1

DELITOS INFORMÁTICOS, INTERNET Y DERECHO.

RENATO JIJENA LEIVA

WWW.JIJENA.COM

I. Introducción. Los primeros pasos. II. La criminalidad informática. III. Los delitos
en la red Internet o ciberdelitos. Los hackers y el phishing. IV. Delitos informáticos
en Chile. Críticas a la ley 19.223 y modificaciones en curso.

I. INTRODUCCIÓN. LOS PRIMEROS PASOS: PROTECCIÓN DE LA INTIMIDAD

Y DELITOS INFORMÁTICOS.

Por allá por 1990, al aprobarse lo que fue nuestra Tesis de Licenciatura para optar
al grado de Licenciado en Ciencias Jurídicas y Sociales en la Pontificia
Universidad Católica de Valparaíso, la primera frase del trabajo constató como en
aquellos años ya se sostenía o afirmaba que los computadores constituían la
amenaza por excelencia contra la intimidad. Sin jurisprudencia, sin textos legales
vigentes, sin documentos doctrinarios acabados, sin el acceso a la bibliografía que
provee Internet y abordando conceptos del todo ajenos a la ciencia jurídica como
eran los tecnológicos, muchas veces citamos simples y breves artículos de
prensa, lo que -con perspectiva- puede calificarse incluso de documentación
"reprochable". Pero había que construir sistemáticamente aquello que brotaba o
salpicaba fuera de algún contexto previo. Este era el desafío a fines de la década
de los 80.

Tal encabezado se mantuvo cuando en 1992 la Editorial Jurídica de Chile publicó

la primera edición de un libro hoy desaparecido y titulado “Chile, la Protección
Penal de la Intimidad y los Delitos Informáticos”, largo título para un escrito que,
con los afanes e ideales propios de quien se sentía apasionadamente pionero y
fue incomprendido por sus pares y profesores1, intentó recoger dos de los temas
quizás más relevantes del denominado “Derecho Informático” o “Computer Law”, a
saber, la protección de los datos personales o de la "Privacy" y la criminalidad
informática2.

Eran tiempos en que la red Internet no existía en la forma masificada en la que

hoy se le conoce -¿se han preguntado que haríamos hoy en día sin Internet?-, en
que se reducía al ámbito académico al haber dejado de ser una herramienta militar
y en que la sensibilización social frente a las consecuencias económicas, políticas,
culturales y jurídicas del desarrollo de las Nuevas Tecnologías de la Información –

1
Vaya brevemente un recuerdo a la Memoria de nuestro profesor de derecho Penal, Guía de Tesis y gran
amigo don Tito SOLARI PERALTA (QEPD). Don Tito, junto con reconocer en 1989 su lejanía conceptual con
el mundo tecnológico, fue capaz de verter su saber jurídico para reflexionar ante nuevas realidades de la
sociedad de fines de la década del 80, con criterio, ponderación, generosidad y sabiduría.
2
Una referencia bibliográfica y un comentario del profesor mexicano Julio TÉLLEZ VALDÉS sobre el texto,
puede verse en la URL http://www.juridicas.unam.mx/publica/rev/boletin/cont/79/bib/bib21.htm.
 2

la informática, las telecomunicaciones y la telemática- era muy poca y en Chile

casi inexistente.

Aún hoy la intimidad debe ser percibida como un derecho en crisis y

cotidianamente erosionado, y de cara al desarrollo exponencial y al aumento
cuantitativo en materia de procesamiento computacional, fidelización y
comercialización no autorizada de bases de datos personales o nominativos, la
garantía de la intimidad o privacidad debe ser visualizada de forma distinta, bajo
una perspectiva socializadora o de control y no desde una óptica individualista o
de aislamiento. Hoy, cuando todos debaten acerca de la globalización de las
sociedades de cara al Siglo XXI; y hoy, al hacernos cargo de los fenómenos de los
atentados contra la privacidad y de la criminalidad informática en el mundo de la
red Internet y de las novedades legislativas de la legislación extranjera y de Chile
en el decenio 1990-2000, creemos que la afirmación anterior sigue siendo
plenamente válida.

Del mismo modo, las TI o Tecnologías de la Información son una variable cada
vez más presente en la comisión de delitos, situación que se agrava ya que por
regla general los delitos contemplados en los Códigos Penales tradicionales no
comprenden -porque no pueden hacerlo, como el chileno que es de 1875- a los
ilícitos realizados mediante un ordenador o computador y contra los programas y
los datos o la información de un sistema informático. También deben sancionarse,
mediante la tipificación de delitos informáticos, todas aquellas conductas dolosas
que vulneren la confidencialidad y seguridad de los sistemas computacionales,
incluso cuando ellos procesen o almacenen datos no relativos a la privacidad o
intimidad de las personas.

Porque "la data" puede ser, además y por ejemplo, patrimonial o relacionada con
valores, relacionada con la seguridad de un Estado, relacionada con secretos
industriales, o porque -como se ha consensuado tímidamente- el sólo hecho de
ingresar sin autorización o indebidamente a un sistema y aunque no se produzca
perjuicio alguno por la penetración, puede sancionarse con penas privativas de
libertad3. De hecho, es lo que ambiguamente se tipificó como delito en Chile al año
19934.
3
Ya desarrollaremos en extenso el tema de los accesos no autorizados a un sistema computacional, que
cometen vía redes, previa detección de sus vulnerablidades, los denominados "hackers" o "crakers".
4
Sobre las categorías "privacidad, confidencialidad y seguridad", en un breve artículo de GONTZAL GALLO
publicado en la URL http://www.delitosinformaticos.com/seguridad/firma.shtml , a propósito del tema de la
seguridad y las firmas electrónicas, quedan claras las distinciones de enfoque a que nos referimos.
Una cosa es la seguridad y confidencialidad de sistemas y redes (fierros, firewalls, servidores, certificados de
sitio seguro); otra distinta la seguridad y confidencialidad de la data "personal o nominativa" de un sistema o
base de datos (ley 19.628 en Chile), que veremos brevemente en casos de atentados a la privacidad de las
personas como los de las sanciones a Terra, Telefónica, Amazon y AOL; y otra materia diversa es la
seguridad en la identidad de los intervinientes en una operación de e-commerce y la confidencialidad de
mensajes (ordenes de compra, factura, ordenes de transferencia de fondos) mediante firmas y certificados
digitales (ley 19.799 de nuestro país).
Y queda claro que una de las "responsabilidades" que puede surgir para sancionar los atentados contra la
seguridad, contra la confidencialidad de un sistema o contra la privacidad de las personas es la "penal", es
decir, que las conductas vulneratorias sean consideradas legalmente como delito y sancionadas con penas
privativas de libertad. Dice en parte el artículo que "...en definitiva, el Derecho y, en concreto el Derecho
 3

II. LA CRIMINALIDAD INFORMÁTICA.

Planteemos algunas interrogantes: ¿cuáles serían los actos que, en el contexto de

los sistemas informáticos o computacionales, debieran ser reprochados
penalmente o sancionados con penas privativas de libertad?; ¿todo atentado
contra el hard o el soft debe ser constitutivo de delito en sede penal?; ¿cuáles son
los bienes jurídicos afectados por dichas conductas, esto es, …aquellos valores
relevantes para las personas y la sociedad toda –como la vida, la honra o el
patrimonio- que atendida su importancia deben ser protegidos ante los delitos
informáticos?.

Uno de los obstáculos para configurar un tipo específico de delito informático (DI)
es, previamente, formular una definición adecuada que comprenda todos las
modalidades posibles de ilícitos. Retomando los elementos de la definición clásica
de delito, entendemos por DI a aquella conducta típica –tipificada o establecida
como ilícito por la ley-, antijurídica –contraria a derecho- y culpable –con intención
dolosa o por negligencia-, cometida contra el soporte lógico de un sistema
informático o de tratamiento automatizado de información ("programas o
instrucciones" y "datos de cierta naturaleza o importancia"), generalmente
mediante elementos computacionales.

El Mensaje del Gobierno con el cual en Septiembre del 2002 se presentó un nuevo
proyecto de ley, actualmente en trámite, entiende por delito informático a toda
conducta atentatoria de bienes jurídicos o valores sociales relevantes (patrimonio,
fe pública, privacidad, etcétera), que suponga el uso de medios informáticos en
alguna de sus fases de ejecución, quedando incluidas en la categoría aquellas
conductas que recaen directamente en objetos no corporales asociados al
desarrollo tecnológico informático (tales como documentos electrónicos y datos).

Se trata de una materia relacionada con otros ámbitos, tales como la protección
de datos personales porque los atentados contra ellos o los casos de apropiación
indebida de datos relevantes como los nominativos debieran ser establecidos
como delitos; con la protección legal del software, porque su trascendencia hace
que el uso ilegal o su copia, con o sin fines de venta o comercialización posterior
–el caso del “pirateo”-, deba ser sancionada en sede penal; con la transferencia
electrónica de fondos, porque muchos delitos informáticos han consistido en el
redondeo computacional de cuentas bancarias o en el uso fraudulento de tarjetas
de crédito; y con el flujo de datos transfronteras, porque la mayoría de los
llamados "hackers" o penetradores de sistemas y "crakers" o destructores de los
mismos actúan telemáticamente vía redes computacionales y de un Estado a
otro.

Penal, nos da una serie de garantías para evitar los ataques informáticos y que sirven de complemento a las
medidas de seguridad técnicas, como los firewalls, que se tienen implantadas en los servidores".
 4

Estamos hablando de conductas típicas –establecidas previamente en una ley-,

antijurídicas –contrarias a derecho- y culpables –con intención o negligencia-
cometidas contra el soporte lógico de un sistema informático o de tratamiento
automatizado de información ("programas o instrucciones" y "datos de cierta
naturaleza o importancia").

1. Modalidades de delitos informáticos.

La expresión o la categoría de los "fraudes informáticos" se utiliza para aludir a

todas las posibles alteraciones o manipulaciones tanto de los datos (al
recopilarlos, procesarlos, estando almacenados o al transmitirlos telemáticamente)
como de los programas de un sistema computacional. El concepto, a diferencia
de la noción tradicional de fraude o estafa, no se restringe a los delitos con ánimo
de lucro, con una connotación pecuniaria o contra el patrimonio. Ejemplos de
fraudes informáticos son el redondeo electrónico de cuentas bancarias y la
introducción de programas virus.

Lo que se ha llamado "espionaje informático" se refiere a la obtención ilícita,

dolosa y sin autorización de datos o información relevante y de programas
computacionales. Caben aquí las conductas de los "hackers", la copia ilegal de
programas sin fines de venta (el "hurto" de software o la copia sin comercialización
posterior -porque el “pirateo” está sancionado en la ley de propiedad intelectual-).

La noción de "sabotaje informático" alude a los atentados que causan daños,

destruyen o inutilizan un sistema computacional. Para ser exactos, la expresión
debe reservarse para los atentados ilícitos que se cometan contra el software o
soporte lógico -datos y programas- de un sistema informático, ya que el daño o
la destrucción del hardware es una conducta de muy poca ocurrencia y
comprendida en los delitos tradicionales. Los ejemplos más clásicos -en
consideración a sus efectos- son las bombas lógicas, las conductas de los
“crakers” y los virus computacionales.

No cabe aplicar los delitos traicionales de “fraude” tratándose de la interferencia de

una red bancaria para ordenar electrónicamente un libramiento ilegal de fondos,
porque no se ha engañado directamente a persona alguna que haya actuado de
una determinada forma en virtud de ese engaño, habiendo sido inducido a error
para hacerlo disponer de su patrimonio en beneficio del estafador. Analógicamente
hablando, en el caso de la transferencia electrónica de fondos el engañado es el
sistema.

Tratándose de la transferencia ilícita de fondos o de datos representativos de

valores, insistimos en que no se trata de aquellas cosas corporales muebles
susceptibles de apoderamiento y que puedan serle privadas en forma permanente
a la víctima, lo que obsta para que se configuren los delitos tradicionales
contemplados en un Código Penal que es de 1875, particularmente los llamados
patrimoniales (hurto, robo, apropiación indebida, etc.).
 5

2. Bienes jurídicos y objetos materiales.

En nuestro libro “Chile, la protección penal de la intimidad y el delito informático”,

sostuvimos: (página 93) "nosotros creemos que la información, el conjunto
organizado de datos o el soporte lógico informático, constituye el objeto material
del delito informático, no obstante ser intangible e incorporal".

Partamos por reconocer que lo escrito en 1990 y publicado el 92 en general no

está bien redactado, porque faltó trabajo reflexivo y formulación de conclusiones
más categóricas. Así por ejemplo, en la parte de los bienes jurídicos nos
remitimos a consignar las diversos propuestas de varios autores, algunos de los
cuales -hoy lo se- erán de posiciones definitvamente débiles. Pero efectivamente,
en el hecho, aún creemos que coinciden los bienes jurídicos afectados con los
objetos materiales conculcados -...que son electrónicos o intangibles
“racionalmente”-. Es un tema de enfoque y de capacidad de abstraerse.
En ciencia jurídica cuando hablamos de “objeto material” nos referimos a la cosa o
persona sobre la cual recae la conducta típica, al llamado “cuerpo del delito”, a la
casa destruida, al auto robado, a la persona injuriada, etcétera. Y de cara a la
criminalidad informática, relacionada con sistemas informáticos cuyos
componentes son dos, el soporte lógico y el soporte físico, nuestro –jurídicamente-
“objeto material afectado” es -funcionalmente- intangible e inmaterial, son impulsos
electromagnéticos, son cosas, programas y/o datos, que existen sólo cuando el
computador se magnetiza, …que no le son privados en forma permanente a la
víctima cuando por ejemplo se le copian.

No queremos ni pensar que alguien cree que el objeto material de la criminalidad

informática es el hardware o soporte físico de un sistema informático, como se
reguló legalmente en Chile (artículo 1º Ley 19223) por ignorancia parlamentaria.
Aquellos autores chilenos que alaban ligera y superficialmente la ley 19.223
debieran tomarse la molestia de leer las actas del debate en Comisión antes de
seguir escribiendo tantas cosas erradas.

Un punto de fondo en el debate previo a la ley 19.223 que se hizo en el Senado

-en cuanto al objeto material afectado por una conducta, que es el que se describe
en los tipos- ha sido de incalculada trascendencia y, estoy cierto, nunca
vislumbrado por el autor de la moción ni los miembros de la Cámara de Diputados.
Con sólo eliminar la expresión "automatizado" de todos los tipos, los delitos,
inicialmente propuestos como sanciones a las conductas dolosas y abusivas
cometidas en el ámbito de los sistemas informáticos o computacionales, se
ampliaron o se hicieron extensivos -intencional y expresamente- a todos los
sistemas de tratamiento de información, ...cualquiera sea su naturaleza
(automática o electrónica, mecánica o manual), ...o cualquiera sea el soporte físico
en que residan (incluso papel).

Los Senadores buscaron que las sanciones penales se aplicaran además a toda
otra tecnología que, a futuro, permita el tratamiento de datos. La Comisión
 6

pertinente del Senado dejó constancia que la palabra suprimida se estimó

restrictiva -porque no tendría sentido discriminar según cual sea el soporte físico
en que resida un sistema de tratamiento de información- e incompatible con el
progreso tecnológico. Por dos razones no compartimos estas aseveraciones: i)
porque las posibilidades de abusar de los sistemas computacionales, cualitativa y
cuantitativamente hablando son -lejos- muy superiores a cualquiera otra
modalidad de recopilación, procesamiento, almacenamiento y transmisión de
datos; ii) y porque a futuro, investigaciones científicas y pronósticos tecnológicos
no consideran la sustitución de la informática por otra tecnología sino, muy por el
contrario, su progresiva optimización mediante el desarrollo del software.

El razonamiento que nos sigue haciendo fuerza es el siguiente:

1º Los delitos informáticos son los que atentan contra el soporte lógico informático,
esto es, software o programas y datos o información. 2º Ante la pregunta de si
todo atentado contra el soporte lógico debe ser sancionado penalmente, mi
respuesta es que no, siendo necesario distinguir cuáles de esos elementos lógicos
son los que frente a conductas delictivas graves (...sistema dicontinuo de
ilicitudes) tienen que protegerse.

Cuando se copia o se daña un programa computacionalmente, se lesiona la

propiedad intelectual o copyright del titular del soft, que se verá menoscabado
cuando por ejemplo no se le compre la licencia previa o derecho de uso.

Cuando se copian o alteran datos almacenados o procesados en un sistema

informático sólo deben sancionarse penalmente las conductas que vulneren datos
relevantes o cuya naturaleza los haga dignos de ser protegidos en sede penal. Y
estas conductas deben ser tipificadas. Lo digo siempre (y hace poco lo repitió un
“ciberdetective” en televisión…): no tienen la misma importancia una base de
datos de recetas de cocina que las de un banco o las de la NASA. En definitiva,
creo que los bienes jurídicos afectados debieran ser ciertos y particulares datos de
especial y relevante naturaleza, tales como los nominativos o íntimos (que
constituyen privacidad), los financieros o valores (que constituyen el patrimonio), y
los estratégicos o relacionados con los secretos industriales…

Este es el error de la ley 19.223 de Chile. Al presentar el proyecto se afirmó, en

forma parcial y ambigua, que tenía por finalidad "proteger este nuevo bien jurídico
que ha surgido con el uso de las modernas tecnologías computacionales, la
calidad, pureza e idoneidad de la información en cuanto tal, contenida en un
sistema de tratamiento automatizado de la misma y de los productos que de su
operación se obtengan". Hablo de parcialidad o ambiguedad, por cuanto no se
distinguió la naturaleza de los datos que pueden ser afectados.

Desde un principio nos pareció inadecuado aludir a "la información en cuanto tal",
sin otorgarle una carga o contenido valorativo, sin reparar en que no todo conjunto
organizado de datos reviste igual importancia. En el error la Comisión de
Cosntitución y Legislación fue sumamente clara en su segundo informe, cuando
 7

señaló que al legislar "no debe importar el tipo de información sino las acciones
delictuales para obtenerla". Más grave resulta el análisis del segundo informe de la
Comisión de Constitución de la Cámara de Diputados, que afirma que "para ella el
sistema informático es un nuevo bien jurídico que se quiere proteger, el cual
difícilmente puede asimilarse a otros penalmente protegidos". Tal criterio de los
parlamentarios sólo puede ser fruto de la incomprensión conceptual y del
desconocimiento de la razón de ser de la criminalidad informática; no encuentro
otra explicación para la afirmación citada textualmente. Ya es equivocado
sancionar los atentados contra la totalidad del objeto material "sistema
informático", incluido el soporte físico o hardware, olvidando que lo que remece y
complica al derecho son los abusos contra los intangibles e incorporales "datos y
programas"; pero más grave resulta concebirlo como uno de los bienes jurídicos o
valores esenciales, vitales y trascendentes conculcados.

El "objeto material" de todo delito es la entidad, persona o cosa sobre que recae la
conducta reprochable penalmente. Una idea es esencial y obvia, no obstante lo
cual los legisladores de la ley 19.223 nunca lo entendieron: …no debe hablarse de
criminalidad informática o de delitos computacionales, para sancionar eventuales
atentados o abusos ilícitos que se cometan contra la totalidad de un sistema
informático.

En materia de criminalidad informática sólo es necesario tipificar o crear nuevos

delitos para castigar aquellas conductas que atenten contra el soporte lógico de un
sistema, contra el software entendido en sentido amplio, …contra ciertos datos y/o
documentos relevantes procesados y almacenados en un ordenador (que pueden
ser manipulados, hurtados o atisbados, destruídos, etc) y contra los programas o
instrucciones que determinan el funcionamiento del mismo (los que pueden ser
modificados, copiados ilegalmente y sin autorización, etcétera.).

Lo dicho se debe a la naturaleza física del soporte lógico, porque se trata de

impulsos electromagnéticos, de bienes intangibles o inmateriales, no apropiables o
aprehensibles físicamente, que no son de aquellas cosas corporales muebles
susceptibles de apoderamiento y que puedan serle privadas en forma permanente
a la víctima, lo que obsta para que se configuren los delitos tradicionales llamados
patrimoniales (hurto, robo, apropiación indebida, etc.).

Únicamente porque la tecnología computacional, los archivos y documentos

electrónicos, las bases de datos, los discos duros, los correos electrónicos y la red
Internet son herramientas esenciales de una empresa o de un servicio público,
una conducta ilícita puede realizarse mediante soportes computacionales y
violando su confidencialidad o reserva. Por eso es que suele afirmarse que no
estamos frente a “nuevos delitos”, sino más bien ante nuevas formas de ejecutar
las conductas típicas para atentar contra bienes jurídicos tradicionales (hurtos,
daños, apropiaciones indebidas, fraudes, falsificaciones de documentos, y bienes
jurídicos tales como patrimonio, fe pública, privacidad, etcétera).
 8

Por ende, consideramos que la criminalidad informática o los abusos dolosos son
más bien un tema ético, de detección de las llamadas "vulnerabilidades" y de
seguridad preventiva para el uso y el acceso a los documentos almacenados en
sistemas computacionales, que un asunto de tipificación legal de delitos idóneos, y
mecanismos técnicos simples como las claves de accesso o "passwords" o más
complejos como los perfiles de acceso, la encriptación o codificación y la
autentificación de identidades mediante firmas y certificados digitales son una
opción necesaria de ser revalorada por las empresas y servicios públicos

3. Transferencias electrónicas de fondos y delitos informáticos.

En días pasados se conoció en Chile el caso del cuentacorrentista de un banco

que denunció como desde su cuenta personal se habían realizado, sin su
autorización, cuatro transferencias on line de fondos hacía otra cuenta corriente,
de otra persona y en otro banco, por un monto de 3.7 millones de pesos.

La institución financiera ha querido deslindar responsabilidades y salvar su

imagen, sosteniendo que dicha transferencia de fondos es válida, porque todos los
sistemas operaron en forma correcta y segura ante el uso de las claves
respectivas. El cuentacorrentista señala que su clave fue usada sin su autorización
y probablemente obtenida ilícitamente desde el site del banco.

Nosotros creemos que en el caso de una transferencia electrónica de fondos ilícita

de una cuenta corriente a otra, el delito se comete contra el sistema bancario de
procesamiento de datos patrimoniales o que reflejan valores (se trata de asientos
contables magnéticos que son accesados sin autorización y alterados) y la víctima
del ilícito también es la entidad bancaria afectada, tanto en cuanto propietaria y
responsable del sistema.

Y se trata de una cuestión no menor, ya que desde septiembre del año 2001 la
banca en Chile está realizando transacciones no entre las mismas cuentas de un
banco sino que interbancarias, y ya no en la tradicional RBI o Red Bancaria
Interconectada -propietaria y cerrada- sino que en redes abiertas como Internet y
entre bancos que no necesariamente sean parte del centro de compensación
automatizado o CCA, servicio que en la mayoría de los casos es gratutio o sin
cargos por comisiones.

Un reciente estudio realizado por la firma internacional Ernst & Young reveló un
aumento en el riesgo de fraude en instituciones financieras, dada la globalizacion
de los mercados y la economia interconectada. Conforme a esta investigacion, de
los 52 bancos consultados en 13 paises, dos tercios de ellos habian sufrido este
tipo de delitos en los ultimos doce meses y uno de cada diez habia sido victima de
mas de 10 de ellos. Segun el estudio, la incidencia de fraudes se incrementara en
los proximos cinco años y existirían ciertas areas claves de ocurrencia de estafas
en instituciones financieras, como la transferencia entre cuentas, la falsificacion de
firmas y los falsos precios de valores.
 9

Un segundo estudio de investigación tecnológico realizado por el Grupo Gartner

difundido a fines de Marzo de este año, junto con advertir que los internautas
siguen siendo vulnerables a los delitos y dijo que era probable que se diera una
"victimización masiva" dentro de los próximos dos años, consignó que la
combinación de leyes inadecuadas incrementaba las oportunidades para el ciber-
crimen, dejando la puerta abierta al robo de millones de dólares, y que la comisión
simultánea de pequeños robos a diferentes cuentas en un mismo banco
constituyen el escenario más probable para la comisión de delitos.

La inclusión de la transferencia electrónica de fondos ilícita en sede del Código

Penal de 1875 es difícil. No cabe aplicar los tipos de “fraude” tratándose de la
interferencia de una red bancaria para ordenar electrónicamente un libramiento
ilegal de fondos, porque no se ha engañado directamente a persona alguna que
haya actuado de una determinada forma en virtud de ese engaño, habiendo sido
inducido a error para hacerlo disponer de su patrimonio en beneficio del estafador.
Analógicamente hablando, en el caso de la transferencia electrónica de fondos el
engañado es el sistema.

Tratándose de la transferencia ilícita de fondos o de datos representativos de

valores, téngase presente que no se trata de aquellas cosas corporales muebles
susceptibles de apoderamiento y que puedan serle privadas en forma permanente
a la víctima, lo que obsta para que se configuren los delitos tradicionales
contemplados en el Código Penal, particularmente los llamados patrimoniales
(hurto, robo, apropiación indebida, etc.).

Cabría sancionar la transferencia electrónica de fondos ilícita en base a los

artículos segundo y tercero de la ley 19.223 en hipótesis de concurso de delitos,
atendida su gran ambigüedad. El segundo, castiga a quien con el ánimo de
apoderarse, usar o conocer indebidamente la información intercepte, interfiera o
acceda a un sistema de tratamiento de información (se entiende que sin
autorización….). El tercero castiga a quien maliciosamente altere… los datos
contenidos en un sistema de tratamiento de información.

III. LOS DELITOS EN LA RED INTERNET O CIBERDELITOS. LOS HACKERS Y

EL PHISHING.

Cabe preguntarse sobre la real existencia –o no- de “infraestructuras de

certidumbre” para el uso de la informática, de la telemática y de Internet. Sirve
para hacerlo retomar algunos de los tópicos jurídicos que se han derivado del
desarrollo de la red de cara a una necesaria seguridad y confidencialidad. Por
cierto, nada tienen que ver las normas legales, reglamentarias y administrativas
relacionadas con las telecomunicaciones y las redes telemáticas, porque la
cuestión tecnológica obedece a una perspectiva meramente instrumental. El
conflicto jurídico derivado de Internet es un problema “de los contenidos” y no “del
continente”, por muy importante que sea el ancho de banda y las conexiones de
fibra óptica de alta capacidad.
 10

Los delitos informáticos o los “ciberdelitos” constituyen la muestra más clara y

cotidiana de cómo, por ejemplo al accederse a un sistema informático sin
autorización y telemáticamente o vía redes, pueden vulnerarse los sistemas
computacionales. Pero más que una respuesta jurídica de la mano de la
tipificación de nuevas formas de delitos, la comisión de delitos informáticos o
computacionales a través de redes se evita con adecuadas medidas técnicas de
prevención y de chequeo regular de las rutinas de seguridad de los sistemas.

Asistimos cotidianamente a diversas conductas dolosas cometidas contra bases

de datos y sistemas computacionales, en su mayoría mediante la red Internet pero
algunas al alero de las intranet de las empresas.

Concretamente, se mantienen y se siguen cometiendo conductas abusivas, ilícitas

y dolosas (i) contra programas o software que es copiado o dañado mediante
programas virus o accesos no autorizados, (ii) contra datos o información de
naturaleza relevante que es copiada, "atisbada", alterada o eliminada -como la
nominativa o personal, la patrimonial, la relativa a secretos industriales o la
estratégica-, y, (iii) contra mercancías multimediales como música, imágenes,
textos o programas computacionales.

Es este el momento de revisar jurídica y dogmáticamente las implicancias jurídicas

de una serie de términos como "phishing", "spyware", "cookies" y "hackers", los
que citados en artículos -siempre breves- por abogados suenan a "necesidad de
una enorme modernización jurídica, pero cuando se realiza un estudio serio y
riguroso podemos llegar a concluir que el phishing es un tipo tradicional de fraude
y que los archivos o programas spyware y cookies no son sino conductas en que
se accede a datos personales de manera clandestina, y que lo que debe
protegerse en definitiva -por ende- es la posibilidad de resguardar la intimidad de
los usuarios de Internet. Lo último, fortaleciendo sus mecanismos de control y de
autodeterminación más no, necesariamente, tipificando nuevos delitos
informáticos.

Es también el momento de hacerse cargo de afirmaciones propuestas "para la

galería", como por ejemplo aquellas que sostienen que en la medida que
penalmente existan nuevos y mejores tipos de delitos informáticos mejorará el
comercio electrónico5, olvidándose que el e-commerce "entre empresas y
consumidores" es de montos bajos y no genera conflictos jurídicos más allá de la
ley de derechos de los consumidores, por casos de publicidad engañosa o
mercancías defectuosas; ignorándose, en materia de pagos, que los delitos de
clonación de tarjetas de crédito o de débito se producen antes y no durante una
transacción comercial digital, hoy en día realizadas en un 90% en sitios seguros y
validados; o sin saber que el comercio electrónico "entre empresas", a escala local

5
Véase a modo de ejemplo la URL http://www.paisdigital.org/blog_despliegue.asp?id=15, o
http://www.ceo.cl/newtenberg/609/article-65187.html. Se trata de una supuesta columna de opinión que sólo
navega por zonas conocidas y que parece una clásica noticia de newsletter tecnológico.
 11

o internacional, se rige por estándares de buena fe, se valida por el pago de las
transacciones, y hasta donde sabemos, salvo error u omisión, no ha generado
ninguna querella criminal por un supuesto delitos, lo que es obvio, porque ningún
empresario va a vender mercancías o prestar servicios sin verificar previamente la
identidad e idoneidad de su contraparte. La retórica, el papel y las páginas WEB
soportan y ofrecen la opción de consultar demasiada verba anodina, poco rigurosa
y carente de estudio dogmático.

Los delitos informáticos -periodísticamente denominados “ciberdelitos”-

constituyen la muestra más clara y cotidiana de cómo, por ejemplo al accederse a
un sistema informático sin autorización y telemáticamente o vía redes, pueden
vulnerarse los sistemas computacionales.

Para sancionarlos habrá que definir desde dónde actúa el hacker o el craker. Si lo
hace desde el extranjero (lugar donde si inicia o principia la comisión del delito)
puede sostenerse que debe ser sancionado conforme a la legislación penal de ese
país. Si pensamos en el criterio de atender al lugar donde produce efectos la
conducta "tipificada" como delito, donde éste "se consuma", cabría aplicar la ley
chilena si fuera en nuestro país. Pero no se puede pretender por regla general,
atendido el principio de la territorialidad del derecho, sancionar a un hacker en el
extranjero conforme a la ley penal chilena.

Respecto a los delitos cometidos en la red el punto central precisamente es

determinar cuál fue su lugar de comisión, para así definir tanto la legislación como
la jurisdicción de los tribunales competentes para conocer de él, siendo el criterio
mayoritariamente aceptado considerar el lugar dónde está ubicado el servidor
perjudicado o afectado por el delito.

Pensando en una hipótesis de ingreso no autorizado a un sistema, con perjuicio o

sin él, son susceptibles de ser aplicados a la conducta de los hackers para el caso
de delitos cometidos en y desde Chile los artículos 1º, 2º y 3º de la Ley 19.223.

Lo absurdo es que en los delitos de esta ley, que proceden cuando se atenta
contra cualquier especie de datos, cabe el simple ingreso de un alumno al
sistema de su universidad desde su casa, y peor aún, aunque no le cause
perjuicio alguno al sistema sino simplemente por el hecho de acceder a él,
legalmente pueden aplicársele penas de hasta 5 años de prisión.

IV. DELITOS INFORMÁTICOS EN CHILE. CRÍTICAS A LA LEY 19.223 Y

MODIFICACIONES EN CURSO.

A pesar de la vigencia desde junio de 1993 de la Ley 19.223, que contempla

penas que van desde 61 días hasta 10 año, el tema de la sanción legal de la
criminalidad informática en Chile no está resuelto. De manera alguna compartimos
una afirmación recurrente, esto es, que se trató de una gran innovación para el
derecho chileno.
 12

Considera como delitos informáticos el daño de los soportes físicos, de los fierros
o hardware, de las partes o componentes del sistema (por ejemplo introducir un
"clip" por la unidad de diskette), lo que es un absurdo y en ningún otro país se ha
considerado como delito informático, ya que se trata de un delito común de daños.
No queremos ni pensar que alguien cree que el objeto material de la criminalidad
informática es el hardware o soporte físico de un sistema informático, como se
reguló legalmente en Chile (artículo 1º Ley 19.223) por ignorancia parlamentaria.

Al decir del Mensaje del Gobierno con el proyecto de ley presentado en

septiembre del 2002, “es cuestionable que, como se desprende de la historia
fidedigna del establecimiento de la ley, sus disposiciones sean también aplicables
a la afectación del hardware y de datos no informáticos, con lo cual el legislador
abandonó el propósito inicial de hacer frente a los desafíos de las nuevas
tecnologías, alterando sin fundamento claro parcelas plenamente abarcadas por la
legislación anterior”.

Un punto de fondo en el debate previo a la ley 19.223 que se hizo en el Senado -

en cuanto al objeto material afectado por una conducta, que es el que se describe
en los tipos- ha sido de incalculada trascendencia y, estoy cierto, nunca
vislumbrado por el autor de la moción ni los miembros de la Cámara de Diputados.

Con sólo eliminar la expresión "automatizado" de todos los tipos, los delitos,
inicialmente propuestos como sanciones a las conductas dolosas y abusivas
cometidas en el ámbito de los sistemas informáticos o computacionales, se
ampliaron o se hicieron extensivos -intencional y expresamente- a todos los
sistemas de tratamiento de información, ...cualquiera sea su naturaleza
(automática o electrónica, mecánica o manual), ...o cualquiera sea el soporte físico
en que residan (incluso papel).

Los Senadores buscaron que las sanciones penales se aplicaran además a toda
otra tecnología que, a futuro, permita el tratamiento de datos. La Comisión
pertinente del Senado dejó constancia que la palabra suprimida se estimó
restrictiva -porque no tendría sentido discriminar según cual sea el soporte físico
en que resida un sistema de tratamiento de información- e incompatible con el
progreso tecnológico.

Por dos razones no comparto estas aseveraciones: i) porque las posibilidades de

abusar de los sistemas computacionales, cualitativa y cuantitativamente hablando
son -lejos- muy superiores a cualquiera otra modalidad de recopilación,
procesamiento, almacenamiento y transmisión de datos; ii) y porque a futuro,
investigaciones científicas y pronósticos tecnológicos no consideran la sustitución
de la informática por otra tecnología sino, muy por el contrario, su progresiva
optimización mediante el desarrollo del software.

La ley en estudio excluye de su ámbito de aplicación los delitos contra datos

personales o nominativos -la intimidad de las personas no es un bien jurídico
 13

protegido en Chile- (por ejemplo si entrara un hacker al sistema de Falabella-

CMR-Clientes), porque expresamente lo dicen las Actas Legislativas y debido a la
ignorancia de quienes legislaron.

"Tipifica" como delito el ilícito contra cualquier sistema de tratamiento información,

pero en abstracto, amplia y ambiguamente, sin considerar la naturaleza de los
datos eventualmente atisbados, copiados, modificados, alterados, dañados o
destruidos. Dicho de otra forma: como nunca se entendió que los bienes jurídicos
a proteger eran ciertos y determinados datos valiosos o relevantes, de cierta
naturaleza, como el patrimonio, la intimidad, los datos sobre secretos industriales,
etcétera, en Chile da lo mismo que el delincuente atente contra un banco de datos
con secretos industriales o con recetas de cocinas, de un banco comercial, del
Banco Central, de un órgano público o de un club deportivo. Frente a la pregunta
formulada, que entendemos recogida de nuestras primeras reflexiones publicadas
en 1993, de “porqué la alteración de datos que dan cuenta de una situación
patrimonial merecen mayor nivel de protección que los datos que, por ejemplo,
dan cuenta de una receta de cocina”, la respuesta es clara: es radicalmente
diverso y de distinta importancia el bien jurídico protegido.

Al presentarse el proyecto se afirmó, en forma parcial y ambigua, que tenía por

finalidad "proteger este nuevo bien jurídico que ha surgido con el uso de las
modernas tecnologías computacionales, la calidad, pureza e idoneidad de la
información en cuanto tal, contenida en un sistema de tratamiento automatizado
de la misma y de los productos que de su operación se obtengan". Hablo de
parcialidad o ambiguedad, por cuanto no se distinguió la naturaleza de los datos
que pueden ser afectados. Cursimente, se ha calificado esta opción de legislar
como una modalidad “fenomenológica” o sólo en atención a modalidades de
cometer delitos, atribuyéndosela en forma errada el Código Penal francés de
1988; en nuestra opinión fue una opción errada, simplista, burda y ambigua.

Desde un principio nos pareció inadecuado aludir a "la información en cuanto tal",
sin otorgarle una carga o contenido valorativo, sin reparar en que no todo conjunto
organizado de datos reviste igual importancia. En el error la Comisión de
Constitución y Legislación fue sumamente clara en su segundo informe, cuando
señaló que “al legislar no debe importar el tipo de información sino las acciones
delictuales” (los métodos de comisión) “para obtenerla" en forma ilícita. Más grave
resulta el análisis del segundo informe de la Comisión de Constitución de la
Cámara de Diputados, que afirma que "para ella el sistema informático es un
nuevo bien jurídico que se quiere proteger, el cual difícilmente puede asimilarse a
otros penalmente protegidos".

Tal criterio de los parlamentarios sólo pudo ser fruto de la incomprensión

conceptual y del desconocimiento de la razón de ser de la criminalidad informática;
no encontramos otra explicación para la afirmación citada textualmente. Ya es
equivocado sancionar los atentados contra la totalidad del objeto material "sistema
informático", incluido el soporte físico o hardware, olvidando que lo que remece y
 14

complica al derecho son los abusos contra los intangibles e incorporales "datos y
programas"; pero más grave resulta concebirlo como uno de los bienes jurídicos o
valores esenciales, vitales y trascendentes conculcados.

El artículo primero de la ley 19.223 sanciona a quien maliciosamente destruya o

inutilice un sistema de tratamiento de información o sus partes o componentes, o
impida, obstaculice o modifique su funcionamiento. La pena establecida es
presidio menor en su grado mínimo a medio, esto es, de 61 días y hasta 3 años.

También se sanciona como delito contra un sistema de información si como

consecuencia de estas conductas se afectaren los datos contenidos en el sistema,
y se aplicará la pena señalada en el inciso anterior en su grado máximo, es decir,
de 3 años y 1 día a 5 años.

El segundo, a quien con el ánimo de apoderarse, usar o conocer indebidamente la

información intercepte, interfiera o acceda a un sistema de tratamiento de
información, y será castigado con presidio menor en su grado mínimo a medio o
de 61 días y hasta 3 años. Se trata de una hipótesis de acceso no autorizado a
información contenida en sistemas de tratamiento de información, dentro de los
cuales están los electrónicos o informáticos, o de un caso de “hacking”, pero no de
un mero acceso y por el sólo hecho de acceder sino con la exigencia de
concurrencia de un elemento subjetivo adicional -ánimo de apropiación, uso o
conocimiento-.

El tercero, muy similar o relacionado con el artículo 1º, castiga a quien

maliciosamente altere, dañe o destruya los datos contenidos en un sistema de
tratamiento de información, y será castigado con presidio menor en su grado
medio o de 541 días a 3 años. A algunos ha llamado la atención la excesiva
severidad con que se aborda la destrucción de estos objetos, sin atender
mayormente al valor económico o a la cuantía de los mismos.

El cuarto, a quien maliciosamente revele o difunda los datos contenidos en un

sistema de información, el que sufrirá la pena de presidio menor en su grado
medio -541 días a 3 años-, y si quien incurre en estas conductas es el responsable
del sistema de información la pena se aumenta en un grado –de 3 años y 1 día
hasta 5 años-.

_. Proyectos de ley modificatorios en curso o trámite parlamentario.

Se reseñan dos iniciativas en curso o trámite parlamentario conjunto a esta fecha,

que apuntan a, considerando los delitos tradicionales del Código Penal,
establecidos como tales para proteger ciertos y determinados bienes jurídicos,
agregar o incorporar nuevos casos o supuestos en que de la mano de la
tecnología informática se atente contra dichos valores esenciales.
 15

P R O Y E C T O D E L E Y (1º, MOCIÓN PARLAMENTARIA, BOLETÍN

2974-19, COMPLEMENTADA CON UNA INDICACIÓN DEL EJECUTIVO):

“Artículo 1°.- Modificase el Código Penal de la siguiente forma:

“1.- Sustitúyase el artículo 146, por el siguiente: “Articulo 146.- El que por
cualquier medio abriere o registrare la correspondencia o los papeles de otro sin
su voluntad o accediere a la información de otro contenida en redes, soportes
lógicos o sistemas de tratamiento automatizado de información sin su voluntad
sufrirá la pena de presidio menor en sus grados medio a máximo si divulgare o se
aprovechare de los secretos que ellos contienen, y en el caso contrario la de
reclusión menor en sus grados mínimo a medio. Esta disposición no es aplicable
entre cónyuges, ni a los padres, guardadores o quienes hagan sus veces, en
cuanto a los papeles, cartas o información contenida en redes, soportes lógicos o
sistemas de tratamiento automatizado de información, de sus hijos o menores que
se hallen bajo su dependencia. Tampoco es aplicable a aquellas personas a
quienes por ley, reglamento o contrato con el titular de la información les es lícito
instruirse de comunicaciones o informaciones ajenas.”

Esta propuesta de ley buscó resolver la problemática que plantea el tipo de acceso
ilegal o hacking contemplado en la Ley 19.223, eliminando la exigencia de
concurrencia del elemento subjetivo especial “ánimo de apropiación, uso o
conocimiento” y sancionando el mero hecho del acceso.

“2.- Incorpórese el siguiente numeral 9°, nuevo, al artículo 485: “9° Destruyendo,
alterando, inutilizando o dañando de cualquier otro modo los datos, programas o
documentos electrónicos de otros contenidos en redes, soportes lógicos o
sistemas de tratamiento automatizado de la información".

“3.- Sustitúyase el inciso primero del artículo 487, por el siguiente: “Los daños no
comprendidos en los artículos anteriores, serán penados con reclusión menor en
su grado mínimo o multa de once a veinte unidades tributarias mensuales. Igual
pena se impondrá al que impidiere u obstaculizare el funcionamiento de un
sistema de tratamiento automatizado de la información".

Se contempla acá el entorpecimiento u obstaculización del funcionamiento de un

sistema infrmático, hipótesis que apunta a un método de ataque informático
denominado de “denegación de servicios”, consistente, como se ha explicado, “en
la ejecución de un programa que realiza miles de solicitudes simultáneas a un
sitio, a veces coordinados entre sí, aminorando la velocidad con la que el servidor
recupera las páginas o en algunos casos, inutilizándolo por completo”.

Artículo 2°.- Derógase la ley Nº 19.223, publicada en el Diario Oficial el 7 de junio

de 1993, que tipifica figuras penales relativas a la informática”.
 16

PROYECTO DE LEY (2º, Proyecto o Mensaje del Gobierno6):

Artículo 1º.- Introducense las siguientes modificaciones al Código Penal:

* El proyecto propuso regular las conductas de falsificación de documentos

electrónicos, clonación y adulteración de tarjetas de crédito junto a los delitos de
falsificación, inherentes a o que se han presentado en el contexto de las
transacciones no presenciales entre contratantes, en los artículos 193 y 197 del
Código Penal.

1) Incorpórase el siguiente inciso segundo, nuevo, al artículo 193: "Con la misma

pena se castigará al empleado público que, abusando de su oficio, forjare o
alterare un documento público electrónico o incurriere, respecto de un instrumento
público electrónico, en alguna de las falsedades previstas en los numerales 2°, 3°,
4° y 7° precedentes.".

2) Sustitúyese el inciso segundo del artículo 197 por los siguientes incisos: "Si
tales falsedades se hubieren cometido en letras de cambio u otra clase de
documentos mercantiles, se castigará a los culpables con presidio menor en su
grado máximo y multa de dieciséis a veinte unidades tributarias mensuales, o sólo
con la primera de estas penas atendidas las circunstancias. Del mismo modo se
castigará al que forjare o alterare tarjetas de crédito, débito o pago provistas de
banda magnética u otro dispositivo técnico de almacenamiento de datos. En las
mismas penas de los incisos anteriores incurrirá respectivamente el que, con
perjuicio de tercero, forjare o alterare un documento privado electrónico suscrito
por medio de firma electrónica.".

3) Sustitúyese el artículo 284 por el siguiente: "Artículo 284.- El que

fraudulentamente comunicare o se aprovechare de secretos comerciales,
industriales o profesionales de la persona, empresa o institución a la que presta o
ha prestado servicios, sufrirá la pena de reclusión menor en su grado medio y
multa de once a veinte unidades tributarias mensuales".

Este artículo, sobre violación de secretos del comercio, alude a los casos en que
el acceso a la información contenida en un sistema computacional puede afectar
patrimonialmente a su titular, como ocurre precisamente con la revelación de
datos tales como sobre secretos industriales o comerciales. Esto es importante,
porque en Chile “….la información con valor económico carece de protección
penal, como lo demuestran la inexistencia de un delito de espionaje industrial o

6
Al decir de los redactores del Mensaje, “el… proyecto propone una serie de
modificaciones al Código Penal, con el objeto de recepcionar –en los tipos penales
tradicionales– nuevas formas delictivas surgidas a partir del desarrollo de la informática”, y
“de esta forma… llenar los vacíos o dificultades que aún después de la Ley Nº 19.223
subsisten en nuestro ordenamiento penal”.
 17

comercial y el alcance muy limitado del delito de comunicación de secretos de

fábrica”.

4) Incorpórase el siguiente inciso segundo, nuevo, al artículo 468: "En las mismas
penas incurrirá el que, alterando indebidamente el funcionamiento de un sistema
de tratamiento automatizado de la información o los datos contenidos en el mismo,
o valiéndose de cualquier otra manipulación informática o artificio semejante,
modificare una situación patrimonial en perjuicio de otro.".

5) Incorpórase el siguiente artículo 470 bis: "Artículo 470 bis.- A los que en
perjuicio de otro obtuvieren indebidamente servicios de telecomunicaciones
mediante conexiones clandestinas o fraudulentas o mediante cualquier maniobra
técnica que permita neutralizar, eludir o burlar los mecanismos de control del
legítimo acceso al servicio, en beneficio de tercero y a título oneroso, se aplicarán
las penas del artículo 467. En caso de reiteración, los hechos se considerarán
como un solo delito, y la regulación de la pena se hará tomando por base el monto
total de lo defraudado. Cuando el perjuicio no excediere de una unidad tributaria
mensual, se aplicarán las penas del Nº3 de dicho artículo.

Al decir del Mensaje del Gobierno, “la inclusión de este nuevo artículo. 470 bis
permite comprender las hipótesis de clonación de celulares, el acceso a señales
satelitales cifradas sin pagar, y la obtención ilegítima de señal de televisión por
cable mediante conexiones clandestinas o fraudulentas o mediante cualquier
maniobra técnica que permita neutralizar, eludir o burlar los mecanismos de
control del legítimo acceso al servicio”.