DELITOS INFORMÁTICOS - ANÁLISIS CASO - ROGER SISNIEGAS RODRIGUEZ

PONTIFICIA UNIVERSIDAD CATÓLICA DEL PERÚ ESCUELA DE POSGRADO MAESTRÍA EN DERECHO PENAL

Nuevas formas de Criminalidad Delitos informáticos Análisis de casos

Profesor: Dr. Ricardo Posada Maya

Alumnos: Carlos Villarroel Quinde (COD 20000973) Roger Sisniegas Rodríguez (COD 20143650)

2015

DESARROLLO Caso 4: “Empresa MODA” Del caso se advierte que la secretaria de la empresa, quien era la encargada de contar con las claves de autorización del sistema, es la principal sospechosa de la comisión de diversos delitos informáticos, a partir de los hechos descritos en el caso, que serán analizados independientemente: El ingreso ilegítimo al sistema de pagos de la empresa MODA

1



A la secretaria se le puede imputar el delito de acceso ilícito (Art. 2 Ley N° 30096)1, por cuanto ella era la única persona que conocía las claves para hacer los pagos en los bancos de la empresa, además que su computadora era la única que tenía el sistema para realizar los pagos de manera virtual. Cabe precisar que, si bien ella era la persona encargada de las claves para el pago de dinero -y por ende, la insider-, es posible que ella haya podido realizar el acceso excediendo la autorización conferida, por lo que calificaría como una outsider.2



Cabe precisar que, en este caso, no se le podría imputar a la secretaria que haya accedido “vulnerando las medidas de seguridad para impedirlo”, ya que por su cargo ya contaba con las claves. Sin embargo, su conducta sí podría estar tipificada en el segundo párrafo del artículo 2, que sanciona con la misma pena al que accede a un sistema informático “excediendo lo autorizado”. Dentro de este supuesto se puede interpretar que lo que se sanciona es el abuso de confianza brindado para acceder al sistema. Cabe precisar además que este delito se configura con el solo acceso, y no requiere ningún elemento subjetivo del tipo (finalidad lucrativa o de otra índole), porque el tipo penal no lo prevé. Solo se requiere que se ingrese: i) de manera dolosa (de primer grado, no eventual) y ii) sin autorización del titular del sistema. Asimismo, el bien jurídico protegido lo constituye la seguridad de la información, y no se exige una relación de conexidad (como ocurre con otros delitos), sino más bien una relación lógica (que la conducta realizada por el autor del hecho se manifieste de alguna forma en el resultado).



No obstante, es posible ingresar un nuevo dato en el caso: se tiene que considerar que, antes de que se realice un acceso abusivo, algunos criminales buscan suplantar sitios webs para capturar datos o claves, o utilizar otro tipo de mecanismos para obtener datos (a través de troyanos, por ejemplo).3 En ese sentido, se puede sustentar que la secretaria de la empresa MODA fue víctima de un espionaje informático, a fin de obtener las claves de acceso.4 Así, una tercera persona pudo, través de medios tecnológicos, obtener las claves de la empresa MODA (simulando, por ejemplo, la página web del banco, con “troyanos” o a través de la computadora del Gerente, que estaba conectada en línea con la de la secretaria), lo que permitió que, posteriormente, pudiese hacer uso de dichas claves para el acceso ilícito al sistema de pagos. Contra este tercero se podría imputar la comisión del delito previsto en el artículo 7 de la Ley N°30096 (interceptación de datos informáticos),5 aunque este tipo penal no basta para cubrir todos los supuestos de espionaje que ocurren en la realidad.6

Artículo 2. Acceso ilícito El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa. Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo autorizado. 2 POSADA MAYA, Ricardo. El delito de acceso abusivo a sistema informático: a propósito del art. 269A del CP de 2000. En: Revista de Derecho. Comunicaciones y nuevas tecnologías N 9. Facultad de Derecho Universidad de los Andes. Bogotá, 2013. Pág. 9-10 3 POSADA MAYA, Ricardo. El delito de acceso abusivo a sistema informático: a propósito del art. 269A del CP de 2000. En: Revista de Derecho. Comunicaciones y nuevas tecnologías N 9. Facultad de Derecho Universidad de los Andes. Bogotá, 2013. Pág. 26. 4 POSADA MAYA, Ricardo. Aproximación a la criminalidad informática en Colombia. En: https://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoytics/ytics86.pdf (consultado el 28 de mayo de 2015). Pág. 32. 5 Artículo 7. Interceptación de datos informáticos



Se podría alegar también que la secretaria, en la medida que tenía acceso a las claves del sistema de pagos de MODA, pudo vender esos datos a terceros, para que éstos ingresaran ilícitamente al sistema. En ese sentido, se podría sostener que la secretaria había incurrido en el delito de tráfico ilegal de datos personales, previsto en el artículo 154-A del Código Penal.7 Sin embargo, para que se configure este delito, se exige que se trafique información privada sobre una persona natural y no jurídica; en el presente caso, toda vez que las claves traficadas pertenecen a la empresa MODA, no estamos hablando de información privada de persona natural, por lo que no se configura este tipo penal. Sin duda, es necesario que se realice una modificación normativa al respecto.

La disposición inconsulta de pagos de la empresa MODA 

En este caso, se habría cometido una acción constitutiva de fraude informático, porque, debido a que se tuvo el acceso al sistema de la empresa MODA, se pudo realizar transacciones por el valor de $ 12,500, lo que implica un perjuicio patrimonial para dicha empresa. Se podría sustentar, de manera inicial, que la secretaria, en la medida que tenía las claves de acceso, cometió un delito de fraude informático (Art. 8, Ley N° 30096),8 toda vez que manipuló el sistema de pago de BANCOS para realizar transferencias que perjudicaron el patrimonio de la empresa MODA. Sin embargo, al igual que el caso anterior, también es posible sostener que una tercera persona (quien previamente habría obtenido de manera ilegal los datos de acceso al sistema), pudo también realizar un delito de fraude informático.



Sin embargo, también se puede sostener que la manipulación electrónica realizada (ya sea por la secretaria o por tercero), no generó un perjuicio para la empresa, toda vez que se hicieron pagos a proveedores reales. Y, en la medida que no hay perjuicio, no se cumple con un elemento del tipo penal, lo que hace atípica la conducta.

Bloqueo de sistema de la computadora de la secretaria 

Finalmente, también se habría realizado una conducta de sabotaje informático o “Mischief”, ya que la persona que ingresó al sistema buscó también obstaculizar el equipo que contiene los

El que deliberada e ilegítimamente intercepta datos informáticos en transmisiones no públicas, dirigidos a un sistema informático, originados en un sistema informático o efectuado dentro del mismo, incluidas las emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos informáticos, será reprimido con una pena privativa de libertad no menor de tres ni mayor de seis años. La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información clasificada como secreta, reservada o confidencial de conformidad con la Ley 27806, Ley de Transparencia y Acceso a la Información Pública. La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito comprometa la defensa, seguridad o soberanía nacionales. Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en un tercio por encima del máximo legal previsto en los supuestos anteriores. 6 En ese sentido, destaca en la legislación colombiana que cuenten con diversos tipos penales que sancionen el espionaje, como son los delitos de interceptación de datos informáticos (269C), violación de datos personales (269F), suplantación de sitios web para capturar datos personas (269G). 7 Artículo 154-A. Tráfico ilegal de datos personales El que ilegítimamente comercializa o vende información no pública relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga sobre una persona natural, será reprimido con pena privativa de libertad no menor de dos ni mayor de cinco años. Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en un tercio por encima del máximo legal previsto en el párrafo anterior. 8 Artículo 8. Fraude informático El que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte díasmulta. La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días-multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.

sistemas informáticos y base de datos9 de la empresa MODA. Lo que se demuestra con el hecho que se tuvo que recurrir a técnicos informáticos para que solucionaran el problema (ingresando al sistema por otro equipo). 

Esta conducta está prevista como delito en el artículo 4 de la Ley N° 30096, que sanciona el atentado a la integridad de sistemas informáticos. 10 No obstante, también es posible que este delito haya sido cometido por un tercero que, previamente averiguó las claves de acceso, realizó la acción defraudatoria y finalmente inutilizó el sistema.

Caso 6: “Juan” Actualmente vivimos una etapa en la sociedad, en que los riesgos informáticos van tomando cada día mayor importancia11 es por eso que actualmente se presentan los delitos informáticos y los ciberdelitos 12 como un nuevo paradigma para el Derecho Penal; sin embargo, toda respuesta debe ser respetuosa de los derechos fundamentales de las personas, así como de los principios que rigen el Derecho Penal, entre lo que destaca el principio de ultima ratio13. En el caso, al igual que el anterior, debemos identificar los hechos relevantes que son materia de análisis: Acceso de Juan a la nube, violentando las medidas de seguridad 

9

En este caso, Juan habría cometido el delito tipificado en el artículo 2 de la Ley N° 30096, en la medida que se cumplirían todos los elementos: a) el sujeto activo es Juan, ya que el tipo no establece especialidad alguna: cualquier persona puede cometer el ilícito 14; b) el sujeto pasivo también puede ser cualquiera, ya sea persona natural o jurídica15; c) el bien jurídico protegido es la seguridad de la información y los datos informáticos, con lo cual se sanciona la lesión de la confiabilidad, integridad y la libre disponibilidad directa de los sistemas informáticos16 y en segundo lugar se pone en peligro la intimidad de los datos; d) el objeto sobre el cual recae la acción es el sistema informático, entendido como todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de programas 17; en el caso concreto, sería la nube privada donde los investigadores guardan la información periodística; e) la conducta típica es el acceso al sistema informático con la vulneración de una medida de seguridad, que en el caso concreto se refiere al acceso a la nube privada, violentando las medidas de seguridad; f) como es un delito de mera actividad, el solo ingreso ya tipifica el hecho punible, por lo que no se exige finalidad alguna, en ese sentido, la intención que tiene Juan de destruir los archivos no es tomado en cuenta por el tipo penal, al menos no para este delito; g) el

POSADA MAYA, Ricardo. Aproximación a la criminalidad informática en Colombia. En: https://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoytics/ytics86.pdf (consultado el 28 de mayo de 2015). Pág. 38. 10 Artículo 4. Atentado a la integridad de sistemas informáticos El que deliberada e ilegítimamente inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días-multa. 11 SALINAS SICCHA, Ramiro; “Derecho Penal Parte Especial”; Editora Grijley; Lima 2013; págs.1299-1303. 12 Concepto de “ciberdelito” y la distinción con el concepto de “criminalidad informática” en: POSADA MAYA, Ricardo; “El Delito de Transferencia no Consentida de activos”; Revista de Derecho. Comunicaciones y nuevas tecnologías. N 8; Facultad de Derecho Universidad de los Andes; Bogotá 2013; págs. 213-215. 13 Véase: VILLAVICENCIO T, Felipe; “Derecho Penal Parte General”; Editora Grijley; Lima-Perú 2007; pág. 93. 14 Para más detalles véase: POSADA MAYA, Ricardo; “El Delito de Acceso Abusivo a Sistema Informático”; Revista de Derecho. Comunicaciones y nuevas tecnologías N 9; Facultad de Derecho Universidad de los Andes; Bogotá 2013; págs.105-108. 15 POSADA MAYA, Ricardo; ibídem. pág. 108. 16 POSADA MAYA, Ricardo; ibídem. pág. 109. 17 Artículo 1 del Convenio sobre la Ciberdelincuencia, Budapest, 23.XI.2001. y consagrado en la Novena “Disposiciones Complementarias Finales” de la ley 30096 Ley de Delitos Informáticos.

acceso debe ser sin autorización, tal como ocurre en el caso toda vez que Juan ingresa violentando las medidas de seguridad. 

De otro lado, el tipo penal exige el dolo directo o de primer grado (no eventual), lo que se cumple en el caso, por cuanto Juan actúa con dolo de acceder al sistema informático. Como se señaló, no se exige finalidad alguna.

La destrucción de datos de la nube privada 

En un segundo momento, la conducta de Juan (destruir los datos de la nube) configura una conducta de sabotaje informático18 la misma que en nuestro ordenamiento jurídico se tipifica en los artículos 3 (atentado a la integridad de datos informáticos) y 4 (atentando a la integridad de sistemas informáticos) de la Ley N° 30096. 19 Al respecto, consideramos que Juan comete ambos delitos toda vez que:



Con respecto al artículo 3, Juan: i) destruyó los datos contenidos en la nube, que puede subsumirse en las conductas de dañar o borrar, establecidas en el tipo penal; ii) lo realizó de manera dolosa (de primer grado) y sin autorización, es decir, de manera deliberada e ilegítima. Con respecto al artículo 4, de igual forma, Juan: i) al violentar el acceso a la “nube privada” de la revista CPP, se está inutilizando un sistema informático ya que no cuenta con medidas de seguridad; ii) dicha conducta fue realizada de manera deliberada e ilegítima, es decir, con dolo y sin autorización.



A manera de conclusión: Juan comete los delitos tipificados en los artículos 2, 3 y 4 de la ley 30096, se le aplicaran las reglas del concurso de delitos para la determinación de la pena.

BIBLIOGRAFIA:      



  

18

CLAUS ROXIN; “Derecho Penal Parte general”; Tomo I Fundamentos; La Estructura De La Teoría Del Delito; Editorial Civitas, S. A. Madrid - España 1997. JAKOBS, Günther; “Derecho Penal Parte General Fundamentos y teoría de la imputación”; Edit. Marcial Pons Ediciones jurídicas; Madrid 1997. JESCHECK, Hans-Heinrich; “Tratado de derecho penal. Parte general.”; Traducción José Luis Manzanares Samaniego; Comares; Granada 1993. MIR PUIG, Santiago; “Función De La Pena Y Teoría Del Delito En El Estado Social Y Democrático De Derecho”; BOSCH, Casa Editorial, S. A.; Barcelona 1982. POSADA MAYA, Ricardo; “Aproximación a la Criminalidad Informática en Colombia. En: https://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoytics/ytics86.pdf POSADA MAYA, Ricardo; “El Delito de Acceso Abusivo a Sistema Informático”; Revista de Derecho. Comunicaciones y nuevas tecnologías N 9; Facultad de Derecho Universidad de los Andes; Bogotá 2013. POSADA MAYA, Ricardo; “El Delito de Transferencia no Consentida de activos”; Revista de Derecho. Comunicaciones y nuevas tecnologías. N 8; Facultad de Derecho Universidad de los Andes; Bogotá 2013. SALINAS SICCHA, Ramiro; “Derecho Penal Parte Especial”; Editora Grijley; Lima 2013. VILLAVICENCIO T, Felipe; “Derecho Penal Parte General”; Editora Grijley; Lima-Perú 2007. WELSEL, Hans; “Derecho Penal Parte General”; Trad. Conrado A. Finzi; Editorial Depalma; Buenos Aires 1956.

POSADA MAYA, Ricardo; “Aproximación a la Criminalidad Informática https://derechoytics.uniandes.edu.co/components/com_revista/archivos/derechoytics/ytics86.pdf; págs.38-42. 19 Artículos modificados por el artículo 1 de la ley N 30171 del 10/03/2014.

en

Colombia”:



ZAFFARONI; “Tratado De Derecho Penal Parte General”; Tomo I; Ediar; Argentina 1981.

LEGISLACIÓN:   

Convenio sobre la Ciberdelincuencia, Budapest, 23.XI.2001. Ley 30171. Ley 30096.