1.
Introducción.
2. Objetivos
3. Alcances Y
Limitaciones
4. Conceptualización y
generalidades.
5. Tipificación de los delitos
informáticos
6. Estadísticas Sobre Delitos
Informáticos
7. Impacto de los delitos
informáticos
8. Seguridad contra los
delitos informáticos.
9. Legislación sobre
delitos informáticos
10. Auditor versus delitos
informaticos
12.
Referencias.
A nadie escapa la enorme influencia que ha alcanzado la
informática en la vida diaria de las
personas y organizaciones, y
la importancia que tiene su progreso para el desarrollo de
un país. Las transacciones comerciales, la
comunicación, los procesos
industriales, las investigaciones,
la seguridad, la
sanidad, etc. son todos aspectos que dependen cada día
más de un adecuado desarrollo de
la tecnología informática.
Junto al avance de la tecnología
informática y su influencia en casi todas las áreas
de la vida social, ha surgido una serie de comportamientos
ilícitos denominados, de manera genérica,
«delitos
informáticos».
Debido a lo anterior se desarrolla el presente documento
que contiene una investigación sobre la temática de
los delitos
informáticos, de manera que al final pueda establecerse
una relación con la auditoría
informática.
Para lograr una investigación completa de la
temática se establece la conceptualización
respectiva del tema, generalidades asociadas al fenómeno,
estadísticas mundiales sobre delitos
informáticos, el efecto de éstos en diferentes
áreas, como poder
minimizar la amenaza de los delitos a
través de la seguridad,
aspectos de legislación informática, y por
último se busca unificar la investigación realizada
para poder
establecer el papel de la
auditoría informática frente a los
delitos informáticos.
Al final del documento se establecen las conclusiones
pertinentes al estudio, en las que se busca destacar situaciones
relevantes, comentarios, análisis, etc.
General
Realizar una investigación profunda acerca del
fenómeno de los Delitos Informáticos, analizando el
impacto de éstos en la función de
Auditoria Informática en cualquier tipo de organización.
Específicos.
- Conceptualizar la naturaleza de
los Delitos Informáticos - Estudiar las características de este tipo de
Delitos - Tipificar los Delitos de acuerdo a sus características principales
- Investigar el impacto de éstos actos en la
vida social y tecnológica de la sociedad - Analizar las consideraciones oportunas en el
tratamiento de los Delitos Informáticos - Mencionar las empresas que
operan con mayor riesgo de ser
víctimas de ésta clase de actos - Analizar la Legislatura que enmarca a ésta
clase de Delitos, desde un contexto Nacional e
Internacional. - Definir el rol del auditor ante los Delitos
Informáticos - Presentar los indicadores
estadísticos referentes a éstos actos
delictivos
Alcances
Esta investigación sólo tomará en
cuenta el estudio y análisis de la información referente al problema del
Delito
Informático, tomando en consideración aquellos
elementos que aporten criterios con los cuales se puedan realizar
juicios valorativos respecto al papel que
juega la Auditoria Informática ante éste tipo de
hechos.
Limitaciones
La principal limitante para realizar ésta
investigación es la débil infraestructura legal que
posee nuestro país con respecto a la identificación
y ataque a éste tipo de Delitos, no obstante se poseen los
criterios suficientes sobre la base de la experiencia de otras
naciones para el adecuado análisis e interpretación
de éste tipo de actos delictivos.
4. Conceptualización y
generalidades.
Fraude puede ser definido como engaño,
acción contraria a la verdad o a la rectitud. La
definición de Delito puede ser
más compleja.
Muchos estudiosos del Derecho Penal han
intentado formular una noción de delito que sirviese para
todos los tiempos y en todos los países. Esto no ha sido
posible dada la íntima conexión que existe entre la
vida social y la jurídica de cada pueblo y cada siglo,
aquella condiciona a ésta.
Según el ilustre penalista CUELLO CALON, los
elementos integrantes del delito son:
- El delito es un acto humano, es una acción
(acción u omisión) - Dicho acto humano ha de ser antijurídico, debe
lesionar o poner en peligro un interés
jurídicamente protegido. - Debe corresponder a un tipo legal (figura de delito),
definido por La Ley, ha de ser
un acto típico. - El acto ha de ser culpable, imputable a dolo
(intención) o a culpa (negligencia), y una acción
es imputable cuando puede ponerse a cargo de una determinada
persona - La ejecución u omisión del acto debe
estar sancionada por una pena.
Por tanto, un delito es: una acción
antijurídica realizada por un ser humano, tipificado,
culpable y sancionado por una pena.
Se podría definir el delito informático
como toda acción (acción u omisión) culpable
realizada por un ser humano, que cause un perjuicio a personas
sin que necesariamente se beneficie el autor o que, por el
contrario, produzca un beneficio ilícito a su autor aunque
no perjudique de forma directa o indirecta a la víctima,
tipificado por La Ley, que se
realiza en el entorno informático y está sancionado
con una pena.
De esta manera, el autor mexicano Julio TELLEZ VALDEZ
señala que los delitos informáticos son "actitudes
ilícitas en que se tienen a las computadoras
como instrumento o fin (concepto
atípico) o las conductas típicas,
antijurídicas y culpables en que se tienen a las computadoras
como instrumento o fin (concepto
típico)". Por su parte, el tratadista penal italiano
Carlos SARZANA, sostiene que los delitos informáticos son
"cualquier comportamiento
criminal en que la computadora
está involucrada como material, objeto o mero
símbolo".
En la actualidad las computadoras se utilizan no solo
como herramientas
auxiliares de apoyo a diferentes actividades humanas, sino como
medio eficaz para obtener y conseguir información, lo que las ubica
también como un nuevo medio de comunicación, y condiciona su desarrollo de
la informática; tecnología cuya esencia se resume
en la creación, procesamiento, almacenamiento y
transmisión de datos.
La informática esta hoy presente en casi todos
los campos de la vida moderna. Con mayor o menor rapidez todas
las ramas del saber humano se rinden ante los progresos
tecnológicos, y comienzan a utilizar los sistemas de
Información para ejecutar tareas que en otros tiempos
realizaban manualmente.
El progreso cada día más importante y
sostenido de los sistemas
computacionales permite hoy procesar y poner a disposición
de la sociedad una
cantidad creciente de información de toda naturaleza, al
alcance concreto de
millones de interesados y de usuarios. Las más diversas
esferas del conocimiento
humano, en lo científico, en lo técnico, en lo
profesional y en lo personal
están siendo incorporadas a sistemas
informáticos que, en la práctica cotidiana, de
hecho sin limitaciones, entrega con facilidad a quien lo desee un
conjunto de datos que hasta
hace unos años sólo podían ubicarse luego de
largas búsquedas y selecciones en que el hombre
jugaba un papel determinante y las máquinas
existentes tenían el rango de equipos auxiliares para
imprimir los resultados. En la actualidad, en cambio, ese
enorme caudal de conocimiento
puede obtenerse, además, en segundos o minutos,
transmitirse incluso documentalmente y llegar al receptor
mediante sistemas sencillos de operar, confiables y capaces de
responder casi toda la gama de interrogantes que se planteen a
los archivos
informáticos.
Puede sostenerse que hoy las perspectivas de la
informática no tienen límites
previsibles y que aumentan en forma que aún puede
impresionar a muchos actores del proceso.
Este es el panorama de este nuevo fenómeno
científico tecnológico en las sociedades
modernas. Por ello ha llegado a sostenerse que la
Informática es hoy una forma de Poder Social. Las
facultades que el fenómeno pone a disposición de
Gobiernos y de particulares, con rapidez y ahorro
consiguiente de tiempo y
energía, configuran un cuadro de realidades de
aplicación y de posibilidades de juegos
lícito e ilícito, en donde es necesario el derecho
para regular los múltiples efectos de una
situación, nueva y de tantas potencialidades en el medio
social.
Los progresos mundiales de las computadoras, el
creciente aumento de las capacidades de almacenamiento y
procesamiento, la miniaturización de los chips de las
computadoras instalados en productos
industriales, la fusión del
proceso de la
información con las nuevas
tecnologías de comunicación, así como la
investigación en el campo de la inteligencia
artificial, ejemplifican el desarrollo actual definido a
menudo como la "era de la información".
Esta marcha de las aplicaciones de la informática
no sólo tiene un lado ventajoso sino que plantea
también problemas de
significativa importancia para el funcionamiento y la seguridad
de los sistemas informáticos en los negocios, la
administración, la defensa y la sociedad.
Debido a esta vinculación, el aumento del nivel
de los delitos relacionados con los sistemas informáticos
registrados en la última década en los Estados Unidos,
Europa
Occidental, Australia y Japón,
representa una amenaza para la economía de un
país y también para la sociedad en su
conjunto.
De acuerdo con la definición elaborada por un
grupo de
expertos, invitados por la OCDE a París en mayo de 1983,
el término delitos relacionados con las computadoras se
define como cualquier comportamiento
antijurídico, no ético o no autorizado, relacionado
con el procesado automático de datos y/o transmisiones de
datos. La amplitud de este concepto es ventajosa, puesto que
permite el uso de las mismas hipótesis de trabajo para toda clase de
estudios penales, criminólogos, económicos,
preventivos o legales.
En la actualidad la informatización se ha
implantado en casi todos los países. Tanto en la
organización y administración de empresas y
administraciones públicas como en la investigación científica, en la
producción industrial o en el estudio e
incluso en el ocio, el uso de la informática es en
ocasiones indispensable y hasta conveniente. Sin embargo, junto a
las incuestionables ventajas que presenta comienzan a surgir
algunas facetas negativas, como por ejemplo, lo que ya se conoce
como "criminalidad informática".
El espectacular desarrollo de la tecnología
informática ha abierto las puertas a nuevas posibilidades
de delincuencia
antes impensables. La manipulación fraudulenta de los
ordenadores con ánimo de lucro, la destrucción de
programas o
datos y el acceso y la utilización indebida de la
información que puede afectar la esfera de la privacidad,
son algunos de los procedimientos
relacionados con el procesamiento electrónico de datos
mediante los cuales es posible obtener grandes beneficios
económicos o causar importantes daños materiales o
morales. Pero no sólo la cuantía de los perjuicios
así ocasionados es a menudo infinitamente superior a la
que es usual en la delincuencia
tradicional, sino que también son mucho más
elevadas las posibilidades de que no lleguen a descubrirse. Se
trata de una delincuencia de especialistas capaces muchas veces
de borrar toda huella de los hechos.
En este sentido, la informática puede ser el
objeto del ataque o el medio para cometer otros delitos. La
informática reúne unas características que
la convierten en un medio idóneo para la comisión
de muy distintas modalidades delictivas, en especial de carácter
patrimonial (estafas, apropiaciones indebidas, etc.). La
idoneidad proviene, básicamente, de la gran cantidad de
datos que se acumulan, con la consiguiente facilidad de acceso a
ellos y la relativamente fácil manipulación de esos
datos.
La importancia reciente de los sistemas de datos, por su
gran incidencia en la marcha de las empresas, tanto
públicas como privadas, los ha transformado en un objeto
cuyo ataque provoca un perjuicio enorme, que va mucho más
allá del valor material
de los objetos destruidos. A ello se une que estos ataques son
relativamente fáciles de realizar, con resultados
altamente satisfactorios y al mismo tiempo procuran a
los autores una probabilidad
bastante alta de alcanzar los objetivos sin
ser descubiertos.
Características de los
delitos
Según el mexicano Julio Tellez Valdez, los
delitos informáticos presentan las siguientes
características principales:
- Son conductas criminales de cuello blanco (white
collar crime), en tanto que sólo un determinado
número de personas con ciertos conocimientos (en este
caso técnicos) puede llegar a cometerlas. - Son acciones
ocupacionales, en cuanto a que muchas veces se realizan cuando
el sujeto se halla trabajando. - Son acciones de
oportunidad, ya que se aprovecha una ocasión creada o
altamente intensificada en el mundo de funciones y
organizaciones
del sistema
tecnológico y económico. - Provocan serias pérdidas económicas, ya
que casi siempre producen "beneficios" de más de cinco
cifras a aquellos que las realizan. - Ofrecen posibilidades de tiempo y espacio, ya que en
milésimas de segundo y sin una necesaria presencia
física
pueden llegar a consumarse. - Son muchos los casos y pocas las denuncias, y todo
ello debido a la misma falta de regulación por parte del
Derecho. - Son muy sofisticados y relativamente frecuentes en el
ámbito militar. - Presentan grandes dificultades para su
comprobación, esto por su mismo carácter
técnico. - Tienden a proliferar cada vez más, por lo que
requieren una urgente regulación. Por el momento siguen
siendo ilícitos impunes de manera manifiesta ante la
ley.
Sistemas y empresas con
mayor riesgo.
Evidentemente el artículo que resulta más
atractivo robar es el dinero o
algo de valor. Por lo
tanto, los sistemas que pueden estar más expuestos a
fraude son los
que tratan pagos, como los de nómina,
ventas, o
compras. En ellos
es donde es más fácil convertir transacciones
fraudulentas en dinero y
sacarlo de la
empresa.
Por razones similares, las empresas constructoras,
bancos y
compañías de seguros,
están más expuestas a fraudes que las
demás.
Los sistemas mecanizados son susceptibles de
pérdidas o fraudes debido a que:
- Tratan grandes volúmenes de datos e interviene
poco personal, lo
que impide verificar todas las partidas. - Se sobrecargan los registros
magnéticos, perdiéndose la evidencia auditable o
la secuencia de acontecimientos. - A veces los registros
magnéticos son transitorios y a menos que se realicen
pruebas
dentro de un período de tiempo corto, podrían
perderse los detalles de lo que sucedió, quedando
sólo los efectos. - Los sistemas son impersonales, aparecen en un formato
ilegible y están controlados parcialmente por personas
cuya principal preocupación son los aspectos
técnicos del equipo y del sistema y que
no comprenden, o no les afecta, el significado de los datos que
manipulan. - En el diseño de un sistema importante es
difícil asegurar que se han previsto todas las
situaciones posibles y es probable que en las previsiones que
se hayan hecho queden huecos sin cubrir. Los sistemas tienden a
ser algo rígidos y no siempre se diseñan o
modifican al ritmo con que se producen los acontecimientos;
esto puede llegar a ser otra fuente de "agujeros". - Sólo parte del personal de proceso de datos
conoce todas las implicaciones del sistema y el centro de
cálculo puede llegar a ser un centro de
información. Al mismo tiempo, el centro de cálculo
procesará muchos aspectos similares de las
transacciones. - En el centro de cálculo hay un personal muy
inteligente, que trabaja por iniciativa propia la
mayoría del tiempo y podría resultar
difícil implantar unos niveles normales de control y
supervisión. - El error y el fraude son
difíciles de equiparar. A menudo, los errores no son
iguales al fraude. Cuando surgen discrepancias, no se imagina
que se ha producido un fraude, y la investigación puede
abandonarse antes de llegar a esa conclusión. Se tiende
a empezar buscando errores de programación y del sistema. Si falla esta
operación, se buscan fallos técnicos y
operativos. Sólo cuando todas estas averiguaciones han
dado resultados negativos, acaba pensándose en que la
causa podría ser un fraude.
Los delitos pueden ser examinado desde dos puntos de
vista diferentes:
- Los delitos que causan mayor impacto a las
organizaciones. - Los delitos más difíciles de
detectar.
Aunque depende en gran medida del tipo de organización, se puede mencionar que los
Fraudes y sabotajes son los delitos de mayor incidencia en las
organizaciones. Además, aquellos que no están
claramente definidos y publicados dentro de la
organización como un delito (piratería, mala utilización de la
información, omisión deliberada de controles, uso
no autorizado de activos y/o
servicios
computacionales; y que en algún momento pueden generar un
impacto a largo plazo).
Pero si se examina la otra perspectiva, referente a los
delitos de difícil detección, se deben situar a
aquellos producidos por las personas que trabajan internamente en
una organización y que conocen perfectamente la
configuración interna de las plataformas; especialmente
cuando existe una cooperación entre empleados,
cooperación entre empleados y terceros, o incluso el
involucramiento de la
administración misma.
5. Tipificación de los delitos
informáticos
Clasificación
Según la Actividad Informática
Sabotaje informático
El término sabotaje informático comprende
todas aquellas conductas dirigidas a causar daños en el
hardware o en el
software de un
sistema. Los métodos
utilizados para causar destrozos en los sistemas
informáticos son de índole muy variada y han ido
evolucionando hacia técnicas
cada vez más sofisticadas y de difícil
detección. Básicamente, se puede diferenciar dos
grupos de
casos: por un lado, las conductas dirigidas a causar destrozos
físicos y, por el otro, los métodos
dirigidos a causar daños lógicos.
Conductas dirigidas a causar daños
físicos
El primer grupo
comprende todo tipo de conductas destinadas a la
destrucción «física» del
hardware y el
software de un
sistema (por ejemplo: causar incendios o
explosiones, introducir piezas de aluminio
dentro de la computadora
para producir cortocircuitos, echar café o
agentes cáusticos en los equipos, etc. En general, estas
conductas pueden ser analizadas, desde el punto de vista
jurídico, en forma similar a los comportamientos
análogos de destrucción física de otra clase
de objetos previstos típicamente en el delito de
daño.
Conductas dirigidas a causar daños
lógicos
El segundo grupo, más específicamente
relacionado con la técnica informática, se refiere
a las conductas que causan destrozos
«lógicos», o sea, todas aquellas conductas que
producen, como resultado, la destrucción,
ocultación, o alteración de datos contenidos en un
sistema informático.
Este tipo de daño a un sistema se puede alcanzar
de diversas formas. Desde la más simple que podemos
imaginar, como desenchufar el ordenador de la electricidad
mientras se esta trabajando con él o el borrado de
documentos o
datos de un archivo, hasta la
utilización de los más complejos programas
lógicos destructivos (crash programs), sumamente riesgosos
para los sistemas, por su posibilidad de destruir gran cantidad
de datos en un tiempo mínimo.
Estos programas destructivos, utilizan distintas
técnicas de sabotaje, muchas veces, en forma combinada.
Sin pretender realizar una clasificación rigurosa de estos
métodos de destrucción lógica,
podemos distinguir:
La jurisprudencia francesa registra un ejemplo de
este tipo de casos. Un empleado programó el sistema de
tal forma que los ficheros de la empresa se
destruirían automáticamente si su nombre era
borrado de la lista de empleados de la
empresa.- Bombas lógicas (time bombs): En esta
modalidad, la actividad destructiva del programa
comienza tras un plazo, sea por el mero transcurso del tiempo
(por ejemplo a los dos meses o en una fecha o a una hora
determinada), o por la aparición de determinada
señal (que puede aparecer o puede no aparecer), como la
presencia de un dato, de un código, o cualquier mandato que, de
acuerdo a lo determinado por el programador, es identificado
por el programa como
la señal para empezar a actuar. - Otra modalidad que actúa sobre los programas
de aplicación es el llamado «cáncer de
rutinas» («cancer
routine»). En esta técnica los programas
destructivos tienen la particularidad de que se reproducen, por
sí mismos, en otros programas, arbitrariamente
escogidos. - Una variante perfeccionada de la anterior modalidad
es el «virus
informático» que es un programa capaz de
multiplicarse por sí mismo y contaminar los otros
programas que se hallan en el mismo disco rígido donde
fue instalado y en los datos y programas contenidos en los
distintos discos con los que toma contacto a través de
una conexión.
Fraude a través de computadoras
Estas conductas consisten en la manipulación
ilícita, a través de la creación de datos
falsos o la alteración de datos o procesos
contenidos en sistemas informáticos, realizada con el
objeto de obtener ganancias indebidas.
Los distintos métodos para realizar estas
conductas se deducen, fácilmente, de la forma de trabajo
de un sistema informático: en primer lugar, es posible
alterar datos, omitir ingresar datos verdaderos o introducir
datos falsos, en un ordenador. Esta forma de realización
se conoce como manipulación del input.
Ulrich Sieber, cita como ejemplo de esta modalidad el
siguiente caso tomado de la jurisprudencia
alemana:
Una empleada de un banco del sur de
Alemania
transfirió, en febrero de 1983, un millón
trescientos mil marcos alemanes a la cuenta de una amiga –
cómplice en la maniobra – mediante el simple mecanismo de
imputar el crédito
en una terminal de computadora
del banco. La
operación fue realizada a primera hora de la mañana
y su falsedad podría haber sido detectada por el sistema
de seguridad del banco al mediodía. Sin embargo, la
rápida transmisión del crédito
a través de sistemas informáticos conectados en
línea (on line), hizo posible que la amiga de la empleada
retirara, en otra sucursal del banco, un millón doscientos
ochenta mil marcos unos minutos después de realizada la
operación informática.
En segundo lugar, es posible interferir en el correcto
procesamiento de la información, alterando el programa o
secuencia lógica
con el que trabaja el ordenador. Esta modalidad puede ser
cometida tanto al modificar los programas originales, como al
adicionar al sistema programas especiales que introduce el
autor.
A diferencia de las manipulaciones del input que,
incluso, pueden ser realizadas por personas sin conocimientos
especiales de informática, esta modalidad es más
específicamente informática y requiere
conocimientos técnicos especiales.
Sieber cita como ejemplo el siguiente caso, tomado de la
jurisprudencia alemana:
El autor, empleado de una importante empresa,
ingresó al sistema informático un programa que le
permitió incluir en los archivos de pagos
de salarios de la
compañía a «personas ficticias» e
imputar los pagos correspondientes a sus sueldos a una cuenta
personal del autor.
Esta maniobra hubiera sido descubierta fácilmente
por los mecanismos de seguridad del banco (listas de control, sumarios
de cuentas, etc.)
que eran revisados y evaluados periódicamente por la
compañía. Por este motivo, para evitar ser
descubierto, el autor produjo cambios en el programa de pago de
salarios para que
los «empleados ficticios» y los pagos realizados, no
aparecieran en los listados de control.
Por último, es posible falsear el resultado,
inicialmente correcto, obtenido por un ordenador: a esta
modalidad se la conoce como manipulación del
output.
Una característica general de este tipo de
fraudes, interesante para el análisis jurídico, es
que, en la mayoría de los casos detectados, la conducta
delictiva es repetida varias veces en el tiempo. Lo que sucede es
que, una vez que el autor descubre o genera una laguna o falla en
el sistema, tiene la posibilidad de repetir, cuantas veces
quiera, la comisión del hecho. Incluso, en los casos de
"manipulación del programa", la reiteración puede
ser automática, realizada por el mismo sistema sin ninguna
participación del autor y cada vez que el programa se
active. En el ejemplo jurisprudencial citado al hacer referencia
a las manipulaciones en el programa, el autor podría irse
de vacaciones, ser despedido de la empresa o incluso morir y el
sistema seguiría imputando el pago de sueldos a los
empleados ficticios en su cuenta personal.
Una problemática especial plantea la posibilidad
de realizar estas conductas a través de los sistemas de
teleproceso. Si el sistema informático está
conectado a una red de comunicación
entre ordenadores, a través de las líneas
telefónicas o de cualquiera de los medios de
comunicación remota de amplio desarrollo en los
últimos años, el autor podría realizar estas
conductas sin ni siquiera tener que ingresar a las oficinas donde
funciona el sistema, incluso desde su propia casa y con una
computadora personal. Aún más, los sistemas de
comunicación internacional, permiten que una conducta de este
tipo sea realizada en un país y tenga efectos en
otro.
Respecto a los objetos sobre los que recae la
acción del fraude informático, estos son,
generalmente, los datos informáticos relativos a activos o
valores. En la
mayoría de los casos estos datos representan valores
intangibles (ej.: depósitos monetarios, créditos, etc.), en otros casos, los datos
que son objeto del fraude, representan objetos corporales
(mercadería, dinero en
efectivo, etc.) que obtiene el autor mediante la
manipulación del sistema. En las manipulaciones referidas
a datos que representan objetos corporales, las pérdidas
para la víctima son, generalmente, menores ya que
están limitadas por la cantidad de objetos disponibles. En
cambio, en la
manipulación de datos referida a bienes
intangibles, el monto del perjuicio no se limita a la cantidad
existente sino que, por el contrario, puede ser
«creado» por el autor.
Ejemplos
El autor, empleado del Citibank, tenía acceso a
las terminales de computación de la institución
bancaria. Aprovechando esta circunstancia utilizó, en
varias oportunidades, las terminales de los cajeros, cuando ellos
se retiraban, para transferir, a través del sistema
informático, fondos de distintas cuentas a su
cuenta personal.
Posteriormente, retiró el dinero en
otra de las sucursales del banco.
En primera instancia el Juez calificó los hechos
como constitutivos del delito de hurto en forma reiterada. La
Fiscalía de Cámara solicitó
el cambio de calificación, considerando que los hechos
constituían el delito de estafa.
La Cámara del crimen resolvió:
«… y contestando a la teoría
fiscal,
entiendo que le asiste razón al Dr. Galli en cuanto
sostiene que estamos en presencia del tipo penal de hurto y no de
estafa. Ello es así porque el apoderamiento lo hace el
procesado y no le entrega el banco por medio de un error,
requisito indispensable para poder hablar de estafa. El
apoderamiento lo hace el procesado directamente, manejando el
sistema de computación. De manera que no hay
diferencia con la maniobra normal del cajero, que en un descuido
se apodera del dinero que maneja en caja y la maniobra en estudio
en donde el apoderamiento del dinero se hace mediante el manejo
de la
computadora…»
Como el lector advertirá, la resolución
adolece de los problemas de
adecuación típica a que hacíamos referencias
más arriba.
En realidad, el cajero no realizó la conducta de
apoderamiento que exige el tipo penal del hurto ya que
recibió el dinero de manos del cajero. En el caso de que
se considere que el apoderamiento se produjo en el momento en el
que el autor transfirió los fondos a su cuenta, el escollo
de adecuación típica insalvable deriva de la falta
de la «cosa mueble» como objeto del apoderamiento
exigido por el tipo penal.
Estafas electrónicas: La proliferación de
las compras
telemáticas permite que aumenten también los casos
de estafa. Se trataría en este caso de una dinámica comisiva que cumpliría
todos los requisitos del delito de estafa, ya que además
del engaño y el "animus defraudandi" existiría un
engaño a la persona que
compra. No obstante seguiría existiendo una laguna legal
en aquellos países cuya legislación no prevea los
casos en los que la operación se hace engañando al
ordenador.
"Pesca" u
"olfateo" de claves secretas: Los delincuentes suelen
engañar a los usuarios nuevos e incautos de la Internet para
que revelen sus claves personales haciéndose pasar por
agentes de la ley o empleados del proveedor del servicio.
Los "sabuesos" utilizan programas para identificar claves de
usuarios, que más tarde se pueden usar para esconder su
verdadera identidad y
cometer otras fechorías, desde el uso no autorizado de
sistemas de computadoras hasta delitos financieros, vandalismo
o actos de terrorismo.
Estratagemas: Los estafadores utilizan diversas
técnicas para ocultar computadoras que se "parecen"
electrónicamente a otras para lograr acceso a
algún sistema generalmente restringido y cometer
delitos. El famoso pirata Kevin Mitnick se valió de
estratagemas en 1996 para introducirse en la computadora de la
casa de Tsutomo Shimamura, experto en seguridad, y distribuir
en la Internet
valiosos útiles secretos de seguridad.
Juegos de azar: El juego
electrónico de azar se ha incrementado a medida que el
comercio
brinda facilidades de crédito y transferencia de fondos
en la Red. Los
problemas ocurren en países donde ese juego es un
delito o las autoridades nacionales exigen licencias.
Además, no se puede garantizar un juego limpio, dadas
las inconveniencias técnicas y jurisdiccionales que
entraña su supervisión.
Fraude: Ya se han hecho ofertas fraudulentas al consumidor
tales como la cotización de acciones, bonos y valores
o la venta de
equipos de computadora en regiones donde existe el comercio
electrónico.
Blanqueo de dinero: Se espera que el comercio
electrónico sea el nuevo lugar de transferencia
electrónica de mercancías o dinero
para lavar las ganancias que deja el delito, sobre todo si se
pueden ocultar transacciones.
Copia ilegal de software y espionaje
informático.
Se engloban las conductas dirigidas a obtener datos, en
forma ilegítima, de un sistema de
información. Es común el apoderamiento de datos
de investigaciones,
listas de clientes,
balances, etc. En muchos casos el objeto del apoderamiento es el
mismo programa de computación (software) que suele tener
un importante valor económico.
Infracción de los derechos de
autor: La interpretación de los conceptos de copia,
distribución, cesión y
comunicación pública de los programas de ordenador
utilizando la red provoca diferencias de criterio a nivel
jurisprudencial.
Infracción del Copyright de bases de datos:
No existe una protección uniforme de las bases de datos en
los países que tienen acceso a Internet. El sistema de
protección más habitual es el contractual: el
propietario del sistema permite que los usuarios hagan
"downloads" de los ficheros contenidos en el sistema, pero
prohibe el replicado de la base de datos o
la copia masiva de información.
Uso ilegítimo de sistemas informáticos
ajenos.
Esta modalidad consiste en la utilización sin
autorización de los ordenadores y los programas de un
sistema informático ajeno. Este tipo de conductas es
comúnmente cometida por empleados de los sistemas de
procesamiento de
datos que utilizan los sistemas de las empresas para fines
privados y actividades complementarias a su trabajo. En estos
supuestos, sólo se produce un perjuicio económico
importante para las empresas en los casos de abuso en el
ámbito del teleproceso o en los casos en que las empresas
deben pagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene
que el uso ilegítimo de passwords y la entrada en un
sistema informático sin la autorización del
propietario debe quedar tipificado como un delito, puesto que el
bien jurídico que acostumbra a protegerse con la
contraseña es lo suficientemente importante para que el
daño producido sea grave.
Delitos informáticos contra la
privacidad.
Grupo de conductas que de alguna manera pueden afectar
la esfera de privacidad del ciudadano mediante la
acumulación, archivo y
divulgación indebida de datos contenidos en sistemas
informáticos
Esta tipificación se refiere a quién, sin
estar autorizado, se apodere, utilice o modifique, en perjuicio
de tercero, datos reservados de carácter personal o
familiar de otro que se hallen registrados en ficheros o soportes
informáticos, electrónicos o telemáticos, o
cualquier otro tipo de archivo o registro
público o privado.
Existen circunstancias agravantes de la
divulgación de ficheros, los cuales se dan en
función de:
- El carácter de los datos: ideología, religión,
creencias, salud, origen racial y
vida sexual. - Las circunstancias de la víctima: menor de
edad o incapaz.
También se comprende la interceptación de
las comunicaciones, la utilización de
artificios técnicos de escucha, transmisión,
grabación o reproducción del sonido o de la
imagen o de
cualquier otra señal de comunicación, se piensa que
entre lo anterior se encuentra el pinchado de redes
informáticas.
Interceptación de e-mail: En este caso se propone
una ampliación de los preceptos que castigan la
violación de correspondencia, y la interceptación
de telecomunicaciones, de forma que la lectura de
un mensaje electrónico ajeno revista la
misma gravedad.
Pornografía infantil
La distribución de pornografía infantil por todo el mundo a
través de la Internet está en aumento. Durante
los pasados cinco años, el número de condenas por
transmisión o posesión de pornografía infantil ha aumentado de 100
a 400 al año en un país norteamericano. El
problema se agrava al aparecer nuevas tecnologías, como
la criptografía, que sirve para esconder
pornografía y demás material "ofensivo" que se
transmita o archive.
Clasificación
Según el Instrumento, Medio o Fin u
Objetivo
Asimismo, TELLEZ VALDEZ clasifica a estos delitos, de
acuerdo a dos criterios:
Como instrumento o medio.
En esta categoría se encuentran las conductas
criminales que se valen de las computadoras como método,
medio o símbolo en la comisión del ilícito,
por ejemplo:
- Falsificación de documentos
vía computarizada (tarjetas de
crédito, cheques,
etc.) - Variación de los activos y pasivos en la
situación contable de las empresas. - Planeamiento y simulación de delitos convencionales
(robo, homicidio,
fraude, etc.) - Lectura, sustracción o copiado de
información confidencial. - Modificación de datos tanto en la entrada como
en la salida. - Aprovechamiento indebido o violación de un
código para penetrar a un sistema introduciendo
instrucciones inapropiadas. - Variación en cuanto al destino de
pequeñas cantidades de dinero hacia una cuenta bancaria
apócrifa. - Uso no autorizado de programas de
computo. - Introducción de instrucciones que provocan
"interrupciones" en la lógica interna de los
programas. - Alteración en el funcionamiento de los
sistemas, a través de los virus
informáticos. - Obtención de información residual
impresa en papel luego de la ejecución de
trabajos. - Acceso a áreas informatizadas en forma no
autorizada. - Intervención en las líneas de
comunicación de datos o teleproceso.
Como fin u objetivo.
En esta categoría, se enmarcan las conductas
criminales que van dirigidas contra las computadoras, accesorios
o programas como entidad física, como por
ejemplo:
- Programación de instrucciones que producen un
bloqueo total al sistema. - Destrucción de programas por cualquier
método. - Daño a la
memoria. - Atentado físico contra la máquina o sus
accesorios. - Sabotaje político o terrorismo
en que se destruya o surja un apoderamiento de los centros
neurálgicos computarizados. - Secuestro de soportes magnéticos entre los que
figure información valiosa con fines de chantaje (pago
de rescate, etc.).
Clasificación
según Actividades Delictivas Graves
Por otro lado, la red Internet permite dar soporte para
la comisión de otro tipo de delitos:
Terrorismo: Mensajes anónimos aprovechados por
grupos
terroristas para remitirse consignas y planes de actuación
a nivel internacional.
La existencia de hosts que ocultan la identidad del
remitente, convirtiendo el mensaje en anónimo ha podido
ser aprovechado por grupos terroristas para remitirse consignas y
planes de actuación a nivel internacional. De hecho, se
han detectado mensajes con instrucciones para la
fabricación de material explosivo.
Narcotráfico: Transmisión de
fórmulas para la fabricación de estupefacientes,
para el blanqueo de dinero y para la coordinación de entregas y
recogidas.
Tanto el FBI como el Fiscal General de los Estados Unidos
han alertado sobre la necesidad de medidas que permitan
interceptar y descifrar los mensajes encriptados que utilizan los
narcotraficantes para ponerse en contacto con los
cárteles.
Espionaje: Se ha dado casos de acceso no autorizado a
sistemas informáticos gubernamentales e
interceptación de correo
electrónico del servicio
secreto de los Estados Unidos, entre otros actos que
podrían ser calificados de espionaje si el destinatario
final de esa información fuese un gobierno u
organización extranjera. Entre los casos más
famosos podemos citar el acceso al sistema informático del
Pentágono y la divulgación a través de
Internet de los mensajes remitidos por el servicio secreto
norteamericano durante la crisis nuclear
en Corea del Norte en 1994, respecto a campos de pruebas de
misiles. Aunque no parece que en este caso haya existido en
realidad un acto de espionaje, se ha evidenciado una vez
más la vulnerabilidad de los sistemas de seguridad
gubernamentales.
Espionaje industrial: También se han dado casos
de accesos no autorizados a sistemas informáticos de
grandes compañías, usurpando diseños
industriales, fórmulas, sistemas de fabricación y
know how estratégico que posteriormente ha sido
aprovechado en empresas competidoras o ha sido objeto de una
divulgación no autorizada.
Otros delitos: Las mismas ventajas que encuentran en la
Internet los narcotraficantes pueden ser aprovechadas para la
planificación de otros delitos como el
tráfico de armas,
proselitismo de sectas, propaganda de
grupos extremistas, y cualquier otro delito que pueda ser
trasladado de la vida real al ciberespacio o al
revés.
Infracciones que no Constituyen
Delitos Informáticos
Usos comerciales no éticos: Algunas empresas no
han podido escapar a la tentación de aprovechar la red
para hacer una oferta a gran
escala de sus
productos,
llevando a cabo "mailings electrónicos" al colectivo de
usuarios de un gateway, un nodo o un territorio determinado.
Ello, aunque no constituye una infracción, es mal recibido
por los usuarios de Internet, poco acostumbrados, hasta fechas
recientes, a un uso comercial de la red.
Actos parasitarios: Algunos usuarios incapaces de
integrarse en grupos de discusión o foros de debate online,
se dedican a obstaculizar las comunicaciones
ajenas, interrumpiendo conversaciones de forma repetida, enviando
mensajes con insultos personales, etc.
También se deben tomar en cuenta las obscenidades
que se realizan a través de la Internet.
6. Estadísticas Sobre Delitos
Informáticos.
Desde hace cinco años, en los Estados Unidos existe una
institución que realiza un estudio anual sobre la Seguridad
Informática y los crímenes cometidos a
través de las computadoras.
Esta entidad es El Instituto de Seguridad de Computadoras
(CSI), quien anunció recientemente los resultados de su
quinto estudio anual denominado "Estudio de Seguridad y Delitos
Informáticos" realizado a un total de 273 Instituciones
principalmente grandes Corporaciones y Agencias del Gobierno.
Este Estudio de Seguridad y Delitos Informáticos es
dirigido por CSI con la participación Agencia Federal de
Investigación (FBI) de San Francisco, División de
delitos informáticos. El objetivo de
este esfuerzo es levantar el nivel de conocimiento de seguridad,
así como ayudar a determinar el alcance de los Delitos
Informáticos en los Estados Unidos de
Norteamérica.
Entre lo más destacable del Estudio de Seguridad y
Delitos Informáticos 2000 se puede incluir lo
siguiente:
Violaciones a la seguridad
informática.
Respuestas | PORCENTAJE (%) |
No reportaron Violaciones de | 10% |
| 90% |
Reportaron Violaciones de90% de los encuestados descubrió violaciones a la
seguridad de las computadoras dentro de los últimos doce
meses.
- 70% reportaron una variedad de serias violaciones de
seguridad de las computadoras, y que el más común
de estas violaciones son los virus de
computadoras, robo de computadoras portátiles o abusos
por parte de los empleados — por ejemplo, robo de
información, fraude financiero, penetración del
sistema por intrusos y sabotaje de datos o redes.
Pérdidas Financieras.
74% reconocieron pérdidas financieras debido a
las violaciones de las computadoras.
- Las pérdidas financieras ascendieron a
$265,589,940 (el promedio total anual durante los
últimos tres años era $120,240,180).
6I encuestados cuantificaron pérdidas debido al
sabotaje de datos o redes para un total de $27,148,000. Las
pérdidas financieras totales debido al sabotaje durante
los años anteriores combinados ascendido a sólo
$10,848,850.
Como en años anteriores, las pérdidas
financieras más serias, ocurrieron a través de robo
de información (66 encuestados reportaron $66,708,000) y
el fraude financiero (53 encuestados informaron
$55,996,000).
Los resultados del estudio ilustran que esa amenaza del
crimen por computadoras a las grandes corporaciones y agencias
del gobierno viene de ambos lados dentro y fuera de sus
perímetros electrónicos, confirmando la tendencia
en años anteriores.
Accesos no autorizados.
71% de los encuestados descubrieron acceso desautorizado
por personas dentro de la empresa. Pero por tercer año
consecutivo, la mayoría de encuestados (59%)
mencionó su conexión de Internet como un punto
frecuente de ataque, los que citaron sus sistemas interiores como
un punto frecuente de ataque fue un 38%.
Basado en contestaciones de 643 practicantes de
seguridad de computadoras en corporaciones americanas, agencias
gubernamentales, instituciones
financieras, instituciones médicas y universidades, los
hallazgos del "Estudio de Seguridad y Delitos Informáticos
2000" confirman que la amenaza del crimen por computadoras y
otras violaciones de seguridad de información
continúan constantes y que el fraude financiero
está ascendiendo.
Los encuestados detectaron una amplia gama a de ataques
y abusos. Aquí están algunos otros
ejemplos:
- 25% de encuestados descubrieron penetración al
sistema del exterior. - 79% descubrieron el abuso del empleado por acceso de
Internet (por ejemplo, transmitiendo pornografía o
pirateó de software, o uso inapropiado de sistemas de
correo
electrónico). - 85% descubrieron virus de
computadoras. - Comercio electrónico.
Por segundo año, se realizaron una serie de
preguntas acerca del comercio
electrónico por Internet. Aquí están algunos
de los resultados:
- 93% de encuestados tienen sitios de WWW.
- 43% maneja el comercio electrónico en sus
sitios (en 1999, sólo era un 30%). - 19% experimentaron accesos no autorizados o
inapropiados en los últimos doce meses. - 32% dijeron que ellos no sabían si hubo o no,
acceso no autorizado o inapropiado. - 35% reconocieron haber tenido ataques, reportando de
dos a cinco incidentes. - 19% reportaron diez o más
incidentes. - 64% reconocieron ataques reportados por vandalismo de
la Web. - 8% reportaron robo de información a
través de transacciones. - 3% reportaron fraude financiero.
Conclusión sobre el estudio csi:
Las tendencias que el estudio de CSI/FBI ha resaltado
por años son alarmantes. Los "Cyber crímenes" y
otros delitos de seguridad de información se han extendido
y diversificado. El 90% de los encuestados reportaron ataques.
Además, tales incidentes pueden producir serios
daños. Las 273 organizaciones que pudieron cuantificar sus
pérdidas, informaron un total de $265,589,940. Claramente,
la mayoría fueron en condiciones que se apegan a
prácticas legítimas, con un despliegue de
tecnologías sofisticadas, y lo más importante, por
personal adecuado y entrenando, practicantes de seguridad de
información en el sector privado y en el
gobierno.
Otras estadísticas:
- La "línea caliente" de la Internet Watch
Foundation (IWF), abierta en diciembre de 1996, ha recibido,
principalmente a través del correo electrónico,
781 informes
sobre unos 4.300 materiales
de Internet considerados ilegales por usuarios de la Red. La
mayor parte de los informes
enviados a la "línea caliente" (un 85%) se refirieron a
pornografía infantil. Otros aludían a fraudes
financieros, racismo,
mensajes maliciosos y pornografía de
adultos. - Según datos recientes del Servicio Secreto de
los Estados Unidos, se calcula que los consumidores pierden
unos 500 millones de dólares al año debido a los
piratas que les roban de las cuentas online sus números
de tarjeta de crédito y de llamadas. Dichos
números se pueden vender por jugosas sumas de dinero a
falsificadores que utilizan programas especiales para
codificarlos en bandas magnéticas de tarjetas
bancarias y de crédito, señala el Manual de la
ONU. - Los delincuentes cibernéticos al acecho
también usan el correo electrónico para enviar
mensajes amenazantes especialmente a las mujeres. De acuerdo al
libro de
Barbara Jenson "Acecho cibernético: delito,
represión y responsabilidad personal en el mundo online",
publicado en 1996, se calcula que unas 200.000 personas acechan
a alguien cada año. - En Singapur El número de delitos
cibernéticos detectados en el primer semestre del 2000,
en el que se han recibido 127 denuncias, alcanza ya un 68 por
ciento del total del año pasado, la policía de
Singapur prevé un aumento este año en los delitos
por Internet de un 38% con respecto a 1999. - En relación con Internet y la
informática, la policía de Singapur
estableció en diciembre de 1999 una oficina para
investigar las violaciones de los derechos de propiedad y
ya ha confiscado copias piratas por valor de 9,4 millones de
dólares. - En El Salvador, existe más de un 75% de
computadoras que no cuentan con licencias que amparen los
programas (software) que utilizan. Esta proporción tan
alta ha ocacionado que organismos Internacionales reacciones
ante este tipo de delitos tal es el caso de BSA (Bussines
Software Alliance).
Página siguiente  |