Phishing y otros delitos del Internet

A modo de una breve introducción es necesario mencionar, ahora, y durante todo el

artículo, en multiplicidad de actividades delictivas que se realizan por medio de
estructuras electrónicas que van ligadas a un sin número de herramientas delictivas que
buscan infringir y dañar todo lo que encuentren en el ámbito informático: ingreso ilegal
a sistemas, interceptado ilegal de redes, interferencias, daños en la información
(borrado, dañado, alteración o supresión de datacredito), mal uso de artefactos,
chantajes, fraude electrónico, ataques a sistemas, robo de bancos, violación de los
derechos de autor, pornografía infantil, pedofilia en Internet, violación de información
confidencial y muchos otros.
El desarrollo de la tecnología informática ha permitido millones de posibilidades de
delincuencia antes impensables. La manipulación fraudulenta de los ordenadores con
ánimo de lucro, la destrucción de programas o datos y el acceso y la utilización indebida
de la información que puede afectar la esfera de la privacidad, son algunos de los
procedimientos relacionados con el procesamiento electrónico de datos mediante los
cuales es posible obtener grandes beneficios económicos o causar importantes daños
materiales o morales.1

Que es el phishing
Phishing es un delito cometido por un medio electrónico, principalente el internet, es
una especie de estafa, con el objetivo de intentar obtener de un usuario sus datos, claves,
cuentas bancarias, números de tarjeta de crédito, identidades, etc. Resumiendo "todos
los datos posibles" para luego ser usados de forma2
Obviamente el propósito de este delito es pata cometer diferentes de fraude, tales como
robar dinero desde su cuenta, abrir nuevas cuentas en su nombre u obtener documentos
oficiales mediante el uso de su identidad. 3
Es un tipo de suplantación de identidad, es un tipo de robo de identidad en línea. Usa
el correo electrónico y sitios web fraudulentos diseñados para robar sus datos o
información personal, como por ejemplo números de tarjetas de crédito, contraseñas,
datos de cuentas u otra información. 4 En muchos casos sucede por medio de el envío
de correos electrónicos que, aparentando provenir de fuentes fiables (por ejemplo,
entidades bancarias), intentan obtener datos confidenciales del usuario, que
posteriormente son utilizados para la realización de algún tipo de fraude.

1
http://www.monografias.com/trabajos6/delin/delin.shtml
2
http://seguridad.internautas.org/ www.seguridadenlared.org Asociación de
Internautas.www.internautas.org
3
http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
4
http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
Para ello, suelen incluir un enlace que, al ser pulsado, lleva a páginas web falsificadas.
De esta manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la
información solicitada que, en realidad, va a parar a manos del estafador.5

El mecanismo más empleado habitualmente es la generación de un correo electrónico

falso que simule proceder de una determinada compañía, a cuyos clientes se pretende
engañar. Dicho mensaje contendrá enlaces que apuntan a una o varias páginas web que
imitan en todo o en parte el aspecto y funcionalidad de la empresa, de la que se espera
que el receptor mantenga una relación comercial.
Sin embargo, el canal de contacto para llevar a cabo estos delitos no se limita
exclusivamente al correo electrónico, sino que también es posible realizar ataques de
phishing a través de SMS, conocido como smishing, o de telefonía IP, conocido como
vishing.
En el smishing el usuario recibe un mensaje de texto intentando convencerle de que
visite un enlace fraudulento. En el vishing el usuario recibe una llamada telefónica que
simula proceder de una entidad bancaria solicitándole que verifique una serie de datos.6

Orígenes
El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión al
intento de hacer que los usuarios "piquen en el anzuelo".
Quienes comenzaron a hacer phishing en AOL durante los años 1990 solían obtener
cuentas para usar los servicios de esa compañía a través de números de tarjetas de
crédito válidos, generados utilizando algoritmos para tal efecto. Estas cuentas de acceso
a AOL podían durar semanas e incluso meses. En 1995 AOL tomó medidas para
prevenir este uso fraudulento de sus servicios, de modo que los crackers recurrieron al
phishing para obtener cuentas legítimas en AOL. En 1997 AOL reforzó su política
respecto al phishing y fueron terminantemente expulsados de los servidores de AOL.
Durante ese tiempo el phishing era tan frecuente en AOL que decidieron añadir en su
sistema de mensajería instantánea, una línea de texto que indicaba: "no one working at
AOL will ask for your password or billing information" ("nadie que trabaje en AOL le
pedirá a usted su contraseña o información de facturación"). Simultáneamente AOL
desarrolló un sistema que desactivaba de forma automática una cuenta involucrada en
phishing, normalmente antes de que la víctima pudiera
Los intentos más recientes de phishing han tomado como objetivo a clientes de bancos y
servicios de pago en línea. Aunque el ejemplo que se muestra en la primera imagen es
enviado por phishers de forma indiscriminada con la esperanza de encontrar a un cliente
de dicho banco o servicio, estudios recientes muestran que los phishers en un principio
son capaces de establecer con qué banco una posible víctima tiene relación, y de ese
modo enviar un e-mail, falseado apropiadamente, a la posible víctima. En términos
generales, esta variante hacia objetivos específicos en el phishing se ha
denominado spear phishing (literalmente pesca con arpón). Los sitios de Internet con
fines sociales también se han convertido en objetivos para los phishers, dado que mucha
5
http://es.wikipedia.org/wiki/Phishing
6
http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
de la información provista en estos sitios puede ser utilizada en el robo de
identidad. Algunos experimentos han otorgado una tasa de éxito de un 90% en ataques
phishing en redes sociales. A finales de 2006 un gusano informático se apropió de
algunas páginas del sitio web MySpace logrando redireccionar los enlaces de modo que
apuntaran a una página web diseñada para robar información de ingreso de los usuarios7

¿Cómo lo realizan?
El phishing puede producirse de varias formas, desde un simple mensaje a su teléfono
móvil, una llamada telefónica, una web que simula una entidad, una ventana emergente,
y la más usada y conocida por los internautas, la recepción de un correo electrónico.
Pueden existir mas formatos pero en estos momentos solo mencionamos los más
comunes.
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el
diseño para mostrar que un enlace en un correo electrónico parezca una copia de la
organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de
subdominios son trucos comúnmente usados por phishers, disfrazar enlaces es el de
utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar
el nombre de usuario y contraseña (contrario a los estándares ). Puede engañar a un
observador casual y hacerlo creer que el enlace va a abrir en la página , cuando
realmente el enlace envía al navegador a otra página (y al intentar entrar con el nombre
de usuario de la pagina original, si no existe tal usuario, la página abrirá normalmente).
Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet
Explorer.8
Otros intentos de phishing utilizan comandos en Java Scripts para alterar la barra de
direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre
la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva
que contiene la URL ilegítima.
En otro método popular de phishing, el atacante utiliza contra la víctima el propio
código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque
resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la
propia página del banco o servicio, donde la URL y los certificados de
seguridad parecen correctos. En este método de ataque (conocido como Cross Site
Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus
cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace
está modificado para realizar este ataque, además es muy difícil de detectar si no se
tienen los conocimientos necesarios.
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio
internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que
resulten idénticas a la vista puedan conducir a diferentes sitios (por
ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o"
hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta
técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de
7
http://es.wikipedia.org/wiki/Phishing
8
http://es.wikipedia.org/wiki/Phishing
la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o
ataques homógrafos, ningún ataque conocido de phishing lo ha utilizado
Página web o ventana emergente; es muy clásica y bastante usada. En ella se simula
suplantando visualmente la imagen de una entidad oficial , empresas, etc pareciendo ser
las oficiales. El objeto principal es que el usuario facilite sus datos privados. La más
empleada es la "imitación" de páginas web de bancos, siendo el parecido casi idéntico
pero no oficial. Tampoco olvidamos sitios web falsos con señuelos llamativos, en los
cuales se ofrecen ofertas irreales y donde el usuario novel facilita todos sus datos, un
ejemplo fue el descubierto por la Asociación de Internautas y denunciado a las fuerzas
del Estado: Web-Trampa de recargas de móviles creada para robar datos bancarios9
Una de las modalidades más peligrosas del phishing es el pharming. Esta técnica
consiste en modificar el sistema de resolución de nombres de dominio (DNS) para
conducir al usuario a una página web falsa.
Esta técnica conocida como pharming es utilizada normalmente para realizar ataques de
phishing, redirigiendo el nombre de dominio de una entidad de confianza a una página
web, en apariencia idéntica, pero que en realidad ha sido creada por el atacante para
obtener los datos privados del usuario, generalmente datos bancarios.
A diferencia del phishing, el pharming no se lleva a cabo en un momento concreto, ya
que la modificación del fichero HOSTS permanece en un ordenador, a la espera de que
el usuario acceda a su servicio bancario.
Cuando un usuario teclea una dirección en su navegador, esta debe ser convertida a una
dirección IP numérica. Este proceso es lo que se llama resolución de nombres, y de ello
se encargan los servidores DNS.
Sin embargo, existen ejemplares de malware diseñados para modificar el sistema de
resolución de nombres local, ubicado en un fichero denominado HOSTS.
Este fichero permite almacenar de forma local esa resolución de nombres asociadas a
direcciones IP. De esta manera, aunque el usuario introduzca en el navegador el nombre
de una página web legítima, el ordenador primero consultará a ese fichero HOSTS si
existe una dirección IP asociada a ese nombre. En caso de no encontrarla, lo consultará
con el servidor DNS de su proveedor. 10
Fases para cometer el ilícito
 En la primera fase, la red de estafadores se nutre de usuarios de chat, foros o
correos electrónicos, a través de mensajes de ofertas de empleo con una gran
rentabilidad o disposición de dinero (hoax o scam). En el caso de que caigan en la
trampa, los presuntos intermediarios de la estafa, deben rellenar determinados
campos, tales como: Datos personales y número de cuenta bancaria.
 Se comete el phishing, ya sea el envío global de millones de correos electrónicos
bajo la apariencia de entidades bancarias, solicitando las claves de la cuenta
bancaria (PHISHING) o con ataques específicos.

9
http://seguridad.internautas.org/html/1/425.html
10
http://seguridad.internautas.org/html/1/425.html
 El tercer paso consiste en que los estafadores comienzan a retirar sumas
importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios
(muleros).
 Los intermediarios realizan el traspaso a las cuentas de los estafadores,
llevándose éstos las cantidades de dinero y aquéllos —los intermediarios— el
porcentaje de la comisión.

Daños causados por el phishing

Los daños causados por el phishing oscilan entre la pérdida del acceso al correo
electrónico a pérdidas económicas sustanciales. Este tipo de robo de identidad se está
haciendo cada vez más popular por la facilidad con que personas confiadas
normalmente revelan información personal a los phishers, incluyendo números
de tarjetas de crédito y números de seguridad social. Una vez esta información es
adquirida, los phishers pueden usar datos personales para crear cuentas falsas utilizando
el nombre de la víctima, gastar el crédito de la víctima, o incluso impedir a las víctimas
acceder a sus propias cuentas.
Robo de identidad y datos confidenciales de los usuarios. Esto puede conllevar pérdidas
económicas para los usuarios o incluso impedirles el acceso a sus propias cuentas.
Pérdida de productividad.
Consumo de recursos de las redes corporativas (ancho de banda, saturación del correo,
etc.).
Lavado de dinero producto del phishing
Actualmente empresas ficticias intentan reclutar teletrabajadores por medio de e-
mails, chats, irc y otros medios, ofreciéndoles no sólo trabajar desde casa sino también
otros jugosos beneficios. Aquellas personas que aceptan la oferta se convierten
automáticamente en víctimas que incurren en un grave delito sin saberlo: el blanqueo de
dinero obtenido a través del acto fraudulento de phishing.
Para que una persona pueda darse de alta con esta clase de empresas debe rellenar
un formulario en el cual indicará, entre otros datos, su número de cuenta bancaria. Esto
tiene la finalidad de ingresar en la cuenta del trabajador-víctima el dinero procedente de
estafas bancarias realizadas por el método de phishing. Una vez contratada, la víctima
se convierte automáticamente en lo que se conoce vulgarmente como mulero.
Con cada acto fraudulento de phishing la víctima recibe el cuantioso ingreso en su
cuenta bancaria y la empresa le notifica del hecho. Una vez recibido este ingreso, la
víctima se quedará un porcentaje del dinero total, pudiendo rondar el 10%-20%, como
comisión de trabajo y el resto lo reenviará a través de sistemas de envío de dinero a
cuentas indicadas por laseudo-empresa.
Dado el desconocimiento de la víctima (muchas veces motivado por la necesidad
económica) ésta se ve involucrada en un acto de estafa importante, pudiendo ser
requerido por la justicia previa denuncia de los bancos. Estas denuncias se suelen
resolver con la imposición de devolver todo el dinero sustraído a la víctima, obviando
que este únicamente recibió una comisión.
Anti-Phishing
¿Cómo protegernos?
Para protegernos es básico tener un programa antivirus instalado y actualizado con
filtro anti-spam. La forma más segura para estar tranquilo y no ser estafado, es que
NUNCA responda a NINGUNA solicitud de información personal a través de correo
electrónico, llamada telefónica o mensaje corto (SMS). Las entidades u organismos
NUNCA le solicitan contraseñas, números de tarjeta de crédito o cualquier información
personal por correo electrónico, por teléfono o SMS. Ellos ya tienen sus datos, en todo
caso es usted el que los puede solicitar por olvido o pérdida y ellos se lo facilitarán.
Ellos NUNCA se lo van a solicitar porque ya los tienen, es de sentido común.
Para visitar sitios Web, teclee la dirección URL en la barra de direcciones. NUNCA
POR ENLACES PROCEDENTES DE CUALQUIER SITIO. Las entidades bancarias
contienen certificados de seguridad y cifrados seguros NO TENGA MIEDO al uso de la
banca por internet. 11
Además, a continuación proporcionamos una serie de consejos que pueden ayudarle
a reducir el riesgo de sufrir un ataque de phishing:
 Verifique la fuente de información. No conteste automáticamente a ningún
correo que solicite información personal o financiera.
 Compruebe que la página web en la que ha entrado es una dirección segura. Para
ello, ha de empezar con https:// y un pequeño candado cerrado debe aparecer en
la barra de estado de nuestro navegador.
 Revise periódicamente sus cuentas para detectar transferencias o transacciones
irregulares.
 No olvide que las entidades bancarias no solicitan información confidencial a
través de canales no seguros, como el correo electrónico.
 Haga un análisis gratuito de su equipo y compruebe si está libre de phishing.12
 Escriba direcciones directamente dentro de su Explorador o utilice sus
marcadores personales.
 Controle el certificado de seguridad del sitio antes de ingresar información
personal o financiera dentro de un sitio web.
 No ingrese información personal ni financiera dentro de ventanas emergentes.
 Mantenga su computadora actualizada con las últimas actualizaciones de
seguridad 13
¿Qué debo hacer si creo haber respondido a una estafa de
suplantación de identidad?
Siga estos pasos para minimizar todos los daños si sospecha que ha respondido a una
estafa de suplantación de identidad con información personal o financiera o que ha
ingresado esta información dentro de un sitio web falso.

http://seguridad.internautas.org/ www.seguridadenlared.org Asoc

11

iación de Internautas.www.internautas.org
12
http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
13
http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
  Cambie las contraseñas o PIN en todas sus cuentas en línea que podrían estar
comprometidas, según su opinión.
 Presente una alerta de fraude en sus informes crediticios. Hable con su banco o
consejero financiero si no se siente seguro acerca de cómo realizar este paso.
 Póngase en contacto directo con el banco o el comerciante en línea. No siga el
vínculo que aparece en el correo electrónico fraudulento.
 Si sabe de alguna cuenta a la cual se obtuvo acceso o que fue abierta de manera
fraudulenta, ciérrela. 14
 Revise sus estados bancarios y de tarjeta de crédito con regularidad por mes con el
fin de descubrir cargos o solicitudes sin explicación que usted no inició. 15
¿Como lo denuncio?
Cuando usted sea víctima de este tipo de intento de estafa informe a las autoridades
competentes, en Costa Rica más adelante veremos que de acuerdo a la legislación se
puede hacer la denuncia respectiva en el ministerio público, pero como es de esperarse
no existen los medios para desmantelar este tipo de organizaciones delictivas, por lo que
nunca habrá una reparación del daño causado, en la red hay una solución diferente, que
al menos permite que exista una sanción y prevenga que le ocurra a otros usuarios del
internet, esta solución es de la Asociación de Internautas, que creó hace varios meses un
conducto a través del cual los internautas pueden denunciar los correos que simulan ser
entidades bancarias, web falsas o cualquier tipo de estafa por medio del uso de phishing
en internet.
Para ello solo tiene que mandar un correo a phishing@internautas.org adjuntando el
mail recibido o la web que intenta el robo de datos. Nosotros lo denunciamos a la
empresa u organismo afectado y avisamos a las autoridades competentes.
El propósito de la Asociación de Internautas es evitar y ERRADICAR DE UNA VEZ
los posibles intentos de estafas realizado mediante el uso de phishing. 16
Combatirlo
Una estrategia para combatir el phishing adoptada por algunas empresas es la de
entrenar a los empleados de modo que puedan reconocer posibles ataques phishing.
Muchas compañías, siempre se dirigen a sus clientes por su nombre de usuario en los
correos electrónicos, de manera que si un correo electrónico se dirige al usuario de una
manera genérica como ("Querido miembro de ..") es probable que se trate de un intento
de phishing.
Hay varios programas informáticos anti-phishing disponibles. La mayoría de estos
programas trabajan identificando contenidos phishing en sitios web y correos
electrónicos; algunos software anti-phishing pueden por ejemplo, integrarse con los
navegadores web y clientes de correo electrónico como una barra de herramientas que
muestra el dominio real del sitio visitado. Los filtros de spam también ayudan a proteger

14
http://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
15
http://www.microsoft.com/es-xl/security/online-privacy/phishing-
faq.aspxhttp://www.microsoft.com/es-xl/security/online-privacy/phishing-faq.aspx
http://seguridad.internautas.org/ www.seguridadenlared.org A
16

sociación de Internautas.www.internautas.org
a los usuarios de los phishers, ya que reducen el número de correos electrónicos
relacionados con el phishing recibidos por el usuario.
Muchas organizaciones han introducido la característica denominada pregunta secreta,
en la que se pregunta información que sólo debe ser conocida por el usuario y la
organización. Las páginas de Internet también han añadido herramientas de verificación
que permite a los usuarios ver imágenes secretas que los usuarios seleccionan por
adelantado; sí estas imágenes no aparecen, entonces el sitio no es legítimo. Estas y otras
formas de autentificación mutua continúan siendo susceptibles de ataques.
Muchas compañías ofrecen a bancos y otras entidades que sufren de ataques de
phishing, servicios de monitoreo continuos, analizando y utilizando medios legales para
cerrar páginas con contenido phishing.

Y legalmente se han combatido, mediante exhaustivas investigaciones, para cazar al

estafador, en el 2004, la FTC (Federal Trade Commission, "Comisión Federal de
Comercio") de Estados Unidos llevó a juicio el primer caso contra
un phisher sospechoso. El acusado, un adolescente de California, supuestamente creó y
utilizó una página web con un diseño que aparentaba ser la página de America
Online para poder robar números de tarjetas de crédito
Tanto Europa como Brasil siguieron la práctica de los Estados Unidos, rastreando y
arrestando a presuntos phishers.

La compañía Microsoft también se ha unido al esfuerzo de combatir el phishing.

Microsoft llevó a la Corte del Distrito de Washington 117 pleitos federales. En algunos
de ellos se acusó al denominado phisher "John Doe" por utilizar varios métodos para
obtener contraseñas e información confidencial. Microsoft espera desenmascarar con
estos casos a varios operadores de phishing de gran envergadura.

Legislación Costarricense sobre Delitos Informaticos

En Costa Rica hasta hace poco no se tipificaban los delitos asociados al derecho
informático, sin embargo a una reforma al código penal, vino a regularlo, a continuación
esa reforma:
DELITOS INFORMÁTICOS (COSTA RICA)
COSTA RICA: LEY No. 8148
LA ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA
Decreta:
ADICIÓN DE LOS ARTÍCULOS 196 BIS, 217 BIS Y 229 BIS AL CÓDIGO PENAL
LEY Nº 4573, PARA REPRIMIR Y SANCIONAR LOS DELITOS INFORMÁTICOS
Artículo único.-Adiciónanse al Código Penal, Ley Nº 4573, del 4 de mayo de 1970, los
artículos 196 bis, 217 bis y 229 bis, cuyos textos dirán:
"Artículo 196 bis.-Violación de comunicaciones electrónicas. Será reprimida con pena
de prisión de seis meses a dos años, la persona que, para descubrir los secretos o
vulnerar la intimidad de otro, sin su consentimiento, se apodere, accese, modifique,
altere, suprima, intercepte, interfiera, utilice, difunda o desvíe de su destino, mensajes,
datos e imágenes contenidas en soportes: electrónicos, informáticos, magnéticos y
telemáticos. La pena será de uno a tres años de prisión, si las acciones descritas en el
párrafo anterior, son realizadas por personas encargadas de los soportes: electrónicos,
informáticos, magnéticos y telemáticos."
"Artículo 217 bis.-Fraude informático. Se impondrá pena de prisión de uno a diez años
a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí
o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema
de cómputo, mediante programación, empleo de datos falsos o incompletos, uso
indebido de datos o cualquier otra acción que incida en el proceso de los datos del
sistema."
"Artículo 229 bis.-Alteración de datos y sabotaje informático. Se impondrá pena de
prisión de uno a cuatro años a la persona que por cualquier medio accese, borre,
suprima, modifique o inutilice sin autorización los datos registrados en una
computadora.
Si como resultado de las conductas indicadas se entorpece o inutiliza el funcionamiento
de un programa de cómputo, una base de datos o un sistema informático, la pena será de
tres a seis años de prisión. Si el programa de cómputo, la base de datos o el sistema
informático contienen datos de carácter público, se impondrá pena de prisión hasta de
ocho años."17

Otros delitos
Los delitos informáticos, en general, son aquellos actos delictivos realizados con el uso
de computadoras o medios electrónicos, cuando tales conductas constituyen el único
medio de comisión posible -o el considerablemente más efectivo-, y los delitos en que
se daña estos equipos, redes informáticas, o la información contenida en ellos,
vulnerando bienes jurídicos protegidos. Es decir, son los delitos en que los medios
tecnológicos o son el método o medio comisivo, o el fin de la conducta delictiva.18
Efectivamente, resulta oportuno afirmar que el desarrollo de esta nueva forma de
comercio, ha constituido también un sustrato para el desarrollo de un “nuevo estilo de
delitos”, que requieren para su comisión de un nivel de conocimiento específico, y su
“iter”, en ocasiones, escapa a los alcances de las normas que definen los actuales tipos
penales.
La doctrina mundial ha definido este tipo de ilícitos como "delitos informáticos", que
son aquellos “cuya acción u omisión típica, antijurídica y dolosa realizada por un ser
humano, cause un perjuicio sin que necesariamente se beneficie el autor, o por el
contrario, produzca un beneficio ilícito a su autor, aunque no perjudique de forma
directa o indirecta a la víctima. Igualmente, aquellas conductas ilícitas susceptibles de
ser sancionadas por el Derecho penal que hacen uso indebido de cualquier medio
informático”.19

17
http://delitosinformaticos.com/legislacion/costarica.shtml
18

19
http://www.informatica-juridica.com/anexos/anexo1390.asp
Los delitos más conocidos en el crimen electrónico según la doctrina son:

Tipificación
 Fraude
El fraude informático es inducir a otro a hacer o a restringirse en hacer alguna cosa de lo
cual el criminal obtendrá un beneficio por lo siguiente:
1. Alterar el ingreso de datos de manera ilegal. Esto requiere que el criminal posea un alto
nivel de técnica y por lo mismo es común en empleados de una empresa que conocen
bien las redes de información de la misma y pueden ingresar a ella para alterar datos
como generar información falsa que los beneficie, crear instrucciones y procesos no
autorizados o dañar los sistemas.
2. Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil de detectar.
3. Alterar o borrar archivos.
4. Alterar o dar un mal uso a sistemas o software, alterar o reescribir códigos con
propósitos fraudulentos. Estos eventos requieren de un alto nivel de conocimiento.
Otras formas de fraude informático incluye la utilización de sistemas de computadoras
para robar bancos, realizar extorsiones o robar información clasificada.
Estas conductas consisten en la manipulación ilícita, a través de la creación de datos
falsos o la alteración de datos o procesos contenidos en sistemas informáticos, realizada
con el objeto de obtener ganancias indebidas.
Una característica general de este tipo de fraudes, interesante para el análisis jurídico, es
que, en la mayoría de los casos detectados, la conducta delictiva es repetida varias veces
en el tiempo. Lo que sucede es que, una vez que el autor descubre o genera una laguna o
falla en el sistema, tiene la posibilidad de repetir, cuantas veces quiera, la comisión del
hecho. Incluso, en los casos de "manipulación del programa", la reiteración puede ser
automática, realizada por el mismo sistema sin ninguna participación del autor y cada
vez que el programa se active. En el ejemplo jurisprudencial citado al hacer referencia a
las manipulaciones en el programa, el autor podría irse de vacaciones, ser despedido de
la empresa o incluso morir y el sistema seguiría imputando el pago de sueldos a los
empleados ficticios en su cuenta personal.
 Estafas electrónicas
Se trataría en este caso de una dinámica comisiva que cumpliría todos los requisitos del
delito de estafa, ya que además del engaño y el "animus defraudandi" existiría un
engaño a la persona que compra o efectúa negocios por algún medio electronico. No
obstante seguiría existiendo una laguna legal en aquellos países cuya legislación no
prevea los casos en los que la operación se hace engañando al ordenador.
 Spam
El Spam o los correos electrónicos, no solicitados para propósito comercial, es ilegal en
diferentes grados. La regulación de la ley en cuanto al Spam en el mundo es
relativamente nueva y por lo general impone normas que permiten la legalidad del
Spam en diferentes niveles. El Spam legal debe cumplir estrictamente con ciertos
requisitos como permitir que el usuario pueda escoger el no recibir dicho mensaje
publicitario o ser retirado de listas de email.
 Contenido obsceno u ofensivo
El contenido de un website o de otro medio de comunicación electrónico puede ser
obsceno u ofensivo por una gran gama de razones. En ciertos casos dicho contenido
puede ser ilegal. Igualmente, no existe una normativa legal universal y la regulación
judicial puede variar de país a país, aunque existen ciertos elementos comunes. Sin
embargo, en muchas ocasiones, los tribunales terminan siendo árbitros cuando algunos
grupos se enfrentan a causa de contenidos que en un país no tienen problemas
judiciales, pero sí en otros. Un contenido puede ser ofensivo u obsceno, pero no
necesariamente por ello es ilegal.
Algunas jurisdicciones limitan ciertos discursos y prohíben explícitamente el racismo, la
subversión política, la promoción de la violencia, los sediciosos y el material que incite
al odio y al crimen.
 Hostigamiento / Acoso
El hostigamiento o acoso es un contenido que se dirige de manera específica a un
individuo o grupo con comentarios derogativos a causa de su sexo, raza, religión,
nacionalidad, orientación sexual, etc. Esto ocurre por lo general en canales de
conversación, grupos o con el envío de correos electrónicos destinados en exclusiva a
ofender. Todo comentario que sea derogatorio u ofensivo es considerado como
hostigamiento o acoso.
 Tráfico de drogas
El narcotráfico se ha beneficiado especialmente de los avances del Internet y a través de
éste promocionan y venden drogas ilegales a través de emails codificados y otros
instrumentos tecnológicos. Muchos narcotraficantes organizan citas en cafés Internet.
Como el Internet facilita la comunicación de manera que la gente no se ve las caras, las
mafias han ganado también su espacio en el mismo, haciendo que los posibles clientes
se sientan más seguros con este tipo de contacto. Además, el Internet posee toda la
información alternativa sobre cada droga, lo que hace que el cliente busque por sí
mismo la información antes de cada compra.
También se utiliza para la transmisión de fórmulas para la fabricación de
estupefacientes, para el blanqueo de dinero y para la coordinación de entregas y
recogidas.
Tanto el FBI como el Fiscal General de los Estados Unidos han alertado sobre la
necesidad de medidas que permitan interceptar y descifrar los mensajes encriptados que
utilizan los narcotraficantes para ponerse en contacto con los cárteles.
 Sabotaje informático
El téé rmino sabotajé informaé tico compréndé todas aquéllas conductas dirigidas a
causar danñ os én él hardwaré o én él softwaré dé un sistéma. Los méé todos
utilizados para causar déstrozos én los sistémas informaé ticos son dé íéndolé muy
variada y han ido évolucionando hacia téé cnicas cada véz maé s sofisticadas y dé
difíécil détéccioé n. Baé sicaménté, sé puédé diférénciar dos grupos dé casos: por un
lado, las conductas
 Terrorismo virtual
Se efectúan mediante el envió de mensajes anónimos aprovechados por grupos
terroristas para remitirse consignas y planes de actuación a nivel internacional.
Desde 2001 el terrorismo virtual se ha convertido en uno de los novedosos delitos de los
criminales informáticos los cuales deciden atacar masivamente el sistema de
ordenadores de una empresa, compañía, centro de estudios, oficinas oficiales, etc
La existencia de hosts que ocultan la identidad del remitente, convirtiendo el mensaje en
anónimo ha podido ser aprovechado por grupos terroristas para remitirse consignas y
planes de actuación a nivel internacional. De hecho, se han detectado mensajes con
instrucciones para la fabricación de material explosivo.
La difusión de noticias falsas en Internet (por ejemplo decir que va a explotar una
bomba en el Metro), es considerado terrorismo informático y es procesable.20
 Copia ilegal de software y espionaje informático.
Infracción del Copyright de bases de datos: No existe una protección uniforme de las
bases de datos en los países que tienen acceso a Internet. El sistema de protección más
habitual es el contractual: el propietario del sistema permite que los usuarios hagan
"downloads" de los ficheros contenidos en el sistema, pero prohibe el replicado de la
base de datos o la copia masiva de información. Espionaje: Se ha dado casos de acceso
no autorizado a sistemas informáticos gubernamentales e interceptación de correo
electrónico del servicio secreto de los Estados Unidos, entre otros actos que podrían ser
calificados de espionaje si el destinatario final de esa información fuese un gobierno u
organización extranjera.
Espionaje industrial: También se han dado casos de accesos no autorizados a sistemas
informáticos de grandes compañías, usurpando diseños industriales, fórmulas, sistemas
de fabricación y know how estratégico que posteriormente ha sido aprovechado en
empresas competidoras o ha sido objeto de una divulgación no autorizada.
 Uso ilegítimo de sistemas informáticos ajenos.
Esta modalidad consiste en la utilización sin autorización de los ordenadores y los
programas de un sistema informático ajeno. Este tipo de conductas es comúnmente
cometida por empleados de los sistemas de procesamiento de datos que utilizan los
sistemas de las empresas para fines privados y actividades complementarias a su
trabajo. En estos supuestos, sólo se produce un perjuicio económico importante para las
empresas en los casos de abuso en el ámbito del teleproceso o en los casos en que las
empresas deben pagar alquiler por el tiempo de uso del sistema.
Acceso no autorizado: La corriente reguladora sostiene que el uso ilegítimo de
passwords y la entrada en un sistema informático sin la autorización del propietario
debe quedar tipificado como un delito, puesto que el bien jurídico que acostumbra a
protegerse con la contraseña es lo suficientemente importante para que el daño
producido sea grave. 21
 Pornografía infantil
La distribución de pornografía infantil por todo el mundo a través de la Internet está
en aumento. Durante los pasados cinco años, el número de condenas por transmisión o
posesión de pornografía infantil ha aumentado de 100 a 400 al año en un país
norteamericano. El problema se agrava al aparecer nuevas tecnologías, como la
20
http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico

21
www.microsoft.com/business/smb/es-es/legal/delitos_informaticos.mspxç
criptografía, que sirve para esconder pornografía y demás material "ofensivo" que se
transmita o archive.
Otros delitos: Las mismas ventajas que encuentran en la Internet los narcotraficantes
pueden ser aprovechadas para la planificación de otros delitos como el tráfico de armas,
proselitismo de sectas, propaganda de grupos extremistas, y cualquier otro delito que
pueda ser trasladado de la vida real al ciberespacio o al revés.22

Situación en Costa Rica respecto a delitos informáticos

Cada día crece el número de denuncias a nivel internacional y nacional por la comisión
de conductas ilícitas relacionadas con esta problemática, y en países como Alemania,
Francia, España y Paraguay, se han incorporado nuevas figuras delictivas para penar las
maniobras de fraude con tarjetas de crédito o débito de manera específica,
incorporándolas a sus códigos penales o en leyes especiales.
En otros países como Argentina y México, la situación es abordada de manera similar a
nuestro país, donde estas conductas ilícitas son tipificadas y por ende sancionadas,
dentro de los tipos penales contenidos en nuestra actual legislación como robo, estafa y
asociación ilícita.
Sin embargo, especialistas en el tema consideran que la aplicación de la legislación
actual denominada "clásica", genera conflictos doctrinales y jurisprudenciales,
acrecienta la inseguridad y facilita la actividad de grupos especializados en el fraude
con tarjetas de crédito y débito y no resuelve el crecimiento de lo que también llaman
"fraude informático".
En Costa Rica las denuncias relacionadas son considerables y van en aumento.
En los últimos tres años el Departamento de Estadística del Organismo de
Investigación Judicial registra en el Sistema de Apoyo de Análisis Criminal, para el
año 2004, 379 denuncias relacionadas con tarjetas de crédito o débito, por robo,
falsificación, uso de Internet, manipulación de cajero y cargo por consentimiento,
para el año 2005, 383, y para el año 2006 se han tramitado aproximadamente 338.
La Oficina del Consumidor reporta información referida a tarjetas de crédito y débito,
en cuanto al número de denuncias por robo, extracción, uso e inaplicabilidad por parte
de las entidades bancarias de las pólizas y seguros que cubren las tarjetas de crédito y
débito; de acuerdo a su base de datos, en el 2005, se denunciaron 26 casos, y hasta el 31
de agosto 2006, se reportan ingresos de 17 denuncias por las mismas razones.

Entidades bancarias como el Banco Popular y de Desarrollo Comunal contabilizaron en

sus denuncias de julio a septiembre del 2006, 1.565 denuncias por bloqueo, sustracción
y fraude en tarjetas de crédito y débito; mientras que el Banco Nacional recibió para
este mismo año 41 denuncias en tarjetas de crédito de Visa y Master Card, 147
denuncias por robo, extravío y uso indebido de tarjetas de débito.

Este accionar delictivo, que afecta de manera directa los más variados escenarios del
comercio y de la vida en general de las personas, requiere elementos objetivos y

22
http://www.monografias.com/trabajos6/delin/delin.shtml
subjetivos para su identificación y diferenciación de acuerdo al agente comisor, modo
de operar y medios que utiliza. En el caso del fraude electrónico es requisito necesario
el medio de procesamiento y la experiencia del actor, como elemento para su
tipificación y, en consecuencia, su distinción con otro tipo de delito o fraude.

Las razones apuntadas me impulsan a presentarles a ustedes, señoras y señores

diputados, una iniciativa de ley, que espero cuente con sus aportes y su voto, para
combatir de manera más efectiva esta nueva forma de delinquir que nos producen
profundos daños económicos como Nación.23

La sala tercera y los delitos informáticos.

En Costa Rica, bajo la nueva legislación que tutela delitos informáticos, ya han existido
procesos o casos relacionados en los que se ha vislumbrado la tendencia jurisprudencial
de la Sala III al respecto y la cual además ha proporcionado una serie de conceptos que
de una u otra forma se encontraban en abstracto y demarca así el espacio de regulación..

En la resolución 763 del año 2006 en la que se resuelve el Recurso de casación

interpuesto en el proceso de Paulina Mayela Barrantes por el delito de fraude
informático en perjuicio de Hazel María Bermúdez Quesada Bermúdez, la Sala
manifiesta lo siguiente en relación a la conceptualización de los delitos informáticos:

SALA TERCERA DE LA CORTE SUPREMA DE JUSTICIA. San José, a las nueve horas veinte
minutos del dieciocho de agosto de dos mil seis

“Al realizar el análisis jurídico penal, el Tribunal afirma que la encartada hizo uso indebido de la
tarjeta – al sustraerla de la cartera de la ofendida – así como de los datos del sistema de cómputo para
ingresar a su cuenta, sea la clave o pin de esa tarjeta. Esa acción la considera constitutiva del
delito contemplado en el artículo 217 bis del Código Penal, el cual dispone: “Se impondrá prisión de
uno a diez años a la persona que, con la intención de procurar u obtener un beneficio patrimonial para sí
o para un tercero, influya en el procesamiento o el resultado de los datos de un sistema de cómputo
mediante programación, empleo de datos falsos o incompletos, uso indebido de datos o cualquier otra
acción que incida en el proceso de los datos del sistema”. A juicio de esta Sala, la conducta tenida por
probada – sustracción de la tarjeta de débito, obtención de la clave de ingreso, y uso de la tarjeta para
conseguir en el cajero automático, dinero de la cuenta de la ofendida –, no es propia de dicha ilicitud, en
vista de que Barrantes Barrantes no manipuló los datos del sistema, ni influyó en su procesamiento. Como
se señaló en un caso similar: “En sentido amplio, el delito informático es cualquier ilícito penal en el que
las computadoras, sus técnicas y funciones desempeñan un papel ya sea como medio o como fin; como
medio en el caso del fraude informático, y como fin, en el sabotaje informático (artículo 229 bis del
Código Penal). “Por una parte, el National Center for Computer Crime Data indica que “el delito
informático incluye todos los delitos perpetrados por medio del uso de ordenadores y todos los delitos en
que se dañe a los ordenadores o a sus componentes”. De igual forma, y siempre con ese carácter de
generalidad y amplitud, la Organización para la Cooperación y Desarrollo Económico (OCDE) explica
que el “delito informático es toda conducta ilegal, no ética o no autorizada, que involucra un proceso
automático de datos y/o la transmisión de datos”. Asimismo, William Cashion – estadounidense experto
en informática – señala que el “delito informático es cualquier acto inicuo que no puede ser cometido sin

23
http://www.informatica-juridica.com/anexos/anexo1390.asp
un ordenador o que no existiría sin un ordenador o su tecnología” (delitos informáticos, Carlos
Chinchilla Sandí, Farben, 2004, página 27). Si bien para la comisión de un delito informático se
requiere un ordenador, ello no implica que siempre que en la comisión del hecho delictivo esté
presente un computador, estaremos en presencia de un delito informático.

Para mostrar un caso obvio, si se violenta un cajero automático para sustraer el dinero que guarda,
no se cometerá un delito informático. De acuerdo a la redacción de la norma en el Código Penal
vigente, la acción del sujeto activo consistirá en influir en el procesamiento o el resultado de los datos de
un sistema de cómputo, a través de varias conductas que han de incidir en el proceso de los datos del
sistema. Influir en el procesamiento o resultado de los datos será manipular la información, alimentar el
sistema de forma irregular, actos que incidirán en el proceso de los datos, es decir, en la realización de
las instrucciones de un sistema. Por ejemplo, en el proceso de pagar el salario a los empleados habrá
una serie de pasos a seguir, que si alguno se altera fraudulentamente, incidirá en el resto del proceso. El
usuario aparece al final de ese proceso, y en términos generales, no lo puede modificar. Para hacerlo,
requiere el ingreso al sistema, y usualmente debe poseer ciertos conocimientos. Las personas que
cometen delitos informáticos presentan algunas características que no tiene el común de las personas,
como la destreza en el manejo de los sistemas informáticos, o una posición estratégica que le facilita el
manejo de información restringida, o, en muchos casos, ambas ventajas. Por estos aspectos son
considerados “delitos de cuello blanco”. Esto por cuanto, además de la tecnicidad en el manejo de los
sistemas, éstos se encuentran protegidos por mecanismos de defensa cuya vulneración requiere,
usualmente, de conocimientos técnicos: “Esta predisposición de medios defensivos en forma general y la
limitación que se puso a los delitos electrónicos nos permite inducir en forma clara que para ingresar a
cualquier sistema sin la debida autorización (para el caso la simple intrusión resultaría el
delito subsidiario de otros más graves como hacking o robo de información, por citar algunos) implica
necesariamente vencer una resistencia predispuesta del sistema colocada allí expresamente por razones
de seguridad, - según expresan los programadores y constructores -.” (Derecho Penal informático,
Gabriel Cámpoli, Investigaciones Jurídicas S.A., 2003, página 28). Según indica el doctor Chinchilla
Sandí, dentro de esas conductas destacan la manipulación de los datos de entrada: conocido también
como sustracción de datos, es el más común en vista de la facilidad para la comisión y la dificultad en el
descubrimiento. No requiere de conocimientos técnicos en informática y puede realizarlo cualquier
persona que tenga acceso al procesamiento de datos en su fase de adquisición; manipulación de
programas: difícil de descubrir pues el sujeto activo ha de tener conocimientos técnicos concretos de
informática. Consiste en modificar los programas existentes en el sistema de computadoras o en
introducir nuevos programas o nuevas rutinas. Un método muy usado es el denominado “Caballo de
Troya”, el cual consiste en implantar instrucciones de computadora en forma subrepticia en un
programa informático para que realice una función no autorizada al mismo tiempo que la normal;
manipulación de los datos de salida: se lleva a cabo fijando un objetivo al funcionamiento del sistema
informático, como el fraude a los cajeros automáticos mediante la falsificación de instrucciones para la
computadora en la fase de adquisición de datos, lo que se hacía con tarjetas bancarias robadas. Ahora
se usa equipo y programas de computadora especializados para codificar información electrónica
falsificada en las bandas magnéticas de las tarjetas bancarias y en las tarjetas de crédito” (Sala Tercera,
sentencia # 148-2006). Como se observa, el delito de fraude informático requiere algún manejo de los
datos, o los programas, que afecta el proceso de los datos del sistema. Por su parte, la conducta tenida por
acreditada, en el caso en estudio, es el apoderamiento ilegítimo de dinero ajeno, utilizando la tarjeta
original, por medio de un ordenador, pero sin modificación, ni alteración de la información que éste
contenía, de modo que indujera a error en el procesamiento o el resultado de los datos del sistema. La
acción realizada es la misma que hubiera hecho la titular de la tarjeta de débito, para obtener el
dinero, por lo cual la conducta tenida por cierta no se adecua al tipo penal considerado por el
Tribunal.

Podemos a partir de la valoración y conceptualización que en este caso se hizo por

la Sala III de la Corte Suprema de Justicia determinar entonces que un delito
informático es aquel en que las computadoras, sus técnicas y funciones desempeñan un
papel ya sea como medio o como fin; como medio en el caso del fraude informático, y
como fin, en el sabotaje informático y por medio del cual se lesionan los derechos del
titular del elemento informático, independientemente si se trata de software o hardware.

Partiendo de este concepto debemos también analizar los elementos subjetivos que
surgen a raíz de la realización de la conducta enmarcada, análisis elemental para
comprender la lectura integral de la sentencia objeto de este segmento.
La poca doctrina nacional ha indicado lo siguiente en relación al sujeto activo, no
son delincuentes comunes. Por ello presentan características particulares, entre las que
encontramos:
 Poseen importantes conocimientos de informática
 Ocupan lugares estratégicos de trabajo, en los cuales se maneja información de
carácter sensible. Por ello, se les ha denominado delitos ocupacionales ya que se
comenten en la ocupación que se tiene y el acceso al sistema.
 A pesar de las características anteriores debemos tener presente que puede tratarse
de personas muy diferentes. No es lo mismo el joven que entra a un sistema
informático por curiosidad, por investigar o con la motivación de violar el sistema
de seguridad como desafío personal, que el empleado de una institución financiera
que desvía fondos de las cuentas de sus clientes.
 Son considerados delitos de cuello blanco, porque el sujeto que comete el delito
tiene cierto estatus socio económico.
En lo que respecta al sujeto pasivo, va a estar representado por la persona o entidad
sobre el cual recae la conducta que realiza el sujeto activo.

De esta manera a partir del análisis de la jurisprudencia nacional, específicamente de

la Sala III logramos determinar el concepto de Delitos informáticos y de la doctrina
extraemos las características de la figura en estudio. Es menester dejar claro que son
tipos relativamente recientes y en cuanto a regulación son escasos por lo que es
necesario ahondar en el tema de control y regulación de las actividades ilícitas
realizadas a través de medios tecnológicos

LEGISLACIÓN EN DERECHO COMPARADO

ARGENTINA
ANTEPROYECTO DE LEY DE DELITOS INFORMATICOS SOMETIDO A CONSULTA
PÚBLICA POR LA SECRETARIA DE COMUNICACIONES POR RESOLUCIÓN No.
476/2001 DEL 21.11.2001
Acceso Ilegítimo Informático:
Artículo 1.- Será reprimido con pena de multa de mil quinientos a treinta mil pesos, si no
resultare un delito más severamente penado, el que ilegítimamente y a sabiendas accediere, por
cualquier medio, a un sistema o dato informático de carácter privado o público de acceso
restringido.
La pena será de un mes a dos años de prisión si el autor revelare, divulgare o comercializare la
información accedida ilegítimamente.
En el caso de los dos párrafos anteriores, si las conductas se dirigen a sistemas o datos
informáticos concernientes a la seguridad, defensa nacional, salud pública o la prestación de
servicios públicos, la pena de prisión será de seis meses a seis años

Daño Informático
Artículo 2.- Será reprimido con prisión de un mes a tres años, siempre que el hecho no
constituya un delito más severamente penado, el que ilegítimamente y a sabiendas, alterare de
cualquier forma, destruyere, inutilizare, suprimiere o hiciere inaccesible, o de cualquier modo y
por cualquier medio, dañare un sistema o dato informático.
Artículo 3.-En el caso del artículo 2º, la pena será de dos a ocho años de prisión, si mediara
cualquiera de las circunstancias siguientes:
1) Ejecutarse el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza de
sus determinaciones;
2) Si fuera cometido contra un sistema o dato informático de valor científico, artístico, cultural
o financiero de cualquier administración pública, establecimiento público o de uso público de
todo género;
3) Si fuera cometido contra un sistema o dato informático concerniente a la seguridad, defensa
nacional, salud pública o la prestación de servicios públicos. Sí del hecho resultaren, además,
lesiones de las descritas en los artículos 90 o 91 del Código Penal, la pena será de tres a
quince años de prisión, y si resultare la muerte se elevará hasta veinte años de prisión.
Fraude Informático
Artículo 5.- Será reprimido con prisión de un mes a seis años, el que con ánimo de lucro, para
sí o para un tercero, mediante cualquier manipulación o artificio tecnológico semejante de un
sistema o dato informático, procure la transferencia no consentida de cualquier activo
patrimonial en perjuicio de otro.
En el caso del párrafo anterior, si el perjuicio recae en alguna administración publica, o
entidad financiera, la pena será de dos a ocho años de prisión.

Disposiciones Comunes
Artículo 6.- 1) A los fines de la presente ley se entenderá por sistema informático todo
dispositivo o grupo de elementos relacionados que, conforme o no a un programa, realiza el
tratamiento automatizado de datos, que implica generar, enviar, recibir, procesar o almacenar
información de cualquier forma y por cualquier medio.
2) A los fines de la presente ley se entenderá por dato informático o información, toda
representación de hechos, manifestaciones o conceptos en un formato que puede ser tratado
por un sistema informático.
3) En todos los casos de los artículos anteriores, si el autor de la conducta se tratare del
responsable de la custodia, operación, mantenimiento o seguridad de un sistema o dato
informático, la pena se elevará un tercio del máximo y la mitad del mínimo, no pudiendo
superar, en ninguno de los casos, los veinticinco años de prisión.

COLOMBIA :
Colombia promulgó la Ley 1273 “Por medio del cual se modifica el Código Penal, se
crea un nuevo bien jurídico tutelado – denominado “De la Protección de la información
y de los datos”
Artículo 269A: ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO. El que, sin autorización o por
fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una
medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el
legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269B: OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE
TELECOMUNICACIÓN. El que, sin estar facultado para ello, impida u obstaculice el
funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos,
o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y
seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la
conducta no constituya delito sancionado con una pena mayor.
Artículo 269C: INTERCEPTACIÓN DE DATOS INFORMÁTICOS. El que, sin orden judicial previa
intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las
emisiones electromagnéticas provenientes de un sistema informático que los trasporte incurrirá en
pena de prisión de treinta y seis (36) a setenta y dos (72) meses.
Artículo 269D: DAÑO INFORMÁTICO. El que, sin estar facultado para ello, destruya, dañe, borre,
deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes
o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96)
meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.
Artículo 269E: USO DE SOFTWARE MALICIOSO. El que, sin estar facultado para ello, produzca,
trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software
malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales
mensuales vigentes.
Artículo 269F: VIOLACIÓN DE DATOS PERSONALES. El que, sin estar facultado para ello, con
provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe,
compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en
ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y
ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales
vigentes.

Al respecto es importante aclarar que la Ley 1266 de 2008 definió el término dato personal como
“cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que
puedan asociarse con una persona natural o jurídica”. Dicho artículo obliga a las empresas un especial
cuidado en el manejo de los datos personales de sus empleados, toda vez que la ley obliga a quien
“sustraiga” e “intercepte” dichos datos a pedir autorización al titular de los mismos.

Artículo 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES.

(PHISING) El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda,
ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos
legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más
grave.
En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de
tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a
otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena
más grave.
La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para
consumarlo el agente ha reclutado víctimas en la cadena del delito.
Es primordial mencionar que este artículo tipifica lo que comúnmente se denomina “phishing”,
modalidad de estafa que usualmente utiliza como medio el correo electrónico pero que cada vez con más
frecuencia utilizan otros medios de propagación como por ejemplo la mensajería instantánea o las redes
sociales.
Por su parte, el capítulo segundo establece:
 Artículo 269I: HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES. El que, superando
medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un
sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando
a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las penas
señaladas en el artículo 240 del Código Penal, es decir, penas de prisión de tres (3) a ocho (8) años.
Artículo 269J: TRANSFERENCIA NO CONSENTIDA DE ACTIVOS. El que, con ánimo de lucro y
valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no
consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito
sancionado con pena más grave, incurrirá en pena de prisión de cuarenta y ocho (48) a ciento veinte
(120) meses y en multa de 200 a 1500 salarios mínimos legales mensuales vigentes.
La misma sanción se le impondrá a quien fabrique, introduzca, posea o facilite programa de
computador destindo a la comisión del delito descrito en el inciso anterior, o de una estafa.

ESPAÑA:
España cuenta con determinadas normas que tipifican los delitos informáticos, así como
algunos órganos especiales dedicados a la persecución de los mismos.
Delitos informáticos y el Código Penal; El Código penal español de 1995 (Ley Orgánica
10/1995, de 23 de Noviembre) no contempla directamente los delitos denominados
"informáticos". No obstante, refleja las siguientes conductas delictivas descritas en el "Convenio
sobre la Ciberdelincuencia", en las que los datos o sistemas informáticos son instrumentos de
comisión o el objeto del delito:

Clasificación del Articulo Derecho tutelado

delito
Delitos contra la Art197 Se tipifica en este artículo las conductas que llevan a apoderarse de mensajes de correo
confidencialidad, la Art 264.2 electrónico ajenos o accedan a documentos privados sin la autorización de sus titulares.
integridad y la y 278.3 La destrucción, alteración o daño de programas o documentos contenidos en ordenadores.
disponibilidad de los Art278.1 Apoderarse o difundir documentos o datos electrónicos de empresas.
datos y sistemas
informáticos.
Delitos informáticos. Art 248.2 Estafas como consecuencia de alguna manipulación informática.
Art 256 Utilización no consentida de un ordenador sin la autorización de su dueño causándole un
perjuicio económico superior a 300,50 €
Delitos relacionados Art 186 La distribución entre menores de edad de material pornográfico.
con el contenido. Art 189 Distribución a través de Internet de material de pornografía infantil.
Delitos relacionados Art 270 La copia no autorizada de programas de ordenador o de música.
con infracciones de la Fabricación, distribución o tenencia de programas que vulneran las medidas de protección
propiedad intelectual y Art 270 anti-piratería de los programas .
derechos afines. Comercio a través de Internet de productos patentados sin autorización del titular de la
Art 273 patente.
Algunas conductas como el //spam// (envío de publicidad no deseada, normalmente a través
del correo electrónico), escaneo de puertos, la apología del terrorismo a través de Internet o
el blanqueo de capitales no están contemplados entre los delitos tipificados en el Código
penal español. Debido a esta razón, su persecución penal se realiza conjuntamente con los
delitos a los que los ordenadores o las redes sirven como la herramienta para su comisión, no
siendo considerados delitos autónomos en sí mismos.
Delitos informáticos y Art del Uno de los organismos especiales creados en España para la investigación de los delitos
el Cuerpo Nacional de 197 al informáticos es la Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía
Policía : 201 (CNP). Este grupo mantiene la siguiente clasificación de delitos informáticos, con sus
referencias al Código Penal. El texto que acompaña a cada artículo no se corresponde con su
contenido, sino que es más bien una aclaración del delito [2]:
 Ataques que se producen contra el derecho a la intimidad
Delito de Art270 y Infracciones a la Propiedad Intelectual a través de la protección de los derechos de autor
descubrimiento y otros Especialmente la copia y distribución no autorizada de programas de ordenador y tenencia
revelación de secretos de medios para suprimir los dispositivos utilizados para proteger dichos programas.
mediante el Art 386 y Falsedades
apoderamiento y ss. Concepto de documento como todo soporte material que exprese o incorpore datos.
difusión de datos Art 263 y Extensión de la falsificación de moneda a las tarjetas de débito y crédito.
reservados registrados otros Fabricación o tenencia de programas de ordenador para la comisión de delitos de falsedad.
en ficheros o soportes Sabotajes informáticos
informáticos.
Delito de daños Art 248 y Fraudes informáticos
mediante la destrucción ss. Delitos de estafa a través de la manipulación de datos o programas para la obtención de un
o alteración de datos, lucro ilícito.
programas o Art 169 y Amenazas
documentos ss. Realizadas por cualquier medio de comunicación.
electrónicos contenidos Artículos Calumnias e injurias
en redes o sistemas 205 y ss. Cuando se propaguen por cualquier medio de eficacia semejante a la imprenta o la
informáticos. radiodifusión.
Pornografía infantil Art 189 La producción, venta, distribución, exhibición, por cualquier medio, de material
pornográfico en cuya elaboración hayan sido utilizados enores de edad o incapaces, aunque
el material tuviere su origen en el extranjero o fuere desconocido.
El facilitamiento de las conductas anteriores (El que facilitare la producción, venta,
distribución, exhibición...).
- La posesión de dicho material para la realización de dichas conductas.
.
Hemos estudiado en el derecho comparado algunos países europeos y americanos ,
nos llama la atención el trato que se le da en España a este tipo de delitos en el que
incluye una gran cantidad de tipos penales y además la creación de un cuerpo policial
que investigara este tipo de delitos. A nivel de América la legislación Colombia nos
llama fuertemente la atención y es la que consideramos más completa en este
continente. Sin embargo sigue siendo un problema la definición de la competencia
territorial para los estados , ya que al ser internet una red mundial el control de los
delitos y además la sanción del mismo se mantiene siendo un problema serio y a
resolver en un futuro en cooperación con el resto del mundo