u e v a s r e s p u e s t a s político criminales. Madrid, Editorial COMARES, 2005, Pág. 74. 145 Constituye manipulación informática toda acción que suponga intervenir en el Sistema Informát ico alterando, modificando u ocultando los datos que deban ser tratados automáticamente o modificando las instrucciones del programa, con el fin de alterar el resultado debido de un tratamiento informático y con el ánimo de obtener una ventaja patrimonial.
Dr. Santiago Acurio Del Pino
Pa gina 92
Derecho Penal Informa tico El delito de apropiación ilícita o como se conoce en la doctrina internacional como Fraude Informático, según el autor español Romeo Casabona, es “la incorrecta modificación del resultado de un procesamiento automatizado de datos, mediante la alteración de los datos que se introducen o ya contenidos en el ordenador en cualquiera de las fases de su procesamiento o tratamiento informático, con ánimo de lucro y en pe rjuicio de un tercero ” 146 Para este autor en síntesis podemos decir que lo que importa aquí es que la acción del sujeto activo vaya encaminada a la modificación del resultado de un procesamiento automatizado de datos, para así lograr un enriquecimiento inj usto en detrimento del patrimonio de un tercero, hay una apropiación ilícita 147 de dinero, bienes o servicios ajenos. Al respecto de este tema los autores chilenos Magliona y López mencionan que debe tratarse de un perjuicio cuantificable, tangible 148. Esto a diferencia de Luis Camacho Losa el cual al referirse a los perjuicios originados por el sujeto activo, les otorga un sentido amplio, ya que pueden tratarse de perjuicios económicos directos (como la apropiación de bienes); perjuicios económicos indirectos (como por ejemplo la sustracción de información confidencial de carácter económico, comercial, etc.); y perjuicios económicos intangibles (por ejemplo, repercusiones sobre la imagen o el prestigio de una organización), dicha posición en mi concepto es la m ás adecuada, pero siempre hay que tener en cuenta que los perjuicios causados por el fraude informático son netamente de carácter económico 149. Para la autora española Gutiérrez Francés, se hace preciso para poder llegar a un concepto sobre el fraude inform ático, fijar nuestra atención en dos datos claves que son básicos para entender este fenómeno que es tanto la noción de fraude como de lo informático. 146 R O M E O C A S A B O N A , C a r l o s M a r í a , P o d e r I n f o r m á t i c o y S e g u r i d a d J u r í d i c a . M a d r i d , E d i t o r i a l F U N D E S C O , 1987, Pág. 10 147 A mi parecer lo expresado por ROMEO CASABONA no es preciso, ya que la Apropiación ilícita consiste en un acto cometido por una persona en su provecho o en de un tercero, haciendo suya en forma indebida un bien mueble, una suma de dinero o cualquier objeto que se le haya entregado para su guarda o depósito, a título de administrativo o cualquier otro título no traslativo de dominio y que exis te la obligación de devolver oportunamente el bien entregado en custodia. Es decir, no podríamos hablar que la apropiación ilícita tiene los mismos elementos típicos del fraude informático, aunque las dos son un tipo de defraudaciones, sus configuraciones típicas vistas desde la óptica del principio de estricta legalidad, no son compatibles. Esto se comprueba al examinar los elementos objetivos del tipo, es así que en el fraude informático hablamos de un desplazamiento del patrimonio de un individuo, traduc ido este en la transferencia no consentida de un activo patrimonial, por tanto, a diferencia de la apropiación ilícita en el fraude informático no hablamos de bienes muebles, sino bienes incorporales, derechos de crédito. Tampoco existe una cercanía física entre el sujeto activo y el sujeto pasivo de la infracción, verbigracia en el caso del fraude informático, dado la ubicuidad de las redes de telecomunicaciones, la cercanía sería virtual; esta condición objetiva es parte típica de la apropiación ilícita c uando el sujeto pasivo entrega al sujeto activo para su custodia o deposito, algún objeto o suma de dinero, mientras en casi la mayoría de los fraudes informáticos, la víctima se da cuenta de que ha sido perjudicada después de algún tiempo de ocurrido el hecho, sin que esa persona haya dado ningún encargo o entregado algún bien. En el delito de apropiación ilícita el medio fraudulento siempre será el engaño y el abuso de confianza, mientras que en el fraude informático siempre será la manipulación informáti ca fraudulenta. 148 M A G L I O N A M A R K O V I C T H , C l a u d i o P a ú l y L Ó P E Z M E D E L , M a c a r e n a . D e l i n c u e n c i a y F r a u d e I n f o r m á t i c o , Santiago, Editorial Jurídica de Chile. 1999, Pág. 20 149 C A M A C H O L O S A , L u i s . E l D e l i t o I n f o r m á t i c o , M a d r i d , F U N D E S C O . 1 9 8 7 . P á g . 2 1
Dr. Santiago Acurio Del Pino
Pa gina 93
Derecho Penal Informa tico 4.1.1.- Noción de Fraude y Defraudación. Gutiérrez Francés, señala que el vocablo fraude y sus derivados (defraudar, fraudulento, o defraudación), en lenguaje común, con frecuencia suelen identificarse con la idea de engaño, aunque percibe que no es fraude cualquier engaño. Por otro lado, para el tratadista ecuatoriano Jorge Zavala Baquerizo el fraude es “un modo de actuar dentro de la vida, una conducta que se manifiesta, unas veces, mediante el engaño y, en otras mediante el abuso de confianza ” 150. Efectivamente, podemos afirmar que cuando se habla de fraude se está aludiendo “al modus operandi , a la dinámica intelectiva, ideal, que caracteriza un determinado comportamiento. Implica la presencia dominante de un montaje o artimaña ideal que desencadena determinada modalidad de acción (astuta, artera, subrepticia, engañosa, falsa... ” 151. De lo dicho anteriormente podemos colegir que si bien el fraude encuentra en el engaño su máxima expresión, éste no se agota con él, ya que el fraude no solo supone como medios para su comisión el engaño o el abuso de confianza como señala Zavala Baquerizo, sino que t ambién supone el uso o empleo de otros artificios o medios intelectuales para elaborar ciertas maquinaciones (medios fraudulentos) que como bien señala el tratadista ecuatoriano deben ir encaminadas a perjudicar el patrimonio ajeno ( Animus Decipiendi) 152 Otro elemento necesario para que se configure el fraude, es la existencia de una lesión o la puesta en peligro de un bien jurídico protegido. Doctrinalmente el bien jurídico protegido por las defraudaciones es el patrimonio, considerado este como “el conjunto de relaciones jurídicas activas o pasivas que pertenecen a una persona y que son estimables económicamente ” 153. Pues cuando se utiliza la fórmula fraude se hace en relación con específicos bienes jurídicos lesionados o puestos en peligro. Es así que siguiendo a la tratadista española Gutiérrez Francés diremos que la defraudación E S E L PE R J UI CI O E C ON ÓM I C O OC AS I O NA DO M E D I A NT E FR A UDE , E L CU A L C OM P R E N D E N O S ÓL O E L E N G AÑ O Y E L AB US O D E C ON FI AN ZA S I N O TAM B I É N E L U S O D E OT R OS M E DI OS F RA UD UL E N T OS , QUE N O S O L O AFE CTAN E L PAT RI M O N I O I N D I V I D U A L D E UN A PE R S ON A , S I N O QUE TAM B I É N L E S I ON AN OT R O S I NT E R E S E S E C O N ÓM I C O S D E C AR ÁCT E R M AC RO S OC I AL C OM O M I CR O S OC I AL 154.
Esta definición de defraudación en mi concepto es la más apropiada, porque es de carácter funcio nal, es una definición amplia, que reúne a una multiplicidad de conductas defraudadoras realizadas por medio de 150 Z A V A L A B A Q U E R I Z O , J o r g e . D e l i t o s c o n t r a l a P r o p i e d a d , G u a y a q u i l , E d i t o r i a l E D I N O . P á g . 1 2 151 G U T I É R R E Z F R A N C É S , M a r í a L u z . F r a u d e I n f o r m á t i c o y E s t a f a . M a d r i d , 1 9 9 1 , M i n i s t e r i o d e J u s t i c i a Español. Pág. 474. 152 Z A V A L A B A Q U E R I Z O , J o r g e , D e l i t o s c o n t r a l a P r o p i e d a d , G u a y a q u i l , E d i t o r i a l E D I N O . P á g . 1 2 153 Z A V A L A B A Q U E R I Z O , J o r g e , D e l i t o s c o n t r a l a P r o p i e d a d , G u a y a q u i l , E d i t o r i a l E D I N O . P á g . 1 6 154
El Autor.
Dr. Santiago Acurio Del Pino
Pa gina 94
Derecho Penal Informa tico comportamientos astutos, engañosos, y arteros que son lesivos de intereses económicos diversos y realizadas con el ánimo de obtener una ventaja económica. 4.1.2. En cuanto al carácter “Informático” del Fraude. “Lo informático del Fraude está en el aprovechamiento, utilización o abuso de las características funcionales de los sistemas informáticos como instrumento para realizar una conducta astuta , engañosa, artera, subrepticia... con animus decipiendi 155”. Por lo tanto, el carácter informático del fraude alude al instrumento con cuyo auxilio se efectúa la defraudación. En tal virtud para que se hable de defraudación informática esta debe tener las notas características y configuradoras de una defraudación, es dec ir que debe existir la producción de un perjuicio económico, irrogado mediante un comportamiento engañoso, astuto, artero, o sea un, medio fraudulento que en este caso sería la propia manipu lación informática. Para los autores Magliona y López esto es muy importante ya que ayuda a distinguir el fraude informático de otros hechos delictivos, que no obstante ser realizados por medios informáticos, no constituyen defraudaciones, por ejemplo, atentados contra la intimidad cometidos por medio de manipulaciones informáticas 156. A este respecto Marcelo Huerta y Claudio Líbano señalan que la finalidad perseguida por el sujeto activo, es la que condiciona el tipo de delito que se produce 157, ya que para ellos las manipulaciones informáticas se aplican a todos los delitos informáticos. Al respecto debo decir que si bien la finalidad del sujeto activo ayuda a saber qué tipo de delito se comete, así como el aprovechamiento de las características y peculiarid ades de los sistemas de procesamiento automatizado de datos es una característica común en todos los delitos informáticos, dichos supuestos no pueden cambiar la naturaleza del hecho delictivo en tal razón y como señala la tratadista española Gutiérrez Fran cés “nada será defraudación informática sin ser antes defraudación ” 158 . En sus inicios, el fraude online no era sino una traslación del fraude tradicional al mundo virtual. Así, las técnicas empleadas para cometer fraude representaban la actualización en I nternet de los timos tradicionales. Esta dinámica, conocida como ingeniería social, se basa en la explotación de vulnerabilidades sociales (es decir, engaños que buscan aprovecharse de la ingenuidad de la víctima), no tecnológicas, y hasta mediados de 2007 era la 155 R O M E O C A S A B O N A , J o s é M a r í a . P o d e r I n f o r m á t i c o y S e g u r i d a d J u r í d i c a , P á g . 1 1 156M A G L I O N A M A R K O V I C T H , C l a u d i o P a ú l y L Ó P E Z M E D E L , M a c a r e n a . D e l i n c u e n c i a y F r a u d e I n f o r m á t i c o , Santiago, Editorial Jurídica de Chile. 1999, Pág. 20 157 H U E R T A M I R A N D A , M a r c e l o & L Í B A N O M A N Z U R , C l a u d i o . L o s D e l i t o s I n f o r m á t i c o s , S a n t i a g o , 1 9 9 8 , Editorial Jurídica Cono Sur. Pág. 12 a 26 158 G U T I É R R E Z F R A N C É S , M a r í a L u z . F r a u d e I n f o r m á t i c o y E s t a f a . M a d r i d , 1 9 9 1 , M i n i s t e r i o d e J u s t i c i a Español. Pág. 474 a 480
Dr. Santiago Acurio Del Pino
Pa gina 95
Derecho Penal Informa tico manifestación más representativa del fraude online. Esta situación ha evolucionado y actualmente los fraudes tienen un componente tecnológico más acentuado, además de mejorar los mecanismos de ingeniería social utilizados. Así, cada vez tiene mayo r relevancia el fraude basado en código malicioso o malware y la utilización de ingeniería social más específica para el destinatario. Se trata de ataques más complejos técnicamente, personalizados y organizados, y por todo ello, más difíciles de prevenir, identificar y combatir. Los ciberdelincuentes disponen de estructuras organizativas complejas, que incluyen tareas de reclutamiento de muleros para el blanqueo del capital y un volumen creciente de recursos para la infraestructura técnica de los fraudes informáticos. Lo que parece claro es que cada vez es más amplia la casuística. En este entorno, debemos asegurarnos de disponer de las herramientas y prácticas de seguridad adecuados para hacer frente a estas amenazas. Además, debemos ser cautelosos con nuestra información personal ya que se han detectado casos en los que se utiliza esta información personal robada para llevar a cabo otros delitos relacionados con ciertos tipos de fraude o incluso con casos de pornografía infantil. En conclusión, diremos que el fraude informático es: “E L C O NJ UNT O DE CO ND UC TA S D OL OS A S , QU E , VAL I É N D OS E DE C UAL Q UI E R M A NI P UL ACI Ó N FR AU DU L E N TA , M O D I FI Q U E N O I NT E R F I E R A N E L FU NCI O NAM I E NT O DE U N PR O G RA M A I N F OR M Á T I C O , S I S T E M A I N F ORM ÁT I C O , S I S T E M A T E L E M ÁT I C O O AL GU NA D E S U S PA RT E S C OM P ONE NT E S , PARA PR O DU CI R U NA V E NTAJ A E C O N ÓM I CA I L Í CI TA , A FAV O R D E S U PE R PE T RA D OR O UN T E RCE R O ” 159. 4.1.3- Tipos de Fraudes L OS D AT OS F A L S OS O E N GA Ñ OS OS (Data diddling), conocido también como introducción de datos falsos, es una manipulación de datos de entrada al computador con el fin de producir o lograr movimientos falsos en transacciones de una empresa. Este tipo de fraude informático conocido también como manipulación de datos de entrada , representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimiento s técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos. EL SCAM: es un tipo de correo electrónico fraudulento que pretende estafar económicamente al usuario por medio del "engaño", generalmente presentado como donación a recibir, lotería o premio al que se accede previo envío de dinero. Este tipo de malware podría 159
El Autor.
Dr. Santiago Acurio Del Pino
Pa gina 96
Derecho Penal Informa tico entrar en la categoría de los conocidos como HOAX si no fuera porque además del engaño, también buscan el beneficio económico . Por lo tanto, podríamos decir que los scams son una mezcla de phishing, pirámides de valor y hoax. Entre los SCAMS más conocidos están el conocido como “Estafa a la nigeriana” en la que intentan convencernos que hay varios millones de dólares, que por un motivo u otro no pueden salir legalmente de Nigeria, a no ser que se transfieran a una cuenta extranjera. A cambio, ofrecen una comisión para el receptor del correo por realiza r una supuesta acción benéfica que finalmente se ve convertida en una estafa. M A N I PU L A C I Ó N D E P R O GR AM A S O L OS “C A B AL L O S DE T R O YA ” (Troya Horses), Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimiento s técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializado s en programación informática es el denominado Caballo de Troya que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. L A T É C N I C A D E L S AL AM I (Salami Technique/Rounching Down), Aprovecha las repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina “técnica del salchichón ” en la que “rodajas muy finas ” apenas perceptibles, de transacci ones financieras, se van sacando repetidamente de una cuenta y se transfieren a otra. Y consiste en introducir al programa unas instrucciones para que remita a una determinada cuenta los céntimos de dinero de muchas cuentas corrientes. F A L S I FI C A C I O N E S I NF O RM ÁT I C AS : Como objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada. Como instrumentos: Las computadoras pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color basándose en rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer reproducciones de alta resolución, pueden modificar documentos e incluso pueden cr ear documentos falsos sin tener que recurrir a un original, y los documentos que producen son de tal calidad que sólo un experto puede diferenciarlos de los documentos auténticos. Dr. Santiago Acurio Del Pino
Pa gina 97
Derecho Penal Informa tico M A N I PU L A C I Ó N D E L OS D AT OS DE SALIDA. - Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hací an basándose en tarjetas bancarias robadas, sin embargo, en la actualidad se usan ampliamente equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las ta rjetas de crédito. D U PL I C A C I ÓN (C L O NA CI ÓN ) DE T ARJ E TAS DE C RÉ DI T O 160: es una modalidad de la manipulación de datos de entrada que se da cuando el sujeto pasivo (victima) realiza un pago en un comercio, (habitualmente en restaurantes o bares ya que es donde más fácilmente el sujeto pierde contacto visual con su tarjeta de crédito , aunque puede ser en cualquier comercio), el primer sujeto activo pa sa la banda o introduce el chip de la tarjeta en un dispositivo conocido como skimmer que almacena la información de la misma para su posterior descarga. Esta operación puede ser realizada por el mesero, por el cajero o por cualquier otro empleado que tome contacto con el plástico. En una segunda etapa, el que obtiene la información se la entrega a un segundo sujeto activo que es el que descarga la misma en una computadora y desde allí se graba y codifica a otros plásticos en blanco a los cuales también s e les agregan los logos institucionales, se graba las letras en relieve y se le imprime la apariencia de una verdadera tarjeta. En un tercer momento, se entrega ese plástico ya terminado a una persona que es la que sale a realizar las compras a los difere ntes comercios, preferiblemente de productos que sean de fácil venta como por ejemplo equipos electrónicos y de alto valor de mercado. Una vez obtenida de manera ilegítima la mercadería esta se comercializa en el mercado negro (a donde también van los pro ductos robados) para de esta manera hacer efectivas las ganancias de todos los que intervienen en el proceso.
160 C A M P O L I , G a b r i e l : P h i s h i n g y S k i n i m i n g e n l a L e g i s l a c i ó n M e x i c a n a , R e v i s t a d e d e r e c h o i n f o r m á t i c o ALFA- REDI, México. Sobre el término clonación utilizado para referirse a la duplicación de tarjetas de crédito y débito, este término tiene un significado preciso, es decir tiene relación con un ámbito biológico, ya que entendemos por clonación el proceso por el cual se reprod ucen de manera idéntica dos o más células en algún organismo vivo. Este proceso puede darse de manera natural, así como también de manera artificial, gracias al importantísimo avance del ser humano al descubrir la composición de la cadena de ADN humana a partir de la cual se puede realizar la reproducción celular Definición recuperada en: http://www.definicionabc.com/ciencia/clonacion.php . Por tanto, considero inapropiado utilizarlo para referirse a esta clase de ilícitos tecnológicos, más allá de que el termino es de fácil comprensión.
Dr. Santiago Acurio Del Pino
Pa gina 98
Derecho Penal Informa tico C L ON A C I Ó N D E T ARJ E TAS DE DÉ B I TO . - En esta modalidad delictiva no solo se debe clonar la información de la banda magnética sino también averiguar el número de identificación personal conocido como PIN por sus siglas en inglés. Debido a que la obtención del PIN no es tan simple, el primer paso se desarrolla a través de la colocación de dispositivos de lectura en los mismos equipos de retiro de din ero, los cuales pueden consistir en carcasas, o bien en la colocación de un SKIMMER a un lado de los lectores reales. De esta manera se obtienen los datos de la banda magnética y para la obtención del P IN se colocan cámaras ocultas que graban en video la digitación que realiza el cuentahabiente, o, en su caso se colocan equipos de computación en lugar de las pantallas de los cajeros para que al digitar los números estos queden grabados en el equipo que colocó el sujeto activo y de esa manera completar la i nformación necesaria. Una vez obtenida la información se hace llegar la misma al sujeto que la grabará a una tarjeta en blanco la información obtenida. En esta modalidad delictiva no se requiere la impresión de logos, o la grabación en relieve del nombre del cliente, ya que nadie llegará a ver la misma y el cajero automático no puede leer los datos impresos sino solo los que se encuentran en la banda magnética o bien en el chip en algunos casos. P I S HI N G .- Es una modalidad de fraude informático diseñada con la finalidad de robarle la identidad al sujeto pasivo. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños. Este tipo de fraude se recibe habitualmente a través de mensajes de correo electrónico o de ventanas emergentes. El robo de identidad es uno de los delitos que más ha aumentado. La mayoría de las víctimas son golpeadas con secuestros de cuentas de tarjetas de crédito, pero para muchas otras la situación es aún peor. En los últimos cinco años 10 millones de personas han sido víctimas de delincuentes que han abierto cuentas de tarjetas de crédito o con empresas de servicio público, o que han solicitado hipotecas con el nombre d e las víctimas, todo lo cual ha ocasionado una red fraudulenta que tardará años en poderse desenmarañar.
Dr. Santiago Acurio Del Pino
Pa gina 99
Derecho Penal Informa tico
G RA FI C O 1: S PE AR P I S H I N G En estos momentos también existe una nueva modalidad de Pishing que es el llamado Spear Pishing o Pishing segmentado , que funciona como indica el GRÁFICO 1, el cual ataca a grupos determinados, es decir se busca grupos de personas vulnerables a diferencia de la modalidad anterior. P H A R M I N G : (Envenenamiento del Cache del DNS) Ataque a los computadores personales que consiste en modificar o sustituir el archivo del servidor de nombres de dominio (D.N.S.), cambiando la IP real de la entidad bancaria para que el escribir en la barra de direcciones el nombre de dominio de la entidad, el navegador nos dirija a la dirección IP donde se aloja la página falsa de esa entidad en la que se recogerán las claves de acceso de los clientes. Los ataques pharming son extremadamente populares hoy en día entre los creadores de troyanos menos sofisticados. Una buena parte de la producción de malware creada en Latinoamérica hoy en día está basada en este principio del pharming. La idea es crear peq ueños programas que modifiquen el archivo hosts. El usuario infectado intentará ingresar en su banco y, como el sistema le lleva hacia otra dirección IP, acabará en una especie de phishing donde el atacante capturará sus credenciales 161.
4.2. - El sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son: B OM B A S L Ó GI C A S (L O GI C B OM B S ), es una especie de bomba de tiempo que debe producir daños posteriormente. Exige conocimientos especializados ya que requiere la programación de la destrucción o modificación de datos en un momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos los dispositivos 161 H i s p a s e c S i s t e m a s , U n a a l D í a . w w w . h i s p a s e c . c o m , c o n s u l t a d a e n e n e r o d e l 2 0 1 2 .
Dr. Santiago Acurio Del Pino
Pa gina 100
Derecho Penal Informa tico informáticos criminales, las bombas lógicas son las que poseen el máximo potencial de daño. Su detonación puede programarse para que cause el máximo de daño y para que tenga lugar mucho tiempo después de que se haya marchado el delincuente. La bomba lógica puede utilizarse también como instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer el lugar en donde se h alla la bomba. G RA FI C O 2: G U S A N O I N F ORM ÁT I C O
G U S A N OS . Se fabrica de forma análoga al virus con miras a infiltrarlo en programas legítimos de procesamiento de datos o para modificar o destruir los datos, pero es diferente del virus porque no puede regenerarse. En términos médicos podría decirse que un gusano es un tumor benigno, mientras que el virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un programa gus ano que subsiguientemente se destruirá puede dar instrucciones a un sistema informático de un banco para que transfiera continuamente dinero a una cuenta ilícita. (Gráfico 2) Existen dos clases de gusanos, los gusanos de red y los gusanos de computadora o de HOST. Los primeros son aquellos que operan en varios segmentos y utilizan la red para comunicarse. Una vez activados estos gusanos de red registran todas las conexiones del usuario de red donde están ubicados buscando vulnerabilidades que puedan ser explotadas por el atacante, lo que permite que el gusano se multiplique a lo largo de generalmente redes de área loca l. Los otros gusanos de computadora hacen lo mismo, pero en vez de recolectar las vulnerabilidades de la red lo hacen de la máquina que le sirve de huésped. Estos programas en algunas ocasiones tienen secuencias de auto destrucción a fin de no ser detectados, y actúan en un entorno de web colaborativo al reportar al atacante las vulnerabilidades ya se de una red o de un equipo en particular, y así realizar un ataque más grande. VIRUS
I N F O R M Á T I C OS Y M ALWA RE , S O N
Dr. Santiago Acurio Del Pino
elementos informáticos, que, Pa gina 101
Derecho Penal Informa tico como los microorganismos biológicos, tienden a reproducirse y a extenderse dentro del sistema al que acceden, se contagian de un sistema a otro, exhiben diversos grados de malignidad y son eventualmente, susceptibles de destrucción con el uso de ciertos antivirus, pero algunos son capaces de desarrollar bastante resiste ncia a estos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. Han sido definidos como “pequeños programas que, introducidos subreptic iamente en una computadora, poseen la capacidad de autorreporducirse sobre cualquier soporte apropiado que tengan acceso al computador afectado, multiplicándose en forma descontrolada hasta el momento en que tiene programado actuar ” 162. Malware o software d e actividades ilegales (Malicius Software) es una categoría de código malicioso que incluye virus, gusanos y caballos de Troya. Se define como malware a cualquier programa informático que pueda representar algún riesgo de daño hacia un equipo o sus sistem as y aplicaciones. Definido de modo amplio, este perjuicio puede ser del tipo físico (muy poco común), relacionado con los tiempos de procesamiento, económico, de fuga o pérdida de información, de interferencia, interrupción o saturación de servicios, daño explícito a la información, a la reputación, etc.
G R A FI C O 3: V I RU S I NF O RM ÁT I C OS
Y
M A LWA RE
C I B E RT E R R OR I S M O : Terrorismo informático es el acto de hacer algo para desestabilizar un país o aplicar presión a un gobierno, utilizando métodos clasificados dentro los tipos de delitos informáticos , especialmente los de los de tipo de s abotaje, sin que esto pueda limitar el uso de otro tipo de delitos informáticos, además lanzar un ataque de 162 G U I B O U R G R i c a r d o A . , A L E N D E J o r g e O . , C A M P A N E L L A E l e n a M . , M a n u a l d e I n f o r m á t i c a J u r í d i c a , Editorial Astrea, 1996, Buenos Aires, Argentina.
Dr. Santiago Acurio Del Pino
Pa gina 102
Derecho Penal Informa tico terrorismo informático requiere de muchos menos recursos humanos y financiamiento económico que un ataque terrorista común . A TA Q U E S D E D E N E G ACI Ó N DE S E RV I CI O : Estos ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo, de manera que nadie más pueda usarlos, perjudicando así seriamente la actuación del sistema, especialmente si debe dar servicio a mucho usuarios, ejemplos típicos de este ataque son: e l consumo de memoria de la máquina víctima, hasta que se produce un error general en el sistema por falta de memoria, lo que la deja fuera de servicio, la apertura de cientos o miles de ventanas, con el fin de que se pierda el foco del ratón y del teclado, de manera que la máquina ya no responde a pulsaciones de teclas o de los botones del ratón, siendo así totalmente inutilizada, en máquinas q ue deban funcionar ininterrumpidamente, cualquier interrupción en su servicio por ataques de este tipo puede acarrear consecuencias desastrosas. L A S R E D E S R OB OT : Bot” es el diminutivo de la palabra “Robot”. Son pequeños programas que se introducen en el ordenador por intrusos, con la intención de tomar el control remoto del equipo del usuario sin su conocimiento ni consentimiento. Las redes de bots o Botnet, es una red o grupo de ordenadores infectados por bots y controlados remotamente por el propietario de los bots. Este propietario da instrucciones que pueden incluir: la propia actualización del bot, la descarga de una nueva amenaza, mostrar publicidad al usuario, el envío de spam o el lanzar ataques de d enegación de servicio, entre otras. Generalmente, al ordenador infectado se le denomina zombi . Algunas redes pueden llegar a tener decenas de miles de ordenadores zombis bajo control remoto .
Ata
G RA FI C O 4: C O N FI G U R A C I Ó N
Dr. Santiago Acurio Del Pino
DE U NA
Vic
R E D R OB OT
PA RA UN
A TA QUE
DE
DOD
Pa gina 103
Derecho Penal Informa tico 4.3. - El espionaje informático y piratería del software: El diccionario de la Real Academia de la Lengua Española define la palabra espionaje como: la acción de espiar lo que se dice o hace. Para el derecho penal es el delito consistente en procurar, revelar, falsear o inutilizar información confidencial de carácter político, militar o económico, relacionada con la seguridad o defensa nacional. Para la doctrina comparada el espionaje informático es aquel delito que consiste en obtener una informa ción de forma no autorizada, sea por motivo de lucro o de simple curiosidad, hecho que implica espiar y procurarse una comunicación o bien una utilización de un sistema de tratamiento de la información en forma desleal, no auto rizada. F U GA D E D ATO S (D ATA L E A KA GE ), también conocida como la divulgación no autorizada de datos reservados, es una variedad del espionaje industrial que sustrae información confidencial de una empresa. A decir de Luis Camacho Loza, “la facilidad de exis tente para efectuar una copia de un fichero mecanizado es tal magnitud en rapidez y simplicidad que es una forma de delito prácticamente al alcance de cualquiera” 163. La forma más sencilla de proteger la información confidencial es la criptografía. R E P R OD U C C I ÓN
N O AUTO RI ZA DA DE P RO G RAM AS I N F OR M Á T I C O S D E PR OT E C C I Ó N L E GA L . Esta puede entrañar una pérdida económica
sustancial para los propietarios legítimos. Algunas jurisdicciones han tipificado como delito esta clase de actividad y la han sometido a sanciones penales. El problema ha alcanzado dimensiones transnacionales con el tráfico de esas reproducciones no autorizadas a través de las redes de telecomunicaciones modernas. Al respecto, considero, que la reproducción no autorizada de programas informáticos no es un delito informático, debido a que, en primer lugar el bien jurídico protegido es en este caso el derecho de autor, la propiedad intelectual y en segundo lugar que la protección al software es uno de los contenidos específicos del Derecho informático al igual que los delitos informáticos, por tal razón considero que la piratería informática debe ser incluida dentro de la protección penal al software y no estar incluida dentro de las conductas que componen la delincuencia informática . Actualmente los delitos contra la propiedad intelectual fueron derogados por el COIP
4.4.- Derecho a la intimidad El derecho a la intimidad constituye un tema que ha tomado una fuerza 163 C A M A C H O L O S A , L u i s , E l D e l i t o I n f o r m á t i c o , M a d r i d , E s p a ñ a , 1 9 8 7 .
Dr. Santiago Acurio Del Pino
Pa gina 104
Derecho Penal Informa tico vital en las últimas décadas, no porque su trasgresión se esté produciendo de manera repetida y cotidianamente –pues debemos reconocer que el hombre ha visto violada su privacidad desde tiempos inmemoriales -, sino porque el avance tecnológico y principalmente el uso de las novísimas tecnologías informáticas cada vez más sofisticado nos expone al peligro y riesgo de ser víctimas de la violación de nuestro derecho a la intimidad, por lo que en estos tiempos podemos afirmar que este derecho a la personalidad es cada día más violentado, frente a la indefensión, por no contar con un ordenamiento ju rídico lo suficientemente claro que tutele todas sus facetas 164. Según el diccionario de la Real Academia de la Lengua Española, la intimidad es la zona espiritual y reservada de una persona o de un grupo, especialmente de una familia . De lo dicho podemos d ecir que la intimidad es ese espacio personalísimo que tiene el ser humano en sus relaciones personales y familiares, en dicho espacio se generan una serie de datos e informaciones que por su carácter de sensibles son los llamados a ser protegidos por el d erecho en caso de que se vulnere dicho espacio personalísimo por parte ya sea del estado mismo o de un tercero 165. Para los tratadistas argentinos Pierini, Lorences, y Tornabene, el derecho a la intimidad es entendido como “el poder o potestad de tener un d omicilio particular, papeles privados, ejercer actividades, tener contactos personales y pensamientos que no trascienden a terceros, en virtud del interés personal de mantenerlos en reserva ” 166 . En la Constitución del Ecuador del 2008, el derecho a la intimidad está dentro de los derechos de Libertad: Art. 66.- Se reconoce y garantizará a las personas: 20. El derecho a la intimidad personal y familiar. El contenido del numeral 20 del Art. 66 de la Constitución de la República, hace relación a que los ciudadanos tenemos el derecho a mantener por fuera del conocimiento público aquellos hechos personales y familiares que legítimamente deseamos conservar bajo el velo del secreto, la reserva y el silencio. Este derecho –que en la doctrina jurídica de nuest ros días ha sido ubicado entre los bienes de la personalidad, y a los derechos de “nueva generación” 167atañen directamente a la dignidad ontológica y moral de las personas cuya base es el bien por el cual se encamina al logro de su fin último. “... Por desvalido, hasta abyecto que un hombre aparezca, tiene derecho a ser tratado como tal, y un deber 164
A N D R A D E S A N T A N D E R , D i a n a . E l D er ec h o a l a I n t i m i da d, C en t r o E di t o r i a l A n di n o , Q u i t o – E c u a do r , 1 9 9 8 . 165 E l A u t o r . 166 P I E R I N I A l i c i a , L O R E N C E S V a l e n t í n , T O RN A BE N E M a r í a I n é s , H á be a s D a t a , D e r ec h o a l a I n t i m i d a d, E d i t o r i a l U n i v e r s i d a d, B u en o s A i r e s – A r g en t i n a , 1 9 9 8 . 167 O b. C i t a A n t e r i o r .
Dr. Santiago Acurio Del Pino
Pa gina 105
Derecho Penal Informa tico escrito de no abdicar de su dignidad humana ” 168. La intimidad, exige del Estado una técnica de protección que se caracteriza por su índole negativa. Es decir, por normas que imponen prohibiciones y establecen límites. Para los Juristas norteamericanos Warren y Brandeis, en un artículo publicado en el “Hardvard Law Review ” en 1890 e derecho a la intimidad era definido como “THE RIGHT TO BE ALONE ”, es derecho a estar solo; es decir, el derecho a que las personas no conozcan, no sé enteren, no vean, o escuchen lo referente a nuestra vida, pudiendo agregarse también “que nosotros no queramos que trascienda ” 169. Este derecho fundamental ha sido reconocido con carácter un iversal en el artículo 12 de la Declaración Universal de Derecho Humanos de las Naciones Unidas 170 de 1948, el Art. 11.2 de la Convención Americana sobre Derechos Humanos (Pacto San José de Costa Rica) y en el artículo 17.1 del Pacto Internacional de Derecho Civiles y Políticos de 1966. En conclusión, diremos que el derecho a intimidad está compuesto en mi concepto por tres importantes componentes estos son a saber: E L D E R E C H O A L A I NT I M I DA D P R O PI AM E NT E DI C H O 171: es decir la facultad, tutelada por el ordena miento jurídico que el ser humano posee de aislarse frente a los demás, manteniendo un reducto de su vida o de su personalidad fuera de las relaciones sociales, ( THE RIGHT TO BE ALONE ); E L D E R E C HO A L A R E S E RV A : es decir la capacidad, reconocida por el Derecho, que cada persona tiene en mantener en reserva ciertos datos o elementos de su esfera íntima o privada, sustrayéndola al conocimiento ajeno para evitar su difusión; o de exigir esta misma reserva a terceros cuando dichos elementos hubieran llegado a sa berlos sin la voluntad del individuo, o cuando lo obtuvieran sólo para el conocimiento, pero no para su posterior revelación; y E L D E R E C HO A L A C ON FI DE N CI AL I D AD : 172 Es el derecho garantizado y reconocido por el ordenamiento jurídico que tienen las personas d e mantener en secreto los datos o informaciones que se generan en razón de su empleo u oficio consistente en proteger la información o los 168
C O R T S G R A U , J u a n . C u r s o d e D e r ec h o N a t u r a l , E d. N a c i o n a l , M a dr i d. 1 9 7 0 . C i t a d o po r M A D R I D M A L O G A R I Z A B A L M a r i o , D e r e c h o s f u n da m e n t a l e s, E sc u el a S u p e r i o r d e A dm i n i s t r a c i ó n P ú bl i c a , S a n t a F e d e B o go t á – C o l o m bi a , 1 9 9 2 . 169 O b. C i t a 2 170 “ A r t . 1 2 . D . U . D . H . N a di e s e r á o b j e t o de i n j e r e n c i a s a r bi t r a r i a s en su v i d a p r i v a d a , su f a m i l i a , s u do m i c i l i o o s u c o r r e s po n d e n c i a , n i d e a t a qu e s a su h o n r a o a su r e p u t a c i ó n . T o d a p er so n a t i e n e d e r e c h o a l a p r o t e c c i ó n d e l a l e y c o n t r a t a l e s i n j er en c i a s o a t a qu e s ” 171 G A R C Í A V I T O R I A , A u r o r a . E l D e r ec h o a l a I n t i m i da d en e l D e r ec h o P en a l y en l a C o n s t i t u c i ó n d e 1 9 7 8 . E di t o r i a l A r a n z a d i , P a m p l o n a – E s pa ñ a , 1 9 8 3 . 172 E l A u t o r .
Dr. Santiago Acurio Del Pino
Pa gina 106
Derecho Penal Informa tico datos que el titular de los mismos no quiere o no debe revelar y deben por tanto mantenerse confidenciales, como por ejemplo la información o datos relacionados con el secreto profesional o los llamados secretos industriales o comerciales. Por tanto el derecho a la intimidad es “un derecho perteneciente a la personalidad del hombre, es inherente a la calidad de ser huma no, y comprende no solo el derecho a estar solo sino también todas aquellas manifestaciones de la personalidad individual, laboral y familiar, cuyo conocimiento o desarrollo quedan reservadas a su titular, las cuales no pueden quedar expuestas, sin razones legítimas, a la curiosidad ajena, a la indiscreción o a la publicidad ya sea de terceras personas o del propio Estado ” 173. 4.4.1.- Contenido y alcance del derecho a la intimidad El contenido mínimo del derecho a la intimidad puede formularse, según diversos autores, como el derecho a:
no participar en la vida colectiva, a aislarse de la comunidad, a establecer una relación -cero, a disfrutar de un espacio para respirar, a ejercer un derecho al anonimato, a un circulo de vida exclusiva, A no ser conocidos, en ciertos aspectos, por los demás. A mantener en reserva ciertos datos o informaciones respecto a sus relaciones familiares o personales. A mantener confidenciales c iertos datos o informaciones respecto a su trabajo u oficio De acuerdo a las situaciones en las cuales el hombre interactúa con sus semejantes, podemos decir que se desarrollan dos tipos de hechos, a saber: hechos públicos y hechos privados dependiendo de donde el hombre se manifieste. Los hechos privados o íntimos, son los que se realizan en lugares a los cuales de ordinario no puede penetrarse sin el consentimiento de sus dueños y moradores (casas de habitación, oficinas, talleres, etc.). Los otros los h echos públicos se desarrollan en lugares que pertenecen a la comunidad (calles, plazas, parques, etc.) o están abiertos al acceso de una pluralidad de personas (teatros iglesias restaurantes, etc.). Mientras los hechos públicos están expuestos a la vista y oído de los otros hombres, los hechos privados o íntimos deben quedar únicamente sometidos al conocimiento de quienes comparten la vida familiar y doméstica, o quienes a ésta sean admitidos en el marco de relaciones fundamentales de reserva. A decir 173
El Autor.
Dr. Santiago Acurio Del Pino
Pa gina 107
Derecho Penal Informa tico del tratadista colombiano Marío Madrid -Malo “todo hecho del hombre no acontecido en sitio público o abierto pertenece a este ámbito de la existencia humana que conocemos con el nombre de vida privada o intimidad ” 174. De lo señalado por el tratadista colombiano Madrid-Malo, podemos decir que éste confunde tanto lo que es la vida privada como la lo que es intimidad, ya que, si consideramos que, vida pública y vida privada son términos relativos uno del otro, y que asociada a éstas se encuentra la intimidad, aunque en este caso se trata de un término absoluto, ésta no se opone ni a lo privado ni a lo público, pero se distingue de lo privado y de lo público. Pues pierde su condición de íntimo aquello que los demás conocen. Las formas de intimidad, la soledad, el amo r y la amistad son constantes en la historia de los hombres; sin embargo, las manifestaciones de la vida privada varían con los usos sociales, los lugares y las épocas históricas. Según González Gaitano, otro hecho confirma la distinción entre intimidad y vida privada: se puede recortar el espacio de vida privada de una persona hasta el límite, hasta suprimirlo sin que se destruya la persona, le queda el refugio inaccesible de su intimidad; en cambio sí se destruye su intimidad, la persona se volatiliza. E ste hecho de experiencia está lleno de consecuencias prácticas para la actividad informativa. Es decir, se puede informar de la vida privada sin que ésta se destruya, en cambio la intimidad se resiste a la información. En conclusión, el alcance y el conte nido del derecho a la intimidad en un primer momento lo señala la persona misma titular de ese derecho, en segundo lugar, lo señala el Estado en virtud del principio de la necesaria protección de los bienes jurídicos, y de la sana convivencia entre los hom bres. 4.4.2. Datos personales públicos, nominativos, confidenciales, y sensibles Las personas en nuestra diaria convivencia, ya sea social, personal o familiar generamos una serie de informaciones, de datos que de acuerdo a la esfera en la cual se hayan g enerado y al interés de su titular tendrán un nivel de protección por parte del derecho, es así que existen varias clases de datos que en mi concepto son los siguientes 175: D ATO S P E RS ON A LE S P Ú B LI C OS : Son aquellos datos o informaciones que se generan en lugares públicos, y que son de conocimiento general. Esta clase de datos o informaciones no tienen ningún nivel de restricción o uso por parte de terceras personas. D ATO S P E RS ON A L ES N O MIN AT IVO S : Que son aquellos datos que el titular de 174
M A D R I D - M A L O G A R I Z A B A L M a r i o , D er ec h o s F u n da m e n t a l e s, A dm i n i s t r a c i ó n P ú bl i c a , S a n t a F e d e B o go t á – C o l o m bi a , 1 9 9 2 .
E sc u el a
S u p er i o r
de
175 E l A u t o r .
Dr. Santiago Acurio Del Pino
Pa gina 108
Derecho Penal Informa tico los mismos ha accedi do a entregar o proporcionar de forma voluntaria en virtud del principio de autodeterminación, y que autoriza a la persona, órgano o entidad de registro de los mismos a usar dicha información solamente para el fin o los fines por los cuales fueron recogidos y que el titular haya autorizado. D ATO S P E RS ON A L ES C ON FID E NC I A LE S : Son los datos o informaciones secretas, que se generan en razón de la profesión u oficio de su titular y que éste por razones de confidencialidad quiere o debe mantener a dicha información de manera confidencial y secreta. D ATO S P E RSO NA LE S S E NS IB LE S : son aquellos datos que surgen de las relaciones personales y familiares que el titular mantiene y que, en razón del derecho a la reserva, su conocimiento solamente está reservado a él. En la primera clasificación hablamos de los datos que se generan en un espacio público, son hechos públicos, a los cuales tiene acceso toda persona sin restricción alguna. En la segunda clasificación, nos referimos a los datos personales nominativos que son dat os que por el principio de autodeterminación los titulares de estos deciden darlos o cederlos a una persona, entidad u órgano, para que sean consignados en un registro o base de datos que estos mantienen con el fin utilizarlos ya sea para un negocio, para información, o para cualquier otro fin que el titular haya autorizado. En la tercera clasificación nos estamos refiriendo más bien a datos o informaciones que en razón del empleo o profesión de su titular éste quiere o debe mantener en secreto, en esta cla se de datos podemos decir que se encuentra el secreto profesional, los secretos comerciales e industriales. En la cuarta clasificación por otro lado nos referimos a los datos sensibles que para los autores argentinos Pierini, Lorences, y Tornabene, son “aquella información cuyo contenido se refiere a cuestiones privadas y cuyo conocimiento general puede ser generador de perjuicio o discriminación ” 176. A nivel internacional la Asamblea General de las Naciones Unidas en el Art. 45 de la declaración sobre la r egulación de datos personales automatizados 177, establece que los datos sensibles son cierto tipo de datos personales cuya utilización puede dar lugar a “discriminaciones ilegales o arbitrarias, fijando entre los datos que no deben ser recogidos expresament e los referidos a raza origen, etnia, color, vida sexual, opinión política, religión, filosofía y otras creencias, así como el ser miembro de asociaciones o uniones sindicales ”.
4.4.2.1.- Marco normativo •
El Art. 66.11 de la Constitución señala que las personas tienen el derecho a guardar reserva sobre sus convicciones. Nadie podrá ser obligado a declarar sobre las mismas. En ningún caso se podrá exigir o utilizar sin autorización
176 O b . C i t a . A n t e r i o r . 177 D i r e c t r i c e s p a r a l a r e g u l a c i ó n d e f i c h e r o s a u t o m á t i c o s d e d a t o s p e r s o n a l e s . A s a m b l e a G e n e r a l d e l a s Naciones Unidas. Resolución 45/95. De 1990. www.un.com
Dr. Santiago Acurio Del Pino
Pa gina 109
Derecho Penal Informa tico
•
•
•
del titular o de sus legítimos represen tantes, la información personal o de terceros sobre sus creencias religiosas, filiación o pensamiento político; ni sobre datos referentes a su salud y vida sexual, salvo por necesidades de atención médica. También menciona en su numeral 19 : El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley Por su parte en el Art. 6 de la Ley de Datos Públicos, al referirse a la accesibilidad y confidencialidad de los datos menciona que: “Son confidenciales los datos de carácter personal , tales como: ideología, afiliación política o sindical, etnia, estado de salud, orientación sexual, religión, condición migratoria y los demás atinentes a la intimidad personal y en especial aquella información cuyo uso público atente contra los derechos humanos con sagrados en la Constitución e instrumentos internacionales ”. Art. 66. Numeral 21. El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; ésta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación.
Los principales principios de la protección de datos personales son los siguientes 178: 1. El procesamiento de datos personales está prohibido a menos que la ley o el interesado lo consienta. 2. No se puede obtener información personal con medios fraudulentos o desleales. 3. La información personal nominativa debe ser exacta y a ctualizada. No es permitido difundir o conservar información personal de carácter sensible. 4. No puede haber un sistema que contenga información personal, cuya existencia sea secreta. 5. La información debe ser congruente con los fines perseguidos. 6. Se deben fij ar reglas para determinar el tiempo límite más allá de la cual cierta clase de información no puede ser conservada. 7. Los titulares de la información o las personas interesadas tienen el derecho a conocer su información registrada, 178 E l A u t o r . P a r a l a e l a b o r a c i ó n d e e s t o s 1 2 p r i n c i p i o s s e h a t o m a d o e n c u e n t a , e l C ó d i g o d e C o n d u c t a para el manejo de sistemas automatizados que contengan información personal de los Estados Unidos, la resolución del Consejo de Ministros de Europa N.º 22 acerca del Derecho a la Intimidad y los Bancos de Datos, así como la resolución N.º 44/132 de las Naciones Unidas, relativa a los Principios rectores sobre la reglamentación de los ficheros computarizados de datos generales, y lo que dispone el Art. 92 de la Constitución de la República, en referencia la garantía jurisdiccional del habeas data.
Dr. Santiago Acurio Del Pino
Pa gina 110
Derecho Penal Informa tico 8. La información personal n ominativa, solamente se debe utilizar para el fin o los fines que el titular de esta lo haya autorizado. Dicha información por tanto no puede ser utilizada para otro fin o fines que los que el titular haya autorizado. 9. Los bancos de datos o registros automatizados, deben tomar todas las precauciones posibles para evitar el uso abusivo de la información ahí guardada, así como prevenir el acceso de personas no autorizadas para conocer dicha información. 10. El acceso a la información estará limitado a quiene s tengan un interés legítimo para concederla. Las personas que manejen los bancos de datos deben someterse a reglas de conducta que prohíban el mal uso de la información recolectada, y en particular del secreto profesional 11. La información personal sensible no puede constar en ninguna base o registro de datos. 12. La información acerca de las personas no podrá ser coleccionada o procesada de manera injusta o ilegal. P I N C HA D O D E L Í N E A S (W I RE TAP PI N G ), consiste en interferir las líneas telefónicas de transmisión de datos para recuperar la información que circula por ellas, por medio de un radio, un módem y una impresora. Como se señaló anteriormente el método más eficiente para proteger la información que se envía por líneas de comunicaciones es la criptografía que consiste en la aplicación de claves (simétricas y asimétricas) que cifran la información (texto claro), transformándola en un conjunto de caracteres ininteligibles de letras y números sin sentido aparente (criptograma), de manera tal que, al ser recibida e n destino, y por aplicación de las mismas claves, la información se recompone hasta quedar exactamente igual a la que se envió en origen. A TA Q U E S A L A I N T I M I DA D E N RE DE S D E T E L E C OM U NI CA C I ONE S , consiste en revelar sin autorizaci ón mensajes de datos privado s, como correos electrónicos, vídeos digitales, grabaciones de voz a través de las redes telecomunicaciones, como el internet (redes sociales) o la red celular, con la finalidad de perjudicar la privacidad y el buen nombre de las personas.
4.5. - El robo de servicios: H U RT O D E L T I E M PO DE L C OM PU TA D OR . Consiste en el hurto del tiempo de uso de las computadoras, un ejemplo de esto es el uso de Internet, en el cual una empresa proveedora de este servicio proporciona una clave de acceso al usuario de Internet, para que con esa clave pueda acceder al uso de la súper carretera de la información, pero sucede que el usuario de ese servicio da esa clave a otra persona que no está autorizada para usarlo, causándole un perjuicio patrimonial a la empresa proveedora de servicios. Ahora esto se hace a través de las Dr. Santiago Acurio Del Pino
Pa gina 111
Derecho Penal Informa tico conexiones WIFI sin protección. A P R OP I A C I ÓN D E I N F ORM ACI O NE S RE S I DU AL E S (S CAV E N GI N G ), es el aprovechamiento de la información abandonada sin ninguna protección como residuo de un trabajo previamente autoriza do. TO SCAVENGE, se traduce en recoger basura. Puede efectuarse físicamente cogiendo papel de desecho de papeleras o electrónicamente, tomando la información residual que ha quedado en memoria o soportes magnéticos. PARASITISMO
I N F O RM ÁT I C O (P I G G YB A CK I N G ) PE R S ON A L I D A D (I M P E RS ON AT I O N ), figuras en
S U PL AN TACI Ó N DE que concursan a la vez los delitos de suplantación de personas o nombres y el espionaje, entre otros delitos. En estos casos, el delincuente utiliza la suplantación de personas para cometer otro de lito informático. Para ello se prevale de artimañas y engaños tendientes a obtener, vía suplantación, el acceso a los sistemas o códigos privados de utilización de ciertos programas generalmente reservados a personas en las que se ha depositado un nivel de confianza importante en razón de su capacidad y posición al interior de una organización o empresa determinada. Y
4.6. - El acceso no autorizado a servicios informáticos: El acceso no autorizado a sistemas informáticos es una de las conductas ilícitas que más ha proliferado en los últimos años. Esto se debe principalmente a que la información contenida en dichos sistemas ha alcanzado una importancia estratégica, tanto para empresas como para los estados, en suma, la importancia que en estos momentos tiene la información sea esta o no confidencial nos hace pensar en que debemos dar a ésta una correcta protección contra cualquier intento de acceso no autorizado. L A S P U E RTA S FA L S A S (T RA P D O ORS ), consiste en la práctica de introducir interrupcione s en la lógica de los programas con el objeto de chequear en medio de procesos complejos, si los resultados intermedios son correctos, producir salidas de control con el mismo fin o guardar resultados intermedios en ciertas áreas para comprobarlos más adelante. L A L L AV E M A E S T R A (S U PE R ZA PP I N G ), es un programa informático que abre cualquier archivo del computador por muy protegido que esté, con el fin de alterar, borrar, copiar, insertar o utilizar, en cualquier forma no permitida, datos almacenados en el co mputador. Su nombre deriva de un programa utilitario llamado superzap, que es un programa de acceso universal, que permite ingresar a un computador por muy protegido que se encuentre, es como una especie de llave que abre cualquier rincón del computador. Mediante esta modalidad es posible alterar los registros de un fichero sin que quede constancia de tal modificación Dr. Santiago Acurio Del Pino
Pa gina 112
Derecho Penal Informa tico P I R ATA S I N F O R M Á T I CO S O H AC KE RS . El acceso se efectúa a menudo desde un lugar exterior, situado en la red de telecomunicaciones, recurrie ndo a uno de los diversos medios que se mencionan a continuación. El delincuente puede aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o puede descubrir deficiencias en las medidas vigentes de seguridad o en los procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar por usuarios legítimos del sistema; esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el p ropio sistema.
5.- Situación Internacional Durante los últimos años se ha ido perfilando en el ámbito internacional un cierto consenso en las valoraciones político -jurídicas de los problemas derivados del mal uso que se hace las computadoras, lo cual ha dado lugar a que, en algunos casos, se modifi quen los derechos penales nacionales. En un primer término, debe considerarse que, en 1983, la Organización de Cooperación y Desarrollo Económico (OCDE) inició un estudio de la posibilidad de aplicar y armonizar en el plano internacional las leyes penale s a fin de luchar contra el problema del uso indebido de los programas computacionales. Las posibles implicaciones económicas de la delincuencia informática, su carácter internacional y, a veces, incluso transnacional y el peligro de que la diferente protección jurídico -penal nacional pudiera perjudicar el flujo internacional de información, condujeron en consecuencia a un intercambio de opiniones y de propuestas de solución. Sobre la base de las posturas y de las deliberaciones surgió un análisi s y valoración comparativa de los derechos nacionales aplicables, así como de las propuestas de reforma. Las conclusiones político-jurídicas desembocaron en una lista de acciones que pudieran ser consideradas por los Estados, por regla general, como merecedoras de pena. De esta forma, la OCDE en 1986 publicó un informe titulado Delitos de Informática: análisis de la normativa jurídica, en donde se reseñaban las normas legislativas vigentes y las propuestas de reforma en diversos Estados Miembros y se recomendaba una lista mínima de ejemplos de uso indebido que, los países podrían prohibir y sancionar en leyes penales (Lista Mínima), como por ejemplo el fraude y la falsificación informáticos, la alteración de datos y programas de computadora, sabotaje informático, a cceso no autorizado, interceptación no autorizada y la reproducción no autorizada de un programa de computadora protegido. La mayoría de los miembros de la Comisión Política de Información, Computadoras y Comunicaciones recomendó también que se instituye sen protecciones penales contra otros usos indebidos (Lista optativa o facultativa), espionaje informático, utilización no autorizada de una computadora, utilización Dr. Santiago Acurio Del Pino
Pa gina 113
Derecho Penal Informa tico no autorizada de un programa de computadora protegido, incluido el robo de secretos comerciales y el acceso o empleo no autorizado de sistemas de computadoras. Con objeto de que se finalizara la preparación del informe de la OCDE, el Consejo de Europa inició su propio estudio sobre el tema a fin de elaborar directrices que ayudasen a los sect ores legislativos a determinar qué tipo de conducta debía prohibirse en la legislación penal y la forma en que debía conseguirse ese objetivo, teniendo debidamente en cuenta el conflicto de intereses entre las libertades civiles y la necesidad de protecció n. La lista mínima preparada por la OCDE se amplió considerablemente, añadiéndose a ella otros tipos de abuso que se estimaba merecían la aplicación de la legislación penal. El Comité ‚ Especial de Expertos sobre Delitos relacionados con el empleo de las computadoras, del Comité Europeo para los problemas de la Delincuencia, examinó esas cuestiones y se ocupó también de otras, como la protección de la esfera personal, las víctimas, las posibilidades de prevención, asuntos de procedimiento como la investiga ción y confiscación internacional de bancos de datos y la cooperación internacional en la investigación y represión del delito informático. Una vez desarrollado todo este proceso de elaboración de las normas en el ámbito continental, el Consejo de Europa aprobó la recomendación R (89)9 sobre delitos informáticos, en la que se “recomienda a los gobiernos de los Estados miembros que tengan en cuenta cuando revisen su legislación o preparen una nueva, el informe sobre la delincuencia relacionada con las comp utadoras... y en particular las directrices para los legisladores nacionales ”. Esta recomendación fue adoptada por el Comité de Ministros del Consejo de Europa el 13 de septiembre de 1989. Las directrices para los legisladores nacionales incluyen una li sta mínima, que refleja el consenso general del Comité ‚ acerca de determinados casos de uso indebido de computadoras y que deben incluirse en el derecho penal, así como una lista facultativa que describe los actos que ya han sido tipificados como delitos en algunos Estados, pero respecto de los cuales no se ha llegado todavía a un consenso internacional en favor de su tipificación. Adicionalmente, en 1992, la OCDE elaboró un conjunto de normas para la seguridad de los sistemas de información, con intenció n de ofrecer las bases para que los Estados y el sector privado pudieran erigir un marco de seguridad para los sistemas informáticos el mismo año. En este contexto, considero que, si bien este tipo de organismos gubernamentales han pretendido desarrollar normas que regulen la materia de delitos informáticos, ello es resultado de las características propias de los países que los integran, quienes, comparados con Ecuador u otras partes del mundo, tienen un mayor grado de informatización y han enfrentado de forma concreta las Dr. Santiago Acurio Del Pino
Pa gina 114
Derecho Penal Informa tico consecuencias de ese tipo de delitos. Por otra parte, en el ámbito de organizaciones intergubernamentales de carácter universal, debe destacarse que en el seno de la Organización de las Naciones Unidas (ONU), en el marco del Octavo Con greso sobre Prevención del Delito y Justicia Penal, celebrado en 1990 en la Habana, Cuba, se dijo que la delincuencia relacionada con la informática era consecuencia del mayor empleo del proceso de datos en las economías y burocracias de los distintos país es y que por ello se había difundido la comisión de actos delictivos. Además, la injerencia transnacional en los sistemas de proceso de datos de otros países, había traído la atención de todo el mundo. Por tal motivo, si bien el problema principal - hasta ese entonces - era la reproducción y la difusión no autorizada de programas informáticos y el uso indebido de los cajeros automáticos, no se habían difundido otras formas de delitos informáticos, por lo que era necesario adoptar medidas preventivas para evitar su aumento. En general, se supuso que habría un gran número de casos de delitos informáticos no registrados. Por todo ello, en vista de que, los delitos informáticos eran un fenómeno nuevo, y debido a la ausencia de medidas que pudieran contrarrestarlos, se consideró que el uso deshonesto de las computadoras podría tener consecuencias desastrosas. A este respecto , el Congreso recomendó que se establecieran normas y directrices sobre la seguridad de las computadoras, a fin de ayudar a la comunidad internacional a hacer frente a estas formas de delincuencia. Partiendo del estudio comparativo de las medidas que se han adoptado a escala internacional para atender esta problemática, deben señalarse los problemas que enfrenta la cooperación internacional en la esfera de los delitos informáticos y el derecho penal, a saber: la falta de consenso sobre lo que son los deli tos informáticos, falta de definición jurídica de la conducta delictiva, falta de conocimientos técnicos por parte de quienes hacen cumplir la ley, dificultades de carácter procesal, falta de armonización para investigaciones nacionales de delitos informáticos. Adicionalmente, la ausencia de la equiparación de estos delitos en los tratados internacionales de extradición. Teniendo presente esa situación, considero que, es indispensable resaltar que las soluciones puramente nacionales serán insuficientes fr ente a la dimensión internacional que caracteriza este problema. En consecuencia, es necesario que, para solucionar los problemas derivados del incremento del uso de la informática, se desarrolle un régimen jurídico internacional donde se establezcan las n ormas que garanticen su compatibilidad y aplicación adecuada. Durante la elaboración de dicho régimen, se deberán considerar los diferentes niveles de desarrollo tecnológico que caracterizan a los miembros de la comunidad internacional. Al respecto se debe considerar lo que dice el Manual de la Naciones Dr. Santiago Acurio Del Pino
Pa gina 115
Derecho Penal Informa tico Unidas para la Prevención y Control de Delitos Informáticos el cual señala que, cuando el problema se eleva a la escena internacional, se magnifican los inconvenientes y las insuficiencias, por cuanto los delitos informáticos constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional concertada. Asimismo, la ONU resume de la siguiente manera a los problemas que rodean a la cooperación internacional en e l área de los delitos informáticos: • • • • • •
Falta de acuerdos globales acerca de qué tipo de conductas deben constituir delitos informáticos. Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas. Falta de especialización de las poli cías, fiscales y otros funcionarios judiciales en el campo de los delitos informáticos. No armonización entre las diferentes leyes procesales nacionales acerca de la investigación de los delitos informáticos. Carácter transnacional de muchos delitos cometi dos mediante el uso de computadoras. Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados que permitan la puesta en vigor de la cooperación internacional.
En otro orden de ideas, debe mencionarse que la Asociación Internacional de Derecho Penal durante un coloquio celebrado en Wurzburgo en 1992, adoptó diversas recomendaciones respecto a los delitos informáticos. Estas recomendaciones contemplaban que en la medida en que el derecho penal tradicional no sea suficien te, deberá promoverse la modificación de la definición de los delitos existentes o la creación de otros nuevos, si no basta con la adopción de otras medidas (principio de subsidiaridad). Además, las nuevas disposiciones deberán ser precisas, claras y con l a finalidad de evitar una excesiva tipificación deberá tenerse en cuenta hasta qué punto el derecho penal se extiende a esferas afines con un criterio importante para ello, como es el de limitar la responsabilidad penal con objeto de que éstos queden circu nscritos primordialmente a los actos deliberados. Considerando el valor de los bienes intangibles de la informática y las posibilidades delictivas que puede entrañar el adelanto tecnológico, se recomendó que los Estados consideraran de conformidad con su s tradiciones jurídicas y su cultura y con referencia a la aplicabilidad de su legislación vigente, la tipificación como delito punible de la conducta descrita en la “lista facultativa ”, especialmente la alteración de datos de computadora y el espionaje in formático; así como en lo que se refiere al delito de acceso no autorizado precisar más al respecto, en virtud de los adelantos de la tecnología de la información y de la evolución del concepto de delincuencia. Además, se señala que el tráfico con contra señas informáticas obtenidas por medios inapropiados, la distribución de virus o de programas similares deben Dr. Santiago Acurio Del Pino
Pa gina 116
Derecho Penal Informa tico ser considerados también como susceptibles de penalización. En síntesis, es destacable que la delincuencia informática se apoya en el delito instrumentado por el uso de la computadora a través de redes telemáticas y la interconexión de la computadora, aunque no es el único medio. Las ventajas y las necesidades del flujo nacional e internacional de datos, que aumenta de modo creciente aún en países como el Ecuador, conlleva también a la posibilidad creciente de estos delitos; por eso puede señalarse que la criminalidad informática constituye un reto considerable, tanto para los sectores afectados de la infraestructura crítica de un país, como para lo s legisladores, las autoridades policiales encargadas de las investigaciones y los funcionarios judiciales. En definitiva tanto l os terroristas como las Organizaciones Delictivas Transnacionales se están aprovechando de los avances tecnológicos, para cometer sus fechorías a través del uso de las redes de telecomunicaciones en donde han encontrado un sitio propicio para expandir sus tentáculos situación que debe ser detenida por parte de los organismos a cargo del control de esta clase de conductas disvaliosas, pero la acción no debe ser aislada debe existir una cooperación interinstitucional e internacional en este campo.
5.1.- Organización de Estados Americanos . La Internet y las redes y tecnologías relacionadas se han convertido en instrumentos indispensables para los Estados Miembros de la OEA. La Internet ha impulsado un gran crecimiento en la economía mundial y ha aumentado la eficacia, productividad y creativ idad en todo el hemisferio. Individuos, empresas y gobiernos cada vez utilizan más las redes de información que integran la Internet para hacer negocios; organizar y planificar actividades personales, empresariales y gubernamentales; transmitir comunicacio nes; y realizar investigaciones. Asimismo, en la Tercera Cumbre de las Américas, en la ciudad de Quebec, Canadá, en 2001, nuestros líderes se comprometieron a seguir aumento la conectividad en las Américas. Lamentablemente, la Internet también ha generad o nuevas amenazas que ponen en peligro a toda la comunidad mundial de usuarios de Internet. La información que transita por Internet puede ser malversada y manipulada para invadir la privacid ad de los usuarios y defraudar a los negocios. La destrucción de los datos que residen en las computadoras conectadas por Internet puede obstaculizar las funciones del gobierno e interrumpir el servicio público de telecomunicaciones y otras infraestructuras críticas. Estas amenazas a nuestros ciudadanos, economías y ser vicios esenciales, tales como las redes de electricidad, aeropuertos o suministro de agua, no pueden ser abordadas por un solo gobierno ni tampoco pueden combatirse utilizando una sola disciplina o práctica. Como reconoce la Asamblea General en la resoluci ón AG/RES. 1939 (XXXIII -O/03) (Desarrollo de una Estrategia Interamericana para Combatir las Amenazas a la Seguridad Cibernética ), es necesario desarrollar una estrategia integral para la protección de las infraestructuras de información que adopte un enfo que integral, internacional y multidisciplinario. La OEA está comprometida con el desarrollo e Dr. Santiago Acurio Del Pino
Pa gina 117
Derecho Penal Informa tico implementación de esta estrategia de seguridad cibernética y en respaldo a esto, celebró una Conferencia sobre Seguridad Cibernética (Buenos Aires, Argentina, de l 28 al 29 de julio de 2003) que demostró la gravedad de las amenazas a la seguridad cibernética para la seguridad de los sistemas de información esenciales, las infraestructuras esenciales y las economías en todo el mundo, y que una acción eficaz para abo rdar este problema debe contar con la cooperación intersectorial y la coordinación entre una amplia gama de entidades gubernamentales y no gubernamentales. La Estrategia Interamericana Integral de Seguridad Cibernética se basa en los esfuerzos y conocimie ntos especializados del Comité Interamericano contra el Terrorismo (C ICTE), la Comisión Interamericana de Telecomunicaciones (CITEL), y la Reunión de Ministros de Justicia o Ministros o Procuradores Generales de las Américas (REMJA). La Estrategia reconoce la necesidad de que todos los participantes en las redes y sistemas de información sean conscientes de sus funciones y responsabilidades con respecto a la seguridad a fin de crear una cultura de seguridad cibernética. La Estrategia también reconoce que un marco eficaz para la protección de las redes y sistemas de información que integran la Internet y para responder a incidentes y recuperarse de los mismos dependerá en igual medida de que: ▪
▪
▪
▪
Se proporcione información a los usuarios y operadores para ayudarles a asegurar sus computadoras y redes contra amenazas y vulnerabilidades, y a responder ante incidentes y a recuperarse de los mismos; Se fomenten asociaciones públicas y privadas con el objetivo de incrementar la educación y la concientización, y se trabaje con el sector privado –el cual posee y opera la mayoría de las infraestructuras de información de las que dependen las naciones — para asegurar esas infraestructuras; Se identifiquen y evalúen normas técnicas y prácticas óptimas para asegurar la seguridad de la información transmitida por Internet y otras redes de comunicaciones, y se promueva la adopción de las mismas; y Se promueva la adopción de políticas y legislación sobre delito cibernético que protejan a los usuarios de Internet y prevengan y disuadan el uso indebido e ilícito de computadoras y redes .
Dr. Santiago Acurio Del Pino
Pa gina 118
Derecho Penal Informa tico
G R Á FI C O 3: E V OL U C I Ó N
DE L A
I NF O RM ÁT I CA Y
EL
T E R R ORI S M O
En el gráfico 3, nos podemos dar cuenta del tipo de daño que puede causar el Ciberterrorismo, esto es decir que el bien jurídico afectado por este tipo de ataque pluriofensivo siempre será un daño digital, es por tanto que: •
Los sistemas informáticos son hoy en día el principal talón de Aquiles de los países desarrollados
•
El terrorismo informático debe ser visto como un acto similar a un acto de guerra.
•
Desde el punto de vista militar, se debe comenzar a trabajar en un Plan para asegurar los sistemas críticos militares, del gobierno y de los servicios de infraestructura básica: agua, electricidad , gas y comunicaciones.
Se debe tomar en cuenta de igual forma lo manifestado en la AG/RES. 2137 (XXXV-O/05), aprobada en la cuarta sesión plenaria, celebrada el 7 de junio de 2005, en donde se reafirma que el terrorismo, cualquiera sea su origen o motivación, no tiene justificac ión alguna y que, de conformidad con la Declaración de Puerto España, adoptada por los Estados Miembros en el quinto período ordinario de sesiones del CICTE, el terrorismo constituye una grave amenaza a la paz y la seguridad internacionales, socava los esf uerzos continuos que fomentan la estabilidad, prosperidad y equidad en los países de la región, y viola los valores y principios democráticos consagrados en la Carta de la OEA, la Carta Democrática Interamericana y otros instrumentos regionales e internaci onales, que dicha declaración está en concordancia con Declaración de Quito, en la cual se expresa por medio de sus miembros su más enérgico rechazo a toda forma de terrorismo y su respaldo al trabajo del C ICTE , en el marco de la VI Conferencia de Ministro s de Defensa de las Américas, celebrada en nuestro país en la ciudad de Quito del 16 Dr. Santiago Acurio Del Pino
Pa gina 119
Derecho Penal Informa tico al 21 de noviembre de 2004 , donde se pone énfasis en la facilitación del dialogo de los países miembros de la OEA a fin de desarrollar y avanzar medidas preventivas que anticipen y enfrenten las amenazas terroristas emergentes, como son los DELITOS CIBERNÉTICOS. Posteriormente en ese mismo año 2004, en la Asamblea General de la OEA, los Estados miembros aprobaron la Estrategia Interamericana Integral para Combatir las Amenazas a la seguridad cibernética en la resolución AG/RES. 2004 (XXXIV-O/04), proporcionando así el mandato que permite a la Secretaría del CICTE trabajar en asuntos de Seguridad Cibernética. La Secretaría del C ICTE emplea un enfoque integral en la const rucción de capacidades de seguridad cibernética entre los Estados Miembros, reconociendo que la responsabilidad nacional y regional para la seguridad cibernética cae sobre una amplia gama de entidades tanto del sector público como el privado, los cuales tr abajan en aspectos políticos y técnicos para asegurar el ciberespacio. Entre los principales objetivos de la Secretaría, se encuentran el establecimiento de grupos nacionales de "alerta, vigilancia y prevención", también conocidos como Equipos de Respuest a a Incidentes (CS IRT) en cada país; crear una red de alerta Hemisférica que proporciona a formación técnica a personal que trabaja en la seguridad cibernética para los gobiernos de las Américas; promover el desarrollo de Estrategias Nacionales sobre Segur idad Cibernética; y fomentar el desarrollo de una cultura que permita el fortalecimiento de la Seguridad Cibernética en el Hemisferio 179.
5.2.- La Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional El crimen organizado trata pr incipalmente de la búsqueda de ganancias y se lo puede entender, en términos C LAUSEWITZIANOS 180 como una continuación de los negocios por medios delictivos esto a decir de PHIL WILLIAMS Profesor de Estudios de Seguridad Internacional, Universidad de Pittsbu gh. Por consiguiente, igual que las compañías de ladrillos y argamasa trasladan sus empresas al World Wide Web en procura de nuevas oportunidades de ganancias, las empresas delictivas están haciendo lo mismo. Las organizaciones criminales no son los únicos participantes en los mercados ilícitos, pero muchas veces son los más importantes, no sólo debido a la "competitividad" adicional que provee la amenaza de la violencia organizada. Además, las organizaciones criminales tienden a ser excepcionalmente hábile s en identificar y aprovechar oportunidades para nuevas empresas y actividades ilegales. En este contexto, la Internet y el crecimiento continuo del comercio electrónico ofrecen nuevas y enormes perspectivas de ganancias ilícitas 181. 179 h t t p s : / / w w w . s i t e s . o a s . o r g / c y b e r / E s / P a g i n a s / d e f a u l t . a s p x 180 S e r e f i e r e a l f i l ó s o f o a l e m á n K a r l v o n C l a u s e w i t z , r e c o n o c i d o p o r l a m á x i m a " L a g u e r r a e s u n a continuación de la política por otros medios" 181 W I L L I A M S , P h i l . C r i m e n O r g a n i z a d o y C i b e r n é t i c o , s i n e r g i a s , t e n d e n c i a s y r e s p u e s t a s . C e n t r o d e Enseñanza
en
Seguridad
de
Dr. Santiago Acurio Del Pino
la
Internet
de
la
Universidad
Carnegie
Mellon.
Pa gina 120
Derecho Penal Informa tico Es por tanto que l a Convención de las Naciones Unidas contra la Delincuencia Organizada Transnacional, que entró en vigor en septiembre de 2003, es el principal instrumento internacional en la lucha contra la delincuencia organizada. La Convención tiene 147 Estados Signatar ios y 100 Estados Parte y de la cual el Ecuador es parte, en dicha convención se pone de manifiesto las reglas básicas sobre la prosecución de Delincuencia Organizada Transnacional, dichas reglas hacen especial mención de los delitos relacionados con la le gitimación de activos y los de corrupción. También se mencionan a los llamados “delitos graves ” que son de acuerdo con el Art. 2 toda “conducta que constituya un delito punible con una privación de libertad máxima de al menos cuatro años o con una pena más grave”. En el caso de las llamadas infracciones informáticas todas ellas son delitos graves de acuerdo a la definición de la Convención, en tal razón se encuadran en su ámbito de aplicación de la convención de conformidad al Art. 3, siempre que dichos delitos sean de carácter transnacional y entrañen la participación de un grupo delictivo organizado. De igual forma se debe tomar en cuenta que la Convención da la posibilidad de conseguir capacitación y asistencia de parte de los Estados signatarios en la prevención e investigación de esta clase de delitos e insta a contar con programas de capacitación y entrenamiento a las personas responsables del cumplimiento de la ley como Jueces, Fiscales y Policías. También insiste en el uso de Técnicas Especiales de Investigación como la vigilancia electrónica.
5.3.- Convenio de Cibercriminalidad de la Unión Europea Este convenio firmado el 21 de noviembre del 2001 en Budapest, el cual fue impulsado por el Consejo de Europa y otros países como Estados Unidos y Japón. El convenio se compone principalmente de varios puntos entre ellos se tratan definiciones de términos que necesariamente son necesarios para comprender el espíritu del convenio, esto se lo hace en su artículo primero, incluyendo los conceptos de sistema, datos de tráfico o proveedor de servicios. En su capítulo II se dedica a las medidas que deben ser tomadas a nivel nacional, distinguiendo las referentes a las leyes sustantivas penales, y entre éstas los tipos contra la confidencialidad, la integridad y el acceso a los datos y sistemas, los tipos relacionados con los equipos, con el contenido, con la infracción de los derechos de propiedad intelectual y derechos afines, y también las referidas a los aspectos de procedimiento, como las condiciones y garantías, o también reglas jurisdiccionales. Su capítulo III se refiere a la cooperación internacional, y se divide en principios generales y otros relativos a la extradición, la asistencia mutua, las reglas aplicables cuando no existan acuerdos internacionales, y también en disposiciones específicas, y en otras dedicadas a las redes de comunicaciones. Finalmente, el capítulo IV está dedicado a las Disposiciones Finales, que tienen la http://www.pitt.edu/~rcss/toc.html
Dr. Santiago Acurio Del Pino
Pa gina 121
Derecho Penal Informa tico forma y utilidad de este tipo de disposiciones en los otros Convenios del Consejo de Europa, dedicadas, por ejemplo, a la entrada en vigor, al acceso de otros países, a la aplicación territorial, los efectos del Convenio y otras cláusu las de este tipo, reservas, declaraciones, enmiendas, etcétera. Esta Convención busca como objetivos fundamentales los siguientes: (1) Armonizar las leyes pena les sustantivas aplicables a las conductas delictivas que tienen como escenario el entorno informático; (2) Proveer reglas de procedimiento penal que brinden a las autoridades nacionales competentes las facultades necesarias para la investigación y persecución de tales conductas delictivas; y (3) Establecer un régimen dinámico y efectivo de cooperación internacional. La Convención se basa en el reconocimiento fundamental de que se necesita armonizar las leyes nacionales. Es decir, contar a nivel de Latinoamérica con una herramienta común tanto sustantiva como adjetiva para procesar este tipo de manifestaciones delictivas, procurando con este elemento comunitario en la parte sustantiva el mejoramiento de la cooperación internacional de los países miembros, ya que solamente existiría en esta materia, la aplicación de una ley común de carácter supranacional que permita a los gobiernos intercambiar información y pruebas. Sin embargo, para que esto de resultados y exista una verdadera cooperación hemisféri ca y ayuda jurídica mutua debe entrar en vigor este tipo de convenios a fin de unificar los tipos penales existente s sobre la delincuencia informática y así lograr la correlación o correspondencia entre los tipos penales en las diferentes jurisdicciones nacionales. De hecho, cuanto más alcance tengan las leyes, tanto menor será el número de refugios desde la delincuencia informática organizada puede operar con impunidad. La armonización es necesaria tanto para las leyes substantivas como las procesales como lo manifestamos anteriormente . Es por tanto que todos los países deben reevaluar y revisar sus reglamentos acerc a de las pruebas, el registro e incautación de los efectos de esta clase de infracciones, la vigilancia electrónica oculta y otras activid ades similares, que abarquen la información digital, los sistemas modernos de computación y comunicación y la naturaleza mundial de la Internet y sus diferentes servicios. Ya que al igual que las leyes sustantivas, una mayor coordinación de las leyes proce sales facilitaría, de hecho, la cooperación en las investigaciones que trasciendan jurisdicciones múltiples. A decir de Oliver Muñoz Esquivel , la Convención sobre Delitos Informáticos constituye sin duda el esfuerzo internacional más importante en contra de las actividades criminales cometidas a través de medios informáticos. La misma tiene lugar en momentos en que el Internet ha dejado de ser tan solo el vehículo más idóneo para la propagación y perfeccionamiento de actos criminale s Dr. Santiago Acurio Del Pino
Pa gina 122
Derecho Penal Informa tico bajo condiciones de anonimato , sino que además representa el entorno más frecuentemente utilizado para la financiación de este tipo de actividades. Corresponde ahora a los países latinoamericanos la responsabilidad de reconocer la importancia de establecer sanciones y mecanismos de investigación adecuados, que sean lo suficientemente avanzados y dinámicos como para hacer frente a este tipo de actividades delincuenciales que afectan a la raíz misma de nuestra sociedad, una sociedad que ha llegado a ser denominada por algunos como “sociedad de la información ”. En este punto cabe resaltar que en la Declaración de Principios de la Cumbre de la Sociedad de la Información realizada en Gine bra en año 2005 se menciona en el punto B5 sobre Fomento de la confianza y seguridad en la utilización de las Tecnologías de la Información (TIC) que: •
•
•
El fomento de un clima de confianza, incluso en la seguridad de la información y la seguridad de las redes, la autenticación, la privacidad y la protección de los consumidores, es requisito previo para que se desarrolle la Sociedad de la Información y para promover la confianza entre los usuarios de las TIC. Se debe fomentar, desarrollar y poner en práctica una cultura global de Ciberseguridad, en cooperación con todas las partes interesadas y los organismos internacionales especializados. Se deberían respa ldar dichos esfuerzos con una mayor cooperación internacional. Dentro de esta cultura global de Ciberseguridad, es importante mejorar la seguridad y garantizar la protección de los datos y la privacidad, al mismo tiempo que se amplía el acceso y el comerci o. Por otra parte, es necesario tener en cuenta el nivel de desarrollo social y económico de cada país, y respetar los aspectos de la Sociedad de la Información orientados al desarrollo ”. Si bien se reconocen los principios de acceso universal y sin discr iminación a las TIC para todas las naciones, apoyamos las actividades de las Naciones Unidas encaminadas a impedir que se utilicen estas tecnologías con fines incompatibles con el mantenimiento de la estabilidad y seguridad internacionales, y que podrían m enoscabar la integridad de las infraestructuras nacionales, en detrimento de su seguridad. Es necesario evitar que las tecnologías y los recursos de la información se utilicen para fines criminales o terroristas, respetando siempre los derechos humanos. El envío masivo de mensajes electrónicos no solicitados (" SPAM") es un problema considerable y creciente para los usuarios, las redes e Internet en general. Conviene abordar los problemas de la ciberseguridad y " SPAM" en los planos nacional e internacional, según proceda.
De otro lado la INTERPOL en la 6ª Conferencia Internacional Sobre Ciberdelincuencia realizada en el Cairo (Egipto), el 13 al 15 de abril de 2005, recomendó a todos sus países miembros que: •
Que se utilice el Convenio sobre Ciberdelincuenc ia del Consejo de Europa como referencia en materia de normas internacionales procedimentales y legales mínimas para la lucha contra la
Dr. Santiago Acurio Del Pino
Pa gina 123
Derecho Penal Informa tico
•
•
•
•
•
•
•
Ciberdelincuencia . Se instará a los países a suscribirlo. Este Convenio se distribuirá a todos los países miembros de IN TERPOL en los cuatro idiomas oficiales. Que INTERPOL aumente sus esfuerzos dentro de la iniciativa sobre formación y normas operativas con objeto de proporcionar unos estándares internacionales para la búsqueda, el decomiso y la investigación de pruebas el ectrónicas. Que la formación y la asistencia técnica sigan considerándose prioritarias en la lucha internacional contra la ciberdelincuencia, incluidas la preparación de los cursos adecuados y la creación de una red internacional de escuelas de formación y de instructores, lo que implica el uso óptimo de herramientas y programas tales como los cursos itinerantes INTERPOL y l os módulos de enseñanza en línea. Las iniciativas de formación y asistencia técnica deben ser transversales, y en ellas deben participa r los sectores públicos y privado, entre las que figuran las universidades. Que se inicie y desarrolle la esencial cooperación y comunicación con instituciones supranacionales, como pueden ser las Naciones Unidas, y con entidades nacionales dedicadas a la lucha contra la Ciberdelincuencia , y se impulse una respuesta rápida. Que la información relativa a casos de Ciberdelincuencia se recopile en la base de datos de INTERPOL y se transmita en forma de resultados analíticos, a fin de ayudar a los países miembr os a adoptar las estrategias de prevención apropiadas. Que se creen grupos de trabajo de INTERPOL sobre delincuencia informática en las regiones donde actualmente aún no existen. Los conocimientos adquiridos por los grupos de trabajo ya constituidos deberán utilizarse para apoyar la creación de los nuevos. Que la Secretaría General de INTERPOL organice una conferencia en la que participen, entre otros, representantes de los distintos organismos que trabajan en el ámbito de la justicia penal, a fin de determinar un marco para la cooperación en materia de lucha contra la Ciberdelincuencia. Que INTERPOL encabece la promoción de estas recomendaciones, que son esenciales para combatir eficazmente la delincuencia informática y proteger a los ciudadanos de to do el mundo en el ciberespacio.
5.4.- Nuevos retos en materia de seguridad Como resultado del proceso de globalización y la difusión de la tecnología, se están produciendo cambios significativos en la naturaleza y el alcance de la delincuencia organizada. Una tendencia clave es la diversificación de las actividades ilícitas que r ealizan los grupos delictivos organizados, así como un aumento del número de países afectados por la delincuencia organizada. También se ha producido una expansión rápida de tales actividades en esferas como la trata de personas, el tráfico ilícito de arma s de fuego, vehículos robados, recursos Dr. Santiago Acurio Del Pino
Pa gina 124
Derecho Penal Informa tico naturales, objetos culturales, sustancias que agotan la capa de ozono, desechos peligrosos, especies amenazadas de fauna y flora silvestres e incluso órganos humanos, así como el secuestro para la obtención de un res cate. Los adelantos en la tecnología de las comunicaciones han determinado que surgieran nuevas oportunidades para la comisión de delitos sumamente complejos, en particular un aumento significativo del fraude en la Internet, y esas oportunidades han sido explotadas por los grupos delictivos organizados. La tecnología de las comunicaciones también confiere más flexibilidad y dinamismo a las organizaciones delictivas; el correo electrónico se ha convertido en un instrumento de comunicación esencial independ iente del tiempo y la distancia. Las autoridades encargadas de hacer cumplir la ley suelen adaptarse con lentitud a las nuevas tendencias, mientras que los grupos delictivos organizados tienden a adaptarse rápidamente y a aprovechar los adelantos tecnoló gicos debido a los inmensos beneficios que producen sus actividades ilícitas. La apertura de nuevos mercados y las nuevas tecnologías de las comunicaciones, junto con la diversidad de actividades en las que participan, también han alimentado el crecimient o de la delincuencia organizada en los países en desarrollo. Los países con economías en transición o en situaciones de conflicto son particularmente vulnerables al crecimiento de ese tipo de delincuencia. En tales casos, la delincuencia organizada plantea una amenaza real para el desarrollo de instituciones reformadas, como la policía, los servicios de aduana y el poder judicial, que pueden adoptar prácticas delictivas y corruptas, planteando un grave obstáculo al logro de sociedades estables y más prósper as. La delincuencia organizada y las prácticas corruptas van de la mano: la corrupción facilita las actividades ilícitas y dificulta las intervenciones de los organismos encargados de hacer cumplir la ley. La lucha contra la corrupción es, por lo tanto, esencial para combatir la delincuencia organizada. Es más, se ha establecido un nexo entre la delincuencia organizada, la corrupción y el terrorismo. Algunos grupos terroristas, por ejemplo, han recurrido a la delincuencia organizada para financiar sus acti vidades. Por consiguiente, la promulgación de legislación apropiada, el fomento de la capacidad de hacer cumplir la ley y la promoción de la cooperación internacional para luchar contra las actividades de la delincuencia organizada y las prácticas corrupta s conexas también fortalecen la capacidad de combatir el terrorismo. Para finalizar es necesario agregar lo que el profesor alemán Klaus Tiedemann afirmará “la criminalidad informática representa un ejemplo y una justificación actualizada de la siguiente afirmación: una legislación (penal) que no tome en cuenta prácticas ya realizadas o conocidas en otros Estados en y con computadoras estaría desde un comienzo condenada al fracaso y una discusión internacional amplia que compare las diferentes experiencias para acabar con la criminalidad de computadoras sería con justicia la indicada para conseguir este Dr. Santiago Acurio Del Pino
Pa gina 125
Derecho Penal Informa tico objetivo.” 182
5.5.- Seguridad Informática y Normativa A fin de evitar los ataques por parte de la Delincuencia Informática ya sea Nacional o Transnacional se debe contar con dos variables importantes que son: LA SEGURIDAD INFORMÁ TICA que es el conjunto de técnicas y métodos que se utilizan para proteger tanto la información como los equipos informáticos en donde esta se encuentra almacenada ya sean estos individuales o conectados a una red frente a posibles ataques accidentales o intencionados 183. La seguridad Informática a su vez está dividida en cinco componentes a saber: •
•
•
•
• •
S E G U R I D A D F Í S I C A : Es aquella que tiene relación con la protección del computador mismo, vela por que las personas que lo manipulan tengan la autorización para ello, proporciona todas las indicaciones técnicas para evitar cualquier tipo de daños físicos a los equipos informáticos. S E G U R I D A D DE D ATOS : Es la que señala los procedimientos necesarios para evitar el acceso no autorizado, permite controlar el acceso remoto de la información, en suma, protege la integridad de los sistemas de datos. B A C K U P Y R E CU PE R ACI Ó N DE D ATO S : Proporciona los parámetros básicos para la utilización de sistemas de recuperación de datos y Back Up de los sistemas informáticos. Permite recuperar la información necesaria en caso de que esta sufra daños o se pierda. D I S P ON I B I L I D AD DE L OS R E C UR S OS : Este cuarto componente procura que los recursos y los datos almacenados en el si stema puedan ser rápidamente acezados por la persona o personas que lo requieren. Permite evaluar constantemente los puntos críticos del sistema para así poderlos corregir de manera inmediata. L A P OL Í T I C A DE S E G URI DA D : Conjunto de normas y criterios básicos que determinan lo relativo al uso de los recursos de una organización cualquiera. A N Á L I S I S F O RE N S E : El Análisis Forense surge como consecuencia de la necesidad de investigar los incidentes de Seguridad Informática que se producen en las entidades. Persigue la identificación del autor y del motivo del ataque. Igualmente, trata de hallar la manera de evitar ataques similares en el futuro y obtener pruebas periciales.
182 T I E D E M A N N K L A U S , L e c c i o n e s d e D e r e c h o P e n a l E c o n ó m i c o , P r o m o c i o n e s y P u b l i c a c i o n e s U n i v e r s i t a r i a s S.A., Barcelona España 1993. 183 E l A u t o r
Dr. Santiago Acurio Del Pino
Pa gina 126
Derecho Penal Informa tico SEGURIDAD INFOMÁTICA NORMATIVA derivada de los principios de legalidad y seguridad jurídica, se refiere a las normas jurídicas necesarias para la prevención y sanción de las posibles conductas que puedan ir en contra de la integridad y seguridad de los sistemas informáticos. En definitiva, para que exista una adecuada protección a los sistemas informáticos y telemáticos se deben conjugar tanto la seguridad informática técnica como la seguridad informática normativa y así poder brindar una adecuada protección y tut ela tanto técnica como legal . Esto se refleja en algunas compañías o entidades gubernamentales siguen creyendo o tiene la idea por decirlo errónea que sus sistemas y redes informáticos no son blancos idóneos de un ataque, por cuanto no mantienen ni genera ningún tipo de información relev ante, es decir información que valga la pena realizar un acceso no autorizado a dichos sistemas de procesamiento y transmisión de datos. Esto a decir del Profesor Davara Rodríguez lo podríamos llamar el “SINDROME DEL HOMBRE INVISIBLE 184” o como él lo llama “la seguridad de pasar desapercibido ”, es decir que dichas compañías se creen inmunes a cualquier ataque informático porque no tienen una presencia visible y preponderante en la red, situación que no es así, ya que si bien su información no podría ser el bl anco de un delincuente informático, si lo podrían ser los recursos de dicho sistema informático posee, por ejemplo su capacidad de procesamiento, su capacidad de almacenamiento y de interconexión, en esta situación hace atractiva la idea de tomar dicho sistema como un medio por ejemplo para descifrar o romper claves de acceso utilizando sistemas zombis como alguna vez lo hizo un o de los primeros Hackers, KEVIN MITNICK alias EL CONDOR, quien a través de la ingeniería social y un troyano logro capturar toda l a red de procesamiento de una Universidad Norteamericana para romper el código cifrado de un programa de Netcom On -Line Comunications desarrollado por TSUTOMU SHIMOMURA un especialista en seguridad informática. Por tanto, el deseo del agresor puede meramente consistir en un lugar donde almacenar su compendio de números de tarjetas de crédito, o sus programas ilegalmente obtenidos, sus crackeadores, o pornografía. Esto es el reflejo de la falta de conciencia en el uso d e las TIC dentro de la Sociedad de la Información por parte de los usuarios, quienes no tienen un nivel de capacitación suficiente o directivas claras de lo que implica el manejo, creación y transmisión de información importante, no solo la personal, sino también la profesional y corporativa, y de sus posibles vulnerabilidades. En resumen, la seguridad informática y n ormativa debe usarse para impedir los ataques ya sean fuera del sistema (virus, s p yware, adware, etc.) y dentro del mismo, exigiendo política s claras y precisas sobre el nivel de acceso a cierta información de carácter confidencial y una debida protección a esta.
184 E l A u t o r .
Dr. Santiago Acurio Del Pino
Pa gina 127
Derecho Penal Informa tico 6.- El Delito Informático y su realidad penal en el Ecuador Desde que en 1999 en el Ecuador se puso en el tapete de la discusión el proyecto de Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas, desde ese tiempo se puso de moda el tema, se realizaron cursos, seminarios, encuentros. También se conformó comisiones para la discusión de la Ley y para que formulen observa ciones a la misma por parte de los organismos directamente interesados en el tema como el CONATEL, la Superintendencia de Bancos, las Cámaras de Comercio y otros, que ven el Comercio Telemático una buena oportunidad de hacer negocios y de paso hacer que nu estro país entre en el boom de la llamada Nueva Economía. Cuando la ley se presentó en un principio, tenía una serie de falencias, que con el tiempo se fueron puliendo, una de ellas era la parte penal de dicha ley, ya que las infracciones a la misma es de cir los llamados delitos informáticos , como se los conoce, se sancionarían de conformidad a lo dispuesto en nuestro Código Penal, situación como comprenderán era un tanto forzada, esto si tomamos en cuenta los más de 70 años de dicho Código, en resumen los tipos penales ahí existentes, no tomaban en cuenta los novísimos adelantos de la informática y la telemática por tanto les hacía inútiles por decirl o menos, para dar seguridad al comercio telemático ante el posible asedio de la criminalidad informática . Por fin en abril del 2002 y luego de largas discusiones los honorables diputados por fin aprobaron el texto definitivo de la Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas, y en consecuencia las reformas al Código Penal que daban la l uz a los llamados delitos i nformáticos. Posteriormente en agosto del 2014 se aprobó el nuevo marco normativo penal en el país, tanto en lo sustantivo, adjetivo y ejecutivo, el llamado Código Orgánico Integral Penal (COIP), donde se encuentran recogidos nuevos tipos penales relacionados con las TICS, y se amplían los tipos ya existentes en el Código Penal, donde se corrigen algunos errores conceptuales, pero existen otras situaciones que serán analizadas más adelante. De acuerdo a la Constitución Política de la República, en su Título IV, Capitulo 4to, en la sección décima al hablar de la Fiscalía General del Estado, en su Art. 195 señala que: “La Fiscalía dirigirá, de oficio o a petición de parte la investigación pre proc esal y procesal penal ……”. Esto en concordancia con el Art. 410 del Código Orgánico Integral Penal que señala que “(…) el ejercicio público de la acción corresponde a la Fiscalía (…)”. De lo dicho podemos concluir que el dueño de la acción penal y de la inv estigación tanto pre procesal como procesal de hechos que sean considerados como delitos dentro del nuevo Sistema Procesal Penal Acusatorio es el Fiscal. Es por tanto el Fiscal quien deberá llevar como quien dice la voz cantante dentro de la investigación de esta clase de infracciones de tipo informático . Ahora actualmente de acuerdo al COIP es el Sistema Especializado Integral de Investigación, de Medicina Legal y C iencias Dr. Santiago Acurio Del Pino
Pa gina 128
Derecho Penal Informa tico Forenses, quienes con el apoyo especializado de la Policía Nacional y personal civil de investigación son quienes realizará la investigación de los delitos y cumplirán las diligencias previstas en el COIP bajo la dirección y control de la Fiscalía, en tal virtud cualquier resultado de dichas investigaciones se incorporaran en su tiempo ya sea a la instrucción fiscal o a la investigación previa , esto como parte de los elementos de convicción que ayudaran posteriormente al representante de la Fiscalía a emitir su dictamen correspondiente. Ahora bien el problema que se advierte por parte de las instituciones llamadas a perseguir las llamadas infracciones informáticas es la falta de preparación en el orden técnico tanto de la Fiscalía 185 como de la Policía Judicial 186, esto en razón de la falta por un lado de la infraestructura necesaria, como centros de vigilancia computarizada, las modernas herramientas de software y todos los demás implementos tecnológicos necesarios para la persecución de los llamados delitos i nformáticos, de igual manera falta la suficiente formación tanto de los Fiscales que dirigirán la investigación como del cuerpo policial que lo auxiliara en dicha tarea, ahora en nuestra policía existe una Unidad especializada en investigación sobre el cibercrimen, que tiene como misión “Detectar, investigar y neutralizar las conductas il ícitas en la utilización de las tecnologías de información y comunicación en todas sus formas, mediante herramientas tecnológicas que capture, recupere y preserve la evidencia digital para apoyar el desarrollo de la administración de justicia y garantizar la seguridad y el orden público en el territorio ecuatoriano y en territorio digital ” 187. De otro lado también por parte de la Función Judicial falta la suficiente preparación por parte de Jueces y Magistrados en tratándose de estos temas, ya que en algunas ocasiones por no decirlo en la mayoría de los casos los llamados a impartir justicia se ven confundidos con la especial particularidad de estos delitos y los confunden con delitos tradicionales que por su estructura típica son incapaces de subsumir a estas nuevas conductas delictivas que tiene a la informática como su medio o fin. La cooperación multilateral de los grupos especiales multinacionales puede resultar ser particularmente útiles - y ya hay casos en que la cooperación internacional ha sido muy efectiva. De hecho, la cooperación puede engendrar emulación y éxitos adicionales. De otro lado en los últimos tiempos la masificación de virus informáticos globales, la difusión de la pornografía infantil e incluso actividades terroristas son algunos ejemplos de los nuevos delitos informáticos y sin fronteras que presentan una realidad difícil de controlar. Con el avance de la tecnología digital en los últimos años, ha surgido una nueva generación de delincuentes que expone a los 185 L a F i s c a l í a a p e s a r q u e e n e l 2 0 1 0 s e i n i c i ó c o n e l e s t a b l e c i m i e n t o d e l D e p a r t a m e n t o d e I n v e s t i g a c i ón y análisis forense como el departamento encargado para la investigación de esta clase de infracciones, con la llegada de Galo Chiriboga como Fiscal General ese departamento y los técnicos que venían prestando su apoyo y que fueron reclasificados administrativamente y el departamento prácticamente desapareció. 186 D e s d e e l a ñ o 2 0 1 0 l a P o l i c í a J u d i c i a l t i e n e l a U n i d a d d e I n v e s t i g a c i ó n d e C i b e r c r i m e n d e l a P o l i c ía
Judicial del Ecuador. https://www.facebook.com/CibercrimenPJ.EC/ 187 h t t p s : / / w w w . f a c e b o o k . c o m / C i b e r c r i m e n P J . E C / i n f o ? r e f = p a g e _ i n t e r n a l
Dr. Santiago Acurio Del Pino
Pa gina 129
Derecho Penal Informa tico gobiernos, las empresas y los individuos a estos peligros. Es por tanto como manifiesta PHIL WILLIAMS Profesor de Estudios de Seguridad Internacional, Universidad de Pittsbugh 188, Es necesario contar no solo con leyes e instrumentos eficaces y compatibles que permitan una cooperación idónea entre los estados para luchar contra la delincuencia i nformática, sino también con la infraestructura tanto técnica como con el recurso humano calificado para hacerle frente a este nuevo tipo de delitos transnacionales . Es por estas razones que la Fiscalía General del Estado tiene la obligación Jurídica en cumplimiento de su mandato constitucional de poseer un cuerpo especializado para combatir esta clase de criminalidad a fin de precautelar los derechos de las víctimas y llevar a los responsables a juicio, terminando así con la cifra negra de esta clase de infracciones, ya que en la actualidad esta clase de conductas ilícitas no son tratadas en debida forma por los órganos llamados a su persecución e investigación, así por ejemplo un tipo de delito actualmente en boga en nuestro país es el llamado CARDING Y SKIMING (utilización de tarjetas magnéticas, ya sean hurtadas o duplicadas para defraudar mediante la técnica de manipulación de datos de salida ) y, el cual que es una modalidad de Fraude Informático, mismo que actualmente en el Código Orgánico Integra l Penal ya está considerado, pero que en nuestro código penal anterior no estaba claro su tipificación ya que podía ser falsificación informática por la alteración de la información de la banda magnética o podría ser un robo asimilado, tomando en consideración de que la tarjeta magnética podría ser considerada una llave, de acuerdo al delito de apropiación ilícita.
6.1.- Tipos de Delitos Informáticos existentes en el Código Penal anterior. Con fines didácticos y de comparación en esta parte se incluyen l os delitos se encontraban como reforma al Código Penal por parte de la Ley de Comercio Electrónicos, Mensajes de Datos y Firmas Electrónicas publicada en Le y No. 67. Registro Oficial. Suplemento 557 de 17 de abril del 2002. Posteriormente dichos delitos fuero n derogados por el Código Orgánico Integral Penal , cuerpo normativo que trae nuevos delitos los que se expondrán a continuación: 6.1.1.- Delitos contra la Información Protegida: Violación de claves o sistemas de seguridad CODIGO PENAL ECUATOR IANO TITULO DEL CÓDIGO PENAL DESCRIPCIÓN Título II: DE LOS DELITOS CONTRA • Empleo de cualquier medio LAS GARANTIAS electrónico, informático o afín. CONSTITUC IONALES Y LA • Violentare claves o sistemas de IGUALDAD RAC IAL. seguridad 188 W I L L I A M S P h i l , C R I M E N O r g a n i z a d o y C i b e r n é t i c o , s i n e r g i a s , t e n d e n c i a s y r e s p u e s t a s . C e n t r o d e Enseñanza en Seguridad de la Internet de la Universidad Carnegie Mellon. http://www.pitt.edu/~rcss/toc.html
Dr. Santiago Acurio Del Pino
Pa gina 130
Derecho Penal Informa tico CODIGO PENAL ECUATOR IANO Cap. V. De los Delitos Contra la • Acceder u obtener información inviolabilidad del secreto. protegida contenida en sistemas de información • Vulnerar el secreto, confidencialidad y reserva • Simplemente vulnerar la seguridad • PRISION 6 MESES A UN AÑO MULTA 500 A 1000 USD • Agravantes dependiendo de la información y del sujeto activo TIPOS PENALES Artículo 59 .A continuación del Artículo... - Obtención y utilización Art. 202, inclúyanse los siguientes no autorizada de Información. - La persona o personas que obtuvieren artículos innumerados: Artículo…El que, empleando información sobre datos personales cualquier medio electrónico, para después cederla, publicarla, informático o afín, violentare claves o utilizarla o transferirla a cualquier sistemas de seguridad, para acceder u título, sin la autorización de su titular obtener información protegida, o titulares, serán sancionadas con pena contenida en sistemas de información; de prisión de dos mes es a dos años y para vulnerar el secreto, multa de mil a dos mil dólares de los confidencialidad y reserva, o Estados Unidos de Norteamérica. simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica. Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de Norteamérica. La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o industriales, serán sancionadas con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Si la divulgación o la utilización fraudulenta se realizan por parte de la Dr. Santiago Acurio Del Pino
Pa gina 131
Derecho Penal Informa tico CODIGO PENAL ECUATOR IANO persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Crítica: El verbo rector del tipo penal agregado por la Ley de Comercio Electrónico en abril del 2002: “El que, empleando cualquier medio electrónico, informático o afín, VIOLENTARE claves o sistemas de seguridad, ”. En el área penal se prohíbe la interpretación analógica y extensiva de la ley, y las palabras usadas por el legislador se deben interpretar de su modo natural y obvio, el diccionario de la real academia de la lengua dice que violentar es “…aplicar medios violentos a cosas o personas para vencer su resistencia ”. En este caso concreto la violencia va dirigida a romper las claves o los sistemas de seguridad que protegen del acceso no autorizado a la información protegida por dichos sistemas o contenida en ellos. En nuestra tradición jurídica la violencia se ejerce sobre las personas y la fuerza sobre las cosas, en el caso planteado y como ya se mencionó dond e recae la acción del verbo rector es sobre claves o sistemas de seguridad, las claves son una secuencia de números y letras que nos permiten el acceso a un determinado programa o servicio al que estos autorizados, son en definitiva un mensaje de datos, po r tanto información que no es cosa ni persona, por tanto el término violentare está más utilizado, de otra lado, hay que tomar quien realiza la acción típica, por ejemplo el administrador del Sistema de Información, quien tiene una clave de ROOT del sistema que puede abrir todo, en este caso el administrador no está violentando nada, ya que la clave es suya, por tanto al no cumplirse con el verbo rector de este tipo por parte del administrador del sistema de i nformación, por el principio de legalidad consag rado en nuestra Constitución en el Art. 76 numeral 3ro, no podría ser enjuiciado por que la pena es aplicable sólo en los casos que señala la ley, la que debe definir todos los elementos descriptivos y normativos conducentes a su aplicación, y como los dem ás párrafos de dicho artículo están subordinados al primer párrafo y por consiguiente al verbo rector también son inaplicables. Esto cambia ahora con el tipo penal existente en el Código Orgánico Integral Penal 6.1.2.- Delitos contra la Información Prote gida: Destrucción o supresión de documentos, programas. CÓDIGO PENAL ECUATOR IANO TITULO DEL CÓDIGO PENAL DESCRIPCIÓN TITULO III. DE LOS DELITOS • Empleado Público CONTRA LA ADMINISTRAC ION • Persona encargada de un servicio PÚBLICA. Cap. V. De la Violación de Público los deberes de Funcionarios Públicos, • Que maliciosamente y de la Usurpación de Atribuciones y de fraudulentamente Dr. Santiago Acurio Del Pino
Pa gina 132
Derecho Penal Informa tico los Abusos de Autoridad
• •
DESTRUYA O SUPRIMA: Documentos, títulos, programas, datos, bases de datos, información, mensajes de datos contenidos en un sistema o red electrónica. • RECLUS ION MENOR 3 A 6 AÑOS TIPOS PENALES Artículo 60. - Sustitúyase el Art. 262 por el siguiente: “Serán reprimidos con 3 a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, p rogramas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en razón de su cargo. 6.1.3.- Falsificación Electrónica CODIGO PENAL ECUATOR IANO TITULO DEL CÓDIGO PENAL DESCRIPCIÓN Título IV. DE LOS DELITOS Ánimo de lucro o para causar CONTRA LA FE PUBLICA. - Cap. III. perjuicio a un tercero. De las Falsificaciones de Documentos Utilice cualquier medio, altere, en General modifique mensaje de datos. TIPOS PENALES Artículo 61.- A continuación del Art. 353, agréguese el siguiente artículo innumerado: Falsificación electrónica. - Son reos de falsificación electrónica la persona o personas que con ánimo de lucro o bien para causar un perjuicio a un tercero, utilizando cualquier medio, alteren o modifiquen mensajes de datos, o la información incluida en éstos, que se encuentre conte nida en cualquier soporte material, sistema de información o telemático, ya sea: 1.- Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter formal o esencial; 2.- Simulando un mensaje de datos en todo o en parte, de manera que induzca a error sobre su autenticidad; 3.- Suponiendo en un acto la intervención de personas que no la han tenido o atribuyendo a las que han intervenido en el acto, declaraciones o manifestaciones diferentes de las que hubieren hecho. El delito de falsificación electrónica será sancionado de acuerdo a lo dispuesto en este capítulo.
6.1.4.- Daños Informáticos Dr. Santiago Acurio Del Pino
Pa gina 133
Derecho Penal Informa tico CODIGO PENAL ECUATOR IANO TITULO DEL CÓDIGO PENAL DESCRIPCIÓN Titulo V. DE LOS DELITOS CONTRA Dolosamente, de cualquier modo, o LA SEGURIDAD PÚBLICA. Cap. VII: utilizando cualquier método - Del incendio y otras Destrucciones, destruya, altere, inutilice, suprima de los deterioros y Daños o dañe de forma temporal o definitiva: Programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica. Inutilización de la infraestructura para la transmisión de datos PRISION 6 MESES A 3 AÑOS MULTA 60 A 150 USD TIPOS PENALES Artículo 62. - A continuación del Art. Artículo Innumerado…- Si no se 415 del Código Penal, inclúyanse los tratare de un delito mayor, la siguientes artículos innumerados: destrucción, alteración o inutilización de la infraestructura o instalaciones Art.…- Daños informáticos. - El que físicas necesarias para la transmisión, dolosamente, de cualquier modo, o recepción o procesamiento de utilizando cualquier método, destruya, mensajes de datos, será reprimida con altere, inutilice, suprima o dañe, de prisión de ocho meses a cuatro años y forma temporal o definitiva, los multa de doscientos a seis cientos programas, d atos, bases de datos, dólares de los Estados Unidos de información o cualquier mensaje de Norteamérica. datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteaméric a. La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional.
Dr. Santiago Acurio Del Pino
Pa gina 134
Derecho Penal Informa tico 6.1.5.- Fraude Informático CODIGO PENAL ECUATORIANO TITULO DEL CÓDIGO PENAL
DESCRIPCIÓN
Utilización fraudulenta de sistemas de información o redes electrónicas. PRISION 6 MESES A 5 AÑOS MULTA 500 A 1000 USD Y SI EMPLEA LOS SIGU IENTES MEDIOS: Inutilización de sistemas de alarma o guarda Descubrimiento o descifrado de claves secretas o encriptadas (cifradas es la palabra correcta) Utilización de tarjetas magnéticas o perforadas Utilización de controles o instrumentos de apertura a distancia, y, Violación de seguridades electrónicas PRISION 1 A 5 AÑOS MULTA 1000 A 2000 USD TIPOS PENALES Artículo 63.- A continuación del Art. Innumerado. - La pena será de artículo 553 del Código Penal, prisión de uno a cinco años y multa de añádanse los siguientes artículos mil a dos mil dólares de los Estados innumerados: Art. Innumerado.- Unidos de Norteamérica, si el delito se Apropiación Ilícita. Serán hubiere cometido empleando los reprimidos con prisión de seis meses a siguientes medios: cinco años y multa de quinientos a mil dólares de los Estados Unidos de 1.- Inutilización de sistemas de Norteamérica, los que utilizaren alarma o guarda; fraudulentamente sistemas de 2.- Descubrimiento o descifrado de información o redes electrónicas, para claves secretas o encriptadas; facilitar la apropiación de un bien 3.Utilización de tarjetas ajeno, o los que procuren la magnéticas o perforadas; transferencia no consentida de bienes, 4.- Utilización de controles o valores o derechos de una persona, en instrumentos de apertura a perjuicio de ésta o de un tercero, en distancia; beneficio suyo o de otra persona 5.Violación de seguridades alterando, manipulando o modificando electrónicas, informáticas u el funcionamiento de redes otras semejantes. electrónicas, programas informáticos, sistemas informáticos, telemáticos o Titulo X. De los Delitos contra la Propiedad. Cap. II. Del Robo. Cap. V De las Estafas y otras defraudaciones.
Dr. Santiago Acurio Del Pino
Pa gina 135
Derecho Penal Informa tico CODIGO PENAL ECUATORIANO mensajes de datos. Artículo 64.- Añádase como segundo inciso del artículo 563 del Código Penal el siguiente: Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, el que cometiere el delito util izando medios electrónicos o telemáticos. 6.1.6.- Violaciones al Derecho a la Intimidad (Contravención) CODIGO PENAL ECUATOR IANO TITULO DEL CÓDIGO PENAL DESCRIPCIÓN LIBRO III. CODIGO PENAL TITULO Violación al derecho a la Intimidad I. CAP. III. DE LAS CONTRAVENCIONES DE TERCERA CLASE. TIPOS PENALES Artículo 65.- A continuación del numeral 19 del Art. 606 añádase el siguiente: ..... Los que violaren el derecho a la intimidad, en los términos establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. 6.1.7.- Pornografía Infantil CODIGO PENAL ECUATOR IANO TITULO DEL CÓDIGO PENAL DESCRIPCIÓN Título VIII, Capítulo III.1, De los Producción, comercialización y Delitos de Explotación Sexual. distribución de imágenes pornográficas de niños, niñas y adolescentes Sobre materiales visuales, informáticos, electrónicos, y sobre cualquier otro soporte o formato Organizar espectáculos Representaciones gráficas TIPOS PENALES Art. 528.7.- Quien produjere, publicare o comercializare imágenes pornográficas, materiales visuales, audiovisuales, informáticos, electrónicos o de cualquier otro soporte físico o formato u organizare espectáculos en vivo, con escenas pornográficas en que participen los mayores de catorce y menor es de dieciocho años será reprimido con la pena de seis a nueve años de reclusión menor ordinaria, el comiso de los objetos y de los bienes productos del delito, la inhabilidad para el empleo profesión u oficio. Con la misma pena incurrirá quien distribuyere imágenes pornográficas cuyas características externas hiciere manifiesto que en ellas se ha grabado o fotografiado la exhibición de mayores de doce y menores de Dr. Santiago Acurio Del Pino
Pa gina 136
Derecho Penal Informa tico CODIGO PENAL ECUATOR IANO dieciocho años al momento de la creación de la i magen. Con la misma pena será reprimido quien facilitare el acceso a espectáculos pornográficos o suministrare material pornográfico en cuyas imágenes participen menores de edad. Cuando en estas infracciones, la víctima sea un menor de doce años o discapacitado, o persona que adolece enfermedad grave incurable, la pena será de reclusión mayor extraordinaria de doce a dieciséis años, al pago de la indemnización, el comiso de los objetos y de los bienes producto del delito, a la inhabilidad del empleo, prof esión u oficio; y, en caso de reincidencia, la pena será de veinticinco años de reclusión mayor especial. Cuando el infractor de estos delitos sea el padre, la madre, los parientes hasta el cuarto grado de consanguinidad y segundo de afinidad, los tutores, los representantes legales, curadores o cualquier persona del contorno íntimo de la familia, los ministro de culto, los maestros y profesores y, cualquier otra persona por su profesión u oficio hayan abusado de la víctima, serán sancionados con la pena d e dieciséis o veinticinco años de reclusión mayor extraordinaria, al pago de la indemnización, el comiso de los objetos y de los bienes producto del delito de inhabilidad del empleo u oficio. Si la víctima fuere menor de doce años se aplicará el máximo de la pena. 6.1.8.- Interceptación de comunicaciones TITULO DEL CÓDIGO DESCRIPCIÓN PENAL CAPITULO V Interceptaren sin orden judicial De los delitos contra la inviolabilidad conversaciones telefónicas o del secreto realizadas por medios afines TIPOS PENALES Art. 197 189.- Serán sancionados con penas de 2 meses a un año de prisión, quienes interceptaren sin orden judicial, conversaciones telefónicas o realizadas por medios afines y quienes se sustrajeran o abrieran sobres de correspondencia que pertenecieren a otro sin autorización expresa. Se exime la responsabilidad de quien lo hizo cuando la intercepción telefónica o la apertura de sobres se produce por error, en forma accidental o fortuita.
189
N ota : A rtí c ul o r e f or m a do po r A rt. 39 de L ey N o. 7 5 , pu bl ica da e n R egi str o O f ic ia l 6 3 5 de 7 d e a go st o de l 2 0 02 . Ar tí c ul os 1 97 y 1 98 u ni fi ca do s y s ust i tui do s p or Le y N o. 0, pu bli ca da e n R e g is t ro Of ic ia l S u plem en to 5 5 5 de 2 4 de ma rz o del 2 00 9 .
Dr. Santiago Acurio Del Pino
Pa gina 137
Derecho Penal Informa tico 7.- Tipos Penales en el COIP 7.1.- Pornografía Infantil TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO I Graves violaciones a los derechos humanos y contra el derecho internacional humanitarios SECCIÓN TERCERA Diversas formas de explotación
•
• •
•
•
La persona que fotografíe, filme, grabe, produzca, transmita o edite materiales visuales, audiovisuales, informáticos, electrónicos o de cualquier otro soporte físico o formato que contenga la representación visual de desnudos o semidesnudos reales o simulados de niñas, niños o adolescentes en actitud sexual La persona que publicite, compre, posea, porte, transmita, descargue, almacene, importe, exporte o venda, por cualquier medio, para uso personal o para intercambio pornografía de niños, niñas y adolescentes
TIPO PENAL Artículo 103.- Pornografía con utilización de niñas, niños o adolescentes. - La persona que fotografíe, filme, grabe, produzca, transmita o edite materiales visuales, audiovisuales, informáticos, electrónicos o de cualquier otro soporte físico o formato qu e contenga la representación visual de desnudos o semidesnudos reales o simulados de niñas, niños o adolescentes en actitud sexual; será sancionada con pena privativa de libertad de trece a dieciséis años. Si la víctima, además, sufre algún tipo de discapacidad o enfermedad grave o incurable, se sancionará con pena privativa de libertad de dieciséis a diecinueve años. Cuando la persona infractora sea el padre, la madre, pariente hasta el cuarto grado de con sanguinidad o segundo de afinidad, tutor, representante legal, curador o pertenezca al entorno íntimo de la familia; ministro de culto, profesor, maestro, o persona que por su profesión o actividad haya abusado de la víctima, será sancionada con pena priva tiva de libertad de veintidós a veintiséis años. Artículo 104. - Comercialización de pornografía con utilización de niñas, niños o adolescentes. - La persona que publicite, compre, posea, porte, transmita, descargue, almacene, importe, exporte o venda, por cualquier medio, para uso personal o para intercambio pornografía de niños, niñas y adolescentes, será sancionada con pena privativa de libertad de diez a trece años.
Dr. Santiago Acurio Del Pino
Pa gina 138
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO DESCRIPCIÓN INTEGRAL PENAL • Pornografía infantil es toda representación, por cualquier medio, de un niño, niña y adolescente en actividades sexuales explícitas, reales o simuladas; o de sus órganos genitales, con la finalidad de promover, sugerir o evocar la actividad sexual. (Art. 69 Código de la Niñez y la adolescencia) • Otro concepto: La pornografía infantil es toda forma de representación o promoción de la explotación sexual de los niños, niñas o adolescentes, incluidos materiales escritos y de audio, que se concentren en la conducta sexual o los órganos genitales de los niños 190.
7.2.- Acoso sexual “Grooming” TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN CUARTA Delitos contra la integridad sexual y reproductiva
•
• •
La persona que a través de un medio electrónico o telemático proponga concertar un encuentro con una persona menor de dieciocho años, siempre que tal propuesta se acompañe de actos materiales encaminados al acercamiento con finalidad sexual o erótica
TIPO PENAL Art. 173.- Contacto con finalidad sexual con menores de dieciocho años por medios electrónicos. - La persona que a través de un medio electrónico o telemático proponga concertar un encuentro con una persona menor de dieciocho años, siempre que tal propuesta se aco mpañe de actos materiales encaminados al acercamiento con finalidad sexual o erótica, será sancionada con pena privativa de libertad de uno a tres años. Cuando el acercamiento se obtenga mediante coacción o intimidación, será sancionada con pena privativa de libertad de tres a cinco años. La persona que suplantando la identidad de un tercero o mediante el uso de una identidad falsa por medios electrónicos o telemáticos, establezca comunicaciones de contenido sexual o erótico con una persona menor de dieciocho años o con discapacidad, será sancionada con pena privativa de libertad de tres a cinco años.
190 G r u p o d e E s p e c i a l i s t a e n c r í m e n e s d e e x p l o t a c i ó n s e x u a l c o n t r a n i ñ o s d e l a I n t e r p o l
Dr. Santiago Acurio Del Pino
Pa gina 139
Derecho Penal Informa tico 7.3.- Ofertas de servicios sexuales a través de medios electrónicos TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN CUARTA Delitos contra la integridad sexual y reproductiva
•
La persona, que utilice o facilite el correo electrónico, chat, mensajería instantánea, redes sociales, blogs, foto blogs, juegos en red o cualquier otro medio electróni co o telemático para ofrecer servicios sexuales con menores de dieciocho años de edad.
TIPO PENAL Art. 174.- La persona, que utilice o facilite el correo electrónico, chat, mensajería instantánea, redes sociales, blogs, foto blogs, juegos en red o cualquier otro medio electrónico o telemático para ofrecer servicios sexuales con menores de dieciocho años de edad, será sancionada con pena privativa de libertad de siete a diez años.
7.4.- Delitos contra el derecho a la intimidad TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN SEXTA Delitos contra la intimidad personal y familiar
•
•
La persona que, sin contar con el consentimiento o la autorización legal, acceda, intercepte, examine, retenga, grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz, audio y vídeo, objetos postales, información contenida en soportes informáticos, comunicaciones privadas o reservadas de otra persona por cualquier medio
TIPO PENAL Artículo 178. - Violación a la intimidad. - La persona que, sin contar con el consentimiento o la autorización legal, acceda, intercepte, examine, retenga, grabe, reproduzca, difunda o publique datos personales, mensajes de datos, voz, audio y vídeo, objeto s postales, información contenida en soportes informáticos, comunicaciones privadas o reservadas de otra persona por cualquier medio, será sancionada con pena privativa de libertad de uno a tres años. No son aplicables estas normas para la persona que divulgue grabaciones de audio y vídeo en las que interviene personalmente, ni cuando se trata de información pública de acuerdo con lo previsto en la ley.
Dr. Santiago Acurio Del Pino
Pa gina 140
Derecho Penal Informa tico
7.5.- Estafa TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN NOVENA Delitos contra el derecho a la propiedad
•
•
•
• • •
•
La persona que, para obtener un beneficio patrimonial para sí misma o para una tercera persona, mediante la simulación de hechos falsos o la deformación u ocultamiento de hechos verdaderos, induzca a error a otra, con el fin de que realice un acto que perjudique su patrimonio o el de una tercera. Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando ella sea alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo consentimiento de su propietario Defraude mediante el uso de dispositivos electrónicos que alteren, modifiquen, clonen o dupliquen los dispositivos originales de un cajero automático para capturar, almacenar, copias o reproducir información de tarjetas de crédito, débito, pago o similares.
TIPO PENAL Art. 186.- Estafa. - La persona que, para obtener un beneficio patrimonial para sí misma o para una tercera persona, mediante la simulación de hechos falsos o la deformación u ocultamiento de hechos verdaderos, induzca a error a otra, con el fin de que realice un acto que per judique su patrimonio o el de una tercera, será sancionada con pena privativa de libertad de cinco a siete años. La pena máxima se aplicará a la persona que: 1. Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando ella sea alter ada, clonada, duplicada, hurtada, robada u obtenida sin legítimo consentimiento de su propietario. 2. Defraude mediante el uso de dispositivos electrónicos que alteren, modifiquen, clonen o dupliquen los dispositivos originales de un cajero automático para capturar, almacenar, copias o reproducir información de tarjetas de crédito, débito, pago o similares. 3. Entregue certificación falsa sobre las operaciones o inversiones que
Dr. Santiago Acurio Del Pino
Pa gina 141
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO DESCRIPCIÓN INTEGRAL PENAL realice la persona jurídica. • 4. Induzca a la compra o venta pública de valores p or medio de cualquier acto, práctica, mecanismo o artificio engañoso o fraudulento. • 5. Efectúe cotizaciones o transacciones ficticias respecto de cualquier valor. • La persona que perjudique a más de dos personas o el monto de su perjuicio sea igual o mayor a cincuenta salarios básicos unificados del trabajador en general será sancionada con pena privativa de libertad de siete a diez años. • La estafa cometida a través de una institución del Sistema Financiero Nacional, de la economía popular y solidaria que r ealicen intermediación financiera mediante el empleo de fondos públicos o de la Seguridad Social, será sancionada con pena privativa de libertad de siete a diez años. • La persona que emita boletos o entradas para eventos en escenarios públicos o de concentr ación masiva por sobre el número del aforo autorizado por la autoridad pública competente, será sancionada con pena privativa de libertad de treinta a noventa días.
7.6.- Aprovechamiento de servicios públicos TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN NOVENA Delitos contra el derecho a la propiedad
•
•
Dr. Santiago Acurio Del Pino
La persona que altere los sistemas de control o aparatos contadores para aprovecharse de los servicios públicos de energía eléctrica, agua, derivados de hidrocarburos, gas natural, gas licuado de petróleo o de telecomunicaciones, en beneficio propio o de terceros, o efectúen conexiones directas, destruyan, perforen o manipulen las instalaciones de transporte, comunicación o acceso a los mencionados servicios La pena máxima prevista se impondrá a la o al servidor público que permita o facilite la comisión de la infracción u omita efectuar la denuncia de la comisión de la infracción. La persona que ofrezca, preste o comercialice servicios públicos de luz eléctrica, Pa gina 142
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN telecomunicaciones o agua potable sin estar legalmente facultada, mediante concesión, autorización, licencia, permiso, convenios, registros o cualquier otra forma de contrat ación administrativa
•
• •
TIPO PENAL Art. 188.-La persona que altere los sistemas de control o aparatos contadores para aprovecharse de los servicios públicos de energía eléctrica, agua, derivados de hidrocarburos, gas natural, gas licuado de petróleo o de telecomunicaciones, en beneficio propio o de terceros, o efectúen conexiones directas, destruyan, perforen o manipulen las instalaciones de transporte, comunicación o acceso a los mencionados servicios, será sancionada con pena privativa de libertad de sei s meses a dos años. La pena máxima prevista se impondrá a la o al servidor público que permita o facilite la comisión de la infracción u omita efectuar la denuncia de la comisión de la infracción. La persona que ofrezca, preste o comercialice servicios púb licos de luz eléctrica, telecomunicaciones o agua potable sin estar legalmente facultada, mediante concesión, autorización, licencia, permiso, convenios, registros o cualquier otra forma de contratación administrativa, será sancionada con pena privativa de libertad de uno a tres años.
7.7.- Apropiación fraudulenta por medios electrónicos TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN NOVENA Delitos contra el derecho a la propiedad
Dr. Santiago Acurio Del Pino
La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones Pa gina 143
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
•
•
La persona que inutilice sistemas de alarma o guarda, des cubra o descifre de claves secretas o cifradas, utilice tarjetas magnéticas o perforadas, utilice controles o instrumentos de apertura a distancia, o violé seguridades electrónicas, informáticas u otras semejantes .
TIPO PENAL Art. 190.- La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de libe rtad de uno a tres años. La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de alarma o guarda, descubrimiento o descifrado de claves secretas o “encriptadas ” 191, utilización de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a distancia, o violación de seguridades electrónicas, informáticas u otras semejantes.
7.8.- Delitos referentes a terminales móviles y su información de identificación TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN NOVENA Delitos contra el derecho a la propiedad
•
La persona que reprograme o modifique la información de identificación (IMEI 192) de los equipos terminales móviles 193 La persona que interc ambie, comercialice o compre bases de datos que contengan información de identificación de equipos terminales móviles (IMEI)
191 S e d e b e r í a u t i l i z a r l a s p a l a b r a s C I F R A o C I F R A D A S , p o r q u e l a s p a l a b r a s E N C R I P T A R o E N C R I P T A D A S no existe en el Diccionario de la Real Academia de la Lengua Española (RAE). 192 I M E I : I d e n t i f i c a d o r i n t e r n a c i o n a l d e l e q u i p o m ó v i l ( p o r s u s s i g l a s e n i n g l é s ) o s u s e q u i v a l e n t e s e n e l futuro, código variable pregrabado en los equipos terminales móviles que los identifican de manera específica. 193 E q u i p o T e r m i n a l M ó v i l : E q u i p o e l e c t r ó n i c o p o r m e d i o d e l c u a l e l u s u a r i o a c c e d e a l a s r e d e s d e telecomunicaciones móviles .
Dr. Santiago Acurio Del Pino
Pa gina 144
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
•
•
• • •
•
La persona que reemplace las etiquetas de fabricación de los terminales móviles que contienen información de identificación (¿IMEI o ESN 194?) de dichos equipos y coloque en su lugar otras etiquetas con información de identificación falsa o diferente a la original La persona que comercialice terminales móviles con violación de las disposiciones y procedimientos previstos en la normativa emitida por la autoridad competente de telecomunicaciones 195. La persona que posea infraestructura, programas, equipos, bases de datos o etiquetas que permitan reprogramar, modificar o alterar la información de identificación de un equipo terminal móvil
TIPO PENAL Art. 191.- La persona que reprograme o modifique la info rmación de identificación de los equipos terminales móviles, será sancionada con pena privativa de libertad de uno a tres años. Art. 192.- La persona que intercambie, comercialice o compre bases de datos que contengan información de identificación de equip os terminales móviles, será sancionada con pena privativa de libertad de uno a tres años. Art. 193.- La persona que reemplace las etiquetas de fabricación de los terminales móviles que con tienen información de identificación de dichos equipos y coloque en su lugar otras etiquetas con información de identificación falsa o diferente a la original, será sancionada con pena privativa de libertad de uno a tres años. Art. 194.- La persona que com ercialice terminales móviles con violación de las disposiciones y procedimientos previstos en la normativa emitida
194 E S N : E l e c t r o n i c S e r i a l N u m b e r ( N ú m e r o d e s e r i e e l e c t r ó n i c o ) E l E S N e s u n n ú m e r o ú n i c o q u e i d e n t i f i c a a un equipo terminal móvil para redes inalámbricas. El ESN se encuentra impreso en la etiqueta de la parte posterior del Equipo Terminal Móvil debajo d e la batería. La primera sección del ESN es el código de distinción del proveedor de servicios asignado por el órgano regulador de las comunicaciones inalámbricas. La segunda sección del ESN es el número de serie del equipo terminal móvil. El ESN es comparable al IMEI, que se utiliza para identificar a los equipos terminales móviles en otras redes 195 P o s i b l e v i o l a c i ó n d e l p r i n c i p i o d e l e g a l i d a d p o r r e m i s i ó n a u n a n o r m a t i v a i n f e r i o r a l a l e y , e s d e c i r a un reglamento, una resolución administrativa o un acuerd o, que no tienen el rango de ley, y en tal sentido no podrían contener la descripción de un tipo penal. (Principio de reserva de ley)
Dr. Santiago Acurio Del Pino
Pa gina 145
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO DESCRIPCIÓN INTEGRAL PENAL por la autoridad competente de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años. • Art. 195.- La persona que posea infraestructura, programas, equipos, bases de datos o etiquetas que permitan reprogramar, modificar o alterar la información de identificación de un equipo terminal móvil, será sancionada con pena privativa de libertad de uno a tres años. • No constituye delito, la apertura de bandas para operación de los equipos terminales móviles .
7.9.- Delitos contra la identidad TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO II Delitos contra los derechos de libertad SECCIÓN DECIMA Delitos contra el derecho a la identidad
•
La persona que ilegalmente impida, altere, añada o suprima la inscripción de los datos de identidad suyos o de otra persona en programas informáticos, partidas, tarjetas índices, cédulas o en cualquier otro documento emitido por la Dirección General de Registro Civil, Identificación y de Cedulación o sus dependencias.
TIPO PENAL Art. 211.-. La persona que ilegalmente impida, altere, añada o suprima la inscripción de los datos de identidad suyos o de otra persona en programas informáticos, partidas, tarjetas índices, cédulas o en cualquier otro documento emitido por la Dirección General de Registro Civil, Identificación y de Cedulación o sus dependencias o, inscriba como propia, en la Dirección General de Registro Civ il, Identificación y de Cedulación a una persona que no es su hijo, será sancionada con pena privativa de libertad de uno a tres años.
7.10.- Revelación ilegal de información en base de datos TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL CAPITULO III Delitos contra los derechos del buen vivir SECCIÓN TERCERA Delitos contra la seguridad de los activos de los sistemas de información Dr. Santiago Acurio Del Pino
DESCRIPCIÓN •
La persona que, en provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a Pa gina 146
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL y comunicación
•
•
DESCRIPCIÓN un sistema electrónico, informático, telemático o de telecomunicaciones; materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las personas
TIPO PENAL Art. 229.- Revelación ilegal de base de datos. - La persona que, en provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico, informático, telemático o de telecomunicaciones; materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la pr ivacidad de las personas, será sancionada con pena privativa de libertad de uno a tres años. Si esta conducta se comete por una o un servidor público, empleadas o empleados bancarios internos o de instituciones de la economía popular y solidaria que realic en intermediación financiera o contratistas, será sancionada con pena privativa de libertad de tres a cinco años.
7.11.- Interceptación ilegal de datos TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO III Delitos contra los derechos del buen vivir SECCIÓN TERCERA Delitos contra la seguridad de los activos de los sistemas de información y comunicación
Dr. Santiago Acurio Del Pino
•
interceptación: La persona que, sin orden judicial previa, en provecho propio o de un tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en su origen, destino o en el interior de un sistema informático, una señal o una transmisión de datos o señales con la finalidad de obtener información registrada o disponible. Pharming y Phishing : La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de resolución de nombres de Pa gina 147
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN
•
•
•
dominio de un servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una persona a ingresar a una dirección o sitio de internet diferente a la que quiere acceder. Clonación: La persona que a través de cualquier medio copie, clone o comercialice información (DUMPS 196) contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté soportada en las tarjetas de crédito, débito, pago o similares. Posesión Ilícita: La persona que produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito descrito en el inciso anterior.
• TIPO PENAL Artículo 230. - Interceptación ilegal de datos. - Será sancionada con pena privativa de libertad de tres a cinco años:
1. La persona que, sin orden judicial previa, en provecho propio o de un tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en su origen, destino o en el interior de un sistema informático, una señal o una transmisión de datos o señales con la finalidad de obtener información registrada o disponible. 2. La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de r esolución de nombres de dominio de un servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una persona a ingresar a una dirección o sitio de internet diferente a la que quiere acceder. 3. La persona que a tr avés de cualquier medio copie, clone o comercialice información contenida en las bandas magnéticas, chips 196 E s u n a c o p i a e l e c t r ó n i c a d e l a b a n d a m a g n é t i c a d e u n a t a r j e t a d e c r é d i t o o d é b i t o , u t i l i z a d a p o r ciberdelincuentes para falsificar este tipo de tarjetas.
Dr. Santiago Acurio Del Pino
Pa gina 148
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO DESCRIPCIÓN INTEGRAL PENAL u otro dispositivo electrónico que esté soportada en las tarjetas de crédito, débito, pago o similares. 4. La persona que produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito descrito en el inciso anterior.
7.12.- Fraude Informático y muleros TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO III Delitos contra los derechos del buen vivir SECCIÓN TERCERA Delitos contra la seguridad de los activos de los sistemas de información y comunicación
•
•
•
Fraude Informático: La persona que, con ánimo de lucro, altere, manipule o modifique el funcionamiento de programa o sistema informático o telemático o mensaje de datos, para procurarse la transferencia o apropiación no consentida de un activo patrimonial 197 de otra persona en perjuicio de esta o de un tercero. Mulas del Fraude Informático (muleros): La persona que facilite o proporcione datos de su cuenta bancaria con la intención de obtener, recibir o captar de forma ilegítima un activo patrimonial a través de una transferencia electrónica producto de este delito para sí mismo o para otra persona.
TIPO PENAL Artículo 231.- Transferencia electrónica de activo patrimonial. - La persona que, con ánimo de lucro, altere, manipule o modifique el funcionamiento de programa o sistema informático o telemático o mensaje de datos, para procurarse la transferencia o aprop iación no consentida de un activo patrimonial de otra persona en perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad de tres a cinco años. Con igual pena, será sancionada la persona que facilite o proporcione datos de su cuent a bancaria con la intención de obtener, recibir o captar de forma ilegítima un activo patrimonial a través de una transferencia
197 A C T I V O P A T R I M O N I A L . física o jurídica.
Conjunto de bienes y derechos que integran el haber de una persona
Dr. Santiago Acurio Del Pino
Pa gina 149
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO DESCRIPCIÓN INTEGRAL PENAL electrónica producto de este delito para sí mismo o para otra persona.
7.13.- Daños Informáticos, Malware, ataques de DoS y DDoS TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO III Delitos contra los derechos del buen vivir SECCIÓN TERCERA Delitos contra la seguridad de los activos de los sistemas de información y comunicación
•
•
•
•
La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen . Malware: Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este artículo. Ataques: Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la transmisión, recepción o procesamiento de información en general.
TIPO PENAL Artículo 232. - Ataque a la integridad de sistemas informáticos. - La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o partes de sus componentes lógicos que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años. Con igual pena será sancionada la persona que:
Dr. Santiago Acurio Del Pino
Pa gina 150
Derecho Penal Informa tico TITULO DEL CÓDIGO ORGÁNICO DESCRIPCIÓN INTEGRAL PENAL 1. Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este artículo. 2. Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la transmisión, recepción o procesamiento de información en general. •
Si la infracción se comete sobre bienes informáticos destinados a la prestación de un servicio p úblico o vinculado con la seguridad ciudadana, la pena será de cinco a siete años de privación de libertad.
7.14.- Delitos contra la información pública reservada TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO III Delitos contra los derechos del buen vivir SECCIÓN TERCERA Delitos contra la seguridad de los activos de los sistemas de información y comunicación •
• •
•
La persona que destruya o inutilice información clasificada de conformidad con la Le y El funcionario público encargado de la custodia de la información reservada o está autorizado a su utilización legitima, que sin la autorización correspondiente revele información clasificada.
TIPO PENAL Artículo 233. - Delitos contra la información pública reservada legalmente. - La persona que destruya o inutilice información clasificada de conformidad con la Ley, será sancionada con pena privativa de libertad de cinco a siete años. La o el servidor público que, utilizando cualquier medio electrónico o informático, obtenga este tipo de infor mación, será sancionado con pena privativa de libertad de tres a cinco años. Cuando se trate de información reservada, cuya revelación pueda comprometer gravemente la seguridad del Estado, la o el servidor público encargado de la custodia o utilización leg ítima de la información que sin la autorización correspondiente revele dicha información, será sancionado con pena privativa de libertad de siete a diez años y la inhabilitación para ejercer un cargo o función pública por seis meses, siempre que no se conf igure otra infracción de mayor gravedad.
7.15.- Acceso no autorizado a sistemas informáticos, telemáticos o Dr. Santiago Acurio Del Pino
Pa gina 151
Derecho Penal Informa tico de telecomunicaciones TITULO DEL CÓDIGO ORGÁNICO INTEGRAL PENAL
DESCRIPCIÓN •
CAPITULO III Delitos contra los derechos del buen vivir SECCIÓN TERCERA Delitos contra la seguridad de los activos de los sistemas de información y comunicación
•
La persona que sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o de telecomunicaciones o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin pagarlos a los proveedores de servicios legítimos
TIPO PENAL Art. 234.- La persona que sin autorización acceda en todo o en parte a un sistema informático o sistema telemático o de telecomunicaciones o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho, para explotar ilegítimamente el acceso logrado, modificar un portal web, desviar o redireccionar de tráfico de datos o voz u ofrecer servicios que estos sistemas proveen a terceros, sin pagarlos a los proveedores de servici os legítimos, será sancionada con la pena privativa de la libertad de tres a cinco años.
8.- Problemas de Persecución. Este tipo de infracciones son difícilmente descubiertas o perseguidas ya que los sujetos activos act úan sigilosamente, y poseen herrami entas capaces de borrar todo rastro de intrusión o la consumación del delito, pero a pesar de eso y de no contar ni con una policía entrenada para investigar dichos hechos, ni un Fiscalía que pueda dar las directrices para la correcta indagación de dichos actos delictivos, por no contar entre otras con una Unidad Especial para la investigación y persecución de estas infracciones informáticas , existen dos problemas principales que a continuación se exponen:
8.1.- Problemática con la concepción tradicional de tiempo y espacio. En una comunicación elaborada para el Parlamento y el Consejo de Europa, se indicaba que los crímenes informáticos son cometidos a través del ciberespacio y no se detienen ante las convencionales fronteras estatales. Ellos Dr. Santiago Acurio Del Pino
Pa gina 152
Derecho Penal Informa tico pueden ser per petrados, en principio, desde cualquier lugar y contra cualquier usuario de computadoras en el mundo. Por lo general, se ha reconocido que para lograr una acción efectiva contra los crímenes informáticos es necesario actuar en ambos niveles en lo nacional y en lo internacional 198. Esta característica de transnacional de la delincuencia informática es otro de los problemas de perseguibilidad . Tradicionalmente se ha considerado que la ley penal solo se aplica en el territorio de la República, hecho que constit uye el llamado “principio de territorialidad de la ley ”, el mismo que se encuentra considerado en el Art. 14 del Código Orgánico Integral Penal , como ámbito espacial de aplicación del COIP. El principio de territorialidad sostiene que la ley penal de un país es aplicable cuando la infracción ha sido cometida dentro del territorio, en el momento actual esto puede haber cambiado teniendo en cuenta que el nuevo escenario en donde mayormente se da este tipo de delitos es el Ciberespacio, un lugar donde no exist en fronteras territoriales, y que de acuerdo a Jhon Perry Barlow, quien público lo que se llama LA DECLARACIÓN DE INDEPENDENCIA DEL CI BERESPACIO, en donde manifiesta: “Gobiernos del mundo industrializado, gigantes obsoletos , de la nueva morada del espírit u (…) No os queremos entre nosotros, en el terreno donde nos reunimos no sois soberanos.. Vuestros conceptos jurídicos de propiedad, de expresión, de identidad, de movimiento y de contexto no se aplican a nosotros. Están basados en la materia” 199 Por lo dicho se puede constatar de prima facie que es difícil la persecución de estos delitos y su enjuiciamiento, ya que existe la posibilidad de preparar y cometer acciones delictivas informáticas en perjuicio de terceros en tiempo y espacio lejanos. Por ello ahora el COIP, a referirse al referirse al reconocimiento del lugar de los hechos, menciona que esta se la puede hacer en territorio digital, servicios digitales, medios y equipos tecnológicos. Es decir que el código reconoce la existencia de un territorio digital ecuatoriano, donde se podría realizar el reconocimiento de un ataque informático de cualquier especie, pero ahora surge la pregunta cuales son los límites de este territorio digital, son los mismos de nuestro país, eso todavía no está explicado . Los problemas de jurisdicción y competencia son decisivos a la hora de comprender el delito informático o ciberdelito. Las jurisdicciones nacionales ancladas en el principio de territorialidad se muestran impotentes para la aprehensión de este peculiar ilí cito, es decir para el derecho penal es necesario la determinación del fórum delicti comisi , ya que esto determinará la jurisdicción competente. 198 A B O S O , G u s t a v o E d u a r d o y Z A P A T A , M a r í a F l o r e n c i a , C i b e r c r i m i n a l i d a d y D e r e c h o P e n a l , E d i t o r i a l B DF de Montevideo y Buenos Aires, Edición 2006 199 BARLOW, Jhon Perry, Publicación hecha en el sitio Web: www.eff.org/pub/publications/Jhon_perry_barlow/barlow_0296
Dr. Santiago Acurio Del Pino
Pa gina 153
Derecho Penal Informa tico En este orden de ideas hay que tomar en cuenta tres teorías a fin de determinar cuál es la jurisdicción aplica ble a saber 200: 1. TEORÍA DE LA ACCIÓN: Es la que establece el lugar del hecho delictivo donde se produce la acción típica, o donde debía haber actuado en el supuesto de omisión. 2. TEORÍA DEL RESULTADO : Es la que se fija en función de las consecuencias lesivas. 3. TEORÍA DE LA UBICUIDAD: Esta es una fórmula mixta verdaderamente pragmática, adopta como lugar comisivo tanto el lugar de la acción como la del resultado. Debido a los adelantos de las telecomunicaciones y la telemática, hace que las distancias reales o f ronteras entre países no existan como ya se ha dicho, ya que una persona puede realizar un acto delictivo en un lugar distinto del lugar de los hechos, como por ejemplo los creadores de MALWARE o de los VIRUS INFORMÁTICOS como el conocido: I LOVE YOU, el mismo que fue diseñado y creado en Filipinas y causó daños a nivel mundial en cuestión de días . Por otro lado, la posibilidad de realizar programas de efecto retardado como las llamadas bombas lógicas, las cuales no desatan su poder destructivo , hasta tiempo después de que el autor material de la infracción este a “buen recaudo ”; o que con determinadas ordenes, rutinas y subrutinas de algunos programas se puede preparar el cometimiento de una infracción como la del fraude informático, y en el momento que esto sucede el hechor se encuentra realizando una tarea completamente incompatible con el acto delictivo cometido. La territorialidad de la ley es considerada como un principio de soberanía del estado y se resume al decir que no se puede aplicar al ecua toriano delincuente otra ley que no sea la ecuatoriana, aclarando que no importa el lugar donde se encuentre el delincuente, es decir, sin importar el país en donde se haya cometido el delito. Este principio denota algunas características como las siguien tes: • • •
La ley penal es aplicable a los hechos punibles cometidos dentro del territorio del Estado, sin consideración a la nacionalidad del actor. No se toma en cuenta la nacionalidad del autor. Se toma en cuenta el lugar de comisión del delito. Nuestra legislación se inclina por la teoría del resultado, es decir que la INFRACC IÓN se entiende cometida en el territorio del Estado cuando los efectos de la acción 201 (u omisión) deban producirse en el Ecuador o en los lugares sometidos a su
200 S A N C H E Z M A G R O A n d r é s , E l c i b e r d e l i t o y s u s i m p l i c a c i o n e s p r o c e s a l e s , A r t i c u l o e n P r i n c i p i o s d e l Derecho de Internet, Segunda Edición, Valencia España 2005, Editorial Tirant lo Blanch. 201 E n e l A r t . 1 4 d e l C O I P e n e l i n c i s o 2 d o , a l h a b l a r d e l a s i n f r a c c i o n e s c o m e t i d a s f u e r a d e l t e r r i t o r i o ecuatoriano, se menciona cuando la infracción produzca efectos en el Ecuador o en los lugares sometidos a su jurisdicción.
Dr. Santiago Acurio Del Pino
Pa gina 154
Derecho Penal Informa tico • •
jurisdicción. Se aplica al concepto jurídico de territorio por el Derecho Internacional: los límites del Estado, mar territorial. Espacio aéreo. Se aplica también la teoría del territorio flotante o Principio de la bandera: Naves o aeronaves de bandera nacional ya sea que se encu entren en alta mar, en su espacio aéreo y en lugares en que, por la existencia de un convenio internacional, ejerzan jurisdicción. Este principio no se aplica cuando las naves o aeronaves MERCANTES estén sujetas a una ley penal extranjera. El ámbito de ap licación de este principio está en: 1. 2. 3. 4. 5.
Territorio Continental Espacio Aéreo Mar Territorial Naves y aeronaves ecuatorianas de guerra o mercantes. Infracciones cometidas en el recinto de una Legación ecuatoriana en país extranjero. 6. Graves violaciones a los de rechos humanos. 8.1.1.- Principios de extraterritorialidad Tres son los principios que constituyen el principio de extraterritorialidad y son los siguientes: el principio de la nacionalidad o personalidad, el principio de la defensa y el principio de la u niversalidad y justicia mundial.
A.- Principio de la nacionalidad o personalidad. Según este, se debe aplicar al delincuente únicamente la ley que corresponde a su nacionalidad, es decir, la ley del país de su origen, sea el país que sea en el que haya com etido el delito. Este principio tiene dos divisiones: A.- P R I N C I PI O D E L A N A CI ON AL I DA D ACTIVA. - Se funda en la obediencia que se exige al súbdito ecuatoriano con respecto a su legislación. Se toma en cuenta la nacionalidad del autor del delito. B.- P R I N C I PI O D E L A N A CI ON AL I D AD PASIVA. - El alcance espacial de la ley se extiende en función del ofendido o titular del bien jurídico protegido. Se aplicaría cuando está en juego la protección de los bienes jurídicos individuales
B.- Principio de la defensa. Este nos dice que es aplicable la ley del país donde los principios son atacados por el delito, sin tomar en cuenta la nacionalidad de los realizadores. Se toma en cuenta la nacionalidad del bien jurídico protegido, es decir se aplica este principio cuando se afecta la integridad territorial. Quedando en juego la protección de los bienes nacionales. Ha sido tomado por algunos países, como por ejemplo el nuestro el cual p uede pedir la extradición de un delincuente informático Dr. Santiago Acurio Del Pino
Pa gina 155
Derecho Penal Informa tico que haya vulnerado bienes j urídicos protegidos en nuestro país como resultado de su acción delictiva. Claro que esta norma no puede ser aplicada en todos los países ya que algunos de ellos como el nuestro prohíben la extradición de ecuatorianos que hayan cometido una infracción en o tro país, en este caso se aplica un principio de equivalencia, es decir si el delito cometido en el otro país se encuentra tipificado en el nuestro también puede seguirse el proceso penal por el cometimiento de dicho delito, pero en nuestro país.
C.- Principio de la universalidad y justicia mundial. Este principio se refiere a que es aplicable la ley del país que primero aprese al delincuente, sin considerar otro aspecto. Este principio tiene una finalidad práctica para reprimir los delitos contra la humanidad, aquellos que han sido catalogados como tales en virtud de ser considerados como ofensores de toda la humanidad. Para ello es necesario firmar convenios internacionales y unilaterales con el fin de que cada país pueda sancionar al delincuente con su propia ley, sin importar el lugar donde el individuo haya cometido el acto ni tampoco la nacionalidad del mismo. Ahora el COIP, ya contempla su aplicación en el caso de graves violaciones a los derechos humanos y cuando la infracción penal afecta a bie nes jurídicos protegidos por el Derecho Internacional a través de los instrumentos internacionales ratificados por el Ecuador. ART. 401.- JURISDICCIÓN UNIVERSAL. - Los delitos contra la humanidad pueden ser investigados y juzgados en la República del Ecuador, siempre que no hayan sido juzgados en otro Estado o por cortes penales internacionales, de conformidad con lo establecido en este Código y en los tratados internacionales suscritos y ratificados. Se prescinde tanto de la nacionalidad del autor como del lugar de comisión del delito, se fundamenta en el principio de solidaridad de los estados en la lucha contra el delito. En doctrina penal se concede en virtud de este principio eficacia extraterritorial a la ley penal; pero en el Derecho Internaciona l condiciona esta eficacia extraterritorial tomando en cuenta:
• •
La calidad del bien jurídico protegido, como bienes culturales supranacionales. Cuando los autores del delito sean peligrosos para todos los estados.
En cuanto a los delitos informáticos de carácter transnacional, en especial el Ciberterrorismo es necesario aplicar este principio por cuanto la peligrosidad de este tipo de ataques puede causar más daño que el terrorismo convencional. Dr. Santiago Acurio Del Pino
Pa gina 156
Derecho Penal Informa tico 8.2. Anonimato del Sujeto Activo. El sujeto activo de esta c lase de infracciones puede ser totalmente anónimo y usar este anonimato como forma de evadir su responsabilidad, ya que este no necesariamente puede usar su propio sistema informático, sino que se puede valer de un tercero, como p or ejemplo en el caso del envío de correo no deseado o SPAM, en el cual se puede usar a una máquina zombi, es decir una computadora que está bajo el control del SPAMER y que le permite usarla como una estación de trabajo de su propia red de máquinas zombis, las cuales pertenecen a usuarios desaprensivos que no tienen al día sus medidas de seguridad y que son fácil presa de los hackers y crackers para cometer este tipo de infracciones. También existen programas de enmascaramiento o que no permiten ver la verdadera dirección ya sea de correo electrónico o del número IP de donde se conecta la máquina .
9.- Temas Pendientes En el rubro de temas pendientes antes de la aparición del COIP, la legislación Ecuatoriana no se había tipificado el abuso de dispositivos en el caso de interceptación o el hacking, de igual manera con el COIP ya se tipificó la posesión de material pornográfico infantil, el delito de acoso cibernético a niños niñas y adolescentes (Grooming), Pero la difusión de SPAM y el Ciberbulling en escuelas y colegios todavía no es parte de la política criminal del Estado, al igual que la despenalización de los tipos penales referentes a la propiedad intelectual que desaparecieron con la vigencia del COIP. Desde esta perspectiva se construyó una propuesta para ser incluida como reforma al COIP, la cual queda a criterio de los lectores considerarla.
9.1.- Proyecto de Reforma que se propuso para que fuera incluido en el COIP A RT . * D E L I T OS I N F ORM ÁT I C OS 202: Los Delitos informáticos son todas las acciones u omisiones dolosas cometidas en contra la información que en forma de mensajes de datos es creada, almacenada y transmitida a través de un sistema informático o telemático, destinadas a producir un perjuicio al titular o titulares de esa información y un beneficio ilegitimo a 202 D e n t r o d e l a d o c t r i n a i n t e r n a c i o n a l , e l t é r m i n o “ D e l i t o i n f o r m á t i c o ” e s u s a d o p o r l a p l a s t i c i d a d y l a facilidad de relación con las con las actividades delictivas con las que tiene relación, pero si hablamos de delito en estricto sentido legal y apelamos a la significación específica que tiene esta palabra en derecho penal, esto nos lleva a pensar en una conducta que se encuentra tipificada en un código. Así el Art. 10 del Código Penal señala que “ Son infracciones los actos imputables sancionados por las le yes penales, y se dividen en delitos y contravenciones, según la naturaleza de la pena peculiar ”. De la lectura de este artículo podemos inferir que, en nuestra legislación, para que un comportamiento pueda ser considerado técnicamente como delito es neces ario su tipificación en la ley penal vigente. Así pues, todas aquellas conductas vinculadas a la informática que no se encuentran penalizadas, pero que por consideraciones de lege ferenda, sean susceptibles de ser tipificadas, no podrían calificarse como d elitos. En este sentido el profesor español DAVARA RODRÍGUEZ, en concordancia con lo que manifiesta el profesor mexicano Julio TELLES VALDÉS, menciona que no le parece adecuado hablar de delito informático ya que, como tal, no existe, si atendemos a la nec esidad de una tipificación en la legislación penal para que pueda existir un delito. Es por estas razones que es necesario que exista una definición de delito informático.
Dr. Santiago Acurio Del Pino
Pa gina 157
Derecho Penal Informa tico los autores de las mismas ” 203. A RT . * F R A UDE I N F ORM ÁT I C O 204: Son responsables de fraude informático las personas que con ánimo de lucro y valiéndose de cualquier método o modo, utilizaren fraudulentamente sistemas de información o redes electrónicas para alterar, manipular, o modificar el funcionamiento de un programa informático, sistema informático, de información, telemático, o un mensaje de datos para procurarse la transferencia no consentida de un activo patrimonial de otra persona en perjuicio de ésta o de un tercero, serán sancionados con pena de prisión de d os a cinco años y multa de 1.000 a 2.000 Dólares. La pena indicada en el inciso anterior será impuesta al máximo establecido, siempre que la conducta no constituya delito sancionado con pena más grave , si la persona que cometiere el fraude informático lo comete en razón de su empleo u oficio, o ha utilizado él envió de correos electrónicos, alterando el sistema de nombres de dominio (DNS), creando páginas web fraudulentas para simular del todo o en parte a una entidad financiera Las personas que no siendo participes en ningún grado del fraude informático, pero que como clientes del sistema financiero recibieren las transferencias no consentidas de un activo patrimonial y que no pudieran explicar su origen o motivación serán juzgadas por el delito de Lavado de Activos de acuerdo a la Ley de la Materia. A RT . F R A U D E I NF O R M ÁT I C O 2.- La pena será de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica, si el delito se hubiere cometido empleando los siguientes medios: 1.- Inutilización de sistemas de alarma o guarda; 2.- Descubrimiento o descifrado de claves secretas o cifradas ; 3.- Utilización de tarjetas magnéticas o perforadas; 4.- Utilización de controles o instrumentos de apertura a distancia; 5.- Violación de seguridades electrónicas, informáticas u otras semejantes. 203 E l A u t o r 204 E n e s t e a r t í c u l o s e t r a t a d e u n i f i c a r l o s c o n c e p t o s d e b i e n a j e n o , v a l o r e s o d e r e c h o s d e u n a p e r s o n a , con el concepto de activo patrimonial, término que doctrinariamente es el más indicado en estos casos. De Igual forma se agrega que se sancionará con el máximo de la pena a las modalidades de Phishing y Pharming, que de acuerdo a las estadísticas de la Fiscalía General del Estado han ido aumentando en los últimos tres años. En esta descripción típica, no se pena al mulero (incauto cibernauta, casi siempre) que vincula el agente para el éxito del ilícito, pues ha ofrecido su cu enta bancaria o sus servicios en forma espontánea, ante unas supuestas transacciones, como un pseudo -representante de la compañía internacional o como una oportunidad de trabajo desde su casa (teletrabajo) que mediante el uso de correos le han hecho creer, porque si se prueba que éste, el que ha prestado su nombre, lo hace con la finalidad de obtener lucro incurre en una conducta ya consagrada en nuestro ordenamiento jurídico, bajo denominación de lavado de activos. Art. 14 de La Ley de Lavado de Activos, a hora en el COIP ya se soluciona este tema
Dr. Santiago Acurio Del Pino
Pa gina 158
Derecho Penal Informa tico A RT . * D A Ñ O S I NF O RM ÁT I C OS : Son responsables del delito de daños informáticos, la persona o personas que de cualquier modo o utilizando cualquier método destruyan, alteren, inutilicen, supriman o da ñen, los datos, bases de datos, programas, información, documentos electrónicos o cualquier mensaje de datos contenido en cualquier dispositivo de almacenamiento, sistema informático, de información o telemático, serán reprimidas con reclusión menor de tre s a seis años y multa de. 2.000 a 10.000 dólares También serán reprimidos con la pena anterior aumentada en la mitad a un tercio, los que además destruyan o inutilicen la infraestructura e instalaciones físicas necesarias para la transmisión, recepción, decodificación, de los mensajes de datos. A RT . * D E L A FAL S I FI C AC I Ó N I NF O RM ÁT I CA 205. Son responsables de falsificación informática la persona o personas que, con ánimo de lucro, o bien para causar un perjuicio a un tercero, utilizado cualquier medio alteren o modifiquen documentos electrónicos, o la info rmación incluida en estos, que se encuentre contenida en cualquier soporte material, sistema informático o telemático, ya sea: 1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter esencial. 2. Simulando un mensaje de datos en todo o en parte, de manera que induzca a error sobre su autenticidad. 3. Suponiendo en un acto la intervención de personas que no la han tenido, o atribuyendo a las que han intervenido en él declaraciones o manifestaciones diferentes de las que hubieren hecho. 4. Faltando a la verdad en la narración de los hechos. Cualquier alteración, falsificación, simulación, falsa suposición o imputación de un mensaje de datos. Será reprimido con reclusión menor ordinaria de seis a nueve años y con multa de 2.000 a 10.000 dólares Si la falsedad es cometida por un funcionario público, o por el certificador de Información, la pena será de reclusión mayor extraordinaria de 9 a 12 años y además traerá consigo la inhabilidad permanente de ocupar un cargo público o el ca rgo al cual pertenecía. A RT . * – D E L A I NT RUS I ÓN I N DE B I DA I N F O R M Á T I C OS , D E I N F O RM A CI ÓN O T E L E M ÁT I C O S . 206-
A
L OS
S I S T E M AS
Son responsables de
205 E n e s t e a r t í c u l o s e h a a g r e g a d o a l a r e d a c c i ó n u n a p e n a , y a q u e d o c t r i n a r i a m e n t e l a f a l s i f i c a c i ó n informática es un tipo autónomo, es decir que no solamente lleva la descripción típica de la acción, sino que también trae una pena. 206 E n e s t e a r t í c u l o s e h a n h e c h o l o s c a m b i o s n e c e s a r i o s p a r a p r o t e g e r t o d o s l o s á m b i t o s d e l a i n t i m i d a d , es decir el derecho a la reserva, el derecho a la confidencialidad y el derecho a la intimidad propiamente dicho.
Dr. Santiago Acurio Del Pino
Pa gina 159
Derecho Penal Informa tico intrusión indebida a los sistemas informáticos, de información, o telemáticos la persona o personas que por cualquie r medio o fin, y con el ánimo de apoderarse de la información contenida en dichos sistemas, o para descubrir los secretos comerciales o industriales o bien para vulnerar la intimidad, de una persona natural o jurídica, sin su consentimiento o autorización, interfieran, interrumpan, o se apoderen de cualquier mensaje de datos. Serán reprimidos con prisión de uno a cinco años y multa de 1.000 a 2.000 dólares La divulgación o la utilización fraudulenta de la información reservada, los secretos comerciales o i ndustriales, que han sido obtenidos por alguna de las formas indicadas en el párrafo anterior será sancionada con pena de reclusión menor ordinaria de tres a seis años y multa de 2.000 a 10.000 dólares. Si la divulgación o la utilización fraudulenta de lo s datos o información reservada, los secretos comerciales o industriales, se realiza por la persona o personas a las cuales se les encomendó su custodia u utilización serán sancionadas con una pena de reclusión mayor extraordinaria de 9 a 12 años y además traerá consigo la inhabilidad permanente de ocupar un cargo público o el cargo al cual pertenecía. La violación de la reserva al secreto profesional será sancionada de acuerdo a lo dispuesto en el Art. 201 del Código Penal A RT . * R E C OP I L A CI Ó N DE I NF O RM A C I ÓN N O AUT ORI ZA D A : En caso de que una persona o personas ya sean naturales o jurídicas recopilaren por medios fraudulentos datos o información personal, para después cederla, utilizarla, o transferirla a cualquier título sin la autorización de su titular o titulares, serán sancionados con pena de prisión de 2 meses a dos años y multa de 1000 a 2000 dólares, sin perjuicio de las indemnizaciones correspondientes. Además de la inhabilidad permanente de continuar con su actividad en el caso de personas naturale s, y en el caso de las personas jurídicas se comunicará a la Superintendencia de Compañías para que se proceda a su inmediata liquidación. A RT . * D E
LA
I NT E R CE P TA CI ÓN
DE
T E L E COM U NI C ACI O NE S 207.- El
207
S obr e la i nte r ce p ta ci ó n d e co mu n ica c io ne s y a b us o de di sp os iti v os la F is ca lía Ge ne ral del E sta d o p re pa ro u n pro ye ct o d e re f orma a l Có di go Pe na l , ya q u e el a nter io r Ar t. 1 9 7 del C ódi go Pe na l e n c o ns ide ra ció n p ers o na l no er a m u y c la r o, ya qu e ha bla de co n ve rsa ci o ne s , c u yo si g n i fi ca d o ( Com u ni ca ci ón me dia nte la pa la b ra e nt re va r ia s pers o na s q ue a lte rna ti va me nt e e xp on en s us idea s y ma ti ces ) ha c e rela c ió n e l a ct o de dia l oga r de f or ma si mu ltá ne a per o n o a l med io d e c om un i ca ci ó n e mpl ea d o pa ra in str um e n ta li za r e se d ia lo go , e s de c ir q ue p or ej emp lo a l s er el c orr eo ele ct ró n ic o u n medi o de c om un i ca c ió n pe ro q ue n o es u na c on ve rsa c ió n s im ulta ne a no e sta r ía a m pa ra d a por e ste t ip o pe na l , p or e s o e s ne ce sa r io r ef orma r el có di go p en a l y t ipi f ica r ta nto la int er cep ta c ió n de Co mu ni ca ci o nes c o m o e l a b us o de d is po sit i v os i nsp ira do s e n la no rma t i va d e l Co n ve ni o d e l Cib er cr ime n del Co ns ej o de E u ro pa , d o nde el ver bo re ct or es
Dr. Santiago Acurio Del Pino
Pa gina 160
Derecho Penal Informa tico que para descubrir los secretos o vulnerar la intimidad de o tro, procure la interceptación deliberada e Ilegítima de sus telecomunicaciones , por medios o artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será reprimido con reclusión menor ordinaria de tres a seis años y multa de quinientos a mil dólares de los Estados Unidos de América. Se impondrá el máximo de la pena si quien cometiera la infracción fuera Funcionario Público. A RT . * R E V E L ACI Ó N D E I NF O RM A CI ÓN . - Será sancionado con prisión de dos a cinco años y multa de ocho a ciento cincuenta y seis dólares de los Estados Unidos de América, quien de cualquier forma o manera y sin haber realizado la descripción típica del artículo anterior, utilicen, comuniquen o publiquen el ilegal resultado de la interceptación de las telecomunicaciones para beneficio suyo o de un tercero. A RT . * A B U S O DE DI S P OS I T I VO S . - El que para cometer las infracciones determinadas en los Artículos precedentes realice la producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición de: 1. Un dispositivo, incluido un programa informático, diseñado o adaptado principalmente para la comisión de cualquiera de los delitos señalados en el párrafo anter ior. 2. Una contraseña, un código de acceso o datos informáticos similares que permitan tener acceso a la totalidad o a una parte de un sistema informático, con el fin de que sean utilizados para la comisión de cualquiera de los delitos contemplados artículos precedentes Será sancionado con una pena de prisión de seis meses a dos años y multa de quinientos a mil dólares de los Estados Unidos de América La posesión de alguno de los elementos contemplados en los numerales 1 y 2 del apartado anterior con el fin de que sean utilizados para cometer cualquiera de los delitos previstos en los artículos precedentes, será sancionado con prisión de tres a seis mes es multa de doscientos cincuenta a quinientos dólares de los Estados Unidos de América. No podrá interpretarse que el presente artículo impone responsabilidad penal en los casos en que la producción, venta, obtención para su utilización, importación, difu sión u otra forma de puesta a disposición mencionadas en el apartado 1 del presente artículo no tengan por objeto la comisión de un delito previsto de conformidad con los artículos precedentes, como es el caso de las pruebas autorizadas o de la protección int er cep ta r . E sto q ue d a s upe ra d o c on la ti pi f ica ci ó n qu e s e e n c ue nt ra e n e l a ct ua l C OIP
Dr. Santiago Acurio Del Pino
Pa gina 161
Derecho Penal Informa tico de un sistema informático . A RT . * A C C E S O N O A UT ORI ZA D O A S I S T E M AS D E I N F ORM AC I Ó N El que, sin autorización o excediendo la que se le hubiere concedido, con el fin de procurar un beneficio indebido para sí o para un tercero , accediere a sistemas de información para recuperar mensajes de datos, para copiarlos, moverlos, o transmitirlos y así obtener la información contenida en este; ya sea para quebrantar el secreto, la confidencialidad y reserva de dicha información , o simplemente vulnerar la seguridad del sistema, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica. Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los Estados Unidos de Norteamérica. La divulgación o la utilización fraudulenta de la información, así como de los secretos comerciales o industriales, serán sancionadas con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Si la divulgación o la utilización fraudulenta se realizan por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. A RT . * V I OL A CI O NE S AL D E RE C H O A L A I NT I M I DA D : Las violaciones al derecho a la intimidad en los términos del Artículo 42 de la Ley de Comercio Electrónico y Firmas Digitales serán juzgadas y sancionadas como contravención penal de tercera clase y multa de 500 a 1000 dólares. Si los mensajes fueren contrarios a la moral y las buenas costumbres serán juzgadas y sancionados como contravención penal de cuarta clase y multa de 1000 a 2000 dólares. En caso de reincidencia, el emisor será reprimido con multa de 1000 a 5000 dólares y prisión de tres meses a un año sin perjuicio de las indemnizaciones a que hubiere lugar.
Dr. Santiago Acurio Del Pino
Pa gina 162
Derecho Penal Informa tico
Cuarta Parte: Investigacion, Informatica Forense y Evidencia Digital 1.- Introducción El Art. 1. De la Constitución de la República establece que e l Ecuador es un Estado constitucional de derechos y justicia , este señalam iento dogmático en nuestra carta magna, es el signo que marca el sistema de derecho penal imperante en nuestro país, esto desde la promulgación de la Constitución en el año 2008. Este sistema penal y procesal penal corresponde un sistema de mínima intervención, atendiendo al carácter subsidiario y fragmentario del derecho p enal, que ya no mira al individuo como un objeto de persecución penal, devolviéndole a este su dignidad. En ese sentido ese individuo en goce de sus derechos humanos, es a quien, a través de la investigación penal objetiva, se le demostrará siguiendo un debido proceso 208, su responsabilidad frente a sus actos. La Dra. Paulina Araujo menciona en su artículo sobre la mínima intervención penal en el Libro Inducción al Rol del Fiscal 209, que un sistema procesal funciona sobre la base de la acción, de la jurisdicción y la competencia. En este sentido menciona que de acuerdo al mandato constitucional y legal es el Fiscal quien es titular de la acción penal y quien dirige la investigación penal en todas sus fases 210. Pero que es la investigación penal, de acuerdo a un documento generado por la Oficina De Las Naciones Unidas c ontra la Droga y el Delito, la investigación de delitos es el proceso por el cual se descubre al autor de un delito, cometido o planeado, mediante la reunión de hechos (o pruebas), si bien también puede suponer la determinación, ante todo, de si se ha cometido o no un delito. La investigación puede ser reactiva, es decir, aplicada a delitos que ya se han 208 E l " D E B I D O P R O C E S O " e s u n d e r e c h o r e c o n o c i d o y g a r a n t i z a d o p o r e l E s t a d o , e l c u a l d i c t a l a s n o r ma s fundamentales básicas que deben cumplirse en la formación del proceso, el cual, perfeccionado cumpliendo con dichas garantías, adquiere el rango jurídico de "proceso debido". El debido proces o, pues, es la consecuencia de la aplicación fáctica los principios constitucionales del Estado Constitucional de Derechos y Justicia en la actividad investigativa (Fiscalía y policía judicial) y jurisdiccional (Jueces, Tribunales y Cortes) que se ha desen vuelto conforme a las normas establecidas en la ley. El debido proceso es una acabada y perfeccionada institución jurídica estructurada debidamente bajo el amparo de las normas garantizadoras de la Constitución, del Código de Procedimiento Penal, y de los pactos internacionales, y desde su promulgación el nuevo Código Orgánico Integral Penal. 209 A R A U J O P a u l i n a , M í n i m a I n t e r v e n c i ó n P e n a l , I n d u c c i ó n a l F i s c a l , E s c u e l a d e F i s c a l e s Y F u n c i o n a r i os de la Fiscalía General del Estado. Editorial la Palabra 2009. Quit o, Ecuador. 210 A r t . 1 9 5 d e l a C o n s t i t u c i ó n : L a F i s c a l í a d i r i g i r á , d e o f i c i o o a p e t i c i ó n d e p a r t e , l a i n v e s t i g a c i ó n p r e procesal y procesal penal; durante el proceso ejercerá la acción pública con sujeción a los principios de oportunidad y mínima intervenci ón penal, con especial atención al interés público y a los derechos de las víctimas. De hallar mérito acusará a los presuntos infractores ante el juez competente, e impulsará la acusación en la sustanciación del juicio penal. Art. 442 del COIP. Art. 282 del Código Orgánico de la Función Judicial.
Dr. Santiago Acurio Del Pino
Pa gina 163
Derecho Penal Informa tico perpetrado, o proactiva, es decir, encaminada a evitar cierta actividad delictiva planeada para el futuro 211. De acuerdo al documento antes citado, hay dos enfoques básicos de la gestión de la investigación de delitos. En algunos sistemas, caracterizados por jurisdicciones con tradi ción de derecho romano, el encargado de la investigación es un fiscal o un funcionario judicial, por ejemplo, un juez de instrucción. En estos casos, los investigadores trabajan bajo la dirección del fiscal o del juez de instrucción y, en realidad, puede i ncluso existir un organismo especial encargado del cumplimiento de la ley denominado “policía judicial”. En el segundo en foque, que suele encontrarse en jurisdicciones de tradición de COMMON LAW, las investigaciones las lleva a cabo la policía de manera m ás o menos independiente de los fiscales hasta que el caso, y el sospechoso acusado, pasan a manos de la fiscalía ante los tribunales. Sin embargo, dentro de estos dos sistemas básicos hay muchas variaciones. Por ejemplo, en muchas jurisdicciones de COMMON LAW, los fiscales colaboran estrechamente con los investigadores policiales, por lo menos con respecto a ciertos tipos de delitos. Pero independientemente del sistema, los principios fundamentales siguen siendo los mismos: establecer quién cometió el acto ilícito y reunir suficientes pruebas para asegurar su condena 212. Increíblemente los delincuentes hoy están utilizando la tecnología para facilitar el cometimiento de infracciones y eludir a las autoridades. Este hecho ha creado la necesidad de que tanto l a Policía Judicial, la Fiscalía y la Función Judicial deba especializarse y capacitarse en estas nuevas áreas en donde las TICS 213 se convierten en herramientas necesarias en auxilio de la Justicia y la persecución de delito y el delincuente. Ahora también t omando las nuevas reglas que sobre reconocimiento del lugar de los hechos en territorio digital y las nuevas reglas sobre el contenido digital que trae el Código Orgánico Integral Penal . Los hábitos de las personas han cambiado con el uso de las TICS, también las formas en que los delincuentes actúan y comenten sus actos reprochables, es así que el acceso universal a las tecnologías de la información y la comunicación brinda nuevas oportunidades para que gente inescrupulosa, delincuentes, pornógrafos infantiles, artistas del engaño, quienes realizan toda clase de ataques contra la intimidad, fraudes informáticos, contra el tráfico jurídico probatorio, que atacan a la integridad de los sistemas computacionales y de red a nivel mundial, actúen de forma desmed ida sin que los operadores de justicia puedan hacer algo, ya que estos han quedado relegados en sus actuaciones por la falta de recursos tecnológicos y capacitación a fin de lidiar con la evidencia digital presente en toda clase de infracciones y especialm ente en los llamados Delitos Informáticos. La comisión de infracciones informáticas es una de las causas de 211 U N D O C , O f i c i n a d e l a s N a c i o n e s U n i d a s c o n t r a l a d r o g a y e l d e l i t o , M A N U A L D E I N S T R U C C I O N E S P A R A LA EVALUACIÓN DE LA JUSTICIA PENAL, Investigación de Delitos. Nueva York, 2010. 212 U N D O C , v e r c i t a a n t e r i o r . 213 T e c n o l o g í a s d e l a I n f o r m a c i ó n y l a C o m u n i c a c i ó n
Dr. Santiago Acurio Del Pino
Pa gina 164
Derecho Penal Informa tico preocupación de los elementos de seguridad de muchos países en este momento dado que las mismas han causado ingentes pérdidas económicas especialme nte en el sector comercial y bancario donde por ejemplo las manipulaciones informáticas fraudulentas ganan más terreno cada vez más, se estima que la pérdida ocasionada por este tipo de conductas delincuenciales supera fácilmente los doscientos millones de dólares, a lo que se suma la pérdida de credibilidad y debilitamiento institucional que sufren las entidades afectadas. Es por eso que en países como Estados Unidos, Alemania o Inglaterra se han creado y desarrollado técnicas y herramientas informáticas a fin de lograr tanto el descubrimiento de los autores de dichas infracciones, así como aseguran la prueba de estas. Debemos decir que, en la actualidad con la entrada en vigencia del Código Orgánico Integral Penal, ahora existen diez y siete figuras penales relacionadas con las tecnologías de la información a la comunicación, lo que amplia y mejora el ámbito de los delitos informáticos en nuestro país, con una legislación más completa y acorde a los t iempos que vivimos. La informática Forense, es la ciencia criminalística que sumada al impulso y utilización masiva de las Tecnologías de la Información y de la Comunicación en todos los ámbitos del quehacer del hombre, está adquiriendo una gran importancia, debido a la globalización de la Sociedad de la Información 214. Pero a pesar de esto esta ciencia no tiene un método estandarizado, razón por la cual su admisibilidad dentro de un proceso judicial podría ser cuestionada, pero esto no debe ser un obstácul o para dejar de lado esta importante clase de herramienta, la cual debe ser manejada en base a rígidos principios científicos, normas legales y de procedimiento. Es necesario mencionar que son los operadores de justicia tanto como los profesionales de la informática, los llamados a combatir los delitos tecnológicos, ya que los primeros saben cómo piensa el delincuente y su modus operandi, mientras los otros conocen el funcionamiento de los equipos y las redes informáticas. Unidos los dos conforman la llave para combatir efectivamente esta clase de infracciones. De lo expuesto se colige que es necesario contar dentro de los operadores de justicia con el personal capacitado en estas áreas para lidiar con esta clase de problemas surgidos de la mal utilización de la las Tecnologías de la Comunicación y la Información. La finalidad del presente documento es brindar una mirada introductoria a la informática forense a través de la investigación penal de los delitos informáticos con el propósito de sentar las base s de la investigación científica en 214 E s u n a s o c i e d a d e n l a q u e l a c r e a c i ó n , d i s t r i b u c i ó n y m a n i p u l a c i ó n d e l a i n f o r m a c i ó n f o r m a n p a r t e importante de las actividades culturales y económicas, es decir es un estadio del desarrollo social caracterizado por la capacidad de los ciudadanos, el sect or público y el empresarial para compartir, generar, adquirir y procesar cualquier clase de información por medio de las tecnologías de la información y la comunicación, a fin de incrementar la productividad y competitividad de sus miembros, y así reducir las diferencias sociales existentes contribuyendo a un mayor bienestar colectivo e individual.
Dr. Santiago Acurio Del Pino
Pa gina 165
Derecho Penal Informa tico esta materia, dándole pautas a los futuros investigadores de cómo manejar una escena del delito en donde se vean involucrados sistemas de información o redes y la posterior recuperación de la llamada evidencia digital.
2.- La Investigación Informáticos
y
la
Prueba
de
los
Delitos
Es así siguiendo lo ya expuesto, e n nuestro ordenamiento jurídico, toda investigación penal es dirigida por un F iscal, que realiza el proceso investigativo penal en conjunto con su equipo de polic ía judicial y el grupo investigadores civiles de la Dirección Nacional de Investigaciones de la Fiscalía General del Estado. Este proceso investigativo penal está integrado por los siguientes componentes: 1. Investigación Penal 2. Investigación Criminalística (aquí se puede ubicar a la informática forense como ciencia criminalística) 3. Investigación Criminológica 4. Administración de la Información de Investigación Penal Este tipo de investigación se caracteriza por ser continua y especializada, requiere un método y una planeación. Es analítica y sintética, es explicativa -causal y se rige por los preceptos legales y constitucionales . Presenta un esquema lógico compuesto por las fases de 215: 1. Conocimiento del hecho : Noticia Criminis (denuncia, infor mes, delitos flagrantes); 2. Actos Urgentes; 3. Planeación de la investigación; 4. Consolidación de los elementos de convicción; 5. Informe de investigación. Cualquiera sea el sistema de investigación de delitos qu e se haya desarrollado o adoptado, existe un principio universal que debe preservarse en cualquier sistema de justicia penal: la premisa de que los sospechosos son inocentes hasta que se pruebe su culpabilidad. Los investigadores deben cerciorarse de que sus sospechas se basen en una evaluación objet iva de los hechos y de que no hayan manipulado los hechos para ajustarlos a sus sospechas. A partir del año 2000, el Ecuador adoptó en su legislación procesal penal el sistema acusatorio. Para Luigi Ferrajoli: “(...) Se puede llamar acusatorio a todo sistema procesal que concibe al juez como un sujeto pasivo rígidamente separado de las partes y al juicio como una contienda entre iguales iniciada por la acusación, 215 T C . C A S T R O S A L D A Ñ A J e s ú s A l b e r t o y S T . A P A R I C I O B A R R E R A J u a n . L a i n v e s t i g a c i ó n c r i m i n a l y e l esclarecimiento de un hecho punible, Revista Criminalidad, DIJIN, Volumen 50, Número 2, noviembre 2008. Bogotá, Colombia.
Dr. Santiago Acurio Del Pino
Pa gina 166
Derecho Penal Informa tico a la que compete la carga de la prueba, enfrentada a la defensa en un juicio contradictorio, oral y público y resuelta por el juez según su libre convicción ” 216. Se desprende de este análisis que el juicio oral es el núcleo duro dentro del sistema acusatorio y permite asegurar el cumplimiento del debido proceso, contando con acciones transparentes qu e deben presentarse y sostenerse ante el juez y la otra parte, garantizando de esta manera, el principio de contradicción. Un aspecto fundamental del sistema penal acusatorio, constituye el hecho de separar las funciones de investigar y juzgar. Su objetivo central es establecer a través de un procedimiento lógico, legal y pertinente, si un hecho sometido a consideración de la Fiscalía General del Estado es constitutivo del delito tipo, cómo sucedieron los hechos, quiénes son los responsables del mismo, qué grado de participación tienen los imputados y en qué capítulo de Código Orgánico Integral Penal se encuadra el hecho investigado 217. El Fiscal como conductor o director de la investigación, es recomendable que esté al frente o participe en la mayor cantida d de diligencias de investigación que disponga realizar para el esclarecimiento de los hechos así como identificar a sus autores, salvo aquellas que por su propia naturaleza son de competencia exclusiva de la Policía Judicial y el Grupo de Investigadores C iviles, y ahora del Sistema Especializado Integral de Investigación, de medicina legal y ciencias forenses 218 o en su caso, por cuestiones geográficas o de urgencia no pueda estar presente 219. En este marco, l a prueba dentro del proceso penal es de especial importancia, ya que desde ella se confirma o desvirtúa una hipótesis o afirmación precedente, se llega a la posesión de la verdad material. De esta manera se confirmará la existencia de la infracción y la responsabilidad de quienes aparecen en un inicio como presuntos responsables, to do esto servirá para que el Tribunal de Justicia alcance el conocimiento necesario y resuelva el asunto sometido a su conocimiento. Por ejemplo, en delitos como el fraude informático o la falsificación electrónica, los medios de prueba 220 generalmente son de carácter documental 221, esto en razón de que esta clase de infracciones son del tipo ocupacional, (característica común en la mayoría de estas transgresiones). Esto significa que la 216 F E R R A J O L I , L u i g i . D e r e c h o y R a z ó n , T r o t a , 1 9 9 8 . 217 M A N U A L D E O R A L I D A D . I n d u c c i ó n a l R o l d e l F i s c a l , E s c u e l a d e F i s c a l e s Y F u n c i o n a r i o s d e l a F i s c a l ía General del Estado. Editorial la Palabra 2009. Quito, Ecuador. 218 V e r e l A r t . 4 4 8 d e l C O I P 219 S A L I N A S S I C C H A , R a m i r o . “ C o n d u c c i ó n d e l a I n v e s t i g a c i ó n y R e l a c i ó n d e l F i s c a l c o n l a P o l i c í a e n e l Nuevo Código Procesal Penal”. JUS -Doctrina Nro. 3. Grijley. Lima, marzo 2007. 220 P r o c e d i m i e n t o q u e e s t a b l e c e l a L e y p a r a i n g r e s a r u n e l e m e n t o d e p r u e b a e n u n p r o c e s o , p o r e j e m p l o , las formalidades para brindar testimonio, o el contenido de un acta de reconocimiento. 221 D e a c u e r d o a l C ó d i g o I n t e g r a l P e n a l , l a p r u e b a m a t e r i a l d e s a p a r e c e d e d i c h o c ó d i g o y s e m a n t i e n e la prueba documental, a la misma que pertenece la evidencia digital considerada como mensajes de datos y ahora como contenido digital.
Dr. Santiago Acurio Del Pino
Pa gina 167
Derecho Penal Informa tico persona o personas que cometen esta variedad de actos disvaliosos en un noventa por ciento (90%) trabajan dentro de las instituciones afectadas; en consecuencia, la prueba de estos delitos se encuentra generalmente en los equipos y programas informáticos, en los documentos electrónicos, y en los demá s mensajes de datos que utilizan e intercambian estas personas en su red de trabajo. Situación la cual hace indispensable que el investigador, cuente con el conocimiento suficiente acerca del funcionamiento de toda clase de sistemas informáticos, así como una sólida formación en cómputo forense y la capacidad para la administrar las evidencias e indicios de convicción aptos para lograr una condena en esta clase de infracciones. Adicionalmente, estas conductas delictivas, eventos lesivos al orden jurídico, si bien pueden ser solucionados en parte a través de la normativa vigente en el Ecuador como la Ley de Comercio Electrónico y Mensajes de Datos y el Código Orgánico Integral Penal , y ahora también el Código Orgánico General por Procesos como norma supletor ia en materia penal, la particular naturaleza de los medios empleados para su comisión y fundamentalmente la falta de medios probatorios apropiados (Guía de Buenas prácticas en el manejo de evidencia digital, software y hardware especializado, personal cap acitado), dificulta que se arribe a sentencias condenatorias 222. Es necesario partir del principio de que la información constituye un valor económico con relevancia jurídico -penal, por ser posible objeto de conductas delictivas (acceso no autorizado, sabot aje o daño informático, espionaje informático, etc.) y por ser instrumento de comisión, facilitación, aseguramiento y calificación de los ilícitos tradicionales, llegando a ser un bien jurídico protegido, susceptible de protección legal propia y específica del ordenamiento jurídico imperante. D esde esa concepción, se han de identificar, reconocer y legalizar los procedimientos y herramientas técnic as especializadas en este tipo de infracciones para asegurar la prueba, otorgarle validez plena y constituirla en el fundamento para la valoración y decisión judicial , situación que como ya se señaló en líneas precedentes está relativamente regulado por la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos y el propio Código Orgánico Integral Penal vigente en nuestro país .
2.1.- Investigación Penal Se define a la investigación penal como las labores de apoyo técnico científicas a la administración de la justicia penal. En términos generales, se 222 E s t e h e c h o s e e v i d e n c i o d e n t r o d e l a A u d i e n c i a d e J u z g a m i e n t o q u e p o r e l d e l i t o d e F a l s i f i c a c i ón Informática se siguió en el Cuarto Tribunal Penal de Pichincha en donde y luego de analizar la teoría del caso con todos los participantes del proceso se logró pulir una estrategia eficaz para dicha Audiencia, tomando en cuenta que la carga de la prueba recae completamente en la F iscalía, dicho lo cual se montó un escenario de análisis donde se examinaron los indicios de convicción con los cuales se sustentó la acusación fiscal al igual que el grado de participación y la responsabilidad de cada uno los acusados en este Juicio. La a udiencia se realizó sin muchas complicaciones, pero se improvisó mucho, no se aplicó de forma rigurosa los principios de la Informática Forense en relación a la evidencia digital encontrada, pero a pesar de esto al final se demostró la existencia de la inf racción y la responsabilidad de los encausados logrando una sentencia condenatoria.
Dr. Santiago Acurio Del Pino
Pa gina 168
Derecho Penal Informa tico entiende como el proceso sistemático de recolección, evaluación y análisis de la información, cuya finalidad es producir conocimiento ú til para la toma de decisiones. 223 La investigación penal permite a las autoridades judiciales “administrar la justicia” con base en la confirmación científic a. En definitiva, esta entiende como la actividad técnica y científica que los órganos del Estado con funciones de investigación (Policía Judicial y Grupo de Investigadores Civiles, miembros del Sistema Especializado Integral de Investigación) realizan con el fin de recol ectar la evidencia física y los elementos materiales probatorios que permitan conocer y comprender un he cho delictivo. O también, como la fase del proceso penal en la que se liga a una persona, a partir de una actividad investigativa y los hallazgos que de ella se deriven en un proceso judicial 224. En nuestro sistema penal la investigación penal comprende las etapas de la indagación y la investigación propiamente dicha o de instrucción fiscal , aunque hasta el final del proceso penal las labores adelantadas por los investigadores penales estarán presentes. 2.1.1- Características de la investigación p enal La investigación penal es un conjunto de saberes interdisciplinarios y acciones sistemáticas, integrados para llegar al conocimiento de una verdad relacionada con el fenómeno delictivo. 1 Esto hace que de acuerdo al mandato constitucional la Fiscalía General del Estado deba organizar y dirigir un Sistema de Investigación Penal Integral, es decir conjuntamente con un Sistema de Medicina Legal y Ciencias Forenses. La investigación penal ha venido a constituirse en la columna vertebral del proceso penal moderno. Efectivamente, una vez tenido conocimiento de la probable comisión de un delito (en nuestro caso en particular un delito informático), se inicia un proceso penal con el correspondiente desarrollo de una investigación, la que por su importancia llega a ocupar una fase completa dentro de ese proceso, independientemente que sea de carácter inquisitivo o acusatorio. En tal sentido, la investigación penal puede concebirse en dos sentidos. En un sentido restringido, la investigación penal es la actividad técnica y científica que realizan los órganos del Estado delegados para ello, con el fin de recolectar los medios de prueba que permitan conocer y comprender un hecho delictivo. En 223 B U I T R A G O A R I A S , J u a n C a r l o s . E x p o s i c i ó n d e l T e n i e n t e C o r o n e l d e l a P o l i c í a N a c i o n a l : I n t e l i g e n c i a . Bogotá, D. C. 24-07-08. Auditorio DIPOL, en La investigación criminal y el esclarecimiento de un hecho punible, TC. Jesús Alberto Castro Saldaña y ST. Juan Aparicio Barrera. Revista Criminalidad, DIJIN, Volumen 50, Número 2, noviembre 2008. Bogotá, Colombia. 224 F U N D A M E N T O S T E Ó R I C O S D E L A I N V E S T I G A C I Ó N C R I M I N A L – P N U D – G U A T E M A L A . P r o y e c t o s d e Seguridad Ciudadana, Prevención de la Violencia y Conflictividad del programa ONU para el Desarrollo. En: www.polsec.org. Agosto de 2008.
Dr. Santiago Acurio Del Pino
Pa gina 169
Derecho Penal Informa tico un sentido amplio, es una fase del proceso penal en la que se desarrolla la actividad de investigación penal y se liga al proceso penal a una persona determinada con base en los hallazgos primarios que la investigación va aportando. Este proceso de investigación debe ser lógico, ya que cuando se practica una investigación, todos y cada uno de los elementos de convicción que aparezcan y que puedan servir para esclarecer un hecho, deben ser provenientes de la propia investigación. En es te sentido el Fiscal deberá conocer la forma como se logró obtener cada elemento y conocer los medios que permitieron encontrar esas evidencias 225. Una deficiente investigación penal no logrará recolectar los suficientes medios de prueba que hagan razonable para el Estado invertir tiempo, recursos y esfuerzos en llevar a una persona a un juicio formal. Por su importancia, en la investigación penal interviene el accionar policial, fiscal y judicial, independientemente del modelo procesal penal vigente 226. La investigación penal es un proceso que puede ser caracterizado por 227: • • • • • • •
Es continuo, ya que es un proceso concatenado de actividades que está en interrelación con los diversos aspectos que afectan al problema por investigar. Es un proceso especializado, ya que requiere de un trabajo metodológico de rigor técnico y científico. Requiere de previsión, ya que cada acto o fase de este proceso requiere de un planeamiento específico. Es analítico y sintético, ya que requiere de un análisis permanente de los elementos de la realidad obtenidos y la síntesis de la información que ella aporta. Es explicativo -causal, ya que permite determinar a quién, dónde, cuándo, cómo, por qué y para qué se perpetró el delito y con qué medios. Es metódico, ya que es un proceso que se plantea hipótesis y métodos para la comprobación de los hechos. Es legal 228, ya que se rige por los preceptos y límites establecidos en la ley y se sujeta al control de un órgano judicial.
225 M A N U A L D E O R A L I D A D . I n d u c c i ó n a l R o l d e l F i s c a l , E s c u e l a d e F i s c a l e s Y F u n c i o n a r i o s d e l a F i s c a l ía General del Estado. Editorial la Palabra 2009. Quito, Ecuador. 226 R U I Z C H U N G A , P e d r o . L a c r i m i n a l í s t i c a e n l a i n v e s t i g a c i ó n c r i m i n a l , A c a d e m i a d e l a M a g i s t r a t u r a , P e r ú, s.f., p. 5. 227 L Ó P E Z C A L V O , P e d r o y G Ó M E Z S I L V A , P e d r o . I n v e s t i g a c i ó n c r i m i n a l y c r i m i n a l í s t i c a , T e m i s , B o g o t á , 2000 p. 58. 228 L a i n v e s t i g a c i ó n d e b e r á s e r l e g a l p u e s t o q u e t o d a s l a s a c t u a c i o n e s d e l F i s c a l d e l a P o l i c í a J u d i c i a l d e l Grupo de Investigadores Civiles de la FGE y del Sistema de Especializado Integral de Investigación se sujetarán a las reglas del debido proceso contempladas en la ley, orientado a que cada uno de los elementos recabados sirvan para demostrar las premisas propuestas.
Dr. Santiago Acurio Del Pino
Pa gina 170
Derecho Penal Informa tico En este marco u na investi gación busca establecer fundamentalmente: • • • • • •
Quién: es el individuo (s) o las organizaciones claves que participaron en el hecho. Qué: enterarse de lo sucedido. Cuándo: hora y día y comisión del delito. Dónde: el lugar de los hechos. Por qué: Los motivos de la comisión del delito. Cómo: las circunstancias que rodean el caso Adicionalmente determinar:
Si el hecho es constitutivo de un acto delictivo. El modo cómo sucedieron los hechos. Quienes son los responsables del mismo La figura prevista en el Código Orgánico Integral Penal que se encuadra al hecho investigado. 5. Que hacen para mejorar resultados, reducir riesgos y ahorrar tiempo 1. 2. 3. 4.
2.1.2.- Extensión del término Según López Calvo y Gómez Silva, la investigación penal comprende: • • •
El estudio de las técnicas orientadas a contrarrestar, controlar y prevenir la acción delictiva. El manejo de estrategias que contextualizan el papel de la víctima, del delincuente y del delito como tal. El dominio de la investigación como proceso metodológico, que se basa en los principios y teorías de las respectivas ciencias, en los procedimientos jurídicos y la reconstrucción del hecho mediante las circunstancias de tiempo, modo, y/o lugar, para susten tar en forma técnico -científica los resultados conducentes al esclarecimiento de un presunto delito y a la identificación de sus autores.
Consideramos oportuno reflexionar sobre lo anterior, debido a que en la doctrina y en el marco político de los Estado s modernos ha surgido el debate sobre la extensión de la investigación penal ex ante, es decir, el proceso de investigación para captar, sistematizar, procesar e interpretar la información del funcionamiento de la criminalidad, para el diseño y adopción de estrategias de prevención y combate de la criminalidad. Básicamente, lo que los autores citados anteriormente indican como "el estudio de las técnicas orientadas a contrarrestar, controlar y prevenir la acción delictiva ". En un Estado de derechos y just icia, como el Ecuador, debe diferenciarse claramente esta actividad de inteligencia 229 penal de la actividad de investigación 229 E s e l c o n o c i m i e n t o o b t e n i d o d e l a b ú s q u e d a , e v a l u a c i ó n , i n t e r p r e t a c i ó n y a n á l i s i s d e l a i n f o r m a c i ó n
Dr. Santiago Acurio Del Pino
Pa gina 171
Derecho Penal Informa tico penal 230; si bien ambas tienen en particular el hecho de investigar 231, persiguen fines completamente distintos. En ese sentido, Ugart e 232 plantea que, en principio, la actividad de la inteligencia y la actividad policial son ámbitos claramente diferentes y separados, y cuya diferenciación, por otra parte, resulta necesaria para asegurar la transparencia y eficacia del accionar de los órga nos judiciales y la protección de los derechos y garantías individuales. La actividad de inteligencia policial no debe confundirse, entonces, con la actividad de investigación penal, ya que en ésta última se procura esclarecer el hecho, obtener pruebas, descubrir y detener a los responsables y someterlos a la acción de la justicia, mientras que en la primera, más que realizar arrestos de personas que pueden sólo constituir los eslabones más pequeños y débiles de la cadena, se procura establecer la existen cia, características, dimensiones, delitos cometidos y los que pretenden cometerse, medios materiales a disposición, modus operando de una determinada organización delictiva.
2.2.- Rol del Sistema Informático en el ITER CRIMINIS De lo expuesto es important e clarificar los conceptos y describir la terminología adecuada que nos señale el rol que tiene un sistema informático dentro del iter criminis o camino del delito. Esto a fin de encaminar correctamente el tipo de investigación, la obtención de indicios y posteriormente los elementos probatorios necesarios para sostener nuestro caso. Es así que, por ejemplo, el procedimiento de una investigación por homicidio que tenga relación con evidencia digital será totalmente distinto al que, se utilice en un fraude i nformático, por tanto, el rol que cumpla el sistema informático determinara donde debe ser ubicada y como debe ser usada la evidencia. Ahora bien, para este propósito se han creado categorías a fin de hacer una necesaria distinción entre el elemento mater ial de un sistema informático o hardware (evidencia electrónica ) y la información contenida en este ( evidencia digital). Esta distinción es útil al momento de diseñar los procedimientos adecuados para tratar cada tipo de evidencia y crear un paralelo entre una escena física del crimen y una digital. En este contexto el hardware se refiere a todos los disponible relacionada con el presunto infractor, con las zonas o áreas donde se efectuará el trabajo de campo, incluyendo la condición ambiental, y las deducciones hechas con respecto a las posibilidades actuales y futuras de la persona investigada, sus vul nerabilidades y posibles cursos de acción que tenga a su alcance; que pueden afectar al cumplimiento del trabajo investigativo. Manual General de Procedimientos de Investigación de la Dirección Nacional de Investigaciones 230 L Ó P E Z C A L V O , P e d r o y G Ó M E Z S I L V A , P e d r o . I n v e s t i g a c i ó n c r i m i n a l y c r i m i n a l í s t i c a , T e m i s , B o g o t á , 2000. pp. 55-56 231 E n e l s e n t i d o q u e i n v e s t i g a r s i g n i f i c a " i n t e n t a r d e s c u b r i r o c o n o c e r l a s c i r c u n s t a n c i a s q u e r o d e a r o n un hecho". “Realizar actividades intelectuales y experimentales de modo sistemático con el propósito de aumentar los conocimientos sobre una determinada materia ”. Cita del Diccionario de la Real Academia de l a L e n g u a E s p a ñ o l a . w w w . ra e .e s 232 U G A R T E , J o s é M a n u e l . L e g i s l a c i ó n d e i n t e l i g e n c i a , l e g i t i m i d a d y e f i c a c i a , W O L A - S E D E M , G u a t e m a l a , 2000, p. 72.
Dr. Santiago Acurio Del Pino
Pa gina 172
Derecho Penal Informa tico componentes físicos de un sistema informático, mientras que la información, se refiere a todos los datos, mensajes de datos y programas almacenados y trasmitid os usando el sistema informático. 2.2.1.- Hardw are o Elementos Físicos SISTEMA INFORMÁTICO HARDWARE (Elementos Físicos) Evidencia Electrónica • El hardware es mercancía ilegal o • El hardware es una mercancía ilegal fruto del delito. cuando su posesión no está autorizada por la ley. Ejemplo: en el caso de los skimers o dispositivos de duplicación ( clonación) de tarjetas de crédito, su posesión es un delito. (Art.230 COIP) • El hardware es fruto del del ito cuando este es obtenido mediante robo, hurto, fraude u otra clase de infracción. • El hardware es un instrumento • Es un instrumento cuando el hardware cumple un papel importante en el cometimiento del delito, podemos decir que es usada como un arma o herramienta, tal como una pistola o un cuchillo. Un ejemplo serían los snifers y otros aparatos especialmente diseñados para capturar el tráfico en la red o interceptar comunicaciones. • El hardware es evidencia • En este caso el hardware no debe ni ser una mercancía ilegal, fruto del delito o un instrumento. Es un elemento físico que se constituye como prueba de la comisión de un delito. Por ejemplo, el scanner que se usó para digitalizar una imagen de pornografía infantil, cuyas características únicas son usadas como elementos de convicción 2.2.2.- Información
•
SISTEMA INFORMÁTICO INFORMACIÓN Evidencia Digital La información es mercancía ilegal La información es considerada como mercancía ilegal cuando su posesión no o el fruto del delito. está permitida por la ley, por ejemplo,
Dr. Santiago Acurio Del Pino
Pa gina 173
Derecho Penal Informa tico
•
•
SISTEMA INFORMÁTICO INFORMACIÓN Evidencia Digital en el caso de la pornografía infantil. (Art. 104 del COIP) De otro lado será fruto del delito cuando sea el resultado de la comisión de una infracción, como por ejemplo las copias pirateadas de programas de ordenador, secretos industriales robados. La información es un instrument o o La información es un instrumento herramienta cuando es usada como medio para cometer una infracción penal. Son por ejemplo los programas de ordenador que se utilizan para romper las seguridades de un sistema informático, sirven para romper contraseñas o para brindar acceso no autorizado. En definitiva, juegan un importante papel en el cometimiento del delito. Esta es la categoría más grande y La información es evidencia nutrida de las anteriores, muchas de nuestras acciones diarias dejan un rastro digital. Uno puede conseguir mucha información como evidencia, por ejemplo, la información de los ISP ’s, de los bancos, y de las proveedoras de servicios las cuales pueden revelar actividades particulares de los sospechosos
En resumen, el propósito fundamental de las categorías antes mencionadas es el de enfatizar el papel que juegan los sistemas informáticos en la comisión de delitos, a fin de que el investigador criminal tenga un derrotero claro y preciso al buscar los elementos convicción que aseguren el éxito dentro de un proceso penal. En estas condiciones para efectos probatorios son objeto de examen, tanto el hardware como la información contenida en este, para lo cual es necesario contar con el auxilio y el conocimiento que nos brinda la ciencia informática, y en particular de la Ciencia Forense Informática.
3.- Las Ciencias Forenses Las Ciencias Forenses 233 son la utilización de procedimie ntos y conocimientos científicos para encontrar, adquirir, preservar y analizar las evidencias de un delito y presentarlas apropiadamente a una Corte de Justicia. Las 233 F o r e n s e s i g n i f i c a “ T r a e r a l a C o r t e ”
Dr. Santiago Acurio Del Pino
Pa gina 174
Derecho Penal Informa tico ciencias forenses tienen que ver principalmente con la recuperación y análisis de la llamada evidencia latente, como por ejemplo las huellas digitales, la comparación de muestras de ADN, etc. Las ciencias forenses combinan el conocimiento científico y las diferentes técnicas que este proporciona con los presupuestos legales a fin de demostrar con la evidencia recuperada la existencia de la comisión de un acto considerado como delictivo y sus posibles responsables ante un Tribunal de Justicia. Las ciencias forenses han sido desarrolladas desde hace mucho tiempo atrás. Uno de los primeros textos y estudios en este campo los podemos ubicar en el año de 1248 DC, cuando el médico chino HI DUAN YU, escribió el libro “COMO CORREGIR LOS ERRORES ”, en el cual se explicaban las diferencias entre una muerte por ahogamiento y otra por una herida de cuchillo al igual que la muerte por causas naturales. Posteriormente con el avance de la ciencia y la tecnología, las ciencias forenses han alcanzado un desarrollo inconmensurable, pero ese desarrollo a veces no ha ido de la mano del avance de la legislación penal. Esto en razón del retraso en la incorporación de nuevos elementos de prueba y medios probatorios y sobre todo en la demora de la admisibilidad de nuevas evidencias o pruebas. Este es el caso por ejemplo de la prueba de ADN que fue admitida en un jui cio recién en el año de 1996, pero su desarrollo y comprensión se logró desde la década de los ochentas. Las ciencias forenses siempre están en constante cambio, siempre buscando nuevos métodos y procesos para encontrar y fijar las evidencias de cualquier tipo. Creando nuevos estándares y políticas. Son más de ochocientos años de experiencia como disciplina científica.
4.- La Informática Forense Es una ciencia forense que se ocupa de la utilización de los métodos científicos aplicables a la investigación d e los delitos, no solo Informáticos y donde se utiliza el análisis forense de las evidencias digitales, en fin, toda información o datos que se guardan en una computadora o sistema informático 234. En conclusión, diremos que Informática Forense es “la ciencia forense que se encarga de la preservación, identificación, extracción, documentación e interpretación de la evidencia digital, para luego ésta ser presentada en una Corte de Justicia ”. La informática forense es el vehículo idóneo para localizar y present ar de forma adecuada los hechos jurídicos informáticos relevantes dentro de una investigación, ya sea de carácter civil o penal. La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas para luego analizarlas. La tecnologí a, en caso de la identificación, 234 S i s t e m a I n f o r m á t i c o : E s t o d o d i s p o s i t i v o f í s i c o o l ó g i c o u t i l i z a d o p a r a c r e a r , g e n e r a r , e n v i a r , r e c i b i r , procesar, comunicar o almacenar, de cualquier form a, mensajes de datos.
Dr. Santiago Acurio Del Pino
Pa gina 175
Derecho Penal Informa tico recolección y análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de suma importancia en recaudar la información y los elementos de convicción necesarios . La escena del crimen es el computador y l a red a la cual éste está conectado. Históricamente la ciencia forense siempre ha basado su experiencia y su accionar en estándares de práctica y entrenamiento, a fin de que las personas que participan o trabajan en este campo científico tengan la suficie nte probidad profesional y solvencia de conocimientos para realizar un buen trabajo en su área de experiencia. Esta situación debe ser igual en el campo de la Informática forense, es por tanto necesario que las personas encargadas de este aspecto de la cie ncia forense tengan parámetros básicos de actuación, no solo en la incautación y recolección de evidencias digitales, sino también en su procesamiento, cumpliendo siempre con los principios básicos del debido proceso. El objetivo de la Informática forense es el de recobrar los registros y mensajes de datos existentes dentro de un equipo informático, de tal manera que toda esa información digital, pueda ser usada como prueba ante un tribunal. De otro lado, esta ciencia forense necesita de una estandarizaci ón de procedimientos y de acciones a tomar, esto en razón de las características específicas que las infracciones informáticas presentan. Son entonces estas propiedades que contribuyen a la existencia de una confusión terminológica y conceptual presente en todos los campos de la informática, especialmente en lo que dice relación con sus aspectos criminales. Para finalizar hay que tomar en cuenta lo que dice Jeim y Cano en su libro “Computo Forense” al referirse a la informática forense: “La informática forense es la manifestación natural del entorno digital y de la sociedad de la información para responder a la creciente ola de incidentes, fraudes y ofensas (en medos informáticos y a través de medios informáticos), con el fin de enviar un mensaje claro a los intrusos: estamos preparados para responder a sus acciones, y continuamos aprendiendo para dar con la verdad de sus acciones ” 235.
235 C A N O M . J e i m y e n C o m p u t a c i ó n F o r e n s e : D e s c u b r i e n d o l o s R a s t r o s I n f o r m á t i c o s , E d i t o r i a l A L F A O M E G A , Primera Edición, México, 2009, Pág. 10
Dr. Santiago Acurio Del Pino
Pa gina 176
Derecho Penal Informa tico 5.- Evidencia Digital En derecho procesal la evidencia es la certeza clara, manifiesta y tan perceptible que nadie puede dudar de ella. De otro lado la evidencia digital es cualquier mensaje de datos almacenado y trasmitido por medio de un Sistema de Información que tenga relación con el cometimiento de un acto que comprometa gravemente dicho sistema y que posteriormente guie a los investigadores al descubrimiento de los posibles infractores. En definitiva, son campos magnéticos y pulsos electrónicos que pueden ser recogidos y analizados usando técnicas y herramientas especiales 236, no es otra forma de EVIDENC IA LATENTE, necesita p ara su recolección y preservación principios científicos y un marco legal apropiado. Para Miguel López Delgado la evidencia digital es el conjunto de datos en formato binario, esto es comprende los archivos, su contenido o referencias a éstos (metadatos 237) que se encuentren en los soportes físicos o lógicos de un sistema comprometido por un incidente informático 238. Otros autores como Anthony Reyes 239 se refieren a la evidencia digital como “OBJETOS DE DATOS ” en relación a la información que es encontrada en los dispositivos de almacenamiento o en las piezas de almacenamiento multimedia, que no son más que cadenas de unos y ceros es decir de información binaria o digital grabada en un dispositivo magnético (como discos duros o los disquetes), en uno de estado s ólido 240 o memoria solida (como las memorias flash y dispositivos USB) y los dispositivos ópticos (como los discos compactos y DVD). Estos objetos de datos podemos encontrarlos en una gran cantidad de dispositivos tales como computadores personales, en IPOD S, teléfonos celulares, los cuales tienen sistemas operativos y programas que combinan en un particular orden esas cadenas de unos y ceros para crear imágenes, documentos, música y muchas cosas más en formato digital. Pero también existen otros objetos de datos que no están organizados como archivos, son informaciones que están vinculadas 236 C A S E Y E o g h a n , H a n d o o k o f C o m p u t e r I n v e s t i g a t i o n , E l s e v i e r A c a d e m i a P r e s s , 2 0 0 5 237 E l t é r m i n o m e t a p r o v i e n e d e l g r i e g o y s i g n i f i c a j u n t o a , d e s p u é s , s i g u i e n t e . L o s m e t a d a t o s p u e d e n s er definidos como datos sobre los datos. Son como las etiquetas de un producto, nos brinda información relativa a este como, el peso fecha de caducidad, etc. Tecnologías de la Información a la comunicación ALONSO, Juan A. y otros, Editorial ALFAOMEGA y RA-MA, 2005 238 L O P E Z D E L G A D O , M i g u e l , A n á l i s i s F o r e n s e D i g i t a l , j u n i o d e l 2 0 0 7 , C R I P O R E D . 239 R E Y E S , A n t h o n y , I n v e s t i g a c i ó n d e l C i b e r c r i m e n , S y n g r e s s 2 0 0 7 . 240 M á s c o n o c i d o s c o m o S S D ( S o l i d - S t a t e D r i v e ) s o n d i s p o s i t i v o s d e a l m a c e n a m i e n t o s d e d a t o s q u e u s a n una memoria sólida para almacenar la información de forma constante de forma similar que un disco duro usando lo que se conoce como SRAM (Memoria de Acceso Randómico Estático) o DRAM (Memoria de Acceso Randómico Dinámico). Estas memorias simulan la interfaz de un disco magnético convirtiéndose en dispositivos de almacenamiento masivo.
Dr. Santiago Acurio Del Pino
Pa gina 177
Derecho Penal Informa tico a archivos como los metadatos antes mencionados, otros son fragmentos de archivos que quedan después de que se sobrescribe la información a causa del borrado de los archiv os viejos y la creación de los archivos nuevos esto se llama SLACK SPACE , o espacio inactivo. También pueden quedarse almacenados temporalmente en los archivos de intercambio ( SWAP FILE) o en la misma memoria RAM.
5.1.- Fuentes de la Evidencia Digital Algunas personas tienden a confundir los términos evidencia digital y evidencia electrónica, dichos términos pueden ser usados indistintamente como sinónimos, sin embargo, es necesario distinguir entre aparatos electr ónicos como los celulares y teléfonos i nteligentes y la información digital que estos contengan. Esto es indispensable ya que el foco de nuestra investigación siempre será la evidencia digital, aunque en algunos casos también serán los aparatos electrónicos. A fin de que los investigadores for enses tengan una idea de dónde buscar evidencia digital, éstos deben identificar las fuentes más comunes de evidencia. Situación que brindará al investigador el método más adecuando para su posterior recolección y preservación. Las fuentes de evidencia di gital pueden ser clasificadas en tres grandes grupos: 1. SISTEMAS DE COMPUTAC IÓN ABIERTOS , son aquellos que están compuestos de las llamadas computadores personales y todos sus periféricos como teclados, ratones y monitores, las computadoras portátiles, y lo s servidores. Actualmente estos computadores tienen la capacidad de guardar gran cantidad de información dentro de sus discos duros, lo que los convierte en una gran fuente de evidencia digital. 2. SISTEMAS DE COMUNICA CIÓN, estos están compuestos por las redes de telecomunicaciones, la comunicación inalámbrica y el Internet. Son también una gran fuente de información y de evidencia digital. 3. SISTEMAS CONVERGENTE S DE COMPUTACIÓN, son los que están formados por los teléfonos celulares llamados inteligentes o SMARTPHONES, las tarjetas inteligentes y cualquier otro aparato electrónico que posea convergencia digital y que puede contener evidencia digital 241. En el Código Orgánico Integral Penal ahora se habla del contenido 241 S e t r a t a d e u n a c a r a c t e r í s t i c a q u e p r e s e n t a e l a c t u a l d e s a r r o l l o d e l a s i n f r a e s t r u c t u r a s d e r e d y d e l os dispositivos terminales, que les permite, pese a su naturaleza diversa, transmitir y recibir, en esencia, la misma información, todo ello girando en torno a la digitalización de los contenidos que se transmiten y conduciendo ineludiblemente a una transformación de la actividad económica que desarrollaban en forma separada las empresas de telecomunicaciones, de informática y de contenidos audiovisuales. Ciberespacio, Sociedad y Derecho, HERRERA BRAVO Rodolfo, en el Libro Derecho a las Nuevas Te cnologías, Editorial La Rocca, 2007.
Dr. Santiago Acurio Del Pino
Pa gina 178
Derecho Penal Informa tico digital, considerado esto como “todo acto informático que representa hechos, información o conceptos de la realidad, almacenados, procesados o transmitidos por cualquier medio tecnológico que se preste a tratamiento informático, incluidos los programas diseñados para un equipo tecnológico aislado, interconectado o relacionados entre sí ”. Como podemos apreciar el concepto de contenido digital tiene un error al hablar de es todo acto informático, es decir que necesariamente el contenido digital tiene que estar relacionado al actuar de un ser humano, que las máquinas o los sistemas informáticos no actúan, si no responden a una programación, por tanto, el contenido digital quedaría constreñido a las actuaciones de los seres humanos por intermedio de las máquinas o su programación . Debiendo haber sido la palabra “DATO” y no ACTO la que se debía colocar en dicho concepto, denotándose una falta de técnica legislativa por parte de la Asamblea Nacional. Por otro lado, y dada la ubicuidad de la evidencia digital es raro el delito que no esté asociado a un me nsaje de datos guardado y trasmitido por medios informáticos. Un investigador entrenado puede usar el contenido de ese mensaje de datos para descubrir la conducta de un infractor, puede también hacer un perfil de su actuación, de sus actividades individual es y relacionarlas con sus víctimas. A pesar de esto mucha evidencia digital es pasada por alto, o no es recuperada de forma correcta o no es analizada de forma que permita ser un indicio que compruebe o niegue nuestra teoría del caso. La idea es que el i nvestigador pueda tener un criterio formado acerca de la evidencia digital y como esta puede ser usada en un proceso judicial (en materia penal o en materia no penal) o un problema dentro de una empresa, dada la masificación en el uso de las TICS, tanto en el sector privado como en el público. Ejemplos de aparatos electrónicos e informáticos ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢
Computador de escritorio Computador Portátil Tablets Estación de Trabajo Hardware de Red Servidor – aparato que almacena o transfiere datos electrónicos por el Internet Teléfono celular Teléfono inalámbrico Aparato para identificar llamadas Localizador - beeper “GPS” – aparato que utiliza tecnología satélite capaz de ubicar geográficamente a la persona o vehículo que lo opera Cámaras, videos Sistemas de seguridad Memoria “flash” – Pequeño dispositivo que puede conservar hasta 32 gigabytes de datos o 32,000,000,000 bytes de información
Dr. Santiago Acurio Del Pino
Pa gina 179
Derecho Penal Informa tico ➢ “Palm” – asistente personal electrónico que almacena datos y posiblemente tiene conectividad inalámbrica con el Internet ➢ Juegos electrónicos – en su unidad de datos se puede guardar, incluso, una memoria de otro aparato ➢ Sistemas en vehículos – computadoras obvias y computadoras del sistema operativo del vehículo que registra cambios en el ambiente y el mismo vehículo ➢ Impresora ➢ Copiadora ➢ Grabadora ➢ Videograbadora, DVD ➢ Blu-ray reproductor y discos ➢ Duplicadora de discos ➢ Discos, disquetes, cintas magnéticas ➢ Aparatos ilícitos – tales como los aparatos que capturan el número celular de teléfonos cercanos para después copiarlo en otros teléfonos, o los llamados sniffers, decodificadores, etc. 5.1.1.- Incautación de Equipos Informáticos o Electrónicos Si el investigador presume que existe algún tipo evidencia digital en algún aparato electrónico o en algún otro soporte material relaciona do con el cometimiento de una infracción. Este debe pedir la correspondiente autorización judicial para incautar dichos elementos, de igual forma debe tener la autorización judicial para acceder al contenido guardado, almacenado y generado por dichos aparatos. También puede solicitar la interceptación de comunicaciones, si la modalidad del delito investigado así lo requiere siguiendo las reglas establecidas en el Código Orgánico Integral Penal, la Constitución y los tratados internacionales sobre Derechos Humanos. Antes de realizar un allanamiento e incautación de Equipos Informáticos o Electrónicos se debe tomar en cuenta lo siguiente: 1. ¿A qué horas debe realizarse? ➢ Para minimizar destrucción de equipos, datos ➢ El sospechoso tal vez estará en línea , es necesaria la interceptación de datos. ➢ Seguridad de investigadores . 2. Entrar sin previo aviso ➢ Utilizar seguridad ➢ Evitar destrucción y alteración de los equipos, o la evidencia contenida en esta. 3. Materiales previamente preparados (Cadena de custodia) ➢ Embalajes de papel ➢ Etiquetas Dr. Santiago Acurio Del Pino
Pa gina 180
Derecho Penal Informa tico ➢ Discos y disquetes vacíos ➢ Herramienta ➢ Cámara fotográfica 4. Realizar simultáneamente los allanamientos e incautación en diferentes sitios. ➢ Datos pueden estar en más de un lugar, sistemas de red, conexiones remotas. 5. Examen de equipos 6. Aparatos no especificados en la orden de allanamiento 7. Creación de Respaldos en el lugar, creación de imágenes de datos. ➢ Autorización para duplicar, reproducir datos encontrados (por ejemplo, un aparato contestador) 8. Fijar/grabar la escena ➢ Cámaras, videos, etiquetas 9. Códigos/claves de acceso/contraseñas 10.Buscar documentos que contienen información de acceso, conexiones en redes, etc. 11.Cualquier otro tipo de consideración especial (consideraciones de la persona involucrada: médicos, abogados, información privilegiada, etc.) La falta de una orden de allanamiento, incautación , interceptación, registro que ampare las actuaciones ( sobre los equipos y sobre la información ) de la Policía Judicial y la Fiscalía puede terminar con la exclusión de los elementos probatorios por violación de las Garantías Constitucionales.
5.1.1.1.- Derechos a tener en cuenta durante la incautación y registro de equipos tecnológicos. En una investigación penal, hay que tomar en consideración que se puede limitar ciertos derechos de las personas, es así que el investigador debe garantizar en todo momento el debido proceso con la finalidad de que no se excluyan las evidencias obtenidas durante la etapa investigativa.
Dr. Santiago Acurio Del Pino
Pa gina 181
Derecho Penal Informa tico
Derecho a la Intimidad
Derechos a la Propiedad
Derecho a la protección de Datos Personales
•
• •
•
Secreto a las Comunicaciones
El derecho a la protección de datos de carácter personal, que inclu ye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley. El derecho a la Intimidad , es decir el de mantener por fuera del conocimiento público aquellos hechos de su vida que legítimamente desea conservar bajo el velo del secreto, la reserva y el silencio. El derecho a la inviolabilidad y al secreto de la correspondencia física y virtual; ésta no podrá ser retenida, abierta ni examinada, excepto en los casos previstos en la ley, previa intervención judicial y con la obligación de guardar el secreto de los asuntos ajenos al hecho que motive su examen. Este derecho protege cualquier otro tipo o forma de comunicación 242. El derecho a la propiedad en todas sus formas, con función y responsabilidad social y ambiental
5.1.1.2.
Interceptación de Comunicaciones
En cuanto a la interceptación de comunicaciones hay que tomar en cuenta el funcionamiento de las redes de comunicaciones, ya que p ara poder establecer la comunicación entre los computadores que forman parte de una red, se utilizan “protocolos de comunicaciones ”, que constituyen una serie de normas y procedimientos definidos para poder resolver los problemas asociados al intercambio de información:
242 V e r A r t . 4 7 5 n u m e r a l 1 d e l C O I P “ L a c o r r e s p o n d e n c i a f í s i c a , e l e c t r ó n i c a o c u a l q u i e r o t r o t i p o o f o r m a de comunicación, es inviolable, salvo los casos expresamente autorizados en la Constitución y en este Código”
Dr. Santiago Acurio Del Pino
Pa gina 182
Derecho Penal Informa tico • • •
Transmisión fiable de los datos: que los datos lleguen libres de errores y sin pérdidas a su destino. Encaminamiento a través de la red: que los datos se entreguen al ord enador destinatario atravesando otras máquinas conectadas a la red. Gestión del diálogo entre máquinas: establecer un orden en la comunicación entre las aplicaciones que se ejecutan en los ordenadores de la red.
Para resolver todas estas cuestiones, se ha definido un modelo en “capas” o niveles: el modelo OSI del organismo de estandarización ISO, que persigue construir una torre de protocolos estándar que facilite la interconexión de equipos y redes de distintos f abricantes. Cada capa ofrece una serie de servicios a la inmediatamente superior y se apoya, a su vez, en los servicios proporcionados por las capas inferiores:
Es así que en el caso de que el investigador necesite información sobre la red de comunic aciones, debe estar consciente de que de acuerdo al modelo OS I existen capas de contenido y capas de no contenido, es decir hay capas que llevan consigo los llamados datos de tráfico 243, que son básicamente los datos de las conexiones que realizan nuestros e quipos informáticos, por ejemplo el número IP 243 S e e n t e n d e r á n p o r d a t o s d e t r á f i c o t o d o s l o s d a t o s r e l a t i v o s a u n a c o m u n i c a c i ó n r e a l i z a d a p o r m e d io de un sistema informático o de información, generados por este último en tanto sea parte de la cadena de comunicación y que indiquen el origen, el destino, la ruta, la hora, la fecha, el tamaño y la duración de la comunicación o el tipo de servicio subyacente. Definición dada por el Convenio de Cibercriminalidad de la Unión Europea.
Dr. Santiago Acurio Del Pino
Pa gina 183
Derecho Penal Informa tico de donde se origina un mensaje de datos o donde se lo recibe, estos datos se generan en las capas de transporte, red, y enlace. Estas capas son de no contenido, en el sentido de que no contienen ningún contenid o de la comunicación en sí misma, son datos que no revelan el mensaje enviado. Por otra parte, las capas de sesión, presentación y aplicación si contienen datos del mensaje enviado y por tanto de la comunicación en sí misma. Esta diferencia es necesaria en razón de la información que el investigador requiera, es decir si el investigador necesita la información de tráfico (capas de no contenido), él puede solicitarle al Fiscal del caso que oficie por ejemplo un proveedor de servicios de internet, a fin de qu e solicite estos datos de un correo electrónico enviado por un sospechoso, pero si el investigador necesita el mensaje enviado a través del correo electrónico (capas de contenido) necesita solicitar a través del Fiscal una orden de interceptación al Juez c ompetente, ya que solo él puede autorizar la interceptación de comunicaciones de conformidad al Art. 475 del COIP.
5.1.2.- Teléfonos inalámbricos, celulares, inteligentes , Cámaras Digitales Se puede encontrar evidencia potencial contenida en los tel éfonos inalámbricos, celulares, inteligentes tales como: ➢ ➢ ➢ ➢ ➢
Números llamados IMEI, IMS I, ESN Números guardados en la memoria y en el marcado rápido Identificador de llamadas, llamadas entrantes Otra información guardada en la memoria del tel éfono
Dr. Santiago Acurio Del Pino
Pa gina 184
Derecho Penal Informa tico ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢ ➢
Números marcados Nombres y direcciones Números personales de Identificación (P IN) Número de acceso al correo de voz Contraseña del correo de voz Números de tarjetas de crédito Números de llamadas hechas con tarjeta Información de acceso al Internet y al correo electrónico Se puede encontrar valiosa información en la pantalla del aparato Imágenes. Fotos, grabaciones de voz Información guardada en las tarjetas de expansión de memoria o en la memoria del aparato REGLA DEL ENCENDIDO “ON” Y APAGADO “OFF”
1. Si el aparato está encendido "ON", no lo apague “OFF". ➢ Si lo apaga "OFF" puede iniciarse el bloqueo del aparato. ➢ Transcriba toda la información de la pantalla del aparato y de ser posible tómele una fotografía. ➢ Vigile la batería del aparato, el transporte del mismo puede hacer que se descargue. Tenga a mano un cargador ➢ Selle todas las entradas y salidas. ➢ Selle todos los puntos de conexión o de admisión de tarjetas o dispositivos de memoria ➢ Selle los tornillos para evitar que se puedan retirar o reemplaza r piezas internas. ➢ Buscar y asegurar el conector eléctrico. ➢ Colocar en una bolsa de FARADAY, (especial para aislar de emisiones electromagnéticas), si no hubiere disponible, en un recipiente vacío de pintura con su respectiva tapa . ➢ Revise los dispositivos de almacenamiento removibles. (Algunos aparatos contienen en su interior dispositivos de almacenamiento removibles tales como tarjetas SD, Compact flash, Tarjetas XD, Memory Stick, etc.) 2. Si el aparato está apagado "OFF", déjelo apagado "OFF". ➢ Prenderlo puede alterar evidencia al igual que en las computadoras . ➢ Antes del análisis del aparato consiga un técnico capacitado en el mismo. ➢ Si no existe un técnico use otro tel éfono. ➢ Es necesario que el investigador busque el manual del usuario relacionado con el aparato encontrado. Dr. Santiago Acurio Del Pino
Pa gina 185
Derecho Penal Informa tico 5.1.3.- Máquinas de Fax 1. En las máquinas de fax podemos encontrar: ➢ Listas de marcado rápido ➢ Fax guardados (transmitidos o recibidos) ➢ Bitácoras de transmisión del Fax (transmitidos o recibidos) ➢ Línea del Encabezado ➢ Fijación de la Hora y Fecha de la transmisión del Fax 2. Buenas Prácticas ➢ Si la máquina de fax es encontrada prendida “ON”, el apagarla causaría la perdida de la memoria de último número marcados, así como de los facsímiles guardados. 3. Otras consideraciones ➢ Busque la concorda ncia entre el número de teléfono asignado a la máquina de fax y la línea de teléfono a la que está conectada. ➢ De igual forma busque que el encabezado del mensaje y el número impreso coincidan con el del usuario y la línea telefónica. ➢ Es necesario que el investigador busque el manual del usuario relacionado con el aparato encontrado. 5.1.4.- Dispositivos de Almacenamiento Los dispositivos de almacenamiento son usados para guardar mensajes de datos e información de los aparatos electrónicos. Existen disposi tivos de almacenamiento de tres clases, a saber: dispositivo magnético (como discos duros o los disquetes), dispositivos de estado sólido 244 o memoria solida (como las memorias flash y dispositivos USB) y los dispositivos ópticos (como los discos compactos y DVD). Existen gran cantidad de Memorias USB en el mercado y otros dispositivos de almacenamiento como tarjetas SD, Compact flash, Tarjet as XD, Memory Stick, etc. 1. BUENAS PRÁCTICAS ➢ Recolecte las instrucciones de uso, los manuales y las notas de cada uno de los dispositivos encontrados. ➢ Documente todos los pasos al revisar y recolectar los dispositivos de almacenamiento ➢ Aleje a los dispositi vos de almacenamiento de cualquier magneto, radio trasmisores y otros dispositivos potencialmente dañinos.
5.2.- Evidencia Digital Constante y Volátil En un principio el tipo de evidencia digital que se buscaba en los equipos informáticos era del tipo CONSTANTE o PERSISTENTE es decir la que se 244 M á s c o n o c i d o s c o m o S S D ( S o l i d - S t a t e D r i v e ) s o n d i s p o s i t i v o s d e a l m a c e n a m i e n t o s d e d a t o s q u e u s a n una memoria sólida para almacenar la información de forma constante de forma similar que un disco duro usando lo que se conoce como SRAM (Memoria de Acceso Randómico Estático) o DRAM (Memoria de Acceso Randómico Dinámico). Estas memo rias simulan la interfaz de un disco magnético convirtiéndose en dispositivos de almacenamiento masivo.
Dr. Santiago Acurio Del Pino
Pa gina 186
Derecho Penal Informa tico encontraba almacenada en un disco duro o en otro medio informático y que se mantenía preservada después de que la computadora era apagada. Posteriormente y gracias a las redes de interconexión, el investigador forense se ve obligado a buscar también evidencia del tipo VOLÁTIL, es decir evidencia que se encuentra alojada temporalmente en la memoria RAM, o en el CACHE, son evidencias que por su naturaleza inestable se pierden cuando el computador es apagado. Este tipo de evidencias deben ser recuperadas casi de inmediato. De lo dicho se desprende que cuando se comete un delito cualquiera, muchas veces la información que directa o indirectamente se relaciona con esta conducta criminal queda almacenada en forma digital den tro de un Sistema Informático. Este conjunto de datos ordenados sistemáticamente y convertidos en información se convierte en evidencia digital. He aquí entonces que encontramos la primera dificultad en lo que se refiere a la obtención de esta clase de evi dencia como prueba de la infracción cometida, esto debido a que los Sistemas Informáticos en donde se almacena la misma presentan características técnicas propias, en tal razón la información ahí almacenada no puede ser recuperada, recolectada, preservada, procesada y posteriormente presentada como indicio de convicción utilizando los medios crimínalisticos comunes, se debe utilizar mecanismos diferentes a los tradicionales. Es aquí que se ve la necesidad de utilizar los procedimientos técnicos legales y la rigurosidad científica que pone a disposición de los investigadores la ciencia Forense Informática a fin de descubrir a los autores y cómplices del delito cometido. La falta de información especializada en esta área de investigación científica, la inexi stente práctica y entrenamiento en la obtención, recolección, documentación y posterior análisis e interpretación de la evidencia digital, pueden permitir que se condene a un inocente y se deje libre a un culpable, situación que es inadmisible en un proces o penal, es por tanto necesarios que los operadores de justicia, es decir la Fiscalía, la Policía Nacional y la Función Judicial debe estar preparada para afrontar el reto de capacitar y entrenar al personal necesario para que lidien de forma óptima no sol o con los Delitos Informáticos sino también con otra clases de delitos, aprovechando así las ventajas de utilizar la Informática Forense y la Evidencia Digital dentro de los procesos penales. Más adelante al topar el tema de la relevancia de la evidencia d igital en el proceso penal, ampliaremos este tópico.
5.3.- La Dinámica de la Evidencia La dinámica de la evidencia es la forma como se entienden y se describen los diferentes factores (humanos, de la naturaleza, de los equipos) que actúan sobre las evidencias, a fin de determinar los cambios que estos producen sobre ellas. Podemos afirmar indudablemente que existen muchos agentes que intervienen o actúan sobre la evidencia digital, aquí se aplica el llamado principio de intercambio o de Locard 245; el investi gador forense se ve en la necesidad de 245 E l p r i n c i p i o d e i n t e r c a m b i o d e L o c a r d , m e n c i o n a q u e c u a n d o d o s o b j e t o s e n t r a n e n c o n t a c t o s i e m p r e
Dr. Santiago Acurio Del Pino
Pa gina 187
Derecho Penal Informa tico reconocer la forma como estos factores pueden alterar la evidencia, y así tener la oportunidad de manejarla de una manera apropiada, evitando generalmente contaminarla, dañarla y hasta perderla por completo.
Los principios crimínalisticos, como el de Locard o de intercambio y el mismisidad 246 deben tenerse como instrumentos de la investigación en cualquier escena del crimen inclusive la informática. Esto se puede explicar por ejemplo en el caso de las bitácoras o LOGS del sistema operativo de un equipo informático utilizado por un Hacker o Cracker para romper las seguridades de un programa o vulnerar la integridad de un Sistema informático remoto. En dicha bitácora el investigador podría encontrará registrada dicha a ctividad ilegal. Ese es un ejemplo del principio de intercambio en acción. Cuando en una escena del crimen se tiene que trabajar en condiciones adversas, como en incendios, inundaciones, derrames de gasolina o químicos peligrosos, es indispensable que el investigador tome las medidas de seguridad necesarias para asegurar en primer lugar su integridad física, luego deberá implementar el procedimiento más adecuado para incrementar las posibilidades de recuperar las evidencias de la manera más completa. De lo dicho podemos manifestar que los examinadores forenses nunca tendrán la oportunidad de revisar una escena del crimen en su estado original, siempre habrá algún factor que haga que la escena del crimen presente algunas anomalías o discrepancias. Con la finalidad de explicar cómo funciona la dinámica de las evidencias, a continuación, se expondrán algunas de las posibles situaciones en donde esta se ve afectada dentro de una escena del crimen: existe una transferencia de material entre el uno y el otro. Es decir que cuando una persona está en una escena del crimen esta deja algo de sí misma dentro de la escena, y a su vez cuando sale de ella esta se lleva algo consigo. 246 U n a c o s a e s i g u a l a s í m i s m a y d i f e r e n t e d e l a s d e m á s .
Dr. Santiago Acurio Del Pino
Pa gina 188
Derecho Penal Informa tico 1. EQUIPOS DE EMERGENCI AS: En el caso de un incendio, los sistemas informáticos pueden ser afectados por el fuego y el humo, posteriormente sometidos a una gran presión de agua al tratar de apagar este. Esto provoca que los técnicos forenses no puedan determinar a ciencia cierta si los sistemas informáticos encontrados en la escena estuvieron comprometidos, fueron atacados o usados indebidamente. En otras ocasiones los equipos de emergencia manipulan la escena cuando es necesario para salvar la vida de una persona. 2. PERSONAL DE CRIMINAL ÍSITICA 247: En algunas ocasiones el personal de criminalística por accidente cambia, reubica, o altera la evidencia. Por ejemplo, en el caso de que se quiera sacar una muestra de sangre de una gota precipitada sobre un disquete o disco compacto mediante el uso de un escarpelo, esto puede accidentalmente comprometer los datos e información almacenada en dichos soportes. 3. EL SOSPECHOSO O EL I MPUTADO TRATANDO DE CUBRIR SUS RASTROS: Cuando el Sospechoso o el imputado deliberadamente borra o altera los datos, registros u otros mensajes de datos considerados como evidencia dentro de un disco duro. 4. ACCIONES DE LA VÍCTI MA: La víctima de un delito, puede borrar correos electrónicos que le causen aflicción o le provoquen alguna situación embarazosa. 5. TRANSFERENCIA SECUND ARIA: En algunas ocasiones, los sistemas informáticos usados en el cometimiento de un delito, son usados posteriormente por alguna persona de forma inocente, causando con ello la destrucción y alteración de evidencia. 6. TESTIGOS: Un administrador del sistema puede borrar cuentas de usuarios sospechosas, las mismas que fueron creadas por un intruso, a fin de prevenir su acceso y utilización futura. 7. EL CLIMA Y LA NATURALEZA: Los campos electromagnéticos pueden corromper la información guardada en discos magnéticos. 8. DESCOMPOSICIÓN: En algunos casos la información almacenada en discos magnéticos, o en otros soportes puede perderse o tornarse ilegible para los sistemas de información, a causa del tiempo y de las malas condiciones de almacenamiento. En resumen el investigador forense debe entende r como los factores humanos, de la naturaleza y de los propios equipos informáticos pueden alterar, borrar o destruir evidencia, debe comprender como dichas variables actúan sobre la escena misma del delito, debe por tanto encaminar la investigación desde su 247 S e t i e n e q u e m i n i m i z a r t o d o r a s t r o d e l i n v e s t i g a d o r e n l a e s c e n a d e l d e l i t o . U n a h i s t o r i a c l á s i c a e n estos casos, es la del investigador forense que encontró una huella digital dentro de un caso de homicidio, al recuperar y preservar dicha huella creyó tener la pista necesa ria para resolver el caso. Pues hizo comparar dicha huella digital con la base de datos de la Policía Judicial, al no encontrar un resultado, amplió la búsqueda a nivel nacional encontrándose que la huella encontrada en la escena era suya.
Dr. Santiago Acurio Del Pino
Pa gina 189
Derecho Penal Informa tico etapa más temprana tomando en cuenta esos cambios, a fin de adecuar el mejor método para adquirir, preservar y luego analizar las pistas obtenidas, y así reducir de manera considerable los posibles efectos de la dinámica de la evidencia.
6.- Relevancia de la Evidencia Digital el Proceso Penal Ecuatoriano Los problemas tradicionales al manejar investigaciones relacionadas con equipos informáticos, es la forma como se recupera la información digital o electrónica de esta clase de equipos, en otras palabras , el problema radica en cómo instrumentalizar un procedimiento o un método adecuado para realizar esta tarea, cumpliendo con la premisa de que estas prácticas deben ser aceptadas y puestas en acción de forma universal, esto en relación a las capacidades qu e muestran los operadores de justicia en el uso de la informática forense dentro de sus áreas de influencia. Esto debido a la CIBERFOBIA o miedo a la nueva tecnología que experimentan algunos jueces, fiscales, defensores públicos e incluso la policía judicial, situación que hace que el uso de técnicas forenses con el fin de recuperar y preservar la evidencia digital sea considerado una práctica poco ortodoxa en el mundo analógico en el que todavía viven algunos operadores de justicia. Lo descrito se eviden cia en la apatía, en la inercia que ciertos operadores de justicia muestran en el empleo de estas herramientas tecnológicas, su falta de entendimiento de las posibilidades que las Tecnologías de la Información brindan a la investigación, la subestimación de estas prácticas hace que muchos delitos queden en la impunidad, elevando el nivel de inseguridad ciudadana ya bastante elevado en nuestros días. Es por tanto que el entendimiento de este problema es el primer paso para superarlo, es decir que cuando los operadores de justicia acuerden hacer uso de estas herramientas y dar validez a sus hallazgos podremos decir que la justicia está entrando en la era de la sociedad de la información y el conocimiento. En otras palabras, está arribando por fin al siglo XXI . Con la vigencia del Código Orgánico General de Procesos, las materias no penales pasaran del sistema escrito al sistema oral como lo determina la Constitución de la República en su Art. 168.6. Este cambio también permitirá en los procesos de materias no penales incluir el llamado expediente electrónico (Art. 115 COGEP) y las actuaciones procesales podrán realizarse a través de medios electrónicos, informáticos, magnéticos u otros producidos por la tecnología (Art. 116 COGEP). Abriendo así un nuevo derrot ero que espero nos lleve al fin a tener una e-justicia en nuestro país.
6.1.- Entendimiento de la Evidencia Digital La evidencia digital 248 es muy poderosa es la perfecta memoria de lo que 248 E v i d e n c i a d i g i t a l e s c u a l q u i e r i n f o r m a c i ó n q u e , s u j e t a a u n a i n t e r v e n c i ó n h u m a n a u o t r a s e m e j a n t e , ha sido extraída de un medio informático. Guía para el manejo de Evidencia Digital HB: 171 2003, citada por Cano M. Jeimy en Computación Forense: Descubriendo los Rastros Informáticos, Editorial ALFAOMEGA,
Dr. Santiago Acurio Del Pino
Pa gina 190
Derecho Penal Informa tico ha sucedido en una escena del delito, no existe razón para que esta mienta, y no puede eliminarse o cambiarse como una bala o un arma de fuego. El talón de Aquiles de esta clase de evidencia está en su comprensión por parte de abogados, jueces y fiscales. Esto en la medida del conocimiento de la función que tiene la tecnología, ya sea en el descubrimiento de esta clase de evidencia, en su recolección y después en su presentación, por tanto la mal interpretación y desconocimiento de la tecnología y de sus de talles puede ser la causa para que los participantes dentro de un proceso penal no aprecien la relevancia e importancia que tiene la evidencia digital en los procesos judiciales y de investigación. Es por tanto necesario realizar una fluida traducción entr e la tecnología y los términos legales, esto con la finalidad de usar un lenguaje claro y así evitar errores de interpretación y equívocos en esta clase de procesos. Este fenómeno está dado por cuanto parecería ser que, en esta clase de delitos, que tien en relación con el entorno informático o que son cometidos en el ciberespacio, existen dos grupos claramente identificados, los primeros que trabajan en el campo tecnológico y los que no lo hacen. Podríamos asumir que el primer grupo utiliza un lenguaje té cnico referido al ambiente tecnológico en el cual se desarrollan o laboran (desarrolladores de programas informáticos, técnicos, expertos en informática) y el otro grupo está conformado por los que no están familiarizados con el uso de acrónimos y lenguaje técnico que puede que sean la mayoría. Este hecho puede causar una falta de comprensión entre un grupo y otro, debido a la información específica que posee uno de estos, y que le da una posición de poder frente al otro que desconoce su significado. Y no es que las personas creamos grupos de hecho, pero el uso y comprensión de cierto tipo de información hace que los seres humanos formemos comunidades las cuales comparten entre sí un lenguaje y un conocimiento común, en este tema en particular es la tecnol ogía. Las personas siempre han buscado el conocimiento como una forma de ganar un estatus en la sociedad. Es por tanto necesario conciliar estas posiciones teniendo en cuenta para ello dos enunciados básicos 249: •
•
Existen en el mundo personas malintencionadas , delincuentes informáticos, que realizan su actividad amparados en el manejo de la tecnología y de los sistemas informáticos, los cuales irrogan perjuicios a muchas personas no solo en el campo financiero, sino también de carácter emocional y físico. También existe una comunidad de lucha contra el cibercrimen, en donde participan personas pertenecientes a las universidades, Policías, Fiscales, Abogados, gente del sector privado, agencias gubernamentales, profesionales de la seguridad informática, que traba jan juntos para prevenir,
Primera Edición, México, 2009, Pág. 3. 249 C i b e r c r i m e I n v e s t i g a t i o n s , A n t h o n y R e y e s , S Y N G R E S S , 2 0 0 8
Dr. Santiago Acurio Del Pino
Pa gina 191
Derecho Penal Informa tico mitigar, investigar y procesar estos delitos cometidos usando sistemas informáticos y alta tecnología. De lo expuesto podemos concluir que el uso del lenguaje apropiado en esta clase de investigaciones, es uno de los principales i nsumos para lograr la cooperación entre las víctimas de estos delitos y los investigadores. Por tanto no es aconsejable el uso excesivo de términos técnicos, ya que eso podría crear un obstáculo en la investigación, llegando al extremo de alienar a las per sonas con el uso reiterado por parte de algunos profesionales de este tipo de jerga tecnológica, que al final crea una barrera entre los sujetos de la investigación 250. El uso del conocimiento especializado en la resolución de los ciberdelitos es útil cuando ese conocimiento técnico, trabaja para identificar de manera irrefutable ya sea la comisión de una infracción, así como la responsabilidad penal de los sospechosos e imputados causantes de la misma. Nosotros estamos en la posición de iniciar una revolución en donde la tecnología se convierta en una herramienta para descubrir y procesar a los cada vez mayores delincuentes informáticos, los cuales aparecen más frecuen temente en estos últimos tiempos, amparados en el desconocimiento y la falta de comprensión de este fenómeno delictivo informático por parte de la sociedad en su conjunto. Quienes usan la tecnología y sus técnicas deben tender un puente a aquellos que no están familiarizados con este lenguaje y sus connotaciones procesales, a fin de lograr un equilibrio y un mejor entendimiento de la evidencia digital sus usos y alcances en dentro de un proceso judicial. Esto se logra una vez que centramos nuestro objetivo en la conducta criminal y no en la tecnología que se usa como herramienta u objeto, es decir se debe identificar cual es el rol del sistema informático o uno de sus componentes dentro del ITER CR IMINIS o camino del delito.
6.2.- Relevancia y Admisibilidad de la Evidencia Digital La evidencia es la materia que usamos para persuadir al tribunal o al juez de la verdad o la falsedad de un hecho que está siendo controvertido en un juicio. Son entonces las normas procesales y las reglas del debido proceso las que informarán al juez o al tribunal que evidencias son relevantes y admisibles dentro de un proceso judicial y cuáles no lo son. Es importante tener en consideración estas normas desde el principio de la investigación, es decir desde el descubrimiento y rec olección de la evidencia, a
250 S o b r e e s t e p u n t o J e i m y C a n o e n s u L i b r o d e C o m p u t a c i ó n F o r e n s e ( V e r c i t a 1 ) , m a n i f i e s t a q u e , a l momento de presentar los resultados dentro de una investigación forense, esta debe hacerse de forma adecuada, esto ya que la información incorrecta o su mala p resentación pueden llevar a falsas expectativas e interpretación de los hechos que pongan en entredicho la idoneidad del investigador. Efectivamente la claridad en el uso del lenguaje amable y sin tecnicismos, una redacción impecable sin juicios de valor y una ilustración pedagógica de los hechos y los resultados, son elementos críticos a la hora de defender un informe de las investigaciones. Computación Forense Pág. 6.
Dr. Santiago Acurio Del Pino
Pa gina 192
Derecho Penal Informa tico fin de evitar la exclusión 251 de estas evidencias o elementos de convicción por atentar contra los principios constitucionales y legales. En el Código Orgánico Integral Penal el contenido digital, es considerado como prueba docum ental y de acuerdo al Art. 499 del COIP señala que l a prueba documental se regirá por las siguientes reglas: “(…) 6. Podrá admitirse como medio de prueba todo contenido digital conforme con las normas de este Código ”. Por su lado el Art. 500 señala las nor mas que deben aplicarse al contenido digital: Artículo 500. - Contenido digital. - El contenido digital es todo acto informático que representa hechos, información o conceptos de la realidad, almacenados, procesados o transmitidos por cualquier medio tecno lógico que se preste a tratamiento informático, incluidos los programas diseñados para un equipo tecnológico aislado, interconectado o relacionados entre sí. En la investigación se seguirán las siguientes reglas: 1. El análisis, valoración, recuperación y presentación del contenido digital almacenado en dispositivos o sistemas informáticos se realizará a través de técnicas digitales forenses. La primera novedad que encontramos en el COIP, es la disposición relativa relacionada a que el análisis forense de las evidencias digitales en calidad de contenido digital se realizará a través de técnicas digitales forenses, es decir aplicando los principios y las reglas de la informática forense, dando con esto la pauta para que los peritos y personal encargado de an alizar, valorar, recuperar y presentar este tipo de prueba documental debe tener conocimiento en la ciencia informática forense, por tanto al presentarse en juicio como testigos expertos deberán acreditar esta experiencia y conocimientos. 2. Cuando el cont enido digital se encuentre almacenado en sistemas y memorias volátiles o equipos tecnológicos que formen parte de la infraestructura critica del sector público o privado, se realizará su recolección, en el lugar y en tiempo real, con técnicas digitales for enses para preservar su integridad 252, se aplicará la cadena de custodia y se facilitará su posterior 251 L a r e g l a d e e x c l u s i ó n p r o b a t o r i a , c o n s i s t e e n q u e c u a l q u i e r e l e m e n t o d e p r u e b a q u e s e h a y a o b t e n i d o o incorporado al proceso en violación de una garantía constitucional, o de las formas procesales dispuestas para su producción, queda descartado dentro del proceso judicial. CARRIÓ, Alejandro, Justicia Criminal, Citado por JAUCHEN, Eduardo, Tratado de la Prueba Material, Rubinzal -Culzoni Editores, 2000, pág. 614. Art. 454.6 del COIP, “Toda prueba o elemento de convicción obtenidos con violación a los derechos en la Constitución, en los instrumentos internacionales de derechos humanos o en la Ley, carecerán de eficacia probatoria, por lo que deberán excluirse de la actuación procesal (…)”. Art. 160 del COGEP, inciso 4to y 5to: “(…) La o el juzgador declarará la improcedencia de la prueba cuando se haya obtenido con violación a la Constitución. Carece de eficacia probatoria la prueba obtenida por medio de simulación, dolo, fuerza física, fuerza moral o soborno. Igualmente será ineficaz, la prueba actuada sin oportunidad de contradecir (…)” 252 L a I n t e g r i d a d s e g a r a n t i z a c o n e l u s o d e c ó d i g o s d e i n t e g r i d a d , a t r a v é s d e l a a p l i c a c i ó n d e a l g o r i t m os matemáticos que calculan un número único basado en el contenido del mensaje de datos, conocido como función HASH.
Dr. Santiago Acurio Del Pino
Pa gina 193
Derecho Penal Informa tico valoración y análisis de contenido. Este numeral no s indica la priorización que debe hacer el investigador forense cuando el contenido digital se encuentre en memorias volátiles o equipos tecnológicos que sean parte de la infraestructura crítica 253, y que no se pueden trasladar a un laboratorio forense, debido a que se pueden perder debido a la volatilidad del dispositivo de almacenamiento como son las memoria s RAM o por pertenecer a una infraestructura crítica no pueden ser desconectados, por ello la norma recomienda una adquisición en tiempo real, para lo cual el investigador debe estar entrenado en obtener esta clase de evidencia digital de un equipo encendi do, de igual forma debe recuperar la información importante de la red donde se encuentre el equipo informático con fuente importante de evidencia digital, sus hallazgos deben estar descritos de forma detallada en un documento que muestre todos los pasos para conseguir la evidencia en tiempo real, tratando de minimizar el impacto de sus acciones en el sistema. En este caso los servidores policiales y del Sistema Especializado Integral de investigación, Medicina Legal y Ciencias Forenses deberán de acuerdo al Instructivo para el manejo de indicios y/o evidencia digital realizar: •
Captura de la Memoria RAM. a) Acoplamiento físico por una interfaz nueva (USB, disco externo, cd, DVD, etc.) proporcionado por el Sistema Especializado Integral de Investigación, Me dicina Legal y Ciencias Forenses. b) Volcado (adquisición) de la información capturada al medio externo para su conservación y preservación. c) Apagar el dispositivo y/o equipo informático. d) Entrega del medio de almacenamiento, al Centro de Acopio e inicio de cadena de custodia.
Solo debemos mencionar que este procedimiento solamente se aplica a la memoria RAM 254, pero no dice nada del contenido digital de equipos tecnológicos que sean parte de la infraestructura crítica, es por ello que el investigador de be aplicar el denominado “orden de volatilidad ” que hace relación al periodo de tiempo en que cierta información (mensajes de datos o contenido digital) está disponible en el equipo o sistema informático .
253 S o n i n f r a e s t r u c t u r a s c r í t i c a s l a s s i g u i e n t e s : A d m i n i s t r a c i ó n ( s e r v i c i o s b á s i c o s , i n s t a l a c i o n e s , r e d e s d e información, y principales activos y monumentos del patrimonio nacional); Instalaciones del Espacio; Industria Química y Nuclear (producción, almacenamiento y transporte de mercancías peligrosas, materiales químicos, biológicos, radiológicos, etc.); Agua (embalses, almacenamiento, tratamiento y redes); Centrales y Redes de energía (producción y distribución); Tecnologías de la Información y las Comunicaciones (TIC); Salud (sector e infraestructura sanitaria); Transportes (aeropuertos, puertos, instalaciones intermodales, ferrocarriles y redes de transporte público, sistemas de control del tráfico, etc.); Alimentación (producción, almacenamiento y distribución); y Sistema Financiero y Tributario (entidades bancarias, información, valores e inver siones).Manuel Sánchez, Infraestructura Críticas y Ciberseguridad. http://manuelsanchez.com/2011/07/06/infraestructuras -criticas-y-ciberseguridad/ 254 V o l c a d o d e l a m e m o r i a g l o b a l d e l s i s t e m a y d e c a d a p r o c e s o : a n t e l a d i f i c u l t a d d e r e a l i z a r u n a n á l i s i s en profundidad, se podrá utilizar el volcado de memoria para buscar determinadas cadenas de caracteres que puedan dar pistas sobre el incidente que ha afectado al equipo.
Dr. Santiago Acurio Del Pino
Pa gina 194
Derecho Penal Informa tico La guía de toma de evidencias en entornos Windows del INCIBE 255 recomienda realizar una escala siguiendo los siguientes parámetros: • • • • • • •
Registros y contenido cache Tabla de enrutamiento, Cache ARP, tabla de procesos, estadísticas del kernel, memoria. Información temporal del sistema Disco duro Logs o bitácoras del sistema Configuración física y topología de red Documentos
Luego de recuperada la información se menciona que para preservar la integridad del contenido digital esto se debe hacer mediante la cadena de custodia, esta situación planteada e n el COIP 256 es un error ya que no se puede probar la integridad del contenido digital por medio de cadena de custodia, ya que esta es sobre los elementos físicos, basados en el principio criminalístico de mismisidad. Para garantizar la integridad del conten ido digital esta se debe hacer a través de un código de integridad o función HASH, es decir de una firma electrónica como así lo dispone el reglamento a la Ley de Comercio Electrónico y Mensajes de Datos. 3. Cuando el contenido digital se encuentre almacenad o en medios no volátiles, se realizará su recolección, con técnicas digitales forenses para preservar su integridad, se aplicará la cadena de custodia y se facilitará su posterior valoración y análisis de contenido. En el caso del numeral 3ro del Art. 500 del COIP podemos observar, que el error de preservar la integridad del contenido digital por cadena de custodia sigue presente. 4. Cuando se recolecte cualquier medio físico que almacene, procese o transmita contenido digital durante una investigación, reg istro o allanamiento, se deberá identificar e inventariar cada objeto individualmente, fijará su ubicación física con fotografías y un plano del lugar, se protegerá a través de técnicas digitales forenses y se trasladará mediante cadena de custodia a un ce ntro de acopio especializado para este efecto. El último numeral hacer relación a la cadena de custodia sobre los elementos físicos (medios), relacionados con el almacenamiento, procesamiento o 255 M A R T Í N E Z R E T E N A G A , A S I E R . G u í a d e t o m a d e e v i d e n c i a s e n e n t o r n o s W i n d o w s , c o n l a c o l a b o r a c i ó n de Daniel Fírvida Pereira y Jesús Díaz Vico, Madrid, 2014. http://www.incibe.es 256 E n e l A r t . 4 5 6 s e d i c e q u e s e a p l i c a r á l a c a d e n a d e c u s t o d i a a l c o n t e n i d o d i g i t a l e s t o c o m o y a s e d i j o es un error debido a que los mensajes de datos entendidos como contenido digital son información, son pulsos electromagnéticos almacenados en dispositivos de almacenamiento que como elem entos físicos si pueden ser ingresados en cadena de custodia, no así la información. Se advierte otra falla conceptual en este tema por parte de los asambleístas que elaboraron el COIP.
Dr. Santiago Acurio Del Pino
Pa gina 195
Derecho Penal Informa tico trasmisión del contenido digital (mensajes de datos), y la fo rma que deben estos ser preservados y recolectados. En este caso los servidores policiales y del Sistema Especializado Integral de investigación, Medicina Legal y Ciencias Forenses deberán de acuerdo al Instructivo para el manejo de indicios y/o evidencia digital realizar: •
•
Fijación Digital de los dispositivos y equipos informáticos en funcionamiento : La fijación digital se fundamenta en tres tomas fotográficas: a) Estado inicial del equipo, componentes y conexiones (accesorios externos del equipo). b) Pla quetas de identificaciones técnicas (número de serie y modelo). c) Fijación del escritorio (ubicación de los íconos instalados por programas). Fijación Digital de los dispositivos y equipos informáticos que se encuentren apagados: a) Identificación del dis positivo y/o equipo informático, componentes y conexiones (accesorios externos del equipo). b) Plaquetas de identificaciones técnicas (número de serie y modelo). c) Fijación del indicio en el lugar de los hechos e inicio de cadena de custodia.
Durante la recolección de los mensajes de datos o contenido digital, el investigador deberá tener en cuenta las siguientes reglas básicas según la ciencia informática forense y los estándares normativos actuales 257.
257 M A R T Í N E Z R E T E N A G A , A S I E R . G u í a d e t o m a d e e v i d e n c i a s e n e n t o r n o s W i n d o w s , c o n l a c o l a b o r a c i ó n de Daniel Fírvida Pereira y Jesús Díaz Vico, Madrid, 2014. http://www.incibe.es
Dr. Santiago Acurio Del Pino
Pa gina 196
Derecho Penal Informa tico Capturar imágenes de datos precisas. Realizar notas detalladas, fechas, horarios.
Minimizar cambios y agentes externos. Priorizar la recolección, antes del análisis. Recoger la información según el orden de volatilidad. Cada dispositivo puede ser recogido de manera diferente. Ahora bien este esquema que muestra el Código Orgánico Integral Penal , nos indica una serie de reglas para la recuperación de la evidencia digital y la preservación de la evidencia física, pero a continuación encontraran una serie de pasos para obtener y presentar las evidencias encontradas en este pr oceso de reconocimiento y preservación de la evidencia, luego se seguirá con su procesamiento, filtrado, revisión y análisis, que finalmente nos llevaran a su presentación, esto es lo que se llama una metodología de análisis forense demostrada en el cuadro que a continuación se detalla cada paso en forma de secuencia desde la identificación de la evidencia, después su recolección, preservación, procesamiento y filtrado, revisión, análisis y su posterior presentación.
Dr. Santiago Acurio Del Pino
Pa gina 197
Derecho Penal Informa tico
1
2
Identificación
Recolección
3
4 Procesamiento y Filtrado
Preservación 5 Revisión
6 Análisis
Metodología de Análisis Forense
7 Presentación
Cuadro 1: Metodología de Análisis Forense En estos casos el orden es fundamental, ya que el desorden es enemigo de la claridad, por tanto el seguir los pasos en el orden correcto nos garantizara que la evidencia digital obtenida no sea, dañada o alterada en el proc eso investigativo, además que también garantizaremos la cadena de custodia de los elementos físicos y los dispositivos de almacenamiento, a fin de que no haya duda de la procedencia de estos artefactos en la escena del delito, y que estos se han mantenido íntegros más allá de cualquier duda. Cuando la evidencia es obtenida en violación de las garantías constitucionales y el no respeto a las reglas procesales que ordenan su producción, el órgano judicial no podrá basar ninguna de sus decisiones en una prueb a viciada, es por tanto que este tipo de evidencia debe ser excluida y será ineficaz en cualquier proceso judicial 258. Es necesario aclarar que en algunas ocasiones puede existir por parte de los investigadores o técnicos en escenas del delito (conocidos ta mbién como los primeros en responder), dudas sobre su participación dentro de un juicio, es decir estos técnicos son testigos expertos que perciben de primera mano lo que han encontrado dentro de la escena del delito, su informe y posterior testimonio es pieza fundamental para la construcción de la teoría del caso por parte de la Fiscalía, 258 J A U C H E N , E d u a r d o , T r a t a d o d e l a P r u e b a M a t e r i a l , R u b i n z a l - C u l z o n i E d i t o r e s , 2 0 0 0 , p á g . 6 1 5 .
Dr. Santiago Acurio Del Pino
Pa gina 198
Derecho Penal Informa tico sobre su hallazgos se establecerán si existe o no los elementos de convicción necesarios para realizar una imputación o sostener una acusación; si bien es cierto no son la única fuente de evidencias, tiene un papel preponderante en esta clase de delitos. Es así que en ellos surgen dudas sobre si tendrán que explicar cuál es su trabajo y en qué consiste, si tendrán que reseñar a jueces, abogados y fiscales sobre el funcionamiento del programa informático que se utilizó en el descubrimiento de la evidencia digital, o los procedimientos internos del sistema informático, es decir en base a que lenguaje de programación responde, o que algoritmos matemáticos usa, y cosas por el estilo. Otra preocupación es el nivel de experiencia o conocimiento que es necesario para convertirse en un testigo experto en materia de ciberdelitos o delitos informáticos. Todas estas preocupaciones son generalmente infundadas, en razón por ejemplo en el caso de la experiencia y el conocimiento para ser un testigo perito, no se necesita ser un especialista con un alto grado de conocimientos en materia informática, si se necesita un conocimiento especializado más allá del entendimiento que tenga cualquie r otra clase de testigo, es decir el conocimiento científico que le permita dar su apreciación técnica sobre sus hallazgos dentro de una escena del delito. De igual forma cuando un investigador quiere establecer las bases para la admisibilidad de la evid encia digital, debe tener en cuenta la actuación de la Fiscalía y de la Policía Judicial en asegurar todo lo relacionado a la cadena de custodia, ya que el investigador se enfrenta a la clásica pregunta de la defensa, “Cómo sabe usted y le consta que la ev idencia no fue alterada ”. En concordancia el testigo debe tomar en cuenta que su testimonio debe establecer dos situaciones: 1. El Estado a través del órgano de persecución penal que es la Fiscalía General del Estado debe establecer que en el equipo informát ico en donde se encontró la evidencia digital (contenido digital, mensaje de datos), es el equipo informático del sospechoso o imputado, más allá de toda duda razonable. Esto referido especialmente a la cadena de custodia sobre los elementos físicos de un sistema informático (dispositivos de almacenamiento). ELEMENTO DE PERTENEN CIA DE LA EVIDENCIA DIGITAL 2. El Estado a través del órgano de persecución penal que es la Fiscalía General del Estado debe establecer que el mensaje de datos que fue descubierto dentro del equipo informático del sospechoso o el imputado fue guardado o almacenado originalmente en dicho equipo, más allá de cualquier duda razonable de que alguna persona lo plantó ahí o fue creada por el equipo utilizado por el investigador en el curso de su trabajo. ELEMENTO DE INTEGRIDAD DE LA EVI DENCIA DIGITAL En base a estos dos enunciados se empieza construir la admisibilidad de la evidencia digital dentro de un proceso penal, luego tenemos que autenticarla y para ello se usa un código de integridad o función HASH. Dr. Santiago Acurio Del Pino
Pa gina 199
Derecho Penal Informa tico Los códigos de integridad tienen la misma funcionalidad que una firma electrónica 259 y se presentan como valores numéricos de tamaño fijo, que se convierten en una verdadera huella digital del mensaje de datos. Por tanto para autenticar la evidencia obtenida de una escena de delito, se debe comparar los valores HASH obtenidos de los mensajes de datos encontrados en el equipo informático del sospechoso o el imputado, con los obtenidos dentro de la etapa del juicio, por tanto si los valores HAS H son idénticos, entonces habremos hecho admisible como prueba esos mensajes de datos, esto por cuanto estos códigos de integridad, como ya se mencionó son verdaderas firmas electrónicas que comprueban la integridad de los mensajes de datos a través del us o de algoritmos de cifra como el MD5 260 o el SHA-1 que generan un valor único como una huella digital informática, la cual es de difícil alteración o modificación.
Cuadro 2: Elementos de la Admisibilidad de la Evidencia En conclusión la admisibilidad y relevancia de la evidencia digital está dada por la suma del elemento de pertenencia y el elemento de integridad, el primero de ellos es la vinculación física del mensaje de datos usado como evidencia al dispositivo de almacenamiento en donde fue descubierto, para este caso se aplica la cadena de custodia, ya que es una vinculación de tipo físico, y de otro lado el 259 E s t o s e d e b e t o m a r e n c u e n t a l o d i s p u e s t o e n e l R e g l a m e n t o a l a L e y d e C o m e r c i o E l e c t r ó n i c o ( D e c r e t o 3496, Registro Oficial 735, 31 -XII-2002) ART. 6.INTEGRIDAD DE UN MENSAJE DE DATOS.- La consideración de integridad de un mensaje de datos, establecida en el inciso segundo del artículo 7 de la Ley 67 (Suplemento del Registro Oficial 557, 17 -IV-2002), se cumple si dicho mensaje de datos está firmado electrónicamente. 260 A l g o r i t m o q u e s e e n c u e n t r a e n d e s u s o p o r c u a n t o s e h a e n c o n t r a d o c o l i s i o n e s e n d i c h o a l g o r i t m o .
Dr. Santiago Acurio Del Pino
Pa gina 200
Derecho Penal Informa tico elemento de integridad generado por la llamada función hash, que es una vinculación de tipo digital al aplicar una firma electrónica y un sellado de tiempo al mensaje de datos que sirve como evidencia, ya que la integridad de acuerdo con la Ley de Comercio Electrónico y su reglamento se comprueban mediante este mecanismo técnico, y no solamente por la cadena de cus todia como erróneamente plantea el COIP. De otro lado es indispensable indicar que además de estos dos elementos, siempre hay que verificar la existencia de los siguientes factores: El establecimiento de un Procedimiento de Operaciones Estándar 261, este procedimi ento se recogía en el Manual de Manejo de Evidencias Digitales y Entornos Informáticos de la Fiscalía General del Estado 262. Actualmente existe el Instructivo para el manejo de indicios y/o evidencia digital, de acuerdo a la resolución 073 -2014 de la Fiscalía General del Estado, publicada en el RO-S318 de 25 de agosto del 2014 263. Cumplimiento de los Principios Básicos, reconocidos internacionalmente en el manejo de las evidencias digitales y la ciencia informática forense. Cumplir los principios const itucionales y legales (Teoría del Árbol Envenenado, derecho a la intimidad y al s ecreto a la correspondencia y las comunicaciones) Seguir el trámite legal determinado en la Ley de Comercio Electrónico y el Código Orgánico Integral Penal , y Código Orgánico General por procesos . En el sistema acusatorio oral la evidencia admisible, es la evidencia relevante o conducente. Es evidencia relevante aquella que tiene valor probatorio, esto es, si posee alguna tendencia a hacer más o menos probable algún hecho de importancia para la resolución sobre el caso. El Código Orgánico General por Procesos menciona que la prueba debe ser conducente , es decir que su contenido y actitud sea intrínseca y particular para demostrar los hechos que se alegan en un caso en determinado, de su lado el Art. 453 del COIP, señala que la prueba tiene por finalidad llevar a la o al juzgador al convencimiento de los hechos y 261 E s e l c o n j u n t o d e p a s o s o e t a p a s q u e d e b e n r e a l i z a r s e d e f o r m a o r d e n a d a a l m o m e n t o d e r e c o l e c t a r o examinar la evidencia digital. Esta serie de procedimientos se utilizan para asegurar que toda la evidencia recogida, preservada, analizada y filtrada se la haga de una manera transparente e integra. 262 E l M a n u a l p r e t e n d e s e r u n a g u í a d e a c t u a c i ó n p a r a m i e m b r o s d e l a P o l i c í a J u d i c i a l , a s í c o m o d e l o s Funcionarios de la Fiscalía General Del Estado, cuando en una escena del delito se encuentren dispo sitivos Informáticos o electrónicos que estén relacionados con el cometimiento de una infracción de acción pública. En este momento se encuentra en la versión 2.0 del año 2009. Actualmente no se sabe si este Manual se está utilizando debido a la desaparici ón del Departamento de Investigación y Análisis Forense de la Fiscalía, en la administración del Dr. Galo Chiriboga como Fiscal General del Estado. 263 E s t e i n s t r u c t i v o s o l a m e n t e s e r e f i e r e a l a s e g u r a m i e n t o d e e q u i p o s y d e d i s p o s i t i v o s d e a l m a c e n a m i e n t o de evidencia digital, por medio de cadena de custodia, también se refiere al volcado de la memoria RAM, pero no se define si la misma se realiza en tiempo real, o en el laboratorio de acuerdo al Art. 500 del COIP, solo se refiere si el equipo está encendido o si está apagado
Dr. Santiago Acurio Del Pino
Pa gina 201
Derecho Penal Informa tico circunstancias materia de la infracción y la responsabilidad de la persona procesada. En conclusión, y a fin de evitar que la evidencia digital sea inadmisible en un proceso judicial, el investigador forense debe adoptar los procedimientos necesarios para que todos los mensa jes de datos o contenido digital que sean pertinentes 264 para la investigación, y la información contenida en los dispositivos de almacenamiento encontrados en la escena del delito, deben tener su código de integridad lo más rápido posible. La evidencia además de relevante también debe ser: •
• • •
Autentica: debe ser verídica y no haber sufrido manipulación alguna. Para ello se debe garantizar mediante el uso de la cadena de custodia en la evidencia física (Ej.: dispositivos de almacenamiento) y la aplicación de c ódigos de integridad (Función Hash) en la evidencia digital. Completa: debe representar la prueba desde un punto de vista objetivo y técnico, sin valoraciones personales, ni prejuicios. Creíble: debe ser comprensible. Confiable: las técnicas utilizadas par a la obtención de la evidencia no deben generar ninguna duda sobre su veracidad 265.
Los valores recogidos a través de los códigos de integridad son iguales a tomar una fotografía de un homicidio, es decir que le servirán al investigador al momento de rendir su testimonio, ya que el Fiscal podrá ofrecer este registro como evidencia dentro del juicio, y bastará que se comparen entre si los valores de los códigos de integridad obtenidos en la escena del delito, para que la evidencia sea autenticada y admitida e n juicio como prueba.
264 A r t . 4 5 4 n u m e r a l 5 t o d e l C ó d i g o O r g á n i c o I n t e g r a l P e n a l , y A r t . 1 6 0 i n c i s o p r i m e r o d e l C O G E P , h a b l a n de la pertinencia de la prueba en el proceso judicial. 265 E l A r t . 4 5 7 d e l C O I P , e n e s t e p u n t o d i s p o n e q u e l a v a l o r a c i ó n d e l a p r u e b a , d e b e r e a l i z a r s e d e a c u e r d o al grado actual de aceptación científica y técnica de los principios en que se fundamenten los informes periciales, por ello la aplicación de estándares de obtención, recolección y presentación de evidencia digital como lo es la RFC 3227 (http://www.ietf.org/rfc/rfc3227.txt ) es importante para el trabajo del investigador forense.
Dr. Santiago Acurio Del Pino
Pa gina 202
Derecho Penal Informa tico
La Evidencia es relevante
No
Evidencia Inadmisible
Si
Evidencia Inadmisible
Si
El probable valor de la evidencia esta sobre valorado, puede ser un riesgo, existe perdida de tiempo en su obtención, puede ser mal interpretada
NO
Existe alguna regla de exclusión de la evidencia: es ilícita, es prohibida
Probable inadmisibilidad de la evidencia, excepto que haya una excepción
Si
NO
Evidencia Admisible hasta que el Juez decida que no lo es
Admisibilidad de la Evidencia Pasos de admisibilidad
15/04/2010
Cuadro 3: Admisibilidad de la Evidencia En este cuadro podemos ver la serie de pasos que se deben cumplir para saber si la evidencia es relevante dentro de una investigación, y si esta llegará a ser admisible en juicio, por eso la importancia del Juez en la audiencia preparatoria, ya que por su función tendrá que resolver sobre las solicitudes de exclusión probatoria de las pruebas anunciadas por las partes (Fiscal y Defensa), cuando estas hubieren si do obtenidas en violación a las normas constitucionales y los instrumentos de derechos humanos reconocidos por el Estado. Finalmente hay que considerar que las actuaciones que la Fiscalía como órgano de persecución penal deben estar enmarcadas en su obte nción legítima dentro de la investigación, para lo cual se debe tomar en consideración aspectos como: EFECTIVIDAD DE LA PR UEBA • Respeto por la protección de datos personales • Respeto por la intimidad personal • Respeto por el Secreto de las Comunicaciones • Respeto por la libertad de expresión
Dr. Santiago Acurio Del Pino
• • • •
UTILIDAD DE LA PRUEB A Finalidad lícita Necesidad de recolección Transparencia en la recolección Proporcionalidad en la recolección
Pa gina 203
Derecho Penal Informa tico 6.3.- Legislación Procesal 6.3.1.- Código de Procedimiento Penal Aquí se muestran las normas procesales vigentes antes de la entrada en vigencia del COIP, a fin de que se tenga una perspectiva de los cambios normativos incluidos en la nueva norma procesal. ACTIVIDAD PROCESAL
Incautación
ARTÍCULO ART. 93.- INCAUTACIÓN. - Si el Fiscal supiere o presumiere que en algún lugar ha y armas, efectos, papeles u otros objetos relacionados con la infracción o sus posibles autores, solicitará al juez competent e autorización para incautarlos, así como la orden de allanamiento, si fuere del caso. Si se trata de documentos, el Fiscal procederá como lo dispone el Capítulo IV de este título, en cuanto fuere aplicable. ART. 149.- INFORMES. - Los fiscales, jueces y tribunales pueden requerir informes sobre datos que consten en registros, archivos, incluyendo los informáticos.
Petición de Información
Apertura de correspondencia
Dr. Santiago Acurio Del Pino
El incumplimiento de estos requerimientos, la falsedad del informe o el ocultamiento de datos, serán sancionados con una multa equivalente al cincuenta por ciento de un salario mínimo vital general, sin perjuicio de la responsabilidad penal, si el hecho constituye un delito. Los informes se solicitarán por escrito, indicando el proceso en el cual se requieren, el nombre del imputado, el lugar donde debe ser entregado el informe, el plazo para su presentación y la prevención de las sanciones previstas en el inciso anterior. ART. 150.- INVIOLABILIDAD. - La correspondencia epistolar, telegráfica, telefónica, cablegráfica, por télex o por cualquier otro medio de comunicación, es inviolable. Sin embargo, el juez podrá autorizar al Fiscal, a pedido de este, para que por sí mismo o por medio de la Policía Judicial la pueda retener, abrir, interceptar y examinar, cuando haya suficiente evidencia Pa gina 204
Derecho Penal Informa tico ACTIVIDAD PROCESAL
Interceptación de Comunicaciones
ACTIVIDAD PROCESAL
Reconocimiento de la Evidencia
ARTÍCULO para presumir que tal correspondencia tiene alguna relación con el delito que se investiga o con la participación del sospechoso o del imputado. ART. 155.INTERCEPTACIÓN Y GRABACIONES. - El juez puede autorizar por escrito al Fiscal para que intercepte y registre conversaciones telefónicas o de otro tipo, cuando lo considere indispensable para impedir la consumación de un delito, o para comprobar la existencia de uno ya cometido, o la responsabilidad de los partícipes. La cinta grabada deberá ser conservada por el Fiscal, con la transcripción suscrita por l a persona que la escribió. Las personas encargadas de interceptar, grabar y transcribir la comunicación tienen la obligación de guardar secreto sobre su contenido, salvo cu ando se las llame a declarar en el juicio. ARTÍCULO ART. 156.DOCUMENTOS SEMEJANTES. - El juez autorizará al Fiscal para el reconocimiento de las grabaciones mencionadas en el artículo anterior, así como de películas, registros informáticos, fotografías, discos u otros documentos semejantes . Para este efecto, con la intervención de dos peri tos que jurarán guardar reserva, el Fiscal, en audiencia privada, procederá a la exhibición de la película o a escuchar el disco o la grabación y a examinar el contenido de los registros informáticos . Las partes podrán asistir con el mismo juramento. El Fiscal podrá ordenar la identificación de voces grabadas por personas que afirmen poder reconocerlas, sin perjuicio de ordenar el reconocimiento por medios técnicos o con intervención pericial. Si los predichos documentos tuvieren alguna relación con el objeto y sujetos del proceso,
Dr. Santiago Acurio Del Pino
Pa gina 205
Derecho Penal Informa tico ACTIVIDAD PROCESAL
Utilización de los Medios Técnicos e Informáticos
ARTÍCULO el Fiscal ordenará redactar la diligenci a haciendo constar en ella la parte pertinente al proceso. Si no la tuvieren, se limitará a dejar constancia, en el acta, de la celebración de la audiencia y ordenará la devolución de los documentos al interesado. Art. ... .- (Agregado por el Art. 31 de la Ley s/n, R.O. 555 -S, 24-III-2009).- Los Fiscales podrán utilizar todos aquellos medios técnicos, electrónicos, informáticos y telemáticos que resulten útiles e indispensables para sustentar sus actuaciones y pronunciamientos, cumpliendo con los requisitos y obteniendo las autorizaciones que se exijan en la ley respecto de la procedencia y eficacia de los actos de investigación o de prueba que se formulen a través de dichos medios. Las actuaciones que se realicen, y l os documentos o información obtenidas a través de estos procedimientos, serán válidos y eficaces siempre que se garantice su integridad, autenticidad y reproducción, y no afecten en modo alguno los derechos y garantías fundamentales reconocidas en la Constitución y la ley. Las actuaciones y procesos que se tramiten con soporte informático, deberán garantizar la confidencialidad, privacidad y seguridad de los datos e informacio nes de carácter personal que contengan. Sin embargo, en aquellos casos de grabaciones o filmaciones relacionadas a un hecho constitutivo de infracción, registradas de modo espontáneo al momento mismo de su ejecución, por los medios de comunicación social o por cámaras de seguridad, ubicadas en lugares públicos, le servirán al fiscal para integrar la investigación y para introducirlas al juicio como elemento de prueba para su valoración. Éstas no requerirán de la autorización a la que se refiere el artículo ciento cincuenta y
Dr. Santiago Acurio Del Pino
Pa gina 206
Derecho Penal Informa tico ACTIVIDAD PROCESAL
ARTÍCULO cinco.
6.3.2.- Normas del Código Orgánico Integral Penal ACTIVIDAD PROCESAL ARTÍCULO COIP Artículo 460.- Reconocimiento del lugar de los hechos. - La o el fiscal con el apoyo del personal del Sistema especializado integral de investigación, de medicina legal y ciencias forenses, o el personal competente en materia de tránsito, cuando sea relevante para la Reconocimiento del lugar de los investigación, reconocerá el lugar de hechos los hechos de conformidad con las siguientes disposi ciones: 8. Se realizarán diligencias de reconocimiento del lugar de los hechos en territorio digital, servicios digitales, medios o equipos tecnológicos. Artículo 475.Retención de correspondencia. - La retención, apertura y examen de la correspondencia y otros documentos se regirá por las siguientes disposiciones: 1.
Retención de correspondencia
Dr. Santiago Acurio Del Pino
La correspondencia física, electrónica o cualquier otro tipo o forma de comunicación, es inviolable, salvo los casos expresamente autorizados en la Constitución y en este Código. 2. La o el juzgador podrá autorizar a la o al fiscal, previa solicitud motivada, el retener, abrir y examinar la correspondencia, cuando haya suficiente evidencia para presumir que la misma tiene alguna información útil para la investigación 3.- Para proceder a la apertura y examen de la correspondencia y otros documentos que puedan tener relación con los hechos y Pa gina 207
Derecho Penal Informa tico ACTIVIDAD PROCESAL
Interceptación de Comunicaciones
ARTÍCULO COIP circunstancias de la infracción y sus participantes, se notificará previamente al interesado y con su concurrencia o no, se leerá la correspondencia o el documento en forma reservada, informando del particular a la víctima y al procesado o su defensor público o privado. A falta de los sujetos procesales la diligencia se hará ante dos testigos. To dos los intervinientes jurarán guardar reserva. 4. Si la correspondencia u otros documentos están relacionados con la infracción que se investiga, se los agregará al expediente fiscal después de rubricados; caso contrario, se los devolverá al lugar de donde son tomados o al interesado. 5. Si se trata de escritura en clave o en otro idioma, inmediatamente se ordenará el desciframiento por peritos en criptografía o su traducción. Artículo 476. - Interceptación de las comunicaciones o datos informáticos. - La o el juzgador ordenará la interceptación de las comunicaciones o datos informáticos previa solicitud fundamentada de la o el fiscal cuando existan indicios que resulten relevantes a los fines de la investigación, de confo rmidad con las siguientes reglas: 1. La o el juzgador determinará la comunicación interceptada y el tiempo de intercepción, que no podrá ser mayor a un plazo de noventa días. Transcurrido el tiempo autorizado se podrá solicitar motivadamente por una sola vez una prórroga hasta por un plazo de noventa días.
Dr. Santiago Acurio Del Pino
Pa gina 208
Derecho Penal Informa tico ACTIVIDAD PROCESAL
2.
3.
4.
5. Dr. Santiago Acurio Del Pino
ARTÍCULO COIP Cuando sean investigaciones de delincuencia organizada y sus delitos relacionados, la interceptación podrá realizarse hasta por un plazo de seis meses. Transcurrido el tiempo autorizado se podrá solicitar motivadamente por una sola vez una prórroga hasta por un plazo de seis meses. La información relacionada con la infracción que se obtenga de las comunicaciones que se intercepten durante la investigación serán utilizadas en el proceso para el c ual se las autoriza y con la obligación de guardar secreto de los asuntos ajenos al hecho que motive su examen. Cuando, en el transcurso de una interceptación se conozca del cometimiento de otra infracción, se comunicará inmediatamente a la o al fiscal para el inicio de la investigación correspondiente. En el caso de delitos flagrantes, se procederá conforme con lo establecido en este Código. Previa autorización de la o el juzgador, la o el fiscal, realizará la interceptación y registro de los datos informáticos en transmisión a través de los servicios de telecomunicaciones como: telefonía fija, satelital, móvil e inalámbrica, con sus servicios de llamadas de voz, mensajes SMS, mensajes MMS, transmisión de datos y voz sobre IP, correo electrónico, redes sociales, videoconferencias, multimedia, entre otros, cuando la o el fiscal lo considere indispensable para comprobar la existencia de una infracción o la responsabilidad de los partícipes. Está prohibida la interceptación de Pa gina 209
Derecho Penal Informa tico ACTIVIDAD PROCESAL
Reconocimiento de Grabaciones Dr. Santiago Acurio Del Pino
ARTÍCULO COIP cualquier comunicación protegida por el derecho a preservar el secreto profesional y religioso. Las actuaciones procesales que violenten esta garantía carecen de eficacia probatoria, sin perjuicio de las respectivas sanciones. 6. Al proceso solo se introducirá de manera textual la transcripción de aquellas conversaciones o parte de ellas que se estimen útiles o relevantes para los fines de la investigación. No obstante, la persona procesada podrá solicitar la audición de todas sus grabaciones, cuando lo considere apropiado para su defensa. 7. El personal de las prestadoras de servicios de telecomunicaciones, así como las personas encargadas de interceptar, grabar y transcribir las comunicaciones o datos informáticos tendrán la obligación de guardar reserva sobre su contenido, salvo cuando se las llame a declarar en juicio. 8. El medio de almacenamiento de la información obtenida durante la interceptación deberá ser conservado por la o el fiscal en un centro de acopio especializado para el efecto, hasta que sea presentado en juicio. 9. Quedan prohibidas la interceptación, grabación y transcripción de comunicaciones que vulneren los derechos de los niños, niñas y adolescentes, especialmente en aquellos casos que generen la revictimización en infracciones de violencia contra la mujer o miembros del núcleo familiar, sexual, físi ca, sicológica y otros. Artículo 477.- Reconocimiento de grabaciones. - La o el juzgador Pa gina 210
Derecho Penal Informa tico ACTIVIDAD PROCESAL
ARTÍCULO COIP autorizará a la o al fiscal el reconocimiento de las grabaciones mencionadas en el artículo anterior, así como de vídeos, datos informáticos, fotografías, discos u otros medios análogos o digitales. Para este efecto, con la intervención de dos peritos que juren guardar reserva, la o el fiscal, en audiencia privada, procederá a la exhibición de la película o a escuchar el disco o la grabación y a examinar el contenido de los registros informáticos. Las partes podrán asistir con el mismo juramento. La o el fiscal podrá ordenar la identificación de voces grabadas, por parte de personas que afirmen poder reconocerlas, sin perjuicio de ordenar el reconocimiento por medios técnicos. Artículo 478. - Registros. - Los registros se realizarán de acuerdo con las siguientes reglas:
Registros
Dr. Santiago Acurio Del Pino
1. Los registros de personas u objetos e incautación de los elementos relacionados con una infracción que se encuentren en viviendas u otros lugares, requerirán autorización de la persona afectada o de orden judicial. En este último caso deberá ser motivada y limitada únicamente a lo señalado de forma taxativa en la misma y realizado en el lugar autorizado. 2. El consentimiento libremente otorgado por la persona requerida para registrar un espacio determinado, permitirá realizar el registro e incautación de los elementos relacionados con una infracción. Únicamente podrán prestar el consentimiento personas cap aces y Pa gina 211
Derecho Penal Informa tico ACTIVIDAD PROCESAL
ARTÍCULO COIP mayores de edad. Se deberá informar a la persona investigada sobre su derecho a no permitir el registro sin autorización judicial. 3. Las y los servidores de la fuerza pública, sin que medie orden judicial, como una actividad de carácter preventivo o investigativo, podrán realizar el control de identidad y registro superficial de personas con estricta observancia en cuanto a género y respeto de las garantías constitucionales, cuando exista una razón fundamentada de que la persona oculta en sus vesti mentas cualquier tipo de arma que pueda poner en riesgo la seguridad de las personas o exista la presunción de que se cometió o intentó cometer una infracción penal o suministre indicios o evidencias útiles para la investigación de una infracción. Artículo 499. - Reglas generales de la prueba documental. - La prueba documental se regirá por las siguientes reglas:
Petición de Información
2. La o el fiscal o la o el defensor público o privado, podrá requerir informes sobre datos que consten en registros, archivos, incluyendo los informáticos, que se valorarán en juicio.
6.4.- Valides de la Evidencia Digital ( Código Orgánico Integral Penal, Ley de Comercio Electrónico y Código Orgánico de la Función Judicial) PRINCIPIO PRINCIPIO DE EQUIVALENCIA FUNCIONAL, basado en un análisis de los objetivos y funciones del requisito tradicional de la presentación de un escrito consignado sobre papel con miras a determinar la manera de Dr. Santiago Acurio Del Pino
NORMA LEGAL Artículo 2.- Reconocimiento jurídi co de los mensajes de datos. -LCE. Los mensajes de datos tendrán igual valor jurídico que los documentos escritos. Su eficacia, valoración y efectos se someterá al cumplimiento de lo Pa gina 212
Derecho Penal Informa tico PRINCIPIO satisfacer los objetivos y funciones del comercio telemático, es decir es la función jurídica que cumple la instrumentación escrita y autógrafa respecto a todo acto jurídico, o su expresión oral, la cumple de igual forma la instrumentación electrónica a través de un mensaje de datos, con independencia del contenido, extensión, alcance y finalidad del acto así instrumentado ” 266. En otras palabras, la equivalencia funcional permite aplicar a los soportes informáticos un principio de no discriminación respecto de las declaraciones de voluntad, independientemente de la forma en que hayan sido expresadas: los mismos efectos que surte la manifestación de la voluntad instrumentada a través de un documento en papel, deben producirse independientemente del soporte 267 utilizado en su materialización
NORMA LEGAL establecido en esta Ley reglamento.
y
su
Artículo 500.- Contenido digital. COIP. El contenido digital es todo acto informático que representa hechos, información o conceptos de la realidad, almacenados, procesados o transmitidos por cualquier medio tecnológico que se preste a tratamiento informático, incluidos los prog ramas diseñados para un equipo tecnológico aislado, interconectado o relacionados entre sí. Art. 196.- Producción de la prueba documental en audiencia. COGEP. Para la producción de la prueba documental en audiencia de juicio se procederá de la siguiente m anera:
3. Las fotografías, grabaciones, los elementos de pruebas audiovisuales, computacionales o cualquier otro de carácter electrónico apto para producir fe, se reproducirán también en su parte pertinente en la audiencia y por cualquier medio idóneo par a su percepción por los asistentes. MENSAJES DE DATOS CO MO Artículo 499. - Reglas generales de la MEDIO DE PRUEBA: procedimiento prueba documental. - COIP. La que establece la Ley para ingresar un prueba documental se regirá por las elemento de prueba en el proceso siguientes reglas: 6. Podrá admitirse como medio de prueba todo contenido digital conforme con las normas de este Código. Artículo 53. - Medios de prueba. LCE. Los mensajes de datos, firmas 266 R I N C O N C A R D E N A S , E r i c k . M a n u a l d e D e r e c h o y C o m e r c i o E l e c t r ó n i c o e n I n t e r n e t . C e n t r o E d i t o r i a l d e la Universidad del Rosario. 2006. Bogotá Colombia. 267 I L L E S C A S O R T I Z , R a f a e l . L a E q u i v a l e n c i a f u n c i o n a l c o m o P r i n c i p i o e l e m e n t a l d e l d e r e c h o d e l c o m e r c io electrónico en “Derecho y Tecnología”. Universidad Católica de Táchira No. 1 julio y diciembre 2002.
Dr. Santiago Acurio Del Pino
Pa gina 213
Derecho Penal Informa tico PRINCIPIO
NORMA LEGAL electrónicas, documentos electrónicos y los certificados electrónicos nacionales o extranjeros, emitidos de conformidad con esta Ley, cualquiera sea su procedencia o generación, serán considerados medios de prueba. Para su valoración y efectos legales se observará lo dispuesto en el Código de Procedimiento Civil. Art. 202. - Documentos digitales. COGEP. Los documentos producidos electrónicamente con sus respectivos anexos, serán considerados originales para todos los efectos legales. Las reproducciones di gitalizadas o escaneadas de documentos públicos o privados que se agreguen al expediente electrónico tienen la misma fuerza probatoria del original. Los documentos originales escaneados, serán conservados por la o el titular y presentados en la audiencia d e juicio o cuando la o el juzgador lo solicite.
VALIDEZ DE LAS ACTUA CIONES PROCESALES POR MEDIO DE LAS TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN: Esta disposición del Código Orgánico de la Función Judicial ratifica el principio de equivalencia funcional existente en la Ley de Comercio Electrónico. Las características esenciales mensaje de datos son:
del
Es una prueba de la existencia y naturaleza de la voluntad de las partes de comprometerse; •
Dr. Santiago Acurio Del Pino
Podrá admitirse como medio de prueba todo contenido digital conforme con las normas de este Código. Art. 147.- VALIDEZ Y EFICACIA DE LOS DOCUMENTOS ELECTRÓNICOS. Tendrán la validez y eficacia de un documento físico original los archivos de documentos, mensajes, imágenes, bancos de datos y toda aplicación almacenada o transmitida por medios electrónicos, informáticos, magnéticos, ópticos, telemáticos, satelitales o producidos por nuevas tecnologías, destinadas a la tramitación judicial. Ya sea que contengan actos o resoluciones judiciales. Igualmente, los reconocimientos de firmas en documentos o la identificación de nombre de usuario, contraseñas, claves, utilizados para acceder a redes informáticas. Todo lo cual, siempre que cumplan con los procedimientos establecidos Pa gina 214
Derecho Penal Informa tico PRINCIPIO • Es un documento legible que puede ser presentado ante las Entidades públicas y los Tribunales; • Admite su almacenamiento e inalterabilidad en el tiempo; facilita la revisión y posterior auditoria para los fines contables, impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los intervinientes y, • Es accesible para su ulterior consulta, es decir, que la información en forma de datos computarizad os es susceptible de leerse e interpretarse.
NORMA LEGAL en las leyes de la materia. Las alteraciones que afecten la autenticidad o integridad de dichos soportes les harán perder el valor jurídico que se les otorga en el inciso anterior, sin perjuicio de la responsabilidad penal en caso de que constituyan infracción de esta clase. Todas las disposiciones legales que, sobre la validez y eficacia en juicio de los documentos que se hallan contenidas en el Código Civil, Código de Procedimiento Civil, Código de Procedimiento Penal, Ley de la Jurisdicción Contencioso Administrativa, Código Tributario y otros cuerpos legales, se interpretarán de conformidad con esta norma, salvo los casos de los actos y contratos en que la ley exige de la solemnidad del instrumento público, en que se estará a lo prevenido por el artículo 1718 del Código Civil. Cuando una jueza o juez utilice los medios indicados en el primer párrafo de este artículo, para consignar sus actos o resoluciones, los medios de protección del sistema resultan suficientes para acreditar la autenticidad, aunque no se impriman en papel ni sean firmados, pero deberán ser agregados en soporte material al proceso o archivo por el actuario de la unidad. Las autoridades judiciales podrán utilizar los medios referidos para comunicarse oficialmente entre sí, remitiéndose informes, comisiones y cualquier otra documentación. El Consejo de la Judicatura dictará los reglamentos necesarios para normar el envío, recepción, trámite y almacenamiento de los citados medios; para garantizar su seguridad, autenticidad e integridad; así como para posibilitar el acceso del público a la información contenida en las bases de datos, conforme a la ley.
7.- Claves para hacer efectivo el Testimonio experto. Las investigaciones por delitos informáticos, si bien es cierto requieren
Dr. Santiago Acurio Del Pino
Pa gina 215
Derecho Penal Informa tico de conocimientos adicionales y de una buena preparación, el testificar 268 dentro de un proceso penal para los investigadores en esta área, es igual que testificar en un caso de robo o en un homicidio, esta clase de prueba es común en los casos Penales, y de acuerdo al COIP, los peritos sustentaran ora lmente los resultados de sus peritajes y responderán al interrogatorio y al contra interrogatorio de los sujetos procesales 269. Hay que recordar que el COIP señala en su Art. 454 que las investigaciones y pericias practicadas durante la investigación alcanz aran el valor de prueba una vez que sean presentadas e incorporadas y valoradas en la audiencia de juicio, es así que el testimonio de los testigos expertos deberá ser analizado y presentado en la audiencia correspondiente a menos que en la etapa de evalua ción y preparatoria de juicio se lleguen a acuerdos probatorios sobre los informes y la comparecencia de los peritos a que rindan sus testimonios 270.
7.1.- Primer paso: Calibrar el nivel de conocimientos del Fiscal en temas de Delitos Informáticos. Es necesario entender que el Investigador y el Fiscal conforman un grupo de trabajo, un equipo destinado a resolver un delito, pues su trabajo debe ser coordinado, en ese orden de ideas es necesario que Investigador y Fiscal estén en la misma página de la investigación. Es por tanto necesario evaluar el conocimiento técnico que el Fiscal posee, ya que, si el éste no comprende cómo y dónde el investigador halló la evidencia, es Fiscal no sabrá el significado de ese elemento de convicción, lo que provocará qu e éste no podrá sacar un testimonio efectivo del investigador. Por ende, si un testimonio no presenta la efectividad necesaria para probar un hecho o si este es confuso, el abogado de la defensa tendrá la oportunidad de atacar esa confusión y crear una dud a en la mente del juzgador o el Tribunal Penal, lo que podría terminar con su exclusión. Es la misión del Fiscal el presentar la evidencia recolectada por el investigador dentro del juicio, esto se lo debe hacer de manera comprensible a fin de que la evid encia presentada persuada al Juez o Tribunal de la existencia de un delito y de la culpabilidad del acusado. Por tanto , el Fiscal debe conocer y entender la evidencia los suficiente para explicar a cualquiera su efectividad, no dejando vacíos para que el abogado defensor los explote, haciendo que la evidencia presentada sea confiable y digna de credibilidad más allá de cualquier duda razonable. La compresión por parte del Fiscal de la evidencia recolectada por el Investigador, le ayudará a formar su teoría del caso, y posteriormente a sostenerla frente un tribunal de justicia. 268 E s n e c e s a r i o r e c o r d a r q u e e l C ó d i g o I n t e g r a l P e n a l e n s u A r t í c u l o 5 0 2 y 5 0 3 h a b l a n s o b r e l a s r e g l a s generales que se deben considerar en el caso de la prueba testimonial. 269 A r t . 5 0 5 d e l C ó d i g o I n t e g r a l P e n a l , e n c o n c o r d a n c i a c o n e l A r t . 7 6 , n u m e r a l 7 , l i t e r a l J d e l a Constitución de la República. 270 A r t . 6 0 4 . 4 . d d e l C ó d i g o I n t e g r a l P e n a l
Dr. Santiago Acurio Del Pino
Pa gina 216
Derecho Penal Informa tico En orden a trabajar efectivamente como un equipo de trabajo el investigador y el fiscal deben hablar el mismo idioma, pues los fiscales deben tener un conocimiento básico de informát ica y su terminología, de igual forma de conocer sobre las herramientas que se utilizan dentro de la investigación. De otro lado el investigador debe conocer las normas procesales y legales que rigen su participación dentro de un proceso penal, así como el los deben ofrecer su testimonio dentro de un juicio. Es necesario que el Fiscal y el Investigador practiquen juntos la forma en la cual se va a producir el testimonio dentro del juicio.
7.2.- Segundo Paso: discutir el caso con el Fiscal. Como ya se mencion ó en líneas anteriores es necesario antes de la etapa de Juicio, que el Investigador y el Fiscal discutan sobre el caso en forma general y particularmente sobre su testimonio. Esto con la finalidad de pulir el testimonio del investigador y también para def inir la estrategia a utilizar en contra de los posibles ataques del abogado de la defensa. Este simulacro nos brindará ideas sobre si el investigador está suficientemente preparado para testificar. Es necesario que Fiscal e Investigador revisen juntos el informe presentado por este último, a fin de que el Fiscal este claro que encontrará todas las respuestas necesarias para probar los hechos controvertidos en el proceso, también servirá para encontrar los puntos donde el abogado de la defensa enfocará sus cuestionamientos sobre el informe del investigador, por tanto el trabajo del Fiscal es contrarrestar esos cuestionamientos y así minimizar los efectos de la defensa sobre el testimonio del investigador. El testimonio tiene que estar dirigido a probar la t eoría del caso propuesta por el Fiscal debe ser pertinente, por tanto la forma de cómo este se debe presentar, deberá corresponder a la estrategia que use el acusado en el juicio, es decir que el testimonio experto del investigador va a depender también de la astucia de la defensa al proponer su alegato de apertura, por tanto el trabajo del Fiscal es desvirtuar esas alegaciones, mediante la práctica de pruebas idóneas para comprobar la existencia de la infracción y la responsabilidad del acusado.
7.3.- Tercer Paso: Calibrar a la Defensa. Al igual que los Fiscales, los Defensores deben tener un nivel de experticia en estos casos, a fin de presentar la mejor defensa, pero en la mayoría de los casos los abogados defensores no poseen el conocimiento necesario e n temas de delitos informáticos o en el manejo de la evidencia digital, por tanto su defensa va encaminada a desacreditar por ejemplo la orden judicial de incautación o de allanamiento solicitada dentro del proceso calificándolas de ilegales o aduciendo vicios en las formalidades de dichas medidas cautelares. Otra defensa es negar que el acusado haya colocado o puesto la evidencia digital en la computadora o en el dispositivo de almacenamiento recuperado de la escena del delito, también atacan a las herrami entas que usó el investigador para recupera la evidencia digital, que los métodos usados no son confiables, y que es imposible saber cuál es Dr. Santiago Acurio Del Pino
Pa gina 217
Derecho Penal Informa tico funcionamiento de los instrumentos usados por el investigador. En este caso es necesario que el investigador al mo mento de presentar su testimonio como experto, explique en palabras no técnicas cuales son las funciones de los programas y los equipos que se utilizaron para recabar o recobrar la evidencia materia del juicio. Se debe explicar su trabajo y la forma de hac erlo, es como si lo explicaría a su familia, a su tío o a su abuelo, a fin de desmitificar y aclarar el trabajo técnico y profesional que usted hace de forma clara y precisa, esto lo convertirá a usted en un mejor testigo.
7.4.- Cuarto Paso: Revisar los In formes Lo único que necesita el Investigador para dar su testimonio es revisar sus informes, previo al juicio. Esta actividad no debe verse con ligereza ya que el revisar el informe de forma minuciosa refrescará la memoria del investigador y le ayudará a dar un mejor testimonio. Tenga en cuenta que su informe también será revisado por el abogado defensor que tratará de hacerlo caer si el informe tiene alguna inconsistencia, por eso es necesario revisar esos informes a fin de cubrir todos los puntos presenta dos en el mismo, dándoles al investigador y al fiscal una ventaja sobre el acusado y su defensor.
7.5.- Quinto Paso: Preséntese usted mismo como un testigo confiable. Siempre tenga en cuenta que no existe una manera correcta o incorrecta de testificar, todo el mundo rinde testimonio bajo su propio estilo, lo que siempre hay que considerar es que su testimonio debe ser creíble para el juez o el Tribunal, mientras esto ocurra su testimonio será bueno. Por tanto, como parte de la conversación con el Fiscal, el investigador debe solicitar consejo a éste a fin de lograr un testimonio efectivo dentro del juicio. Algunos abogados se fijan en diferentes aspectos de los juicios en los que participan, esta experiencia puede servir de mucho al momento de brindar su tes timonio, pues no tema en preguntar, siempre hay algo nuevo que aprender para realizar nuestro trabajo de mejor manera. La más común de las reglas sobre cómo se debe testificar en un proceso judicial es en primer lugar poner atención a la pregunta que hace el Fiscal o el abogado defensor, luego responder la misma de la mejor manera posible. Luego de que la pregunta fue hecha, uno tiene que tomarse su tiempo para responderla, a fin de ordenar las ideas y pensamientos antes de contestar. Esto sirve a dos prop ósitos, el primero evitar una respuesta imprecisa y vaga que nos ponga en una situación comprometida y la segunda que esta imprecisión da a los abogados la oportunidad de objetar nuestra respuesta, haciendo que el interrogatorio sea más mordaz. 7.5.1.- Examinación Directa En la examinación directa, el ideal es desarrollar una buena relación con el Fiscal, pues escuche bien las preguntas de éste y responda lo mejor posible. Sus respuestas deberían llenar las expectativas del Fiscal, son preguntas abiertas q ue Dr. Santiago Acurio Del Pino
Pa gina 218
Derecho Penal Informa tico deben permitirle al investigador poder contar su historia de una manera satisfactoria y completa, tratando que cada respuesta sea lo más descriptiva posible. No siempre se puede hacer de esta forma, pero el fiscal debe esforzarse en hacerlas de este modo. La mayoría de los fiscales buscan dirigir con sus preguntas a los testigos, esto se hace con el propósito de que las respuestas conduzcan a probar un hecho en particular, (siempre que esto sea considerado apropiado por el juez o tribunal), esta práctica en algunas ocasiones parece un poco planeada, si uno no está seguro acerca de esto debe preguntarle al fiscal. Siempre hay que tener en mente que el hecho de testificar en un proceso judicial si empre lleva al testigo a un momento de ansiedad y nervios, cosa que es normal en estos procedimientos, pero un debe cumplir con su objetivo que es el de testificar sobre el trabajo realizado sobre sus métodos y prácticas lo más didáctico es descriptivo pos ible y siempre contestar las preguntas de manera verosímil. 7.5.2.- El contra examen Un principio cardinal del proceso acusatorio es el contra examen, por tanto, el testigo debe estar preparado a recibir el contra examen del abogado defensor, quien lo int errogará con preguntas cerradas parecidas a “diga cómo es verdad que lo que usted dijo no está en su informe ” o “diga cómo es verdad que usted no fotografió la pantalla de la computadora antes de empezar su trabajo ”. Este tipo de preguntas hacen que los in vestigadores quieran de una manera irresistible tratar de justificar su trabajo o lo que hicieron en el caso, ofreciendo información que nunca fue requerida por el interrogatorio del abogado de la defensa, esto es un error que puede resultar catastrófico d entro del proceso. El investigador debe resistir la tentación de contestar este tipo de preguntas, la información que se provee voluntariamente a fin de justificar un hecho abre la posibilidad a la defensa de preguntar en el contra examen haciendo que el testimonio del investigador no tenga la fuerza requerida y este se diluya dentro del juicio. De otro lado el fiscal debe estar atento a la s respuestas del investigador a fin de clarificar o aclarar estás, haciendo un contra examen cuando crea que el asunto es importante. Hay que tomar en cuenta que el abogado de la defensa no es nuestro enemigo, simplemente él hace su trabajo, y el contra examen debe ser visto por el testigo experto como una oportunidad de educar y aclarar las dudas, una manera de buscar la verdad de los hechos que el investigador observo y realizo en la escena del delito. Si el investigador permite al abogado de la defensa iniciar una disputa a través de su interrogatorio, la credibilidad del investigador sufrirá al considerar su actitud po co profesional, de igual forma no es una buena forma de contestar las preguntas de la defensa, mostrando un exagerado conocimiento técnico, eso hará que se le trate como un testigo hostil, y si bien sus respuestas sean correctas el Juez o el Tribunal puede que desdeñen de su actitud.
Dr. Santiago Acurio Del Pino
Pa gina 219
Derecho Penal Informa tico 7.6.- Sexto Paso: Que el árbol no les impida ver el bosque. La efectividad y pertinencia del testimonio requiere que se sigan los pasos previamente discutidos, esto también hace necesario que el investigador en su rol de testigo experto debe comprender como su testimonio calza en la teoría del caso expuesta por el Fiscal en su alegato de apertura. Es por tanto necesario que dicho testimonio sea una parte más del rompecabezas que al final mostrará la realidad de los hechos como s i fuera una gran pintura en la que se observaría claramente lo sucedido dentro del juicio. Es en consecuencia el testimonio en sí mismo no es un fin para el testigo, es un medio para lograr un fin concreto, el cual es descubrir la verdad material, el descu brir la realidad de los hechos. El investigador debe comprender y entender la teoría del caso que tiene el Fiscal y la que tiene el abogado de la defensa, el investigador tiene que tener la capacidad de abstracción suficiente para saber cuál es su pieza e n dentro del rompecabezas del proceso, y ver a ese rompecabezas como un todo. Se debe desarrollar una buena comprensión del caso como investigador, a fin de ayudar a la Fiscalía a encontrar la mejor forma de ofrecer su testimonio como prueba dentro del juicio, este debe ser admisible y relevante, logrando comunicar eficientemente los eventos y los actos controvertidos dentro del proceso. Esto ayuda también anticipar las preguntas que hará el abogado de la defensa durante el interrogatorio. Un ejemplo sería , cuando la defensa del acusado se basa en su incapacidad mental, en su demencia, lo que haría que el acusado fuera inimputable del delito cometido, en este caso la mayoría de los abogados nunca impugnarían el protocolo que el investigador siguió en la bús queda de la evidencia digital dentro de la computadora del acusado. El comprender la teoría del caso presentada por la defensa, permitirá al investigador y al Fiscal rebatir esa teoría por incapacidad. Esto se logra como ya se señaló anteriormente con un t rabajo en equipo, es así que el investigador testificará sobre el orden que tenían los mensajes de datos dentro de la computadora del acusado, demostrando así la existencia de una racionalidad al crear dichos mensajes y luego almacenarlos. De igual forma s i existieran archivos o mensajes ocultos o borrados, lo que indicaría que el acusado sabía lo que hacía, aún más si uso algún tipo de herramienta, demostrando así que no estaba demente o incapacitado mentalmente al momento de la comisión del delito que se juzga.
7.7.- Corolario En resumen, el investigador debe prepararse muy bien antes de brindar su testimonio, debe conseguir con dicha preparación que sus respuestas sean efectivas y ayuden al trabajo de la Fiscalía o la defensa dependiendo del punto de vista del trabajo del investigador, convirtiéndolo en un excelente testigo experto. El testificar dentro de juicios por delitos informáticos o en aquellos en donde exista abundante evidencia digital, requiere las mismas habilidades que hacerlo en cualquier ot ro caso. Es importante que el investigador aprenda indudablemente a comunicarse con las partes procesales, a explicar en términos comprensibles su trabajo y sus hallazgos dentro de la escena del delito, deben Dr. Santiago Acurio Del Pino
Pa gina 220
Derecho Penal Informa tico colaborar con el Fiscal del caso o Abogado Defe nsor según el caso, lo debe asesorar y guiar en los asuntos en donde se involucre la tecnología. Debe conocer profundamente la teoría del caso presentada por la fiscalía y la d efensa, y así ofrecer de la mejor manera su experticia durante la examinación di recta y el contra examen durante el interrogatorio, colaborando efectivamente con el Fiscal y anticipando las preguntas de la defensa.
8.- Roles en la Investigación La investigación científica de una escena del crimen es un proceso formal, donde el investi gador forense, documenta y adquiere toda clase de evidencias, usa su conocimiento científico y sus técnicas para identificarla y generar indicios suficientes para resolver un caso. Es por tanto necesario dejar en claro cuáles son los roles y la participaci ón que tiene ciertas personas dentro de una escena del crimen de carácter informático o digital, estas personas son: 1. TÉCNICOS EN ESCENAS DEL CRIMEN INFORMÁTI CAS, también llamados FIRST RESPONDENDERS, son los primeros en llegar a la escena del crimen, son los encargados de recolectar las evidencias que ahí se encuentran. Tiene una formación básica en el manejo de evidencia y documentación, al igual que en reconstrucción del delito, y la localización de elementos de convicción dentro de la red. 2. EXAMINADORES DE EVIDENCIA DIGITAL O INFORMÁTICA, que son los responsables de procesar toda la evidencia digital o informática obtenida por los Técnicos en Escenas del Crimen Informáticos. Para esto dichas personas requieren tener un alto grado de especialización en el área de sistemas e informática. 3. INVESTIGADORES DE DE LITOS INFORMÁTICOS , que son los responsables de realizar la investigación y la reconstrucción de los hechos de los Delitos Informáticos de manera general, son personas que tiene un entrenamiento general e n cuestiones de informática forense, son profesionales en Seguridad Informática, Abogados, Policías, y examinadores forenses. Es importante señalar que cada una de estas categorías o personas tienen un rol definido dentro del proceso penal acusatorio, y p or ende en la lucha contra el cibercrimen y el delito informático, desde el sector privado hasta la policía judicial, y últimamente por el Fiscal. El camino ideal o la vía correcta que deben seguir los eventos tras un incidente informático, debe iniciar cu ando en una institución ya sea privada o pública se descubre un incidente con caracteres de delito, este hecho debe ser inmediatamente informado a las autoridades competentes para realizar la investigación, es decir la Fiscalía General del Estado y la Policía Judicial, quienes luego de la investigación, estarán en la posibilidad de perseguir a los responsables del cometimiento de dicho incidente a través de la formulación de los cargos respectivos en una audiencia ante el juez de garantías, y posteriormente terminará en un Juicio ante el Tribunal Penal. El Fiscal al buscar su equipo de trabajo debe tener en cuenta que tanto Dr. Santiago Acurio Del Pino
Pa gina 221
Derecho Penal Informa tico en la Policía Judicial como en el equipo de investigadores civiles pertenecientes a la Dirección de Investigaciones de la Fiscalía General encontraremos tres niveles de entrenamiento, lo que permitirá al Fiscal como director de la investigación el poder elegir entre sus colaboradores el perfil más adecuado para el caso. Estos pueden ser los siguientes: NIVEL UNO NIVEL DOS NIVEL TRES
Adquisición de eviden cia digital y su resguardo Manejo de casos de delitos informáticos y cibercrimenes. Conocimiento de la terminología técnica y lo que se puede obtener de la evidencia digital Especialistas en recuperar evidencia digital a través de programas forenses, entrenados en informática forense. Instructor calificado.
Esta serie de pasos y de instancias son parte del debido proceso, y por tanto tienen apego a las normas constitucionales y legales, creando una serie de pasos que se unen unos a otros creando una cadena irrompible. En este punto siempre hay que recordar que todos los ciudadanos en nuestro país tienen derechos constitucionales y uno de ellos es el derecho a la intimidad y al secreto de las comunicaciones, por tanto cuando sucede n incidentes que revisten caracteres de delitos dentro de instituciones privadas y públicas, los investigadores tienen que tomar en cuenta que los empleados y funcionarios sospechosos gozan de las garantías antes mencionadas, por tanto todo acto de investigación (elemento de convicción) que requiera información relacionada al intercambio de mensajes de datos ya sea por medio del correo electrónico, el chat o de conversaciones telefónicas o sus datos de tráfico, es necesario contar con la correspondiente ord en judicial 271. Caso contrario los investigadores tendrán responsabilidad sobre estas acciones, ya que serán responsables más allá de las órdenes emanadas por sus superiores, o por los consejos erróneos que ciertos consejeros legales proporcionan en estos ca sos. En conclusión, el personal de TI y los investigadores deben tener precaución al tratar con la intimidad y privacidad de los empleados o funcionarios de una empresa privada o institución del estado, teniendo en cuenta las normas constitucionales y lega les. Ya que estas deben estar informadas de las acciones que en nombre de la institución realizan los investigadores de esta clase de incidentes, ya que si bien la responsabilidad penal es personal, la persona jurídica como tal se vería inmersa en un incid ente por violación de las garantías constitucionales de sus empleados, lo que puede causar su responsabilidad civil o penal 272 frente a esos actos, situación que impondría un serio revés a la imagen corporativa de dicha empresa o institución, constituiría un a mancha que no se olvidaría en mucho tiempo.
271 T o d a p r u e b a o e l e m e n t o d e c o n v i c c i ó n o b t e n i d o s c o n v i o l a c i ó n a l o s d e r e c h o s e s t a b l e c i d o s e n l a Constitución, en los instrumentos internacionales de derechos humanos o en la Ley, carecerán de eficacia probatoria, por lo que deberán excluirse del Proceso. Art. 454.6 del Código Integral Penal. 272 L a r e s p o n s a b i l i d a d p e n a l d e l a p e r s o n a j u r í d i c a s e e n c u e n t r a e n e l A r t . 4 9 d e l C O I P
Dr. Santiago Acurio Del Pino
Pa gina 222
Derecho Penal Informa tico También hay que tener presente que todas las personas que intervienen en este tipo de investigaciones podrían tener un grado de responsabilidad durante la realización de su trabajo, ya sean investigadores den tro del sector privado, o de la Policía Judicial, y hasta la Fiscalía. Es por tanto necesario conocer cuál es el rol de cada uno de los participantes, a fin de que no existan malos entendidos y falta de comunicación.
8.1.- Peritos Informáticos Por otro lado, se hace indispensable para la valoración de las pruebas o elementos de convicción la intervención de personas que tengan especiales conocimientos en materias especiales en este caso de la materia informática, personas que prestan un servicio especial al Fiscal y al Juez al momento ilustrar sobre las materias, técnicas o artes que son de su conocimiento, a fin de dichos funcionarios en función de dichas explicaciones puedan emitir su criterio en el momento adecuado (Dictamen Fiscal o la Sentencia) De acuerdo a lo que dispone el Art. 511 del Código Orgánico Integral Penal, “son profesionales expertos en el área, especialistas titulados o con conocimientos, experiencia o experticia en la materia y especialidad, acreditados por el Consejo de la Judicatura .” Peritos son las personas que por disposición legal y encargo Judicial o de la Fiscalía aportan con sus conocimientos los datos necesarios para que el Juez, el Fiscal o la Policía Judicial adquieran un grado de conocimiento para determinar las circunstancias en que se cometió una infracción. En otras palabras, el conocimiento del perito suple al del juez y el fiscal en cierta área del conocimiento del cual estos no son expertos, pues el perito entrega los elementos de convicción que permitan al operador de justicia crear un razonamiento que desemboque en la resolución del caso propuesto, en fin , aportan elementos que tanto el Fiscal como el Juez valoraran al emitir su resolución. Jeim y Cano llama a los peritos informáticos forenses: “investigadores en informática” y los define como “profesionales que contando con un conocimiento de los fenómenos técnicos en informática, son personas preparadas para aplicar procedimientos legales y técnicamente válidos para establecer evidencias en situaciones donde se vul neran o comprometen sistemas, utilizando métodos y procedimientos científicamente probados y claros que permitan establecer posibles hipótesis sobre el hecho y contar con la evidencia requerida que sustente dichas hipótesis” 273 Las condiciones que deben reu nir las personas para ser peritos son : a. Ser profesional especializado y calificado por la Fiscalía, poniendo a salvo un criterio, que es aquel de que no necesariamente el perito es un profesional en determinada rama, sino una persona experta o especializa da en su 273 C A N O J e i m y , E s t a d o d e l A r t e d e l P e r i t a j e I n f o r m á t i c o e n L a t i n o a m é r i c a . A L F A - R E D I , 2 0 0 5
Dr. Santiago Acurio Del Pino
Pa gina 223
Derecho Penal Informa tico respectivo campo de determinada materia. El Código de Procedimiento Penal faculta para que en ciertos casos de lugares donde se vaya a realizar una diligencia no existan peritos habilitados, el Fiscal nombrará a personas mayores de edad, de recono cida honradez y probidad que tengan conocimientos sobre la materia que van a informar. b. Mayores de edad, los peritos deben tener la mayoría de edad que en nuestro país se fija en 18 años, porque a esa edad la persona ha alcanzado la madurez psicológica ne cesaria para prestar esta clase de asesoramiento a la Administración de Justicia. c. Reconocida honradez y probidad, en cuanto a la calidad moral del perito, de proceder recto, íntegro y honrado en el obrar, el perito es un personaje esencialmente imparcial que cumple con su cometido y se desvincula del proceso. d. Conocimientos específicos en la materia sobre la que debe informar, es decir los necesarios y específicos conocimientos para cumplir su cometido. La pericia es un medio de prueba específicamente mencionado por la Ley procesal, “con el cual se intenta obtener para el proceso, un dictamen fundado en especiales conocimientos científicos, técnicos o artísticos, útil para el descubrimiento o valoración de un elemento de prueba ”. Un informe pericial, sus conclusiones u observaciones no son definitivos ni concluyentes, la valoración jurídica del informe pericial queda a criterio del Fiscal, Juez penal o Tribunal penal, quienes pueden aceptarlo o no con el debido sustento o motivación. Se fundamenta en la necesidad de suplir la falta de conocimiento del Juez o del Fiscal, porque una persona no puede saberlo todo, sobre todo en un mundo tan globalizado, donde las ciencias se han multiplicado y diversificado, así como los actos delictivos. El informe pericial se configura como un medio de carácter científico mediante el cual se pretende lograr que el juez pueda apreciar y valorar los hechos del caso en análisis, es decir se trata de explicar una realidad que, por no ser obvia, necesita la interpretación de l perito, en el caso de los delitos informáticos o de cualquier clase de delitos será la valoración científica de la evidencia digital. Por ello el juez, de esa forma, tendrá conocimiento de su significación, siempre y cuando tales conocimientos sean útile s, provechosos u oportunos. Es así que “valorar” una prueba significa otorgarle la credibilidad que se merece, atendiendo al sistema de valoración establecido por el legislador en el Código Orgánico Integral Penal. Es así que mediante el medio de prueba el juez adquiere una serie de conocimientos sobre los hechos objeto juzgamiento. Estos conocimientos permiten, correctamente interpretados y valorados, llegar a una conclusión acerca de la existencia de los hechos alegados por las partes (hechos sobre la exi stencia Dr. Santiago Acurio Del Pino
Pa gina 224
Derecho Penal Informa tico material de la infracción, la responsabilidad de la persona procesada, y la reparación integral). El Perito debe regirse por los siguientes principios: 1. OBJETIVIDAD: El perito debe ser objetivo, debe observar los códigos de ética profesional. 2. AUTENTICIDAD Y CONSE RVACIÓN: Durante la investigación, se debe conservar la autenticidad e integridad de los medios probatorios . 3. LEGALIDAD: El perito debe ser preciso en sus observaciones, opiniones y resultados, conocer la legislación respecto de sus acti vidades periciales y cumplir con los requisitos establecidos por ella . 4. IDONEIDAD: Los medios probatorios deben ser auténticos, ser relevantes y suficientes para el caso. 5. INALTERABILIDAD: En todos los casos, existirá una cadena de custodia debidamente asegurada que demuestre que los medios no han sido modificados durante la pericia. 6. DOCUMENTACIÓN: Deberá establecerse por escrito los pasos dados en el procedimiento pericial . Estos principios deben cumplirse en todas las pericias y por todos los peritos involucrados El Perito Informático Forense según la opinión del Profesor Jeim y requiere la formación de un perito informático integral que, siendo especialista en temas de Tecnologías de información, también debe ser formado en las disciplinas jurídicas, criminalísticas y forenses. En este sentido, el perfil que debe mostrar el perito informático es el de un profesional híbrido que no le es indiferente su área de formación profesional y las ciencias jurídicas. Cano 274
Con esto en mente se podría sugerir un conju nto de asignaturas y temas (básicos) que no pueden perderse de vista al formar un perito informático general, el cual debe tener por lo menos una formación en: 1. ÁREA DE TECNOLOGÍAS DE INFORMACIÓN ELECTRÓNICA: • Lenguajes de programación • Teoría de sistemas operacionales y sistemas de archivo • Protocolos e infraestructuras de comunicación • Fundamentos de circuiros eléctricos y electrónicos • Arquitectura de Computadores 2. FUNDAMENTO DE BASES DE DATOS SEGURIDAD DE LA FORMACIÓN: • Principios de Seguridad de la Info rmación
ÁREA
Y
DE
274 C A N O J e i m y , E s t a d o d e l A r t e d e l P e r i t a j e I n f o r m á t i c o e n L a t i n o a m é r i c a . A L F A - R E D I , 2 0 0 5
Dr. Santiago Acurio Del Pino
Pa gina 225
Derecho Penal Informa tico • • • • • • • •
Políticas estándares y procedimientos en Seguridad de la Información Análisis de vulnerabilidades de seg uridad informática Análisis y administración de riesgos informáticos Recuperación y continuidad de negocio Clasificación de la información Técnicas de Hacking y vulneración de sistemas de información Mecanismos y tecnologías de seguridad info rmática Concientización en seguridad informática
3. • • • • • •
ÁREA JURÍDICA: Teoría General del Derecho Formación básica en delito informático Formación básica en protección de datos y derechos de autor Formación básica en convergencia tecnológica Formación básica en evidencias digital y p ruebas electrónicas Análisis comparado de legislaciones e iniciativas internacionales
4. • • • • • • •
ÁREA DE CRIMINALÍSTI CA Y CIENCIAS FORENSES: Fundamentos de conductas criminales Perfiles psicológicos y técnicos Procedimientos de análisis y valoración de pruebas Cadena de custodia y control de evidencias Fundamentos de Derecho Penal y Procesal Ética y responsabilidades del Perit o Metodologías de análisis de datos y presentación de informes
5. ÁREA DE INFORMÁTICA FORENSE: • Esterilización de medios de almacenamiento magnético y óptico • Selección y entrenamiento en software de recuperación y análisis de datos • Análisis de registros de auditoría y control • Correlación y análisis de evidencias digitales • Procedimientos de control y aseguramiento de evidencias digitales • Verificación y validación de procedimientos aplicados en la pericia forense. Establecer un programa que cubra las áreas pr opuestas exige un esfuerzo interdisciplinario y voluntad política tanto de la Fiscalía , del Estado Ecuatoriano y de los Organismos Internacionales y de la industria para iniciar la formación de un profesional que eleve los niveles de confiabilidad y formal idad exigidos para que la justicia en un entorno digital ofrezca las garantías requeridas en los procesos donde la evidencia digital es la protagonista. De lo dicho se colige que el PER ITO INFORMÁTICO cumple un rol Dr. Santiago Acurio Del Pino
Pa gina 226
Derecho Penal Informa tico importante dentro de una investigación p enal. En resumen y siguiendo al Profesor Jeim y J. Cano diremos que el PER ITAJE INFORMÁTICO nace como la respuesta natural de la evolución de la administración de justicia que busca avanzar y fortalecer sus estrategias para proveer los recursos técnicos, ci entíficos y jurídicos que permitan a los operadores de justicia (Función Judicial, Fiscalía General del Estado y Policía Judicial) , alcanzar la verdad y asegurar el debido proceso en un ambiente de evidencias digitales .
9.- Incidentes de Seguridad Cuando se está a cargo de la Administración de Seguridad de un Sistema de Información o una Red, se debe conocer y entender lo que es la Informática Forense, esto en razón de que cuando ocurre un incidente de seguridad, es necesario que dicho incidente sea report ado y documentado a fin de saber qué es lo que ocurrió. No importa qué tipo de evento haya sucedido, por más pequeño e insignificante que pueda ser este debe ser verificado. Esto es necesario a fin de señalar la existencia o no de un riesgo para el sistema informático. Está tarea es de aquellas que es considerada de rutina por los Administradores de un Sistema de Información, pero a pesar de eso, esta tarea puede llevar a un computador en especial dentro de dicho sistema. Es por tanto necesario que los admi nistradores y el personal de seguridad deben conocer los presupuestos básicos del manejo de la evidencia digital, a fin de que sus acciones no dañen la admisibilidad de dicha evidencia dentro de un Tribunal de Justicia, de igual forma deben mostrar la habilidad suficiente para recuperar toda la información referente a un incidente de seguridad a fin de proceder con su potencial análisis. Para el profesor Jorge Ramio, lo más importante dentro de una entidad o empresa es el concepto de “ACTIVO” ya que este t ema es muy importante en la gestión de la seguridad, porque es la base sobre la cual vamos a valorar nuestros bienes, analizar sus vulnerabilidades, evaluar las amenazas, aplicar las contramedidas necesarias y, con ello, establecer políticas de seguridad q ue nos permitan gestionar el riesgo y proteger la información. Un activo es cualquier bien tangible o intangible, que tiene un valor para la organización. Por ejemplo, la información, los equipos, el software, sus instalaciones, las personas, el conocimiento y experiencia de cómo hacer las cosas ( know-how), los productos y/o servicios que ofrece, su reputación, etc. 275 Dentro de la organización es recomendable tener tres áreas o procesos perfectamente definidos que trabajen en el aseguramiento y continuidad de los servicios de TI. Estos pueden ser: •
DEPARTAMENTO DE VALORACIÓN DE VULNERABILIDADES Y MANEJO DE RIESGOS . Que tiene la función por ejemplo de revisar y probar todas las estaciones de trabajo conectadas a la red corporativa en busca de vulnerabilidades, al igual que la integridad del sistema operativo
275 T o m a d o d e h t t p : / / w w w . c r i p t o r e d . u p m . e s / c r y p t 4 y o u / t e m a s / c r i p t o g r a f i a c l a s i c a / l e c c i o n 1 . h t m l
Dr. Santiago Acurio Del Pino
Pa gina 227
Derecho Penal Informa tico
•
•
de cada una y los sistemas de seguridad instalados en las mismas (Antivirus), de igual forma implementaran test de penetración a los equipos y a las redes corporativas para identificar las vulnerabilidades y tener un adecuado manejo de los incidentes. DEPARTAMENTO DE DETECCIÓN DE INTRUSOS Y MANEJO DE INCIDENTES . Este se encarga de detectar los ataques de intrusos, usando para ello, programas de monitoreo automático, así como los informes de Firewalls e IDS conectados a la red. Una vez detectado el ataque externo su labor es corregir este asegurándose obtener la mayor cantidad información sobre la intrusión y así poder documentarlo, reuniendo toda la evidencia necesaria para iniciar las acciones legales corr espondientes. Este departamento también procesa los incidentes internos donde son los usuarios del sistema quienes producen los ataques contra la red. DEPARTAMENTO DE INVESTIGACIÓN DE INCIDENTES . Es el grupo humano que maneja la búsqueda de información de los incidentes de una organización. Conduce el análisis forense de las evidencias.
Un incidente informático en el pasado era considerado como cualquier evento anómalo que pudiese afectar a la seguridad de la información, por ejemplo, podría ser una pérdida de disponibilidad, o integridad o de la confidencialidad, etc. Pero la aparición de nuevos tipos de incidentes ha hecho que este concepto haya ampliado su definición. Actualmente y citando a Miguel López diremos que un Incidente de Seguridad Informática puede considerarse como una violación o intento de violación de la política de seguridad, de la política de uso adecuado o de las buenas prácticas de utilización de los sistemas informáticos 276. En los últimos años se ha puesto de mani fiesto una creciente masificación del uso de Seguridad Informática en los entornos empresariales, pero a pesar de eso y dado que no existe nunca una seguridad total es decir los controles y políticas que se establecen no garantizan el cien por ciento de la seguridad, máximo si consideramos lo que algunos profesionales de la seguridad señalan como la existencia del llamado riesgo humano ( HUMAN R ISK 277) tanto de quienes elaboran las políticas y los controles como también quienes las transgreden. Es por tanto que una amenaza deliberada a la seguridad de la información o de un entorno informático (que se verán más adelante), es una condición de ese entorn o (una persona, una máquina, un suceso o idea) que, dada una oportunidad, podría dar lugar a que se suscite un incidente de seguridad (ataque contra la confidencialidad, 276 L O P E Z D E L G A D O , M i g u e l , A n á l i s i s F o r e n s e D i g i t a l , j u n i o d e l 2 0 0 7 , C R I P O R E D . 277 E l r i e s g o h u m a n o s i e m p r e d e b e c o n s i d e r a r s e d e n t r o d e u n p l a n d e s e g u r i d a d i n f o r m á t i c a , y a q u e siempre nos hemos de hacer la pregunta ¿De qué nos protegemos?, pues la respuesta es nos protegemos de las personas. Es decir, siempre existe un elemento que alienta al ser humano a ir en contra de los atributos funcionales de un sistema informático ( la confidencialidad, la autenticación, el no repudio, la integridad, y el control de acceso) , la ambición por el poder. Este poder reside en los datos y en la información que se encuentra en los actuale s sistemas de información del mundo.
Dr. Santiago Acurio Del Pino
Pa gina 228
Derecho Penal Informa tico integridad, disponibilidad o uso legítimo de los recursos). Con estas consideraciones las instituciones públicas y privadas deben implementar la política de seguridad que más les convenga a sus intereses. De igual forma cumplir con el análisis de riesgos del sistema a fin de identificar con anterioridad las amenazas que han de ser contrarre stadas, la necesidad de esto es vital, ya que estar consciente de las amenazas y los riesgos de un sistema y comprenderlas completamente hará que se aplique los procedimientos de seguridad apropiados para cada caso. La integridad de un Sistema de Informa ción puede verse afectada por la existencia de vulnerabilidades, en tal razón un buen sistema de seguridad informática seguido de la aplicación de los protocolos necesarios (normatividad informática). Harán que la actividad productiva de una empresa o su capital de conocimiento no sean afectados por posibles intentos de explotación de dichas vulnerabilidades (incidentes de seguridad). En este momento es bueno recordar la reflexión del Dr. Jorge Ramio sobre este tema al mencionar que: “Por último, es bueno recordar que la seguridad no es un producto sino un proceso, en el que intervienen todos los aspectos de la tecnología y también las personas, siendo estas últimas por lo general el eslabón más débil de toda la cadena. Aunque pongamos barreras a nuestros s istemas, fortifiquemos nuestras redes, cifremos y firmemos cuando corresponda nuestra información, tengamos adecuados sistemas de copias de seguridad, etc., si no entendemos que la seguridad es un proceso, que debe ser constantemente revisado y actualizado, no estaremos aplicando las correctas políticas de seguridad para proteger nuestro sistema y su información ” 278. En definitiva, para que exista una adecuada protección a los sistemas informáticos y telemáticos se deben conjugar tanto la seguridad informáti ca como la seguridad legal o seguridad de la información y así poder brindar una adecuada protección y tutela tanto técnica como normativa. Es importante por parte de la persona que realiza la implementación tant o de la seguridad informática (t écnico en l a materia), como quien real iza la política de seguridad, (gerente de seguridad y abogado de la e mpresa). Que el diseño del sistema debe hacerse de manera integral y conjunta en orden a poder asegurar una posible investigación en un ambiente técnico y j urídico que dé solución a posibles problemas de seguridad informática y prevención de delitos i nformáticos. En conclusión es necesario que tanto los administr adores del sistema y como los encargados de la seguridad la información, de una empresa o entidad pública, tengan el suficiente entrenamiento y habilidad en el uso de técnicas forenses, esto con la finalidad de que su actuación en un incidente de seguridad cumpla con los estándares de una investigación penal, ya que dicho incidente puede ser el resultado del accionar delictivo de una o varias personas, entonces la investigación de ese hecho saldrá de la empresa afectada para entrar en el campo 278 T o m a d o d e h t t p : / / w w w . c r i p t o r e d . u p m . e s / c r y p t 4 y o u / t e m a s / c r i p t o g r a f i a c l a s i c a / l e c c i o n 1 . h t m l
Dr. Santiago Acurio Del Pino
Pa gina 229
Derecho Penal Informa tico criminal, en donde la Policía Judicial y la Fiscalía la llevarán adelante. Efectivamente, es esencial que el investiga dor forense que está envuelto en la obtención de la evidencia digital comprenda la naturaleza de la información, de su fragilidad, y de la facilidad que tiene en contaminarse. Si este se equivoca en la etapa preliminar de la investigación en la cual se ide ntifica y obtiene la evidencia digital, sus errores y fallas de procediendo harán que esa evidencia se pierda o simplemente sea excluida como prueba durante el proceso judicial.
9.1.- Amenazas deliberadas a la seguridad de la información Las amenazas cada vez más numerosas que ponen en peligro a nuestros datos, nuestra intimidad, nuestros negocios y la propia Internet ha hecho que la computación sea una tarea azarosa. Los riesgos familiares, como los virus y el correo indeseado, ahora cuentan con la compañ ía de amenazas más insidiosas desde el llamado malware-, los programas publicitarios , y de espionaje que infectan su PC a los ladrones de iden tidad que atacan las bases de datos importantes de información personal y las pan dillas de delincuencia organiz ada que merodean por el espacio cibernético. Los incidentes de seguridad en un sistema de i nformación pueden caracterizarse modelando el sistema como un flujo de mensajes de datos desde una fuente, como por ejemplo un archivo o una región de la memoria p rincipal, a un destino, como por ejemplo otro archivo o un usuario. Un incidente no es más que la realización de una amenaza en contra de los atributos funcionales de un sistema informático 279. Las cuatro categorías generales de incidentes son las siguient es
279 U n s i s t e m a i n f o r m á t i c o d e b e t e n e r v a r i o s a t r i b u t o s f u n c i o n a l e s q u e l o h a c e n p o d r í a m o s d e c i r r e s i s t e n te a una posible amenaza o ataque. Es por eso que para hacer frente a los incidentes de seguridad del sistema se definen una serie de atributos funcionales para proteger los sistemas de pr ocesamiento de datos y de transferencia de información de una organización. Estos son considerados por varios profesionales de la seguridad informática como servicios de un Sistema Informático, personalmente los considero no como servicios sino como cualid ades intrínsecas de los sistemas informáticos actuales, ya que, si fueran solo servicios, se podrían suspender o quitar sin ningún problema, pero la realidad es otra, su falta u omisión causa más de un problema grave al sistema al no tener estos atributos. Estos son la confidencialidad, la autenticación, el no repudio, la integridad, y el control de acceso.
Dr. Santiago Acurio Del Pino
Pa gina 230
Derecho Penal Informa tico
o INTERRUPCIÓN: un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad 280. Ejemplos de este ataque son la destrucción de un elemento hardware, como un disco duro, cortar una línea de comunicación o des habilitar el sistema de gestión de archivos, los ataques de denegación de servicios (DoD y DDoD) o INTERCEPCIÓN: una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad 281. La entidad no autorizada podría ser una persona, un programa o un computador. Ejemplos de este ataque son pinchar una línea para hacerse con datos que circulen por la red (utilizar un SNIFFER) y la copia ilícita de archivos o programas (intercepción de d atos, WIRETAPING), o bien la lectura de las cabeceras de paquetes para desvelar la identidad de uno o más de los usuarios implicados en la comunicación observada ilegalmente (intercepción de identidad). o MODIFICACIÓN: una entidad no autorizada no sólo cons igue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad 282. Ejemplos de este ataque es el cambio de valores en un archivo de datos, alterar un programa para que funcione de forma diferente y modificar el contenido de mensajes que están siendo transferidos por la red. o FABRICACIÓN: una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad. 280 L a D i s p o n i b i l i d a d h a c e r e f e r e n c i a a q u e s o l o l o s u s u a r i o s a u t o r i z a d o s , p u e d e n a c c e d e r a l a i n f o r m a c i ó n y a otros recursos cuando los necesiten. 281 L a C o n f i d e n c i a l i d a d s e r e f l e j a e n l a u t i l i z a c i ó n d e i n f o r m a c i ó n y d e l o s r e c u r s o s q u e s o l a m e n t e s o n revelados a los usuarios (personas, entidades y procesos), quienes están autorizados a acceder a ellos. 282 L a I n t e g r i d a d s e r e f l e j a e n q u e l a i n f o r m a c i ó n y o t r o s r e c u r s o s s o l o p u e d e n s e r m o d i f i c a d o s s o l o p or aquellos usuarios que tiene derecho a ello. La exactitud y el detalle de los datos y la información está también garantizada.
Dr. Santiago Acurio Del Pino
Pa gina 231
Derecho Penal Informa tico Ejemplos de este ataque son la inserción de mensajes espurios en una red o añadir registros a un archivo. Estos ataques se pueden asimismo clasificar de forma útil en términos de ataques pasivos y ataques activos.
9.2.- Ataques pasivos En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la intercepción de datos y el análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en: • • •
Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados. Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de actividad o inactividad inusuales. Control de las h oras habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad.
Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de los datos. Sin embar go, es posible evitar su éxito mediante el cifrado de la información y otros mecanismos que se verán más adelante.
9.3.- Ataques activos Estos ataques implican algún tipo de modificación del flujo de datos transmitido o la creación de un falso flujo de da tos, pudiendo subdividirse en cuatro categorías: •
•
Suplantación de identidad 283: el intruso se hace pasar por una entidad o usuario diferente. Normalmente incluye alguna de las otras formas de ataque activo. Por ejemplo, secuencias de autenticación pueden se r capturadas y repetidas, permitiendo a una entidad no autorizada acceder a una serie de recursos privilegiados suplantando a la entidad que posee esos privilegios, como al robar la contraseña de acceso a una cuenta. Re actuación: uno o varios mensajes le gítimos son capturados y repetidos para producir un efecto no deseado, como por ejemplo ingresar dinero repetidas veces en una cuenta dada.
283
PARASITISMO INFORMÁTICO (PIGGYBACKING) Y SUPLANTACIÓN DE PERSONALIDAD (IMPERSONATION), figuras en que concursan a la vez los delitos de suplantación de personas o nombres y el espionaje, entre otros delitos. En estos casos, el delincuente utiliza la suplantación de personas para cometer otro delito informático. Para ello se preva le de artimañas y engaños tendientes a obtener, vía suplantación, el acceso a los sistemas o códigos privados de utilización de ciertos programas generalmente reservados a personas en las que se ha depositado un nivel de confianza importante en razón de su capacidad y posición al interior de una organización o empresa determinada.
Dr. Santiago Acurio Del Pino
Pa gina 232
Derecho Penal Informa tico •
Modificación de mensajes : una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados , para producir un efecto no autorizado. Por ejemplo, el mensaje “Ingresa un millón de dólares en la cuenta A” podría ser modificado para decir “Ingresa un millón de dólares en la cuenta B”.
Degradación fraudulenta del servicio : impide o inhibe el uso no rmal o la gestión de recursos informáticos y de comunicaciones. Por ejemplo, el intruso podría suprimir todos los mensajes dirigidos a una determinada entidad o se podría interrumpir el servicio de una red inundándola con mensajes espurios. Entre estos ataques se encuentran los de denegación de servicio 284, consistentes en paralizar temporalmente el servicio de un servidor de correo, Web, FTP, etc.
10.- Procedimiento de Operaciones Estándar Cuando se va revisar una escena del crimen del tipo informático es necesario tener en cuenta un procedimiento de operaciones estándar (POE), el mismo que es el conjunto de pasos o etapas que deben realizarse de forma ordenada al momento de recolectar o examinar la evidencia digital. Esta serie de procedimientos se utilizan para asegurar que toda la evidencia recogida, preservada, analizada y filtrada se la haga de una manera transparente e integra. La transparencia y la integridad metodológica (estabilidad en el tiempo de los métodos científicos utilizados) se requieren par a evitar errores, a fin de certificar que los mejores métodos son usados, incrementado cada vez la posibilidad de que dos examinadores forenses lleguen al mismo dictamen o conclusión cuando ellos analicen la misma evidencia por separado. A esto se lo conoc e como reexaminación.
Realizar un análisis forense necesita metodologías y guías.
• Electronic Crime Scene Investigation • UNE 71506:2013 • ISO/IEC 27037:2012 • Forensic Examination of Digital Evidence
El procedimiento de operaciones estándar forense debe tener las siguientes características 285:
284
ATAQUES DE DENEGACIÓN DE SERVICIO: Estos ataques se basan en utilizar la mayor cantidad posible de recursos del sistema objetivo, de manera que nadie más pueda usarlos, perjudicando así seriamente la actuación del sistema, especialmente si debe dar servicio a mucho usuarios Ejemplos típicos de este ataque son: el consumo de memoria de la máquina víctima, hasta que se produce un error general en el sistema por falta de memoria, lo que la deja fuera de servicio, la apertura de cientos o miles de ventanas, con el fin de que se pierda el foco del ratón y del teclado, de manera que la máquina ya no responde a pulsaciones de teclas o de los botones del ratón, siendo así totalmen te inutilizada, en máquinas que deban funcionar ininterrumpidamente, cualquier interrupción en su servicio por ataques de este tipo puede acarrear consecuencias desastrosas. 285 M A R T Í N E Z R E T E N A G A , A s i e r . G u í a d e t o m a d e e v i d e n c i a s e n e n t o r n o s W i n d o w s , c o n l a c o l a b o r a c i ó n de Daniel Fírvida Pereira y Jesús Díaz Vico, Madrid, 2014. http://www.incibe.es
Dr. Santiago Acurio Del Pino
Pa gina 233
Derecho Penal Informa tico Verificable: se debe comprobar la veracidad de las conclusiones extraídas a partir de la realización del análisis. Reproducible: se deben poder reproducir en todo momento las pruebas realizadas durante el proceso. Documentado: todo el proceso de estar correctamente documentado y debe realizarse de manera comprensible y detallada. Independiente: las conclusiones obtenidas deben ser las mismas, independientemente de la persona que realice el proceso y de la metodología analizada . Una de las mejores Guías Prácticas de manejo de evidencia digital es la de los Jefes y oficiales de Policía del Reino Unido publicada en 1999, en base a los principios de la Organización Internacional de Evidencia Informática (SWGDE) y el RFC 3227 es un documento que recoge las directrices para la recopilación de evidencias y su almacenamiento 286. Estos principios establecen lo siguiente: 1. El funcionario d e la Fiscalía o de la Policía Judicial nunca debe acudir solo al lugar de los hechos, este tipo de actividad debe ser realizada como mínimo por dos funcionarios. Un segundo funcionario, por un lado, aporta seguridad personal y, por otro, ayuda a captar más detalles del lugar de los hechos. Los funcionarios deberían planear y coordinar sus acciones. Si surgen problemas inesperados, es más fácil resolverlos porque “dos cabezas piensan más que una. 2. Ninguna acción debe tomarse por parte de la Policía o por sus agentes que cambie o altere la información almacenada dentro de un sistema informático o medios informáticos, a fin de que esta sea presentada fehacientemente ante un tribunal 287. 3. En circunstancias excepcionales una persona puede tener acceso a la información ori ginal almacenada en el sistema informático objeto de la investigación, siempre que después se explique de manera razonada cual fue la forma de dicho acceso, su justificación y las implicaciones de dichos actos. 4. Cuando se hace una revisión de un caso por pa rte de una tercera parte ajena al mismo, todos los archivos y registros de dicho caso y el proceso aplicado a la evidencia que fue recolectada y preservada, deben permitir a esa parte recrear el resultado obtenido en el primer análisis. 5. El oficial a cargo de la investigación es responsable de garantizar 286
RFC 3227. Consultada el 5 de enero del 2015 https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/rfc3227 287 U n a r e g l a u n i v e r s a l d e l a i n f o r m á t i c a f o r e n s e e s “ n o c a m b i e s n a d a d e u n a e s c e n a d e l d e l i t o ” , e l o b j e t i vo de la informática forense como se ha mencionado es reconocer, colectar, analizar y generar un reporte en base a la evidencia que no ha sido ni alterada y cambiada en ninguna forma, de ahí la importancia de este principio, de no ser así se debe minimizar el impacto sobre la información obt enida.
Dr. Santiago Acurio Del Pino
Pa gina 234
Derecho Penal Informa tico el cumplimiento de la ley y del apego a estos principios, los cuales se aplican a la posesión y el acceso a la información almacenada en el sistema informático. De igual forma debe asegurar que cualquier persona que acceda a o copie dicha información cumpla con la ley y estos principios. Estas guías son hechas para cubrir la gran mayoría de temas y situaciones comunes a todas las clases de sistemas informáticos existentes en estos momentos. Estas guías no asumen por completo que la investigación se realizará absolutamente sobre evidencia digital, se debe tomar en cuenta que solo es una parte de la averiguación del caso. El investigador tiene que ver toda la escena del crimen, debe poner sus sentidos en percib ir todos los objetos relacionados con la infracción, es así que por ejemplo la guía advierte de que no se debe tocar los periféricos de entrada de la computadora objeto de la investigación, como el teclado, el ratón, en los cuales se puede encontrar huella s digitales que pueden ayudar a identificar a los sospechosos, en fin debe minimizar los cambios en la información que se está recolectando y eliminar los agentes externos que puedan hacerlo. Es importante darse cuenta que estas guías y procedimientos se enfocan mayormente en la recolección de evidencia digital y un poco en el análisis de esta. Asimismo, las nuevas tecnologías que van apareciendo con el tiempo no son cubiertas por estas guías. Para finalizar se debe tomar en cuenta que cada caso es difer ente, por eso es difícil tener un estándar que abarque en profundidad cada uno de los aspectos del análisis forense informático. Sin embargo, es necesario siempre usar una metodología de trabajo definida para organizar y analizar la gran cantidad de datos que se encuentra en los sistemas de información y las redes de telecomunicaciones. La ciencia forense en general usa la reconstrucción del delito para definir dicha metodología de trabajo.
10.1.- Investigación en la Escena del Delito. La escena del delito es el punto de partida de una investigación forense, aquí se aplican los principios crimínalisticos como el de transferencia y el de mismisidad, explicados anteriormente; aquí se da inicio al procedimiento pertinente de acuerdo a la infracción cometida. En muchos de los casos el investigador forense no es el primero en llegar a la escena del delito, a veces llega después de un tiempo de cometido este, como un experto secundario, pero aun así debe estar consciente de su entorno de trabajo, igual como si hubi era sido el primero en llegar. Los Investigadores que llegan primero a una escena del crimen tienen ciertas responsabilidades, las cuales resumimos en el siguiente cuadro: •
O B S E RV E Y E S TA B L E ZC A L OS PA RÁM E T R OS DE L A E S CE NA D E L DE L I TO : El primero en respond er debe establecer si el delito todavía se está cometiendo, tiene que tomar nota de las características físicas del área circundante. Para
Dr. Santiago Acurio Del Pino
Pa gina 235
Derecho Penal Informa tico
•
•
•
•
•
•
los investigadores forenses esta etapa debe ser extendida a todo sistema de información y de red que se encuentre den tro de la escena. En estos casos dicho sistema o red pueden ser blancos de un inminente o actual ataque como por ejemplo uno de denegación de servicio (DoS). I N I C I E L A S M E D I D A S D E S E GU RI D AD : El objetivo principal en toda investigación es la seguridad de lo s investigadores y de la escena. Si uno observa y establece en una condición insegura dentro de una escena del delito, debe tomar las medidas necesarias para mitigar dicha situación. Se deben tomar las acciones necesarias a fin de evitar riesgos eléctricos , químicos o biológicos, de igual forma cualquier actividad criminal. Esto es importante ya que en una ocasión en una investigación de pornografía infantil en Estados Unidos un investigador fue muerto y otro herido durante la revisión de una escena del cri men. F A C I L I T E L OS PR I M E R OS AU XI L I OS : Siempre se deben tomar las medidas adecuadas para precautelar la vida de las posibles víctimas del delito, el objetivo es brindar el cuidado médico adecuado por el personal de emergencias y el preservar las evidencias. A S E G U R E F Í S I C A M E N T E L A E S CE NA : Esta etapa es crucial durante una investigación, se debe retirar de la escena del delito a todas las personas extrañas a la misma, el objetivo principal es el prevenir el acceso no autorizado de personal a la escena, evitando así la contaminación de la evidencia o su posible alteración. A S E GU R E F Í S I C A M E N T E L AS E V I DE NCI AS : Este paso es muy importante a fin de mantener la cadena de custodia 288 de las evidencias, se debe guardar y etiquetar cada una de las evidencias. En es te caso se aplican los principios y la metodología correspondiente a la recolección de evidencias de una forma práctica. Esta recolección debe ser realizada por personal entrenado en manejar, guardar y etiquetar evidencias. E N T R E G A R L A E S C E N A DE L D E L I T O : Después de que se han cumplido todas las etapas anteriores, la escena puede ser entregada a las autoridades que se harán cargo de la misma. Esta situación será diferente en cada caso, ya que por ejemplo en un caso penal será a la Policía Judicial o al Fiscalía General del Estado; en un caso corporativo a los Administradores del Sistema. Lo esencial de esta etapa es verificar que todas las evidencias del caso se hayan recogido y almacenado de forma correcta, y que los sistemas y redes comprometidos pueden vol ver a su normal operación. E L A B OR A R L A D O C U M E NTA CI ÓN DE L A E XPL OTACI Ó N DE L A E S CE N A : Es Indispensable para los investigadores documentar cada una de las etapas de
288 L a c a d e n a d e c u s t o d i a e s u n s i s t e m a d e a s e g u r a m i e n t o q u e , b a s a d o e n e l p r i n c i p i o d e l a “ m i s m i d a d ” , tiene como fin garantizar la autenticidad de la evidencia que se utilizará como “prueba” dentro del proceso. La información mínima que se maneja en la caden a de custodia, para un caso específico, es la siguiente: a) Una hoja de ruta, en donde se anotan los datos principales sobre descripción de la evidencia, fechas, horas, custodios, identificaciones, cargos y firmas de quien recibe y quien entrega; b) Recibo s personales que guarda cada custodio y donde están datos similares a los de la hoja de ruta; c) Rótulos que van pegados a los envases de las evidencias, por ejemplo a las bolsas plásticas, sobres de papel, sobres de Manila, frascos, cajas de cartón, etc.; d) Etiquetas que tienen la misma información que los rótulos, pero van atadas con una cuerdita a bolsas de papel kraft, o a frascos o a cajas de cartón o a sacos de fibra; e) Libros de registro de entradas y salidas, o cualquier otro sistema informático q ue se deben llevar en los laboratorios de análisis y en los despachos de los fiscales e investigadores.
Dr. Santiago Acurio Del Pino
Pa gina 236
Derecho Penal Informa tico este proceso, a fin de tener una completa bitácora de los hechos sucedidos durante la explota ción de la escena del delito, las evidencias encontradas y su posible relación con los sospechosos. Un investigador puede encontrar buenas referencias sobre los hechos ocurridos en las notas recopiladas en la explotación de la escena del Delito.
10.2.- Reconstrucción de la Escena del Delito La reconstrucción del delito permite al investigador forense comprender todos los hechos relacionados con el cometimiento de una infracción, usando para ello las evidencias disponibles. Los indicios que son utilizados e n la reproducción del Delito permiten al investigador realizar t res formas de reconstrucción a saber: •
• •
Reconstrucción Relacional, se hace en base a indicios que muestran la correspondencia que tiene un objeto en la escena del delito y su relación con los otros objetos presentes. Se busca su interacción en conjunto o entre cada uno de ellos; Reconstrucción Funcional , se hace señalando la función de cada objeto dentro de la escena y la forma en que estos trabajan y como son usados; Reconstrucción Tempora l, se hace con indicios que nos ubican en la línea temporal del cometimiento de la infracción y en relación con las evidencias encontradas.
A fin de ilustrar lo señalado en las líneas precedentes tomemos como ejemplo una investigación de un acceso no aut orizado. Cuando sucede este incidente uno en primer lugar desea saber cuáles son los sistemas de información o redes se comunicaron entre sí, cual fue la vulnerabilidad que se explotó para obtener este acceso no autorizado y cuando se produjo este evento. Con estos antecedentes empezamos a realizar la reconstrucción relacional en base a la localización geográfica de las personas y de los equipos informáticos involucrados en el incidente, también se busca cual fue su interrelación en base a las líneas de comunicaciones existentes y a las transacciones o intercambio de información hechas entre sí. Esta reconstrucción de tipo relacional es muy útil en casos de Fraude Informático ya que nos puede revelar información crucial dentro de la investigación, al crear un patrón de comportamiento conectando las transacciones financieras fraudulentas con una persona o una organización en particular. De igual forma en la investigación por el acceso no autorizado se crea una lista de las direcciones IP de los sistemas de in formación comprometidos con las direcciones IP donde se realizó las conexiones, buscando la fuente y el destino de estas, logrando un diagrama de cómo los equipos informáticos interactuaron entre sí. El investigador forense realiza la reconstrucción funci onal del hecho, estableciendo el funcionamiento de un sistema o aplicación específica y como estos fueron configurados en el momento del delito. En algunas ocasiones es necesario Dr. Santiago Acurio Del Pino
Pa gina 237
Derecho Penal Informa tico determinar cómo un programa de computación o sistema funciona para tener un mejor entendimiento del delito en si o de una evidencia particular. Cuando una plataforma UNIX es comprometida usando un ROOTKIT, el examinador tiene que reiniciar el sistema y analizar una copia exacta del sistema expuesto y su operatividad con sus compone ntes, lo cual puede crear una puerta trasera en el sistema, capturar contraseñas o esconder evidencias relevantes. La línea de tiempo del incidente ayuda al investigador a identificar patrones e inconsistencias en la escena, guiando a éste a más fuentes d e evidencia. Antes de realizar esta línea temporal el investigador debe tomar en cuenta las diferentes zonas horarias y las discrepancias temporales de los relojes de los sistemas de información examinados.
11.- Fases de la Investigación Forense. El objetivo principal de la Investigación Forense Informática es la recolección, preservación, filtrado y presentación de las evidencias digitales de acuerdo a los procedimientos técnicos y legales preestablecidos, como apoyo de la Administración de Justicia.
11.1.- Recolección Este primer paso es fundamental para la investigación, aquí el investigador forense debe identificar a todos los objetos que tengan valor como evidencia para posteriormente recolectarlos. Normalmente estos objetos serán mensajes de datos, información digital contenidos en discos duros, flash memory’s y otros artefactos que almacenan información digital, también pueden incluir los respaldos de emergencia, en fin el investigador debe tener bien en claro cuáles son las fuentes de la evidencia a fin de identificar a esta y la mejor manera de recolectarla.
11.2.- Preservación La preservación es la parte de la investigación digital forense que se enfoca en resguardar los objetos que tengan valor como evidencia de manera que estos permanezcan de forma completa, clara y verificable. Aquí se utiliza técnicas criptográficas como códigos de integridad (función hash, checksums ) y la más prolija documentación. La fase de preservación interviene a lo largo de todo el proceso de investigación forense, es una fase que interactúa con las demás fases.
11.3.- Filtrado También conocida como la fase de análisis en la investigación forense, es donde el investigador busca filtrar todos los objetos recolectados y preservados de la escena del delito a fin de separar los objetos que no tienen valor como evidencia de los que sí. En esta fase el investigador utilizar una serie de instrumentos y técnicas Dr. Santiago Acurio Del Pino
Pa gina 238
Derecho Penal Informa tico para localizar y extraer la evidencia para luego ponerla en el contexto de la investigación.
11.4.- Presentación Esta es la fase final de la investigación forense informática, es cuando se presentan los resultados, los hallazgos del investigador. La presentación debe ser entendible y convincente, es decir aquí se debe reseñar los procedimientos y las técnicas utilizadas para recolectar, preservar y filtrar la evidencia de manera que exista certidumbre en los métodos usados, aumentado así la credibilidad del investigador en un contra examen de los mismos.
12.- Metodología de búsqueda y resguardo de la Evidencia Digital 12.1.- Introducción Como ya se ha mencionado, las personas en todo el mundo utilizan las tecnologías de la información y la comunicación en sus labores diarias, esto nos lleva a pensar que las personas que comenten delitos, también utiliza estas tecnologías, y por tanto existe un registro de sus actividades ilegales en diferentes equipos, ya sea que las computadoras son el medio de comisión de dichas actividades ilegales o que en ellas se almacena los frutos de esos delitos, como por ejemplo las copias de programas piratas, etc., esto entonces supone que el uso de equipos informáticos cada vez más están relacionados con el cometimiento de delitos, se han convertido en un repositorio de evidencia digital, la cual tiene gran valor dentro de un proceso judicial. Pero esta debe ser primero recuperada y resguardada antes de ser analizada. El modelo actual de búsqueda y resguardo de la evidencia digital, está enfocado en dispositivos de almacenamiento físico o de hardware, lo que es apropiado en casi todas las situaciones. Sin embargo, es necesario mirar más allá del actual modelo, por ejemplo, en el caso de examinar cierta clase de medios, como un disco duro con encriptación total de su contenido, situación que afecta su análisis primario en la escena del delito, haciéndose necesario trasladar dicho dispositivo de almacenami ento al laboratorio para su posterior estudio, hay que privilegiar la recolección al análisis. El tema en cuestión es, se debe resguardar todos los elementos físicos de una escena del Delito (hardware) o solamente los que contengan la evidencia digital indispensable para la investigación. Debemos pensar que lo que realmente buscamos es evidencia digital, por tanto, debemos tener en cuenta las fuentes de evidencia digital y donde está deberá estar ubicada en relación al delito investigado, para así poner en práctica el método más adecuado para resguardar dicha evidencia, el cual debe estar descrito en el procedimiento de operaciones estándar utilizado. Dr. Santiago Acurio Del Pino
Pa gina 239
Derecho Penal Informa tico Es necesario que el investigador siempre tenga presente como ya se dijo anteriormente, cual es el rol q ue el sistema informático cumple dentro del camino del delito, es así que muchos Fiscales y oficiales de policía ven a la computadora, es decir al equipo informático en sí mismo como una evidencia, cuando en verdad es la información que esta contiene, lo q ue sería considerado como evidencia digital. Para autores como Anthony Reyes 289 al referirse a la evidencia digital, prefieren usar el término “OBJETOS DE DATOS ” en relación a la información que es encontrada en los dispositivos de almacenamiento o en las piezas de almacenamiento multimedia, que no son más que cadenas de unos y ceros es decir de información binaria o digital grabada en un dispositivo magnético (como discos duros o los disquetes), en uno de estado sólido 290 o memoria solida (como las memorias flash y dispositivos USB) y los dispositivos ópticos (como los discos compactos y DVD). Estos objetos de datos podemos encontrarlos en una gran cantidad de dispositivos tales como computadores personales, en IPODS, teléfonos celulares, los cuales tienen s istemas operativos y programas que combinan en un particular orden esas cadenas de unos y ceros para crear imágenes, documentos, música y muchas cosas más en formato digital. Pero también existen otros objetos de datos que no están organizados como archivo s, son informaciones que están vinculadas a archivos como los metadatos antes mencionados, otros son fragmentos de archivos que quedan después de que se sobrescribe la información a causa del borrado de los archivos viejos y la creación de los archivos nue vos esto se llama SLACK SPACE , o espacio inactivo. También pueden quedarse almacenados temporalmente en los archivos de intercambio ( SWAP FILE) o en la misma memoria RAM. La definición de objetos de datos de Reyes, permite determinar que la computadora sea considerada solamente como un aparato usado para tener acceso a la información que ahí se almacena, esto hace que cambie el paradigma de la evidencia, ya que pasamos del hardware es la evidencia a la información es la evidencia. Lo dicho es importante a fin de distinguir entre evidencia física, evidencia electrónica y evidencia digital, ya que cada una de estas clases de evidencia tiene sus métodos y procedimientos para ser preservada, obtenida y luego presentada de forma válida dentro de un proceso judicial.
289 R E Y E S , A n t h o n y , I n v e s t i g a c i ó n d e l C i b e r c r i m e n , S y n g r e s s 2 0 0 7 . 290 M á s c o n o c i d o s c o m o S S D ( S o l i d - S t a t e D r i v e ) s o n d i s p o s i t i v o s d e a l m a c e n a m i e n t o s d e d a t o s q u e u s a n una memoria sólida para almacenar la información de forma constante de forma similar que un disco duro usando lo que se conoce como SRAM (Memoria de Acceso Randómico Estático) o DRAM (Memoria de Acceso Randómico Dinámico). Estas memorias simula n la interfaz de un disco magnético convirtiéndose en dispositivos de almacenamiento masivo.
Dr. Santiago Acurio Del Pino
Pa gina 240
Derecho Penal Informa tico 12.2.- Metodología de procesamiento de Evidencia La masificación en el uso de las tecnologías de información y comunicación en estos días ha hecho que se cambie el p apel de los sistemas informáticos dentro de una investigación criminal, principalmente de los llamados computadores personales, que vieron su entrada al mercado informático en los años ochenta, pero despegaron en sus ventas en los años noventa con el apare cimiento de la Word Wide Web de Tim Bernes Lee. Las PC como se las nombro, desde entonces se han visto envueltas dentro del cometimiento de los más diversos delitos. En el pasado su rol se describía ya sea como el objeto de un ataque, o el medio para realizarlo, pero en la actualidad estos dos roles han sido sobrepasados por el cada vez más constante uso de los equipos informáticos como repositorios de evidencias digitales, es decir se han convertido literalmente en “bodegas de evidencias digitales ” de los más variados delitos. Es por tanto necesario que el investigador forense le dé el valor correcto a esta clase de evidencia, es decir que la misma debe ser recolectada y examinada de forma tal que mantenga su valor como prueba. En primer lugar, quien debe recolectar la evidencia debe ser un profesional altamente capacitado y entrenado, lamentablemente en nuestro país no contamos como muchos profesionales que tengan el perfil adecuado para recoger y recolectar evidencias digitales, y luego proceder con su a nálisis y examinación en todos los casos que se presenta este tipo de evidencia. Para cubrir estas fallas, es necesario contar, con el personal suficientemente para intervenir en todos estos casos (personal en la escena, primeros en responder), dicho perso nal debe tener un mínimo de entrenamiento en el manejo de este tipo escenas del delito en donde existan componentes o equipos informáticos, es necesario que esas personas sigan el procedimiento estándar y los protocolos existentes para cada clase de eviden cia dentro de la escena. Como se ya se expresó estos primeros en responder, el personal en la escena debe tener un conocimiento general sobre las computadoras, sobre informática, es decir pueda distinguir en entre un teclado y un mouse. También deben tener un entrenamiento básico en el manejo de evidencia digital, en su recolección y preservación. Es así que los primeros en responder deben asegurar la escena, ver que en la misma no haya ningún peligro latente (actividad criminal, riesgo eléctrico, químico o de otro tipo) ya sea para él como investigador o para la evidencia (dinámica de la evidencia: factores humanos, físicos, de la naturaleza). Posteriormente se debe etiquetar y empacar todo lo que para él investigador sea relevante dentro del caso, para e llo debe fotografiar todas las evidencias en donde fueron halladas, debe rotular cada uno de los componentes del equipo informático investigado, todos sus periféricos, luego documentará todo lo realizado con una breve descripción de los hallazgos en la esc ena, para después llevar todo lo recogido al laboratorio para su posterior análisis.
Dr. Santiago Acurio Del Pino
Pa gina 241
Derecho Penal Informa tico Metodología Tradicional de Recolección de Evidencias Digitales
Asegurar Físicamente la Escena
Asegurar Digitalmente la Escena
Recolectar todo el hardware y los dispositivos de almacenamiento
Documentar, etiquetar, y empacar para llevar al Laboratorio
En el Laboratorio analizar toda la evidencia recuperada
Cuadro 4: Metodología Tradicional de Recolección de Evidencias Digitales Esta metodología, refleja el enfoque en la evidencia física en el h ardware, este modelo hace hincapié en los roles de la investigación, muestra el papel de los llamados primeros en la escena, de los investigadores de delitos informáticos y de los examinadores forenses. Lo que siempre hay que tener en cuenta es que todas estas personas, al usar un tipo de metodología, aceptada universalmente, lo que logra es defender su trabajo, defender sus hallazgos, en definitiva, la integridad de la evidencia por ellos recogida, preservada y analizada. Esto por cuanto, el objetivo del investigador es el obtener evidencia que sea admisible en un proceso judicial, evidencia que no sea excluida porque su obtención fue ilegal e inconstitucional, o porque sea producto de un error en las reglas que regulan su obtención, es decir que no se siguió el procedimiento estándar para la adquisición, preservación o análisis de esta clase de evidencia. Para evitar estos problemas es necesario que el investigador siga estas sencillas reglas: 1. Obtenga la evidencia digital sin alterar o dañar el disposit ivo de almacenamiento que la contiene. 2. Autentique la evidencia obtenida verificando que esta es idéntica a la original. 3. Analice los objetos de datos y los archivos sin alterarlos. En su trabajo el investigador también deberá Dr. Santiago Acurio Del Pino
Pa gina 242
Derecho Penal Informa tico 1. Hacer su trabajo en concordancia con los principios de la ciencia forense informática 2. Basar su trabajo en el uso de estándares y mejores prácticas 3. Usar en su trabajo herramientas probadas y verificadas en la identificación, recuperación, filtrado de evidencias digitales, al i gual que usar los elementos correctos para embalar, etiquetar y preservar evidencia digital. 4. Documentar todo lo realizado de manera profunda y en detalle.
Toda la Evidencia
Evidencia Admisible
Evidencia Relevante
Objetivo del Investigador: La evidencia admisible
Cuadro 5: Objetivo del Investigador
12.3.- Análisis en profundo La metodología descrita en las páginas anteriores no es la más apropiada para responder a escenas más complicadas, que hallar una sola máquina en un cuarto, la realidad es que las investigaciones no son tan simples como lo muestran los libros o las películ as, los primeros en responder deben tener a mano una metodología que les permita manejar escenas de variada complejidad, en donde intervengan redes enteras de máquinas, llenas de evidencia. Esto se hace cuando en la metodología tradicional se reemplaza la parte en la que se dice que se debe “Recolectar todo el hardware y los dispositivos de almacenamiento ” por una serie de tres pasos, los cuales ayudaran a enfocarse al investigador en su tarea de identificar los dispositivos de medios en la escena, minimiza ndo la escena a través de priorizar solamente el hardware y los dispositivos de almacenamiento con mayor probabilidad de encontrar las evidencias más relevantes para el caso. Esto se logra cuando el investigador al manejar evidencia digital sigue Dr. Santiago Acurio Del Pino
Pa gina 243
Derecho Penal Informa tico las tres C de la evidencia: Cuidado, Control y Cadena de Custodia. Por eso es necesario siempre documentar todo lo que uno hace dentro de la escena del delito. Metodología enfocada en la priorización de evidencia digital
Asegurar Físicamente la Escena
Asegurar Digitalmente la Escena
Identificación de los medios digitales
Recolectar todo el hardware y los dispositivos de almacenamiento
Minimizar la escena priorizando los dispositivos de almacenamiento relevantes
Documentar, etiquetar, y empacar para llevar al Laboratorio
En el Laboratorio analizar toda la evidencia recuperada
Recolectar todos los dispositivos de medios digitales
Cuadro 6: Metodología de priorización de la evidencia digital 12.3.1.- Identificación de los medios digitales En este punto el investigador debe saber qué clase de delito está investigando, esto le permitirá discernir cuales son las evidencias necesarias y relevantes para solucionar el caso, es así que en la escena deberá discri minar los medios digitales que más probablemente tengan valor en la investigación, como se dijo anteriormente el objetivo del investigador es la evidencia admisible, pero antes de llegar a ella debemos encontrar la evidencia relevante. Es así que en una i nvestigación de pornografía infantil, debemos suponer que la persona investigada en un coleccionador, estas personas casi siempre son del tipo obsesivo, por tanto tendrán en su poder decenas de miles de imágenes o videos de este tipo, por tanto el disposit ivo de almacenamiento ideal será un disco duro o DVD por la cantidad de información digital que se puede guardar en estos medios. Si por el otro lado la persona investigada es de aquellas que les gusta tomar fotos cuando los niños, niñas o adolescentes so n victimizados, pues entonces Dr. Santiago Acurio Del Pino
Pa gina 244
Derecho Penal Informa tico debemos fijar nuestra búsqueda en memorias de cámaras de fotos y todo tipo de dispositivos relacionados con la fotografía, ya sea para guardar fotos o para convertir imágenes. Es siempre necesario documentar todos los movimi entos que como investigadores realicemos en la escena del delito, ya sea tomando fotografías del lugar y de los medios encontrados, así como narrar nuestros pasos en una grabadora pequeña de voz. 12.3.2.- Minimizar la escena priorizando los dispositivos de almacenamiento relevantes Después de identificar los medios digitales de acuerdo a la investigación en progreso, el investigador debe minimizar la escena del delito y apuntar solamente a los dispositivos de almacenamiento relevantes, es decir donde podríamos encontrar con mayor pro babilidad la evidencia digital que estamos buscando. Esto apropósito de que sería impracticable registrar todos los dispositivos dentro de la escena, nos faltaría tiempo y los medios para llevar toda una serie de equipos al laboratorio solamente para descu brir ahí que son irrelevantes y que no tienen relación con la infracción investigada. Por tal razón es necesario focalizar nuestra investigación en los dispositivos relevantes. Es así que en la actualidad en muchos de nuestros hogares encontramos redes inalámbricas, integradas a diferentes dispositivos caseros tales como refrigeradoras, reproductores multimedia, encontraremos gran cantidad de discos compactos, DVD grabados con música y películas, con grandes cantidades de información digital. 12.3.3.- Recolectar todos los dispositivos de medios digitales Recolectar todos los dispositivos de medios digitales de una escena del delito, puede ser un problema, ya que si no se prioriza que es lo que se está buscando, uno puede terminar con un camión completo de e videncia que no es relevante para el caso, por eso el investigador o el primero en responder debe tomar decisiones duras a fin de determinar qué medios son los que deben ser recogidos, etiquetados y posteriormente analizados. 12.3.4.- Asegurar los disposit ivos de medios digitales Luego de recolectar los dispositivos relevantes para la investigación, se procederá a identificarlos claramente, etiquetarlos y luego embalarlos a fin de asegurar la cadena de custodia sobre estos elementos físicos, al igual que se debe llevar una bitácora detallada de lo que se asegura, para lo cual podemos utilizar fotografías digitales y otros medios como video cámaras para documentar todos los elementos encontrados en la escena. Se recomienda sellar con cinta adhesiva todos los puertos y conectores de los equipos asegurados, de igual forma se colocarán discos o disquete s en blanco para evitar un reinicio accidental de dichos equipos. 12.3.5.- Se debe jalar el cable de poder o no se debe hacerlo Dr. Santiago Acurio Del Pino
Pa gina 245
Derecho Penal Informa tico Esta es una pregunta que se la ha cen muchas veces los técnicos o los primeros en responder en la escena del delito, esto por cuanto siempre se ha mencionado que no se debe apagar normalmente un equipo informático por el riesgo que uno inesperadamente active un protocolo de seguridad, es d ecir una trampa casa tontos, que muchos de estos delincuentes informático colocan como una medida de seguridad, en caso de que sean sorprendidos en el cometimiento de una infracción y así como para destruir cualquier clase de evidencia que estuviera almacenada en un dispositivo de almacenamiento colocado en él. Pero este hecho no debe ser tomado muy a la ligera, ya que si bien es cierto que jalar el cable y desconectar al equipo puede ser una medida razonable en algunos casos, no es menos cierto que esta decisión debe ser asumida por el investigador como una medida preventiva, ya que también sería necesario que el investigador forense tome otras alternativas, dado su profesionalismo y habilidades, por tanto no hay que cerrarse a la posibilidad de que se pu eda apagar el sistema sabiendo que sistema operativo es el que se encuentra funcionando a fin determinar el plan a seguir. Es así que la pérdida de poder en algunos sistemas operativos puede traducirse en una merma de la información almacenada, se degrada ría la información. También se puede corromper el llamado KERNEL o módulo central del sistema. Es así que Sistemas Operativos basados en UNIX, LINUX, Mac OSX, son más vulnerables a estos eventos. Por eso es necesario que el investigador sepa con que sistem a operativo está lidiando, a fin de tomar el mejor procedimiento. (Es un tema que pasa por la llamada dinámica de la evidencia). La decisión del investigador debe ser debidamente sustentada y razonada para que sea admisible en un proceso judicial, ya que el impacto sobre la evidencia debe ser prolijamente documentado, todo depende de la habilidad y el conocimiento del técnico que se decida a jalar del cable y desconectar al equipo o iniciar la secuencia de apagado del mismo. Todas estas circunstancias det erminaran cual Sistema Operativo es más vulnerable a una pérdida de poder, y en la habilidad de recuperar información valiosa después de ese hecho.
12.4.- Enfoque progresivo de búsqueda y recuperación de la evidencia digital Como se vio en líneas anteriores, el cambio de búsqueda y de enfoque del hardware a la información es un nuevo punto de vista dentro de la informática forense, esto nos ha traído nuevos métodos como el enfoque progresivo de búsqueda y recuperación de la evidencia digital de acu erdo a la situación y la habilidad del investigador o primero en la escena. Esta nueva estrategia de búsqueda progresiva consiste en seguir los siguientes pasos: Dr. Santiago Acurio Del Pino
Pa gina 246
Derecho Penal Informa tico 1. Antes de arribar a la escena del delito es necesario que los primeros en responder o los inv estigadores traten de identificar a los administradores del sistema o la persona encargada del mismo, quien podrá ayudarles a identificar, copiar o imprimir los mensajes de datos relevantes de acuerdo a la orden judicial previamente obtenida para el efecto . (Orden de incautación, orden de interceptación, Orden de registro y examen pericial 291).
291 S i e m p r e e s n e c e s a r i o c o n t a r c o n l a o r d e n j u d i c i a l c u a n d o p o r l a a c t i v i d a d i n v e s t i g a t i v a d e l a P o l i c ía Judicial o la Fiscalía General del Estado se vaya a poner límite a un derecho garantizado en la Constitución (Derecho a la Propiedad, Derecho a la Intimidad, Derecho al Secreto de la Telecomunicaciones).
Dr. Santiago Acurio Del Pino
Pa gina 247
Derecho Penal Informa tico
Cuadro 7: Proceso de decisión cuando se va a procesar un equipo informático 2. Si no existe personal que pueda ayudar al investigador a realizar las acciones descritas anteriormente, se debe llamar a un experto a que le ayude en dichas tareas. Si el investigador se encuentra capacitado por realizar estas tareas por sus propias manos lo debe hacer siempre con otro agente a fin de Dr. Santiago Acurio Del Pino
Pa gina 248
Derecho Penal Informa tico documentar los trabajos realizados, en el cuadro 7 se observa el proceso de decisión cuando se va a procesar un equipo informático tomando en cuenta las reglas del Art 500 del COIP. 3. Si el investigador no puede obtener los mensajes de datos señalados en la orden judicial por razones técnicas, la siguiente opción es realizar una imagen del equipo informático donde se presuma estén los mensajes de datos relevantes para la investigación. 4. Si tampoco es posible reali zar la imagen por razones técnicas, entonces el Investigador deberá incautar todos los componentes y dispositivos de almacenamiento que crea que razonablemente incluyen los mensajes de datos descritos en la orden judicial. Este enfoque progresivo es aplica do a escenas de delito donde funcionen sistemas de negocios, se pretende así obtener la ayuda del administrador del sistema para impedir un mayor impacto sobre estos a causa de la actividad investigativa adelantada por la Policía Judicial y la Fiscalía Gen eral del Estado, enfoque que trae ahora el COIP.
13.- Manual de Manejo de Evidencias Digitales y Entornos Informáticos La comisión de infracciones informáticas es una de las causas de preocupación de los elementos de seguridad de muchos países en este mome nto dado que las mismas han causado ingentes pérdidas económicas especialmente en el sector comercial y bancario donde por ejemplo las manipulaciones informáticas fraudulentas ganan más terreno cada vez más, se estima que la pérdida ocasionada por este tipo de conductas delincuenciales supera fácilmente los doscientos millones de dólares, a lo que se suma la pérdida de credibilidad y debilitamiento institucional que sufren las entidades afectadas. Es por eso que en países como Estados Unidos, Alemania o Ing laterra se han creado y desarrollado técnicas y herramientas informáticas a fin de lograr tanto el descubrimiento de los autores de dichas infracciones, así como aseguran la prueba de estas. Una de estas herramientas es la informática Forense, ciencia criminalística que sumada al impulso y utilización masiva de las Tecnologías de la Información y de la Comunicación en todos los ámbitos del quehacer del hombre, está adquiriendo una gran importancia, debido a la globalización de la Sociedad de la Información. Pero a pesar de esto esta ciencia no tiene un método estandarizado, razón por la cual su admisibilidad dentro de un proceso judicial podría ser cuestionada, pero esto no debe ser un obstáculo para dejar de lado esta importante clase de herramienta, la cu al debe ser manejada en base a rígidos principios científicos, normas legales y de procedimiento. Es necesario mencionar que son los operadores de justicia tanto como los profesionales de la informática, los llamados a combatir los delitos tecnológicos, ya que los primeros saben cómo piensa el delincuente y su modus operandi, Dr. Santiago Acurio Del Pino
Pa gina 249
Derecho Penal Informa tico mientras los otros conocen el funcionamiento de los equipos y las redes informáticas. Unidos los dos conforman la llave para combatir efectivamente esta clase de infracciones. El objetivo de la Informática forense por tanto es el de recobrar los registros y mensajes de datos existentes dentro de un equipo informático, de tal manera que toda esa información digital, pueda ser usada como prueba ante un tribunal. De lo expuesto se colig e que es necesario contar dentro de los operadores de justicia con el personal capacitado en estas áreas para lidiar con esta clase de problemas surgidos de la mal utilización de la las Tecnologías de la Comunicación y la Información. Con este fin en mi c alidad de Jefe de Investigación y Análisis Forense de la Fiscalía General del Estado cree el Manual de Manejo de Evidencias Digitales y Entornos Informáticos 2.0., con el objeto ser una guía de actuación para miembros de la Policía Judicial, así como de lo s Funcionarios de la Fiscalía, cuando en una escena del delito se encuentren dispositivos Informáticos o electrónicos que estén relacionados con el cometimiento de una infracción de acción pública. El manual tiene el siguiente contenido temático 1.- Importancia 2.- Objetivo del Manual 3.- Principios Básicos 4.- Principios del Peritaje 5.- Reconocimiento de la Evidencia Digital 5.1.- Hardware o Elementos Físicos 5.2.- Información 5.3.- Clases de Equipos Informáticos y Electrónicos 5.4.- Incautación de Equipos Informáticos o Electrónicos 6.- En la Escena del Delito 6.1.- Qué hacer al encontrar un dispositivo informático o electrónico 7.- Otros aparatos electrónicos 7.1.- Teléfonos Inalámbricos, Celulares, Smartfones, Cámaras Digitales 7.2.- Aparatos de mensajería instantánea, beepers. 7.3.- Máquinas de Fax 7.4.- Dispositivos de Almacenamiento 8.- Rastreo del Correo Electrónico 8.1.- Encabezado General 8.2.- Encabezado Técnico 9.- Glosario de Términos: 10. - Bibliografía Este Manual está hecho para cubrir la gran mayoría de temas y Dr. Santiago Acurio Del Pino
Pa gina 250
Derecho Penal Informa tico situaciones comunes a todas las clases de sistemas informáticos existentes en estos momentos. Este Manual no asume por completo que la investigación se realizará absolutamente sobre evidencia digital, se debe tomar en cuenta que solo es una parte de la averiguación del caso. El investigador tiene que ver toda la escena del crimen, debe poner sus sentidos en percibir todos los objetos relacionados con la infracción, es así que por ejemplo la guía advierte de que no se debe tocar los periféricos de entrada de la computadora objeto de la investigación, como el teclado, el ratón, en los cuales se puede encontrar huellas digitales que pueden ayudar a identificar a los sospechosos. La finalidad del manual es brindar una mirada introductoria a la informática fore nse a fin de sentar las bases de la investigación científica en esta materia, dándole pautas a los futuros investigadores de cómo manejar una escena del delito en donde se vean involucrados sistemas de información o redes y la posterior recuperación de la llamada evidencia digital.
14.- Rastreo del Correo Electrónico El Correo Electrónico nos permite enviar cartas escritas con el computador a otras personas que tengan acceso a la Red. El correo electrónico es casi instantáneo, a diferencia del correo norma l. Podemos enviar correo a cualquier persona en el Mundo que disponga de conexión a Internet y tenga una cuenta de Correo Electrónico. Las operaciones básicas que podemos realizar con el correo electrónico son: Enviar mensajes. Para enviar un mensaje basta con incluir en la ventana Destinatario el nombre de este o su identificación, llamada dirección de correo electrónico. Recibir mensajes. Cuando nos conectamos a Internet, la aplicación nos avisa (por ejemplo, emitiendo un son ido) cada vez que llega un nuevo mensaje. Responder mensajes. Es una opción muy sencilla para contestar un mensaje recibido. Normalmente, el programa que gestiona el correo permite incluir el mensaje recibido en la respuesta. Remitir mensajes. Se emplea para reenviar un mensaje recibido a otras personas de nuestra agenda. Adjuntar archivos. Junto al texto del mensaje podemos incluir archivos con imágenes, sonidos, etc. Pero no conviene mandar archivos muy grandes, pues el tiempo necesario para enviar o r ecibir el mensaje es proporcional al tamaño de los archivos. Al enviar un correo electrónico, la computadora se identifica con una serie de números al sistema del proveedor de servicios de Internet ( ISP). Enseguida se le asigna una dirección IP y es divi dido en paquetes pequeños de información a través del protocolo TCP/IP. Los paquetes pasan por una computadora especial llamada servidor (server) que los fija con una identificación única ( Message-ID) posteriormente los sellan con la fecha y hora de recepción (Sello de tiempo ). Más Dr. Santiago Acurio Del Pino
Pa gina 251
Derecho Penal Informa tico tarde al momento del envió se examina su dirección de correo para ver si corresponde la dirección IP de alguna de las computadoras conectadas en una red local (dominio). Si no corresponde, envía los paquetes a otros servido res, hasta que encuentra al que reconoce la dirección como una computadora dentro de su dominio, y los dirigen a ella, es aquí donde los paquetes su unen otra vez en su forma original a través del protocolo TCP/IP. (Protocolo de Control de Transferencia y Protocolo de Internet). Siendo visible su contenido a través de la interface gráfica del programa de correo electrónico instalado en la máquina destinataria. El correo comunicaciones:
electrónico
utiliza
los
siguientes
protocolos
de
El protocolo SMTP (Simple Mail Transfer Protocol) permite el envió de mensajes (correo saliente) desde el cliente hacia el buzón del servidor de correo. El protocolo POP (Post Office Protocol) permite recibir mensajes (correo entrante) desde el servidor de correo hacia el clie nte (se almacena en el disco duro del destinatario). El protocolo IMAP (Internet Message Access Protocol). Sirve para buscar solo los mensajes que incluyan determinada palabra en el apartado “Asunto”. Hay que tomar en cuenta que los correos electrónicos s e mantienen sobre un servidor de correo, y no en la computadora del emisor o del destinatario, a menos que el operador los guarde allí. Al redactarlos se transmiten al servidor de correo para ser enviados. Al recibirlas, nuestra computadora hace una petici ón al Servidor de correo, para los mensajes sean transmitidos luego a la computadora del destinatario, donde el operador la puede guardar o leer y cerrar. Al cerrar sin guardar, la copia de la carta visualizada en la pantalla del destinatario desaparece, pero se mantiene en el servidor, hasta que el operador solicita que sea borrada. En algunas ocasiones es necesario seguir el rastro de los Correos Electrónicos enviados por el Internet. Los rastros se graban en el encabezamiento del e-mail recibido. Normal mente, el encabezamiento que aparece es breve. La apariencia del encabezamiento está determinada por el proveedor de servicios de Internet utilizado por nuestra computadora, o la de quien recibe el correo electrónico. Para encontrar los rastros, se requi ere un encabezamiento completo o avanzado, posibilidad que existe como una opción en nuestro proveedor de servicios de Internet 292.
14.1.- ¿Por dónde va un correo electrónico? Un mensaje de correo pasa al menos por cuatro máquinas durante su vida (Estadios):
292 P a r a m á s i n f o r m a c i ó n d e c ó m o s e d e b e o b t e n e r i n f o r m a c i ó n d e l o s e n c a b e z a d o s v e r l a s i g u i e n t e dirección: https://support.google.com/mail/answer/22454?hl=es
Dr. Santiago Acurio Del Pino
Pa gina 252
Derecho Penal Informa tico • • • • •
Computador del emisor: donde se compone el mensaje. Servidor de Correo del emisor (Simple Mail Transfer Protocol SMTP). Servidor de Correo del receptor (Post Office Protocol - POP3) Computador del receptor : donde se recibe el mensaje. Cuando el receptor accede al mensaje, generalmente, se borra del servidor de correo. Baja a su ordenador.
Usemos un ejemplo para poder explicar este apartado, para ello Alicia le manda un correo electrónico a Roberto, a fin de que le explique cómo rastrear los correos electrónicos. Veamos cómo podemos graficar el caso….
Dr. Santiago Acurio Del Pino
Pa gina 253
Derecho Penal Informa tico
14.2.- Encabezamientos del Correo Electrónico De acuerdo a Microsoft, l os encabezados de los mensajes de correo electrónico proporcionan una serie de detalles técnicos acerca de los mensajes, como el remitente, el software usado para redactarlo y los servidores de correo electrónico por los que ha pasado hasta llegar al destinatario. Para poder elegir la opción de un encabezamiento técnico, seleccione "encabezamiento completo o avanzado o ver código fuente" por medio de opciones o preferencias en la barra de herramientas de la página Web de su proveedor de Correo Electrónico (YAHOO, GMAIL, HOTMAIL, etc.) El encabezamiento completo contiene información fácil y difícil de interpretar, por ejempl o: “TO", “FROM" "CC", datos fáciles de entender (el destinatario, el emisor, una copia enviada a, y el título del mensaje). Otros datos son más difíciles de entender, como los números IP: 148.235.52.34 O Message-id: NIBBLHGCOLIEFEEJKGEBCCAAA .
[email protected]>. Esta información requiere interpretación. 14.2.1.- Direcciones IP y Nombres de Dominio Cada computador que se conecta a Internet se identifica por medio de una dirección IP Versión 4 o IPv4 o IPv6. IPv4 tiene un espacio de direccio nes de 32 bits, es decir, 232 Dr. Santiago Acurio Del Pino
Pa gina 254
Derecho Penal Informa tico (4.294.967.296). En cambio, lPv6 nos ofrece un (340.282.366.920.938.463.463.374.607.431.768.211.456).
espacio
de
2128
La versión IPv4 está compuesta de 4 números comprendidos entre el 0 y el 255 ambos inclusive y separados por puntos. Así, por ejemplo, una dirección IP podría ser: 155.210.13.45. No está permitido que coexistan en la Red dos computadores distintos con la misma dirección, puesto que, de ser así, la información solicitada por uno de los computadores no sabría a cuál de ellos dirigirse. Cada número de la dirección IP v4 indica una sub -red de Internet. Hay 4 números en la dirección, lo que quiere decir que hay 4 niveles de profundidad en la distribución jerárquica de la Red Internet. En el ejemplo anterior, el primer número, 155, indica la sub -red del primer nivel donde se encuentra nuestro computador. Dentro de esta sub -red puede haber hasta 256 “sub-subredes”. En este caso, nuestro computador estaría en la “sub-sub-red” 210. Así sucesivamente hasta el tercer nivel. El cuarto nivel no representa una sub -red, sino que indica un computador concreto. Resumiendo, los tres primeros números indican la red a la que pertenece nuestro computador, y el último sirve para diferenciar nuestro computador de los otros que “cuelguen” de la misma red. Esta distribución jerárquica de la Red Internet, permite enviar y recibir rápidamente paquetes de información entre dos computadores conectados en cualquier parte del Mundo a Internet, y desde cualquier sub -red a la que pertenezcan. Un usuario de Internet, no necesita conocer ninguna de estas direcciones IPv4. Las manejan los computadores en sus comunicaciones por medio del Protocolo TCP/IP de manera invisi ble para el usuario. Sin embargo, necesitamos nombrar de alguna manera los computadores de Internet, para poder elegir a cuál pedir información. Esto se logra por medio de los Nombres de Dominio . Los nombres de dominio, son la traducción para las personas de las direcciones IP, las cuales son útiles sólo para los computadores. Así, por ejemplo, yahoo.com es un nombre de dominio. Como se puede ver, los nombres de domino son palabras separadas por puntos, en vez de números en el caso de las direcciones IP. Estas palabras pueden darnos idea del computador al que nos estamos refiriendo. Cuando sepamos un poco más sobre nombres de dominio, con sólo ver yahoo.com podremos concluir que: “Una empresa de EE.UU. que da cierta información por Internet es Yahoo ”. No todos los computadores conectados a Internet tienen un nombre de Dr. Santiago Acurio Del Pino
Pa gina 255
Derecho Penal Informa tico dominio. Sólo suelen tenerlo, los computadores que reciben numerosas solicitudes de información, o sea, los computadores servidor. Por el contrario, los computadores cliente, es decir los que consultan por Internet, no necesitan un nombre de dominio, puesto que ningún usuario de la Red va a pedirles información. Existen dos clases de dominios los llamados genéricos y los llamados territoriales los primeros son los gTLD o generic Top Level Doma in y los segundos los ccTLD o contry code Top Level Domain
gTLD Empresas (Compañías) = com Instituciones de carácter Educativo, Universidades . = edu Organizaciones no Gubernamentales. = org Entidades del Gobierno. = gov Instalaciones Militares. = mil
ccTLD España = es Francia = fr Reino Unido (United Kingdom) = uk Italia = it Japón = jp Australia = au Suiza = ch Irlanda = ir Ecuador = ec
Dr. Santiago Acurio Del Pino
Pa gina 256
Derecho Penal Informa tico
Por medio de lo que se llama , “Sistema de Nombres de Dominio (DNS)”, Internet es capaz de averiguar la dirección IP de un computador a partir de su nombre de dominio. 14.2.1.- Encabezado General Español Ingles Contenido DE: FROM: Abelardo López <
[email protected] > ENVIADO : SENT: Miércoles, 11 de febrero, 2004 7:16 PM PARA : TO: <
[email protected] > COPIA: CC: Gabriel Grimes <
[email protected] m> TITULO: SUBJECT: Hace mucho tiempo El encabezamiento breve se lee desde arriba hacia abajo. ➢ From o De, Emisor de la correspondencia, contiene el nombre del autor, Abelardo López, su identificación en el Internet, abelardolopez98, su nombre de dominio primario es un proveedor de servicios de Internet, prodigy, que tiene un dominio de red, . net, y un dominio territorial, . mx, que pertenece a México. ➢ Sent o Enviado , es la fecha y hora de su envió, designado por la computadora de origen, miércoles, 11 de febrero, 2004, 7:16 PM. ➢ To o Para, destinatario de la correspondencia, contiene su identificación en el Internet, kylegrimes, su nombre de dominio primario es un proveedor de Dr. Santiago Acurio Del Pino
Pa gina 257
Derecho Penal Informa tico servicios de Internet, msn (Microsoft Network), que tiene un dominio de comercio, com. ➢ CC, copia enviada a, contiene el nombre de otro destinatario secundario, Gabriel Grimes, su identificación en el Internet, grimesgk , su nombre de dominio primario es un proveedor de servicios de correspondencia electrónica, hotmail, que tiene un dominio de comercio, com. ➢ Subjec o Título, es el tema de la correspondencia escrita por el emisor, Hace mucho tiempo . ➢ Los signos de puntuación, como los puntos, < >, y la @ son indicaciones para el protocolo de manejo en el Internet. 14.2.2.-Encabezado Técnico MIME-Version: 1.0 Received: from [216.136.226.197] by hotmail.com (3.2) with ESMTP id MHotMailBD737B61008E4D888E2C506160; Thu, 20 Sep 2001 11:07:30 -0700 Received: from [12.26.159.122] by web20808.mail.yahoo.com via HTTP; Thu, 20 Sep 2001 11:07:29 PDT From:
[email protected] Thu, 20 Sep 2001 11:07:58 -0700 Message-id: El encabezamiento completo se lee desde abajo hacia arriba . ➢ Message-id,
[email protected] , indica una identificación asignada al correo electrónico por el servidor que inicialmente procesó la correspondencia original. La identificación es única, y sirve para verificar la originalidad del mensaj e. ➢ From, el emisor del mensaje y la fecha y hora de su envío (según la computadora que lo envió). Siempre se debe verificar el uso horario a fin de tener la hora correcta. ➢ Received from , muestra el número IP de la computadora del origen, 12.26.159.122 , que puede ser un compuesto del numero local y la red que procesa el mensaje, by, o por, el servidor que inicialmente procesó el mensaje, web20808.mail.yahoo.com , via, o por cual protocolo, http (protocolo de transferencia de hipertexto), fecha y hora del In ternet, Thu, 20 Sep 2001 11:07:29 PDT (hora normal de la Zona del Pacífico). ➢ Received from , el número IP mencionado del destinatario, 216.136.226.197, by, o por, el servidor de HOTMAIL, hotmail.com, with ESMTP id, una nueva identificación del mensaje asig nado por el nuevo servidor, MHotMailBD737B61008E2C506160 , la fecha y hora de su recepción, Thu, 20 Sep 2001 11:07:30 -0700. ➢ MIME-Version: 1.0, Es la versión de encabezado Dr. Santiago Acurio Del Pino
Pa gina 258
Derecho Penal Informa tico Con la información del encabezado técnico podemos verificar el origen del mensaje enviado, buscando con el número IP registrado el dominio de donde se originó el mensaje. Para eso se utiliza una interfaz, ¿ “WHOIS? ” que significa “¿Quién es? ”, para determinar el servicio utilizado, ubicar la dirección geográfica de los servidores y los pu ntos de contacto, y localizar (a veces) la instalación donde se encuentra un computador. Se puede usar algunas páginas de internet como http://en.utrace.de/ , también se puede buscar http://www.dnsstuff.com/
14.3.- Para que puede ser usado el correo electrónico El correo electrónico puede ser usado como: 14.3.1.• • • • • • • • •
Como instrumento: Amenazas Chantajes y extorsiones Calumnias e injurias Fraudes Falsedad documental Distribución de pornografía infantil Propiedad intelectual Virus Comunicaciones entre miembros de organizaciones delictivas
14.3.2.-Como objeto del delito • Descubrimiento y revelación de secretos • Secreto de las comunicaciones 14.3.3.• • •
Como medio de prueba: Documental Indicios por los trazos de la transmisión Interceptación del correo electrónico
Dr. Santiago Acurio Del Pino
Pa gina 259
Derecho Penal Informa tico 15.- Glosario de Términos: • • •
•
•
•
•
•
B A S E D E D ATO S : Conjunto completo de ficheros informáticos que reúnen informaciones generales o temáticas, que generalmente están a disposición de numerosos usuarios. B R O W S E R ( B U S C AD OR ): El software para buscar y conseguir información de la red WWW. Los más comúnmente usados son Microsoft Explorer, Firefox y Opera. C O O KI E : Es un archivo o datos dejados en su computadora por un servidor u otro sistema al que se hayan conectado. Se suelen usar para que el servidor registre información sobre aquellas pantallas que usted ha visto y de la información personalizada que usted haya mandado. Muchos usuarios consideran esto como una invasión de privacidad, ya que casi ningún sistema dice lo que está haciendo. Hay una variedad de "anti -cookie" software que automáticamente borra esa información entre visitas a su sitio. D I A L U P ( M A RC AR ): El método de conectarse con Internet vía la línea de teléfono normal mediante un modem, en vez de mediante una LAN (Red Local) o de una línea de teléfono alquilada permanentemente. Esta es la manera más común de conectarse a Internet desde casa si no ha hecho ningún arreglo con su compagina de teléfono o con un ISP. Para conexiones alternativas consulte con su ISP primero. D I GI TA L S I G NAT UR E ( FI RM A D I G I TAL ): El equivalente digital de una firma autentica escrita a mano. Es un dato añadido a un fichero electrónico, diciendo que el dueño de esa firma escribió o autorizo el Archivo. E L D E R E C HO A L A I NT I M I DA D PR O PI AM E NT E DI CH O 293: es decir la facultad, tutelada por el ordenamiento jurídico que el ser humano posee de aislarse frente a los demás, manteniendo un reducto de su vida o de su personalidad f uera de las relaciones sociales, (the right to be alone); E L D E R E C H O A L A R E S E RV A : es decir la capacidad, reconocida por el Derecho, que cada persona tiene en mantener en reserva ciertos datos o elementos de su esfera íntima o privada, sustrayéndola al conocimiento ajeno para evitar su difusión; o de exigir esta misma reserva a terceros cuando dichos elementos hubieran llegado a saberlos sin la voluntad del individuo, o cuando lo obtuvieran sólo para el conocimiento, pero no para su posterior revelación; y E L D E R E C H O A L A C O N FI DE NC I AL I D AD : 294 Es el derecho garantizado y reconocido por el ordenamiento jurídico que tienen las personas de mantener en secreto los datos o informaciones que se generan en razón de su empleo u oficio consistente en proteger la información o los datos que el titular de los mismos no quiere o
293
G A R C Í A V I T O R I A , A u r o r a . E l D e r ec h o a l a I n t i m i da d en e l D e r ec h o P en a l y en l a C o n st i t u c i ó n d e 1 9 7 8 . E di t o r i a l A r a n z a d i , P a m p l o n a – E s pa ñ a , 1 9 8 3 . 294 E l A u t o r .
Dr. Santiago Acurio Del Pino
Pa gina 260
Derecho Penal Informa tico
• •
•
•
•
no debe revelar y deben por tanto mantenerse confidenciales, como por ejemplo la información o datos relacionados con el secreto profesional o los llamados secretos industriales o comerciales. D O C U M E N T O E L E CT RÓ NI C O : Es la representación en forma electrónica de hechos jurídicamente relevantes susceptibles de ser presentados en una forma humanamente comprensible 295. D O M A I N N A M E ( N OM B RE D E D OM I NI O ): Un nombre de dominio es su propiedad en el mundo ciber nético. Esta propiedad, tal y como su homologo tangible, tiene valor dependiendo de su dirección y de su contenido. Usted puede cobrar a sus invitados o darles un tour gratis, o llevar un negocio paralelo como parte de la propiedad. Igual que una dirección de la 5 Avenida que es limitada y también más valorada que la inmensa mayoría de las demás direcciones, el valor de su dominio puede variar de unos cuantos dólares, por ejemplo, algunos están en el millón de dólares. No le podemos decir que muebles, obras de arte, o negocio paralelo debe tener en su propiedad en el mundo cibernético, pero su dirección es bien segura que realzara el valor de su contenido, o igual lo eliminara si ese nombre no atrae clientes. Técnicamente, es un concepto creado para identifi car y localizar computadoras en Internet. Los nombres de dominio son un sistema de direcciones de Internet fácil de recordar, que pueden ser traducidos por el Sistema de Nombres de Dominio a las direcciones numéricas usadas en la red. Un nombre de dominio es jerárquico y usualmente acarrea información sobre el tipo de entidad que usa ese nombre de dominio. Un nombre de dominio es simplemente una etiqueta que representa un dominio, que a su vez es un subgrupo del total del espacio de nombres del dominio. Nom bres de dominio en el mismo nivel jerárquico tienen que ser únicos: solo puede haber un . COM al nivel más alto de la jerarquía, y solo un DomainMart.com en el siguiente nivel. FTP O FI LE T RA NS FE R P R OTO C OL (P R OTO C OL O DE T R A N S FE R E N CI A DE FI C HE R O ) Un estándar de Internet para transferir ficheros entre ordenadores. La mayoría de las transferencias FTP requieren que usted se meta en el sistema proveyendo la información mediante un nombre autorizado de uso y una contraseña. Sin embargo, una variación conocida com o "FTP anónimo" le permite meterse como anónimo: no necesita contraseña o nombre. HTML (H Y PE R T E XT M AR KU P L A N G UA GE ): El lenguaje de computador usado para crear páginas de red para Internet. Aunque estándares "oficiales" de Internet existen, en la práctica son extensiones del lenguaje que compañías como Netscape o Microsoft usan en sus buscadores (browsers). HTTP (H Y PE R T E XT T RA NS P O RT P R OTOC OL ): El conjunto de
295 D e f i n i c i ó n d a d a p o r E D I F O R U M . ( F o r o d e I n t e r c a m b i o E l e c t r ó n i c o d e D a t o s )
Dr. Santiago Acurio Del Pino
Pa gina 261
Derecho Penal Informa tico
•
•
• • • • • •
• •
reglas que se usa en Internet para pedir y ofrecer páginas de la red y demás información. Es lo que pone al comienzo de una dirección, tal como "http:/," para indicarle al buscador que use ese protocolo para buscar información en la página. I N T E R N E T P R OTO C O L (IP) N U M B E R S O IP A DRE S S E S (P R OT O CO L O D E I N T E R N E T , N ÚM E RO S ): Un identificador numérico único usado para especificar anfitriones y redes. Los números IP son parte de un plan global y estandarizado para identificar computadores que estén conectados a Internet. Se expresa como cuatro números del 0 al 255, separado por puntos: 188.41.20.11. La asignación de estos números en el Caribe, las Américas, y África la hace la American Registry for Internet Numbers. I N T E R N E T S E RV I CE P R OV I DE R (ISP) ( P R OV E E D O R DE S E RV I CI O D E I N T E R N E T ) Una persona, organización o compagina que pr ovee acceso a Internet. Además del acceso a Internet, muchos ISP proveen otros servicios tales como anfitrión de Red, servicio de nombre, y otros servicios informáticos. M E N S A J E D E D AT OS : Es toda aquella información visualizada, generada enviada, recibida, almacenada o comunicada por medios informáticos, electrónicos, ópticos, digitales o similares. M OD E M : Un aparato que cambia datos del computador a formatos que se puedan transmitir más fácilmente por línea telefónica o por otro tipo de medio. S I S T E M A T E L E M Á T I C O . Conjunto organizado de redes de telecomunicaciones que sirven para trasmitir, enviar, y recibir información tratada de forma automatizada. S I S T E M A D E I NF O R M ACI Ó N : Se entenderá como sistema de información, a todo sistema utilizado para generar, env iar, recibir, procesar o archivar de cualquier forma de mensajes de datos 296. S I S T E M A I N F ORM ÁT I C O : Conjunto organizado de programas y bases de datos que se utilizan para, generar, almacenar, tratar de forma automatizada datos o información cualquiera que est a sea. S O PO RT E L Ó GI C O : Cualquiera de los elementos (tarjetas perforadas, cintas o discos magnéticos, discos ópticos) que pueden ser empleados para registrar información en un sistema informático. S O PO RT E M AT E R I AL : Es cualquier elemento corporal que se util ice para registrar toda clase de información. TCP/IP: T RA NS M I S I ÓN C O NT R OL P R OTO C OL /I NT E RNE T P R OTO C OL : Conjunto de protocolos que hacen posible la interconexión y tráfico de la Red Internet
296 D e f i n i c i ó n e n t r e g a d a p o r L a L e y M o d e l o d e C o m e r c i o E l e c t r ó n i c o d e l a U N C I T R A L
Dr. Santiago Acurio Del Pino
Pa gina 262
Derecho Penal Informa tico 16.- Bibliografía • • •
• • • • •
• • • • • • • • •
ABOSO, Gustavo Eduardo y ZAPATA, María Florencia, Cibercriminalidad y Derecho Penal, Editorial BDF de Montevideo y Buenos Aires, Edición 2006 ACUR IO DEL P INO, Santiago, Introducción a l a Informática Forense, ALFA REDI. ALESTUEY DOBÓN, María del Carmen. “Apuntes sobre la perspectiva criminológica de los delitos informáticos ”, Informática y Derecho Nº 4, UNED, Centro Regional de Extremadura, III Congreso Iberoamericano de Informática y Derecho 21-25 septiembre 1992, Mérida , 1994, Editorial Aranzadi. ALONSO Juan A. y otros, Tecnologías de la Información a la Comunicación, Editorial ALFAOMEGA y RA-MA, 2005 ÁLVAREZ DE LOS RÍOS, José Luis. “Delitos Informáticos ”. Ponencia en las Jornadas sobre Marco Legal y Deontológico de la Informática, Mérida 17 de septiembre de 1997. ANDRADE SANTANDER , Diana. El Derecho a la Intimidad, Centro Editorial Andino, Quito – Ecuador, 1998. ARAUJO Paulina, Mínima Intervención Penal, Inducción al Fiscal, Escuela de Fiscales Y Funcionarios de la Fiscalía General del Estado. Editorial la Palabra 2009. Quito, Ecuador BAÓN RAMÍREZ, Rogelio. “Visión general de la informática en el nuevo Código Penal ”, en Ámbito jurídico de las tecnologías de la información, Cuadernos de Derecho Judicial, Escuela Judicial/Consejo General del Poder Judicial, Madrid, 1996. BARATTA Alessandro: Derecho Penal Mínimo, Editorial Temis S.A. Santa Fe de Bogotá, Colombia, 1999. BARBIERI Pablo, Contratos de Empresa, Editorial Universidad, Buenos Aires, Argentina, 1998. BARRIUSO RUIZ, Carlos. “Interacción del Derecho y la informática”, Dykinson, Madrid, 1996, pág. 245 a 252. BECCAR IA Alessandro, De los Delitos y las Penas, Editorial Temis S.A. Santa Fe de Bogotá, Colombia, 1997. BERDUGO GOMEZ DE LA TORRE, Ignacio: Honor y libertad de expresión. Tecnos. Madrid, 1.987. BETTIOL Giusseppe, Derecho Penal, Editorial Temis, Bogotá, Colombia, 1990 BORGHELLO, Cristian, Crimenware: El Crimen del siglo XXI, ESET Latinoamérica, 2009 BOTANA GARC IA, Gema, Noción de Comercio Electrónic o, en la obra Comercio Electrónico y protección a los consumidores, Editorial La Ley, Madrid España, 2002 . BROWN, Christopher L.T. Computer Evidence Colletion & Preservation, Charles River Media, 2006.
Dr. Santiago Acurio Del Pino
Pa gina 263
Derecho Penal Informa tico • •
• • • • • • • • •
• • • • •
BUENO ARÚS, Francisco. “El delito informático ”, Actualidad Informática Aranzadi Nº 11, abril de 1994. BUITRAGO AR IAS, Juan Carlos. Exposición del Teniente Coronel de la Policía Nacional: Inteligencia. Bogotá, D. C. 24 07-08. Auditorio DIPOL, en la investigación criminal y el esclarecimiento de un hecho punible, Jesús Alberto CASTRO SALDAÑA y Juan Aparicio BARRERA. Revista Criminalidad, DIJ IN, Volumen 50, Número 2, noviembre 2008. Bogotá, Colombia CABANELLAS, Guillermo, Diccionario de Derecho Usual, Tomo 1, Editorial Heliasta. 1990. CANO M, Jeim y, Estado del Arte del Peritaje Informático en Latinoamérica, ALFA-REDI, 2005. CANO M. Jeim y Computación Forense: Descubriendo los rastros informáticos , Editorial ALFAOMEGA, Primera Edición, México, 2009 CANO M. Jeim y, Inseguridad Informática: Un concepto dual de la Seguridad Informática. Universidad UNIANDES 1994 CARRION, Hugo Daniel, Análisis comparativo de la legislación y proyectos a nivel mundial sobre firmas y certificados digitales, Argentina 2002. CASEY, Eogan, Digital Evidence And Computer Crime , Tercera Edición, Elsevier Publicaciones, Estados Unidos 2011. CASEY, Eogan, Handbook of Computer Crime Investigation, Forensic Tools and Technology, Elsevier Academic Press, 2005 CASTILLO J IMENEZ, María Cinta, RAMALLO ROMERO, Miguel. El delito informático. Facultad de Derecho de Zaragoza. Congreso sobre Derecho Informático. 22 -24 junio 1989. CASTRO SALDAÑA Jesús Alberto y APAR ICIO BARRERA Juan. La investigación criminal y el esclarecimiento de un hecho punible, Revista Criminalidad, DIJ IN, Volumen 50, Número 2, noviembre 2008. Bogotá, Colombia CHOC LAN MONTALVO, José Antonio. “Estafa por computación y criminalidad económica vinculada a la informática”, Actualidad Penal Nº 47, 22 -28 diciembre 1997 CORREA Carlos María, El Derecho Informático en América Latina, Publicado en Derecho y Tecnología Informática, Edit. Temis, Bogotá, mayo de 1990. CREUS Carlos, Derecho Penal Parte Especial, Edit. Astrea, Buenos Aires, 1998, Tomo 2. CUERVO José, Delitos Informát icos y Protección Penal a la Intimidad, Publicación hecha en Internet URL: www.derecho.org DALLAGLIO Edgardo Jorge, “La Responsabilidad Derivada de la Introducción y Propagación del Virus de las Computadoras ”, publicado en El Derecho, año 1990.
Dr. Santiago Acurio Del Pino
Pa gina 264
Derecho Penal Informa tico • • • • •
• • • • •
• • •
• •
DAVARA RODR ÍGUEZ, Miguel Ángel, Análisis de la Ley de Fraude Informático, Revista de Derecho de UNAM. 1990. DAVARA RODR ÍGUEZ, Miguel Ángel. “De las Autopistas de la Información a la Sociedad Virtual ”, Editorial Aranzadi, 19 96. DAVARA RODR ÍGUEZ, Miguel Ángel. “Manual de Derecho Informático”, Editorial Aranzadi, Pamplona, 1997. DONOSO ABARCA, Lorena, Análisis del tratamiento de las figuras Relativas a la Informática tratadas en el título XIII del Código Penal Español de 1995. FERNÁNDEZ CALVO, Rafael. “El Tratamiento del llamado “Delito Informático” en el proyecto de Ley Orgánica de Código Penal: Reflexiones y propuestas de la CLI (Comisión de Libertades e Informática), Informática y Derecho Nº 12, 13, 14 y 15, UNED, Centro Regional de Extremadura, Mérida, 1996. FERREYROS SOTO, Carlos. “Aspectos Metodológicos del Delito Informático”, Informática y Derecho Nº 9, 10 y 11, UNED, Centro Regional de Extremadura, Mérida, 1996 FÍGOLI PACHECO , Andrés. El Acceso No Autorizado a Sistemas Informáticos, Uruguay 1998, Publicación hecha en Internet, www.derecho.org. FROSINI, Vittorio, Informática y Derecho, Editorial Temis, Bogotá, Colombia, 1988. FUMIS Federico, Informática y Derecho de Daños, Boletín Hispanoamericano de Informática y Derecho, 1998, Buenos Aires, Argentina. URL: Http//ww.ulpiano.com FUNDAMENTOS TEÓR ICOS DE LA INVESTIGAC IÓN CRIMINAL –PNUD– GUATEMALA. Proyectos de Seguridad Ciudadana, Pr evención de la Violencia y Conflictividad del programa ONU para el Desarrollo. En: www.polsec.org. Agosto de 2008. GARC ÍA GIL, F. Javier. “Código Penal y su Jurisprudencia. Adaptada a la Ley Orgánica 10/1995, de 23 de noviembre ”, Editorial Edijus, Zaragoz a, 1996. GARC ÍA VITOR IA, Aurora. El Derecho a la Intimidad en el Derecho Penal y en la Constitución de 1978. Editorial Aranzadi, Pamplona – España, 1983. GÓMEZ PERALS, Miguel. “Los Delitos Informáticos en el Derecho Español ”, Informática y Derecho Nº 4, UNED, Centro Regional de Extremadura, III Congreso Iberoamericano de Informática y Derecho 21 -25 septiembre 1992, Mérida, 1994, Editorial Aranzadi. GUASTAVINO, Elías P., Responsabilidad Civil y otros problemas jurídicos en computación, Ediciones La Roc ca, Buenos Aires, 1987. GUIBOURG Ricardo A., ALENDE Jorge O., CAMPANELLA Elena M., Manual de Informática Jurídica, Editorial Astrea,
Dr. Santiago Acurio Del Pino
Pa gina 265
Derecho Penal Informa tico • • • • •
• •
• • • •
• • • •
•
1996, Buenos Aires, Argentina. GUTIÉRREZ FRANCÉS , María Luz, Fraude Informático y estafa. GUTIÉRREZ FRANCÉS, María Luz. “Fraude informático y estafa”, Centro Publicaciones del Ministerio de Justicia, Madrid, 1991. HANCE, Olivier. Leyes y Negocios en Internet. México. De. Mc Graw Hill Sociedad Internet. México. 1996. HANSSENER Winfried, “Derecho Penal”, Editorial Azalea, 1998. HEREDERO HIGUERAS, Manuel. “Los Delitos Informáticos en el proyecto de Código Penal de 1994”, Informática y Derecho Nº 12, 13, 14 y 15, UNED, Centro Regional de Extremadura, Mérida, 1996. HERNÁNDEZ GUERRERO, Francisco . “Delitos Informáticos ”, Ponencia Jornadas sobre el Marco Legal y Deontológico de la Informática, Mérida, 17 de septiembre de 1997. HERNANDEZ JIMÉNEZ-CASQUET, Fernando, El Marco Jurídico del Comercio y la Contratación Electrónica. En Principios del Derecho de Internet, Valencia 2005, Editorial Tirant Lo Blanch. HERRERA BRAVO Rodolfo, Ciberespacio, sociedad y derecho, En derecho de las nuevas tecnologías : R ICO CARRILLO, Mariliana Coordinadora, Ediciones La Rocca, 2007. HUERTA MIRANDA , Marcelo y LÍBANO MANZUR Claudio, Los Delitos Informáticos, Editorial Jurídica Cono Sur. HULSMANN Louk, Derecho Penal, 1982 ILLESCAS ORTIZ, RAFAE L. La Equivalencia funcional como Principio elemental del derecho del comercio electrónico en “Derecho y Tecnología ”. Universidad Católica de Táchira No. 1 julio y diciembre 2002. IR IARTE AHON, Erick, Comercio Electrónico en América Latina y el Caribe Perspectivas y realidades. Artículo Publicado en Internet JIJENA LEIVA, Renato, Chile: Protección Penal a la Intimidad y los Delitos Informáticos, Editorial Jurídica de Chile, 1993. JIJENA LEIVA, Renato, Chile: Protección Penal a la Intimidad y los Delitos Informáticos, Editorial Jurídica de Chile, 1993. JIJENA LEIVA, Renato. "Naturaleza jurídica y valor probatorio del documento electrónico. El caso de la declaración de importación electrónica o mensaje CUSDEC". Revista Derecho de la Alta Tecnología, año IX, No. 106. 1997. JOVER PADRÓ, Joseph. “El Código Penal de la informática ”, X Años de Encuentros sobre Informática y De recho 1996-1997, Facultad de Derecho e Instituto de Informática Jurídica de la Universidad Pontificia de Comillas (ICADE), Aranzadi
Dr. Santiago Acurio Del Pino
Pa gina 266
Derecho Penal Informa tico • • • • • • • • • • • • •
•
• •
Editorial, Pamplona, 1997. LARREA HOLGUÍN , Juan, Derecho Civil del Ecuador, Los bienes y la posesión, Tercera Edición, Corporación de Estudios y Publicaciones. LIMA, María de la Luz. "Delitos Electrónicos" en Criminalia. México. Academia Mexicana de Ciencias Penales. Ed. Porrúa. No. 1-6. Año L. Enero - junio 1984. LÓPEZ CALVO, Pedro y GÓMEZ SILVA, Pedro. Investigación criminal y criminalística , Temis, Bogotá, 2000 LÓPEZ DELGADO, Miguel, Análisis Forense Digital, junio del 2007, CR IPORED. MADR ID-MALO GAR IZABA L Mario, Derechos Fundamentales, Escuela Superior de Administración Pública, Santa Fe de Bogotá – Colombia, 1992 . MAGLIONA MARKOVICTH Claudio Paúl, LÓPEZ MEDEL Macarena, Delincuencia y Fraude Informático, Editorial Jurídica de Chile. 1999 MANUAL DE ORALIDAD. Inducción al Rol del Fiscal, Escuela de Fiscales Y Funcionarios de la Fiscalía General del Estado. Editorial la Palabra 2009. Quito, Ecuador. MANZANARES, José Luis y CREMADES, Javier. “Comentarios al Código Penal”; La Ley- Actualidad, Las Rozas (Madrid), 1996. MARTINEZ NADAL A, Comercio Electrónico, certificados y autoridades de certificación, Madrid 1998. MARTÍNEZ RETENAGA, Asier. Guía de toma de evidencias en entornos Windows, con la colaboración de Daniel Fírvida Pereira y Jesús Díaz Vico, Madrid, 2014. http://www.incibe.es MERLAT, Máximo, Seguridad Informática: Los H ackers, Buenos Aires Argentina, 1999, Publicación hecha en Internet. www.monografías.com MIR PUIG Santiago, Función de la Pena y la Teoría del Delito en el Estado Social y Democrático de Derecho, Bosch, 1979 MORAL TORRES, Anselmo del. “Aspectos sociales y legales de la seguridad informática ”, Ponencia 1ª Jornadas sobre “Seguridad en Entornos Informáticos ”, Instituto Universitario “General Gutiérrez Mellado ”, Madrid 12 de marzo de 1998. MORALES PRATS, Fermín. “El Código Penal de 1995 y la protección de los datos personales ”, Jornadas sobre el Derecho español de la protección de datos personales, Madrid, 28 al 30 octubre de 1996, Agencia de Protección de Datos, Madrid, 1996, pág. 211 a 250. NOVOA MONREAL, Eduardo, Curso de Derecho Penal, 1966, Universidad de Chile. NUÑEZ FERNÁNDEZ, Fernando. España: comentario al Real Decreto 1906/99 de 17 de diciembre, por el que se regula la
Dr. Santiago Acurio Del Pino
Pa gina 267
Derecho Penal Informa tico
• • • • • • • • • • • • • • • • • •
contratación telefónica o electrónica con condiciones generales en desarrollo del artí culo 5.3 de la Ley 7/1998 de 13 de abril. Revista Electrónica de Derecho Informático. Abril 2000. O.M.C. Estudios Especiales: "El Comercio telemático y el Papel de la OMC", 1998. OCDE – Committee for Information, Computer and Economic Policy, Measuring Electronic Commerce ”, Paris, 1997. OCDE. “The Economic and Social Impact of Electronic Commerce: Preliminary Finding and Research Agenda ”, Paris, 1999. PALAZZI, Pablo Andrés, Virus Informáticos y Responsabilidad Penal, sección doctrina del diario La Ley, 16 de diciembre de 1992. Http://ulpiano.com PALAZZI, Pablo Andrés. "Firma digital y comercio telemático en Internet". Ponencia presentada en el VI Congreso Iberoamericano de Derecho e Informática. Uruguay, 1998. PARELLADA, Carlos Alberto, Daños en la actividad judicial e informática desde la responsabilidad profesional, Ed. Astrea, Buenos Aires, 1990. PASCALE, Maricarmen. Manual de peritaje Informático. Fundación de Cultura Universitaria. Uruguay. 2007 PÉREZ LUÑO, Antonio Enrique. “Ensayos de informática jurídica”, Biblioteca de Ética, Filosofía del Derecho y Política, México, 1996. PÉREZ LUÑO, Antonio Enrique. “Manual de informática y derecho”, Editorial Ariel S.A., Barcelona, 1996. PIER INI Alicia, LORENCES Valentín, TORNABENE María Inés, Hábeas Data, Derecho a la Intimidad, Editorial Universidad, Buenos Aires – Argentina, 1998. RADBRUCH Gustav, Teoría General del Derecho, 1990 RESA NESTARES, Carlos: Crimen Organizado Transnacional: Definición, Causas Y Consecuencias, Editorial Astrea, 2005. REYNA ALFARO Luis Miguel, Fundamentos para la protección penal de la información como valor económico de la empresa. Publicación hecha en internet en www.dercho.org.pe. RICO CARRILLO, Mariliana, Derecho de las Nuevas Tecnologías, Ediciones La Rocca, 2007. RICO CARR ILLO, Mariliana. Aspectos Jurídicos de la Contratación Electrónica en Derecho de las nuevas tecnologías. Ediciones LA ROCCA. Argentina 2007. RINCON CARDENAS, Erick. Manual de Derecho y Comercio Electrónico en Inter net. Centro Editorial de la Universidad del Rosario. 2006. Bogotá Colombia. RIVERA LLANO, Abelardo, Dimensiones de la Informática en el Derecho, Ediciones Jurídicas Radar, Bogotá, Colombia. 1995. ROMEO CASABONA, Carlos María. “Delitos informáticos de
Dr. Santiago Acurio Del Pino
Pa gina 268
Derecho Penal Informa tico
• •
• • • • • • •
• • • • • • • •
carácter patrimonial ”, Informática y Derecho Nº 9,10 y 11, UNED, Centro Regional de Extremadura, Mérida, 1996. ROMEO CASABONA, Carlos María. “Los llamados delitos informáticos ”, Revista de Informática y Derecho, UNED, Centro Regional de Extremadura, Mérida, 1995. ROMEO CASABONA, Carlos María. “Poder informático y seguridad jurídica. La función tutelar del derecho penal ante las Nuevas Tecnologías de la información ”, FUNDESCO, Colección impactos, Madrid, 1987. ROMEO CASABONA, Carlos María. El Cibercrimen, nuevos retos Jurídicos Penales, nuevas respuestas político -criminales. Editorial COMARES , Granada, España, 2006. RUIZ CHUNGA, Pedro. La criminalística en la investigación criminal, Academia de la Magistratura, Perú. RUIZ VADILLO, Enrique. “Responsabilidad penal en materia de informática”, Informática y Derecho Nº 9,10 y 11, UNED, Centro Regional de Extremadura, Mérida, 1996. RUIZ VADILLO, Enrique. “Tratamiento de la delincuencia informática como una de las expresiones de criminalidad económica”, Poder Judicial número especial IX, 1989. SALINAS SICCHA , Ramiro. “Conducción de la Investigación y Relación del Fiscal con la Policía en el Nuevo Código Procesal Penal”. JUS-Doctrina Nro. 3. Grijley. Li ma, marzo 2007. SALT G. Marcos, Informática y Delito, Publicación en Internet, URL: http://www.derecho.org.ar SANTOS BR IZ, Jaime. Derecho Civil, Parte General, Editorial de Derecho Reunidas S.A., 1978 SANTOS Jaime Eduardo y GUERRERO M María Fernanda. Fraude Informático en el Banca, Ed. Jesma, Bogotá, 1993 SARRA VIVIANA ANDREA, Comercio Electrónico y Derecho. Editorial ASTREA, 2000 SERRANO GÓMEZ, Alfonso. “Derecho Penal. Parte Especial I. Delitos contra las personas ”, Dykinson, Madrid, 1996. SOLANO BÁRCENAS, Orlando, Manual de Informática Jurídica, Editorial Jurídica Gustavo Ibáñez, Santa Fe de Bogotá D.C. Colombia 1997. TELLEZ VA LDÉS, Julio. “Los Delitos informáticos. Editorial Temis 1999. TELLEZ VALDÉS, Julio. “Los Delitos informáticos. Situación en México”, Informática y Derecho Nº 9, 10 y 11, UNED, Centro Regional de Extremadura, Mérida, 1996, pág. 461 474. THE BEST PRACTICES FOR SEIZING ELECTRONI C EVIDENCE, VERS IÓN 3. 0, US. Department of Home Land Security, and the United States Secret Service. TIEDEMANN, Klauss. “Poder económico y delito ”, Barcelona, 1985.
Dr. Santiago Acurio Del Pino
Pa gina 269
Derecho Penal Informa tico • • • • •
• •
TORTRAS Y BOSCH, Carlos. “El delito informático ”, número 17 monográfico de ICADE, Revista de las Facultades de Derecho y Ciencias Económicas y Empresariales. UGARTE, José Manuel. Legislación de inteligencia, legitimidad y eficacia, WOLA-SEDEM, Guatemala, 2000 UNDOC, Oficina de las Naciones Unidas contra la droga y el delito, Manual de Instrucciones para la evaluación de la justicia penal, Investigación de Delitos. Nueva York, 2010 VELÚ, Jacques. Convención Europea de Derechos Humanos: El respeto a la Intimidad en el hogar y las comunicaciones. Publicación hecha en Internet www.google.com WILLIAMS, Phil. Crimen Organizado y Cibernético, sinergias, tendencias y respuestas. Centro de Enseñanza en Seguridad de la Internet de la Universidad Carnegie Mellon. http://www.pitt.edu/~rcss/toc.html ZABALA BAQUERIZO, Jorge. Delitos contra la Propiedad, Tomo 2, Editorial Edino, Guayaquil, Ecuador, 1988. ZANONI Leandro. Los Hackers, la nueva cara de los piratas de Fin de siglo, Revista de Informática y Derecho. De Palma, Buenos Aires Argentina 1998.
Dr. Santiago Acurio Del Pino
Pa gina 270
