Documente Academic
Documente Profesional
Documente Cultură
Anlisis del Dictamen de la Comisin de Justicia y Derechos Humanos recado en los Proyectos de Ley 034/2011-CR, 307/2011-CR y 1136/2011-CR con un texto sustitutorio.
lvaro J. Thais Rodrguez Abogado Tecnologas de Seguridad e Informacin Per, agosto de 2012
Siglas utilizadas
Siglas utilizadas
DI: Dato(s) informtico(s). BD: Base(s) de datos. SI: Sistema(s) informtico(s). EM: Electromagntico(a). TC: Telecomunicaciones. MEP: Medio(s) electrnico(s) de pago.
Metodologa
Metodologa
Qu se busca sancionar?
Exposicin de algunos ejemplos cotidianos de las conductas reprimidas en el texto legal anteriormente esquematizado
Generalidades
Objeto
Sancin penal
Patrimonio
Garantizar las condiciones mnimas para que las personas gocen del derecho al desarrollo.
Derechos de autor
Intrusismo
Acceder o mantenerse en SI
Sin autorizacin
Interferir, impedir u obstaculizar el acceso a SI o a sus datos o a una red de TC
Interceptar datos informticos o de usuario en su origen, destino o al interior de SI, o seales EM que provienen de SI que los transporta
Qu se busca sancionar?
El rastreo furtivo de datos de ubicacin o de criterios de bsqueda del usuario para su reventa sin consentimiento.
Sabotaje (1)
Disear Producir
Introducir
Desarrollar
Enviar
Distribuir
Programar
Traficar
Ejecutar Vender
Adquirir
Qu se busca sancionar?
La produccin y distribucin de virus dainos, de troyanos o de programas de pharming. La destruccin o alteracin de datos de usuario. La distribucin de troyanos a travs de las redes sociales. La creacin de programas falsos que simulan ser los originales para causar daos al usuario o a su informacin.
Sabotaje (2)
Destruir
Alterar
Borrar
Suprimir
Sin autorizacin
Desvanecer
Deteriorar
Quitar
Daar
Qu se busca sancionar?
Los ataques para capturar pginas web e introducir mensajes falsos u ofensivos.
Programar
Desarrollar
Sin autorizacin
Ejecutar
Distribuir
Vender
Traficar
Qu se busca sancionar?
Modificar
Sustraer
Divulgar
Ofrecer
Interceptar
Vender
Comprar
Intercambiar
Enviar
Qu se busca sancionar?
Hurto de bases de datos para su venta en el mercado negro (son utilizados por extorsionadores y secuestradores).
Intrusismo, sabotaje y delito contra la intimidad y el secreto de las comunicaciones (Formas agravadas)
Intrusismo
Recae sobre cualquier SI, sus datos o sus seales EM, red de TC, claves secretas o cdigos personales.
Contra la intimidad y el secreto de la comunicaciones
Destinados a funciones pblicas o a servicios privados con informacin personal o patrimonial reservada sobre personas naturales o jurdicas.
Sabotaje
Qu se busca sancionar?
El sabotaje de pginas web destinadas a funciones pblicas. (Ej, la del JNE, la del RENIEC, la de la ONPE, la de la SUNAT, la de Essalud, etc.).
La captura de los datos de usuario y de las contraseas de los clientes del sistema financiero, para producir daos patrimoniales.
El intrusismo y venta de datos relacionados con las enfermedades, ingresos econmicos, orientacin sexual, ideas polticas, religiosas y filosficas y dems relacionados con la vida privada de las personas.
Hurto de tiempo
Sin autorizacin
Usar un SI
Qu se busca sancionar?
Al igual que en la figura del hurto de uso, se busca sancionar el uso y aprovechamiento no autorizado de recursos patrimoniales ajenos. Esta es una figura muy extendida en el derecho comparado.
La utilizacin del servicio de internet disponible en la oficina para fines distintos a los autorizados reglamentariamente en el centro de trabajo.
La conexin ilegtima a una red, pese a que el proveedor del servicio ha desconectado al usuario por vencimiento del plazo contractual.
Hurto informtico
Acceso
Para obtener provecho para s o para otro Cualquier SI, red de sistema electrnico, telemtico o semejante Interferencia
Interceptacin
Qu se busca sancionar?
La interceptacin de un sistema informtico para desviar el destino de una transferencia de dinero a una cuenta distinta de la del titular de la cuenta de origen o de la del titular de la cuenta de destino.
La utilizacin de claves o contraseas de los usuarios para apoderarse de datos o de informacin privada ajenas que tienen un valor patrimonial propio.
La ruptura de las medidas de seguridad de un sistema informtico bancario para incrementar la cuanta de los depsitos o de los abonos en cuenta del agente.
Fraude informtico
Procurar para s o para otro un provecho ilcito en perjuicio de tercero Introduccin, alteracin, borrado o supresin de datos informticos Cualquier interferencia en el funcionamiento de un SI
Qu se busca sancionar?
La suplantacin de la identidad de un cliente bancario o comercial, mediante el empleo de su nombre de usuario y de su contrasea, para obtener beneficios econmicos no autorizados por el cliente.
La alteracin de los datos referidos al domicilio de un cliente mediante el ataque a un sistema informtico, con el objeto de recibir bienes o servicios en un lugar distinto al que fij el verdadero cliente para tal fin.
El empleo de la informacin obtenida mediante formas delictivas tales como: phishing, pharming, clonacin de tarjetas, ataques man in the middle, man in the browser, etc.
Cualquier efecto
Bien
Servicio
Qu se busca sancionar?
La utilizacin no autorizada de una tarjeta de crdito o de dbito ajena para comprar en establecimientos o para hacer retiros en ATM, independientemente de la causa por la que se posea la tarjeta.
La utilizacin de los datos o de la informacin contenida en una tarjeta de crdito o de dbito ajena para hacer compras por internet.
Las compras de pasajes areos, o las recargas de celulares mediante el empleo de tarjetas de crdito ajenas.
Duplicar
Grabar
Alterar
Copiar
Qu se busca sancionar?
La captura de datos o de contraseas relacionadas con tarjetas de crdito o de dbito, mediante el empleo de cmaras, teclados falsos, la alteracin del POS o de medios tcnicos ocultos.
Crear
Informacin o DI de un SI
Para incorporar usuarios, cuentas, registros o consumos inexistentes o modificar la cuanta de stos.
Alterar
Duplicar
Qu se busca sancionar?
La entrada al sistema informtico de un banco para modificar el monto real de los consumos efectuados por un cliente mediante el empleo de sus tarjetas.
La alteracin de los datos contenidos en el sistema informtico de un banco para incorporar a un supuesto usuario (cliente) con datos falsos.
La manipulacin de los datos contenidos en el sistema de un banco para consignar un abono o depsito inexistente.
Adquirir
Realizar
Comercializar
Para intervenir MEP o DI o informacin contenida o datos relativos al trfico contenida en MEP o en un SI relacionado o que pueda relacionar al MEP
Poseer
Distribuir
Qu se busca sancionar?
La produccin y distribucin de equipos diseados para capturar la informacin de las tarjetas de crdito (teclados falsos, boquetas con skimmer, utensilios similares a los del ATM con cmaras ocultas, etc.).
La produccin y distribucin de POS falsos, destinados a capturar la informacin de las tarjetas o los datos que viajan a travs del sistema de las empresas adquirentes.
Apropiacin de MEP
Usar
Recibir
Vender
Adquirir
Transferir
Qu se busca sancionar?
La utilizacin o comercializacin no autorizada de tarjetas de crdito o de dbito ajenas, aunque no hayan sido reportadas como perdidas o robadas.
La utilizacin de tarjetas de crdito entregadas por error o por confabulacin con la mensajera.
Transmitir
Vender
Distribuir
Comprar
Duplicar
Copiar
Alterar
Adquirir
Qu se busca sancionar?
La comercializacin de bases de datos de usuarios, contraseas, informacin de banda magntica para la comisin de fraudes.
La captura de datos relacionados con la tarjeta de crdito o de dbito, mediante cmaras ocultas, teclados falsos, alteracin de POS, con el propsito de cometer un fraude.
Recibir
Vender
Adquirir
Comercializar
Poseer
Que capture, grabe, copie o transmita DI o de usuario o informacin relativos al trfico de MEP
Transferir
Custodiar
Distribuir
Qu se busca sancionar?
La posesin o distribucin indebida de POS, partes y piezas de ATM, lectoras de banda de tarjetas.
Indebidamente
Es circunstancia agravante la actuacin con el fin de procurar para s o para otro de beneficio o la produccin de un perjuicio efectivo a otro
Qu se busca sancionar?
La alteracin de los datos contenidos en el sistema informtico del rgano encargado de certificar la identidad de las personas, para cometer un fraude.
La eliminacin indebida de los antecedentes penales del registro informtico oficial, para sorprender a una entidad que hace seleccin de personal.
La inclusin de datos falsos en el sistema informtico de una universidad, para acreditar grados y ttulos fraudulentos.
Falsificacin de DI
Sin autorizacin
Captura
Duplica
DI
Copia
Graba
Qu se busca sancionar?
La copia sin autorizacin de un dato informtico original protegido o sujeto a resguardo, como puede ser la captura inalmbrica de informacin contenida en un smartphone.
La utilizacin del dato informtico obtenido indebidamente, con independencia de la autora de la obtencin indebida, como si se tratara de un dato legalmente obtenido.
La captura de un dato informtico original y protegido para duplicarlo sin autorizacin (informacin de banda magntica de la tarjeta llave de la habitacin de un hotel).
Reproducir
Divulgar
Software u otra obra del intelecto obtenida mediante el acceso a un SI o medio de almacenamiento de DI
Copiar
Distribuir
Modificar
Qu se busca sancionar?
La comercializacin de software protegido por derechos de autor sin autorizacin del titular de estos derechos o sin adquirir la licencia correspondiente.
La intrusin en sistemas informticos para acceder a archivos, que de por s constituyen obras protegidas por el derecho de autor.
La vulneracin de las medidas de seguridad incorporadas en los software originales, para copiarlos y distribuirlos masivamente sin adquirir la licencia correspondiente.
Disposiciones comunes
Agravantes
En calidad de integrante de una organizacin ilcita dedicada a estos delitos. Haciendo uso de informacin privilegiada obtenida en funcin de su cargo.
Delito cometido
A los DI
A informacin reservada
Delito cometido
A los DI
A informacin reservada
Delito cometido
A los DI
A informacin reservada
Equipos
Cualesquiera objetos
Dispositivos
Herramientas
Instrumentos
tiles
Materiales
El juez podr imponer medidas aplicables a las personas jurdicas (Art. 105 CP)
Persona jurdica
Con cuya organizacin se encubri el delito Con cuya organizacin se facilit el delito
Podr reducirse la pena hasta debajo del mnimo para autores y eximirse de la pena en el caso de partcipes, si:
Dentro de una investigacin a cargo del MP o en el desarrollo de un proceso penal por cualquiera de los delitos informticos
La pena del autor se reduce hasta debajo del mnimo y el partcipe queda exento de pena, si:
Dentro de una investigacin a cargo del MP o en el desarrollo de un proceso penal por cualquiera de los delitos informticos
La reduccin o la exencin de pena se aplica solamente a quienes realicen la restitucin o entrega del valor.
Determinar la estructura
Identificar las conexiones con asociaciones ilcitas de organizaciones criminales destinadas a cometer estos delitos
Con el propsito de
Identificar el modus operandi Identificar a los integrantes
El agente encubierto debe actuar con la reserva del caso y ocultando su identidad, utilizando razonablemente cualquier medio electrnico o de comunicacin
Las empresas proveedoras de servicios proporcionarn la informacin con los datos de identificacin del titular a la PNP o al MP, con la autorizacin del Juez, dentro de las 48 horas, bajo responsabilidad.
Qu se busca conseguir?
Limitar la proteccin del secreto de las comunicaciones a la inviolabilidad del mensaje, de conformidad con la Constitucin, sin extender sta a otros supuestos no protegidos en medios alternativos de comunicacin (telefona fija y correspondencia escrita).
Facilitar la accin inmediata de la PNP para la captura de delincuentes, cuando la vctima recibe una llamada desde un equipo mvil, o se detecta una actividad originada en una direccin IP, desde donde se extorsiona, se distribuye pornografa infantil, se cometen fraudes o algn delito flagrante.
La entrega de la informacin que se requiera para las investigaciones deber ser autorizada por el juez, con respeto de todas las garantas constitucionales establecidas, para evitar requerimientos indebidos, al igual que ya sucede en pases lderes en proteccin de datos personales y con estndar Budapest, como Espaa (Ley 25/2007 del 18 de octubre).
Disposiciones procesales
Reserva de la investigacin
Investigacin es reservada si
Investigacin
Delitos informticos
Prohibido a los operadores del sistema penal revelar informacin o suministrar material incorporado a la investigacin a terceros o a medios de comunicacin social
Disposicin derogatoria
Artculo 207-B
Artculo 207-C
Crticas y aportes
No hay que perder de vista que la peligrosidad de la conducta penal a travs de las TIC es exponencialmente mayor a la que exhibe la delincuencia tradicional. Un solo fraude informtico puede alcanzar 550 millones de pesos, como fue en el sonado caso bancario de La Araucania (http://www.estrategia.cl/detalle_noticia.php?cod=61996). En el mundo real, se necesitara producir 58 asaltos bancarios a mano armada para igualar dicha suma. La pena debe ser mayor para la conducta ms peligrosa. Se justifica plenamente el agravante para quienes se valen de las TIC en la perpetracin de delitos (ver exposicin de motivos), porque dicho medio favorece la peligrosidad de la conducta.
Esto ya existe en el Artculo 12 del Cdigo Penal de 1991 (basta leerlo para convencerse).
Solo hay que sancionar a los que actan dolosamente
En el derecho comparado existen numerosos casos en los que se sanciona el hurto de tiempo. Dejar de sancionar la comercializacin y difusin de bases de datos equivale a legalizar la actividad delictiva de los intrusistas o del personal deshonesto de entidades pblicas y privadas que abastecen de insumos informativos a los comerciantes del centro de Lima dedicados a estas actividades. Esta informacin luego es utilizada por spammers, No criminalizar el extorsionadores, secuestradores y otros delincuentes. La sancin a esta conducta existe en pases bajo el hurto de tiempo ni la estndar de la Convencin de Budapest, acuerdo internacional al que el Per debe adherirse. comercializacin de BD
Para que se configure el intrusismo informtico, se requiere una actuacin dolosa que vulnere el derecho del titular de un SI o de los datos para autorizar o no el acceso de terceros. As sucede en El legislador debe ser el mundo entero (inclusive en pases bajo el estndar Budapest). el que autoriza el
acceso y no un privado
El manejo fraudulento de MEP no puede tener sancin mayor a la produccin de pornografa infantil
La solucin no pasa por reducir las penas del fraude (conducta exponencialmente ms peligrosa que su equivalente en el mundo real o fsico), sino por incrementar las penas por la produccin de pornografa infantil. Hace falta un replanteo de la poltica nacional de sanciones penales.
La Ley 29733 no establece tal cosa (basta leerla para convencerse). En primer lugar, la Ley 29733 solamente protege datos de personas naturales, no de personas jurdicas. Segundo, el Artculo 3 de dicha ley excluye de su aplicacin a los datos personales destinados a ser contenidos en bancos de Las direcciones IP son datos de administracin pblica , en tanto su tratamiento sea necesario para la seguridad pblica y datos personales y para el desarrollo de actividades en materia penal para la investigacin y represin del delito. estn protegidos por
la Ley 29733
En un Estado de Derecho, el juez no puede aplicar la ley penal por analoga. Para eso existe el principio de legalidad. En la estafa, el tipo penal exige que se mantenga en error al agraviado para obtener un provecho ilcito. En el fraude informtico, se engaa a un sistema informtico, mediante la introduccin de datos falsos o ajenos o su manipulacin, sin que el agraviado real No hay que tipificar el fraude informtico incurra en error alguno o tenga conocimiento de la accin delictiva. Como se puede ver, el fraude porque es igual a una informtico dista mucho de encajar en el tipo penal de la estafa.
estafa por internet.
Sugerencias
Sugerencias (1)
Convencin de Budapest
El Per no debe dejar pasar la oportunidad de adherirse a la Convencin de Budapest, a fin de estandarizar sus normas para hacer ms eficaz la cooperacin tcnica, policial y judicial, evitando as que nuestro pas se convierta definitivamente en un paraso informtico de la delincuencia.
Hay que tener cuidado con la gradacin de las penas. Por ejemplo, consideramos que el delito previsto en el Artculo 12 debera tener una pena mayor a la del delito tipificado en el inciso 1 del Artculo 10, ya que en el primer caso se deber probar, adicionalmente, la existencia de un nimo de aprovechamiento patrimonial ilcito.
La tipificacin de conductas
El Artculo 15 puede redactarse de una manera ms clara, que deje en claro que el dato informtico sobre el que recae la accin delictiva es uno original y protegido por un resguardo especial. Asimismo, falta incluir la accin de modificar el dato informtico de tales caractersticas.
Sugerencias (2)
Podra incluirse un glosario de trminos tcnicos para limitar la interpretacin abierta de jueces insuficientemente capacitados. Pero ms importante que eso es que el Ministerio Pblico y el Poder Judicial inviertan en constituir unidades especializadas y capacitadas en materia de delitos informticos, replicando la exitosa experiencia de la PNP (DIVINDAT).
Resultara conveniente precisar, al igual que en la legislacin espaola, que la extraccin de algunos datos, entre ellos el nmero IP, del manto de proteccin constitucional del secreto de las comunicaciones y documentos privados, es un mecanismo de excepcin que nicamente responde a los casos de investigacin oficial de delitos, bajo responsabilidad.
Reflexin final
Reflexin final
El dictamen contiene una iniciativa legal que evidentemente resulta perfectible. Pero el costo beneficio de contar con una regulacin penal que desaliente la comisin de conductas que, en otros pases s se encuentran tipificadas, supera con enorme amplitud la tolerancia a cualquier posible imperfeccin que siempre est presente en toda obra humana. La problemtica del delito informtico en nuestro pas es agobiante. El Per no puede terminar de convertirse en un paraso informtico para los ciberdelincuentes.