I PLANTEAMIENTO DEL PROBLEMA

I.1 DESCRIPCION DE LA REALIDAD PROBLEMÁTICA

El Perú es un paraíso para los delitos informáticos esto se debe a la poca cultura tecnológica
que maneja la sociedad y la apolítica en general en no darle importancia a la cada vez más
imprescindible tecnología de esta misma enfermedad sufren algunos estudiosos del derecho
que miran de menos al derecho informático un pensamiento casi retrograda en la actual
sociedad cuyo motor principal es la tecnología que avanza día a día, un país donde el estado
no se esmera en actualiza sus equipos informáticos otorgando deficiencia en las diferentes
entidades estatales, un país donde su población ha sido víctima e incluso victimario de algún
delito informático sin su conocimiento, y leyes que no otorgan una protección adecuada, solo
una sanción que no abarca a todos los delitos y muchas veces quedan impunes por tecnicismos
e ignorancia.
El phishing es uno de estos delitos que es difícil de identificar normalmente penado como
estafa, pero también como receptación o robo de identidad uno de los delitos más comunes
empleado por los ciberdelincuentes y de los más antiguos, el Perú no es ajeno a este, dándose
principalmente casos de clonación de páginas bancarias. A nivel mundial el delito cibernético
ha traído como consecuencia no solo la pérdida de millones de dólares, sino también la de
valiosa información, que muchas veces han puesto en jaque la seguridad de organismos
gubernamentales.
En el Perú La ley 27309 (del 26 de junio de 2000) que incorpora los delitos informáticos al
Código Penal, establece penas de hasta cinco años de cárcel e incluso la prestación de servicios
comunitarios para los autores de estos delitos, y la posterior ley nº30096 que modificaba
algunos artículo de la anterior entre ellos el articulo 8 la cual plantea el fraude informático “El
que, a través de las tecnologías de la información de la comunicación, procura para sí o para
otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración,
borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación
en el funcionamiento de un sistema informático, será reprimido con una pena privativa de
libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a
ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines
asistenciales o a programas de apoyo social.”
En el Perú, la codificación penal aún incipiente, no regula del todo los comportamientos
delictivos derivados del uso de los llamados contactos virtuales (página web, internet,
Facebook, etc.); sólo se consideran los delitos informáticos, en algunos casos como formas
concursales mediales, siendo el delito fin uno de estafa u falsedad pública, etc.
Pero se puede solucionar las empresas no dan ni el 1% de su presupuesto para capacitar a sus
empleados para no ser víctimas de delitos informáticos y no solo se les debe orientar en cuanto
al ámbito informático si no humano debido que muchas empresas pueden tener una buena
seguridad pero el eslabón más débil siempre será el humano en el Perú debe haber una
concientización un aprendizaje enseñar a la población a no ser víctimas, implementar la
educación informática en los colegios estatales eliminan la curricula la “educación” y mejorar
la implementación de quipos tan desahuciados en las gran mayoría de los colegios del país.

1
I.2 FORMULACION DEL PROBLEMA
I.2.1 PROBLEMA PRINCIPAL
¿COMO LA IDENTIFICACION DE LA NATURALEZA DEL PHISHING EN TANTO
ILICITO PENAL, PERMITIRA SU TIPIFICACION COMO DELITO INFORMATICO
PARTICULAR EN EL PERU?
I.2.2 PROBLEMA ESPECÍFICO
¿CUÁL ES LA NATURALEZA JURÍDICA DEL DELITO INFORMÁTICO?
¿CUÁLES LAS CARACTERÍSTICAS ORIGEN Y EVOLUCIÓN DEL DELITO
INFORMÁTICO?
¿ES VIABLE LA INCORPORACIÓN DEL PHISHING EN EL CÓDIGO PENAL?
I.3 OBJETIVO DE INVESTIGACION
I.3.1 OBJETIVO GENERAL
Establecer conceptos generales sobre el phishing, señalando sus elementos característica y
como se constituye.
I.3.2 OBJETIVO ESPECÍFICO
1. Establecer la necesidad de incorporar en el Código Penal el tipo penal del phishing.
2. Realizar un estudio sobre los delitos informáticos
3. Determinar como la ingeniería social es el medio por el cual se realizan los delitos
informáticos
4. Realizar campañas de concientización sobre los delitos informáticos.
I.4 JUSTIFICACION DE LA INVESTIGACION
La motivación de la selección de este tema radica esencialmente en el desconocimiento de la
población al enfrentar los delitos informáticos.
Y en la poca o nula participación del estado para enfrentarlos, aplicando leyes engorrosas que
al momento de ser aplicadas solo caen un vacío jurídico que en mucho de los casos los
ciberdelincuentes quedan absueltos de sus delitos,
La investigación es necesaria, con el objetivo de determinar la criminología, la victimologia y
conociendo esta realidad determinar las sanciones punitivas correspondientes.
La trascendencia del delito informático de phishing, se debe a que en la actualidad la cantidad
de usuarios del internet se ha incrementado notablemente lo que ocasiona que acceden a los
distintos sitios y la cantidad de víctimas cada día se incrementan, quienes siendo afectados por
el cometimiento de este delito no sólo que están perjudicados, sino que además punitivamente
están en estado de indefensión.
Con el avance tecnológico en la sociedad a nivel mundial, es necesario efectuar el análisis de
las conductas que participan en la participación de este delito informático del phishing, el cual
nuestro país no debe de ser la excepción, porque las transacciones bancarias en línea cada día
son más frecuentes, muchos usuarios acceden a efectuar estas transacciones con el objetivo de
optimizar tiempo y recursos, por ello es necesario e imprescindible proteger a la sociedad y
sancionar a los ciudadanos que adecuen su conducta a este delito informático de phishing.

2
I.5 LIMITACIONES DE ESTUDIO
La principal limitación del presente trabajo es la falta de información en torno a jurisprudencia
y estudios peruanos debido a que los delitos informáticos y más específicamente el phishing
en conceptos aun nuevos encuentro país.
I.6 VIABILIDAD DE LA INVESTIGACION
A pesar de no haber antecedentes de estudios del phishing en torno al derecho en el Perú la
poca investigación es complementada con información de libros, ensayos, websites y tesis de
otros países con la misma preocupación el definir y sancionar debidamente los delitos
informáticos y especialmente el phishing.
II MARCO TEORICO
II.1 INVESTGACION PREVIA
- Yolanda Rodríguez Vidales (2017)
- Bueno, entonces ¿qué es el phishing?, esta palabra deriva de su locución en inglés cuya
pronunciación es “fishing“, que significa pesca, es justamente lo que realiza el ciber-
delincuente con este tipo de delito informático, pues lanza un anzuelo (pagina web
falsa o clonada) a la espera de poder captar alguna persona descuidada que ingrese sus
datos en la pagina web clonada o fraudulenta para posteriormente explotar los datos
ingresados por ejemplo el de tarjetas de créditos o usuarios y contraseñas que le
permitan acceder a algun tipo de información valorada.
- Gabriel di Nicola (2017)
Ahora la campaña de prevención de delitos informáticos se puede tener en el teléfono
celular.
- Lucio Pinto (2010)
En el código penal hoy no es delito difundir por whatsapp o por cualquier otro medio
electrónico – fotos de desnudeces o videos de contenido sexual de una persona que haya
dado su consentimiento para que eso pase.
- Jaime soto (2016)
Por eso, en un tiempo en el que la tecnología y la digitalización marcan pautas,
resguardarnos del cibercriminal es una tarea compartida y todos los sectores deben
involucrarse: público, privado y estado. Es un tema que hay que tomar muy en serio.
- Mrakus Spike (2016)
Se llama así a todo programa desarrollado con el objetivo de perjudicar a un sistema
informático o una red informática.
Ransoware
La palabra es una contracción de ransom (rescate, en inglés) y ware por software
(programa informático).
II.2 BASE TEORICA
II.2.1 DELITOS INFORMATICOS
En los últimos tiempos, producto del desarrollo de las tecnologías informáticas se ha ido
desarrollando una nueva forma de criminalidad denominada delitos informativos. En relación
a esta nueva forma delictiva, en el Perú se ha emitido una Ley penal especial cuya finalidad es
prevenir y sancionar las conductas ilícitas que afectan los sistemas y datas informáticos, así
como los secretos de comunicaciones, y los demás bienes jurídicos que resulte afectado con

3
esta modalidad delictiva como son el patrimonio, la fe pública y la libertad sexual. La Ley N°
30096 “Ley de delitos informativos” fue promulgada el 21 y publicado el 22 de octubre del
2013 en el diario oficial “El Peruano”. Luego fue parcialmente modificada por la Ley N° 30171
“Ley que modifica la Ley 30096, Ley de delitos informativos”, promulgada el 9 y publicada el
10 de marzo del 2014.
El proceso de integración cultural, económica y social a nivel mundial, conocido como
“globalización”, viene acompañado del gran desarrollo de la tecnología de la Información y
comunicación (en adelante TIC) y la masificación de la misma, viene jugando un papel
importante en el desarrollo cultural. Las nuevas herramientas que ofrecen las TIC al servicio
del hombre están relacionadas con la transmisión, procesamiento y almacenamiento
digitalizado de información, así como un conjunto de procesos y productos que simplifican la
comunicación y hacen más viables la interacción entre las personas. Un aporte tecnológico que
reforzó el poder de las TIC es, sin lugar a dudas, el internet (vgr. messenger, correo electrónico,
facebook, twitter, web).
Este nuevo descubrimiento superó el paradigma real del tiempo-espacio en la interacción
humana en tanto la comunicación se podía dar en tiempo real sin importar la distancia. Por otra
parte, las aplicaciones de las TIC a partir de internet, entre ellos “cibergobierno”,
“cibereducacion” y “cibersalud” se consideran elementos habilitantes para el desarrollo social
puesto que proporcionan un canal eficaz para distribuir una amplia gama de servicios básicos
en zonas remotas y rurales, pues estas aplicaciones facilitan el logro de los objetivos de
desarrollo prospectivo, mejoras en las condiciones sanitarias y medioambientales. Si bien los
diversos ámbitos de interacción se ven favorecidos por la fluidez que le brinda esta nueva
alternativa tecnológica, no obstante, se incrementan los riesgos relacionados a las tecnologías
informáticas y de comunicación.
El desarrollo de la tecnología también ha traído consigo nuevas formas delictuales que tienen
por medio y/o finalidad los sistemas informáticos e internet. Las principales características de
vulnerabilidad que presenta el mundo informático son las siguientes:
a. La falta de jerarquía en la red, que permite establecer sistemas de control, lo que
dificulta la verificación de la información que circula por este medio.
b. El creciente número de usuarios, y la facilidad de acceso al medio tecnológico.
c. El anonimato de los cibernautas que dificulta su persecución tras la comisión de un
delito a través de este medio.
d. La facilidad de acceso a la información para alterar datos, destruir sistemas
informáticos.
Otro factor determinante es la rápida difusión de información a través de este medio
tecnológico a muy bajo costo que permite a las organizaciones delictivas perpetrar delitos con
mayor facilidad. Es necesario mencionar que el hecho de criminalizar algunas conductas
desplegadas en el mundo informático, no implica desconocer las ventajas y facilidades
brindadas por estos sistemas. Son evidentes los beneficios de los adelantos tecnológicos que
trae para la sociedad el uso de la tecnología informática y comunicación.
Sin embargo, como lo expresa el informe del 12º Congreso de las Naciones Unidas sobre
Prevención del Delito y Justicia Penal , estos adelantos tecnológicos posibilitan una nueva
modalidad de cometer los delitos tradicionales como el fraude y la distribución de pornografía
infantil y a su vez facilita la comisión de nuevos delitos como la penetración en redes
informáticas, el envío de correo basura, la pesca de los datos “pishing”, la piratería digital, la
4
propagación maliciosa de virus y otros ataques contra las infraestructuras de información
esenciales. Antes de empezar a analizar la Ley de Delitos Informáticos, es necesario mencionar
que esta Ley tiene como fuente directa la COMJIB5 (Bases para la elaboración de un
instrumento internacional en materia de cibercriminalidad) y el Convenio sobre la
ciberdelincuencia – Budapest.
LOS DELITOS INFORMÁTICOS: CONCEPTO Y MODALIDADES
Los delitos informáticos se vinculan con la idea de la comisión del crimen a través del empleo
de la computadora, internet, etc.; Debido al desarrollo de la tecnología y entre ellos la
computadora, y dado la nueva forma de comisión de delitos a través de las tecnologías es que
se ha optado por denominar indistintamente a este tipo de delitos como “delito de abuso de
computadoras”, “delitos bajo la influencia de la computadora”, “criminalidad de la información
y la comunicación”, “criminalidad de internet”, “criminalidad multimedia”, y en el Perú se
denomina “delitos informáticos”. Todas estas denominaciones identifican de manera general
la problemática de la delincuencia mediante las computadoras y el empleo de las
comunicaciones; sin embargo, para efectos didáctico en la doctrina se prefiere la que se comete
a través de estos medios, pues éstos son solo instrumentos que facilitan, pero no determinan la
comisión de estos delitos.
Esta denominación, es poco usada en las legislaciones penales; no obstante, bajo ella se
describe una nueva forma de criminalidad desarrollada a partir del elevado uso de la tecnología
informática. Para Mühlen, el delito informático ha de comprender todo comportamiento
delictivo en el que la computadora es el instrumento o el objetivo del hecho. En similar sentido
Dannecker concibe el delito informativo como aquella forma de criminalidad que se encuentra
directa o indirectamente en relación con el procesamiento electrónico de datos y se comete con
la presencia de un equipo de procesamiento electrónico de datos. Por nuestra parte, entendemos
a la criminalidad informática como aquellas conductas dirigidas a burlar los sistemas de
dispositivos de seguridad, esto es invasiones a computadoras, correos o sistemas de datas
mediante una clave de acceso; conductas típicas que únicamente pueden ser cometidos a través
de la tecnología.
En un sentido amplio, comprende a todas aquellas conductas en las que las TIC son el objetivo,
el medio o el lugar de ejecución, aunque afecten a bienes jurídicos diversos y que plantea
problemas criminológicos y penales, originados por las características propias del lugar de
comisión. De la concepción de los delitos informáticos, se entiende que no todo delito puede
ser clasificado como delito informático por el solo hecho de haber empleado la computadora u
otro instrumento tecnológico. Es necesario determinar que conductas pueden ser clasificados
como delitos informáticos y cuáles no, a pesar de su vinculación con una computadora, un
procesador de datos o la red de información.
Al respecto, uno de los criterios a utilizar sería que un delito para ser clasificado dentro de los
delitos informáticos no sea posible de realizarse sin la intervención de la informática, porque
es el medio informático lo que va caracterizar este delito, el difamar a una persona a través de
los medios de comunicación sea correo electrónico,facebook y/o twitter, no puede constituirse
como un delito informático, por el solo hecho de emplear la tecnología informática como
medio; porque este delito puede realizarse a través de otros medios como son verbal, escrito,
etc. Sin embargo, los delitos de ingresar sin autorización a un sistema de datos, sabotear la base
de datos si se clasifican dentro de los delitos informativos porque no es posible la comisión de
estos delitos sin la intervención de la informática. Respecto de los delitos informativos,

5
Krutisch citado por Mazuelos, identifica tres tipos de categorías: manipulación informática,
sabotaje informático y acceso no autorizado a datos denominación de “delitos informáticos”
para identificar la criminalidad vinculada a la tecnología; pero no son categorías de delitos,
sino modos de cometer los delitos informativos.
ANTECEDENTES DE LOS DELITOS INFORMÁTICOS
El delito informático, en un inicio se encontraba tipificado en el Art. 186° inc. 3, segundo
párrafo del Código Penal de 1991. Esta regulación no era propia de un delito autónomo, sino
como una agravante del delito de hurto. En la actualidad, los delitos informáticos están
previstos en el Capítulo X del CP: los artículos 207°-A (interferencia, acceso o copia ilícita
contenida en base de datos), 207°-B (alteración, daño o destrucción de base de datos), 207°-C
(circunstancias cualificantes agravantes), 207°-D (tráfico ilegal de datos), y en las leyes penales
especiales. Entre estas leyes penales especiales, se encuentra la Ley Nº 3009614 “Ley de
Delitos Informáticos”. Esta Ley de Delitos Informáticos está conformado por siete capítulos
que se estructuran de la siguiente manera: finalidad y objeto de la ley (Cap. I), delitos contra
datos y sistemas informáticos (Cap. II), delitos informáticos contra la indemnidad y libertad
sexual (Cap. III), delitos informáticos contra la intimidad y el secreto de las comunicaciones
(Cap. IV), delitos informáticos contra el patrimonio (Cap. V), delitos informáticos contra la fe
pública (Cap. VI), disposiciones comunes (Cap. VII). Posteriormente, se promulgo la Ley N°
3017115 “Ley que modifica la Ley N° 30096, Ley de Delitos Informáticos”. La finalidad de
esta ley fue adecuar la Ley N° 30096 a los estándares legales del Convenio Sobre la
Cibercriminalidad (en adelante convenio de Budapest), al incorporar en la redacción típica de
los artículos 2, 3, 4, 7, 8 y 10, de la referida Ley la posibilidad de cometer el delito deliberada
e ilegítimamente. Las modificaciones de la Ley Nº 30171, con respecto a los delitos
informáticos, consisten en las siguiente: - Art. 1°.- Modificación de los artículos 2°, 3°, 4°, 5°,
7°, 8° y 10° de la Ley N° 30096 Ley de Delitos Informáticos. - Art. 2°.- Modificación de la
tercera, cuarta y undécima disposiciones complementarias finales de la Ley N° 30096 Ley de
Delitos Informáticos. - Art. 3°.- Incorporación del artículo 12° a la Ley N° 30096 Ley de
Delitos Informáticos. - Art. 4°.- Modificación de los artículos 158°, 162° y 323° del Código
Penal. Esta Ley tiene su origen en el PROYECTO DE LEY N° 34/ 2011- CR, presentado al
congreso el 11 de agosto del 2011. Publicado el 10 de marzo 2014. Esta Ley tiene su origen en
el PROYECTO DE LEY N° 2991/ 2013- CR, presentado al congreso el 25 de noviembre del
2011. 6 - Art. 5°.- Incorporación de los artículos 154°-A y 183°-B del Código Penal. - Única
Disposición Complementaria Derogatoria.- deroga el artículo 6° de la Ley N° 30096 Ley de
Delitos Informáticos.
FINALIDAD Y OBJETO DE LA LEY
El Art. 1º de la Ley de delitos informáticos establece que la finalidad de la ley es prevenir y
sancionar las conductas ilícitas que afectan los sistemas, las datas informáticas, el secreto de
las comunicaciones; y otros bienes jurídicos de relevancia penal -patrimonio, la fe pública y la
libertad sexual, etc.- que puedan ser afectados mediante la utilización de las TIC, con la
finalidad de garantizar las condiciones mínimas para que las personas gocen del derecho a la
libertad y desarrollo. Con esta Ley, se intenta garantizar la lucha eficaz contra la
ciberdelincuencia. Esta Ley no responde político criminalmente a la necesidad de ejercer la
función punitiva del Estado enfocada en la protección de la información, sino, tiene como
principal objetivo la estandarización de la ley penal peruana con el ordenamiento penal

6
internacional, principalmente por la Convenio contra la cibercriminalidad del Consejo Europeo
(CETS 185), denominado Convenio de Budapest.
BIEN JURÍDICO TUTELADO
El bien jurídico tutelado en los delitos informáticos se concibe en los planos de manera conjunta
y concatenada; en el primero se encuentra la “información” de manera general (información
almacenada, tratada y transmitida mediante los sistemas de tratamiento automatizado de datos),
y en el segundo, los demás bienes afectados a través de este tipo de delitos como son la
indemnidad sexual, intimidad, etc.
Respecto de la información, debe ser entendida como el contenido de las bases y/o banco de
datas o el producto de los procesos informáticos automatizados; por lo tanto, se constituye en
un bien autónomo de valor económico y es la importancia del “valor económico” de la
información lo que ha hecho que se incorpore como bien jurídico tutelado. Sin embargo,
creemos que la información se debe considerar de diferentes formas, y no solo como un valor
económico, sino como un valor intrínseco de la persona por la fluidez y el trafico jurídico, y
por los sistemas que lo procesan o automatizan los mismos que equiparan a los bienes
protegidos tradicionales tales como el patrimonio (fraude informático), la reserva, la intimidad
y confidencialidad de los datos (agresiones informáticas a la esfera de la intimidad), seguridad
o fiabilidad del trafico jurídico probatorio (falsificación de datos o documentos probatorios),
etc.
Por tanto, en este tipo de delitos no se puede establecer a la información como el único bien
jurídico afectado, por ser el principal y el más importante; sino a un conjunto de bienes que son
afectados, debido a la característica de la conducta típica en esta modalidad delictiva que
colisiona con diversos intereses colectivos. Es en ese sentido que coincidimos con María Luz
Gutiérrez Francés quien señala que es un delito pluriofensivo sin perjuicio que uno de tales
bienes este independientemente tutelado por otro tipo penal.
PERFIL DEL CIBERDELINCUENTE
El perfil del ciberdelincuente -sujeto activo- en esta modalidad delictual requiere ciertas
habilidades y conocimientos en el manejo del sistema informático, por ello también se les ha
calificado como delincuentes de “cuello blanco”, que tienen como características:  Poseer
importantes conocimientos informáticos.  Ocupar lugares estratégicos en su centro laboral, en
los que se maneja información de carácter sensible (se denomina delitos ocupacionales, ya que
se comenten por la ocupación que se tiene y el acceso al sistema). Para Marcelo Manson, los
infractores de la Ley penal en materia de Delitos Informáticos no son delincuentes comunes y
corrientes sino que por el contrario, son personas especializadas en la materia informática.
Agrega que “las personas que cometen los delitos informáticos son aquellas que poseen ciertas
características que no presentan el denominador común, esto es habilidades para el manejo de
los sistemas informáticos y que por su situación laboran en puestos estratégicos donde se
manejan información sensible. ”Por su parte, Camacho Losa considera que el perfil de estas
personas no coincide con el de un delincuente marginal y caracteriza a los autores de estas
infracciones como empleados de confianza de las empresas afectadas.
También, Vives Antón y Gonzales Cussac afirman que “sujeto activo puede ser tanto las
personas legítimamente autorizadas para acceder y operar el sistema (operadores,
programadores u otros), como terceros no autorizados que acceden a las terminales públicas o
privadas “Gutiérrez Francés y Ruiz Vadillo difieren de estos puntos de vista y sostienen que

7
“el autor del delito informático puede serlo cualquiera, no precisando el mismo de
determinados requisitos personales o conocimientos técnicos cualificados”.
Por nuestra parte, si bien consideramos que el sujeto activo puede ser cualquier persona (con
conocimientos y habilidades en informática) y compartimos parcialmente la postura que el
sujeto activo debe ocupar un puesto laboral que le permita acceder a información sensible, sin
embargo, no están excluidos los sujetos que sin ocupar algún cargo estratégico pueden ser
sujeto activo por sus habilidades y conocimientos sobre la informática. Por ende, se trata de
delitos de dominio. Se pueden identificar diferentes sujetos activos que se les denomina de
diferente manera dependiendo del modo como actúan y que conductas son las que realizan:
HACKERS.- Son personas dedicadas, por afición u otro interés, a violar programas y sistemas
supuestamente impenetrables, conocido como “delincuente silencioso o tecnológico”. Les
gusta indagar por todas partes, conocer el funcionamiento de los sistemas informáticos; son
personas que realizan esta actividad como reto intelectual, sin producir daño alguno con la
única finalidad de descifrar y conocer los sistemas informáticos. Para Sieber los hacker son
“personas que acceden sin autorización a un sistema de proceso de datos a través de un proceso
de datos a distancia, no cometido con finalidades manipuladoras, fraudulentas, de espionaje, ni
sabotaje, sino sencillamente como paseo por placer no autorizado”
CRACKERS.- Son personas que se introducen en sistemas remotos con la intención de destruir
datos, denegar el servicio a usuarios legítimos, y en general a causar problemas a los sistemas,
procesadores o redes informáticas, conocidos como “piratas electrónicos.” La característica
que la diferencia del hacker es que los crackers usan programas ya creados que pueden adquirir,
normalmente vía internet; mientras que los hackers crean sus propios programas, tiene mucho
conocimiento sobre los programas y conocen muy bien los lenguajes informáticos. Por otra
parte, Morant Vidal define a estos sujetos como “personas que se introducen en sistemas
remotos con la intención de destruir datos, denegar el servicio a usuarios legítimos, y en general
a causar problemas”. También, Alfonso Laso sostiene que el cracker “es la persona que, de
manera intencionada, se dedica a eliminar o borrar ficheros, a romper los sistemas informáticos,
a introducir virus, etc.”
LA SITUACIÓN DE LAS PERSONAS JURIDICAS COMO SUJETO ACTIVO Y SUJETO
PASIVO
SUJETO ACTIVO
Dada la vigencia del principio Societas delinquere non potest, en el derecho penal nacional no
se puede considerar a la persona jurídica como sujeto activo. Sin embargo, se cuentan con las
figuras de las Consecuencias Accesorias (art. 105 CP), el actuar por otro (art. 27 CP) y reglas
procesales en el Código Procesal Penal del 2004, cuando se trata de delitos cometidos a través
de las personas jurídicas y además, el Acuerdo Plenario N° 7-2009/CJ116 : Personas Jurídicas
y Consecuencias Accesorias. Sin embargo, la ley de delitos informáticos regula dos supuestos
de carácter administrativos donde la persona jurídica se niega a brindar información sobre el
levantamiento del secreto bancario (Decima disposición complementaria final) y cuando se
niega a brindar información referente a los registros de comunicaciones telefónicas (Undécima
disposición complementaria final), cuando así lo solicite a través de una orden judicial; a
consecuencia de esto la SBS y OPSITEL respectivamente les aplicaran una sanción
administrativa consistente en un multa.
SUJETO PASIVO

8
La persona jurídica sí puede ser considerada como sujeto pasivo, como, por ejemplo, empresas
públicas y privadas (bancos, instituciones públicas, industrias, seguros, etc.), aunque en ciertos
casos, estas personas jurídicas no denuncien los delitos del que son víctimas por cierto temor
al desprestigio o al impacto entre sus clientes y consecuentes efectos económicos
desfavorables. Además, esta ley menciona dos supuestos en donde la persona jurídica es sujeto
pasivo de los delitos informáticos, el Art. 6° “Tráfico ilegal de datos, que consiste en crear,
ingresar o utilizar indebidamente una base de datos sobre una persona natural o jurídica”, y el
Art. 9° “Suplantación de identidad, él que mediante las TIC suplanta la identidad de una
persona natural o jurídica”. Gutiérrez Francés señala que el sujeto pasivo por excelencia del
ilícito informático es la persona jurídica, debido al tráfico económico en el que desarrollan sus
actividades, por ello son los sectores más afectados por la criminalidad mediante
computadoras, y entre ellos están: la banca, las instituciones públicas, industria de
transformación, etc.
DE LOS DELITOS INFORMÁTICOS EN LA LEY N° 30096 1. DELITOS CONTRA
DATOS Y SISTEMAS INFORMÁTICOS
Este capítulo está conformado por las siguientes figuras penales: Art. 2º (acceso ilícito), Art.
3º (atentando a la integridad de datos informáticos) y Art. 4º (atentando a la integridad de
sistemas informáticos). Art. 2º.- “El que deliberada e ilegítimamente accede a todo o parte de
un sistema informático, siempre que se realice con vulneración de medidas de seguridad
establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni
mayor de cuatro años y con treinta a noventa días-multa. Será reprimido con la misma pena el
que accede a un sistema informático excediendo lo autorizado”. Esta figura penal de Acceso
ilícito sanciona la violación de la confidencialidad, que se realiza a través del acceso no
autorizado al sistema, vulnerando las medidas de seguridad establecida para evitar que ajenos
ingresen a un sistema informático; el verbo rector “acceder” se entiende el hecho de entrar en
un lugar o pasar a él, que en esta figura se entiende el acto de entrar sin autorización del titular
a un sistema, y el término “vulnerar” se entiende como “transgredir, quebrantar, violar una ley
o precepto “que se entiende al hecho de trasgredir las barreras de protección diseñados por el
sistema. Por la característica que presenta este tipo penal -acceso ilícito- se le puede calificar
como un delito de mera actividad, porque esta figura exige el acto de acceder (entrar en un
lugar o pasar a él) sin autorización a un sistema informático, vulnerar (transgredir, quebrantar,
violar una ley o precepto) las medidas de seguridad, de esta manera se configura el ilícito; por
tanto el delito queda consumado en el momento que se vulnera las medidas de seguridad
establecida para impedir el acceso ilícito, y para ellos es necesario que se realice esta conducta
con dolo. el acceso a la cuenta de correo electrónico ajeno protegido mediante una contraseña
de seguridad, el acceso no autorizado al sistema informático de una entidad aprovechando las
debilidades inadvertidas por la programación.
La fuente legal de este artículo es el Convenio de Budapest, porque cumple con describir la
acción delictiva en los mismos términos estandarizados de la norma internacional: por
mencionar los términos “deliberación”, “falta de legitimación” de la acción contenida en el
texto del Convenio de Budapest guarda cierta identidad con el dolo (conocimiento y voluntad).
Art. 3º.- “El que deliberada e ilegítimamente daña, introduce, borra, deteriora, altera, suprime
o hace inaccesibles datos informáticos, será reprimido con pena privativa de libertad no menor
de tres ni mayor de seis años y con ochenta a ciento veinte días multa”.

9
 Esta figura penal sanciona la conducta de dañar (causar detrimento, perjuicio, menoscabo) ,
introducir (entrar en un lugar) , borrar (desvanecer, quitar, hacer que desaparezca
algo)deteriorar (empeorar, degenerar) , alterar (estropear, dañar, descomponer) , suprimir
(hacer cesar, hacer desaparecer) y hacer inaccesible los datos informáticos a través de la
utilización de las TIC; por la característica que presenta este tipo penal –atentado a la integridad
de los datos informático- es clasificado como un delito de mera actividad, porque esta figura
exige el solo cumplimiento del tipo penal, la sola realización de la conducta de introducir,
borrar, deteriorar, alterar, suprimir y hacer inaccesible los datos informáticos para que se pueda
configurar el ilícito, sin importar el resultado posterior, por tanto el delito queda consumado al
realizarse cualquiera de estos actos. Este artículo es compatible parcialmente con el Art. 4º del
Convenio de Budapest que sanciona el atentado contra la integridad y la disponibilidad del dato
informático. Art. 4º.- “El que deliberada e ilegítimamente inutiliza, total o parcialmente, un
sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la
prestación de sus servicios, será reprimido con pena privativa de la libertad no menor de tres
ni mayor de seis años y con ochenta a ciento veinte díasmulta”.
Está figura penal sanciona las conductas que están dirigidas a inutilizar (hacer inútil, vano o
nulo algo) total o parcialmente un sistema informático, entorpecer (retardar, dificultar) e
imposibilitar (quitar la posibilidad de ejecutar o conseguir algo) 47su funcionamiento o la
prestación de sus servicios utilizando las TIC; por la característica que presenta este tipo penal
–atentado contra la integridad de sistemas informáticos- se clasifica como un delito de
resultado, porque para la configuración de este injusto penal no basta con cumplir el tipo que
es (inutilizar o perturbar), sino además es necesario que la acción vaya seguida de un resultado
(impedir el acceso, imposibilitar su funcionamiento, o la prestación de sus servicios), por tanto
el delito se consuma cuando se impide el acceso, imposibilita su funcionamiento, etc., del
sistema informático, caso contrario el hecho solo dará lugar a la tentativa. Este artículo guarda
cierta relación de compatibilidad con el Art. 5º del Convenio de Budapest48 en tanto se puede
entender la “obstaculización grave” de un sistema informático con el de la “inutilización total
o parcial” del sistema. Son ejemplos de esta figura penal los siguientes delitos:
DELITO DE DAÑO.- comportamiento consistente en dañar, destruir o inutilizar un bien, en
este caso es el sistema informático, expresa Bramont- Arias que el delito de daños existirá si
usuarios, carentes de autorización, alteran o destruyen archivos o bancos de datos a propósito;
la destrucción total de programas y de datos ponen en peligro la estabilidad económica de una
empresa.El modus operandi se viene perfeccionando con el tiempo: virus, cáncer rotudtine.
Estos actos deben causar un perjuicio patrimonial.
EL SABOTAJE INFORMÁTICO.- consiste, básicamente, en borrar, suprimir o modificar
(alterar) sin autorización funciones o datos de las computadoras con intención de obstaculizar
el funcionamiento normal del sistema, que se conoce comúnmente como “virus
informático”50. Marchena Gómez señala que el “sabotaje informático es la conducta que
consiste en la destrucción o en la producción generalizada de daños” . Morant Vidal señala que
“el sabotaje informático se dirige a inutilizar los sistemas informáticos causando daños a los
programas”.
BOMBA LÓGICA.- introducción de un programa de un conjunto de instrucciones indebidas
que van a actuar en determinada fecha, destruyendo datos del ordenador, distorsionando el
funcionamiento del sistema o paralizando el mismo.

10
RUTINAS CANCER.- Son distorsiones al funcionamiento del programa, la característica es la
auto reproducción.
GUSANOS.- Se infiltran en los programas ya sea para modificar o destruir los datos, pero a
diferencia de los virus estos no pueden regenerarse.
VIRUS INFORMATICO Y MALWARE.- Elementos informáticos que destruyen el uso de
ciertos antivirus. Ejemplo: borrar los antecedentes policiales, judiciales y penales de una
persona; alterar la deuda real de un cliente; cambiar la clave secreta o eliminar la cuenta
electrónica (correo, twitter, Facebook) para impedir al titular el acceso a su cuenta.
DELITOS INFORMÁTICOS CONTRA LA INDEMNIDAD Y LIBERTAD SEXUALES
Este capítulo está conformado por el tipo penal del Art. 5º (proposición a niños, niñas y
adolescentes con fines sexuales por medios tecnológicos), que sanciona la propuesta sexual
(solicitar u obtener material pornográfico, llevar a cabo actividades sexuales) a niños, niñas y
adolescentes utilizando los medios tecnológicos. Art. 5º.- “El que a través de internet u otro
medio análogo contacta con un menor de catorce años para solicitar u obtener de él material
pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con pena
privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los
numerales 1, 2 y 4 del artículo 36 del Código Penal. Cuando la víctima tiene entre catorce y
menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de
seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36° del código Penal”.
Se sanciona el contacto (establecer contacto o comunicación con alguien) realizado con un
menor de edad con fines a obtener material pornográficos o con el propósito de llevar a cabo
actividades sexuales que involucren el quebrantamiento de la indemnidad o libertad sexual del
menor (violación sexual o actos contra el pudor); en este artículo hay dos supuestos: - El primer
supuesto es el contacto con un menor de catorce años para solicitar, obtener material
pornográfico o para realizar actos sexuales, cuya pena es de 4 a 8 años de pena privativa de
libertad e inhabilitación. - El segundo supuesto es el contacto con un menor que tiene entre
catorce y dieciocho años para solicitar, obtener material pornográfico o para realizar actos
sexuales, cuya pena es de 3 a 6 años de pena privativa de libertad e inhabilitación
Este tipo sanciona el acto de contactar que significa “establecer contacto o comunicación con
alguien”, y el término “para” es un elemento subjetivo que determina la intención del sujeto
activo y es este elemento que convierte a la figura penal en un tipo de tendencia interna
trascendente (delitos de intención), porque este ilícito “parte interna” requiere de una intención
especial, que no corresponde a la parte externa objetiva que en este caso es obtener material
pornográfico y/o tener actividades sexuales con el menor; por consiguiente, el tipo legal queda
consumado cuando se produce el resultado típico, no siendo necesario que el agente consiga
realizar su especifica tendencia trascendente, por estas características se clasifica a esta figura
como un delito de resultado cortado, porque en este ilícito el agente persigue un resultado que
está más allá del tipo y que ha de producirse por sí solo, sin su intervención y con posterioridad.
En esta figura penal el legislador adelanta las barreras de punibilidad al sancionar el solo hecho
de contactar con el menor de edad, sin importar si logra su objetivo el cual es obtener material
pornográfico o llegar a tener actividad sexual, sin embargo este articulo tiene muchas falencias
que podría violar el principio de legalidad, al no tener una redacción clara, y a consecuencia de
este error se podría sancionar a personas que solo contactan con un menor de edad sin tener la
finalidad de obtener material pornográfico y otro similar porque el término contactar no está

11
delimitado, por consiguiente se estaría sancionando el solo hecho de establecer un “contacto”
o comunicación con un menor de edad.
DELITOS CONTRA LA LIBERTAD SEXUAL
son acciones destinado a vulnerar tanto la indemnidad sexual como la libertad sexual del
menor. Este delito se consuma con la sola proposición, a un menor de edad con fines sexuales,
ya sea para obtener material pornográfico o para acceder a la actividad sexual, esta conducta
es sancionable porque afecta la indemnidad del menor y la libertad sexual y el medio utilizado
para facilitar el contacto es la informática.
PORNOGRAFÍA INFANTIL.- en esta conducta tipificada se denota la intención del legislador
de proteger penalmente varios bienes jurídicos, cuya titularidad corresponde a menores de
edad, cuales son los adecuados procesos de formación y socialización de unos y otros y, su
intimidad. Lo que se busca sancionar con esta tipo penal es el acto de ofrecer, vender, distribuir,
exhibir material pornográfico de menores de edad. Esta conducta está referida a un sujeto activo
indiferenciado (delito de dominio), es de mencionar que esta modalidad es dolosa: el sujeto ha
de conocer la naturaleza del material y ha de querer realizarlo, difundir o poseer con dichos
fines siendo indiferente que lo haga con ánimo lubrico o de lucro.
DELITOS INFORMÁTICOS CONTRA LA INTIMIDAD Y EL SECRETO DE LAS
COMUNICACIONES
Este capítulo está conformado por las siguientes figuras penales: Art. 6º (Derogado por la ley
30171 Ley que Modifica la Ley 30096, Ley de Delitos Informáticos60), Art. 7º (interceptación
de datos informáticos). Art. 6°.- (derogado por la Única Disposición Derogatoria de la Ley
30171 “Ley que modifica la Ley 30096”) Art. 7º.- “El que deliberadamente e ilegítimamente
intercepta datos informáticos en transmisiones no públicas, dirigidas a un sistema informático,
originadas en un sistema informático o efectuadas dentro del mismo, incluidas las emisiones
electromagnéticas provenientes de un sistema informático que transporta dichos datos
informáticos, será reprimido con pena privativa de la libertad no menor de tres ni mayor de seis
años. El artículo 6º de la Ley Nº 30096, Ley de Delitos Informáticos; fue derogado por la
UNICA DISPOSICION COMPLEMENTARIA DEROGATORIA de la Ley Nº 30171 “Ley
que modifica la Ley Nº 30096, Ley de Delitos Informáticos” La pena privativa de libertad será
no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre información
clasificada como secreta, reservada o confidencial de conformidad con la Ley 27806, Ley de
Transparencia y Acceso a la información Pública.
La pena privativa de libertad será no menor de ocho ni mayor de diez años cuando el delito
comprometa la defensa, la seguridad o la soberanía nacionales. Si el agente comete delitos
como integrante de una organización criminal, la pena se incrementa hasta en un tercio por
encima del máximo legal previsto en los supuestos anteriores.” La figura penal sanciona la
conducta que deliberada e ilegítimamente intercepta (Interrumpe, obstruye una vía de
comunicación)datos informáticos y las emisiones electromagnéticas que transportan estos
datos en las transmisiones privadas. Este artículo contiene tres agravantes: - El primer
agravante se aplica cuando la interceptación recaiga sobre información clasificada como
secreta, reservada o confidencial, de conformidad con la Ley 27806, Ley de Transparencia y
Acceso a la información Pública. cuya penalidad oscila entre cinco a ocho años - El segundo
agravante se aplica cuando la interceptación recaiga sobre información que compromete a la
defensa, seguridad o soberanía nacional, cuya penalidad oscila entre ocho a diez años. - La
tercera agravante consiste en la calidad del agente –integrante de una organización criminal-
12
comete delitos como cuya penalidad se incrementa hasta en un tercio por encima del máximo
legal previsto en los supuestos anteriores.
Este injusto penal -interceptar datos informáticos- es un delito de peligro abstracto y por ende,
solo basta con demostrar la interceptación de datos informáticos para que el delito quede
consumado. Por ende, se clasifica como un delito de mera actividad porque basta con el sólo
hecho de interceptar datos informáticos para que se consuma el delito. interceptación de
archivos que contengan información relacionado con una investigación reservada por ley,
interceptación de comunicaciones que contenga información sensible que puede ser utilizado
por algún país en un contexto bélico.
Este capítulo está integrado por el Art. 8 (fraude informático), que sanciona la acción de
diseñar, introducir, alterar, borrar, suprimir y clonar datos informáticos en perjuicio de tercero.
Art. 8°.- “El que deliberadamente e ilegítimamente procura para sí o para otro un provecho
ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión,
clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento
de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres
ni mayor de ocho años y con sesenta a ciento veinte días multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a
ciento cuarenta días multa cuando se afecte el patrimonio del Estado destinado a fines
asistenciales o a programas de apoyo social”. Este injusto penal –fraude informático- sanciona
diversas conductas, entre ellos: diseñar (proyecto o plan), introducir (entrar en un lugar) , alterar
(estropear, dañar, descomponer), borrar (desvanecer, quitar, hacer que desaparezca algo) ,
suprimir (hacer cesar, hacer desaparecer), clonar (producir clones) datos informáticos o
cualquier interferencia, o manipular (operar con las manos o con cualquier instrumento) el
funcionamiento de un sistema informático procurando (conseguir o adquirir algo)un beneficio
para sí o para otro en perjuicio de tercero; y por la forma como esta estructurado –a propósito
de la mala redacción que genera mucha confusión al momento de interpretar la figura, y las
conductas inadecuadas como “diseñar, introducir, alterar, borrar y suprimir” que no encajan en
el delito de fraude informático, estas conductas son propios del delito de daño- se clasifica
como un delito de resultado porque no basta cumplir con el tipo penal para que se consume el
delito de fraude informático, sino que además, es necesario que esa acción vaya seguida de un
resultado separado de la misma conducta el que consiste en causar un perjuicio a tercero, de
otro modo el delito quedaría en tentativa. Este artículo es compatible con el Art. 8 del Convenio
de Budapest, porque ambos artículos sancionan el empleo indebido de datos informáticos, la
manipulación del funcionamiento del sistema mismo.
DELITOS INFORMÁTICOS CONTRA LA FE PÚBLICA
El Art. 9º de la ley (suplantación de identidad), sanciona la suplantación de identidad de una
persona natural o jurídica, siempre que de esto resulte algún perjuicio. Art. 9°.- “El que,
mediante las tecnologías de la información o de la comunicación suplanta la identidad de una
persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, será
reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”. Este tipo
penal sanciona el hecho se suplantar (ocupar con malas artes el lugar de alguien, defraudándole
el derecho, empleo o favor que disfrutaba) la identidad de una persona natural o jurídica
causando algún perjuicio. La suplantación de identidad se puede calificar como un delito de
resultado porque no basta con realizar la conducta típica de “suplantar” la identidad, sino que
además es necesario que esa acción vaya seguida de un resultado separado de la misma

13
conducta que consiste en causar un perjuicio, caso contrario quedaría en tentativa. Vgr. crear
perfiles falsos en las redes sociales (correo electrónico, Facebook, twitter) atribuidos a personas
naturales y/o jurídicas para engañar y perjudicar a terceros. “una abogada había sido suplantada
en el Facebook y correo electrónico, por la pareja de su amiga, fingiendo ser lesbiana, para
captar personas y ganarse la confianza a través del falso perfil y poder obtener materiales (fotos
intimas) que luego eran utilizados para extorsionar a sus víctimas que ingenuamente creyeron
estar en contacto con la persona suplantada, este acto trajo perjuicios económico, laboral,
familiar, psicológico a la suplantada”, CUARTO PODER REPORTAJE DE NOTICIA DE
FECHA (02/12/13).
DISPOSICIONES COMUNES
El capítulo VII de la ley está integrado por las siguientes figuras penales: Art. 10º (abuso de
mecanismos y dispositivos informáticos) y el Art. 11º (agravantes). Art. 10°.- “El que
deliberadamente e ilegítimamente fabrica, diseña, desarrolla, vende, facilita, distribuye,
importa u obtiene para su utilización, uno o más mecanismos, programas informáticos
dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente
diseñados para la comisión de los delitos previstos en la presente Ley, o el que ofrece o presta
servicio que contribuya a ese propósito, será reprimido con pena privativa de libertad no menor
de uno ni mayor de cuatro años y con treinta a noventa días-multa”.
Se sanciona diversas conductas, entre ellas : fabricar (producir objetos en serie, generalmente
por medios mecánicos) , diseñar (hacer un diseño), desarrollar, vender (traspasar a alguien por
el precio convenido la propiedad de lo que uno posee) , facilitar (proporcionar o entregar),
distribuir (entregar una mercancía a los vendedores y consumidores), importa (dicho de una
mercancía: valer o llegar a cierta cantidad) y obtener (alcanzar, conseguir y lograr algo que se
merece, solicita o pretende), para la utilización de mecanismos, programas informáticos,
contraseñas, etc., diseñados específicamente para la comisión de los delitos previstos en esta
ley. Este artículo es una expresión del adelantamiento de las barreras punitivas porque se
sanciona la participación y más aún el sólo hecho de ofrecer un servicio que facilite la comisión
de algún delito previsto en la presente ley. Este tipo penal –abuso de mecanismos y dispositivos
informáticos- se clasifica como un delito de mera actividad, porque la figura exige cumplir con
la conducta mencionado en el tipo penal para la consumación del delito sin importar el
resultado posterior. Aquí el legislador adelanta las barreras de punibilidad al sancionar el solo
hecho de fabricar, diseñar, vender, etc., mecanismos, programas orientados a cometer diversos
delitos previstos en la ley. Esta figura penal poseería las características del llamado derecho
penal del enemigo porque se sanciona actos preparatorios alegando la puesta en peligro de la
seguridad informática. tráfico de datos de usuarios y contraseñas obtenidas ilícitamente para
cometer fraudes informáticos, comercializar equipos especializados en capturar, interceptar
información. Este artículo es compatible con el Art 6º de la Convención de Budapest, sin
embargo hay una interpretación muy amplia, un vacío de este articulo por cuanto se extiende a
toda gama de delitos previstos en la presente ley y que podría generar problemas en la
interpretación judicial, debido a la extensión de ilícitos como: interferencia telefónica,
pornografía infantil, etc. Art. 11º.- “El juez aumenta la pena privativa de libertad hasta un tercio
por encima del máximo legal fijado para cualquiera de los delitos previstos en la presente Ley,
cuando:
1. El agente activo integra una organización criminal.
2. El agente tiene posición especial de acceso a la data o información reservada.

14
3. El delito se comete para obtener un fin económico.
4. El delito compromete fines asistenciales, la defensa, la seguridad y soberanía nacional.” Se
regulan las agravantes de los delitos previstos en la presente ley, y en base a esta norma el juez
puede aumentar la pena hasta en un tercio por encima del máximo legal fijado; ejemplo:
participación de integrantes de la organización criminal en la comisión de delitos informáticos,
el acceso ilícito a la cuenta de correo electrónico a cambio de un pago (los hackers de un centro
comercial). Art. 12º.- “Está exento de responsabilidad penal el que realiza las conductas
descritas en los artículos 2, 3, 4 y 10 con el propósito de llevar a cabo pruebas autorizadas u
otros procedimientos autorizados destinados a proteger sistemas informáticos” Artículo 12º.-
EXENCIÓN DE RESPONSABILIDAD PENAL, incorporado por el Art. 3º de la Ley Nº 30171
“Ley que modifica la Ley Nº 30096, Ley de Delitos Informáticos”, publicado el 10 de marzo
del 2014. Este artículo incorporado por el Art. 3º de la Ley Nº 30171 “Ley que modifica la
Ley Nº 30096, Ley de Delitos Informáticos”, exime de responsabilidad penal a toda persona
que realiza alguna de las conductas reguladas en los artículos 2º, 3º, 4º y 10º de la presente Ley.
Esta cláusula de exención de responsabilidad se fundamenta en la conducta legal – autorizada
por la autoridad correspondiente- para realizar pruebas u otro procedimiento con el objetivo de
proteger los sistemas y datos informáticos. Esta norma es compatible con el artículo 6°, inc. 2
del Convenio de Budapest.
SANCIONES A PERSONAS JURIDICAS IMPUESTAS POR ORGANISMOS
REGULADORES.
La nueva ley de delitos informáticos contiene once disposiciones complementarias finales, de
las cuales solo nos enfocaremos a las referentes a las personas jurídicas, que se encuentran en
la décima y undécima DCF de la nueva ley. Regulación e imposición de multas por la
Superintendencia de Bancas, Seguros y AFP. DÉCIMA.- “La Superintendencia de Banca,
Seguros y AFP establece la escala de multas atendiendo a las características, complejidad y
circunstancias de los casos aplicables a las empresas bajo su supervisión que incumplan con la
obligación prevista en el numeral 5 del artículo 235° del Código Procesal Penal, aprobado por
Decreto Legislativo 957.
El juez, en el término de setenta y dos horas, pone en conocimiento del órgano supervisor la
omisión incurrida por la empresa, con lo recaudos correspondientes sobre las características,
complejidad y circunstancias del caso particular, a fin de aplicarse la multa correspondiente”
Esta disposición establece que la Superintendencia de Banca, Seguros y AFP determina la
escala de multa de acuerdo a la característica, complejidad y circunstancias de los casos
aplicables de las empresas bajo su supervisión que incumplan con la obligación de acuerdo con
el Art. 235° inciso 3 del Código Procesal penal. Este tipo legal tienen las características de una
norma en blanco porque se complementa en otra ley (Ley general del sistema financiero y del
sistema de seguros y orgánica de la superintendencia de banca y seguros ley no 26702) para
establecer las sanciones a las empresas que omiten una orden judicial.
Esta modificación completa el círculo de la facultad sancionadora que tiene el Estado, con la
sanción administrativa por el incumplimiento de las entidades del sistema financiero de la
obligación de entregar la información correspondiente a la orden judicial de levantamiento del
secreto bancario. Regulación e imposición de multas por el organismo Supervisor de Inversión
privada en telecomunicaciones. UNDÉCIMA.- “El Organismo Supervisor de Inversión
Privada en Telecomunicaciones establece la escala de multas atendiendo a las características,
complejidad y circunstancias de los casos aplicables a las empresas bajo su supervisión que

15
incumplan con la obligación prevista en el numeral 4 del artículo 230° del Código Procesal
Penal, aprobado por Decreto Legislativo 957. El juez, en el término de setenta y dos horas,
pone en conocimiento del órgano supervisor la omisión incurrida por la empresa, con los
recaudos correspondientes sobre las características, complejidad y circunstancias del caso
particular, a fin de aplicarse la multa correspondiente.”
El Organismo Supervisor de Inversión privada en telecomunicaciones establece la escala de
multas atendiendo a las características, complejidad y circunstancias de los casos aplicables a
las empresas bajo su supervisión que incumplan la obligación prevista en el numeral 4º del Art.
230º del Código Procesal Penal. Esta modificación sanciona administrativamente el
incumplimiento de las empresas prestadoras de servicios de comunicaciones y
telecomunicaciones de la obligación de posibilitar la diligencia judicial de intervención,
grabación o registro de las comunicaciones y telecomunicaciones.
REFORMAS DEL CÓDIGO PENAL RELACIONADO CON LOS DELITOS
INFORMATICOS
Los artículos 158°, 162º y 323° del Código Penal fueron modificado por el Art. 4º de la Ley
Nº 30171º “Ley que modifica la Ley Nº 30096º, Ley de delitos informáticos” en los siguientes
términos: Art. 158º.-“Los delitos previstos en este capítulo son perseguibles por acción privada,
salvo en el caso del delitos previsto en el artículo 154°-A” Este artículo, antes de la
modificatoria, establecía la acción privada para los delitos comprendido en el Capítulo II
“Violación de la intimidad”. A partir de la incorporación del artículo 154°-A “Tráfico ilegal de
datos personales”, se prevé la acción pública solo para el mencionado artículo incorporado.
Art. 162º.- “El que, indebidamente, interfiere o escucha una conversación telefónica o similar,
será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años. Si el
agente es funcionario público, la pena privativa de libertad será no menor de cuatro ni mayor
de ocho años e inhabilitación conforme al artículo 36, inciso 1, 2 y 4. La pena privativa de
libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre
información clasificada como secreta, reservada o confidencial de conformidad con la Ley
27806, Ley de Transparencia y Acceso a la información Pública. La pena privativa de libertad
será no menor de ocho ni mayor de diez años cuando el delito comprometa la defensa, la
seguridad o la soberanía nacionales.
Si el agente comete el delitos como integrante de una organización criminal, la pena se
incrementa hasta en un tercio por encima del máximo legal previsto en los supuestos
anteriores.” La modificación de este artículo se da porque la redacción anterior era muy amplia
y dejaba al arbitrio del juzgador determinar qué información se clasifica como secreta,
reservada o confidencial. De ahí la necesidad de precisar la agravante del delito de
interceptación telefónica cuando afecte la información secreta, reservada o confidencial y, esta
precisión se encuentra en la Ley N° 27806 “Ley de transparencia y acceso a la información
pública”. A modo de información, debe mencionarse que después de la promulgación de la Ley
Nº 30096, el 5 de diciembre del año 2013 se ha presentado otro PROYECTO DE LEY Nº 3048/
2013- CR80 que busca modificar el mencionado artículo, argumentado que no se ha
80Proyecto de Ley presentado el 5 de diciembre del 2013 por el Congresista de la República
José Luna Gálvez, integrante del Grupo Parlamentario Solidaridad Nacional. regulado
correctamente la conducta a sancionar, además agrega algunas agravantes como es el móvil de
la interceptación81 . Art. 154°-A.- “El que ilegítimamente comercializar o información no
publica relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral,

16
financiera u otro de naturaleza análogo sobre una persona natural, será reprimido con pena
privativa de libertad no menor de tres ni mayor de cinco años. Si el agente comete el delito
como integrante de una organización criminal, la pena se incrementa hasta en un tercio por
encima del máximo legal previsto en el párrafo anterior”.
Esta figura penal sanciona la conducta de comercializar (comercializar, traficar, vender
promover, favorecer o facilitar) información no publica, independientemente si con estos actos
se causa algún perjuicio. Este injusto penal –Tráfico ilegal de datos- por la característica que
presenta es un tipo de tendencia interna trascendente por que presenta el elemento subjetivo
“para” que denota una intención especial consistente en la búsqueda de un resultado diferente
exigido típicamente, por tanto se clasifica como un delito de resultado cortado por que el agente
busca un resultado que está más allá del tipo el cual es comercializar, traficar, etc., una base de
datos. Ejemplo: La comercialización de bases de datos que contienen nombres, documentos de
identidad, edad, estado civil, domicilio, teléfono, ocupación, puesto laboral, remuneración, etc.
El PROYECTO DE LEY Nº 3048/ 2013- CR pretende incrementa las sanciones contempladas
para este ilícito en su modalidad básica e incluye dos conductas que agravan la figura penal, en
los supuestos de recaer sobre información clasificada como secreta, reservada o confidencial
de conformidad con las normas de la materia y compromete la defensa, seguridad o la soberanía
nacional. Este proyecto pretende una mejor regulación de la conducta prohibida, al sancionar
no solo el hecho de interferir o escuchar una conversación telefónica, sino sobre todo al
consideran que también se debió incluir el hecho de GRABAR, porque según fundamentan no
es lo mismo interceptar, escuchar y grabar. Otra circunstancia que considera agravante, es el
referido al móvil por el que se realiza la conducta típica, ya sea para obtener un provecho tanto
para el autor como para un tercero a cambio de dinero y otra ventaja, o si la intención es para
perjudicar a la victima de interceptación sea de manera económica o de otra manera. Otra
circunstancia que considera agravante, es el referido al móvil por el que se realiza la conducta
típica, ya sea para obtener un provecho tanto para el autor como para un tercero a cambio de
dinero y otra ventaja, o si la intención es para perjudicar a la victima de interceptación sea de
manera económica o de otra manera. Articulo incorporado al Código Penal por la Ley Nº
30171. Art. 183°-B.- “El que contacta con un menor de catorce años para solicitar u obtener de
él material pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con
una pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación
conforme a los numerales 1, 2 y 4 del artículo 36. Cuando la víctima tiene entre catorce y menos
de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años
e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36”.
Esta figura penal sanciona la conducta de contactar (Establecer contacto o comunicación con
alguien) con un menor de catorce años para solicitar u obtener de él material pornográfico, o
para llevar a cabo actividades sexuales. La norma regula la agravante cuando la víctima tiene
entre catorce y menos de dieciocho años y medie engaño, para este supuesto la pena a imponer
será no menor de tres ni mayor de seis años. Las proposiciones sexuales a niños, niñas y
adolescentes, por las características que presenta el tipo, se puede calificar como un tipo de
tendencia interna trascendente por que presenta el elemento subjetivo “para” que denota una
intención especial consistente en la búsqueda de un resultado diferente exigido típicamente,
por tanto se clasifica como un delito de resultado cortado por que el agente busca un resultado
que está más allá del tipo el cual es obtener material pornográfico o tener acto sexual con la
menor.

17
II.2.2 INGENIERIA SOCIAL

¿Qué es la ingeniería social?

La ingeniería social es la práctica de manipular psicológicamente a las personas para que
compartan información confidencial o hagan acciones inseguras
Posiblemente hayas escuchado hablar sobre la frase Ingeniería Social pero no estaría de más
establecer algunas definiciones, recomendaciones para detectar y evitar los engaños y fraudes
en Internet. Muchas de las amenazas con las que podemos encontrarnos en Internet pueden ser
evitadas. Que no te engañen ni persuadan, no instales programas que no conozcas.

La Ingeniería Social

En palabras simples, son los recursos que utilizan los ciber delincuentes para persuadir a sus
víctimas para que realicen ciertas acciones para vulnerar la seguridad de la computadora,
compartir información personal o privada. En la mayoría de los casos, bajo engaños o
persuasión, las víctimas instalan algunos programas sin saber que se tratan de spyware o algún
otro malware. Promociones falsas, programas mal intencionados forman parte de las
estrategias que utilizan al aprovechar la ingenuidad y la falta de información de las víctimas.

¿Qué es realmente la Ingeniería Social?

Detrás de muchos trucos maliciosos existe un concepto básico: la INGENIERÍA SOCIAL.

Engañosas tácticas de ingeniería social se entrelazan en la web mientras Ud hace compras,
transacciones online y sociabiliza en las redes sociales. Siga leyendo y aprenda como reconocer
y evitar estos ataques.

El estafador manipula y engaña a la gente de diferentes maneras, analiza y estudia el

comportamiento del individuo para alcanzar sus objetivos. ¿te gustan los juegos? ¿solés
descargar algunos? Si recibís algún enlace referente a un sitio de juegos o de descargas de
juegos es muy probable que estés más que interesado en hacer clic. No es difícil incluir, un
código malicioso dentro de algún instalador, incluso en imágenes o en archivos PDF. La
curiosidad, el miedo y los diferentes sentimientos son aprovechados para llamar la atención de
los internautas para generar confianza e interés sobre los que les gusta. En la mayoría de los
casos, la curiosidad es el factor principal.
¿Cómo evitar ser engañado?
La habilidad y la experiencia de estos delincuentes pueden ser cuantiosas pero existen ciertos
parámetros que no varias y podríamos tener en cuenta. Unas de las recomendaciones más
importantes es no hacer clic sobre cualquier enlace que nos envíe cualquier desconocido,
tampoco debemos descargar archivos desconocidos, menos aún lo hacemos de sitios que no
son confiables. Estar atentos es muy importante la manipulación podría jugar en nuestra contra
y en este sentido, es recomendable no compartir muchos datos sobre nuestros gustos y
afinidades para que no los usen en contra nuestra.

18
El principio en el que se sustenta la Ingeniería Social es aquel que afirma que en cualquier
sistema los usuarios y el personal son el eslabón débil de la cadena. En la práctica, un Ingeniero
Social utiliza comúnmente el teléfono o internet para engañar a gente simulando, por ejemplo,
ser un empleado de un banco o de una empresa, un compañero de trabajo, un técnico o un
cliente y así obtener información de una persona o empresa. En otras palabras, es el arte de
persuadir con engaño para que casi sin darse cuenta, los afectados compartan datos vitales con
un desconocido.
De acuerdo a Christopher Hadnagy en su libro “Ingeniería Social el Arte del Hacking Personal”
se define a la Ingeniería Social como “El acto de manipular a una persona para que lleve a cabo
una acción que -puede ser o no- lo más conveniente para cumplir con cierto objetivo. Este
puede ser la obtención de información, conseguir algún tipo de acceso o logar que se realice
una determinada acción”. Por ejemplo, los médicos, los psicólogos y los terapeutas a menudo
utilizan elementos que se consideran de Ingeniería Social para “manipular” a sus pacientes para
que realicen acciones que son buenas para ellos, mientras que un estafador utiliza elementos
de la Ingeniería Social para convencer a su víctima para que realice acciones que le perjudican.
Aunque el resultado es muy diferente, el proceso puede ser muy parecido.
Otras definiciones de ingeniería Social: “La Ingeniería Social es mentir a la gente para obtener
información”. “La Ingeniería Social es ser un buen actor”. “La Ingeniería Social es saber cómo
conseguir cosas gratis”. Wikipedia la define como el “acto de manipular a la gente para llevar
a cabo acciones o divulgar información confidencial. Aunque parecido a una estafa o un simple
fraude, el término se aplica normalmente a las artimañas o engaños con el propósito de obtener
la información, llevar a cabo un fraude o acceder a un sistema informático; en la mayoría de
los casos, el atacante nunca se enfrenta cara a cara con la víctima”.
El diccionario de Webster define “social” como “relativo o perteneciente a la vida, el bienestar
y las relaciones de los seres humanos en una comunidad”. También define la “ingeniería” como
el “arte o la ciencia de llevar a aplicación práctica el conocimiento de las ciencias puras como
la física o la química, en la construcción de máquinas, puentes, edificaciones, minas,
embarcaciones y plantas químicas o artilugios ingeniosos; maniobrar”. Combinando ambas
definiciones se puede ver fácilmente que la Ingeniería Social es el arte, o mejor aún, la ciencia,
de maniobrar hábilmente para lograr que los seres humanos actúen de cierta forma en algún
aspecto de sus vidas. La Ingeniería Social es utilizada en la vida diaria, por ejemplo, en la
manera en que los niños consiguen que los padres atiendan a sus peticiones.
Es utilizada por los profesores en el modo de interactuar con sus estudiantes y por los doctores,
abogados o psicólogos para obtener información de sus pacientes o clientes. En definitiva, es
utilizada en cualquier interacción humana, desde los niños hasta los políticos. La Ingeniería
Social no es una acción resuelta, sino una recopilación de las habilidades que, cuando se unen,
componen la acción, el ingenio y la ciencia a la cual se le llama Ingeniería Social. De la misma
manera, una buena comida no es sólo un ingrediente, sino que se crea con la mezcla cuidadosa
de varios ingredientes. Podría decirse que un buen Ingeniero Social es como un chef.
La Ingeniería Social y su lugar en la sociedad La Ingeniería Social puede utilizarse en muchas
facetas de la vida, pero no todos estos usos son maliciosos o negativos. Muchas veces la
Ingeniería Social puede utilizarse para motivar a una persona para realizar una acción que es
buena para ella: ¿Cómo? Piense en esto: Juan necesita perder peso. Sabe que su salud es mala
y que tiene que hacer algo al respecto. Todos los amigos de Juan tienen sobrepeso también.

19
Incluso hacen chistes sobre las alegrías de tener sobrepeso y dicen cosas como “me encanta no
tener que preocuparme por mi figura”.
Por una parte, esto es un aspecto de la Ingeniería Social. Es una prueba social o consenso,
donde lo que se considera aceptable está determinado por quienes están alrededor. Sin
embargo, si uno de los amigos de Juan pierde peso y en vez de criticar a los demás decide
intentar ayudarlos, existe la posibilidad de que cambie la estructura mental de Juan sobre su
peso y empiece a pensar que adelgazar es posible y bueno para él. Esto es, en esencia, Ingeniería
Social. A continuación, otros ejemplos:
1.- El Timo 419: Llamado también la Estafa Nigeriana, se lleva a cabo principalmente por
correo electrónico no solicitado. Adquiere su nombre del número de artículo del código penal
de Nigeria que viola, ya que buena parte de estas estafas provienen de ese país. Si recibe algo
de correo basura, con mucha seguridad ya debe haber recibido un e-mail en inglés donde la
explica que cierto funcionario que tiene acceso a unos fondos acumulados pero que tiene
problemas para efectuar él mismo la operación, porque se trata de fondos secretos y como tiene
que sacarlo de Nigeria lo más rápido posible, entonces ofrece una compensación fuera de lo
común. Los defraudadores profesionales ofrecen transferir millones de dólares a su cuenta
bancaria a cambio de un pequeño cargo. Si usted responde al ofrecimiento inicial, es posible
que reciba documentos que parecen ser oficiales. Entonces, generalmente se le pide que provea
los números de sus cuentas bancarias y una serie de información de carácter privado para hacer
efectivo el traspaso. Por increíble que parezca, en el año 2001 alrededor de 2.600 ciudadanos
fueron víctimas de esta estafa, con una pérdida de más de $300.000 dólares
2.- Robo de empleados: El tema de robo de empleados puede llenar volúmenes enteros. Más
del 60% de los empleados entrevistados admitieron haber tomado información de algún tipo
de sus empleadores. Muchas veces esta información se vende a la competencia. Otras veces, lo
que roban los empleados es tiempo o recursos; en algunos casos, un empleado descontento
puede causar mucho daño. Cierta empresa consideraba que todo el mundo allí era parte de la
“familia” y que no era necesario aplicar políticas de despido de empleados. Desgraciadamente
llegó el día de despedir a uno de los directivos de más alto rango de esta empresa. El despido
fue amigable y el directivo fue comprensivo. Una cosa que la empresa hizo correctamente fue
llevar el despido a la última hora de la jornada para evitar el bochorno o cualquier tipo de
distracción. Hubo un apretón de manos y entonces el ex directivo hizo la fatídica pregunta:
¿Puedo tomarme una hora para limpiar mi mesa y sacar algunas fotos personales del
computador? Al tener buenas sensaciones después de la reunión todos estuvieron rápidamente
de acuerdo y se fueron entre alegres sonrisas.
Entonces el ex directivo se fue a su despacho, empaquetó sus objetos personales, sacó las fotos
y otros datos de su computador, se conectó a la red y limpió el equivalente a 11 servidores en
información: registros de contabilidad, nóminas, facturas, órdenes, historiales, gráficos y
mucho más, todo borrado en cuestión de minutos. El ex directivo abandonó el edificio sin dejar
pruebas de que él fue quien llevó a cabo este ataque. Un empleado descontento al que se deja
actuar libremente puede ser más devastador que un equipo de hackers decididos y
experimentados. La pérdida estimada sólo en empresas de Estados Unidos por robos de
empleados es del orden de 15.000 millones de dólares
3.- Phishing: Un ataque muy simple pero efectivo es engañar al usuario llevándolo a pensar
que un administrador del sistema le está pidiendo una contraseña para propósitos legítimos.
Quienes navegan en internet frecuentemente reciben mensajes que solicitan contraseñas o

20
información de su tarjeta de crédito con el motivo de crear una cuenta, reactivar una
configuración u otra operación aparentemente inofensiva. A este tipo de ataques se lo llama
phishing. Los usuarios de estos sistemas deberían ser advertidos temprana y frecuentemente
para que no divulguen contraseñas u otra información sensible a personas que dicen ser
administradores.
4.- Spoofing: Técnicas de suplantación de identidad en la red generalmente con usos
maliciosos. Por ejemplo, a fuerza de haber sufrido virus gracias a correos engañosos, bloqueos
de casillas a causa del spam y otras delicias, muchos usuarios sólo chequean el correo
electrónico proveniente de remitentes conocidos y “seguros”. Esta (última) opción también se
ve amenazada gracias al spoofing, técnica que puede engañar a cualquier usuario enviando e-
mails de todo tipo (propaganda, agitación política, etc.) bajo la máscara de una dirección
”segura” de un remitente conocido. En este caso, alguien se apropia del nombre y la contraseña
de una dirección de correo y la utiliza para enviar correo masivo preferentemente a las personas
que no dudarían en abrir una mensaje proveniente de esa dirección (dato fácilmente extraíble
de la lista de correo). Los distintos tipos de Ingenieros Sociales La Ingeniería Social puede
adoptar muchas formas. Como lo habíamos dicho anteriormente, Puede ser maliciosa o
amigable puede crear o destruir.
Es por ello que existen diferentes tipos de Ingenieros Sociales: - Hackers. - Probadores de
seguridad. - Espías. - Ladrones de identidad. - Empleados descontentos. - Artistas del timo. -
Agentes de recursos humanos. - Vendedores. - Gobiernos: No siempre son vistos como
Ingenieros Sociales, pero los gobiernos utilizan la Ingeniería Social para controlar el mensaje
que envían a las personas que gobiernan. - Médicos, Psicólogos, Abogados Parece que se puede
encontrar la Ingeniería Social o algún aspecto de ella en cualquier campo. Por eso, se sostiene
firmemente que la Ingeniería Social es una ciencia.
El Entorno Conceptual de la Ingeniería Social y Cómo Utilizarlo El conocimiento es poder,
cierto. En este sentido, la formación es la mejor defensa contra la mayoría de los ataques de
Ingeniería Social. Incluso en aquellos contra los que el conocimiento no puede protegerle al
100%, conocer en detalle estos ataques le mantendrá alerta. La formación puede ayudarle a
mejorar sus propias habilidades y a estar vigente. No obstante, además de formación, necesita
práctica. Recopilar Información Se dice que no hay información irrelevante. En términos de
Ingeniería Social, hasta el menor detalle puede conducir a una brecha beneficiosa para el éxito
de sus propósitos. Caso: Se desea acceder a una empresa que apenas tiene rastro en internet.
Ya que la empresa tiene muy pocas vías por las que penetrar, conseguir acceder a ella
constituye un auténtico reto. Primero se comenzó barriendo Internet en busca de algún detalle
que conduzca a un camino de entradas. En una de las búsquedas se localizó a un alto directivo
de la empresa que utilizaba su correo electrónico corporativo en un foro de coleccionista de
sellos. Rápidamente, el recopilador registró una URL similar a www.stampcolletion.com y
buscó unas cuantas fotos de sellos antiguos en Google.
Creó un sencillo sitio web para mostrar su “colección de sellos” y después envió un correo
electrónico al directivo de la empresa: “Estimado Señor: He visto en www.forum.com que le
interesan los sellos de los años cincuenta. Mi abuelo falleció recientemente y me dejó una
colección de sellos que me gustaría vender. He creado un sitio para tal efecto. Si quisiera ver
la colección, visite por favor www.stampcollection.com.” Antes de enviar el correo electrónico
al objetivo, quería asegurarse de lograr el máximo impacto. Consiguió el número de teléfono
del directivo a través del foro y le dejó un mensaje en el buzón de voz: “Buenos días señor. Vi

21
su mensaje en www.forum.com. Mi abuelo acaba de fallecer y me ha dejado unos cuantos
sellos de los años 50 y 60. He hecho unas fotos y he creado un sitio web. Si está interesado
puedo enviarle un vínculo para que eche un vistazo”. El directivo estaba ansioso por ver la
colección y aceptó de buena gana el correo. El recopilador de información le envió el correo y
esperó que hiciera un clic en el vínculo. Lo que hizo el recopilador, fue incrustar un marco
malicioso en el sitio web. Este marco contenía un código que explotaría una vulnerabilidad,
muy conocida entonces, del navegador Internet Explorer y daría al recopilador control sobre
todo el computador del directivo. La espera no duró mucho tiempo. En cuanto el directivo
recibió el correo, hizo clic en el vínculo poniendo a su empresa en peligro. Una minúscula
cantidad de información (el correo electrónico que utilizaba el directivo para buscar sellos) fue
lo que condujo a la situación de peligro. Ninguna información es irrelevante.
Con esa idea en mente, surgen algunas preguntas en relación a la recopilación de información:
- ¿Cómo se puede recopilar información? - ¿Qué fuentes de recopilación de información
existen para Ingenieros Sociales? - ¿Qué puede deducir de esos datos para retratar a sus
objetivos? - ¿Cómo puede localizar, almacenar y catalogar toda esta información para facilitar
su utilización? Un área excelente para la recopilación de información es la de ventas. Los
vendedores suelen ser muy habladores y fáciles de tratar suelen ser muy buenos reuniendo
información sobre aquellos con quienes interactúan Recopilar información es como construir
una casa. Si intenta empezar por el tejado, lo más probable es que fracase. Una buena casa se
construye empleando unos cimientos sólidos y edificando a partir de ahí, del suelo hacia arriba.
Al recopilar información una persona puede sentirse abrumada intentando organizar y utilizar
el material, por lo que es buena idea crear un archivo o iniciar una aplicación de recopilación
para reunir datos. Existen muchas herramientas que ayudan a recopilar y utilizar la
información. Para realizar pruebas de seguridad y auditorías de Ingeniería Social es
recomendable la utilización de una distribución de Linux llamada BackTrack específicamente
diseñada con este propósito. BackTrack, como casi todas las distribuciones de Linux, es de
software libre y fuente abierta.
Quizás su mayor ventaja sea que contiene más de 300 herramientas diseñadas para ayudar en
auditorías de seguridad. Dos instrumentos de BackTrack especialmente útiles para la
recopilación y almacenaje de información son Dradis y BasKet. Para un Ingeniero Social,
reunir información es la clave de cada actuación, pero si no se puede recuperar y utilizar
información rápidamente, entonces resulta inútil. Una herramienta como BasKet hace que
guardar y utilizar datos sea muy sencillo. Aunque BasKet es una gran herramienta, si hace
mucha recopilación de información o si trabaja en equipo y necesita reunir, guardar y utilizar
los datos, entonces es importante tener una herramienta que permita compartir la información
por varios usuarios. Esta herramienta es Dradis. Este programa es una aplicación web
independiente que proporciona un almacén centralizado de la información que se ha reunido y
un medio a partir del cual planificar los siguientes pasos.
Pensar como un Ingeniero Social: “En una ocasión arrendé un auto para hacer un viaje de
negocios. Mi acompañante y yo cargamos nuestro equipaje en el maletero; cuando entramos
en el auto reparamos en una pequeña bolsa de basura que había atrás. La persona que iba
conmigo dijo: Este servicio va de mal en peor. Se supone que por lo que pagamos podrían al
menos limpiar el coche. Es cierto, sería lógico, pero antes de que tirara la bolsa al basurero más
cercano, dije: Déjame echar un vistazo rápido. Cuando abrí la bolsa y aparté los envoltorios lo
que encontré allí, me pareció a simple vista impactante: era la mitad de un cheque partido.
Inmediatamente volqué el contenido de la bolsa y encontré un recibo del banco y la otra mitad

22
del cheque. Una vez pegado con cinta, el cheque revelaba el nombre de la persona, la empresa,
su número de teléfono, número de cuenta bancaria y el código de identificación bancaria. Por
suerte para el propietario de estos datos, no soy una mala persona porque sólo se necesitan un
par de pasos más para cometer un robo de identidad. Esta historia personifica la relación que
tiene la gente con su información valiosa.
Esta persona que arrendó el auto antes que yo y después, al tirar el cheque, estaba convencido
de que lo que había hecho desaparecer de forma segura”. Fuentes de Recopilación de
Información Existen muchas fuentes diferentes de recopilación de información. La siguiente
lista no puede abarcar todas las posibilidades existentes, pero perfila las opciones más
importantes.
1.- Recopilar Información de los sitios web Los sitios web personales o corporativos pueden
proporcionar una gran cantidad de información. Lo primero que hará normalmente un buen
Ingeniero Social es reunir todos los datos que pueda del sitio web de la persona o de la empresa.
Dedicarle tiempo al sitio web puede llevarle claramente a: - Lo que hacen. - Los productos y
servicios que ofrecen. - Las localizaciones físicas. - Las ofertas de puestos de trabajo. Los
números de contacto. - Las biografías de los ejecutivos o del consejo administrativo. - El foro
de apoyo. - La nomenclatura de los correos electrónicos. - Palabras o frases especiales que
pueden ayudar a determinar contraseñas.
2.- Servidores Públicos Los servidores públicos de una empresa también son buenas fuentes de
la información que sus sitios web no proporcionan. Las direcciones IP pueden decir si los
servidores están alojados localmente o con un proveedor, con los registros de DNS puede
determinar nombres y funciones de servidores y direcciones IP.
3.- Redes Sociales Muchas empresas han empezado a interesarse por las redes sociales. Es
publicidad barata que llega a un gran número de clientes potenciales. También es una nueva
corriente de información de una empresa que puede proporcionar algunos datos útiles. Caso:
“El presidente de Hewlett- Packard reveló más que su jerarquía laboral cuando mencionó la
iniciativa de almacenamiento en la web de la firma fabricante de computadoras en su perfil de
LinkedIn. En un descuido, alertó a sus competidores sobre detalles que no se habían difundido
antes respecto de los servicios de cloud computing de la marca. La información se retiró más
tarde, si bien no antes de que los rivales pudieran ver los planes. Conforme los empleados
brindan más información online sobre su vida, desde actualizaciones sobre su situación,
controles de ubicación y cambios en el currículum, los empleadores corren más riesgos de que
los competidores observen todos sus movimientos. En una encuesta de Forrester Research del
año pasado entre más de 150 compañías que monitorean medios sociales, más del 82% expresó
que usaba esos datos para inteligencia competitiva”.
4.- Sitios de usuarios blogs y otros Los sitios de usuarios como los blogs, wikis y videos online
no solo pueden proporcionar información sobre la empresa objetivo, sino que también ofrecen
una conexión más personal a través del contenido subido por el usuario. Un empleado
descontento que está hablando en su blog sobre sus problemas en la empresa, puede ser
susceptible de compartir información privilegiada que cualquiera puede ver y leer. Un buen
ejemplo es esta web www.icanstalku.com Al contrario de lo que indica su nombre “puedo
acosarte”, no anima a la gente a acosar a otros. Este sitio pone de manifiesto el total descuido
de muchos usuarios de Twitter. Rastrea el sitio de Twitter y busca usuarios que son tan
imprudentes como para colgar fotos hechas con sus teléfonos Smartphone. Mucha gente no
sabe que la mayoría de los Smartphone incrustan datos de localización en sus fotos. Cuando

23
un usuario cuelga una foto en la web con esta información incrustada, puede conducir a una
persona hasta su localización.
II.2.3 PHISHING
Phishing Éste es un ejemplo de un intento de phishing. Haciéndose pasar por un correo
electrónico oficial, trata de engañar a los clientes del banco para que den información acerca
de su cuenta con un enlace a la página del phisher. Phishing es un término informático que
denomina un tipo de abuso informático y que se comete mediante el uso de un tipo de ingenieria
social caracterizado por intentar adquirir información confidencial de forma fraudulenta (como
puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información
bancaria). El cibercriminal, conocido como phisher, se hace pasar por una persona o empresa
de confianza en una aparente comunicación oficial electrónica, por lo común un correo
electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas
telefónicas. Dado el creciente número de denuncias de incidentes relacionados con el phishing,
se requieren métodos adicionales de protección. Se han realizado intentos con leyes que
castigan la práctica y campañas para prevenir a los usuarios con la aplicación de medidas
técnicas a los programas.
Historia del phishing
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al intento
de hacer que los usuarios "muerdan el anzuelo".A quien lo practica se le llama phisher.
También se dice que el término phishing es la contracción de password harvesting fishing
(cosecha y pesca de contraseñas), aunque esto probablemente es un acrónimo retroactivo, dado
que la escritura 'ph es comúnmente utilizada por hackers para sustituir la f, como raíz de la
antigua forma de hacking telefónico conocida como phreaking. La primera mención del
término phishing data de enero de 1996. Se dio en el grupo de noticias de hackers alt.2600,
aunque es posible que el término ya hubiera aparecido anteriormente en la edición impresa del
boletín de noticias hacker 2600 Magazine. El término phishing fue adoptado por quienes
intentaban "pescar" cuentas de miembros de AOL. Phishing en AOL Quienes comenzaron a
hacer phishing en AOL durante los años 1990 solían obtener cuentas para usar los servicios de
esa compañía a través de números de tarjetas de crédito válidos, generados utilizando
algoritmos para tal efecto. Estas cuentas de acceso a AOL podían durar semanas e incluso
meses. En 1995 AOL tomó medidas para prevenir este uso fraudulento de sus servicios, de
modo que los crackers recurrieron al phishing para obtener cuentas legítimas en AOL. El
phishing en AOL estaba estrechamente relacionado con la comunidad de warez que
intercambiaba software falsificado.
Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una
víctima potencial. Para poder engañar a la víctima de modo que diera información confidencial,
el mensaje podía contener textos como "verificando cuenta" o "confirmando información de
factura". Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta
de la víctima y utilizarla para varios propósitos criminales, incluyendo el Phishing y spam.
Tanto el phishing como el warezing en AOL requerían generalmente el uso de programas
escritos por crackers, como el AOLHell. En 1997 AOL reforzó su política respecto al phishing
y los warez fueron terminantemente expulsados de los servidores de AOL. Durante ese tiempo
el phishing era tan frecuente en AOL que decidieron añadir en su sistema de mensajería
instantánea, una línea de texto que indicaba: «no one working at AOL will ask for your

24
password or billing information» («nadie que trabaje en AOL le pedirá a usted su contraseña o
información de facturación»).
Simultáneamente AOL desarrolló un sistema que desactivaba de forma automática una cuenta
involucrada en phishing, normalmente antes de que la víctima pudiera responder. Los phishers
se trasladaron de forma temporal al sistema de mensajería instantáneo de AOL (AIM), debido
a que no podían ser expulsados del servidor de AIM. El cierre obligado de la escena de warez
en AOL causó que muchos phishers dejaran el servicio, y en consecuencia la práctica.
Intentos recientes de phishing
Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y
servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es enviado
por phishers de forma indiscriminada con la esperanza de encontrar a un cliente de dicho banco
o servicio, estudios recientes muestran que los phishers en un principio son capaces de
establecer con qué banco una posible víctima tiene relación, y de ese modo enviar un correo
electrónico, falseado apropiadamente, a la posible víctima. En términos generales, esta variante
hacia objetivos específicos en el phishing se ha denominado spear phishing (literalmente pesca
con arpón). Los sitios de Internet con fines sociales también se han convertido en objetivos
para los phishers, dado que mucha de la información provista en estos sitios puede ser utilizada
en el robo de identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en
ataques phishing en redes sociales.A finales de 2006 un gusano informático se apropió de
algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que
apuntaran a una página web diseñada para robar información de ingreso de los usuarios.
Técnicas de phishing
La mayoría de los métodos de phishing utilizan la manipulación en el diseño de el correo
electrónico para lograr que un enlace parezca una ruta legítima de la organización por la cual
se hace pasar el impostor. URLs manipuladas, o el uso de subdominios, son trucos comúnmente
usados por phishers; por ejemplo en esta URL: Por ejemplo, el enlace
http://www.google.com@members.tripod.com/ puede engañar a un observador casual y
hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el
enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el
nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente).
Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet
Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de
direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra
de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene
la URL ilegítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de
programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta
particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del
banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este
método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje
diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página
web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy
difícil de detectar si no se tienen los conocimientos Phishing 3 necesarios. Otro problema con
las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en
los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan
25
conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en
el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron,
"ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones.
A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing
o ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado. Lavado de dinero
producto del phishing Actualmente empresas ficticias intentan reclutar teletrabajadores por
medio de correo electrónicos, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde
casa sino también otros jugosos beneficios.
Aquellas personas que aceptan la oferta se convierten automáticamente en víctimas que
incurren en un grave delito sin saberlo: el blanqueo de dinero obtenido a través del acto
fraudulento de phishing. Para que una persona pueda darse de alta con esta clase de «empresas»
debe rellenar un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria.
Esto tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de
estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima se
convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su cuenta
bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la víctima se quedará
un porcentaje del dinero total, pudiendo rondar el 10%-20%, como comisión de trabajo y el
resto lo reenviará a través de sistemas de envío de dinero a cuentas indicadas por la seudo-
empresa. Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad
económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser requerido por
la justicia previa denuncia de los bancos.
Estas denuncias se suelen resolver con la imposición de devolver todo el dinero sustraído a la
víctima, obviando que este únicamente recibió una comisión. Fases • En la primera fase, la red
de estafadores se nutre de usuarios de chat, foros o correos electrónicos, a través de mensajes
de ofertas de empleo con una gran rentabilidad o disposición de dinero (hoax o scam). En el
caso de que caigan en la trampa, los presuntos intermediarios de la estafa, deben rellenar
determinados campos, tales como: Datos personales y número de cuenta bancaria.
• Se comete el phishing, ya sea el envío global de millones de correos electrónicos bajo la
apariencia de entidades bancarias, solicitando las claves de la cuenta bancaria (phishing) o con
ataques específicos.
• El tercer paso consiste en que los estafadores comienzan a retirar sumas importantes de
dinero, las cuales son transmitidas a las cuentas de los intermediarios (muleros).
• Los intermediarios realizan el traspaso a las cuentas de los estafadores, llevándose éstos las
cantidades de dinero y aquéllos —los intermediarios— el porcentaje de la comisión.
Los daños causados por el phishing oscilan entre la pérdida del acceso al correo electrónico a
pérdidas económicas sustanciales. Este tipo de robo de identidad se está haciendo cada vez más
popular por la facilidad con que personas confiadas normalmente revelan información personal
a los phishers, incluyendo números de tarjetas de crédito y números de seguridad social. Una
vez esta información es adquirida, los phishers pueden usar datos personales para crear cuentas
falsas utilizando el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las
víctimas acceder a sus propias cuentas.
Se estima que entre mayo de 2004 y mayo de 2005, aproximadamente 1,2 millones de usuarios
de computadoras en los Estados Unidos tuvieron pérdidas a causa del phishing, lo que suma a

26
aproximadamente $929 millones de dólares estadounidenses. Los negocios en los Estados
Unidos perdieron cerca de 2000 millones de dólares al año mientras sus clientes eran
víctimas.El Reino Unido también sufrió el alto incremento en la práctica del phishing. En
marzo del 2005, la cantidad de dinero reportado que perdió el Reino Unido a causa de esta
práctica fue de aproximadamente £12 millones de libras esterlinas. Anti-Phishing Existen
varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de
tecnologías específicas que tienen como objetivo evitarlo. Respuestas organizativas Una
estrategia para combatir el phishing adoptada por algunas empresas es la de entrenar a los
empleados de modo que puedan reconocer posibles ataques.
Una nueva táctica de phishing donde se envían correos electrónicos de tipo phishing a una
compañía determinada, conocido como spear phishing, ha motivado al entrenamiento de
usuarios en varias localidades, incluyendo la Academia Militar de West Point en los Estados
Unidos. En un experimento realizado en junio del 2004 con spear phishing, el 80% de los 500
cadetes de West Point a los que se les envió un correo electrónico falso fueron engañados y
procedieron a dar información personal.Un usuario al que se le contacta mediante un mensaje
electrónico y se le hace mención sobre la necesidad de "verificar" una cuenta electrónica puede
o bien contactar con la compañía que supuestamente le envía el mensaje, o puede escribir la
dirección web de un sitio web seguro en la barra de direcciones de su navegador para evitar
usar el enlace que aparece en el mensaje sospechoso de phishing. Muchas compañías,
incluyendo eBay y PayPal, siempre se dirigen a sus clientes por su nombre de usuario en los
correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una manera
genérica como («Querido miembro de eBay») es probable que se trate de un intento de
phishing.
Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos programas
trabajan identificando contenidos phishing en sitios web y correos electrónicos; algunos
software anti-phishing pueden, por ejemplo, integrarse con los navegadores web y clientes de
correo electrónico como una barra de herramientas que muestra el dominio real del sitio
visitado. Los filtros de spam también ayudan a proteger a los usuarios de los phishers, ya que
reducen el número de correos electrónicos relacionados con el phishing recibidos por el
usuario.
Muchas organizaciones han introducido la característica denominada «pregunta secreta», en la
que se pregunta información que sólo debe ser conocida por el usuario y la organización. Las
páginas de Internet también han añadido herramientas de verificación que permite a los
usuarios ver imágenes secretas que los usuarios seleccionan por adelantado; sí estas imágenes
no aparecen, entonces el sitio no es legítimo. Estas y otras formas de autentificación mutua
continúan siendo susceptibles de ataques, como el sufrido por el banco escandinavo Nordea a
finales de 2005.Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques
de phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para
cerrar páginas con contenido phishing.
El [www.apwg.org/ Anti-Phishing Working Group}, industria y asociación que aplica la ley
contra las prácticas de phishing, ha sugerido que las técnicas convencionales de phishing
podrían ser obsoletas en un futuro a medida que la gente se oriente sobre los métodos de
ingeniería social utilizadas por los phishers. Ellos suponen que en un futuro cercano, el
pharming y otros usos de malware se van a convertir en herramientas más comunes para el
robo de información. Respuestas legislativas y judiciales El 26 de enero de 2004, la FTC

27
(Federal Trade Commission, la Comisión Federal de Comercio) de Estados Unidos llevó a
juicio el primer caso contra un phisher sospechoso.
El acusado, un adolescente de California, supuestamente creó y utilizó una página web con un
diseño que aparentaba ser la página de America Online para poder robar números de tarjetas
de crédito. Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando
y arrestando a presuntos phishers. A finales de marzo de 2005, un hombre estonio de 24 años
fue arrestado utilizando una backdoor, a partir de que las víctimas visitaron su sitio web falso,
en el que incluía un keylogger que le permitía monitorear lo que los usuarios tecleaban. Del
mismo modo, las autoridades arrestaron al denominado phisher kingpin, Valdir Paulo de
Almeida, líder de una de las más grandes redes de phishing que en dos años había robado entre
$18 a $37 millones de dólares estadounidenses. En junio del 2005 las autoridades del Reino
Unido arrestaron a dos hombres por la práctica del phishing, en un caso conectado a la
denominada «Operation Firewall» del Servicio Secreto de los Estados Unidos, que buscaba
sitios web notorios que practicaban el phishing.
La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing. El 31 de marzo
del 2005, Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En
algunos de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para
obtener contraseñas e información confidencial. Microsoft espera desenmascarar con estos
casos a varios operadores de phishing de gran envergadura. En marzo del 2005 también se
consideró la asociación entre Microsoft y el gobierno de Australia para educar sobre mejoras a
la ley que permitirían combatir varios crímenes cibernéticos, incluyendo el phishing. El
phishing como delito General Diversos países se han ocupado de los temas del fraude y las
estafas a través de Internet. Uno de ellos es ell Convenio de Cibercriminalidad de Budapest
pero además otros países han dedicado esfuerzos legislativos para castigar estas acciones .
Algunos países ya han incluido el phishing como delito en sus legislaciones, mientras que en
otros aún están trabajando en ello.
En Argentina, el 19 de septiembre de 2011 fue presentado un proyecto para sancionar el
Phishing , bajo el Nº de Expediente S-2257/11, Proyecto de Ley para tipificar el Phishing o
Captación Ilegítima de Datos en el Senado de la Nación. Mediante este proyecto se busca
combatir las diferentes técnicas de obtención ilegítima de información personal. Estados
Unidos En los Estados Unidos, el senador Patrick Leahy introdujo el Ley Anti-Phishing de
2005 el 1 de marzo de 2005. Esta ley federal de anti-phishing establecía que aquellos criminales
que crearan páginas web falsas o enviaran spam a cuentas de correo electrónico con la intención
de estafar a los usuarios podrían recibir una multa de hasta $250,000 USD y penas de cárcel
por un término de hasta cinco años. Algunos estados tienen leyes que tratan las prácticas
fraudulentas o engañosas o el robo de identidad y que también podría aplicarse a los delitos de
phishing. Aquí se puede encontrar los estados que actualmente castigan este tipo de delitos.
II.2.4 INCORPORACIÓN DE MEDIDAS PREVENTIVAS
1.- Necesariamente brindar una adecuada educación respecto a las tecnologías de la
información, en todos los niveles esto nos ayudaría a prevenirla y combatirla. El legislador
siendo la persona idónea, debe contar con todos los conocimientos que le pueda ofrecer el
Derecho Informático, para que luego realice una correcta legislación respecto a la problemática
que existe en el país.
2.- Dentro de la legislación por definir debe hacerse una clara distinción de los ilícitos
informáticos conforme a los bienes jurídicos que se pretende tutelar.
28
3.- Establecer políticas especializadas para combatir las diferentes conductas antisociales que
se realizan haciendo uso de las tecnologías de la Información, cuyo resultado sea la de la
comisión de algún ilícito, por lo que su atención debe de ser cuidadosa.
4.- El gobierno debe de interactuar con el pueblo, tener una alta participación para erradicar
este flagelo, donde coordine con las instituciones competentes, y no solo adopten un papel de
observadores.
5.- La Policía debe de contar entre sus miembros elemento calificados y capacitados,
asistiéndose tanto del Derecho Informático, como también de otras ciencias auxiliares y
disciplinas, que ayuden a localizar y detener al delincuente informático.
6.- Nuestro país es necesario que forme parte de organismos y convenios internacionales para
llevar a cabo el combate de todo tipo de delincuencia que se da a nivel globalizado,
7.- Para una adecuada legislación de los Delitos Informáticos no sólo se deben de contemplar
posibles reformas o adecuaciones al Código Penal, en sus correspondientes apartados, sino
modificar otros textos legales; y delimitar así los bienes jurídicos que deben ser protegidos
por los ilícitos informáticos.
Medidas de prevención para evitar ser víctima del “phishing”
Las siguientes medidas buscan asistirlo para minimizar los efectos negativos de un ataque de
“phishing” y de ser posible, impedirlo:
● Si recibe un correo electrónico que le pide información personal o financiera, no responda.
Si el mensaje lo invita a acceder a un sitio web a través de un enlace incluido en su contenido,
no lo haga. Las organizaciones que trabajan seriamente están al tanto de este tipo de fraudes y
por consiguiente, no solicitan información por medio del correo electrónico. Tampoco lo
contactan telefónicamente, ni mediante mensajes SMS o por fax. Si le preocupa el estado de la
cuenta que posee en la organización que dice haber enviado el correo, o que lo ha contactado,
comuníquese directamente utilizando un número telefónico conocido y provisto por la entidad
u obtenido a través de medios confiables, como por ejemplo de su último resumen de cuenta.
Alternativamente, puede ingresar en la página oficial de la organización, ingresando usted
mismo la dirección de Internet correspondiente en el navegador.
● No envíe información personal usando mensajes de correo electrónico. El correo electrónico,
si no se utilizan técnicas de cifrado y/o firma digital, no es un medio seguro para enviar
información personal o confidencial.
● No acceda desde lugares públicos. En la medida de lo posible, evite ingresar al sitio web de
una entidad financiera o de comercio electrónico desde un cyber-café, locutorio u otro lugar
público. Las PCs instaladas en estos lugares podrían contener software o hardware malicioso
destinado a capturar sus datos personales.
● Verifique los indicadores de seguridad del sitio web en el cuál ingresará información
personal. Si es indispensable realizar un trámite o proveer información personal a una
organización por medio de su sitio web, escriba la dirección web usted mismo en el navegador
y busque los indicadores de seguridad del sitio. Al acceder al sitio web, usted deberá notar que
la dirección web comienza con “https://”, donde la “s” indica que la transmisión de información
es “segura”. Verifique también que en la parte inferior de su navegador aparezca un candado

29
cerrado. Haciendo clic sobre ese candado, podrá comprobar la validez del certificado digital y
obtener información sobre la identidad del sitio web al que está accediendo.
● Mantenga actualizado el software de su PC: Instale las actualizaciones de seguridad de su
sistema operativo y de todas las aplicaciones que utiliza, especialmente las de su producto
antivirus, su cliente web y de correo electrónico. La mayoría de los sistemas actuales permiten
configurar estas actualizaciones en forma automática.
● Revise sus resúmenes bancarios y de tarjeta de crédito tan pronto los reciba. Si detecta cargos
u operaciones no autorizadas, comuníquese de inmediato con la organización emisora.
También contáctese con ella si se produce una demora inusual en la recepción del resumen.
● No descargue ni abra archivos de fuentes no confiables. Estos archivos pueden tener virus o
software malicioso que podrían permitir a un atacante acceder a su computadora y por lo tanto,
a toda la información que almacene o introduzca en ésta. Recuerde - No conteste ningún
mensaje que resulte sospechoso. Si un mensaje en su contestador le avisa sobre un evento
adverso vinculado a su cuenta bancaria y le solicita que llame a un teléfono gratuito, no lo haga.
Si recibe un correo electrónico que le pide lo mismo, no lo crea. Si del mismo modo le envían
un SMS de bienvenida a un servicio que no ha contratado, bórrelo y olvídese. Las mencionadas
prácticas no son sino diversas modalidades que persiguen el mismo fin: obtener sus datos
personales para defraudarlo. Finalmente - Permanezca siempre atento para evitar el acceso
indebido a su información personal. Observamos que día a día aparecen nuevas estrategias de
engaño. Su desconfianza y el cuidado con que analiza los sitios web en los que ingresa sus
datos de identidad, son su mejor protección.
Un error presente en varios artículos es que, con la finalidad de abarcar la mayor cantidad de
casos posibles, han terminado escribiendo tipos penales demasiado amplios. Estos excesos de
entusiasmo han hecho que cualquiera que cambie, modifique o elimine un archivo ajeno pueda
afrontar hasta seis años de cárcel, o que quien tenga algún tipo de base de datos que cause o no
perjuicio sea condenado a cinco años de cárcel. Lo que es peor es que con esos tipos penales
tan amplios, todos los auténticos delincuentes informáticos van a declararse “en la zona gris”
por incertidumbre en la interpretación de la ley. Sobre el punto, debe recordarse que el principio
de legalidad también incluye el requisito de “ley cierta” según el cual todos los tipos penales
deben de estar específicamente determinados y no dejar espacio a errores, analogías o excesos
en la interpretación.
Similares problemas presentan los cambios en los delitos de grooming, discriminación e
interceptación telefónica. En el primero, en firme cumplimiento de la tradición nacional por
aprobar las leyes de moda en otros países, se penaliza a quien “a través de las tecnologías de la
información o de las comunicaciones” contacte a un menor de catorce años para solicitarle
material pornográfico o proponerle actividades sexuales. Sin embargo, las posibilidades de que
se le aplique este artículo a un pedófilo o un acosador de menores son nulas porque las penas
por pedofilia o pornografía infantil son mayores. Al mismo tiempo, termina penalizándose el
acoso que no lleva a violación solo cuando se lleva a cabo en Internet y se mantiene el acoso
en persona como un acto obsceno con una pena considerablemente menor.
En el caso del delito de discriminación, se amplía la redacción vigente del Código Penal para
incluir los casos en los que el delito se realiza “a través de las tecnologías de la información y
de la comunicación”. En otras palabras, se castiga con hasta cuatro años de cárcel para quien,
a través de un artículo, comentario o un video difundido por Internet discrimina o incita a la
discriminación. Debe recordarse que, en los términos de nuestro Código Penal, la

30
discriminación no solo es racial sino también por ideología política. Un artículo que en las
manos equivocadas puede ser una real amenaza para la libertad de expresión.
Finalmente, la Ley también aumenta las penas para el delito de interceptación telefónica y de
datos hasta los seis años y propone agravantes para cuando la interceptación tenga como objeto
información pública clasificada o que comprometa la defensa y soberanía nacional. Mientras
que el espionaje ya es un delito en nuestro país, llama la atención el entusiasmo en castigar la
interceptación de información pública reservada. En esta categoría, que corresponde a toda la
información que una entidad podría negarse a dar en virtud de la Ley de Transparencia, se
encuentran informes previos a la dación de una ley o resoluciones administrativas de primera
instancia. ¿Necesitamos un agravante en estos casos?
Para todos nosotros, la dación de esta ley significa la confirmación de una forma de legislar
autoritaria. Ni al Poder Ejecutivo ni al Congreso les importó que el Reglamento del Congreso
exija que todos los Proyectos de Ley deben de pasar por Comisión, salvo excepción expresa, y
ser publicados siete días antes de su debate. El Ejecutivo se creyó el más capacitados para
escribir la ley y, una vez que la tuvieron escrita, se ocuparon de aprobarla como sea. Un
precedente nefasto para todos los próximos proyectos de ley polémicos que puedan pasar por
nuestro Congreso.
PROYECTO DE LEY

II.3 DEFINICION DE TERMINIOS BASICO

ACTIVO PATRIMONIAL: Conjunto de bienes y derechos que integran el haber de una

persona física o jurídica.
BASE DE DATOS: Conjunto completo de ficheros informáticos que reúnen informaciones
generales o temáticas, que generalmente están a disposición de numerosos usuarios.
BROWSER (BUSCADOR): El software para buscar y conseguir información de la red
WWW. Los más comúnmente usados son Microsoft Explorer, Firefox y Opera.
COOKIE: Es un archivo o datos dejados en su computadora por un servidor u otro sistema al
que se hayan conectado. Se suelen usar para que el servidor registre información sobre aquellas
pantallas que usted ha visto y de la información personalizada que usted haya mandado.
Muchos usuarios consideran esto como una invasión de privacidad, ya que casi ningún sistema
dice lo que está haciendo. Hay una variedad de "anti-cookie" software que automáticamente
borra esa información entre visitas a su sitio.
DIALUP (MARCAR): El método de conectarse con Internet vía la línea de teléfono normal
mediante un modem, en vez de mediante una LAN (Red Local) o de una línea de teléfono
alquilada permanentemente. Esta es la manera más común de conectarse a Internet desde casa
si no ha hecho ningún arreglo con su compagina de teléfono o con un ISP. Para conexiones
alternativas consulte con su ISP primero.
DIGITAL SIGNATURE (FIRMA DIGITAL): El equivalente digital de una firma autentica
escrita a mano. Es un dato añadido a un fichero electrónico, diciendo que el dueño de esa firma
escribió o autorizo el Archivo.
DOCUMENTO ELECTRÓNICO: Es la representación en forma electrónica de hechos
jurídicamente relevantes susceptibles de

31
HTTP (HYPER TEXT TRANSPORT PROTOCOL): El conjunto de reglas que se usa en
Internet para pedir y ofrecer páginas de la red y demás información. Es lo que pone al comienzo
de una dirección, tal como "http: /," para indicarle al buscador que use ese protocolo para buscar
información en la página.
INTERNET SERVICE PROVIDER (ISP) (PROVEEDOR DE SERVICIO DE INTERNET)
Una persona, organización o compagina que provee acceso a Internet. Además del acceso a
Internet, muchos ISP proveen otros servicios tales como anfitrión de Red, servicio de nombre,
y otros servicios informáticos.
MENSAJE DE DATOS: Es toda aquella información visualizada, generada enviada, recibida,
almacenada o comunicada por medios informáticos, electrónicos, ópticos, digitales o similares.
MODEM: Un aparato que cambia datos del computador a formatos que se puedan transmitir
más fácilmente por línea telefónica o por otro tipo de medio.
SISTEMA TELEMÁTICO. Conjunto organizado de redes de telecomunicaciones que sirven
para trasmitir, enviar, y recibir información tratada de forma automatizada.
SISTEMA DE INFORMACIÓN: Se entenderá como sistema de información, a todo sistema
utilizado para generar, enviar, recibir, procesar o archivar de cualquier forma de mensajes de
Datos.
SISTEMA INFORMÁTICO: Conjunto organizado de programas y bases de datos que se
utilizan para, generar, almacenar, tratar de forma automatizada datos o información cualquiera
que esta sea.
SOCIEDAD DE LA INFORMACIÓN: La revolución digital en las tecnologías de la
información y las comunicaciones (TIC) ha creado una plataforma para el libre flujo de
información, ideas y conocimientos en todo el planeta. Ha causado una impresión profunda en
la forma en que funciona el mundo. La Internet se ha convertido en un recurso mundial
importante, que resulta vital tanto para el mundo desarrollado por su función de herramienta
social y comercial, como para el mundo en desarrollo por su función de pasaporte para la
participación equitativa y para el desarrollo económico, social y educativo.
SOPORTE LÓGICO: Cualquiera de los elementos (tarjetas perforadas, cintas o discos
magnéticos, discos ópticos) que pueden ser empleados para registrar información en un sistema
informático.
SOPORTE MATERIAL: Es cualquier elemento corporal que se utilice para registrar toda
clase de información.
TELEMÁTICA: neologismo que hace referencia a la comunicación informática, es decir la
transmisión por medio de las redes de telecomunicaciones de información automatizada.
II.4 FORMULACION DE HIPOTESIS
II.4.1 HIPOTESIS PRINCIPAL
LA CLARA IDENTIFICACION DE LA NATURALEZA DEL PHISHING EN TANTO
ILICITO PENAL, PERMITIRA SU TIPIFICACION COMO DELITO INFORMATICO
PARTICULAR EN EL PERU.
II.4.2 HIPOTESIS ESPECÍFICA
LA NATURALEZA JURÍDICA DEL DELITO INFORMÁTICO

32
LAS CARACTERÍSTICAS ORIGEN Y EVOLUCIÓN DEL DELITO INFORMÁTICO
LA INCORPORACIÓN DEL PHISHING EN EL CÓDIGO PENAL

33
II.5 OPERACIONALIZACION DE VARIABLES
VARIABLES DEFINICION CONCEPTUAL DIMENSIONES INDICADORES ITEMS
VARIABLES término informático que denomina un Suplantación de Mal uso de El conocimiento sobre los
INDEPENDIENTE modelo de abuso informático y que se sitios web para hardware delitos informáticos hace
comete mediante el uso de un tipo capturar datos más sencilla la
de ingeniería social, caracterizado por personales. identificación de páginas
EL PHISHING intentar adquirir información confidencial suplantadas
de forma fraudulenta (como puede ser
Daño informático Ataques realizados Mejorar la seguridad de los
una contraseña, información detallada
por crackers apartos del estados, bancos
sobre tarjetas de crédito u otra
y del publico en general es
información bancaria).
prescindible para protegerse
de cualquier ataque
informatico
Hurto por medios Fraude electrónico Es recomendable tener
informáticos y instalado en su equipo algún
semejantes tipo de software anti-
spyware, para evitar que se
introduzcan en su equipo
programas espías destinados
a recopilar información
confidencial sobre el
usuario.
Uso de software Mal uso de Un control sobre los
malicioso artefactos aparatos electrónicos
electronicos (ejemplo: pos) beneficiaria a
la ciudadanía de ser
victimas de algún delito
informatico

1
 Ingeniería social Medio por el cual la formación y
se produce el concienciación es una pieza
phishing fundamental para la
protección de las personas
en una empresa o de
manera particular.
VARIABLDEPENDIENTE utilidad teórico-práctico evidente para fraude informatico Artículos ¿Existen los suficientes
sistematizar las normas, establecer la estipulados en las alcances en el Nuevo
jurisdicción competente y determinar las leyes con Código Penal para sancionar
NATURALEZA sanciones punitivas en los casos de definiciones los delitos informáticos?
JURIDICA transgresión por los destinatarios de ambiguas.
aquellas.
Suplantación de No corresponde a ¿Están tipificados
identidad la realidad que se adecuadamente los delitos
pretende regular informáticos en el Nuevo
Código Penal?

2
III METODOLOGIA DE INVESTIGACION
III.1 DISEÑO METODOLOGIA
III.1.1 TIPO
Básica o no experimental. Porque se recogerán los datos directamente de la realidad, y el
investigador no manipulará las variables, solo se las describirá tal como se presentan.
III.1.2 NIVEL
III.1.3 ENFOQUE DE INVESTIGACION
Se trata de una investigación con un enfoque cualitativo porque permite alcanzar un análisis
sistemático de información más subjetiva a partir de ideas y opiniones sobre un determinado
asunto, usando planteamientos generales, y las vías usadas para recolectar los datos fueron la
observación, entrevistas, investigación documental y digital.
III.2 POBLACION Y MUESTRA DE ESTUDIO
III.3 RESOLUCION Y PROCESAMIENTOS DE DATOS
III.4 PRESENTACION RESULTADOS
IV CRONOGRAMA DE ACTIVIDADES
V PRESUPUESTO
VI FUENTES DE INFORMACION
VI.1 BIBLIOGRAFIA
ADÁN DEL RIO, Carmen; “La persecución y sanción de los delitos informáticos”, CUADERNO
VASCO DE CRIMINOLOGÍA, Nº 20, Vasco 2006.  AROCENA, Gustavo A.; “La regulación de
los delitos informativos en el código penal argentino. Introducción a la ley nacional N° 26.388”, en
Boletín Mexicano de Derecho Comparado, nueva serie, año XLV, N° 135, México 2012, pág. 945-
988.
AZAOLA CALDERON, Luis; “Delitos informáticos y Derecho penal”, UBIJUS, México 2010. 83
Articulo incorporado al Código Penal por la Ley Nº 30171. 84Diccionario de la Real Academia
Española http://lema.rae.es/drae/?val=contactar [visto el 28 de marzo 2014]. 27
BRAMONT- ARIAS TORRES, Luis A.; “Delitos informáticos”, en Revista Peruana de Derecho
de la Empresa, DERECHO INFORMATICO Y TELEINFORMATICA JURIDICA, Nº 51,
ASESORANDINA. Lima 2000.
CAMACHO LOSA, L; “El delito informático” GRAFICAS CONDOR, Madrid 1987.
CARNEVALI RODRÍGUEZ, Raúl; “La criminalidad organizada. Una aproximación al derecho
penal italiano, en particular la responsabilidad de las personas jurídicas y la confiscación”, Vol. 16,
Ius Et Praxis Nº 2, Talca, 2010.
CORCOY BIDASOLO, Mirentxu; “Problemática de la persecución penal de los denominados
delitos informáticos: particular referencia a la participación criminal y al ámbito espacio temporal
de comisión de los hechos”, CUADERNO VASCO DE CRIMINOLOGÍA, Nº 21, Vasco 2001.

1
DÍAZ GÓMEZ, A., «El delito informático, su problemática y la cooperación internacional como
paradigma de su solución: El Convenio de Budapest, REDUR 8, Rioja 2010
DE ALFONSO LASO, D; “El hackerin blanco. Una conducta ¿punible o impune?”, en Internet y
derecho penal, Cuadernos de Derecho Judicial, Consejo General del poder Judicial, Madrid, 2001,
pág.110- 111.
DOVAL PAIS, Antonio; “La intimidad y los secretos de la empresa como objeto de ataque por
medios informáticos”, CUADERNO VASCO DE CRIMINOLOGÍA, Nº 22, Vasco 2008.
DURAND VALLADARES, “Los delitos informáticos en el Código Penal Peruano” en Revista
Peruana de Ciencias Penales. N° 11, Lima 2002.
FARALDO CABANA, Patricia; “Los conceptos de manipulación informática y artificio semejante
en el delito de estafa informática”, CUADERNO VASCO DE CRIMINOLOGÍA, Nº 21, Vasco
2007.
GALVEZ VILLEGAS, Tomas/ DELGADO TOVAR, Walter; “Derecho Penal Parte Especial”, T
III, Jurista Editores, Lima 2002.
GONZÁLES DE CHAVES CALAMITA, María E.; “El llamado ´delito informático´”, en Anales
de la Facultad de Derecho de la Universidad de la Laguna N° 21, España, 2004.
GÓMEZ MARTIN, Víctor; “El delito de fabricación, puesta en circulación y tenencia de medios
destinados a la neutralización de dispositivos protectores de programas informáticos”, REVISTA
ELECTRÓNICA DE CIENCIA PENAL Y CRIMINOLOGÍA, Barcelona 2002. 28
GÓMEZ TOMILLO, Manuel; "Autoría y participación por difusión de contenidos ilícitos a través
de sistema informáticos: especial referencia a los delitos contra la propiedad intelectual, la
publicidad engañosa y la distribución de pornografía infantil", CUADERNO VASCO DE
CRIMINOLOGÍA, Nº 20, Vasco 2006.
GUTIERREZ FRANCES, María; “Fraude Informático y estafa”, en Centro de Publicaciones del
Ministerio de Justicia, Madrid 1991.
MANSON, Marcelo; “Legislación sobre delitos informáticos”, en https://dl.dropbox.com/u//dl.
legislacioncomparada.pdf. [visto el 27 de diciembre 2013].
MARCHENA GOMEZ, M; “El sabotaje informático: entre los delitos de daños y desordenes
públicos”, en Internet y Derecho Penal, Cuadernos de Derecho Judicial, Madrid 2001.
MATA BARRANCO, Norberto J/ HERNÁNDEZ DÍAZ, Leyre; “El delito de daños informativos:
una tipificación defectuosa”; en, Revista de Estudios Penales y Criminológicos, Vol. XXIX,
España, 2009.
MAZUELOS COELLO, Julio F.; “Delitos informativos: una aproximación a la regulación del
Código Penal peruano”, en RPDJP N° 2, Lima, 2001, pág. 253 y ss.  MIRÓ LINARES, Francisco;
“El cibercrimen. Fenomenología y criminología de la delincuencia en el ciberespacio”, Marcial
Pons, Madrid, 2012.
MORANT VIDAL, J; “protección penal de la intimidad frente a las nuevas tecnologías”, Ed.
PRACTICA DE DERECHO, Valencia, 2003.
MORON LERMA, ESTHER; “Internet y Derecho Penal: hacking y otras conductas ilícitas en la
red”, ED. ARANZADI, 2° ed., Navarra, 2002,  ORTS BERENGUER, Enrique/ ROIG TORRES,

2
Margarita; “Delitos informáticos y delitos comunes cometidos a través de la informática”, TIRANT
LO BLANCH, Valencia 2001.
ROMERO CASABONA, C; “poder informático y seguridad jurídica”, FUNDESCO, Madrid 1987.
VILLAVICENCIO TERREROS, Felipe, “Derecho Penal- Parte general”, 4 reemp., Grijley, Lima,
2013.
VIVES ANTÓN y GONZÁLES CUSSAC, “Comentarios al código Penal 1995”, Ed. TIRONT
BLANCH, Valencia 1996, pág. 1238. 29
VI.2 ELECTRONICAS
MARCELO RIVERO(2009).infospyware,https://www.infospyware.com/articulos/que-es-el-
phishing/
Panda(2018).Pandasecurity,https://www.pandasecurity.com/peru/homeusers/security-
info/cybercrime/phishing/
SECURE LIST (2009).https://securelist.lat/threats/que-es-el-phishing/
EDITOS(2016). Welivesecurity,https://www.welivesecurity.com/la-es/2016/01/06/5-cosas-sobre-
ingenieria-social/
GABRIELA GONZALES(2015). HIPERTEXTUAL, https://hipertextual.com/2015/03/que-es-la-
ingenieria-social
ENTRE.CO(2016), http://www.enter.co/guias/lleva-tu-negocio-a-internet/ingenieria-social/
EDGAR JAIR SANDOVAL CASTELLANOS(2018). REVISTA SEGURIDAD UNAM,
https://revista.seguridad.unam.mx/numero-10/ingenier%C3%AD-social-corrompiendo-la-mente-
humana
RPP(2013) http://rpp.pe/tecnologia/mas-tecnologia/conoce-cuales-son-los-delitos-informaticos-y-
sus-penas-noticia-641636
FELIPE VILLAVICENCIO.USM,
http://www.derecho.usmp.edu.pe/cedp/revista/edicion_1/articulos/Felipe_Villavicencio_Terreros-
Delitos_Informaticos_Ley30096_su_modificacion.pdf
VI.3 DEMOGRAFICAS
VI.4 DOCUMENTALES
ING. ALICIA RUBÍ GUERRA VALDIVIA. DELITOS INFORMÁTICOS-CASO DE
ESTUDIO,http://www.repositoriodigital.ipn.mx/bitstream/123456789/12653/1/TESIS.%20DELI
TOS%20INFORM%C3%81TICOS-CASO%20DE%20ESTUDIO.pdf
DR. SANTIAGO ACURIO DEL PINO.DELITOS INFORMÁTICOS-CASO DE ESTUDIO,
https://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf
LUIS MIGUEL ROMERO ECHEVARRIA. MARCO CONCEPTUAL DE LOS DELITOS
INFORMATICOS,
http://cybertesis.unmsm.edu.pe/bitstream/handle/cybertesis/2675/Romero_el.pdf?sequence=1&is
Allowed=y
YUE BAE. UNDERSTANDING CYBERCRIME AND DEVELOPING A MONITORING
DEVICE, https://www.theseus.fi/bitstream/handle/10024/132641/Ba_Yue.pdf?sequence=1

3
VII ANEXOS
VII.1 MATRIZ COHERENTE
PROBLEMA PRINCIPAL
¿COMO LA IDENTIFICACION DE LA
NATURALEZA DEL PHISHING EN
TANTO ILICITO PENAL, PERMITIRA SU
TIPIFICACION COMO DELITO
INFORMATICO PARTICULAR EN EL
PERU?
OBJETIVO GENERAL
Establecer conceptos generales sobre el
phishing, señalando sus elementos
característica y como se constituye.
HIPOTESIS PRINCIPAL
LA CLARA IDENTIFICACION DE LA
NATURALEZA DEL PHISHING EN
TANTO ILICITO PENAL, PERMITIRA SU
TIPIFICACION COMO DELITO
INFORMATICO PARTICULAR EN EL
PERU.

PROBLEMA ESPECIFICO OBJETIVO ESPECICIFICO HIPOTESIS ESPECIFICA

¿CUÁL ES LA NATURALEZA JURÍDICA
DEL DELITO INFORMÁTICO?
¿CUÁLES LAS CARACTERÍSTICAS
ORIGEN Y EVOLUCIÓN DEL DELITO
INFORMÁTICO?
¿ES VIABLE LA INCORPORACIÓN DEL
PHISHING EN EL CÓDIGO PENAL?
Establecer la necesidad de incorporar en el LA NATURALEZA JURÍDICA DEL
Código Penal el tipo penal del phishing. DELITO INFORMÁTICO
Realizar un estudio sobre los delitos
LAS CARACTERÍSTICAS ORIGEN Y
informáticos
EVOLUCIÓN DEL DELITO
Determinar como la ingeniería social es el INFORMÁTICO
medio por el cual se realizan los delitos
informáticos LA INCORPORACIÓN DEL PHISHING EN
Realizar campañas de concientización EL CÓDIGO PENAL
sobre los delitos informáticos.

1
VII.2 MATRIZ CONSISTENCIA
TEMA: PROPUESTA PARA LA REGULACION DEL PHISHING EN EL PERU A PARTIR DE LA IDENTIFICACION DE SU
NATURALEZA JURIDICA (HUACHO 2017-2018)
AUTOR: TREJO OBREGON, ALAN ALFREDO

PROBLEMA OBJETIVO HIPOTESIS OPERACIONALIZACION DE VARIABLES

PRINCIPAL GENERAL PRINCIPAL
VARIABLE INDEPEDNIENTE
COMO LA Establecer LA CLARA EL PHISHING DEFINICION DIMENSIONES ITEMS
IDENTIFICACION conceptos IDENTIFICACION CONCEPTUAL Suplantación de El conocimiento
DE LA generales sobre el DE LA término sitios web para sobre los delitos
NATURALEZA DEL phishing, NATURALEZA DEL informático que capturar datos informáticos
PHISHING EN señalando sus PHISHING EN denomina un personales. hace más sencilla
TANTO ILICITO elementos TANTO ILICITO modelo de abuso la identificación
PENAL, PERMITIRA característica y PENAL, PERMITIRA Daño
informático y de páginas
SU TIPIFICACION como se SU TIPIFICACION informático.
que se comete suplantadas
COMO DELITO constituye. COMO DELITO Hurto por
mediante el uso
INFORMATICO INFORMATICO Mejorar la
de un tipo medios
PARTICULAR EN PARTICULAR EN seguridad de los
de ingeniería informáticos y
EL PERU EL PERU. apartos del
social, semejante.s
estados, bancos y
caracterizado Uso de software del publico en
por intentar malicioso. general es
adquirir
Ingeniería social prescindible para
información protegerse de
confidencial de cualquier ataque
forma informatico
fraudulenta
(como puede ser Es recomendable
tener instalado
2
 una contraseña, en su equipo
información algún tipo de
detallada software anti-
sobre tarjetas de spyware, para
crédito u otra evitar que se
información introduzcan en
bancaria). su equipo
programas espías
destinados a
recopilar
información
confidencial
sobre el usuario.
Un control sobre
los aparatos
electrónicos
(ejemplo: pos)
beneficiaria a la
ciudadanía de ser
victimas de
algún delito
informatico
la formación y
concienciación
es una pieza
fundamental para
la protección de
las personas en
una empresa o

3
 de manera
particular.
PROBLEMA OBJETIVO HIPOTESIS VARIABLE DEPENDIEDNTE
ESPECIFICO ESPECICIFICO ESPECIFICA

¿CUÁL ES LA Establecer la LA NATURALEZA NATURALEZA DEFINICION DIMENSIONES INDICADORES

NATURALEZA necesidad de JURÍDICA DEL JURIDICA CONCEPTUAL
fraude Artículos
JURÍDICA DEL incorporar en el DELITO utilidad teórico- informatico. estipulados en
DELITO Código Penal el INFORMÁTICO práctico evidente Suplantación de las leyes con
INFORMÁTICO? tipo penal del LAS para sistematizar identidad definiciones
phishing.
¿CUÁLES LAS CARACTERÍSTICAS las normas, ambiguas.
Realizar un
CARACTERÍSTICAS ORIGEN Y establecer la
estudio sobre No corresponde
ORIGEN Y EVOLUCIÓN DEL jurisdicción
los delitos a la realidad que
EVOLUCIÓN DEL DELITO competente y
informáticos se pretende
DELITO INFORMÁTICO determinar las
Determinar regular
INFORMÁTICO? sanciones
como la LA
punitivas en los
¿ES VIABLE LA ingeniería INCORPORACIÓN
casos de
INCORPORACIÓN social es el DEL PHISHING EN
transgresión por
DEL PHISHING EN medio por el EL CÓDIGO PENAL
los destinatarios
EL CÓDIGO cual se realizan de aquellas.
PENAL? los delitos
informáticos
Realizar
campañas de
concientización
sobre los
delitos
informáticos.

4
2
VII.3 FORMUALCION DE PREGUNTAS