Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
I. Introducción. Los primeros pasos. II. La criminalidad informática. III. Los delitos
en la red Internet o ciberdelitos. Los hackers y el phishing. IV. Delitos informáticos
en Chile. Críticas a la ley 19.223 y modificaciones en curso.
Por allá por 1990, al aprobarse lo que fue nuestra Tesis de Licenciatura para optar
al grado de Licenciado en Ciencias Jurídicas y Sociales en la Pontificia
Universidad Católica de Valparaíso, la primera frase del trabajo constató como en
aquellos años ya se sostenía o afirmaba que los computadores constituían la
amenaza por excelencia contra la intimidad. Sin jurisprudencia, sin textos legales
vigentes, sin documentos doctrinarios acabados, sin el acceso a la bibliografía que
provee Internet y abordando conceptos del todo ajenos a la ciencia jurídica como
eran los tecnológicos, muchas veces citamos simples y breves artículos de
prensa, lo que -con perspectiva- puede calificarse incluso de documentación
"reprochable". Pero había que construir sistemáticamente aquello que brotaba o
salpicaba fuera de algún contexto previo. Este era el desafío a fines de la década
de los 80.
1
Vaya brevemente un recuerdo a la Memoria de nuestro profesor de derecho Penal, Guía de Tesis y gran
amigo don Tito SOLARI PERALTA (QEPD). Don Tito, junto con reconocer en 1989 su lejanía conceptual con
el mundo tecnológico, fue capaz de verter su saber jurídico para reflexionar ante nuevas realidades de la
sociedad de fines de la década del 80, con criterio, ponderación, generosidad y sabiduría.
2
Una referencia bibliográfica y un comentario del profesor mexicano Julio TÉLLEZ VALDÉS sobre el texto,
puede verse en la URL http://www.juridicas.unam.mx/publica/rev/boletin/cont/79/bib/bib21.htm.
2
Del mismo modo, las TI o Tecnologías de la Información son una variable cada
vez más presente en la comisión de delitos, situación que se agrava ya que por
regla general los delitos contemplados en los Códigos Penales tradicionales no
comprenden -porque no pueden hacerlo, como el chileno que es de 1875- a los
ilícitos realizados mediante un ordenador o computador y contra los programas y
los datos o la información de un sistema informático. También deben sancionarse,
mediante la tipificación de delitos informáticos, todas aquellas conductas dolosas
que vulneren la confidencialidad y seguridad de los sistemas computacionales,
incluso cuando ellos procesen o almacenen datos no relativos a la privacidad o
intimidad de las personas.
Porque "la data" puede ser, además y por ejemplo, patrimonial o relacionada con
valores, relacionada con la seguridad de un Estado, relacionada con secretos
industriales, o porque -como se ha consensuado tímidamente- el sólo hecho de
ingresar sin autorización o indebidamente a un sistema y aunque no se produzca
perjuicio alguno por la penetración, puede sancionarse con penas privativas de
libertad3. De hecho, es lo que ambiguamente se tipificó como delito en Chile al año
19934.
3
Ya desarrollaremos en extenso el tema de los accesos no autorizados a un sistema computacional, que
cometen vía redes, previa detección de sus vulnerablidades, los denominados "hackers" o "crakers".
4
Sobre las categorías "privacidad, confidencialidad y seguridad", en un breve artículo de GONTZAL GALLO
publicado en la URL http://www.delitosinformaticos.com/seguridad/firma.shtml , a propósito del tema de la
seguridad y las firmas electrónicas, quedan claras las distinciones de enfoque a que nos referimos.
Una cosa es la seguridad y confidencialidad de sistemas y redes (fierros, firewalls, servidores, certificados de
sitio seguro); otra distinta la seguridad y confidencialidad de la data "personal o nominativa" de un sistema o
base de datos (ley 19.628 en Chile), que veremos brevemente en casos de atentados a la privacidad de las
personas como los de las sanciones a Terra, Telefónica, Amazon y AOL; y otra materia diversa es la
seguridad en la identidad de los intervinientes en una operación de e-commerce y la confidencialidad de
mensajes (ordenes de compra, factura, ordenes de transferencia de fondos) mediante firmas y certificados
digitales (ley 19.799 de nuestro país).
Y queda claro que una de las "responsabilidades" que puede surgir para sancionar los atentados contra la
seguridad, contra la confidencialidad de un sistema o contra la privacidad de las personas es la "penal", es
decir, que las conductas vulneratorias sean consideradas legalmente como delito y sancionadas con penas
privativas de libertad. Dice en parte el artículo que "...en definitiva, el Derecho y, en concreto el Derecho
3
Uno de los obstáculos para configurar un tipo específico de delito informático (DI)
es, previamente, formular una definición adecuada que comprenda todos las
modalidades posibles de ilícitos. Retomando los elementos de la definición clásica
de delito, entendemos por DI a aquella conducta típica –tipificada o establecida
como ilícito por la ley-, antijurídica –contraria a derecho- y culpable –con intención
dolosa o por negligencia-, cometida contra el soporte lógico de un sistema
informático o de tratamiento automatizado de información ("programas o
instrucciones" y "datos de cierta naturaleza o importancia"), generalmente
mediante elementos computacionales.
El Mensaje del Gobierno con el cual en Septiembre del 2002 se presentó un nuevo
proyecto de ley, actualmente en trámite, entiende por delito informático a toda
conducta atentatoria de bienes jurídicos o valores sociales relevantes (patrimonio,
fe pública, privacidad, etcétera), que suponga el uso de medios informáticos en
alguna de sus fases de ejecución, quedando incluidas en la categoría aquellas
conductas que recaen directamente en objetos no corporales asociados al
desarrollo tecnológico informático (tales como documentos electrónicos y datos).
Se trata de una materia relacionada con otros ámbitos, tales como la protección
de datos personales porque los atentados contra ellos o los casos de apropiación
indebida de datos relevantes como los nominativos debieran ser establecidos
como delitos; con la protección legal del software, porque su trascendencia hace
que el uso ilegal o su copia, con o sin fines de venta o comercialización posterior
–el caso del “pirateo”-, deba ser sancionada en sede penal; con la transferencia
electrónica de fondos, porque muchos delitos informáticos han consistido en el
redondeo computacional de cuentas bancarias o en el uso fraudulento de tarjetas
de crédito; y con el flujo de datos transfronteras, porque la mayoría de los
llamados "hackers" o penetradores de sistemas y "crakers" o destructores de los
mismos actúan telemáticamente vía redes computacionales y de un Estado a
otro.
Penal, nos da una serie de garantías para evitar los ataques informáticos y que sirven de complemento a las
medidas de seguridad técnicas, como los firewalls, que se tienen implantadas en los servidores".
4
Los Senadores buscaron que las sanciones penales se aplicaran además a toda
otra tecnología que, a futuro, permita el tratamiento de datos. La Comisión
6
1º Los delitos informáticos son los que atentan contra el soporte lógico informático,
esto es, software o programas y datos o información. 2º Ante la pregunta de si
todo atentado contra el soporte lógico debe ser sancionado penalmente, mi
respuesta es que no, siendo necesario distinguir cuáles de esos elementos lógicos
son los que frente a conductas delictivas graves (...sistema dicontinuo de
ilicitudes) tienen que protegerse.
Desde un principio nos pareció inadecuado aludir a "la información en cuanto tal",
sin otorgarle una carga o contenido valorativo, sin reparar en que no todo conjunto
organizado de datos reviste igual importancia. En el error la Comisión de
Cosntitución y Legislación fue sumamente clara en su segundo informe, cuando
7
señaló que al legislar "no debe importar el tipo de información sino las acciones
delictuales para obtenerla". Más grave resulta el análisis del segundo informe de la
Comisión de Constitución de la Cámara de Diputados, que afirma que "para ella el
sistema informático es un nuevo bien jurídico que se quiere proteger, el cual
difícilmente puede asimilarse a otros penalmente protegidos". Tal criterio de los
parlamentarios sólo puede ser fruto de la incomprensión conceptual y del
desconocimiento de la razón de ser de la criminalidad informática; no encuentro
otra explicación para la afirmación citada textualmente. Ya es equivocado
sancionar los atentados contra la totalidad del objeto material "sistema
informático", incluido el soporte físico o hardware, olvidando que lo que remece y
complica al derecho son los abusos contra los intangibles e incorporales "datos y
programas"; pero más grave resulta concebirlo como uno de los bienes jurídicos o
valores esenciales, vitales y trascendentes conculcados.
El "objeto material" de todo delito es la entidad, persona o cosa sobre que recae la
conducta reprochable penalmente. Una idea es esencial y obvia, no obstante lo
cual los legisladores de la ley 19.223 nunca lo entendieron: …no debe hablarse de
criminalidad informática o de delitos computacionales, para sancionar eventuales
atentados o abusos ilícitos que se cometan contra la totalidad de un sistema
informático.
Por ende, consideramos que la criminalidad informática o los abusos dolosos son
más bien un tema ético, de detección de las llamadas "vulnerabilidades" y de
seguridad preventiva para el uso y el acceso a los documentos almacenados en
sistemas computacionales, que un asunto de tipificación legal de delitos idóneos, y
mecanismos técnicos simples como las claves de accesso o "passwords" o más
complejos como los perfiles de acceso, la encriptación o codificación y la
autentificación de identidades mediante firmas y certificados digitales son una
opción necesaria de ser revalorada por las empresas y servicios públicos
Y se trata de una cuestión no menor, ya que desde septiembre del año 2001 la
banca en Chile está realizando transacciones no entre las mismas cuentas de un
banco sino que interbancarias, y ya no en la tradicional RBI o Red Bancaria
Interconectada -propietaria y cerrada- sino que en redes abiertas como Internet y
entre bancos que no necesariamente sean parte del centro de compensación
automatizado o CCA, servicio que en la mayoría de los casos es gratutio o sin
cargos por comisiones.
Un reciente estudio realizado por la firma internacional Ernst & Young reveló un
aumento en el riesgo de fraude en instituciones financieras, dada la globalizacion
de los mercados y la economia interconectada. Conforme a esta investigacion, de
los 52 bancos consultados en 13 paises, dos tercios de ellos habian sufrido este
tipo de delitos en los ultimos doce meses y uno de cada diez habia sido victima de
mas de 10 de ellos. Segun el estudio, la incidencia de fraudes se incrementara en
los proximos cinco años y existirían ciertas areas claves de ocurrencia de estafas
en instituciones financieras, como la transferencia entre cuentas, la falsificacion de
firmas y los falsos precios de valores.
9
5
Véase a modo de ejemplo la URL http://www.paisdigital.org/blog_despliegue.asp?id=15, o
http://www.ceo.cl/newtenberg/609/article-65187.html. Se trata de una supuesta columna de opinión que sólo
navega por zonas conocidas y que parece una clásica noticia de newsletter tecnológico.
11
o internacional, se rige por estándares de buena fe, se valida por el pago de las
transacciones, y hasta donde sabemos, salvo error u omisión, no ha generado
ninguna querella criminal por un supuesto delitos, lo que es obvio, porque ningún
empresario va a vender mercancías o prestar servicios sin verificar previamente la
identidad e idoneidad de su contraparte. La retórica, el papel y las páginas WEB
soportan y ofrecen la opción de consultar demasiada verba anodina, poco rigurosa
y carente de estudio dogmático.
Para sancionarlos habrá que definir desde dónde actúa el hacker o el craker. Si lo
hace desde el extranjero (lugar donde si inicia o principia la comisión del delito)
puede sostenerse que debe ser sancionado conforme a la legislación penal de ese
país. Si pensamos en el criterio de atender al lugar donde produce efectos la
conducta "tipificada" como delito, donde éste "se consuma", cabría aplicar la ley
chilena si fuera en nuestro país. Pero no se puede pretender por regla general,
atendido el principio de la territorialidad del derecho, sancionar a un hacker en el
extranjero conforme a la ley penal chilena.
Lo absurdo es que en los delitos de esta ley, que proceden cuando se atenta
contra cualquier especie de datos, cabe el simple ingreso de un alumno al
sistema de su universidad desde su casa, y peor aún, aunque no le cause
perjuicio alguno al sistema sino simplemente por el hecho de acceder a él,
legalmente pueden aplicársele penas de hasta 5 años de prisión.
Considera como delitos informáticos el daño de los soportes físicos, de los fierros
o hardware, de las partes o componentes del sistema (por ejemplo introducir un
"clip" por la unidad de diskette), lo que es un absurdo y en ningún otro país se ha
considerado como delito informático, ya que se trata de un delito común de daños.
No queremos ni pensar que alguien cree que el objeto material de la criminalidad
informática es el hardware o soporte físico de un sistema informático, como se
reguló legalmente en Chile (artículo 1º Ley 19.223) por ignorancia parlamentaria.
Con sólo eliminar la expresión "automatizado" de todos los tipos, los delitos,
inicialmente propuestos como sanciones a las conductas dolosas y abusivas
cometidas en el ámbito de los sistemas informáticos o computacionales, se
ampliaron o se hicieron extensivos -intencional y expresamente- a todos los
sistemas de tratamiento de información, ...cualquiera sea su naturaleza
(automática o electrónica, mecánica o manual), ...o cualquiera sea el soporte físico
en que residan (incluso papel).
Los Senadores buscaron que las sanciones penales se aplicaran además a toda
otra tecnología que, a futuro, permita el tratamiento de datos. La Comisión
pertinente del Senado dejó constancia que la palabra suprimida se estimó
restrictiva -porque no tendría sentido discriminar según cual sea el soporte físico
en que resida un sistema de tratamiento de información- e incompatible con el
progreso tecnológico.
Desde un principio nos pareció inadecuado aludir a "la información en cuanto tal",
sin otorgarle una carga o contenido valorativo, sin reparar en que no todo conjunto
organizado de datos reviste igual importancia. En el error la Comisión de
Constitución y Legislación fue sumamente clara en su segundo informe, cuando
señaló que “al legislar no debe importar el tipo de información sino las acciones
delictuales” (los métodos de comisión) “para obtenerla" en forma ilícita. Más grave
resulta el análisis del segundo informe de la Comisión de Constitución de la
Cámara de Diputados, que afirma que "para ella el sistema informático es un
nuevo bien jurídico que se quiere proteger, el cual difícilmente puede asimilarse a
otros penalmente protegidos".
complica al derecho son los abusos contra los intangibles e incorporales "datos y
programas"; pero más grave resulta concebirlo como uno de los bienes jurídicos o
valores esenciales, vitales y trascendentes conculcados.
“1.- Sustitúyase el artículo 146, por el siguiente: “Articulo 146.- El que por
cualquier medio abriere o registrare la correspondencia o los papeles de otro sin
su voluntad o accediere a la información de otro contenida en redes, soportes
lógicos o sistemas de tratamiento automatizado de información sin su voluntad
sufrirá la pena de presidio menor en sus grados medio a máximo si divulgare o se
aprovechare de los secretos que ellos contienen, y en el caso contrario la de
reclusión menor en sus grados mínimo a medio. Esta disposición no es aplicable
entre cónyuges, ni a los padres, guardadores o quienes hagan sus veces, en
cuanto a los papeles, cartas o información contenida en redes, soportes lógicos o
sistemas de tratamiento automatizado de información, de sus hijos o menores que
se hallen bajo su dependencia. Tampoco es aplicable a aquellas personas a
quienes por ley, reglamento o contrato con el titular de la información les es lícito
instruirse de comunicaciones o informaciones ajenas.”
Esta propuesta de ley buscó resolver la problemática que plantea el tipo de acceso
ilegal o hacking contemplado en la Ley 19.223, eliminando la exigencia de
concurrencia del elemento subjetivo especial “ánimo de apropiación, uso o
conocimiento” y sancionando el mero hecho del acceso.
“2.- Incorpórese el siguiente numeral 9°, nuevo, al artículo 485: “9° Destruyendo,
alterando, inutilizando o dañando de cualquier otro modo los datos, programas o
documentos electrónicos de otros contenidos en redes, soportes lógicos o
sistemas de tratamiento automatizado de la información".
“3.- Sustitúyase el inciso primero del artículo 487, por el siguiente: “Los daños no
comprendidos en los artículos anteriores, serán penados con reclusión menor en
su grado mínimo o multa de once a veinte unidades tributarias mensuales. Igual
pena se impondrá al que impidiere u obstaculizare el funcionamiento de un
sistema de tratamiento automatizado de la información".
2) Sustitúyese el inciso segundo del artículo 197 por los siguientes incisos: "Si
tales falsedades se hubieren cometido en letras de cambio u otra clase de
documentos mercantiles, se castigará a los culpables con presidio menor en su
grado máximo y multa de dieciséis a veinte unidades tributarias mensuales, o sólo
con la primera de estas penas atendidas las circunstancias. Del mismo modo se
castigará al que forjare o alterare tarjetas de crédito, débito o pago provistas de
banda magnética u otro dispositivo técnico de almacenamiento de datos. En las
mismas penas de los incisos anteriores incurrirá respectivamente el que, con
perjuicio de tercero, forjare o alterare un documento privado electrónico suscrito
por medio de firma electrónica.".
Este artículo, sobre violación de secretos del comercio, alude a los casos en que
el acceso a la información contenida en un sistema computacional puede afectar
patrimonialmente a su titular, como ocurre precisamente con la revelación de
datos tales como sobre secretos industriales o comerciales. Esto es importante,
porque en Chile “….la información con valor económico carece de protección
penal, como lo demuestran la inexistencia de un delito de espionaje industrial o
6
Al decir de los redactores del Mensaje, “el… proyecto propone una serie de
modificaciones al Código Penal, con el objeto de recepcionar –en los tipos penales
tradicionales– nuevas formas delictivas surgidas a partir del desarrollo de la informática”, y
“de esta forma… llenar los vacíos o dificultades que aún después de la Ley Nº 19.223
subsisten en nuestro ordenamiento penal”.
17
4) Incorpórase el siguiente inciso segundo, nuevo, al artículo 468: "En las mismas
penas incurrirá el que, alterando indebidamente el funcionamiento de un sistema
de tratamiento automatizado de la información o los datos contenidos en el mismo,
o valiéndose de cualquier otra manipulación informática o artificio semejante,
modificare una situación patrimonial en perjuicio de otro.".
5) Incorpórase el siguiente artículo 470 bis: "Artículo 470 bis.- A los que en
perjuicio de otro obtuvieren indebidamente servicios de telecomunicaciones
mediante conexiones clandestinas o fraudulentas o mediante cualquier maniobra
técnica que permita neutralizar, eludir o burlar los mecanismos de control del
legítimo acceso al servicio, en beneficio de tercero y a título oneroso, se aplicarán
las penas del artículo 467. En caso de reiteración, los hechos se considerarán
como un solo delito, y la regulación de la pena se hará tomando por base el monto
total de lo defraudado. Cuando el perjuicio no excediere de una unidad tributaria
mensual, se aplicarán las penas del Nº3 de dicho artículo.
Al decir del Mensaje del Gobierno, “la inclusión de este nuevo artículo. 470 bis
permite comprender las hipótesis de clonación de celulares, el acceso a señales
satelitales cifradas sin pagar, y la obtención ilegítima de señal de televisión por
cable mediante conexiones clandestinas o fraudulentas o mediante cualquier
maniobra técnica que permita neutralizar, eludir o burlar los mecanismos de
control del legítimo acceso al servicio”.